Я создал туннель IPsec между нашим CSR 1000v (AWS) и маршрутизатором поставщика услуг LTE (ASR), и я могу пропинговать обе стороны туннеля со следующей архитектурой:
|<---> интернет <---> веб-сервер 134.231.4.100
CSR 1000v: |GigabitEthernet1 12.21.0.134 (сопоставлен с эластичным IP-адресом 54.154.54.AAA)
|GigabitEthernet2 12.21.4.50 (частная подсеть)
|
|
ASR: 10.0.16.1 (сопоставлен с Elastic IP 54.229.30.BBB)
|
Полевое устройство 10.0.16.100
Нам нужно получить доступ к нашему веб-серверу с общедоступным IP-адресом 134.231.4.100, и, установив NAT, я могу получить к нему доступ (или любой общедоступный IP-адрес) из домена в пределах 12.21.0.0/16 диапазон, где список доступа NAT установлен как:
CSR1000#показать списки доступа
Стандартный список IP-доступа GS_NAT_ACL
10 разрешений 192.168.35.0, подстановочные биты 0.0.0.255
Расширенный список IP-доступа NAT-LAN
10 разрешить ip 12.21.4.0 0.0.0.255 любой
Мне также нужно организовать трафик между узлами за туннелем IPsec (10.0.16/22), поэтому я расширил списки доступа NAT-LAN до:
CSR1000#показать списки доступа NAT-LAN
Расширенный список IP-доступа NAT-LAN
10 разрешить ip 12.21.4.0 0.0.0.255 любой
20 разрешить ip 10.0.16.0 0.0.0.255 любой
но я не могу пропинговать веб-сервер с полевого устройства 10.0.16.100 (или узлов за туннелем IPsec).
Не могли бы вы сообщить мне, нужно ли мне добавить/изменить конфигурацию, чтобы предоставить доступ в Интернет к устройствам в поле (или перенаправить трафик с узлов IPSec в Интернет)?
