Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING.
Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6 <http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis > situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça > :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 12h48 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :----R1 => LAN_1 > > :----R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > inside/access-list. > > Une petite idée ? j'ai épuisé toute mes solutions... Merci > > !!!! ROUTEUR-TEST !!!! > > interface FastEthernet4 > > ip address 172.16.3.30 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > duplex auto > > speed auto > > ! > > interface Vlan1 > > ip address 1.1.1.100 255.255.255.128 > > ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > > !!!! ROUTEUR-NAT !!!! > > interface Loopback0 > > ip address 1.1.1.1 255.255.255.255 > > ! > > interface Loopback1 > > ip address 1.1.1.2 255.255.255.255 > > ! > > interface FastEthernet0 > > description * UPLINK R1 * > > switchport access vlan 101 > > no ip address > > ! > > interface FastEthernet1 > > description * UPLINK R2 * > > switchport access vlan 102 > > no ip address > > ! > > interface FastEthernet4 > > description ** UPLINK ROUTEUR-TEST ** > > ip address 172.16.3.29 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface Vlan101 > > ip address 10.0.1.2 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > ! > > interface Vlan102 > > ip address 10.0.1.6 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip nat inside source list 101 interface Loopback0 overload > > ip nat inside source list 102 interface Loopback1 overload > > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > > ip nat inside source static 10.0.1.5 1.1.1.2 extendable > > ip route 0.0.0.0 0.0.0.0 172.16.3.30 > > ! > > access-list 101 permit ip 10.0.1.0 0.0.0.3 any > > access-list 102 permit ip 10.0.1.4 0.0.0.3 any > > !!!! R1 !!!! > > ip dhcp pool LOCAL-192.168.1.0 > > network 192.168.1.0 255.255.255.0 > > default-router 192.168.1.254 > > domain-name lan1.local > > lease infinite > > ! > > ip cef > > no ip bootp server > > no ip domain lookup > > no ipv6 cef > > ! > > interface FastEthernet0/0 > > ip address 10.0.1.1 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface FastEthernet0/1 > > ip address 192.168.1.254 255.255.255.0 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > ip nat inside source list 101 interface FastEthernet0/0 overload > > ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80 > > ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22 > > ip route 0.0.0.0 0.0.0.0 10.0.1.2 > > ! > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > !!!! R2 !!!! > > ip dhcp pool LOCAL-192.168.1.0 > > network 192.168.1.0 255.255.255.0 > > default-router 192.168.1.254 > > domain-name lan2.local > > lease infinite > > ! > > ip cef > > no ip bootp server > > no ip domain lookup > > no ipv6 cef > > ! > > interface FastEthernet0/0 > > ip address 10.0.1.5 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat outside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > interface FastEthernet0/1 > > ip address 192.168.1.254 255.255.255.0 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > ip nat inside > > ip virtual-reassembly in > > duplex auto > > speed auto > > ! > > ip nat inside source list 101 interface FastEthernet0/0 overload > > ip route 0.0.0.0 0.0.0.0 10.0.1.6 > > ! > > access-list 101 permit ip 192.168.1.0 0.0.0.255 any > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
