Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

2016-07-21 Par sujet Antoine Durant 

J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;)
  De : GAGNAIRE Thibaut <tgagna...@novenci.fr>
 À : Frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 21 juillet 2016 13h18
 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip 
nat inside
   
Il manque la route-map dans ton mail.


route-map NO_Private_SNAT permit 10

match ip address NO_Private_SNAT





Thibaut GAGNAIRE

Ingénieur Système et Reseaux



tgagna...@novenci.fr<mailto:tgagna...@novenci.fr>

www.idline.fr<http://www.idline.fr/>





[cid:image001.jpg@01D03BAF.8148ECA0]



De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Antoine Durant
Envoyé : jeudi 21 juillet 2016 13:07
À : Frnog-tech <frnog-t...@frnog.org>
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Bonjour,

Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/
Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur 
le site distant.

En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.

Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip nat
Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat 
je ne peux pas utiliser le service web (172.16.1.33).

J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :

ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable

ip access-list extended RM1
 deny  ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

2016-07-21 Par sujet GAGNAIRE Thibaut 
Il manque la route-map dans ton mail.


route-map NO_Private_SNAT permit 10

match ip address NO_Private_SNAT





Thibaut GAGNAIRE

Ingénieur Système et Reseaux



tgagna...@novenci.fr

www.idline.fr





[cid:image001.jpg@01D03BAF.8148ECA0]



De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Antoine Durant
Envoyé : jeudi 21 juillet 2016 13:07
À : Frnog-tech 
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Bonjour,

Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/
Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur 
le site distant.

En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.

Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip nat
Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat 
je ne peux pas utiliser le service web (172.16.1.33).

J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :

ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable

ip access-list extended RM1
 deny   ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

2016-07-21 Par sujet GAGNAIRE Thibaut 
Salut,

Essaye en mettant un route-map pour empêcher le NAT venant des IP RFC1918 (ce 
qu'on fait lorsqu'il y a des tunnels IPSEC sur l'interface externe):

ip access-list extended NO_Private_SNAT
 deny   ip 192.168.0.0 0.0.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 10.0.0.0 0.255.255.255 any
 permit ip any any

route-map NO_Private_SNAT permit 10
 match ip address NO_Private_SNAT

ip nat inside source static tcp x.x.x.x 3389 x.x.x.x 3394 route-map 
NO_Private_SNAT extendable



Thibaut GAGNAIRE
Ingénieur Système et Reseaux


tgagna...@novenci.fr
www.idline.fr








-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Eric Mognat
Envoyé : jeudi 21 juillet 2016 07:42
À : Frnog-tech 
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Salut,

deux tests a faire :
--> règles désactivées, accès port 80 puis arp -a même chose règles 
--> activées
contrôle que la mac est la bonne.

A+

Le 20 juillet 2016 à 18:14, Michel Py
 a écrit :
>> Antoine Durant a écrit :
>> [..]
>
> En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
> Windows et Unix :
>
> "netstat -r"  ??
>
> Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David 
> et Michel commencent à vendre des tickets :P Philippe Bourcier, ne 
> t'inquiètes pas. Tes 15% font partie des tickets.
>
>
> Michel.
>
> David, 50/50 moins les frais et ce qu'on donne à Philippe ?
> Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/