Добрий день.
Пытаюсь реализовать следующее - есть удаленная сеть за ipsec - 10.10.10.0/24, есть мой сервер 192.168.0.2, из удаленной сети ко мне обращаются как к 192.168.168.1 (тунель ipsec - 192.168.168.1/32 10.10.10.0/24). Думаю что нужно сделать нат 192.168.0.2-192.168.168.1 для трафика из 192.168.0.2 в 10.10.10.0/24 и наоброт.Пробую так:
#создал интерфейс для нат
interface loopback 1
ip address 192.168.168.1 255.255.255.255
ip nat outside#включил нат на вн итнерфейсе
interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.255
ip nat inside#это для ipsec
ip access-list extended access-ipsec
permit ip host 192.168.168.1 10.10.10.0 0.0.0.255#указал что удаленная сеть за интерфейсом
ip route 10.10.10.0 255.255.255.0 Loopback1#это для трансляции адресов
access-list extended int-ip-ext-lan-nat
permit ip host 192.168.0.2 10.10.10.0 0.0.0.255
ip nat pool ext-ip-pool 192.168.168.1 192.168.168.1 netmask 255.255.255.252
ip nat inside source list int-ip-ext-lan-nat pool ext-ip-pool overload
на 192.168.0.2 делаю:
traceroute 10.10.10.1
1 192.168.0.1 (192.168.0.1) 0.945 ms 0.990 ms 1.129 ms^Cping 10.10.10.1
на 192.168.0.1
sh ip nat tra - пусто
sh ip access-lists int-ip-ext-lan-nat - тоже ниодного вхождения нет.Подскажите как выполнить данную задачу.
>[оверквотинг удален]
>
убирайте лупбэк интерфейс
делайте static nat
Outside будет на интерфейсе, на котором висит криптомап от вашего ipsec соединения
А так же странноватая 32-ая маска на внутреннем интерфейсе у вас