VPN, access-list, no nat

[hegl 10]

Hallo,

 

freut mich dabei sein zu können und vielleicht demnächst auch den ein- oder anderen Beitrag zu leisten.

 

Jetzt aber erst mal zu meinem Problem: Ich habe auf einer PIX für unsere Mobil-User IP-Sec konfiguriert. Dabei habe ich als nat0 eine access-list generiert, die den Zugriff auf bestimmte Server erlaubt.

Jetzt möchte ich einem "Externen" ebenfalls per IP-Sec den Zugriff auf nur einen bestimmten Server zulassen. Dazu wollte ich halt eine zweite access-list generieren, die ich auch mit nat0 verknüpfe. Leider wird dabei der erste nat0-Eintrag gelöscht.

Wie komme ich aus der Nummer raus?

 

Hier nochmal wie ich mir das vorgestellt habe:

 

access-list 100 permit ip 192.168.1.0 255.255.255.224 10.10.10.0 255.255.255.224

access-list 101 permit ip 192.168.1.33 255.255.255.255 10.10.10.33 255.255.255.255

nat (inside) 0 access-list 100

nat (inside) 0 access-list 101

 

wie gesagt, gebe ich das zweite nat-command ein, ist das Erste weg

 

Vielen Dank

[rblasey 10]

nur eine acl per nat -Kontext. Gehts nicht so

 

nat (inside) 0 access-list 100

nat (inside) 1 access-list 101 ?

 

gruss

Robert

[hegl 10]

Hallo Robert,

 

so wie ich es verstehe kann ich ja kein nat verwenden - also nat (inside) 0.

Sobald ich also nat (inside) 1 setze, mache ich natting, oder sehe ich das falsch?

 

Gruß

Helmut

[Wurstbläser 10]

ganz richtig ..

 

warum ist Deine ACL 101 nicht einfach ein ACE in Deiner ACL 100?

 

access-list 100 permit ip 192.168.1.0 255.255.255.224 10.10.10.0 255.255.255.224

access-list 100 permit ip 192.168.1.33 255.255.255.255 10.10.10.33 255.255.255.255

nat (inside) 0 access-list 100

 

würde es doch auch tun?

[hegl 10]

@wurstbläser

 

oh je, da steht man(n) vor dem wald und sieht die bäume nicht.

 

na klar, so geht´s. besten dank!