En fait ip nat enable n'est pas si magique que ça... Sur ROUTEUR-NAT j'ai bien
activé "ip nat enable" sur toute les interfaces en lieu et place des
Inside/outside
J'ai changé les access-list ansi que ip nat Inside par :
ip nat source list 10 interface FastEthernet4 overloadip nat source static
10.0.1.1 1.1.1.1 extendable
ip nat source static 10.0.1.5 1.1.1.2 extendableaccess-list 10 permit 10.0.1.4
0.0.0.3
Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je
peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102
Est-ce que j'ai un problème dans mon access-list/ip nat source ?
De : David Ponzone <david.ponz...@gmail.com>
À : Antoine Durant <antoine.duran...@yahoo.fr>
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
Envoyé le : Vendredi 8 avril 2016 14h29
Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en
plus.
C’est justement là qu’il faut utiliser le NAT NVI et son:
ip nat enable
magique.
Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…
Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur
ASR par exemple).
> Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
>
> J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101
> et vlan102 ca va passer ?
>
> NAT NVI je ne connais pas je vais regarder Google !
>
>
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr>
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 14h13
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>
> Ton problème est vieux comme le monde :)
> Ca s’appelle le NAT HAIRPINNING.
>
> Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT
> 1-to-1:
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour
> va le modifier en 192.168.1.1 (server0).
> Le paquet retour va partir de 192.168.1.1 (server0) à destination de
> 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de
> VLAN101 vers VLAN102.
> Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait
> envoyé un paquet à 1.1.1.1.
>
> En fait, c’est le problème fondamental qui consiste à accéder à une IP
> publique qui donne accès à une ressource interne grâce à du NAT, en étant
> soi-même pas de l’autre côté du NAT, mais en interne.
>
> Prends de l’aspirine et:
>
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
>
> Pour moi tu as 2 solutions:
> -DNS split-horizon
> -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu
> d’aspirine pour par pondre une grosse bouse
>
>
> > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> >
> > Bonjour David,
> >
> > Je comprend ta remarque et me doute bien que vous avez tous des
> > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à
> > frnog pour avoir un coup de pouce...
> >
> > Voici le schéma :
> > http://hpics.li/82254e6<http://hpics.li/82254e6><http://hpics.li/82254e6<http://hpics.li/82254e6>>
> >
> > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1
> > connecté derrière R1, donc le NAT/access-list fonctionne.
> >
> > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye
> > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon
> > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à
> > résoudre ça :(
> >
> > Merci d'avance à tous.
> >
> >
> >
> > De : David Ponzone <david.ponz...@gmail.com
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr
> > <mailto:antoine.duran...@yahoo.fr>>
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>"
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 12h48
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> >
> > Antoine,
> >
> > je pense que plusieurs sur cette liste pourront te régler ce problème en
> > 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas
> > de patron, mais des clients et une femme, ou pas de patron, pas de femme,
> > pas de clients, mais un banquier, etc….) et donc s’il faut se plonger dans
> > tes confs pour comprendre l’archi, ça prend tout de suite un peu plus de
> > temps.
> >
> > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit
> > schéma par exemple ?
> >
> >
> > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr
> > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr
> > > <mailto:antoine.duran...@yahoo.fr>>> a écrit :
> > >
> > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4
> > > routeurs pour le test :
> > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > > :
> > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > > :----R1 => LAN_1
> > > :----R2 => LAN_2
> > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au
> > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je
> > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui
> > > doit sortir via 1.1.1.2.
> > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip
> > > nat inside/access-list.
> > > Une petite idée ? j'ai épuisé toute mes solutions... Merci
> > > !!!! ROUTEUR-TEST !!!!
> > > interface FastEthernet4
> > > ip address 172.16.3.30 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > duplex auto
> > > speed auto
> > > !
> > > interface Vlan1
> > > ip address 1.1.1.100 255.255.255.128
> > > !
> > > ip forward-protocol nd
> > > no ip http server
> > > no ip http secure-server
> > > !
> > > ip route 1.1.1.1 255.255.255.255 172.16.3.29
> > > ip route 1.1.1.2 255.255.255.255 172.16.3.29
> > > !!!! ROUTEUR-NAT !!!!
> > > interface Loopback0
> > > ip address 1.1.1.1 255.255.255.255
> > > !
> > > interface Loopback1
> > > ip address 1.1.1.2 255.255.255.255
> > > !
> > > interface FastEthernet0
> > > description * UPLINK R1 *
> > > switchport access vlan 101
> > > no ip address
> > > !
> > > interface FastEthernet1
> > > description * UPLINK R2 *
> > > switchport access vlan 102
> > > no ip address
> > > !
> > > interface FastEthernet4
> > > description ** UPLINK ROUTEUR-TEST **
> > > ip address 172.16.3.29 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat outside
> > > ip virtual-reassembly in
> > > duplex auto
> > > speed auto
> > > !
> > > interface Vlan101
> > > ip address 10.0.1.2 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat inside
> > > ip virtual-reassembly in
> > > !
> > > interface Vlan102
> > > ip address 10.0.1.6 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat inside
> > > ip virtual-reassembly in
> > > !
> > > ip forward-protocol nd
> > > no ip http server
> > > no ip http secure-server
> > > !
> > > ip nat inside source list 101 interface Loopback0 overload
> > > ip nat inside source list 102 interface Loopback1 overload
> > > ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> > > ip nat inside source static 10.0.1.5 1.1.1.2 extendable
> > > ip route 0.0.0.0 0.0.0.0 172.16.3.30
> > > !
> > > access-list 101 permit ip 10.0.1.0 0.0.0.3 any
> > > access-list 102 permit ip 10.0.1.4 0.0.0.3 any
> > > !!!! R1 !!!!
> > > ip dhcp pool LOCAL-192.168.1.0
> > > network 192.168.1.0 255.255.255.0
> > > default-router 192.168.1.254
> > > domain-name lan1.local
> > > lease infinite
> > > !
> > > ip cef
> > > no ip bootp server
> > > no ip domain lookup
> > > no ipv6 cef
> > > !
> > > interface FastEthernet0/0
> > > ip address 10.0.1.1 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat outside
> > > ip virtual-reassembly in
> > > duplex auto
> > > speed auto
> > > !
> > > interface FastEthernet0/1
> > > ip address 192.168.1.254 255.255.255.0
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat inside
> > > ip virtual-reassembly in
> > > duplex auto
> > > speed auto
> > > !
> > > ip nat inside source list 101 interface FastEthernet0/0 overload
> > > ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0
> > > 80
> > > ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0
> > > 22
> > > ip route 0.0.0.0 0.0.0.0 10.0.1.2
> > > !
> > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> > > !!!! R2 !!!!
> > > ip dhcp pool LOCAL-192.168.1.0
> > > network 192.168.1.0 255.255.255.0
> > > default-router 192.168.1.254
> > > domain-name lan2.local
> > > lease infinite
> > > !
> > > ip cef
> > > no ip bootp server
> > > no ip domain lookup
> > > no ipv6 cef
> > > !
> > > interface FastEthernet0/0
> > > ip address 10.0.1.5 255.255.255.252
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat outside
> > > ip virtual-reassembly in
> > > duplex auto
> > > speed auto
> > > !
> > > interface FastEthernet0/1
> > > ip address 192.168.1.254 255.255.255.0
> > > no ip redirects
> > > no ip unreachables
> > > no ip proxy-arp
> > > ip nat inside
> > > ip virtual-reassembly in
> > > duplex auto
> > > speed auto
> > > !
> > > ip nat inside source list 101 interface FastEthernet0/0 overload
> > > ip route 0.0.0.0 0.0.0.0 10.0.1.6
> > > !
> > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> >
> > >
> > > ---------------------------
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/<http://www.frnog.org/><http://www.frnog.org/<http://www.frnog.org/>>
>
> >
> >
> > ---------------------------
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/<http://www.frnog.org/><http://www.frnog.org/<http://www.frnog.org/>>
> >
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/<http://www.frnog.org/>
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
