crypto map lf 1 ipsec-isakmp
set peer X1X.XX.XX.X60
set security-association lifetime seconds 28800
set transform-set lf
match address LF
interface Loopback0
ip address 172.16.197.100 255.255.255.255
ip nat outside
ip virtual-reassembly in
interface FastEthernet0/0
description --==EXTERNAL==--
ip address X93.XX.XX.6 255.255.255.0 secondary
ip address X93.XX.XX.4 255.255.255.192
ip access-group EXTERNALTOLAN in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map lf
interface Vlan5
description --==LAN==--
ip address 192.168.1.1 255.255.255.0
ip access-group LANTOEXTERNAL in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
ip nat pool OFFICEIP X93.XX.XX.4 X93.XX.XX.4 netmask 255.255.255.192
ip nat pool TECHIP X93.XX.XX.6 X93.XX.XX.6 netmask 255.255.255.128
ip nat source list LFNAT interface Loopback0 overload
ip nat inside source list OFFICENAT pool OFFICEIP overload
ip nat inside source list TECHNAT pool TECHIP overload
ip nat inside source static tcp 192.168.1.7 80 172.16.197.100 80 extendable
ip access-list extended LF
permit ip host 172.16.197.100 host X1X.XX.XX.39
ip access-list extended LFNAT
permit ip host 192.168.1.7 host X1X.XX.XX.39 log
ip access-list extended OFFICENAT
deny ip object-group TECHIP any
deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39
permit ip object-group OFFICEIP any
permit ip object-group GUESTIP any
ip access-list extended TECHNAT
deny ip object-group OFFICEIP any
deny ip object-group GUESTIP any
deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39
permit ip object-group TECHIP any
С моей стороны Cisco 2811. Речь о IPSEC. На внешнем интерфейсе висит crypto map.
За пиром 212.ХХ.XX.XX есть сетка 10.х.х.х . Трафик из этой сетки должен прилететь на loopback моей Cisco 172.16.197.100 пронатится внутрь 192.168.1.0/24 на хост 192.168.1.7 на 80 порт и после ответа соответственно вернуться обратно. Можно любым другим способом.
Я уже к этому пришел, однако у меня не хватает знаний, как создать из OpenWRT бридж. Пробовал с помощью relayd, безрезультатно. Добился только, что компьютер за вторым роутером начал получать IP. И то только в случае если протокол интерфейса wwan перевести в режим с dhcp в неуправляемый.
Anton Zheltyshev: Оно. НО! При запросе "ху из" почтовик, ДНС отвечает внешним айпи. Внешний айпи висит на микротике, к которому подключен клиент который спрашивает "ху из" почтовик... Поэтому приходится делать DNAT на внешний айпи микротика с заворотом на почтовик. Так вот когда приходит пакет на почтовик то Source там не клиентский, например 192.168.0.100, а микротиковский 192.168.0.254
Согласен, но трафик натится на внутри сети на почтовик. То есть почтовику приходит IP не сервера а микротика. И если на почтовике не добавить в доверенные в рилее микротик то почта не ходит...
Вторая внутренняя сеть поднята для другого сегмента сети. 0 со временем будет погашена. Ну так начали строить. Изначально задача по огранизацию взаимодействия с почтовиком стояла таким образом чтобы софт коннектился не по IP Exchange а по мирскому имени и NAT устраивал до момента пока на Exchange не понадобилось сделать Relay для нескольких внутренних IP. . А для этого необходимо было прописывать в Exchange IP Микротика. Ну и соотвественно сделан проброс 25 порта из мира на Exchange то есть Relay открыт для всего интернета. А это ну никак меня не устривает.
