VPN, access-list, no nat

[hegl]

Hallo,

freut mich dabei sein zu können und vielleicht demnächst auch den ein- oder anderen Beitrag zu leisten.

Jetzt aber erst mal zu meinem Problem: Ich habe auf einer PIX für unsere Mobil-User IP-Sec konfiguriert. Dabei habe ich als nat0 eine access-list generiert, die den Zugriff auf bestimmte Server erlaubt.
Jetzt möchte ich einem "Externen" ebenfalls per IP-Sec den Zugriff auf nur einen bestimmten Server zulassen. Dazu wollte ich halt eine zweite access-list generieren, die ich auch mit nat0 verknüpfe. Leider wird dabei der erste nat0-Eintrag gelöscht.
Wie komme ich aus der Nummer raus?

Hier nochmal wie ich mir das vorgestellt habe:

access-list 100 permit ip 192.168.1.0 255.255.255.224 10.10.10.0 255.255.255.224
access-list 101 permit ip 192.168.1.33 255.255.255.255 10.10.10.33 255.255.255.255
nat (inside) 0 access-list 100
nat (inside) 0 access-list 101

wie gesagt, gebe ich das zweite nat-command ein, ist das Erste weg

Vielen Dank

[rblasey]

nur eine acl per nat -Kontext. Gehts nicht so

nat (inside) 0 access-list 100
nat (inside) 1 access-list 101 ?

gruss
Robert

[hegl]

Hallo Robert,

so wie ich es verstehe kann ich ja kein nat verwenden - also nat (inside) 0.
Sobald ich also nat (inside) 1 setze, mache ich natting, oder sehe ich das falsch?

Gruß
Helmut

[Wurstbläser]

ganz richtig ..

warum ist Deine ACL 101 nicht einfach ein ACE in Deiner ACL 100?

access-list 100 permit ip 192.168.1.0 255.255.255.224 10.10.10.0 255.255.255.224
access-list 100 permit ip 192.168.1.33 255.255.255.255 10.10.10.33 255.255.255.255
nat (inside) 0 access-list 100

würde es doch auch tun?

[hegl]

@wurstbläser

oh je, da steht man(n) vor dem wald und sieht die bäume nicht.

na klar, so geht´s. besten dank!