J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !
De : David Ponzone <[email protected]>
À : Antoine Durant <[email protected]>
Cc : "[email protected]" <[email protected]>
Envoyé le : Vendredi 8 avril 2016 14h13
Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
Ton problème est vieux comme le monde :)
Ca s’appelle le NAT HAIRPINNING.
Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5,
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait
envoyé un paquet à 1.1.1.1.
En fait, c’est le problème fondamental qui consiste à accéder à une IP publique
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas
de l’autre côté du NAT, mais en interne.
Prends de l’aspirine et:
https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine
pour par pondre une grosse bouse
> Le 8 avr. 2016 à 13:43, Antoine Durant <[email protected]> a écrit :
>
> Bonjour David,
>
> Je comprend ta remarque et me doute bien que vous avez tous des occupations.
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour
> avoir un coup de pouce...
>
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
>
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1
> connecté derrière R1, donc le NAT/access-list fonctionne.
>
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye
> d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis
> situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça
> :(
>
> Merci d'avance à tous.
>
>
>
> De : David Ponzone <[email protected]>
> À : Antoine Durant <[email protected]>
> Cc : "[email protected]" <[email protected]>
> Envoyé le : Vendredi 8 avril 2016 12h48
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>
> Antoine,
>
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
>
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit
> schéma par exemple ?
>
>
> > Le 8 avr. 2016 à 11:32, Antoine Durant <[email protected]
> > <mailto:[email protected]>> a écrit :
> >
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :----R1 => LAN_1
> > :----R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat
> > inside/access-list.
> > Une petite idée ? j'ai épuisé toute mes solutions... Merci
> > !!!! ROUTEUR-TEST !!!!
> > interface FastEthernet4
> > ip address 172.16.3.30 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > duplex auto
> > speed auto
> > !
> > interface Vlan1
> > ip address 1.1.1.100 255.255.255.128
> > !
> > ip forward-protocol nd
> > no ip http server
> > no ip http secure-server
> > !
> > ip route 1.1.1.1 255.255.255.255 172.16.3.29
> > ip route 1.1.1.2 255.255.255.255 172.16.3.29
> > !!!! ROUTEUR-NAT !!!!
> > interface Loopback0
> > ip address 1.1.1.1 255.255.255.255
> > !
> > interface Loopback1
> > ip address 1.1.1.2 255.255.255.255
> > !
> > interface FastEthernet0
> > description * UPLINK R1 *
> > switchport access vlan 101
> > no ip address
> > !
> > interface FastEthernet1
> > description * UPLINK R2 *
> > switchport access vlan 102
> > no ip address
> > !
> > interface FastEthernet4
> > description ** UPLINK ROUTEUR-TEST **
> > ip address 172.16.3.29 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat outside
> > ip virtual-reassembly in
> > duplex auto
> > speed auto
> > !
> > interface Vlan101
> > ip address 10.0.1.2 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat inside
> > ip virtual-reassembly in
> > !
> > interface Vlan102
> > ip address 10.0.1.6 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat inside
> > ip virtual-reassembly in
> > !
> > ip forward-protocol nd
> > no ip http server
> > no ip http secure-server
> > !
> > ip nat inside source list 101 interface Loopback0 overload
> > ip nat inside source list 102 interface Loopback1 overload
> > ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> > ip nat inside source static 10.0.1.5 1.1.1.2 extendable
> > ip route 0.0.0.0 0.0.0.0 172.16.3.30
> > !
> > access-list 101 permit ip 10.0.1.0 0.0.0.3 any
> > access-list 102 permit ip 10.0.1.4 0.0.0.3 any
> > !!!! R1 !!!!
> > ip dhcp pool LOCAL-192.168.1.0
> > network 192.168.1.0 255.255.255.0
> > default-router 192.168.1.254
> > domain-name lan1.local
> > lease infinite
> > !
> > ip cef
> > no ip bootp server
> > no ip domain lookup
> > no ipv6 cef
> > !
> > interface FastEthernet0/0
> > ip address 10.0.1.1 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat outside
> > ip virtual-reassembly in
> > duplex auto
> > speed auto
> > !
> > interface FastEthernet0/1
> > ip address 192.168.1.254 255.255.255.0
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat inside
> > ip virtual-reassembly in
> > duplex auto
> > speed auto
> > !
> > ip nat inside source list 101 interface FastEthernet0/0 overload
> > ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80
> > ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22
> > ip route 0.0.0.0 0.0.0.0 10.0.1.2
> > !
> > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> > !!!! R2 !!!!
> > ip dhcp pool LOCAL-192.168.1.0
> > network 192.168.1.0 255.255.255.0
> > default-router 192.168.1.254
> > domain-name lan2.local
> > lease infinite
> > !
> > ip cef
> > no ip bootp server
> > no ip domain lookup
> > no ipv6 cef
> > !
> > interface FastEthernet0/0
> > ip address 10.0.1.5 255.255.255.252
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat outside
> > ip virtual-reassembly in
> > duplex auto
> > speed auto
> > !
> > interface FastEthernet0/1
> > ip address 192.168.1.254 255.255.255.0
> > no ip redirects
> > no ip unreachables
> > no ip proxy-arp
> > ip nat inside
> > ip virtual-reassembly in
> > duplex auto
> > speed auto
> > !
> > ip nat inside source list 101 interface FastEthernet0/0 overload
> > ip route 0.0.0.0 0.0.0.0 10.0.1.6
> > !
> > access-list 101 permit ip 192.168.1.0 0.0.0.255 any
>
> >
> > ---------------------------
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/<http://www.frnog.org/>
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/<http://www.frnog.org/>
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
