nOPTHOu Опубликовано 12 мая, 2009 · Жалоба Добрый день,уважаемые коллеги! Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки. Если ip nat inside source list NAT pool external overload то VPN работает корректно, но не работает DNS резолвинг снаружи Если ip nat inside source list 1 pool external overload то VPN работает не корректно, но работает DNS резолвинг снаружи, таким образом, блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать. При этом проброс smtp порта работает нормально. А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи? P.S. вынос VPN-клиентов в отдельную подсеть не помог interface FastEthernet0/0.11 description connected to HQ LAN encapsulation dot1Q 11 ip address 192.168.0.1 255.255.255.0 ip access-group LAN_Firewall in ip flow ingress ip flow egress ip nat inside no ip virtual-reassembly no ip mroute-cache no cdp enable interface FastEthernet0/1 description connected to INTERNET ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary ip address xxx.xxx.xxx.xxx 255.255.255.128 ip access-group Inet_Firewall.in in ip access-group Inet_Firewall.OUT out ip flow ingress ip flow egress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map clientmap ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29 ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable access-list 1 permit 192.168.0.99 access-list 1 permit 192.168.0.100 access-list 1 permit 192.168.0.117 access-list 1 permit 192.168.0.72 access-list 1 permit 192.168.0.75 access-list 1 permit 192.168.0.78 access-list 1 permit 192.168.0.234 access-list 1 permit 192.168.0.254 access-list 1 permit 192.168.0.200 access-list 1 permit 192.168.0.170 access-list 1 permit 192.168.0.159 ip access-list extended NAT deny ip any 192.168.0.0 0.0.255.255 log-input permit ip host 192.168.0.99 any permit ip host 192.168.0.100 any permit ip host 192.168.0.117 any permit ip host 192.168.0.72 any permit ip host 192.168.0.75 any permit ip host 192.168.0.78 any permit ip host 192.168.0.80 any permit ip host 192.168.0.234 any permit ip host 192.168.0.254 any permit ip host 192.168.0.200 any permit ip host 192.168.0.170 any permit ip host 192.168.0.159 any deny ip any any log-input Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...