Приветствую!

Столкнулась с проблемой и пока не вижу как ее можно решить. Ситуация следующая:
На cisco 2811 есть локальное подключение fa0/0 и два внешних fa0/1 и tun0 (туннель приземлен на serial интерфейс).
На локальном интерфейсе ip nat inside, на внешних fa0/1 и tun0 ip nat outside.

Есть необходимость что бы запросы на 25 и 110 порты приходящие на fa0/1 транслировались на локальный адрес. Для этого есть следующие строки в конфигурации:

ip nat inside source static tcp 10.10.44.20 110 interface FastEthernet0/1 110
ip nat inside source static tcp 10.10.44.20 25 interface FastEthernet0/1 25

Но возникла необходимость доступа к локальному адресу на 25 и 110 порты пакетам приходящим по туннелю.
В результате пакеты стали попадать в статический нат и до адреса 10.10.44.20 не доходили.

После удаления строчек выше из конфигурации заработало соединение через туннель, но соответственно перестали работать соединения через fa0/1.

Почему так происходит? И как сделать так, что бы порты на локальном адресе были доступны через оба внешних подключения?

Если я правильно понял, статическая трансляция должна осуществляться только, если пакеты прибегают из внешнего мира, но не осуществляться, если из туннеля?

Для этого надо написать такую конструкцию (route-map с указанием интерфейса)


route-map NATONLY 10
match interface f0/1

ip nat inside source static tcp 10.10.44.20 110 interface FastEthernet0/1 110 route-map NATONLY
ip nat inside source static tcp 10.10.44.20 25 interface FastEthernet0/1 25 route-map NATONLY

Теперь эти трансляции буду выполняться только если запрос прибежал со стороны f0/1

Если надо усложнить схему и транслировать в разные адреса, в зависимости от исходящего интерфейса, то надо написать 2 route-map и 2 ACL (в них указать критерии трансляции: что трансилруем)
А в route-map кроме интерфейса указать ещё и ACL

ip access-l ex ACL1
permit tcp any h XXX eq 25

route-map PRIMER 10
match int f0/1
match ip access ACL1

СУВЖ,Сергей

Да, спасибо, именно то что нужно!
Теперь буду знать.

Добралась до cisco сегодня, но команда не проходит:
ip nat inside source static tcp 10.10.44.20 110 interface FastEthernet0/1 110 r?
% Unrecognized command

версия ios c2800nm-advipservicesk9-mz.124-15.T1

не вижу как указать route-map ...

Наврал немножко
С при трансляции в адрес интерфейса route-map применить нельзя

Если у вас есть ещё адреса глобальные, то можно
ip nat ins s s tcp X.X.X.X 110 Y.Y.Y.Y 110 route-map NATONLY
где Y.Y.Y.Y - глобальный адрес, принадлежащий вам.