https://www.opennet.ru/openforum/vsluhforumID6/16531.html Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом обьеденены две удаленные подсети. <br>Столкнулся с такой проблемой --- если у меня настроен NAT для публикации порта во внешний мир<br>(ip nat inside source static tcp loc_ip 443 interface outside_int 443) <br>То этот порт (443) недоступен внутри тунеля.<br>Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside source static tcp loc_ip 443 interface outside_int 443 если они идут изнутри туннеля ?<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#8 Wed, 18 Jun 2008 19:41:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;IP. <br>&gt;&gt;ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat <br>&gt;&gt;А как сделать то же, но натить не все порты, а только <br>&gt;&gt;определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й <br>&gt;&gt;на другой ? <br>&gt;&gt;Добавить route-map в ip nat inside source static tcp loc_ip 443 interface <br>&gt;&gt;outside_int 443 <br>&gt;&gt;не получается ... <br>&gt;<br>&gt;конфиг кинь быстрее найдем ошибки <br><br>Еще раз огромное спасибо. Удивительно, но после вашего первого ответа я пытался прописать <br>ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable/<br>но у меня не получалось добавить в конце route-map name-rmap extendable.<br>Вообщем во второй раз все получилось :). Теперь у меня и клиенты подключаются и статический туннель работает и подсети корректно видны при условии внешнего НАТа :).<br>Еще раз большое спасибо. Все получилось.<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#7 Wed, 18 Jun 2008 16:56:02 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;В статье описан метод, когда приходится все порты натить на определенный внутренний <br>&gt;IP. <br>&gt;ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat <br>&gt;А как сделать то же, но натить не все порты, а только <br>&gt;определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й <br>&gt;на другой ? <br>&gt;Добавить route-map в ip nat inside source static tcp loc_ip 443 interface <br>&gt;outside_int 443 <br>&gt;не получается ... <br><br>конфиг кинь быстрее найдем ошибки<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#6 Wed, 18 Jun 2008 16:51:45 GMT &gt;&gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;В статье описан метод, когда приходится все порты натить на определенный внутренний <br>&gt;&gt;IP. <br>&gt;&gt;ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat <br>&gt;&gt;А как сделать то же, но натить не все порты, а только <br>&gt;&gt;определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й <br>&gt;&gt;на другой ? <br><br>ip nat inside source static 10.1.1.3 25 200.1.1.25 25 route-map nonat ext<br>ip nat inside source static 10.1.1.3 110 200.1.1.25 100 route-map nonat ext<br>ip nat inside source static 10.1.1.15 389 200.1.1.25 389 route-map nonat ext<br>&gt;&gt;Добавить route-map в ip nat inside source static tcp loc_ip 443 interface <br>&gt;&gt;outside_int 443 <br>&gt;&gt;не получается ... <br><br>ip nat inside source static tcp local-addr 443 public-addr 443 route-map name-rmap extendable<br>&gt;<br>&gt;Кроме того .... после того, как включаем трансляцию по всем портам <br>&gt;у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... <br>&gt;наверное из за того, что все пакеты по всем портам согласно <br>&gt;ip nat inside https://www.opennet.ru/openforum/vsluhforumID6/16531.html#5 Wed, 18 Jun 2008 15:18:12 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;В статье описан метод, когда приходится все порты натить на определенный внутренний <br>&gt;IP. <br>&gt;ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat <br>&gt;А как сделать то же, но натить не все порты, а только <br>&gt;определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й <br>&gt;на другой ? <br>&gt;Добавить route-map в ip nat inside source static tcp loc_ip 443 interface <br>&gt;outside_int 443 <br>&gt;не получается ... <br><br>Кроме того .... после того, как включаем трансляцию по всем портам у меня пропадает возможность подключаться VPN клиентом у удаленных пользователей .... наверное из за того, что все пакеты по всем портам согласно ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat отправляются прямиком на внутренний хост в локальной сети.<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#4 Wed, 18 Jun 2008 15:10:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;(ip nat inside source static tcp loc_ip 443 interface outside_int 443) <br>&gt;&gt;&gt;То этот порт (443) недоступен внутри тунеля. <br>&gt;&gt;&gt;Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside <br>&gt;&gt;&gt;source static tcp loc_ip 443 interface outside_int 443 если они идут <br>&gt;&gt;&gt;изнутри туннеля ? <br>&gt;&gt;<br>&gt;&gt;вот ссылка про твою проблему <br>&gt;&gt;http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html <br>&gt;<br>&gt;Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате .... <br><br>В статье описан метод, когда приходится все порты натить на определенный внутренний IP.<br>ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat<br>А как сделать то же, но натить не все порты, а только определенные ? Допустим 25-й и 110-й на один внутренний IP,а 389-й на другой ?<br>Добавить route-map в ip nat inside source static tcp loc_ip 443 interface outside_int 443<br>не получается ...<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#3 Wed, 18 Jun 2008 12:34:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Столкнулся с такой проблемой --- если у меня настроен NAT для публикации <br>&gt;&gt;порта во внешний мир <br>&gt;&gt;(ip nat inside source static tcp loc_ip 443 interface outside_int 443) <br>&gt;&gt;То этот порт (443) недоступен внутри тунеля. <br>&gt;&gt;Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside <br>&gt;&gt;source static tcp loc_ip 443 interface outside_int 443 если они идут <br>&gt;&gt;изнутри туннеля ? <br>&gt;<br>&gt;вот ссылка про твою проблему <br>&gt;http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html <br><br>Огромное спасибо SergTel за ссылку. Попробую и отпишусь о результате ....<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#2 Wed, 18 Jun 2008 10:36:04 GMT &gt;Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом <br>&gt;обьеденены две удаленные подсети. <br>&gt;Столкнулся с такой проблемой --- если у меня настроен NAT для публикации <br>&gt;порта во внешний мир <br>&gt;(ip nat inside source static tcp loc_ip 443 interface outside_int 443) <br>&gt;То этот порт (443) недоступен внутри тунеля. <br>&gt;Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside <br>&gt;source static tcp loc_ip 443 interface outside_int 443 если они идут <br>&gt;изнутри туннеля ? <br><br>вот ссылка про твою проблему<br>http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html<br> https://www.opennet.ru/openforum/vsluhforumID6/16531.html#1 Wed, 18 Jun 2008 10:29:43 GMT &gt;Добрый день. У меня настроен тунель между двумя маршрутизаторами и таким образом <br>&gt;обьеденены две удаленные подсети. <br>&gt;Столкнулся с такой проблемой --- если у меня настроен NAT для публикации <br>&gt;порта во внешний мир <br>&gt;(ip nat inside source static tcp loc_ip 443 interface outside_int 443) <br>&gt;То этот порт (443) недоступен внутри тунеля. <br>&gt;Куда дальше двигаться ? Как обойти попадание пакетов под ip nat inside <br>&gt;source static tcp loc_ip 443 interface outside_int 443 если они идут <br>&gt;изнутри туннеля ? <br><br>Акцес на запрет пакетов из туннеля в НАТ<br><br><br><br>