Cisco IPSec、nat 和端口转发不能很好地协同工作

Cisco IPSec、nat 和端口转发不能很好地协同工作

我有两个 Cisco ADSL 调制解调器,按照常规配置将内部流量通过 NAT 转发到 ISP。这样就行了。

我在其中一个服务器上为 SMTP 和 IMAP 设置了两个端口转发,从外部到内部,这样就可以为邮件服务器提供外部访问。这样就行了。

执行端口转发的调制解调器也会终止 PPTP VPN 流量。

办公室内有两台 DNS 服务器,一台用于将邮件解析到本地地址,另一台用于将世界其他地方的邮件解析到外部接口。一切正常。

我最近在两个调制解调器之间添加了 IPSec VPN,它适用于所有事情,除了通过 IPSec VPN 从远程局域网上的工作站到端口 25 或 143 上的邮件服务器的连接。

看起来,带有端口转发功能的调制解调器会将来自邮件服务器、发往 IPSec VPN 另一端机器的流量与应该返回到端口转发连接的流量混淆。

PPTP VPN 流量到邮件服务器正常。

这是一个任何人都熟悉的场景吗?有什么关于如何解决这个问题的建议吗?

非常感谢

艾伦

但请稍等,还有更多......

这是 nat 配置的战略部分。路由图用于排除可通过 IPSec 隧道访问的局域网。

int ethernet0
  ip nat inside

int dialer1
  ip nat outside
  ip nat inside source route-map nonat interface Dialer1 overload

route-map nonat permit 10
  match ip address 105

access-list 105 remark *** Traffic to NAT
access-list 105 deny   ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 105 deny   ip 192.168.1.0 0.0.0.255 192.168.48.0 0.0.0.255
access-list 105 permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source static tcp 192.168.1.241 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.241 143 interface Dialer1 143

冒着回答我自己的问题的风险,我在思科领域之外解决了这个问题。

我将辅助 IP 地址绑定到邮件服务器 192.168.1.244,更改端口转发以使用它,同时让所有本地和 IPSec 流量使用 192.168.1.241,问题就解决了。

新港口转发。

ip nat inside source static tcp 192.168.1.244 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.244 143 interface Dialer1 143

显然这是一个混乱的解决方案,最好能够在思科中解决这个问题。

答案1

我自己也曾多次为此苦苦挣扎,结果找到了最简单的解决方案......

您必须更改端口转发的应用方式,而不是绑定到外部接口,而是绑定到路由图。有点奇怪为什么它不起作用,但我很高兴在经过大量的网络搜索后现在已经修复了它,这是我找到的最接近答案的东西!

因此,仅供参考,如果您使用以下代码进行端口转发,则一切应按预期运行

ip nat inside source static tcp 192.168.1.241 25 <external-ip> 25 route-map nonat
ip nat inside source static tcp 192.168.1.241 143 <external-ip> 143 route-map nonat

唯一的问题是,当您有一个动态的外部 IP 时,它实际上并不适用于端口转发 - 但您不会执行 ipsec VPN,因此它不应该影响太多!

答案2

我觉得您对两侧的内部网络都享有 nat 豁免。对吗?

如果是这样,请为端口转发制作一个路由图,并且当源是远程网络时明确拒绝这种情况。

相关内容