У меня есть маршрутизатор Cisco, к которому у нас есть VPN. Все работает отлично, пока они не попытаются подключиться к порту, который статически сопоставлен с внешним миром. Например, у меня есть почтовый хост, доступный для внешнего мира через порт 25. Для этого в моей конфигурации есть следующее.
ip nat inside source static tcp 192.168.x.x 25 interface myinterface 25
когда я подключен к vpn, я могу проверить связь с хостом 192.168.xx, но я не могу подключиться к порту 25. Люди внутри сети могут подключиться к порту, и он доступен в Интернете по адресу интерфейса. Что мне не хватает ? Заранее спасибо за помощь
Никогда не делал именно то, что хочешь. Но я думаю, возможно, вы просто сделаете статическую запись nat, используя карту маршрутов. Затем на карте маршрута укажите ACL_NUMBER. Затем в этом ACL не разрешайте трафик VPN.
Эта Cisco сообщение может вам помочь.
Я подозреваю, что NAT имеет приоритет над VPN. Когда вы отправляете эхо-запрос 192.168.x.x через VPN, обратный трафик попадает на брандмауэр и отправляет его через VPN. Когда вы пытаетесь использовать порт 25, я ожидаю, что ответный трафик попадет на брандмауэр и будет преобразован через NAT, а не через брандмауэр.
Я не знаю тонкостей IOS, но у вас должна быть возможность изменить приоритет и заставить VPN работать «над» NAT. Также может быть настройка в конфигурации VPN, указывающая ему игнорировать NAT в VPN.