O Cisco IPSec, nat e o encaminhamento de porta não funcionam bem juntos

1

Eu tenho dois modems ADSL da Cisco configurados convencionalmente para ativar o tráfego interno para o ISP. Isso funciona.

Eu tenho dois encaminhamentos de porta em um deles para SMTP e IMAP de fora para dentro, isso fornece acesso externo ao servidor de e-mail. Isso funciona.

O modem que faz o encaminhamento de porta também encerra o tráfego VPN PPTP.

Existem dois servidores DNS, um dentro do escritório, que resolvem o e-mail para o endereço local, um fora do escritório, que resolve o correio para o resto do mundo para a interface externa. Isso tudo funciona.

Eu recentemente adicionei uma VPN IPSec entre os dois modems e que funciona para todas as coisas EXCETO conexões através da VPN IPSec para o servidor de email na porta 25 ou 143 de estações de trabalho na lan remota.

Parece que o modem com a porta está confundindo o tráfego do servidor de e-mail destinado a uma máquina no outro lado da VPN IPSec para o tráfego que deve voltar para uma conexão de encaminhamento de porta.

O tráfego PPTP VPN para o servidor de e-mail é bom.

Este é um cenário com o qual qualquer pessoa está familiarizada e há alguma sugestão sobre como lidar com isso?

Muito obrigado

Alan

Mas espere, há mais .....

Esta é a parte estratégica da configuração do nat. Um mapa de rotas é usado para excluir as lans que podem ser acessadas através dos túneis IPSec de serem Nated.

int ethernet0
  ip nat inside

int dialer1
  ip nat outside
  ip nat inside source route-map nonat interface Dialer1 overload

route-map nonat permit 10
  match ip address 105

access-list 105 remark *** Traffic to NAT
access-list 105 deny   ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 105 deny   ip 192.168.1.0 0.0.0.255 192.168.48.0 0.0.0.255
access-list 105 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source static tcp 192.168.1.241 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.241 143 interface Dialer1 143

Correndo o risco de responder minha própria pergunta, resolvi isso fora do reino da Cisco.

Eu limitei um endereço ip secundário ao servidor de e-mail 192.168.1.244, mudei a porta para usá-lo, deixando todo o tráfego local e IPSec para usar 192.168.1.241 e o problema foi resolvido.

Novo encaminhamento de porta.

ip nat inside source static tcp 192.168.1.244 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.244 143 interface Dialer1 143

Obviamente, esta é uma solução confusa e ser possível corrigir isso na Cisco seria preferível.

    
por Alan 18.04.2011 / 06:46

2 respostas

1

Parece-me que você tem isenção de nat para as redes internas de ambos os lados. Isso está correto?

Em caso afirmativo, crie um mapa de rotas para a porta e negue especificamente quando a origem for a rede remota.

    
por 18.04.2011 / 08:44
1

Eu já lutei com isso em muitas ocasiões e acabei com a mais simples das soluções ...

você tem que alterar a forma como os encaminhamentos de porta são aplicados em vez de vincular à interface externa, você vincula ao mapa de rotas. um pouco estranho porque isso não funciona, mas eu estou feliz de tê-lo consertado agora depois de uma enorme quantidade de arrasto na rede, essa foi a coisa mais próxima que eu encontrei para uma resposta!

Então, se você usar o seguinte código para o seu encaminhamento de porta, as coisas devem se comportar como esperado

ip nat inside source static tcp 192.168.1.241 25 <external-ip> 25 route-map nonat
ip nat inside source static tcp 192.168.1.241 143 <external-ip> 143 route-map nonat

O único problema com isso é que ele realmente não atende aos portfólios quando você tem um ip externo que é dinâmico - mas você não estaria fazendo VPNs ipsec então não deve afetar muitos!

    
por 10.11.2011 / 18:30