[MASOCH-L] VPN IPSEC cisco 1700

Gustavo Rodrigues Ramos gustavo at nexthop.com.br
Wed Aug 26 12:20:47 -03 2009


Olá Luis,

2009/8/26 Luis Luis <masoch460 at gmail.com>:
> Bruno,
>
> Obrigado pela resposta, mais não consegui entender ao certo como fazer essa
> rota ou modificar o NAT para NATear tudo que NAO FOR para a rede 10/8.

Na access-list que seleciona o NAT você deve não-permitir (leia-se:
deny) no tráfego para a rede/host que está na VPN. Como você já deve
ter percebido - com o link que já enviaram para a lista -, o NAT é
feito antes da seleção do tráfego do túnel e se você não controlar o
NAT o tráfego do túnel VPN não vai funcionar.

Por *exemplo*, você deve ter uma access-list:

access-list 100 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 99 interface x overload (ou qualquer coisa
parecida...)

Então você deve alterar a access-list para:

access-list 100 deny ip 192.168.1.0 0.0.0.255 host 10.10.10.16
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

Sobre a questão da rota, acredito que você não tenha uma rota
específica para a rede 10.10.10.16/32 ou mesmo para 10/8. Portanto a
rota default é utilizada para a comunicação com a rede remota e não
vejo problemas com esta configuração.

Gustavo.



More information about the masoch-l mailing list