NAT na cisco ruteru

[ Iznogud @ 04.09.2007. 09:46 ] @

Morao sam pokrenuti novu temu (zaista mi je hitno i moram da privucem paznju - ukoliko je problem neka moderator brise)
Dakle, veza je tipa:

LAN 192.168.100.0----R1----Frame relay---R2---LAN 10.202.4.0---PIX(VPN)------>serveri

Potrebno je da hostovi sa mreze 192.168.100.0 (putem frame relay) pristupe mrezi 10.202.4.0 a odatle preko VPN ka serverima. E sad, problem je sto na VPN mogu da izadju samo adrese iz opsega 10.202.4.0/24, Sto znaci da bih mora svaki zahtev sa 192.168.100.0 mreze nekako NAT-ovati na 10.202.4.0 mrezu.
Na kom ruteru to raditi (R1 ili R2) i kako to da izvedem, nisam nacisto sa komandama ip nat outside(inside) source(destination) - deluje mi zbunjujuce u mom slucaju. Ako neko moze neka mi napise konfig
Uradio sam sledece ali tu nesto ne valja.

Code:
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 10.202.4.8 255.255.252.0
ip nat outside <-------------------
duplex auto
speed auto
!
interface Serial0/0/0
bandwidth 2000
ip address 10.1.10.1 255.255.255.0
ip nat inside <-------------------
encapsulation frame-relay IETF
frame-relay interface-dlci 100
frame-relay lmi-type ansi
!
ip classless
ip route 192.168.100.0 255.255.255.0 10.1.10.2
!
ip http server
ip http access-class 23
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool MOJNAT 10.202.4.20 10.202.4.23 netmask 255.255.255.0 <-------------------
ip nat outside source list 20 pool MOJNAT overload <-------------------
!
access-list 20 permit any <-------------------
access-list 23 permit 10.202.4.0 0.0.0.255
!
control-plane

[ mod markom: code tagovi ]

_{[Ovu poruku je menjao markom dana 04.09.2007. u 11:44 GMT+1]}

[ Iznogud @ 05.09.2007. 22:03 ] @

Resio sam, NAT treba konfigurisati na ruteru R2 tako da serial bude inside a fastethernet outside i tj:

Code:

interface FastEthernet0/0
description LAN1
ip address 10.202.4.8 255.255.252.0
ip nat outside    <-----------------
duplex auto
speed auto
!
interface Serial0/0/0
bandwidth 2000
ip address 10.1.10.1 255.255.255.0
ip nat inside     <-----------------
encapsulation frame-relay IETF
frame-relay interface-dlci 100
frame-relay lmi-type ansi
.........
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 20 interface FastEthernet0/0 overload   <-----------------
!
access-list 20 permit 192.168.100.0 0.0.0.255 <-----------------
access-list 20 permit 10.1.10.0 0.0.0.255    <-----------------
access-list 23 permit 10.202.4.0 0.0.0.255
!
control-plane

Ali....
Potrebno mi je da imam potpunu kontrolu nad mrezom koju NAT-ujem (192.168.100.0/24), tj da mogu pristupati racunarima na toj mrezi, VNC, remote desktop...file share... iz mreze 10.202.4.0/24.
Za sad mi radi ping ka 192.168.100.0/24 ali ne i pristup fajlovma, VNC remote....
U cemu je tu caka ? Da li NAT to onemogucava, ili je problem u access listama koje treba dodati za neke servise...?
Pomagajte....

[ optix @ 05.09.2007. 22:27 ] @

Moze i na R1 ruteru, samo bi onda morao imati na R2 staticke rute kako bi se paketi ispravno vracali, a ne zavrsavali na fa0/0.

NAT ti pravi problem sa pristupom racunarima unutar 192.168.100.0/24, koliko mogu da vidim. Moras napraviti staticku translaciju ili za tacno odredjene portove/racunare cije servise hoces da kontaktiras, ili za sve portove jedne adrese - 1:1 NAT - npr. 192.168.100.2 ce se staticki prevoditi u 10.202.4.22 i onda koristi ovu drugu adresu.

[ Iznogud @ 06.09.2007. 07:39 ] @

Citat:

optix:
.....Moras napraviti staticku translaciju ili za tacno odredjene portove/racunare cije servise hoces da kontaktiras, ili za sve portove jedne adrese - 1:1 NAT - npr. 192.168.100.2 ce se staticki prevoditi u 10.202.4.22 i onda koristi ovu drugu adresu.

Pa nije mi bas naj jasnije.
Na ruteru R2 se vrsi NATovanje (opsega 192.168.100.0), u njegov IP 10.202.4.8 (fa0/0). Ne razumem, kako da prvo 192.168.100.2 prevedem u 10.202.4.22 a onda u 10.202.4.8 (fa0/0) i na kom ruteru to uraditi? Kako se to radi?

[ optix @ 06.09.2007. 17:34 ] @

Na R2 uneses staticku IP translaciju:

Code:

ip nat inside source static 192.168.100.2 10.202.4.22

Sada bi trebalo (ako nesto nisam prevideo

) da pristupas bilo kom servisu na 192.168.100.2 preko 10.202.4.22.

[ Iznogud @ 06.09.2007. 20:39 ] @

Da, tako bi moglo ali problem moze biti jer bi morao staticki natovati sve racunare u mrezi 192.168.100.0.
Nasao sam drugo resenje.
Naime, centralni problem je bio da racunari iz opsega 192.168.100.0 moraju pristupati mrezi 10.202.4.0 a preko nje VPN-om do servera stim da VPN pusta samo opseg 10.202.4.0. S druge strane, meni je potrebno da mogu remote da upravljam racunarima u 192.168.100.0 opsegu iz mreze 10.202.4.0, ali naravno ako se radi NAT (dinamicki) to nije moguce.
Resenje je sledece:
umesto standardne access liste uzeo sam extended access listu i rekoa:samo zahtevi prema serverima koji su u VPN-u se NAT-uju, ostalo nema potrebe. Tj:

Code:
access-list 101 permit tcp 192.168.100.0 0.0.0.255 192.168.240.0 0.0.0.255

gde je opseg 192.168.240.0 opseg u VPN mrezi gde su serveri.

Naravno, dalje vazi za fastethernet0:

Code:
interface FastEthernet0/0
description LAN u mrezi
ip address 10.202.4.8 255.255.252.0
ip nat outside <--------------------------

Za Serial 0:

Code:
interface Serial0/0/0
description Frame Relay
ip address 10.1.10.1 255.255.255.0
ip nat inside <-----------------------

I naravno NAT-ovanje:

Code:
ip nat inside source list 101 interface FastEthernet0/0 overload

Funkcionise bez problema.
Mozda jos nekom posluzi..........