[MASOCH-L] VPN IPSEC cisco 1700
Gustavo Rodrigues Ramos
gustavo at nexthop.com.br
Wed Aug 26 12:20:47 BRT 2009
Olá Luis,
2009/8/26 Luis Luis <masoch460 at gmail.com>:
> Bruno,
>
> Obrigado pela resposta, mais não consegui entender ao certo como fazer essa
> rota ou modificar o NAT para NATear tudo que NAO FOR para a rede 10/8.
Na access-list que seleciona o NAT você deve não-permitir (leia-se:
deny) no tráfego para a rede/host que está na VPN. Como você já deve
ter percebido - com o link que já enviaram para a lista -, o NAT é
feito antes da seleção do tráfego do túnel e se você não controlar o
NAT o tráfego do túnel VPN não vai funcionar.
Por *exemplo*, você deve ter uma access-list:
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list 99 interface x overload (ou qualquer coisa
parecida...)
Então você deve alterar a access-list para:
access-list 100 deny ip 192.168.1.0 0.0.0.255 host 10.10.10.16
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Sobre a questão da rota, acredito que você não tenha uma rota
específica para a rede 10.10.10.16/32 ou mesmo para 10/8. Portanto a
rota default é utilizada para a comunicação com a rede remota e não
vejo problemas com esta configuração.
Gustavo.
More information about the masoch-l
mailing list