Bonjour, Je ne sais pas ton objectif final donc voici une idée mais pas forcément adaptée mais relativement simple. VPN entre R1 et R2. Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait.
Xavier -----Message d'origine----- De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] Envoyé : vendredi 8 avril 2016 14:23 À : David Ponzone Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et vlan102 ca va passer ? NAT NVI je ne connais pas je vais regarder Google ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h13 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING. Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 > j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème > est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je > n'arrive pas à résoudre ça :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant > <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" > <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : > Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :----R1 => LAN_1 > > :----R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > inside/access-list. > > Une petite idée ? j'ai épuisé toute mes solutions... Merci !!!! > >ROUTEUR-TEST !!!! > > interface FastEthernet4 > > ip address 172.16.3.30 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > duplex auto > > speed auto > > ! > > interface Vlan1 > > ip address 1.1.1.100 255.255.255.128 ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip route 1.1.1.1 255.255.255.255 172.16.3.29 ip route 1.1.1.2 > >255.255.255.255 172.16.3.29 !!!! ROUTEUR-NAT !!!! > > interface Loopback0 > > ip address 1.1.1.1 255.255.255.255 > > ! > > interface Loopback1 > > ip address 1.1.1.2 255.255.255.255 > > ! > > interface FastEthernet0 > > description * UPLINK R1 * > > switchport access vlan 101 > > no ip address > > ! > > interface FastEthernet1 > > description * UPLINK R2 * > > switchport access vlan 102 > > no ip address > > ! > > interface FastEthernet4 > > description ** UPLINK ROUTEUR-TEST ** > > ip address 172.16.3.29 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface Vlan101 > > ip address 10.0.1.2 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > ! > > interface Vlan102 > > ip address 10.0.1.6 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip nat inside source list 101 interface Loopback0 overload ip nat > >inside source list 102 interface Loopback1 overload ip nat inside > >source static 10.0.1.1 1.1.1.1 extendable ip nat inside source > >static 10.0.1.5 1.1.1.2 extendable ip route 0.0.0.0 0.0.0.0 > >172.16.3.30 ! > > access-list 101 permit ip 10.0.1.0 0.0.0.3 any access-list 102 > >permit ip 10.0.1.4 0.0.0.3 any !!!! R1 !!!! > > ip dhcp pool LOCAL-192.168.1.0 > > network 192.168.1.0 255.255.255.0 > > default-router 192.168.1.254 > > domain-name lan1.local > > lease infinite > > ! > > ip cef > > no ip bootp server > > no ip domain lookup > > no ipv6 cef > > ! > > interface FastEthernet0/0 > > ip address 10.0.1.1 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface FastEthernet0/1 > > ip address 192.168.1.254 255.255.255.0 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > ip nat inside source list 101 interface FastEthernet0/0 overload ip > >nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 > >80 ip nat inside source static tcp 192.168.1.22 22 interface > >FastEthernet0/0 22 ip route 0.0.0.0 0.0.0.0 10.0.1.2 ! > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any !!!! R2 !!!! > > ip dhcp pool LOCAL-192.168.1.0 > > network 192.168.1.0 255.255.255.0 > > default-router 192.168.1.254 > > domain-name lan2.local > > lease infinite > > ! > > ip cef > > no ip bootp server > > no ip domain lookup > > no ipv6 cef > > ! > > interface FastEthernet0/0 > > ip address 10.0.1.5 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface FastEthernet0/1 > > ip address 192.168.1.254 255.255.255.0 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > ip nat inside source list 101 interface FastEthernet0/0 overload ip > >route 0.0.0.0 0.0.0.0 10.0.1.6 ! > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/<http://www.frnog.org/> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/<http://www.frnog.org/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
