URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 994
[ Назад ]
Исходное сообщение
"Static NAT + GRE"
Отправлено Dmitriy , 04-Окт-13 13:44 
Здравствуйте, помогите решить проблему пожалуйста...

Cisco 891

подключение pppoe со статическим адресом x.x.x.x (Dialer1)
Есть хост на этом интерфейсе:
interface Vlan3
ip address 172.16.1.53 255.255.255.252
ip nat inside


настроен 1to1 static nat:
ip nat inside source static 172.16.1.54 x.x.x.x extendable


Необходимо помимо проброса на хост 172.16.1.54 всех портов терминировать еще и туннель на внешнем интерфейсе.

Настройка туннеля:
interface Tunnel0
description === INET TUNNEL ===
ip address 172.16.1.62 255.255.255.252
tunnel source x.x.x.x
tunnel destination y.y.y.y


Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний хост.
Как только я убираю нат - туннель сразу поднимается.

Как можно реализовать данный функционал?
Не могу найти как можно исключить из статической трансляции ip адрес.


Содержание
Сообщения в этом обсуждении
"Static NAT + GRE"
Отправлено Dmitriy , 04-Окт-13 13:48 
забыл сказать если заменить
ip nat inside source static 172.16.1.54 x.x.x.x extendable
на
ip nat inside source list NAT-ACL interface Dialer1 overload

то все работает, кроме проброса всех портов


ip access-list extended NAT-ACL
permit ip 172.16.1.52 0.0.0.3 any

"Static NAT + GRE"
Отправлено elk_killa , 04-Окт-13 14:38 
> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
> хост.
> Как только я убираю нат - туннель сразу поднимается.
> Как можно реализовать данный функционал?
> Не могу найти как можно исключить из статической трансляции ip адрес.

либо брать у провайдера еще адрес, либо выбирать между статик и динамик натом
как можно транслировать ip в ip, но при этом из него отобрать у клиента GRE на туннель?

"Static NAT + GRE"
Отправлено Merridius , 04-Окт-13 15:10 
>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
>> хост.
>> Как только я убираю нат - туннель сразу поднимается.
>> Как можно реализовать данный функционал?
>> Не могу найти как можно исключить из статической трансляции ip адрес.
> либо брать у провайдера еще адрес, либо выбирать между статик и динамик
> натом
> как можно транслировать ip в ip, но при этом из него отобрать
> у клиента GRE на туннель?

Ну может вам и не нужен 1:1, может несколько портов прокинуть, а гре не трогать?

"Static NAT + GRE"
Отправлено Dmitriy , 04-Окт-13 15:19 
>> Туннель не поднимается, я так понимаю потомучто все пакеты натятся на внутренний
>> хост.
>> Как только я убираю нат - туннель сразу поднимается.
>> Как можно реализовать данный функционал?
>> Не могу найти как можно исключить из статической трансляции ip адрес.
> либо брать у провайдера еще адрес, либо выбирать между статик и динамик
> натом
> как можно транслировать ip в ip, но при этом из него отобрать
> у клиента GRE на туннель?

Есть такая статья...
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Я думал можно исключить из статик трансляции адрес удаленного роутера..
Или я не правильно понял?

"NAT + route-map"
Отправлено QRSa , 04-Окт-13 20:25 
Добрый день.

Проблема в том, что при попадании на outside интерфейс любого пакета (в т.ч. GRE) срабатывает статическая трансляция.
Т.о. Ваша задача исключить такую ситуацию, например, так:

ip access-list extended NOGRE
deny   gre any any <- это запрещает NAT GRE
<добавляете в deny прочие порты, которые должны остаться на локальном роутере>
permit ip any any

route-map NAT1 permit 10
match ip address NOGRE
route-map NAT1 deny 20
<или пишете здесь другие трансляции>

ip nat inside source static 10.0.12.1 10.0.23.2 route-map NAT1 reversible