Перейти к содержимому
Калькуляторы

хитрая настройка ACL для NAT+EzVPN

Ответить

nOPTHOu   

nOPTHOu
Опубликовано · Жалоба

Добрый день,уважаемые коллеги!

Есть 2811, которая стоит шлюзом для локалки, внутрь проброшен 53 порт DNS сервер, обслуживаюший внешние зоны. Также, на ней настроен EasyVPN. При подключении к VPN, клиенту назначается адрес, из локалки.

 

Если

ip nat inside source list NAT pool external overload

то VPN работает корректно, но не работает DNS резолвинг снаружи

 

Если

ip nat inside source list 1 pool external overload

то VPN работает не корректно, но работает DNS резолвинг снаружи, таким образом, блокируя нат на внешнем интерфейсе, для пакетов которые идут из локалки в локалку, у меня все работает, а вот DNS перестает работать. При этом проброс smtp порта работает нормально.

А хочется что-бы работал и ВПН, и DNS резолвинг. Какие идеи?

 

P.S. вынос VPN-клиентов в отдельную подсеть не помог

 

interface FastEthernet0/0.11

description connected to HQ LAN

encapsulation dot1Q 11

ip address 192.168.0.1 255.255.255.0

ip access-group LAN_Firewall in

ip flow ingress

ip flow egress

ip nat inside

no ip virtual-reassembly

no ip mroute-cache

no cdp enable

 

interface FastEthernet0/1

description connected to INTERNET

ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary

ip address xxx.xxx.xxx.xxx 255.255.255.128

ip access-group Inet_Firewall.in in

ip access-group Inet_Firewall.OUT out

ip flow ingress

ip flow egress

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

no cdp enable

crypto map clientmap

 

 

ip nat pool external xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx prefix-length 29

ip nat inside source static tcp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable

ip nat inside source static udp 192.168.0.99 53 xxx.xxx.xxx.xxx 53 extendable

 

 

access-list 1 permit 192.168.0.99

access-list 1 permit 192.168.0.100

access-list 1 permit 192.168.0.117

access-list 1 permit 192.168.0.72

access-list 1 permit 192.168.0.75

access-list 1 permit 192.168.0.78

access-list 1 permit 192.168.0.234

access-list 1 permit 192.168.0.254

access-list 1 permit 192.168.0.200

access-list 1 permit 192.168.0.170

access-list 1 permit 192.168.0.159

 

ip access-list extended NAT

deny ip any 192.168.0.0 0.0.255.255 log-input

permit ip host 192.168.0.99 any

permit ip host 192.168.0.100 any

permit ip host 192.168.0.117 any

permit ip host 192.168.0.72 any

permit ip host 192.168.0.75 any

permit ip host 192.168.0.78 any

permit ip host 192.168.0.80 any

permit ip host 192.168.0.234 any

permit ip host 192.168.0.254 any

permit ip host 192.168.0.200 any

permit ip host 192.168.0.170 any

permit ip host 192.168.0.159 any

deny ip any any log-input

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...