Tu dois surtout ajouter de quoi nater le trafic qui va de vlan101 vers vlan102!
> Le 8 avr. 2016 à 17:20, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > En fait ip nat enable n'est pas si magique que ça... > > Sur ROUTEUR-NAT j'ai bien activé "ip nat enable" sur toute les interfaces en > lieu et place des Inside/outside > > J'ai changé les access-list ansi que ip nat Inside par : > > ip nat source list 10 interface FastEthernet4 overload > ip nat source static 10.0.1.1 1.1.1.1 extendable > ip nat source static 10.0.1.5 1.1.1.2 extendable > access-list 10 permit 10.0.1.4 0.0.0.3 > > Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je > peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102 > > Est-ce que j'ai un problème dans mon access-list/ip nat source ? > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 14h29 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside > en plus. > C’est justement là qu’il faut utiliser le NAT NVI et son: > ip nat enable > magique. > > Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention… > > Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas > sur ASR par exemple). > > > > > Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre > > vlan101 et vlan102 ca va passer ? > > > > NAT NVI je ne connais pas je vais regarder Google ! > > > > > > De : David Ponzone <david.ponz...@gmail.com > > <mailto:david.ponz...@gmail.com>> > > À : Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> > > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" > > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>> > > Envoyé le : Vendredi 8 avril 2016 14h13 > > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > > > Ton problème est vieux comme le monde :) > > Ca s’appelle le NAT HAIRPINNING. > > > > Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de > > NAT 1-to-1: > > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > > L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). > > l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son > > tour va le modifier en 192.168.1.1 (server0). > > Le paquet retour va partir de 192.168.1.1 (server0) à destination de > > 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. > > Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de > > VLAN101 vers VLAN102. > > Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait > > envoyé un paquet à 1.1.1.1. > > > > En fait, c’est le problème fondamental qui consiste à accéder à une IP > > publique qui donne accès à une ressource interne grâce à du NAT, en étant > > soi-même pas de l’autre côté du NAT, mais en interne. > > > > Prends de l’aspirine et: > > > > https://supportforums.cisco.com/discussion/12102421/nat-hairpinning > > <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning><https://supportforums.cisco.com/discussion/12102421/nat-hairpinning > > <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>> > > > > Pour moi tu as 2 solutions: > > -DNS split-horizon > > -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu > > d’aspirine pour par pondre une grosse bouse > > > > > > > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr > > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr > > > <mailto:antoine.duran...@yahoo.fr>>> a écrit : > > > > > > Bonjour David, > > > > > > Je comprend ta remarque et me doute bien que vous avez tous des > > > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse > > > à frnog pour avoir un coup de pouce... > > > > > > Voici le schéma : http://hpics.li/82254e6 > > > <http://hpics.li/82254e6><http://hpics.li/82254e6 > > > <http://hpics.li/82254e6>><http://hpics.li/82254e6 > > > <http://hpics.li/82254e6><http://hpics.li/82254e6 > > > <http://hpics.li/82254e6>>> > > > > > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur > > > 192.168.1.1 connecté derrière R1, donc le NAT/access-list fonctionne. > > > > > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > > > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon > > > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à > > > résoudre ça :( > > > > > > Merci d'avance à tous. > > > > > > > > > > > > De : David Ponzone <david.ponz...@gmail.com > > > <mailto:david.ponz...@gmail.com> <mailto:david.ponz...@gmail.com > > > <mailto:david.ponz...@gmail.com>>> > > > À : Antoine Durant <antoine.duran...@yahoo.fr > > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr > > > <mailto:antoine.duran...@yahoo.fr>>> > > > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> > > > <mailto:frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>" > > > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org> > > > <mailto:frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>> > > > Envoyé le : Vendredi 8 avril 2016 12h48 > > > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > > > > > Antoine, > > > > > > je pense que plusieurs sur cette liste pourront te régler ce problème en > > > 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou > > > pas de patron, mais des clients et une femme, ou pas de patron, pas de > > > femme, pas de clients, mais un banquier, etc….) et donc s’il faut se > > > plonger dans tes confs pour comprendre l’archi, ça prend tout de suite un > > > peu plus de temps. > > > > > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un > > > petit schéma par exemple ? > > > > > > > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr > > > > <mailto:antoine.duran...@yahoo.fr>> <mailto:antoine.duran...@yahoo.fr > > > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr > > > > <mailto:antoine.duran...@yahoo.fr>>>> a écrit : > > > > > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > > > routeurs pour le test : > > > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > > > : > > > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > > > :----R1 => LAN_1 > > > > :----R2 => LAN_2 > > > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 > > > > qui doit sortir via 1.1.1.2. > > > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip > > > > nat inside/access-list. > > > > Une petite idée ? j'ai épuisé toute mes solutions... Merci > > > > !!!! ROUTEUR-TEST !!!! > > > > interface FastEthernet4 > > > > ip address 172.16.3.30 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > duplex auto > > > > speed auto > > > > ! > > > > interface Vlan1 > > > > ip address 1.1.1.100 255.255.255.128 > > > > ! > > > > ip forward-protocol nd > > > > no ip http server > > > > no ip http secure-server > > > > ! > > > > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > > > > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > > > > !!!! ROUTEUR-NAT !!!! > > > > interface Loopback0 > > > > ip address 1.1.1.1 255.255.255.255 > > > > ! > > > > interface Loopback1 > > > > ip address 1.1.1.2 255.255.255.255 > > > > ! > > > > interface FastEthernet0 > > > > description * UPLINK R1 * > > > > switchport access vlan 101 > > > > no ip address > > > > ! > > > > interface FastEthernet1 > > > > description * UPLINK R2 * > > > > switchport access vlan 102 > > > > no ip address > > > > ! > > > > interface FastEthernet4 > > > > description ** UPLINK ROUTEUR-TEST ** > > > > ip address 172.16.3.29 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat outside > > > > ip virtual-reassembly in > > > > duplex auto > > > > speed auto > > > > ! > > > > interface Vlan101 > > > > ip address 10.0.1.2 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat inside > > > > ip virtual-reassembly in > > > > ! > > > > interface Vlan102 > > > > ip address 10.0.1.6 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat inside > > > > ip virtual-reassembly in > > > > ! > > > > ip forward-protocol nd > > > > no ip http server > > > > no ip http secure-server > > > > ! > > > > ip nat inside source list 101 interface Loopback0 overload > > > > ip nat inside source list 102 interface Loopback1 overload > > > > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > > > > ip nat inside source static 10.0.1.5 1.1.1.2 extendable > > > > ip route 0.0.0.0 0.0.0.0 172.16.3.30 > > > > ! > > > > access-list 101 permit ip 10.0.1.0 0.0.0.3 any > > > > access-list 102 permit ip 10.0.1.4 0.0.0.3 any > > > > !!!! R1 !!!! > > > > ip dhcp pool LOCAL-192.168.1.0 > > > > network 192.168.1.0 255.255.255.0 > > > > default-router 192.168.1.254 > > > > domain-name lan1.local > > > > lease infinite > > > > ! > > > > ip cef > > > > no ip bootp server > > > > no ip domain lookup > > > > no ipv6 cef > > > > ! > > > > interface FastEthernet0/0 > > > > ip address 10.0.1.1 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat outside > > > > ip virtual-reassembly in > > > > duplex auto > > > > speed auto > > > > ! > > > > interface FastEthernet0/1 > > > > ip address 192.168.1.254 255.255.255.0 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat inside > > > > ip virtual-reassembly in > > > > duplex auto > > > > speed auto > > > > ! > > > > ip nat inside source list 101 interface FastEthernet0/0 overload > > > > ip nat inside source static tcp 192.168.1.1 80 interface > > > > FastEthernet0/0 80 > > > > ip nat inside source static tcp 192.168.1.22 22 interface > > > > FastEthernet0/0 22 > > > > ip route 0.0.0.0 0.0.0.0 10.0.1.2 > > > > ! > > > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > > > !!!! R2 !!!! > > > > ip dhcp pool LOCAL-192.168.1.0 > > > > network 192.168.1.0 255.255.255.0 > > > > default-router 192.168.1.254 > > > > domain-name lan2.local > > > > lease infinite > > > > ! > > > > ip cef > > > > no ip bootp server > > > > no ip domain lookup > > > > no ipv6 cef > > > > ! > > > > interface FastEthernet0/0 > > > > ip address 10.0.1.5 255.255.255.252 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat outside > > > > ip virtual-reassembly in > > > > duplex auto > > > > speed auto > > > > ! > > > > interface FastEthernet0/1 > > > > ip address 192.168.1.254 255.255.255.0 > > > > no ip redirects > > > > no ip unreachables > > > > no ip proxy-arp > > > > ip nat inside > > > > ip virtual-reassembly in > > > > duplex auto > > > > speed auto > > > > ! > > > > ip nat inside source list 101 interface FastEthernet0/0 overload > > > > ip route 0.0.0.0 0.0.0.0 10.0.1.6 > > > > ! > > > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > > > > > > > > > > --------------------------- > > > > Liste de diffusion du FRnOG > > > > http://www.frnog.org/ <http://www.frnog.org/><http://www.frnog.org/ > > > > <http://www.frnog.org/>><http://www.frnog.org/ > > > > <http://www.frnog.org/><http://www.frnog.org/ <http://www.frnog.org/>>> > > > > > > > > > > > > --------------------------- > > > Liste de diffusion du FRnOG > > > http://www.frnog.org/ <http://www.frnog.org/><http://www.frnog.org/ > > > <http://www.frnog.org/>><http://www.frnog.org/ > > > <http://www.frnog.org/><http://www.frnog.org/ <http://www.frnog.org/>>> > > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/><http://www.frnog.org/ > > <http://www.frnog.org/>> > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
