forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSec site2site + ISA nat"
Отправлено Евгений, 25-Мрт-10 13:34

Добрый день.
Есть необходимость реализовать следующую схему:
LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- Cisco ----- LAN 192.168.100.0/24
Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825.
Задача вроде бы тривиальна, но получается все это запустить только по одиночке.
Если не указывать строчку с ip nat inside **** то филиалы подключаются на "ура". Если включить эту строчку (ip nat inside **) компы из локальной сети выходят в инет, но сразу пропадает связь с филиалами.
Если есть какие-либо идеи - welcome.  Есть подозрение на access-lists.
access-list 105 deny   ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255
access-list 105 deny   ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255
access-list 105 permit ip host 192.168.249.253 any
access-list 105 deny   ip any any
access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15
route-map nonat permit 10
match ip address 105
ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat
Заранее спасибо.

Исходное сообщение
"IPSec site2site + ISA nat" Отправлено Евгений, 25-Мрт-10 13:34
Добрый день. Есть необходимость реализовать следующую схему: LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- Cisco ----- LAN 192.168.100.0/24 Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825. Задача вроде бы тривиальна, но получается все это запустить только по одиночке. Если не указывать строчку с ip nat inside ** то филиалы подключаются на "ура". Если включить эту строчку (ip nat inside ) компы из локальной сети выходят в инет, но сразу пропадает связь с филиалами. Если есть какие-либо идеи - welcome. Есть подозрение на access-lists. access-list 105 deny ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255 access-list 105 permit ip host 192.168.249.253 any access-list 105 deny ip any any access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15 access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15 route-map nonat permit 10 match ip address 105 ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat Заранее спасибо.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добрый день.

> Есть необходимость реализовать следующую схему:

> LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- 
> Cisco ----- LAN 192.168.100.0/24

> Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), 
> при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825. 
 
> Задача вроде бы тривиальна, но получается все это запустить только по одиночке. 
 
> Если не указывать строчку с ip nat inside **** то филиалы подключаются 
> на "ура". Если включить эту строчку (ip nat inside **) компы 
> из локальной сети выходят в инет, но сразу пропадает связь с 
> филиалами.
> Если есть какие-либо идеи - welcome.  Есть подозрение на access-lists.

> access-list 105 deny   ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255 
> access-list 105 deny   ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255 
> access-list 105 permit ip host 192.168.249.253 any 
> access-list 105 deny   ip any any

> access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15 
> access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15

> route-map nonat permit 10 
>  match ip address 105

> ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat

> Заранее спасибо.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру