Salut,
Sans les confs difficiles d'être précis mais...
Le 21/07/2016 à 13:06, Antoine Durant a écrit :
Bonjour,
Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le
résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que
je rajoute une règle ip nat Inside sur le site distant.
Ton NAT sur site 2, c'est du PAT sur l'interface outside pour le trafic
Web ?
Le VPN est traité par crypto map ou via interface VTI ?
Sauf erreur, avec des crypto map, le NAT in->out s'applique avant le
tunneling :
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html
=> tu dois exclure du NAT le trafic qui est sensé passer par le tunnel.
Tu le fais sur site 1 mais il faut aussi le faire sur site 2 je pense.
Dans l'idée à minima :
ip access-list extended RM2
deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
permit ip any any
A+
En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs
et pas en passant par le vpn.
Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan
interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x)
lorsque j'active la règle ip nat je ne peux pas utiliser le service web
(172.16.1.33).
J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas
mieux depuis le site 2 :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1
extendable
ip access-list extended RM1
deny ip 172.16.0.0 0.0.255.255 any
permit ip any any
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Jérôme BERTHIER
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
