Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Ouais je m’y attendais, je pense que c’est parce que les réponses du serveur en 
local vont directement à ton PC sans passer par le Cisco ou alors parce que les 
réponses qui viennent de 1.1.1.1 ne suivent pas le PBR (il y a une commande 
pour ça chez Cisco).
En résumé, c’est la merdasse, et on peut passer des heures à trouver la bonne 
conf qui va bien.
Je pense que le plus simple serait de mettre le serveur dans un network à part, 
sur une autre patte de R1 (une sorte de DMZ), qui te permettra d’appliquer du 
NAT que tu viennes de l’extérieur ou que tu viennes du 192.168.1.0/24.
Mais attention, NAT NVI obligatoire (parce que la patte où va être le serveur 
doit faire du NAT dans les 2 sens, sauf si le serveur a pas besoin de sortir 
sur Internet).


> Le 20 avr. 2016 à 09:32, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> David : Merci mais cela ne fonctionne toujours pas depuis le lan, j'ai même 
> essayé de mettre l'IP du ROUTEUR-NAT (anciennement NAT)
> 
> Michel :
> Le routeur R1 a une loopback avec une ip public, je souhaite depuis le lan R1 
> (192.168.1.X/24) utiliser l'ip public 1.1.1.1 afin d'accéder au serveur web 
> en 192.168.1.1.
> => ip nat inside source static tcp 192.168.1.1 80 interface Loopback0 80
> 
> Depuis le Lan R1 si je tape http://192.168.1.1/ <http://192.168.1.1/> ca 
> marche mais pas http://1.1.1.1/ <http://1.1.1.1/>. Par contre depuis le lan 
> du routeur R2 si je tape http://1.1.1.1/ <http://1.1.1.1/> ca fonctionne, 
> donc depuis l'extérieur pas de problème.
> 
> J'ai juste un problème de NAT hairpin en interne du lan R1 a régler, mais je 
> n'y arrive pas 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Lundi 18 avril 2016 14h31
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro 
> n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. 
> Pas que Cisco.
> 
> Pour la conf, c’est pas ça.
> C’est plutôt:
> 
> interface FastEthernet0/1
> ip address 192.168.1.254 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip policy route-map INSIDE-IP-PUBLIC
> ! 
> route-map INSIDE-IP-PUBLIC permit 10
> match ip address HOST-NAT
> set ip next-hop 
> ! 
> ip access-list extended HOST-NAT
> permit ip 192.168.1.0 0.0.0.255 any
> 
> 
> Mais vraiment, aucune garantie.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

David : Merci mais cela ne fonctionne toujours pas depuis le lan, j'ai même 
essayé de mettre l'IP du ROUTEUR-NAT (anciennement NAT)
Michel :Le routeur R1 a une loopback avec une ip public, je souhaite depuis le 
lan R1 (192.168.1.X/24) utiliser l'ip public 1.1.1.1 afin d'accéder au serveur 
web en 192.168.1.1.=> ip nat inside source static tcp 192.168.1.1 80 interface 
Loopback0 80
Depuis le Lan R1 si je tape http://192.168.1.1/ ca marche mais pas 
http://1.1.1.1/. Par contre depuis le lan du routeur R2 si je tape 
http://1.1.1.1/ ca fonctionne, donc depuis l'extérieur pas de problème. 
J'ai juste un problème de NAT hairpin en interne du lan R1 a régler, mais je 
n'y arrive pas 

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 14h31
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro 
n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. 
Pas que Cisco.

Pour la conf, c’est pas ça.
C’est plutôt:

interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set ip next-hop 
! 
ip access-list extended HOST-NAT
 permit ip 192.168.1.0 0.0.0.255 any


Mais vraiment, aucune garantie.

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] IP Nat sur Cisco

[Michel Py]

> Antoine Durant a écrit :
> [..]

Ca serait plus clair si tu formulais le besoin, pas la config qui ne marche pas.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro 
n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. 
Pas que Cisco.

Pour la conf, c’est pas ça.
C’est plutôt:

interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set ip next-hop 
! 
ip access-list extended HOST-NAT
 permit ip 192.168.1.0 0.0.0.255 any


Mais vraiment, aucune garantie.



> Le 18 avr. 2016 à 13:19, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode 
> bidouille pour faire ça :(
> 
> Est-ce que cette configuration te semble bonne pour le PBR ?
> 
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  ip nat inside
>  ip virtual-reassembly
>  ip policy route-map INSIDE-IP-PUBLIC
> ! 
> route-map INSIDE-IP-PUBLIC permit 10
>  match ip address HOST-NAT
>  set interface Loopback0
> ! 
> ip access-list extended HOST-NAT
>  permit ip any host 1.1.1.1
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Lundi 18 avril 2016 12h26
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Tu peux tenter avec le PBR mais bon, on est dans la bidouille.
> 
> 
> 
> > Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Ma demande initiale a bien changé c'est vrai.
> > Dans le second cas, il n'est pas possible de faire ce que je cherche 
> > lorsque je suis en ip nat inside afin de permettre au lan d'utiliser le 
> > service web en ip public ?
> > 
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : Sébastien 65 <sebastien...@live.fr <mailto:sebastien...@live.fr>>; 
> > "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" <frnog-t...@frnog.org 
> > <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Lundi 18 avril 2016 11h54
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Oui c’est normal. On a probablement pas été assez clair.
> > Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> > ton paquet entre dans le routeur par l’interface qui est en « ip nat 
> > outside ».
> > Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> > Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> > 
> > 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ <http://www.frnog.org/>
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode 
bidouille pour faire ça :(
Est-ce que cette configuration te semble bonne pour le PBR ?
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set interface Loopback0
! 
ip access-list extended HOST-NAT
 permit ip any host 1.1.1.1

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 12h26
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu peux tenter avec le PBR mais bon, on est dans la bidouille.



> Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Ma demande initiale a bien changé c'est vrai.
> Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque 
> je suis en ip nat inside afin de permettre au lan d'utiliser le service web 
> en ip public ?
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Lundi 18 avril 2016 11h54
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Oui c’est normal. On a probablement pas été assez clair.
> Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> ton paquet entre dans le routeur par l’interface qui est en « ip nat outside 
> ».
> Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Tu peux tenter avec le PBR mais bon, on est dans la bidouille.



> Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Ma demande initiale a bien changé c'est vrai.
> Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque 
> je suis en ip nat inside afin de permettre au lan d'utiliser le service web 
> en ip public ?
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Lundi 18 avril 2016 11h54
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Oui c’est normal. On a probablement pas été assez clair.
> Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> ton paquet entre dans le routeur par l’interface qui est en « ip nat outside 
> ».
> Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Ma demande initiale a bien changé c'est vrai. Dans le second cas, il n'est pas 
possible de faire ce que je cherche lorsque je suis en ip nat inside afin de 
permettre au lan d'utiliser le service web en ip public ? 


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Lundi 18 avril 2016 11h54
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Oui c’est normal. On a probablement pas été assez clair.
Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton 
paquet entre dans le routeur par l’interface qui est en « ip nat outside ».
Ce qui n’est pas le cas quand tu arrives depuis le LAN.
Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Oui c’est normal. On a probablement pas été assez clair.
Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton 
paquet entre dans le routeur par l’interface qui est en « ip nat outside ».
Ce qui n’est pas le cas quand tu arrives depuis le LAN.
Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.




> Le 17 avr. 2016 à 14:19, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 
> depuis le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de 
> problème pour utiliser l'ip public loopback de R1...
> 
> J'ai quelque chose de particulier à faire pour le lan ?
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Dimanche 17 avril 2016 13h46
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que 
> j’ai suggéré.
> L’un ou l’autre.
> 
> 
> 
>> Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> 
>> J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
>> une loopback de R1 et meme chose pour R2.
>> 
>> Est-ce que ta manip est la même à faire sur R1 ?
>> 
>> 
>> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
>> À : Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> 
>> Cc : Sébastien 65 <sebastien...@live.fr <mailto:sebastien...@live.fr>>; 
>> "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" <frnog-t...@frnog.org 
>> <mailto:frnog-t...@frnog.org>>
>> Envoyé le : Dimanche 17 avril 2016 11h00
>> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>> 
>> Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
>> appliquer un set ip next-hop 
>> 
>> https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing 
>> <https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing>
>> 
>> David Ponzone
>> 
>> 
>> 
>> Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> 
>>> J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
>>> déclarer forfait...
>>> 
>>> Le PBR doit être mis sur l'interface lan c'est bien ça ?
>>> Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ?
>>> 
>>> 
>>> De : David Ponzone <david.ponz...@gmail.com 
>>> <mailto:david.ponz...@gmail.com>>
>>> À : Antoine Durant <antoine.duran...@yahoo.fr 
>>> <mailto:antoine.duran...@yahoo.fr>> 
>>> Cc : Sébastien 65 <sebastien...@live.fr <mailto:sebastien...@live.fr>>; 
>>> "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" <frnog-t...@frnog.org 
>>> <mailto:frnog-t...@frnog.org>>
>>> Envoyé le : Mercredi 13 avril 2016 22h58
>>> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>>> 
>>> Il y a une bidouille avec des Loopback, immonde:
>>> 
>>> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
>>> <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
>>> 
>>> Mais sinon, un autre moyen de régler ton problème avec la conf actuelle 
>>> serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour 
>>> l’envoyer directement sur ROUTEUR-TEST avec un set next-hop.
>>> Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça 
>>> marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour 
>>> pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la 
>>> table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc 
>>> éviter le lookup de la RIB par ROUTEUR-NAT).
>>> 
>>> 
>>> 
>>> > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr 
>>> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
>>> > 
>>> > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand 
>>> > même une question que je n'arrive pas à résoudre/comprendre :
>>> > Comment faire depuis le lan client pour pouvoir utilis

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 depuis 
le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de problème pour 
utiliser l'ip public loopback de R1...
J'ai quelque chose de particulier à faire pour le lan ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 13h46
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que j’ai 
suggéré.L’un ou l’autre.




Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
une loopback de R1 et meme chose pour R2.
Est-ce que ta manip est la même à faire sur R1 ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 11h00
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
appliquer un set ip next-hop 
https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing

David Ponzone


Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

   


   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que j’ai 
suggéré.
L’un ou l’autre.



> Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
> une loopback de R1 et meme chose pour R2.
> 
> Est-ce que ta manip est la même à faire sur R1 ?
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Dimanche 17 avril 2016 11h00
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
> appliquer un set ip next-hop 
> 
> https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing 
> <https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing>
> 
> David Ponzone
> 
> 
> 
> Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr 
> <mailto:antoine.duran...@yahoo.fr>> a écrit :
> 
>> J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
>> déclarer forfait...
>> 
>> Le PBR doit être mis sur l'interface lan c'est bien ça ?
>> Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ?
>> 
>> 
>> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
>> À : Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> 
>> Cc : Sébastien 65 <sebastien...@live.fr <mailto:sebastien...@live.fr>>; 
>> "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" <frnog-t...@frnog.org 
>> <mailto:frnog-t...@frnog.org>>
>> Envoyé le : Mercredi 13 avril 2016 22h58
>> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>> 
>> Il y a une bidouille avec des Loopback, immonde:
>> 
>> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
>> <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
>> 
>> Mais sinon, un autre moyen de régler ton problème avec la conf actuelle 
>> serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour 
>> l’envoyer directement sur ROUTEUR-TEST avec un set next-hop.
>> Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
>> (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
>> 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table 
>> de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter 
>> le lookup de la RIB par ROUTEUR-NAT).
>> 
>> 
>> 
>> > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr 
>> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> > 
>> > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand 
>> > même une question que je n'arrive pas à résoudre/comprendre :
>> > Comment faire depuis le lan client pour pouvoir utiliser l'ip public 
>> > depuis mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 
>> > 1.1.1.1 naté vers 192.168.1.1 ?
>> > Possible à faire en utilisant ip nat out/in ou pas??
>> > Merci pour l'explication
>> > 
>> >
>> > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
>> > routeurs ?
>> > 
>> > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
>> > via un ip route.
>> > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, 
>> > tu conserves ton ip nat outside et ip nat Inside.
>> > 
>> > 
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/ <http://www.frnog.org/>
>> > 
>> > 
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/ <http://www.frnog.org/>
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/ <http://www.frnog.org/>
>> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
une loopback de R1 et meme chose pour R2.
Est-ce que ta manip est la même à faire sur R1 ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Dimanche 17 avril 2016 11h00
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
appliquer un set ip next-hop 
https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing

David Ponzone


Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
  
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

   


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
appliquer un set ip next-hop 

https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing

David Ponzone



> Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
> déclarer forfait...
> 
> Le PBR doit être mis sur l'interface lan c'est bien ça ?
> Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ?
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org>
> Envoyé le : Mercredi 13 avril 2016 22h58
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Il y a une bidouille avec des Loopback, immonde:
> 
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
> 
> Mais sinon, un autre moyen de régler ton problème avec la conf actuelle 
> serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour 
> l’envoyer directement sur ROUTEUR-TEST avec un set next-hop.
> Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
> (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
> 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table 
> de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter 
> le lookup de la RIB par ROUTEUR-NAT).
> 
> 
> 
> > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit 
> > :
> > 
> > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> > une question que je n'arrive pas à résoudre/comprendre :
> > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> > vers 192.168.1.1 ?
> > Possible à faire en utilisant ip nat out/in ou pas??
> > Merci pour l'explication
> > 
> >
> > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> > routeurs ?
> > 
> > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> > via un ip route.
> > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, 
> > tu conserves ton ip nat outside et ip nat Inside.
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
déclarer forfait...
Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR 
correspond à l'adresse 1.1.1.1 de mon loopback ?

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" 
<frnog-t...@frnog.org>
 Envoyé le : Mercredi 13 avril 2016 22h58
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>        
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Il y a une bidouille avec des Loopback, immonde:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait 
de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer 
directement sur ROUTEUR-TEST avec un set next-hop.
Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche 
(petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 
1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de 
NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le 
lookup de la RIB par ROUTEUR-NAT).



> Le 13 avr. 2016 à 15:29, Antoine Durant  a écrit :
> 
> J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même 
> une question que je n'arrive pas à résoudre/comprendre :
> Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis 
> mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté 
> vers 192.168.1.1 ?
> Possible à faire en utilisant ip nat out/in ou pas??
> Merci pour l'explication
> 
>
> Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
> routeurs ?
> 
> Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 
> via un ip route.
> Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
> conserves ton ip nat outside et ip nat Inside.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même une 
question que je n'arrive pas à résoudre/comprendre :
Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis mon 
poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté vers 
192.168.1.1 ?
Possible à faire en utilisant ip nat out/in ou pas??
Merci pour l'explication

    
Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
routeurs ?

Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 via 
un ip route.
Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
conserves ton ip nat outside et ip nat Inside.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] IP Nat sur Cisco

[Sébastien 65]

Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces 
routeurs ?

Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 via 
un ip route.
Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu 
conserves ton ip nat outside et ip nat Inside.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Oui cela ne fonctionne pas mieux !
Est-ce que en utilisant ip nat Inside/outise il est possible de faire du nat 
reflexion en utilisant depuis le lan l'ip public du loopback afin de revenir 
sur l'IP du lan ?
J'ai essayé plusieurs conf mais rien ne fonctionne depuis l'interne, cela 
mouline puis fini par un timeout, par contre depuis l'extérieur ca passe !

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
 Envoyé le : Samedi 9 avril 2016 11h51
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Avec nat nvi, on arrive vite à des confs ingérables...

David Ponzone


Le 9 avr. 2016 à 10:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :


Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a 
disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort 
avec l'IP public n°2.
NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne 
fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une 
adresse située sur le ROUTEUR-TEST.
Je suis bloqué, je n'arrive pas a résoudre ce problème.
 


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a 
disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort 
avec l'IP public n°2.
NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne 
fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une 
adresse située sur le ROUTEUR-TEST.
Je suis bloqué, je n'arrive pas a résoudre ce problème.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] IP Nat sur Cisco

[Michel Py]

> Antoine Durant a écrit :
> Voici le schéma : http://hpics.li/82254e6

C'est mieux ! j'ai regardé.
Question bête : pourquoi il y a 2 loopback différentes sur routeur-nat ?

Pour le NAT HAIRPINNING, au pif je pense que David a raison.


> David Ponzone a écrit :
> Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas 
> sur ASR par exemple)

C'est bon à savoir, merci. Je m'étais pas encore fait avoir, c'est certifié 
ISO-1664.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

OK, mais la j'essaye d'abord de faire un ping depuis vlan102 (ou R2) vers le 
routeur ROUTEUR-TEST. Ca ne passe pas !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Tu dois surtout ajouter de quoi nater le trafic qui va de vlan101 vers vlan102!




> Le 8 avr. 2016 à 17:20, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> En fait ip nat enable n'est pas si magique que ça...
>  
> Sur ROUTEUR-NAT j'ai bien activé "ip nat enable" sur toute les interfaces en 
> lieu et place des Inside/outside
> 
> J'ai changé les access-list ansi que ip nat Inside par :
> 
> ip nat source list 10 interface FastEthernet4 overload
> ip nat source static 10.0.1.1 1.1.1.1 extendable
> ip nat source static 10.0.1.5 1.1.1.2 extendable
> access-list 10 permit 10.0.1.4 0.0.0.3
> 
> Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je 
> peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102
> 
> Est-ce que j'ai un problème dans mon access-list/ip nat source ?  
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 14h29
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside 
> en plus.
> C’est justement là qu’il faut utiliser le NAT NVI et son:
> ip nat enable
> magique.
> 
> Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…
> 
> Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas 
> sur ASR par exemple).
> 
> 
> 
> > Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre 
> > vlan101 et vlan102 ca va passer ?
> > 
> > NAT NVI je ne connais pas je vais regarder Google !
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 14h13
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Ton problème est vieux comme le monde :)
> > Ca s’appelle le NAT HAIRPINNING.
> > 
> > Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de 
> > NAT 1-to-1:
> > ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> > L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> > l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son 
> > tour va le modifier en 192.168.1.1 (server0).
> > Le paquet retour va partir de 192.168.1.1 (server0) à destination de 
> > 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> > Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
> > VLAN101 vers VLAN102.
> > Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
> > envoyé un paquet à 1.1.1.1.
> > 
> > En fait, c’est le problème fondamental qui consiste à accéder à une IP 
> > publique qui donne accès à une ressource interne grâce à du NAT, en étant 
> > soi-même pas de l’autre côté du NAT, mais en interne.
> > 
> > Prends de l’aspirine et:
> > 
> > https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
> > <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning><https://supportforums.cisco.com/discussion/12102421/nat-hairpinning
> >  <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>>
> > 
> > Pour moi tu as 2 solutions:
> > -DNS split-horizon
> > -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu 
> > d’aspirine pour par pondre une grosse bouse
> > 
> > 
> > > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr>>> a écrit :
> > > 
> > > Bonjour David,
> > > 
> > > Je comprend ta remarque et me doute bien que vous avez tous des 
> > > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse 
> > > à frnog pour avoir un coup de pouce...
> > > 
> > > Voici le schéma : http://hpics.li/82254e6 
> > > <http://hpics.li/82254e6><http://hpics.li/82254e6 
> > > <http://hpics.li/82254e6>><http://hpics.li/82254e6 
> >

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

En fait ip nat enable n'est pas si magique que ça... Sur ROUTEUR-NAT j'ai bien 
activé "ip nat enable" sur toute les interfaces en lieu et place des 
Inside/outside
J'ai changé les access-list ansi que ip nat Inside par :
ip nat source list 10 interface FastEthernet4 overloadip nat source static 
10.0.1.1 1.1.1.1 extendable
ip nat source static 10.0.1.5 1.1.1.2 extendableaccess-list 10 permit 10.0.1.4 
0.0.0.3

Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je 
peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102
Est-ce que j'ai un problème dans mon access-list/ip nat source ?  


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 14h29
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en 
plus.
C’est justement là qu’il faut utiliser le NAT NVI et son:
ip nat enable
magique.

Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…

Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur 
ASR par exemple).



> Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 
> et vlan102 ca va passer ?
> 
> NAT NVI je ne connais pas je vais regarder Google !
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 14h13
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ton problème est vieux comme le monde :)
> Ca s’appelle le NAT HAIRPINNING.
> 
> Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
> 1-to-1:
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
> va le modifier en 192.168.1.1 (server0).
> Le paquet retour va partir de 192.168.1.1 (server0) à destination de 
> 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
> VLAN101 vers VLAN102.
> Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
> envoyé un paquet à 1.1.1.1.
> 
> En fait, c’est le problème fondamental qui consiste à accéder à une IP 
> publique qui donne accès à une ressource interne grâce à du NAT, en étant 
> soi-même pas de l’autre côté du NAT, mais en interne.
> 
> Prends de l’aspirine et:
> 
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
> 
> Pour moi tu as 2 solutions:
> -DNS split-horizon
> -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu 
> d’aspirine pour par pondre une grosse bouse
> 
> 
> > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour David,
> > 
> > Je comprend ta remarque et me doute bien que vous avez tous des 
> > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à 
> > frnog pour avoir un coup de pouce...
> > 
> > Voici le schéma : 
> > http://hpics.li/82254e6<http://hpics.li/82254e6><http://hpics.li/82254e6<http://hpics.li/82254e6>>
> > 
> > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> > connecté derrière R1, donc le NAT/access-list fonctionne.
> > 
> > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon 
> > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à 
> > résoudre ça :(
> > 
> > Merci d'avance à tous.
> > 
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 12h48
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Antoine,
> > 
> > je pense que plusieurs sur cette liste pourront te régler ce problème en 
> > 3/5 minutes max, mais ils ont c

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Bonjour Xavier,
Je vais dans un premier temps éviter le VPN, je suis en train de regarder NAT 
NVI comme suggéré par David...mais c'est assez compliqué au premier abord...
Je vais avoir besoin de plusieurs boites d'aspirines !!!

  De : Xavier ROCA <x.r...@sdi.fr>
 À : frnog-t...@frnog.org 
 Envoyé le : Vendredi 8 avril 2016 15h04
 Objet : RE: [FRnOG] [TECH] IP Nat sur Cisco
   
Bonjour,

Je ne sais pas ton objectif final donc voici une idée mais pas forcément 
adaptée mais relativement simple.
VPN entre R1 et R2.
Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait.

Xavier



-Message d'origine-
De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] 
Envoyé : vendredi 8 avril 2016 14:23
À : David Ponzone
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco

J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et 
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !

      De : David Ponzone <david.ponz...@gmail.com>  À : Antoine Durant 
<antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>  
Envoyé le : Vendredi 8 avril 2016 14h13  Objet : Re: [FRnOG] [TECH] IP Nat sur 
Cisco
  
Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet 
est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 
> j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème 
> est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je 
> n'arrive pas à résoudre ça :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant 
> <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : 
> Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > insid

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

(pardon pour le doublon il y a quelques minutes)

Il peut essayer, mais il va devoir faire un truc moche moche pour que 1.1.1.1 
existe sur R1.
Je crois que son but était d’utiliser toujours 1.1.1.1.

> Le 8 avr. 2016 à 15:04, Xavier ROCA  a écrit :
> 
> Bonjour,
> 
> Je ne sais pas ton objectif final donc voici une idée mais pas forcément 
> adaptée mais relativement simple.
> VPN entre R1 et R2.
> Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait.
> 
> Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en 
plus.
C’est justement là qu’il faut utiliser le NAT NVI et son:
ip nat enable
magique.

Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…

Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur 
ASR par exemple).



> Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr 
> <mailto:antoine.duran...@yahoo.fr>> a écrit :
> 
> J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 
> et vlan102 ca va passer ?
> 
> NAT NVI je ne connais pas je vais regarder Google !
> 
> 
> De : David Ponzone <david.ponz...@gmail.com <mailto:david.ponz...@gmail.com>>
> À : Antoine Durant <antoine.duran...@yahoo.fr 
> <mailto:antoine.duran...@yahoo.fr>> 
> Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> Envoyé le : Vendredi 8 avril 2016 14h13
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ton problème est vieux comme le monde :)
> Ca s’appelle le NAT HAIRPINNING.
> 
> Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
> 1-to-1:
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
> va le modifier en 192.168.1.1 (server0).
> Le paquet retour va partir de 192.168.1.1 (server0) à destination de 
> 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
> VLAN101 vers VLAN102.
> Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
> envoyé un paquet à 1.1.1.1.
> 
> En fait, c’est le problème fondamental qui consiste à accéder à une IP 
> publique qui donne accès à une ressource interne grâce à du NAT, en étant 
> soi-même pas de l’autre côté du NAT, mais en interne.
> 
> Prends de l’aspirine et:
> 
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
> <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
> 
> Pour moi tu as 2 solutions:
> -DNS split-horizon
> -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu 
> d’aspirine pour par pondre une grosse bouse
> 
> 
> > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour David,
> > 
> > Je comprend ta remarque et me doute bien que vous avez tous des 
> > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à 
> > frnog pour avoir un coup de pouce...
> > 
> > Voici le schéma : http://hpics.li/82254e6 
> > <http://hpics.li/82254e6><http://hpics.li/82254e6 <http://hpics.li/82254e6>>
> > 
> > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> > connecté derrière R1, donc le NAT/access-list fonctionne.
> > 
> > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon 
> > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à 
> > résoudre ça :(
> > 
> > Merci d'avance à tous.
> > 
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 12h48
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Antoine,
> > 
> > je pense que plusieurs sur cette liste pourront te régler ce problème en 
> > 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas 
> > de patron, mais des clients et une femme, ou pas de patron, pas de femme, 
> > pas de clients, mais un banquier, etc….) et donc s’il faut se plonger dans 
> > tes confs pour comprendre l’archi, ça prend tout de suite un peu plus de 
> > temps.
> > 
> > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> > schéma par exemple ?
> > 
> > 
> > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr>

RE: [FRnOG] [TECH] IP Nat sur Cisco

[Xavier ROCA]

Bonjour,

Je ne sais pas ton objectif final donc voici une idée mais pas forcément 
adaptée mais relativement simple.
VPN entre R1 et R2.
Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait.

Xavier



-Message d'origine-
De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] 
Envoyé : vendredi 8 avril 2016 14:23
À : David Ponzone
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco

J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et 
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !

  De : David Ponzone <david.ponz...@gmail.com>  À : Antoine Durant 
<antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>  
Envoyé le : Vendredi 8 avril 2016 14h13  Objet : Re: [FRnOG] [TECH] IP Nat sur 
Cisco
   
Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet 
est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 
> j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème 
> est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je 
> n'arrive pas à résoudre ça :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant 
> <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" 
> <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : 
> Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > inside/access-list. 
> > Une petite idée ? j'ai épuisé toute mes solutions... Merci   
> >ROUTEUR-TEST 
> > interface FastEthernet4
> >  ip address 172.16.3.30 255.255.255.252
> >  no ip redirects
> >  no ip unreachables
> >  no ip proxy-arp
> >  duplex auto
> >  speed auto
> > !
> > interface Vlan1
> >  ip

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en 
plus.
C’est justement là qu’il faut utiliser le NAT NVI et son:
ip nat enable
magique.

Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention…

Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur 
ASR par exemple).



> Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 
> et vlan102 ca va passer ?
> 
> NAT NVI je ne connais pas je vais regarder Google !
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 14h13
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ton problème est vieux comme le monde :)
> Ca s’appelle le NAT HAIRPINNING.
> 
> Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
> 1-to-1:
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
> l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
> va le modifier en 192.168.1.1 (server0).
> Le paquet retour va partir de 192.168.1.1 (server0) à destination de 
> 10.0.1.5, R1 va changer l’IP source en 10.0.1.1.
> Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
> VLAN101 vers VLAN102.
> Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
> envoyé un paquet à 1.1.1.1.
> 
> En fait, c’est le problème fondamental qui consiste à accéder à une IP 
> publique qui donne accès à une ressource interne grâce à du NAT, en étant 
> soi-même pas de l’autre côté du NAT, mais en interne.
> 
> Prends de l’aspirine et:
> 
> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
> <https://supportforums.cisco.com/discussion/12102421/nat-hairpinning>
> 
> Pour moi tu as 2 solutions:
> -DNS split-horizon
> -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu 
> d’aspirine pour par pondre une grosse bouse
> 
> 
> > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour David,
> > 
> > Je comprend ta remarque et me doute bien que vous avez tous des 
> > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à 
> > frnog pour avoir un coup de pouce...
> > 
> > Voici le schéma : http://hpics.li/82254e6 
> > <http://hpics.li/82254e6><http://hpics.li/82254e6 <http://hpics.li/82254e6>>
> > 
> > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> > connecté derrière R1, donc le NAT/access-list fonctionne.
> > 
> > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon 
> > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à 
> > résoudre ça :(
> > 
> > Merci d'avance à tous.
> > 
> > 
> > 
> > De : David Ponzone <david.ponz...@gmail.com 
> > <mailto:david.ponz...@gmail.com>>
> > À : Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> 
> > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" 
> > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>>
> > Envoyé le : Vendredi 8 avril 2016 12h48
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Antoine,
> > 
> > je pense que plusieurs sur cette liste pourront te régler ce problème en 
> > 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas 
> > de patron, mais des clients et une femme, ou pas de patron, pas de femme, 
> > pas de clients, mais un banquier, etc….) et donc s’il faut se plonger dans 
> > tes confs pour comprendre l’archi, ça prend tout de suite un peu plus de 
> > temps.
> > 
> > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> > schéma par exemple ?
> > 
> > 
> > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr> <mailto:antoine.duran...@yahoo.fr 
> > > <mailto:antoine.duran...@yahoo.fr>>> a écrit :
> > > 
> > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > > routeurs pour le test :
> > > ROUTEUR-TEST => Une

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et 
vlan102 ca va passer ?
NAT NVI je ne connais pas je vais regarder Google !

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 14h13
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Ton problème est vieux comme le monde :)
Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis 
> situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça 
> :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 12h48
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > inside/access-list. 
> > Une petite idée ? j'ai épuisé toute mes solutions... Merci
> >  ROUTEUR-TEST 
> > interface FastEthernet4
> >  ip address 172.16.3.30 255.255.255.252
> >  no ip redirects
> >  no ip unreachables
> >  no ip proxy-arp
> >  duplex auto
> >  speed auto
> > !
> > interface Vlan1
> >  ip address 1.1.1.100 255.255.255.128
> > !
> > ip forward-protocol nd
> > no ip http server
> > no ip http secure-server
> > !
> > ip route 1.1.1.1 255.255.255.255 172.16.3.29
> > ip route 1.1.1.2 255.255.255.255 172.16.3.29
> >  ROUTEUR-NAT 
> > interface Loopback0
> >  ip address 1.1.1.1 255.255.255.255
> > !
> > interface Loopback1
> >  ip addr

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Ton problème est vieux comme le monde :)
Ca s’appelle le NAT HAIRPINNING.

Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 
1-to-1:
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2).
l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour 
va le modifier en 192.168.1.1 (server0).
Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, 
R1 va changer l’IP source en 10.0.1.1.
Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de  
VLAN101 vers VLAN102.
Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait 
envoyé un paquet à 1.1.1.1.

En fait, c’est le problème fondamental qui consiste à accéder à une IP publique 
qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas 
de l’autre côté du NAT, mais en interne.

Prends de l’aspirine et:

https://supportforums.cisco.com/discussion/12102421/nat-hairpinning

Pour moi tu as 2 solutions:
-DNS split-horizon
-ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine 
pour par pondre une grosse bouse


> Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour David,
> 
> Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
> J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour 
> avoir un coup de pouce...
> 
> Voici le schéma : http://hpics.li/82254e6 <http://hpics.li/82254e6>
> 
> Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
> connecté derrière R1, donc le NAT/access-list fonctionne.
> 
> Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
> d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis 
> situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça 
> :(
> 
> Merci d'avance à tous.
> 
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
> Envoyé le : Vendredi 8 avril 2016 12h48
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Antoine,
> 
> je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
> minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
> patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
> clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
> pour comprendre l’archi, ça prend tout de suite un peu plus de temps.
> 
> Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
> schéma par exemple ?
> 
> 
> > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 
> > routeurs pour le test :
> > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> > :
> > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> > :R1 => LAN_1
> > :R2 => LAN_2
> > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je 
> > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui 
> > doit sortir via 1.1.1.2.
> > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> > inside/access-list. 
> > Une petite idée ? j'ai épuisé toute mes solutions... Merci
> >  ROUTEUR-TEST 
> > interface FastEthernet4
> >  ip address 172.16.3.30 255.255.255.252
> >  no ip redirects
> >  no ip unreachables
> >  no ip proxy-arp
> >  duplex auto
> >  speed auto
> > !
> > interface Vlan1
> >  ip address 1.1.1.100 255.255.255.128
> > !
> > ip forward-protocol nd
> > no ip http server
> > no ip http secure-server
> > !
> > ip route 1.1.1.1 255.255.255.255 172.16.3.29
> > ip route 1.1.1.2 255.255.255.255 172.16.3.29
> >  ROUTEUR-NAT 
> > interface Loopback0
> >  ip address 1.1.1.1 255.255.255.255
> > !
> > interface Loopback1
> >  ip address 1.1.1.2 255.255.255.255
> > !
> > interface FastEthernet0
> >  description * UPLINK R1 *
> >  switchport access vlan 101
> >  no ip address
> > !
> > interface FastEthernet1
> >  description * UPLINK R2 *
> >  switchport access vlan 102
> >  no ip address
> > !
> > interface FastEthernet4
> >  description ** UPLINK ROUTEUR-TEST **
> >  ip a

Re: [FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

Bonjour David,
Je comprend ta remarque et me doute bien que vous avez tous des occupations. 
J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour avoir 
un coup de pouce...
Voici le schéma : http://hpics.li/82254e6
Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 
connecté derrière R1, donc le NAT/access-list fonctionne.
Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye 
d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis 
situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça :(
Merci d'avance à tous.


  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org>
 Envoyé le : Vendredi 8 avril 2016 12h48
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Antoine,

je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
pour comprendre l’archi, ça prend tout de suite un peu plus de temps.

Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
schéma par exemple ?


> Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs 
> pour le test :
> ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> :
> ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> :R1 => LAN_1
> :R2 => LAN_2
> Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais 
> accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir 
> via 1.1.1.2.
> Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> inside/access-list. 
> Une petite idée ? j'ai épuisé toute mes solutions... Merci
>  ROUTEUR-TEST 
> interface FastEthernet4
>  ip address 172.16.3.30 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  duplex auto
>  speed auto
> !
> interface Vlan1
>  ip address 1.1.1.100 255.255.255.128
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip route 1.1.1.1 255.255.255.255 172.16.3.29
> ip route 1.1.1.2 255.255.255.255 172.16.3.29
>  ROUTEUR-NAT 
> interface Loopback0
>  ip address 1.1.1.1 255.255.255.255
> !
> interface Loopback1
>  ip address 1.1.1.2 255.255.255.255
> !
> interface FastEthernet0
>  description * UPLINK R1 *
>  switchport access vlan 101
>  no ip address
> !
> interface FastEthernet1
>  description * UPLINK R2 *
>  switchport access vlan 102
>  no ip address
> !
> interface FastEthernet4
>  description ** UPLINK ROUTEUR-TEST **
>  ip address 172.16.3.29 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface Vlan101
>  ip address 10.0.1.2 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> interface Vlan102
>  ip address 10.0.1.6 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip nat inside source list 101 interface Loopback0 overload
> ip nat inside source list 102 interface Loopback1 overload
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> ip nat inside source static 10.0.1.5 1.1.1.2 extendable
> ip route 0.0.0.0 0.0.0.0 172.16.3.30
> !
> access-list 101 permit ip 10.0.1.0 0.0.0.3 any
> access-list 102 permit ip 10.0.1.4 0.0.0.3 any
>  R1 
> ip dhcp pool LOCAL-192.168.1.0
>  network 192.168.1.0 255.255.255.0
>  default-router 192.168.1.254
>  domain-name lan1.local
>  lease infinite
> !
> ip cef
> no ip bootp server
> no ip domain lookup
> no ipv6 cef
> !
> interface FastEthernet0/0
>  ip address 10.0.1.1 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  duplex auto
>  speed au

Re: [FRnOG] [TECH] IP Nat sur Cisco

[David Ponzone]

Antoine,

je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 
minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de 
patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de 
clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs 
pour comprendre l’archi, ça prend tout de suite un peu plus de temps.

Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit 
schéma par exemple ?


> Le 8 avr. 2016 à 11:32, Antoine Durant  a écrit :
> 
> Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs 
> pour le test :
> ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
> :
> ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
> :R1 => LAN_1
> :R2 => LAN_2
> Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au 
> serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais 
> accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir 
> via 1.1.1.2.
> Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
> inside/access-list. 
> Une petite idée ? j'ai épuisé toute mes solutions... Merci
>  ROUTEUR-TEST 
> interface FastEthernet4
>  ip address 172.16.3.30 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  duplex auto
>  speed auto
> !
> interface Vlan1
>  ip address 1.1.1.100 255.255.255.128
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip route 1.1.1.1 255.255.255.255 172.16.3.29
> ip route 1.1.1.2 255.255.255.255 172.16.3.29
>  ROUTEUR-NAT 
> interface Loopback0
>  ip address 1.1.1.1 255.255.255.255
> !
> interface Loopback1
>  ip address 1.1.1.2 255.255.255.255
> !
> interface FastEthernet0
>  description * UPLINK R1 *
>  switchport access vlan 101
>  no ip address
> !
> interface FastEthernet1
>  description * UPLINK R2 *
>  switchport access vlan 102
>  no ip address
> !
> interface FastEthernet4
>  description ** UPLINK ROUTEUR-TEST **
>  ip address 172.16.3.29 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface Vlan101
>  ip address 10.0.1.2 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> interface Vlan102
>  ip address 10.0.1.6 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
> !
> ip forward-protocol nd
> no ip http server
> no ip http secure-server
> !
> ip nat inside source list 101 interface Loopback0 overload
> ip nat inside source list 102 interface Loopback1 overload
> ip nat inside source static 10.0.1.1 1.1.1.1 extendable
> ip nat inside source static 10.0.1.5 1.1.1.2 extendable
> ip route 0.0.0.0 0.0.0.0 172.16.3.30
> !
> access-list 101 permit ip 10.0.1.0 0.0.0.3 any
> access-list 102 permit ip 10.0.1.4 0.0.0.3 any
>  R1 
> ip dhcp pool LOCAL-192.168.1.0
>  network 192.168.1.0 255.255.255.0
>  default-router 192.168.1.254
>  domain-name lan1.local
>  lease infinite
> !
> ip cef
> no ip bootp server
> no ip domain lookup
> no ipv6 cef
> !
> interface FastEthernet0/0
>  ip address 10.0.1.1 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> ip nat inside source list 101 interface FastEthernet0/0 overload
> ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80
> ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22
> ip route 0.0.0.0 0.0.0.0 10.0.1.2
> !
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
>  R2 
> ip dhcp pool LOCAL-192.168.1.0
>  network 192.168.1.0 255.255.255.0
>  default-router 192.168.1.254
>  domain-name lan2.local
>  lease infinite
> !
> ip cef
> no ip bootp server
> no ip domain lookup
> no ipv6 cef
> !
> interface FastEthernet0/0
>  ip address 10.0.1.5 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  duplex auto
>  speed auto
> !
> ip nat inside source list 101 interface FastEthernet0/0 overload
> ip route 0.0.0.0 0.0.0.0 10.0.1.6
> !
> access-list 101 permit ip 192.168.1.0 0.0.0.255 any
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG

[FRnOG] [TECH] IP Nat sur Cisco

[Antoine Durant]

 Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs 
pour le test :
ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10)
:
ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2
:R1 => LAN_1
:R2 => LAN_2
Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au serveur 
web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais accéder au 
serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir via 1.1.1.2.
Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat 
inside/access-list. 
Une petite idée ? j'ai épuisé toute mes solutions... Merci
 ROUTEUR-TEST 
interface FastEthernet4
 ip address 172.16.3.30 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 duplex auto
 speed auto
!
interface Vlan1
 ip address 1.1.1.100 255.255.255.128
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 1.1.1.1 255.255.255.255 172.16.3.29
ip route 1.1.1.2 255.255.255.255 172.16.3.29
 ROUTEUR-NAT 
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Loopback1
 ip address 1.1.1.2 255.255.255.255
!
interface FastEthernet0
 description * UPLINK R1 *
 switchport access vlan 101
 no ip address
!
interface FastEthernet1
 description * UPLINK R2 *
 switchport access vlan 102
 no ip address
!
interface FastEthernet4
 description ** UPLINK ROUTEUR-TEST **
 ip address 172.16.3.29 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan101
 ip address 10.0.1.2 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan102
 ip address 10.0.1.6 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Loopback0 overload
ip nat inside source list 102 interface Loopback1 overload
ip nat inside source static 10.0.1.1 1.1.1.1 extendable
ip nat inside source static 10.0.1.5 1.1.1.2 extendable
ip route 0.0.0.0 0.0.0.0 172.16.3.30
!
access-list 101 permit ip 10.0.1.0 0.0.0.3 any
access-list 102 permit ip 10.0.1.4 0.0.0.3 any
 R1 
ip dhcp pool LOCAL-192.168.1.0
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 domain-name lan1.local
 lease infinite
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
interface FastEthernet0/0
 ip address 10.0.1.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80
ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22
ip route 0.0.0.0 0.0.0.0 10.0.1.2
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
 R2 
ip dhcp pool LOCAL-192.168.1.0
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 domain-name lan2.local
 lease infinite
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
interface FastEthernet0/0
 ip address 10.0.1.5 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 10.0.1.6
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any

---
Liste de diffusion du FRnOG
http://www.frnog.org/