Как настроить интернет-центр для организации доступа в Интернет с включенным NAT, а в корпоративную сеть доступ без NAT (с IP-адресами из своей локальной сети)?

Имеется подключение к провайдеру со статическим IP-адресом и подключение к корпоративной сети без доступа в Интернет (через PPTP-подключение). Как настроить интернет-центр для организации доступа в Интернет с включенным NAT, а в корпоративную сеть доступ без NAT (с IP-адресами из своей локальной сети)?


Пусть в интернет-центре настроено подключение ISP для выхода в Интернет.

Также имеется PPTP-соединение для подключения к корпоративной сети.

После подключения по PPTP интернет-центр получает IP-адрес 192.168.11.2.

По умолчанию в локальной сети включен NAT (функция трансляции сетевых адресов) для всех внешних интерфейсов. Таким образом все пакеты в направлении Интернета будут уходить с интернет-центра с IP-адресом источника 192.168.10.133, а в корпоративную сеть – с IP-адресом источника 192.168.11.2.

Теперь в интерфейсе командной строки (CLI) устройства выполните следующие команды:

no ip nat Home
interface PPTP0 security-level private
no isolate-private


После выполнения данных команд для домашней сети полностью будет отключен NAT. Чтобы включить его только для интерфейса с доступом в Интернет, нужно будет воспользоваться командой ip static. 

В нашем случае команда может выглядеть следующим образом:

ip static Home 192.168.10.133 или ip static 192.168.1.0 255.255.255.0 192.168.10.133


Данная команда работает для внешних интерфейсов, которые используются для выхода в Интернет (в настройках установлена галочка Использовать для выхода в Интернет). Т.е. в нашем случае данное правило будет срабатывать для пакетов, проходящих через интерфейс ISP.

Для трафика в корпоративную сеть данное правило срабатывать не будет и пакеты будут уходить со своими локальными IP-адресами.

Внимание! Для корректной работы маршрутизации через PPTP-туннель на сервере нужно прописать маршрут, который указывает, что сеть 192.168.1.0/24 находится за IP-адресом 192.168.11.2.

Внимание! Приведенная в данном примере схема будет работать, если на интерфейсе доступа в Интернет используется статический IP-адрес.
Начиная с версии ОС NDMS v2.09 более не требуется наличие статического IP-адреса на интерфейсе ISP. Теперь можно использовать команду ip static для включения NAT не только между интерфейсом и IP-адресом, но и между двумя интерфейсами (например: ip static Home ISP). Дополнительная информация представлена в статье: «Синтаксис и описание команды ip static для настройки трансляции сетевых адресов NAT» 

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 18 из 21