DocZenith 12 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Hallo Cisco Fans! :-) Ich steh vor einem evtl. kleinen Problem. Ich habe ein Router der mehrere IPSec Verbindungen zu verschiedenen Standorten aufbaut, alles über das selbe Ausgangsinterface. Nun soll eine weitere IPSec Verbindung hinzukommen. Hier müssen aber zwingend vorher die IP Adressen auf einen anderen Adressbereich genattet werden, bevor sie durch die IPSec Verbindung gehen. Es betrifft meherere interne Subnetze, die mit verschiedenen VPNs kommunizieren. Ich weiß nicht so genau, wie ich das realisiere. Von der Config her weniger ein Problem. Nur an welches Interface hänge ich den Befehl "ip nat outside"? Wenn ich den Befehl an das normale Ausgangsinterface hänge, befürchte ich, dass mehr genattet wird, als sollte. Ich spiele mit dem Gedanken, GRE Tunnels einzusetzen, und es damit zu testen. Ich würde den NAT Befehl an einen GRE Tunnel hängen. Ist das die richtige Lösung, oder gibt es etwas einfacheres? Gruß. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 8. März 2010 Melden Teilen Geschrieben 8. März 2010 Hallo, du machst es eigentlich "genauso" wie sonst auch - du legst ein NATPool an der halt nur die "eine" Adresse hat (sowie er rausgehen soll) und dann NATTEST du den Traffik per ACL Definition auf diese IP. Für diese IP und das Netz der gegenseite definierst du den IPSEC Trafiik. Hier mal ein Beispiel für NAT auf eine IP ip nat pool nat1pool 192.168.17.203 192.168.17.203 netmask 255.255.255.0 ip nat inside source list 100 pool nat1pool overload access-list 100 permit ip any 192.168.100.0 0.0.0.255 Hier sollen die IP´s die von innen (any) und nach 192.168.100.0/24 gehen auf die 192.168.17.203 genatted werden. Danach kannst du dann einen VPN IPSec Traffik für 192.168.17.203/32 <-> 192.168.100.0/24 definieren. Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 9. März 2010 Autor Melden Teilen Geschrieben 9. März 2010 Hallo blackbox, danke erstmal für die Antwort. Soweit ist das korrekt wie du es schreibst. Nur was ist mit der Schnittstellendefinition von IP NAT INSIDE und IP NAT OUTSIDE? Kann ich diese bedenkenlos an meine Internetschnittstelle, wo auch der VPN Traffic drüber läuft sowie an meine interne Schnittstelle anhängen? Gruß. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 jau das kannst du genau da dran tun. Zitieren Link zu diesem Kommentar
DocZenith 12 Geschrieben 9. März 2010 Autor Melden Teilen Geschrieben 9. März 2010 jepp, funktioniert. Vielen Dank. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 9. März 2010 Melden Teilen Geschrieben 9. März 2010 Bitte gerngeschehen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.