Tenemos un tunel ipsec entre los dos routers, nuestro router es el Router_VPN
Tenemos un tunel configurado, nosotros solo tenemos accesos de nuestro lado. Nuestro router necesita acceso a internet luego mínimo 3 reglas de NAT
Necesitamos un nat para que todo el trafico con destino 1.1.1.1 use como origen la 2.2.2.2
Un nat para todo el trafico con destino 10.10.10.10. use como origen la 3.3.3.3
Un nat para que la red 192.168.1.0/24 pueda navegar
Creamos el nat para navegar
ip access-list extended nat deny ip any host 1.1.1.1 ! denegamos el nat de internet el destino ipsec deny ip any host 10.10.10.10 ! denegamos el nat de internet el destino ipsec permit ip 192.168.1.0 0.0.0.255 any
Creamos dos access-list para los destinos que hay que hacer nat
ip access-list extended DOS permit ip 192.168.1.0 0.0.0.255 host 1.1.1.1 ip access-list extended TRES permit ip 192.168.1.0 0.0.0.255 host 10.10.10.10
Creamos los pool de nat y el nat de internet
ip nat pool DOS 2.2.2.2 2.2.2.2 prefix-length 24 ip nat pool TRES 3.3.3.3 3.3.3.3 prefix-length 24 ip nat inside source list NAT interface FastEthernet0/0 overload
Para hacer match usamos dos route maps
route-map TRES permit 10 match ip address TRES ! route-map DOS permit 10 match ip address DOS
Y aplicamos la reglas de nat específicas a los destinos del tunel
ip nat inside source route-map DOS pool DOS ip nat inside source route-map TRES pool TRES
Tampoco se nos tiene que olvidar añadir los destinos a la ACL del tunel IPSEC
ip access-list extended IPSEC permit ip any host 1.1.1.1 permit ip any host 10.10.10.10
Dejo un ejemplo en video
No hay comentarios:
Publicar un comentario