我有一台 Cisco 路由器,我们让用户通过 VPN 接入。一切运行正常,直到他们尝试连接到静态映射到外部的端口(例如,我有一台邮件主机,可通过端口 25 访问外部世界)。为了实现这一点,我在配置中进行了以下设置。
ip nat inside source static tcp 192.168.x.x 25 interface myinterface 25
当我连接到 vpn 时,我可以 ping 主机 192.168.xx,但无法连接到端口 25。网络内部的人可以连接到该端口,并且可以通过接口地址访问互联网。我遗漏了什么?提前感谢帮助
答案1
从来没有完全按照你的意愿去做。但我认为你可能只需要使用路由图创建一个静态 nat 条目。然后在路由图中,匹配 ACL_NUMBER。然后在该 ACL 中,不允许 VPN 流量。
这个思科这篇文章可能会对你有帮助。
答案2
我怀疑 NAT 优先于 VPN。当您通过 VPN ping 192.168.xx 时,返回流量会到达防火墙并通过 VPN 发送。当您尝试使用端口 25 时,我预计返回流量会到达防火墙并进行 NAT,而不是通过防火墙。
我不知道 IOS 的来龙去脉,但你应该能够更改优先级并让 VPN 在 NAT 之上运行。VPN 配置中也可能有设置告诉它忽略 VPN 中的 NAT。