forum.opennet.ru - "Static NAT + GRE" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Static NAT + GRE"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Static NAT + GRE"	+/–
Сообщение от Dmitriy (??) on 04-Окт-13, 13:44
Здравствуйте, помогите решить проблему пожалуйста... Cisco 891 подключение pppoe со статическим адресом x.x.x.x (Dialer1) Есть хост на этом интерфейсе: interface Vlan3 ip address 172.16.1.53 255.255.255.252 ip nat inside настроен 1to1 static nat: ip nat inside source static 172.16.1.54 x.x.x.x extendable Необходимо помимо проброса на хост 172.16.1.54 всех портов терминировать еще и туннель на внешнем интерфейсе. Настройка туннеля: interface Tunnel0 description === INET TUNNEL === ip address 172.16.1.62 255.255.255.252 tunnel source x.x.x.x tunnel destination y.y.y.y Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний хост. Как только я убираю нат - туннель сразу поднимается. Как можно реализовать данный функционал? Не могу найти как можно исключить из статической трансляции ip адрес.
Ответить \| Правка \| Cообщить модератору

Оглавление

Static NAT + GRE, Dmitriy, 13:48 , 04-Окт-13, (1)
Static NAT + GRE, elk_killa, 14:38 , 04-Окт-13, (2)

Static NAT + GRE, Merridius, 15:10 , 04-Окт-13, (3)
Static NAT + GRE, Dmitriy, 15:19 , 04-Окт-13, (4)

NAT + route-map, QRSa, 20:25 , 04-Окт-13, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Static NAT + GRE" +/–

Сообщение от Dmitriy (??) on 04-Окт-13, 13:48

забыл сказать если заменить
ip nat inside source static 172.16.1.54 x.x.x.x extendable
на
ip nat inside source list NAT-ACL interface Dialer1 overload
то все работает, кроме проброса всех портов

ip access-list extended NAT-ACL
permit ip 172.16.1.52 0.0.0.3 any

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Static NAT + GRE" +/–

Сообщение от elk_killa (ok) on 04-Окт-13, 14:38

> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
> хост.
> Как только я убираю нат - туннель сразу поднимается.
> Как можно реализовать данный функционал?
> Не могу найти как можно исключить из статической трансляции ip адрес.
либо брать у провайдера еще адрес, либо выбирать между статик и динамик натом
как можно транслировать ip в ip, но при этом из него отобрать у клиента GRE на туннель?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Static NAT + GRE" +/–

Сообщение от Merridius (ok) on 04-Окт-13, 15:10

>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
>> хост.
>> Как только я убираю нат - туннель сразу поднимается.
>> Как можно реализовать данный функционал?
>> Не могу найти как можно исключить из статической трансляции ip адрес.
> либо брать у провайдера еще адрес, либо выбирать между статик и динамик
> натом
> как можно транслировать ip в ip, но при этом из него отобрать
> у клиента GRE на туннель?
Ну может вам и не нужен 1:1, может несколько портов прокинуть, а гре не трогать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Static NAT + GRE" +/–

Сообщение от Dmitriy (??) on 04-Окт-13, 15:19

>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
>> хост.
>> Как только я убираю нат - туннель сразу поднимается.
>> Как можно реализовать данный функционал?
>> Не могу найти как можно исключить из статической трансляции ip адрес.
> либо брать у провайдера еще адрес, либо выбирать между статик и динамик
> натом
> как можно транслировать ip в ip, но при этом из него отобрать
> у клиента GRE на туннель?
Есть такая статья...
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Я думал можно исключить из статик трансляции адрес удаленного роутера..
Или я не правильно понял?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "NAT + route-map" +/–

Сообщение от QRSa (ok) on 04-Окт-13, 20:25

Добрый день.
Проблема в том, что при попадании на outside интерфейс любого пакета (в т.ч. GRE) срабатывает статическая трансляция.
Т.о. Ваша задача исключить такую ситуацию, например, так:
ip access-list extended NOGRE
deny gre any any <- это запрещает NAT GRE
<добавляете в deny прочие порты, которые должны остаться на локальном роутере>
permit ip any any
route-map NAT1 permit 10
match ip address NOGRE
route-map NAT1 deny 20
<или пишете здесь другие трансляции>
ip nat inside source static 10.0.12.1 10.0.23.2 route-map NAT1 reversible

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Static NAT + GRE"	+/–
Сообщение от Dmitriy (??) on 04-Окт-13, 13:48
забыл сказать если заменить ip nat inside source static 172.16.1.54 x.x.x.x extendable на ip nat inside source list NAT-ACL interface Dialer1 overload то все работает, кроме проброса всех портов ip access-list extended NAT-ACL permit ip 172.16.1.52 0.0.0.3 any
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Static NAT + GRE"	+/–
Сообщение от elk_killa (ok) on 04-Окт-13, 14:38
> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний > хост. > Как только я убираю нат - туннель сразу поднимается. > Как можно реализовать данный функционал? > Не могу найти как можно исключить из статической трансляции ip адрес. либо брать у провайдера еще адрес, либо выбирать между статик и динамик натом как можно транслировать ip в ip, но при этом из него отобрать у клиента GRE на туннель?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Static NAT + GRE"	+/–
	Сообщение от Merridius (ok) on 04-Окт-13, 15:10
	>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний >> хост. >> Как только я убираю нат - туннель сразу поднимается. >> Как можно реализовать данный функционал? >> Не могу найти как можно исключить из статической трансляции ip адрес. > либо брать у провайдера еще адрес, либо выбирать между статик и динамик > натом > как можно транслировать ip в ip, но при этом из него отобрать > у клиента GRE на туннель? Ну может вам и не нужен 1:1, может несколько портов прокинуть, а гре не трогать?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Static NAT + GRE"	+/–
	Сообщение от Dmitriy (??) on 04-Окт-13, 15:19
	>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний >> хост. >> Как только я убираю нат - туннель сразу поднимается. >> Как можно реализовать данный функционал? >> Не могу найти как можно исключить из статической трансляции ip адрес. > либо брать у провайдера еще адрес, либо выбирать между статик и динамик > натом > как можно транслировать ip в ip, но при этом из него отобрать > у клиента GRE на туннель? Есть такая статья... http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... Я думал можно исключить из статик трансляции адрес удаленного роутера.. Или я не правильно понял?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

5. "NAT + route-map"	+/–
Сообщение от QRSa (ok) on 04-Окт-13, 20:25
Добрый день. Проблема в том, что при попадании на outside интерфейс любого пакета (в т.ч. GRE) срабатывает статическая трансляция. Т.о. Ваша задача исключить такую ситуацию, например, так: ip access-list extended NOGRE deny gre any any <- это запрещает NAT GRE <добавляете в deny прочие порты, которые должны остаться на локальном роутере> permit ip any any route-map NAT1 permit 10 match ip address NOGRE route-map NAT1 deny 20 <или пишете здесь другие трансляции> ip nat inside source static 10.0.12.1 10.0.23.2 route-map NAT1 reversible
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору