OpenForum RSS: хитрый NAT https://www.opennet.me/openforum/vsluhforumID6/2690.html Есть маршрутизатор CISCO (IOS 12.4 если это зачем-то важно).<br>Есть вот такая схема сети (связаны два корпоративных сегмента):<br><br>сеть2 10.0.2.0/24 - router2 - router1 - cеть1 192.168.1.0/24<br><br>При этом между сетями должен ходить трафик, но сеть2 принимает пакеты только от адресов 10.0.0.0/8, допустим. Сделать с этим ничего нельзя (router2 недоступен по управлению).<br><br>Соответственно на router1 устраиваем статический NAT и всё прекрасно работает:<br><br>Int e1 <br>rem сеть1<br>Ip addr 192.168.1.1/24<br>Ip nat inside<br><br>Int e2<br>rem к сети2<br>172.16.0.1/30<br>Ip nat outside<br><br>ip route 10.0.2.0 255.255.255.0 e1<br>ip nat inside source static network 192.168.1.0 10.0.1.0 /24<br><br>Причем трансляция получается "один в один", сохраняются все номера портов и если пакет ушёл из сети1 от адреса, допустим от 192.168.1.10, то в сети2 он виден как пришедший от 10.0.1.10, то же самое для любого адреса - т.е. все отправители пакетов, пришедших в сеть2, там однозначно идентифицируется (что нужно).<br><br>а теперь задача усложняется. кроме подкл хитрый NAT (mik73) https://www.opennet.me/openforum/vsluhforumID6/2690.html#2 Wed, 27 Sep 2023 13:57:20 GMT Cпасибо за наводку. Получилось. По ходу поэкспериментировал, выяснил следующие неочевидные вещи:<br><br>1. Если есть трансляция вида ip nat inside source static - то ничего не получается. Адрес источника всегда и сразу транслируется из 192.168.1.100 в 10.0.1.100 - независимо от адреса назначения.<br><br>2. Если использовать динамическую трансляцию типа source list, создав ACL типа:<br>ip access list ext NAT_10<br> permit ip 192.168.1.0 0.0.0.255 10.0.1.0 0.0.0.255<br>ip access list ext NAT_150<br> deny ip any 10.0.1.0 0.0.0.255<br> permit ip host 192.168.1.100 any<br>то опять не работает, всё то же самое, что с source static<br><br>3. Если поменять местами записи в ACL NAT_150 (cначала permit источник, потом deny получатель) - <br>то с 192.168.1.100 всё начинает всегда уходить на интерфейс во внешнюю сеть, даже то, что предназначено в сеть 10.0.2.0.<br><br>4. Если сделать хотя бы одну запись для трансляции через route-map (вторую можно оставить через list) - то всё работает.<br><br>Есть в этом что-то удивительное.<br><br><br> <br><br><br><br> хитрый NAT (elk_killa) https://www.opennet.me/openforum/vsluhforumID6/2690.html#1 Wed, 27 Sep 2023 08:08:43 GMT добавьте в правило nat(ip nat inside source route-map NAT_*) rm вида:<br><br>route-map NAT_2R2 permit 10 <br> match ip address NAT_10.0.1.0<br> match interface e2<br><br>route-map NAT_2Global permit 10 <br> match ip address NAT_150<br> match interface e3<br><br><br><br>