我有两个Cisco ADSL调制解调器通常configurationNAT内部stream量到ISP。 这样可行。
我有两个端口转发其中一个SMTP和IMAP从外部到内部这提供了外部访问邮件服务器。 这工作。
进行端口转发的调制解调器也会终止PPTP VPNstream量。
办公室内部有两台DNS服务器,它们将邮件parsing为本地地址,另外一台办公室将世界上其他地方的邮件parsing为外部接口。 这一切工作。
我最近在两个调制解调器之间添加了一个IPSec VPN,除了通过IPSec VPN连接到远程局域网上的工作站上的端口25或143上的邮件服务器之外,它们都可以工作。
似乎端口转发的调制解调器混淆了来自邮件服务器的stream量,该stream量来自IPSec VPN另一端的计算机,以便stream量返回到端口转发连接。
到邮件服务器的PPTP VPNstream量很好。
这是任何人都熟悉的情况,并有任何build议如何解决它?
非常感谢
艾伦
但是等一下还有更多…..
这是natconfiguration的战略部分。 路由映射用于排除可通过来自Nate的IPSec隧道到达的lans。
int ethernet0 ip nat inside int dialer1 ip nat outside ip nat inside source route-map nonat interface Dialer1 overload route-map nonat permit 10 match ip address 105 access-list 105 remark *** Traffic to NAT access-list 105 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255 access-list 105 deny ip 192.168.1.0 0.0.0.255 192.168.48.0 0.0.0.255 access-list 105 permit ip 192.168.1.0 0.0.0.255 any ip nat inside source static tcp 192.168.1.241 25 interface Dialer1 25 ip nat inside source static tcp 192.168.1.241 143 interface Dialer1 143 冒着回答我自己的问题的风险,我解决了思科以外的问题。
我绑定了一个从IP地址到邮件服务器192.168.1.244,改变了端口转发使用它,而留下所有本地和IPSecstream量使用192.168.1.241和问题解决了。
新的端口转发。
ip nat inside source static tcp 192.168.1.244 25 interface Dialer1 25 ip nat inside source static tcp 192.168.1.244 143 interface Dialer1 143
显然这是一个混乱的解决scheme,能够在思科解决这个问题将是可取的。
在我看来,你对任何一方的内部networking都有豁免权。 那是对的?
如果是的话,也为端口做一个路由映射,特别是当源是远程networking时否认。
我自己曾多次为此苦苦挣扎,找出最简单的解决办法。
您必须更改应用端口的方式,而不是绑定到外部接口,而是绑定到路由映射。 有点奇怪,为什么它不只是工作,但我很高兴现在经过了大量的networking拖网,这是我发现的最接近的答案!
所以FYI,如果你使用下面的代码为你的端口转发,事情应该像预期的那样
ip nat inside source static tcp 192.168.1.241 25 <external-ip> 25 route-map nonat ip nat inside source static tcp 192.168.1.241 143 <external-ip> 143 route-map nonat
唯一的问题是,当你有一个dynamic的外部IP时,它并不真正迎合端口转发 – 但是你不会做ipsec VPN,所以它不应该影响很多!