IOS: NAT statici e VPN

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
vorlander
n00b
Messaggi: 6
Iscritto il: gio 07 ago , 2008 11:06 am

Ciao a tutti,

sono in possesso di un router cisco 857 su cui ho correttamente configurato un accesso con vpnclient.
Spiego l'infrastruttura:

VPN CLIENT: 192.168.254.0/24
Lan: 192.168.0.0/24

Mi collego con il client e va tutto un gioiello, tranne il problema sotto:

la macchina 192.168.0.10 ha dei port forwarding per dirottare alcune richieste che arrivano sulla dialer verso di lei.

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80

una volta inserito questo comando per pubblicare il server WEB, non sono piu in grado di accedere alla porta 80 usando il vpn client...qualcuno sa dirmi come risolvere il problema? io voglio accedere alla porta 80 dall'esterno, ma voglio continuare a raggiungerla anche con il vpn client.

Aggiungo che nel router è presente anche:

ip nat inside source list 100 interface dialer0 overload
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any

OGNI AIUTO E' BEN ACCETTO
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Si è normale è un problema di nat, devi applicare una policy-map sulle regole di nat:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT

access-list 107 remark *************************************************************
access-list 107 remark ACL PER POLICY-NAT VPN CLIENT
access-list 107 remark *************************************************************
access-list 107 deny   ip 192.168.0.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 107 permit ip any any

route-map POL-NAT permit 10
 match ip address 107
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Oggi mi sento buono (sarà il periodo Natalizio) quindi ti ho dato la pappina pronta.

Imposto il topic cm importante
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
spider21
Cisco fan
Messaggi: 46
Iscritto il: mar 08 mag , 2007 6:24 pm

Ciao Wizard e grazie per essere stato buono a Natale !
:D

Ho provato ad inserire le righe di configurazione sul mio router Cisco 857K9 (IOS 12.4) ma non mi accetta la static con in aggiunta la parte "route-map POL-NAT".

A differenza della tua configurazione, io utilizzo ip statico , quindi applico la static direttamente sull'atm0.1 in questo modo:

ip nat inside source static tcp 192.168.0.39 3389 interface ATM0.1 3389 route-map POL-NAT

Il router, pero', non riconosce il comando "route-map POL-NAT"

Sai perche' ?

Grazie
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
spider21
Cisco fan
Messaggi: 46
Iscritto il: mar 08 mag , 2007 6:24 pm

Wizard ha scritto:Mi sa che il problema sia la ios però nn ci puoi fare nulla se nn provare ad aggiornare. Per 857 c'è solo la ios advanced security e non la plus (advanced enterprise services).
Quindi, se non ho capito male, quella possibilita' e' legata alla tipologia di IOS che non e' prevista per l'857 ?

Che culo.... :-(
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Mi sa proprio di si...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:

Wizard ha scritto:Mi sa proprio di si...

Non va nemmeno con la 12.4.22T advipservices:D
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:

ip nat source route-map XXXXX interface dialer 0 overload

ma non credo c'entri qualcosa!
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Davide Sedoc
n00b
Messaggi: 1
Iscritto il: mar 12 mag , 2009 2:13 pm

Ciao a tutti, mi è capitato un problema simile in effetti il comando :

ip nat inside source static tcp 192.168.0.10 80 interface dialer0 80 route-map POL-NAT

non funziona sugli ios del'857, però è possibile aggiungere la route-map se al posto di interface xxxxx si specifica un indirizzo ip( anche lo stesso ip dell'interfaccia se statico), esempio:


ip nat inside source static tcp 192.168.0.10 80 xxx.xxx.xxx.xxx 80 route-map POL-NAT extendable

t
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

In effetti gli 857 hanno solo la ios advancedsecurity e nn la advanced enterprise services...

Cmq se va mettendo l'ip al posto di "int xxx" in effetti è identico!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
walter48022
Cisco fan
Messaggi: 67
Iscritto il: dom 20 mar , 2005 1:31 am

anche io ho lo stesso problema con un 877w, avevo bisogno di raggiungere un pc con vnc sia dalla vpn che sull'ip pubblico via nat, e non mi funziona. In piu' ho la sfortuna di avere l'ip pubblico dinamico. Ho risolto mettendo un secondo ip al computer che devo raggiungere, ovviamente e' ip della stessa classe di rete e non coinvolto nei nat. Il secondo ip lo puoi aggiungere anche nei pc con windows... ciao :)
emanuele.ciani
Cisco fan
Messaggi: 62
Iscritto il: gio 11 mag , 2006 1:47 pm
Località: Forlì

non so se possa essere utile

provate ad applicare la policy map all'interfaccia di ingresso lato lan
int eth0
ip policy route-map pippo



route-map pippo permit 10
match ip address 123
set ip next-hop 1.1.1.2

int loop 1
ip add 1.1.1.1



access-list 123 permit ip ip (nattato) (ip vpn)
m.dinardo
n00b
Messaggi: 15
Iscritto il: lun 27 set , 2010 11:53 am

Salve a tutti,

anche io ho lo stesso problema.
Riesco a fare e vedere tutto dall'esterno mentre in vpn no

Vi metto la mia config

Codice: Seleziona tutto


Current configuration : 3630 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VS
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$dBKm$Lm5y.SJFLyIcL1TPHA2SS.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
ip dhcp excluded-address 192.168.xxx.xxx
!
ip dhcp pool 192.168.xxx.xxx/xx
   network 192.168.xxx.xxx 255.255.255.0
   default-router 192.168.xxx.xxx 
   dns-server 208.67.222.222 208.67.220.220 
!
!
ip name-server 208.67.222.222
ip name-server 208.67.220.220
no ip ips deny-action ips-interface
ip ddns update method dyndns
 HTTP
  add http://xxx:[email protected]/nic/update?system=dyndns&hostname=<h>&myip=<a>
 interval maximum 28 0 0 0
!
!
!
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!         
username xxx privilege 15 password 7 060B0E334F41
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group xxx
 key xxx
 dns 208.67.222.222
 pool vpnpool
 acl 102
!
!
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set vpnset 
 reverse-route
!         
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap 
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.xxx.xxx 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 no dce-terminal-timing-enable
!
interface ATM0/1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no atm ilmi-keepalive
 dsl operating-mode auto 
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Dialer0
 mtu 1452
 ip ddns update hostname xxx.xxx.xxx
 ip ddns update dyndns host xxx.xxx.xxx
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname xxx.xxx
 ppp chap password 7 00171F071753
 ppp pap sent-username xxx.xxx password 7 044807071C29
 crypto map clientmap
!
ip local pool vpnpool 10.xxx.xxx.xxx 10.xxx.xxx.xxx
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
ip nat inside source static tcp 192.168.xxx.xxx xxx interface Dialer0 xxx
!
access-list 101 deny   ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 192.168.xxx.xxx 0.0.0.255 10.xxx.xxx.xxx 0.0.0.255
!
!
!
control-plane
!
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
!
!
!
!
!
!         
line con 0
 password 7 0822455D0A16
 logging synchronous
line aux 0
line vty 0 4
 password 7 060506324F41
 transport input telnet ssh
!
!
end

VS#
Vi prego datemi una mano che sto impazzendo

Grazie mille
guzza1977
n00b
Messaggi: 17
Iscritto il: dom 29 ago , 2010 10:11 pm
Località: Ardea
Contatta:

Probabilmente dovete inserire il seguento comando in configurazione "crypto isakmp client configuration group xxx":

!
conf t
crypto isakmp client configuration group xxx
include-local-lan
!

Fammi sapere se risolvi.

Ciao.
www.ccnaitalia.altervista.org : La guida in lingua italiana alla certificazione Cisco CCNA 640-802.
---------------------------------------------------------------------------------------------------

Chi sa fa, chi non sa .. fa fa!
Rispondi