У меня есть два модема Cisco ADSL, настроенные обычным образом на внутренний трафик к провайдеру. Это работает.
У меня есть два порта для переадресации на одном из них для SMTP и IMAP снаружи внутрь, это обеспечивает внешний доступ к почтовому серверу. Это работает.
Модем, выполняющий переадресацию портов, также завершает трафик PPTP VPN.
Есть два DNS-сервера: один внутри офиса, который разрешает почту на локальный адрес, другой за пределами офиса, который разрешает почту для остального мира на внешний интерфейс. Все работает.
Недавно я добавил IPSec VPN между двумя модемами, и он работает для всего, ЗА ИСКЛЮЧЕНИЕМ подключений через IPSec VPN к почтовому серверу на порте 25 или 143 с рабочих станций в удаленной локальной сети.
Может показаться, что модем с переадресацией портов сбивает трафик с почтового сервера, предназначенный для машины на другой стороне IPSec VPN, для трафика, который должен вернуться к соединению с переадресацией портов.
PPTP VPN-трафик на почтовый сервер в порядке.
Кто-нибудь знаком с этим сценарием и есть ли какие-нибудь предложения, как его обойти?
Большое спасибо
Алан
Но подождите, это еще не все ...
Это стратегическая часть nat config. Карта маршрутов используется для исключения ланов, доступных через туннели IPSec, из Nated.
int ethernet0
ip nat inside
int dialer1
ip nat outside
ip nat inside source route-map nonat interface Dialer1 overload
route-map nonat permit 10
match ip address 105
access-list 105 remark *** Traffic to NAT
access-list 105 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 105 deny ip 192.168.1.0 0.0.0.255 192.168.48.0 0.0.0.255
access-list 105 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source static tcp 192.168.1.241 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.241 143 interface Dialer1 143
Рискуя ответить на свой вопрос, я решил это вне сферы Cisco.
Я привязал вторичный IP-адрес к почтовому серверу 192.168.1.244, переадресовал порт, чтобы использовать его, оставив весь локальный трафик и трафик IPSec на 192.168.1.241, и проблема была решена.
Новый порт вперед.
ip nat inside source static tcp 192.168.1.244 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.244 143 interface Dialer1 143
Очевидно, что это беспорядочное решение, и возможность исправить это в Cisco была бы предпочтительнее.
Я сам много раз боролся с этим, оказывается, самое простое решение ...
вам нужно изменить способ применения перенаправления портов вместо привязки к внешнему интерфейсу, вы привязываетесь к карте маршрутов. немного странно, почему это не просто работает, но я рад, что это исправлено сейчас, после огромного количества рывков в сети, это было самое близкое, что я нашел для ответа !!
Итак, к вашему сведению, если вы используете следующий код для переадресации портов, все должно вести себя так, как ожидалось
ip nat inside source static tcp 192.168.1.241 25 <external-ip> 25 route-map nonat
ip nat inside source static tcp 192.168.1.241 143 <external-ip> 143 route-map nonat
Единственная проблема с этим заключается в том, что он на самом деле не обслуживает переадресацию портов, когда у вас есть внешний динамический IP-адрес, но вы бы тогда не использовали ipsec VPN, поэтому это не должно повлиять на многие!
Мне кажется, у вас есть освобождение от нац для внутренних сетей с обеих сторон. Это верно?
Если это так, сделайте карту маршрутов и для переадресации порта, и, в частности, запретите это, когда источником является удаленная сеть.