Tu confonds Route-Map et ACL Tu appliques le route map sur le NAT, il te faut donc :
route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT Le route map match une ACL: ip access-list extended NO_Private_SNAT deny ip 192.168.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 10.0.0.0 0.255.255.255 any permit ip any any donc il te faut les Deux ;) Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr<mailto:tgagna...@novenci.fr> www.idline.fr<http://www.idline.fr> [cid:image001.jpg@01D03BAF.8148ECA0] De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : jeudi 21 juillet 2016 13:24 À : David Ponzone <david.ponz...@gmail.com> Cc : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé grave ! J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios + formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun vpn".... Bon je pense que la bonne route map doit être : ip access-list extended RM1 deny ip 172.16.1.0 0.0.255.255 any deny ip 172.16.2.0 0.0.255.255 any permit ip any any ________________________________ De : David Ponzone <david.ponz...@gmail.com<mailto:david.ponz...@gmail.com>> À : Antoine Durant <antoine.duran...@yahoo.fr<mailto:antoine.duran...@yahoo.fr>> Cc : Frnog-tech <frnog-t...@frnog.org<mailto:frnog-t...@frnog.org>> Envoyé le : Jeudi 21 juillet 2016 13h17 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une subtilité/un détail sur la conf que tu n’omets pas de nous donner ? » n’était pas concerné par un VPN ? :) > Le 21 juil. 2016 à 13:06, Antoine Durant > <antoine.duran...@yahoo.fr<mailto:antoine.duran...@yahoo.fr>> a écrit : > > Bonjour, > Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le > résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que > je rajoute une règle ip nat Inside sur le site distant. > En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs > et pas en passant par le vpn. > Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan > interne même avec la regle ip natLe problème est depuis le site 2 > (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le > service web (172.16.1.33). > J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne > pas mieux depuis le site 2 : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 > extendable > ip access-list extended RM1 > deny ip 172.16.0.0 0.0.255.255 any > permit ip any any > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/