Vielleicht kommt man mal in die Verlegenheit, das man nicht alle Daten in einen VPN Tunnel schicken will, sondern einen „local internet breakout“ haben m\u00f6chte. Man schmeisst also nur ein paar Daten in den Tunnel, der Rest wird dynamisch genattet..<\/p>\n
Nehmen wir an das lokale Netz ist 10.10.1.0\/24 die Netze in der zentrale, die per Tunnel erreicht werden sind 10.10.20.0\/24 und 172.16.2.0\/24.<\/p>\n
Man erstellt eine ACL die den zu verschl\u00fcsselnden Traffic denied<\/p>\n
Jetzt bindet man das an eine Routemap<\/p>\n Danach benutzt man die Routemap im nat statement:<\/p>\n Und definioert nachher noch nat Inside und outside<\/p>\n Nat\u00fcrlich muss man auch sicherstellen, dass die routen f\u00fcr den verschl\u00fcsselten Traffic auch auf die Tunnel Interface zeigen (dynamisches Routing Protokolle wie eigrp\/ospf oder statische Routen)<\/p>\n mit show ip nat translation<\/em> kann man schauen ob es translations f\u00fcrs Internet gibt, ansonsten mal testen ob der zugriff in die Zentrale noch geht.<\/p>\n","protected":false},"excerpt":{"rendered":" Vielleicht kommt man mal in die Verlegenheit, das man nicht alle Daten in einen VPN Tunnel schicken will, sondern einen „local internet breakout“ haben m\u00f6chte. Man schmeisst also nur ein paar Daten in den Tunnel, der Rest wird dynamisch genattet.. Nehmen wir an das lokale Netz ist 10.10.1.0\/24 die Netze in der zentrale, die per … Cisco Router, NAT und IPSec<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,15,7,12],"tags":[],"class_list":["post-215","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-cisco","category-erfahrungen","category-job"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=215"}],"version-history":[{"count":4,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/215\/revisions"}],"predecessor-version":[{"id":219,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/215\/revisions\/219"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.20.0 0.0.0.255
\naccess-list 110 deny ip 10.10.1.0 0.0.0.255 172.16.2.0 0.0.0.255
\naccess-list 110 permit ip 10.10.1.0 0.0.0.255 any<\/code><\/p>\nroute-map permit_NAT
\npermit 10 match ip address 110<\/code><\/p>\nip nat inside source route-map permit_NAT interface fast0\/0 overload<\/code><\/p>\n
\nint fa0\/0
\ndescription outside
\nnat outside
\n[..]
\nint fa0\/1
\ndescription inside
\nnat inside
\n[..]
\n<\/code><\/p>\n