форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с организацией NAT на PIX"

Сообщение от deMan (??) on 08-Ноя-06, 15:28

Добрый день. Организована сеть с такой схемой: Lan A==Tunnel1===PIX<--LanB-->Cisco==Tunnel2===LanC Настроить схему так чтоб сеть А видела сеть С удалось. Но мне нужно сделать так чтоб такеты с сети А (лии любого хоста этой сети) направляемые в сеть С натились PIX-ом перед отправкой на Cisco для передачи их в сеть С (или на хост...). Пробую конструкции: static (inside,outside) IP inside PIX access-list {permit ip Lan A LanC}, без результатов. Подскажите возможно ли вообще так NAT-ть, a если да то на правильном ли я пути (static)? Благодарен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Проблема с организацией NAT на PIX"

Сообщение от Basil (??) on 08-Ноя-06, 15:59

> Добрый день. > Организована сеть с такой схемой: >Lan A==Tunnel1===PIX<--LanB-->Cisco==Tunnel2===LanC > Настроить схему так чтоб сеть А видела сеть С удалось. Но >мне нужно сделать так чтоб такеты с сети А (лии любого >хоста этой сети) направляемые в сеть С натились PIX-ом перед отправкой >на Cisco для передачи их в сеть С (или на хост...). > > Пробую конструкции: > static (inside,outside) IP inside PIX access-list {permit ip Lan A LanC}, >без результатов. > Подскажите возможно ли вообще так NAT-ть, a если да то на >правильном ли я пути (static)? >Благодарен. Не уверен до конца, но человеку который этим занимался у нас, так и не далось реализовать одновременно Tunnell и NAT.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Проблема с организацией NAT на PIX"
	Сообщение от deMan (??) on 08-Ноя-06, 16:18
	> >Не уверен до конца, но человеку который этим занимался у нас, так >и не далось реализовать одновременно Tunnell и NAT. Вот что написано при попытке открыть телнет сесию: %PIX-3-305005: No translation group found for tcp src outside:host LanA/33392 dst inside:host LanC/23 Если я зделаю соответствующую запись в nonat ACL то пакеты без трансляции уйдут на Cisco где зашифруются и попадут в сеть С. Почему же здесь наприминим ststic?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Проблема с организацией NAT на PIX"
	Сообщение от lomo on 08-Ноя-06, 18:32
	Пользуйте policy nat. Примерно так: access-list nat-company1-company2 permit ip 172.27.1.0 255.255.255.0 host 192.168.129.232 nat (inside) 21 access-list nat-company1-company2 0 0 global (outside) 21 172.27.25.8 Т.е. все пакеты для хоста 192.168.129.232 из сети 172.27.1.0 255.255.255.0 будет транслированы с адреса 172.27.25.8/32. Посмотрите также на приоритеты NATа - что делается раньше. static, "nat (inside) 0" или "nat (inside) 21"..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Проблема с организацией NAT на PIX"
	Сообщение от deMan (??) on 08-Ноя-06, 18:55
	>Пользуйте policy nat. > >Примерно так: > >access-list nat-company1-company2 permit ip 172.27.1.0 255.255.255.0 host 192.168.129.232 >nat (inside) 21 access-list nat-company1-company2 0 0 >global (outside) 21 172.27.25.8 Не совсем уверен что nat (inside),global(outside) в моём случае приемлима так как пакеты идут из outside на inside интерфейс, а в таком случае нужен static? Хотя policy nat с помощью static можно делать. >Т.е. все пакеты для хоста 192.168.129.232 из сети 172.27.1.0 255.255.255.0 будет транслированы >с адреса 172.27.25.8/32. Ксиати 172.27.25.8 это адрес inside интерфейса? > >Посмотрите также на приоритеты NATа - что делается раньше. static, "nat (inside) >0" или "nat (inside) 21"..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]