cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
Community Member

Mala configuración de una Lan2Lan

Hola a todos,

Estoy configurando una L2L con un Cisco 891. Anteriormente este dispositivo también daba salida a Internet, pero al configurar el túnel IPSec solo puedo tener una de las salidas, o hacia el túnel o a INet.

Os pego la configuración del IPSec y las ACLs. Yo pienso que hay una ACL que restringe a la anterior, pero no logro dar con ella.

crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 5
 lifetime 28800
crypto isakmp key [[password]] address IP_PEER_REMOTO
!
crypto ipsec transform-set TS_L2L esp-aes 256 esp-sha-hmac
 mode tunnel
!
crypto map CM_L2L 1 ipsec-isakmp
 description IPSec_L2L
 set peer IP_PEER_REMOTO
 set transform-set TS_L2L
 set pfs group5
 match address 101
!
interface GigabitEthernet0
 description WAN
 ip address 192.168.0.254 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map CM_L2L
!
ip nat pool NAT_L2L 10.1.1.1 10.1.1.1 netmask 255.255.255.0
ip nat inside source route-map RM_L2L pool NAT_L2L overload
ip route 0.0.0.0 0.0.0.0 192.168.0.1 permanent
!
route-map RM_L2L permit 1
 match ip address 100
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
access-list 100 deny   ip host 10.1.1.1 172.1.1.0 0.0.0.255 (una subred remota)
access-list 100 deny   ip host 10.1.1.1 192.168.10.0 0.0.0.255 (una subred remota)
access-list 100 permit ip 192.168.0.0 0.0.0.255 172.1.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
!
access-list 101 permit ip host 10.1.1.1 172.1.1.0 0.0.0.255
access-list 101 permit ip host 10.1.1.1 192.168.10.0 0.0.0.255
!
access-list 102 permit ip any any

 

Con esta configuración, tengo acceso al túnel IPSec sin problemas, pero no tengo salida a INet. Si agrego este NAT me pasa lo contrario, tengo salida a INet pero no al túnel:

ip nat inside source list 102 interface GigabitEthernet0 overload

¿Qué estoy haciendo mal?,

Gracias.
 

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
Community Member

Ok,Si lo que tratas de hacer

Ok,

Si lo que tratas de hacer es que tu red interna (192.168.1.0/24) se comunique por medio de vpn con la red remota (172.1.1.0/24) y que también tenga acceso a internet debes configurar el NAT de la siguiente manera:

 

*Access list para el NAT

-Access-list 100 deny ip 192.168.1.0 0.0.0.255 172.1.1.0 0.0.0.255

(especificas que cuando tu lan se dirija a la red remota no le hara NAT)

-Access-list 100 permit ip 192.168.1.0 0.0.0.255 any

(pero que para todas las demas redes, incluyendo internet si le hara NAT, asi habrá acceso a internet)

 

-Access list para el trafico de la VPN

Access-list 101 permit 192.168.1.0 0.0.0.255 172.1.1.0 0.0.0.255

(especificas cuales redes quieres comunicar por la vpn)

 

*El Route-Map se queda igual

-Route-map RM_L2L permit 1

Match ip addres 100

(donde especificaste que va hacer match con la ACL 100)

 

*Nat

Ip nat inside source route-map RM-L2L interface GigabitEthernet overload

(especificas que el NAT usuara el route-map RM_L2L y que la interfaz de salida es tu WAN)

5 RESPUESTAS
Community Member

Hola..Pega la configuración

Hola..

Pega la configuración de la interfaz LAN, al parecer tienes un problema con el NAT, adjunto un ejemplo de como deberías configurarlo. 

Community Member

Esta es la configuración de

Esta es la configuración de las interfaces.

 

interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 no ip address
!
interface FastEthernet5
 no ip address
!
interface FastEthernet6
 no ip address
!
interface FastEthernet7
 no ip address
!
interface GigabitEthernet0
 description WAN
 ip address 192.168.0.3 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map CM_L2L
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!

Gracias emora6001.

Community Member

Ok,Si lo que tratas de hacer

Ok,

Si lo que tratas de hacer es que tu red interna (192.168.1.0/24) se comunique por medio de vpn con la red remota (172.1.1.0/24) y que también tenga acceso a internet debes configurar el NAT de la siguiente manera:

 

*Access list para el NAT

-Access-list 100 deny ip 192.168.1.0 0.0.0.255 172.1.1.0 0.0.0.255

(especificas que cuando tu lan se dirija a la red remota no le hara NAT)

-Access-list 100 permit ip 192.168.1.0 0.0.0.255 any

(pero que para todas las demas redes, incluyendo internet si le hara NAT, asi habrá acceso a internet)

 

-Access list para el trafico de la VPN

Access-list 101 permit 192.168.1.0 0.0.0.255 172.1.1.0 0.0.0.255

(especificas cuales redes quieres comunicar por la vpn)

 

*El Route-Map se queda igual

-Route-map RM_L2L permit 1

Match ip addres 100

(donde especificaste que va hacer match con la ACL 100)

 

*Nat

Ip nat inside source route-map RM-L2L interface GigabitEthernet overload

(especificas que el NAT usuara el route-map RM_L2L y que la interfaz de salida es tu WAN)

Community Member

Acabo de retomar este tema,

Acabo de retomar este tema, he realizado una configuración desde 0, siguiendo las ACLs que proponías y bingo!!

 

Muchas gracias.

Community Member

Puede ser que falte ese NAT

Puede ser que falte ese NAT?

ip nat inside source list 102 interface GigabitEthernet0 overload
access-list 102 deny 192.168.1.0 0.0.0.255 IP_PEER_REMOTO
access-list 102 permit ip 192.168.1.0 0.0.0.255 any

Gracias!

184
Visitas
0
ÚTIL
5
Respuestas
CrearPor favor para crear contenido