Jump to content
Калькуляторы

хитрая настройка ACL для NAT+EzVPN

Добрый день,уважаемые коллеги!

Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.

 

Если

ip nat inside source list NAT pool external overload

то VPN работает корректно, но не работает DNS резолвинг снаружи

 

Если

ip nat inside source list 1 pool external overload

то VPN работает не корректно, но работает DNS резолвинг снаружи, таким образом, блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать. При этом проброс smtp порта работает нормально.

А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?

 

P.S. вынос VPN-клиентов в отдельную подсеть не помог

 

interface FastEthernet0/0.11

description connected to HQ LAN

encapsulation dot1Q 11

ip address 192.168.0.1 255.255.255.0

ip access-group LAN_Firewall in

ip flow ingress

ip flow egress

ip nat inside

no ip virtual-reassembly

no ip mroute-cache

no cdp enable

 

interface FastEthernet0/1

description connected to INTERNET

ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary

ip address xxx.xxx.xxx.xxx 255.255.255.128

ip access-group Inet_Firewall.in in

ip access-group Inet_Firewall.OUT out

ip flow ingress

ip flow egress

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

no cdp enable

crypto map clientmap

 

 

ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29

ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable

ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable

 

 

access-list 1 permit 192.168.0.99

access-list 1 permit 192.168.0.100

access-list 1 permit 192.168.0.117

access-list 1 permit 192.168.0.72

access-list 1 permit 192.168.0.75

access-list 1 permit 192.168.0.78

access-list 1 permit 192.168.0.234

access-list 1 permit 192.168.0.254

access-list 1 permit 192.168.0.200

access-list 1 permit 192.168.0.170

access-list 1 permit 192.168.0.159

 

ip access-list extended NAT

deny ip any 192.168.0.0 0.0.255.255 log-input

permit ip host 192.168.0.99 any

permit ip host 192.168.0.100 any

permit ip host 192.168.0.117 any

permit ip host 192.168.0.72 any

permit ip host 192.168.0.75 any

permit ip host 192.168.0.78 any

permit ip host 192.168.0.80 any

permit ip host 192.168.0.234 any

permit ip host 192.168.0.254 any

permit ip host 192.168.0.200 any

permit ip host 192.168.0.170 any

permit ip host 192.168.0.159 any

deny ip any any log-input

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this