Здравствуйте, уважаемые все.

Подскажите, никто не сталкивался с такой проблемой:

Есть две LAN за роутерами циско 1841 и 871. Эти LAN соединены при помощи IPsecVPN канала.
Все замечательно работает, но есть одно НО. Если на одном из роутеров мы публикуем наружу
порт какой-нибудь машины, то при обращении к этой машине из второй подсети (по внутреннему адресу)на порт который опубликован пакеты проходящие по туннелю убиваются натом.
При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из подсети(откуда обращаемся).

Подскажите, пожалуйста, куда копать!

• опубликованные наружу порты, ipsec vpn & nat,CrAzOiD, 16:37 , 06-Июн-08
  • опубликованные наружу порты, ipsec vpn & nat,paliss, 17:27 , 06-Июн-08
    • карта ,paliss, 17:39 , 06-Июн-08
    • опубликованные наружу порты, ipsec vpn & nat,dxer, 17:48 , 06-Июн-08
      • опубликованные наружу порты, ipsec vpn & nat,dxer, 17:53 , 06-Июн-08
        • опубликованные наружу порты, ipsec vpn & nat,paliss, 19:41 , 06-Июн-08

>[оверквотинг удален]
>при помощи IPsecVPN канала.
>Все замечательно работает, но есть одно НО. Если на одном из роутеров
>мы публикуем наружу
>порт какой-нибудь машины, то при обращении к этой машине из второй подсети
>(по внутреннему адресу)на порт который опубликован пакеты проходящие по туннелю убиваются
>натом.
>При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из
>подсети(откуда обращаемся).
>
>Подскажите, пожалуйста, куда копать!

обычно это NAT+Route-map

>>[оверквотинг удален]
>>При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из
>>подсети(откуда обращаемся).
>>
>>Подскажите, пожалуйста, куда копать!
>
>обычно это NAT+Route-map
>

Спасибо за внимание.

Так в том то и дело , что в нат на роутере (где опубликованы порты) указана карта в которой написано
deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко второй LAN

Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp
        Description: Tunnel to62.152.73.186
        Peer = 62.152.73.186
        Extended IP access list 104
            access-list 104 permit ip 172.16.0.0 0.0.0.3 10.107.197.0 0.0.0.255
            access-list 104 permit ip 10.108.0.0 0.0.3.255 10.107.197.0 0.0.0.25
5
        Current peer: 62.152.73.186
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                ESP-3DES-SHA1,
        }

>[оверквотинг удален]
>>
>>обычно это NAT+Route-map
>>
>
>Спасибо за внимание.
>
>Так в том то и дело , что в нат на роутере
>(где опубликованы порты) указана карта в которой написано
>deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко
>второй LAN

Не про нат0 тебе выше писали, а про то... что к статик-нату привязываешь роут-мап.

>[оверквотинг удален]
>>
>>Спасибо за внимание.
>>
>>Так в том то и дело , что в нат на роутере
>>(где опубликованы порты) указана карта в которой написано
>>deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко
>>второй LAN
>
>Не про нат0 тебе выше писали, а про то... что к статик-нату
>привязываешь роут-мап.

Как то так

ip nat inside source static tcp 172.29.29.29 25 80.90.100.1 25 route-map 109 extendable

access-list 109 remark For SMTP NoNAT
access-list 109 deny   tcp host 172.29.29.29 eq smtp 172.30.0.0 0.0.31.255
access-list 109 permit tcp host 172.29.29.29 eq smtp any

Всё :)

route-map NoNAT permit 10
match ip address 110 <-- вот что ты именл ввиду за ACL на пару постов выше.
match interface GigabitEthernet0/0

DXER
Большое спасибо.