https://www.opennet.me/openforum/vsluhforumID6/18834.html Добрый день,уважаемые коллеги!<br>Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.<br><br>Если<br>ip nat inside source list NAT pool external overload<br>то VPN работает корректно, но не работает DNS резолвинг снаружи<br><br>Если<br>ip nat inside source list 1 pool external overload<br>то VPN работает не корректно, но работает DNS резолвинг снаружи<br><br>А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?<br><br>interface FastEthernet0/0.11<br> description connected to HQ LAN<br> encapsulation dot1Q 11<br> ip address 192.168.0.1 255.255.255.0<br> ip access-group LAN_Firewall in<br> ip flow ingress<br> ip flow egress<br> ip nat inside<br> no ip virtual-reassembly<br> no ip mroute-cache<br> no cdp enable<br><br>interface FastEthernet0/1<br> description connected to INTERNET<br> ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary<br> ip address xxx.xxx.xxx.xxx 255.255.255.128<br> ip access-group Inet_Firew https://www.opennet.me/openforum/vsluhforumID6/18834.html#9 Tue, 12 May 2009 13:09:07 GMT &gt;Все получилось, а теперь вопрос. Чем отличается <br>&gt;access-list 111 от ip access-list extended NAT <br><br>1. Названием. Второй вариант это именованные ACL<br>2. Не все сервисы поддерживают именованные ACL<br>все вроде<br><br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#8 Tue, 12 May 2009 12:55:26 GMT &gt;<br>&gt;&gt;IP standard access list не поддерживает to сеть для ЦискоВПН <br>&gt;<br>&gt;Так сделай extended <br><br>х.м. собсно этим и занимался, когда отвечал. <br>Все получилось, а теперь вопрос. Чем отличается <br>access-list 111 от ip access-list extended NAT<br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#7 Tue, 12 May 2009 12:51:28 GMT <br>&gt;IP standard access list не поддерживает to сеть для ЦискоВПН <br><br>Так сделай extended<br><br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#6 Tue, 12 May 2009 12:49:54 GMT &gt;&gt;&gt;&gt;как в access-list 1 не натить пакеты к ВПН клиентам <br>&gt;<br>&gt;deny from локальная сеть to сеть для ЦискоВПН <br>&gt;в начале списка <br><br>IP standard access list не поддерживает to сеть для ЦискоВПН<br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#5 Tue, 12 May 2009 12:47:36 GMT &gt;&gt;&gt;как в access-list 1 не натить пакеты к ВПН клиентам <br><br>deny from локальная сеть to сеть для ЦискоВПН<br>в начале списка<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#4 Tue, 12 May 2009 10:39:16 GMT &gt;Не нужно натить пакеты, в сеть, что предназначена для ВПН. <br><br>спасибо! это я понял уже,и создал ACL: ip access-list extended NAT<br>но как мне в этом правиле решить проблему с DNS сервером, или как в access-list 1 не натить пакеты к ВПН клиентам<br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#3 Tue, 12 May 2009 10:34:19 GMT Не нужно натить пакеты, в сеть, что предназначена для ВПН.<br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#2 Tue, 12 May 2009 07:34:17 GMT &gt;к VPN, клиенту назначается адрес, из локалки. <br>&gt;Ваша ошибка именно в этом. <br>&gt;Для VPN клиентов организуйте отдельную подсеть. <br>&gt;Почему - попробуйте подумать <br><br>х.м. но почему тогда блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать?<br><br>P.S. вынос VPN-клиентов в отдельную подсеть не помог<br> https://www.opennet.me/openforum/vsluhforumID6/18834.html#1 Tue, 12 May 2009 07:07:51 GMT к VPN, клиенту назначается адрес, из локалки. <br>Ваша ошибка именно в этом.<br>Для VPN клиентов организуйте отдельную подсеть.<br>Почему - попробуйте подумать<br>