Vpn

涉及 VPN 的 IOS 埠轉發和 NAT

  • April 4, 2013

我們的一個分支機構有一台執行 IOS 15.1 的 Cisco 1921 路由器,它通過 L2L IPsec VPN 連接到我們總部執行 ASA 8.2 的 ASA5510。

網路看起來像這樣:

192.168.14.0/24 - RT - 網際網路 - ASA - 192.168.10.0/24
|----L2L VPN----|

RT 已配置 NAT 以讓那裡的本地使用者訪問 Internet。配置如下所示:

加密 isakmp 策略 10
增加
認證預共享
第 2 組
加密 isakmp 密鑰 SECRETKEY 地址 HQ_ASA_IP
!
!
加密 ipsec 轉換集 ESP-AES-SHA esp-aes esp-sha-hmac
!
加密映射 outside_map 10 ipsec-isakmp
設置對等 HQ_ASA_IP
設置轉換集 ESP-AES-SHA
匹配地址 120
!


介面 GigabitEthernet0/0
ip地址192.168.14.252 255.255.255.0
ip nat 裡面
ip 虛擬重組
雙面自動
速度自動
沒有啟用拖把
!

介面撥號器0
男人1492
協商的ip地址
ip 訪問組 101 在
ip nat 外面
ip 虛擬重組
封裝ppp
ip tcp 調整-mss 1452
撥號池 1
撥號器組 1
ppp 身份驗證 chap callin
ppp chap 主機名 SECRETUSERNAME
ppp chap 密碼 0 SECRETPASSWORD
ppp pap sent-username SECRETUSERNAME 密碼 0 SECRETPASSWORD
加密地圖 outside_map
!

ip nat inside source route-map nonat interface Dialer0 過載

路線圖 nonat 許可 10
匹配ip地址110
!

訪問列表 110 拒絕 ip 192.168.8.0 0.0.7.255 192.168.8.0 0.0.7.255
訪問列表 110 允許 ip 192.168.14.0 0.0.0.255 任何
訪問列表 120 許可 ip 192.168.14.0 0.0.0.255 192.168.8.0 0.0.7.255
訪問列表 120 許可 ip 192.168.8.0 0.0.7.255 192.168.14.0 0.0.0.255

現在我們有一個服務需要在 192.168.14.0/24 網路中的一個主機上從 Internet 訪問,並使用以下命令配置了埠轉發:

ip nat inside source static tcp 192.168.14.7 8181 EXT_IP 31337 可擴展

轉發工作,服務可以通過 EXT_IP:1337 訪問,但我們不能再通過 VPN 從 192.168.10.0/24 網路訪問 192.168.14.7:8181,而在轉發到位之前這工作得很好。

任何關於我缺少什麼或為什麼會以這種方式表現的任何提示都將非常感激。

這是您面臨的問題的一個很好的寫法:

https://supportforums.cisco.com/docs/DOC-5061

引用自:https://serverfault.com/questions/495730