Osiągam pewną usługę na adresie IP serwera 9x.2x.2x.1x przez Tunnel1, do którego mogę dostać się tylko z źródłowego adresu 1y.1y.1y.3y. W sieci LAN mam działającą sieć 192.168.0.0/24, która wychodzi do Internetu przez FastEthernet4. Chciałbym, aby hosty z sieci lokalnej 192.168.0.0/24 miały dostęp do serwera 9x.2x.2x.1x, więc tworzę route-map PBR która łapie ruch listą ADRES i wysyła na Loopback0, gdzie skonfigurowany jest NAT zamieniający źródłowe 192.168.0.0/24 na adres 1y.1y.1y.3y. Czy ta koncepcja jest dobra? W praktyce nie działa. Z tego co zauważyłem to acccess-lista ADRES nie łapie ruchu, chociaż z wnętrza sieci generuję ruch na 9x.2x.2x.1x i pewnie od tego trzeba zacząć - co może być źle w tej konfiguracji?
!
!
interface Loopback0
ip address 1y.1y.1y.3y 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map PBR
!
ip route 9x.2x.2x.1x 255.255.255.255 Tunnel1
!
ip nat inside source list NAT interface Loopback0 overload
!
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
!
ip access-list extended ADRES
permit ip any host 9x.2x.2x.1x
permit icmp any host 9x.2x.2x.1x
!
route-map PBR permit 10
match ip address ADRES
set interface Loopback0
!
1) sh access-list nie pokaze ci 'hit-ow' jesli ACL nie jest nigdzie podpieta. sh route-map powinno Ci pokazac czy lapiesz ruch (to RM jest podpieta do intefejsu).
2) Nie wiem co chesz osiagnac dajac set interface na loopback0, przeciez za tym interfejsem nie ma sieci 9x.2x.2x.1x. Chyba ze chodzi ci o wykonanie NAT, ale to jakas dziwna figura...
Ogolnie twoj przypadek to troche NAT przy 2 ISP/WAN. z grubsza:
1) Usun route-map z vlan1
2)wywal ip nat outside z loopback0, dodaj na tunnel1
3) stworz RM dla NATa
route-map DEFAULT_NAT permit 10
match ip NAT
match interface FastEthernet4
route-map NO_DEFULT_NAT permit 10
match ip NAT
match ip interface Tunnel1
ip nat inside source route-map NO_DEFAULT_NAT interface Loopback0 overload
ip nat inside source route-map DEFAULT_NAT interface FastEthernet4 overload
Czyli pakiet wchodzi przez vlan1 (ip nat inside) zostaje poddany routingowi, a nastepnie wyslany przez 1 z 2ch interfejsow fa4/tunn1 (ip nat outside), w zaleznosci ktorym (route-map) zostanie dokonana trnaslacja na IP z lo0/fa4.
Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.
W związku z tą podmianą chciałem do tego celu wykorzystać loopback i tam zrobić podmianę adresu źródłowego, zanim wypchnę to w tunel. Nie wiem czy to dobra koncepcja?
gitakam pisze:Dzięki za odpowiedź.
Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.
Sprawdziles czy Ci sie wydaje?
Napisalem zebys ustawil:
interface tunnel1
ip nat outside
co automatycznie uruchomi NAT przed przekazaniem pakietu do interfejsu tunnel, a route-mapy zdefiniuja ktory NAT zastosowac.
Poszukaj dokumentacji jak dziala NAT oraz konfiguracji NAT dla 2 ISP.