Problème de NAT et VPN sur IOS 12.x

[nicko1977]

Bonjour,

J'ai relié sans problèmes plusieurs sites en VPN IPSEC pour utiliser un serveur TSE. Tout marche impeccable.
Le problème est quand je veux rajouter une redirection static avec la commande ip nat sur le port 3389 pour faire de la télémaintenance sans passer par le VPN. Quand je rajoute le NAT static, j'accede bien par l'adresse publique, mais ceux qui passent par le VPN ne peuvent plus se connecter en TSE. On dirait que la commande static prend le pas sur la partie nonat.
Si qqun sait comment contourner le problème, ou alors si il y a une commande a rajouter dans la config suivante. (je n'ai pas ce problème sur cisco pix, les connexion tse par vpn et par redirection de ports marchent).


!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxx
!
no logging buffered
!
no aaa new-model
no ip subnet-zero
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name myfw icmp
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
!
crypto ipsec transform-set SECURE esp-3des esp-sha-hmac
!
crypto map xxx 10 ipsec-isakmp
set peer xxx
set transform-set SECURE
match address 150
!
!
!
!
interface Ethernet0
ip address 192.168.10.254 255.255.255.0
ip access-group 101 in
ip nat inside
ip inspect myfw in
ip tcp adjust-mss 1452
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
dsl power-cutback 0
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
crypto map xxx
!
ip nat inside source static tcp 192.168.10.1 3389 interface Dialer1 3389
ip nat inside source route-map nonat interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit ip xxx xxxany
access-list 111 permit ip xxx xxx any
access-list 111 permit ip 192.168.20.0 0.0.0.255 any
access-list 111 deny ip any any
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
dialer-list 1 protocol ip permit
route-map nonat permit 10
match ip address 120
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end

[papaye]

Bonjour

Peut etre votre probleme a t'il un rappport avec la commande nat-traversal.

Voici un lien qui parle de ceci :

http://www.cisco.com/en/US/products/sw/iosswrel/ps1839/products_feature_guide09186a0080110bca.html#wp1027129

papaye