Как в данной ситуации настроить NAT на cisco?

Question

[Rad1us]

Друзья, второй день мучаюсь. Есть следующая конфигурация:

Где R1:

interface FastEthernet0/0
 ip address 172.16.0.1 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 172.16.0.0 0.0.0.3 area 1

R_NAT:

interface FastEthernet0/0
 ip address 172.16.0.2 255.255.255.252
 ip nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 8.8.8.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 172.16.0.0 0.0.0.3 area 1
 network 8.8.8.0 0.0.0.255 area 1
!
ip nat pool NAT_POOL 8.8.8.1 8.8.8.1 netmask 255.255.255.0
ip nat inside source list 1 pool NAT_POOL overload
ip classless
!
ip flow-export version 9
!
!
access-list 1 permit 10.1.1.0 0.0.0.255

При такой конфигурации NAT работает, о чем говорит show ip nat translations, но пинг, идущий с 10.1.1.2 проходит R_NAT (где происходит подмена), доходит до 8.8.8.8, возвращается на R_NAT (где происходит обратная подмена) и отбрасыватеся. Потому что на R_NAT нет маршрута до сети 10.1.1.0/24 Если добавить маршрут, то все начинает работать , но 8.8.8.8 начинает пинговать сеть 10.1.1.0/24, а этого быть не должно!

Подскажите как это поправить?

PS: маршрутизацию можно использовать только OSPF.

Comments

[port9nka]

А пронатиться на обоих роутерах нельзя? Т.е. на первом меняете source на сетку 172.16.x.x. А на втором на 8.8.8.1.

[Rad1us]

Нет, условия задачи именно такие.

[hobbyte]

на R1 - redistribute conn., на нате разнести ospf по процессам( можно и не делать, или по зонам), ну и фильтровать в сторону инета, не?

[RMavrichev]

У Вас на R_NAT нет маршрута к сети 10.1.1.0/24. Поэтому трафик не пойдёт пока вы его не добавите. На сервере 8.8.8.8, в свою очередь, дефолт гейтвей указывает на 8.8.8.1, т.о., при появлении на R_NAT маршрута к 10.1.1.0/24 - эта сеть также доступна. Как уже предлагали - можно зафильтровать этот доступ acl на Fa0/1 , тогда останется только доступ через NAT.

[Павел Спасский]

Попробуйте так на R_NAT

enable
conf t
no access-list 1 permit 10.1.1.0 0.0.0.255
access-list 100 deny ip any 10.1.1.0 0.0.0.255
access-list 100 deny ip any 172.16.0.1 0.0.0.3
access-list 100 permit ip any any
interface FastEthernet0/1
ip access-group 100 in
exit

Вешаем на входящий порт ACL, который запрещает доступ ко всем сеткам за NAT.

Answer 1

[insekt]

NAT в данном случае не помощник. В функцию NATа не входит блокировка трафика. Если надо запретить извне - вовнутрь, то повесть на FE0/1 список доступа.