DuneX 10 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Hallo, Hat jemand vielleicht eine Idee wie ich das NAT erzwingen kann. Hintergrund ist das die FW nur bestimmte IP Addressen zu läßt und ich ein Teilnetz anbinden soll. Ich kann leider nicht im Backbone NATen, da dort 3560er sind. Aus diesem Grund muss ich den Umweg über einen 28er Router machen. Und bei dem liegt das Problem. Ich leite den Traffic vom Backbone per Route-Map auf den Router um der dort auch ankommt. Auf diesem Trunk liegen noch weitere VLANs an. In einem "transfer VLAN" wird OSPF gesprochen und dort das Netz Richtung FW und die Zeilnetze dahinter bekannt gegeben. Nun steht ein SubInt in einem Teilnetz das über die FW kommt. Über dieses Interface soll bestimmter Traffic geNATet werden um druch die FW zu kommen. Ich vermute nun, dass der Traffic gleich wieder über das "transfer VLAN" zurück geschickt wird. Mit einer statischen Route hatte ich leider keinen Erfolg. Interface-Teilkonfig: FastEthernet0/1 no ip address duplex auto speed auto FastEthernet0/1.10 <- traffic soll über dieses Interface genatet werden und ann über VLAN 70 zurück encapsulation dot1Q 10 ip addess 10.1.1.10 255.255.255.0 ip nat outside ip virtual-reassembly in FastEthernet0/1.70 <- transfer VLAN encapsulation dot1Q 70 ip addess 172.18.0.2 255.255.255.252 ip nat inside ip virtual-reassembly in ip ospf 1 area 0 Grüße Dune Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Ich habs zwar nich ganz geschnallt aber: Wird das Zielnet mit "sh ip route" ueber das korrekte Interface geroutet? Passt die ACL fuer das NAT? Was steht in "sh ip nat transl"? Zitieren Link zu diesem Kommentar
DuneX 10 Geschrieben 24. Mai 2011 Autor Melden Teilen Geschrieben 24. Mai 2011 Hi, sh ip route ip vom proxy zeigt auf VLAN 70 d.h. auf 172.18.0.1 somit schickt er's direckt wieder übers VL70 zurück ohne es zu NATen. bei ip nat translastion - steht nix Mein Problem ist nun das ich die nicht gerouteten Netze NATen muss um über die FW in die weiteren Netze zu kommen. Vom meinem Verständnis her sollte das nur mit eine static route oder vielleicht mit einer weiteren route-map auf dem router hier gehen. Oder liege ich damit falsch? Grüße Dune Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Wie sieht denn deine NAT ACL aus? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 So richtig verstehe ich noch nicht wie das aufgebaut sein soll - Traffik kommt über das VLAN 10 in den 28er - soll dann "genatted" werden (auf was ?) und dann über VLAN 70 wieder den Router verlassen ? So lese ich die Config. Dann wären die NAT Statements jedenfalls vertauscht - da ja V70 Outside somit ist. Bitte gib mal die NAT und ACL Rule daszu... und sag ob ich es richtig verstanden habe. Gib auch mal dein "show ip route" des 28er und beschreibe von wo das Paket kommt und wohin (ip) es will... Zitieren Link zu diesem Kommentar
DuneX 10 Geschrieben 25. Mai 2011 Autor Melden Teilen Geschrieben 25. Mai 2011 Hallo, ich hab den Fehler gefunden, es lag an einer distribute-list out im OSPF. Nun geht alles so wie's soll. @blackbox Habs grad gesehen. Ich hab's unglücklich beschrieben. Die zu übersetzenden Packte kommen über VLAN 70 rein und gehen über VLAN 10 genatet wieder aus. Das alles läuft über einen Trunkport der beide VLAN beinhaltet. Die Lösung ist nicht schön aber leider im Moment nicht besser lösbar für mich. Vielen Dank Euch Beiden Grüße Dune Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.