>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на
>>> нем(lo) висит.
>>> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
>> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер
>> часть трафика будет считать "своим"
> В условиях когда клиенту нельзя видеть на прямую сети в которой находится
> сервер(ssh), что мне оставалось сделать?Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе.
Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством тунеля и с правильной стороны (inside/outside).
простой пример:
(10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 ip: .1)-(192.168.0.0/24)
Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24.
Чтобы как-то дать доступ к своим ресурсам сети R2, они им с барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не колупайте нам мозг.
тогда на R1:
!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
ip address 10.0.1.1 255.255.255.0
int fas0/1
ip address r1.r1.r1.r1
crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
set peer r2.r2.r2.r2
match address 100
! прочая требуха
!
ip access-list extended 100
permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
!
ip route 10.0.2.0 255.255.255.0 в интернет
А на R2:
!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
int fas0/1
ip address r2.r2.r2.r2
ip nat outside
crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
set peer r1.r1.r1.r1
match address 100
! прочая требуха
!
!
! заметь, что в этом листе ни слова про 192.168.0.0/24
ip access-list extended 100
permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip access-list extended 101
permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0
ip nat inside source static list 101 pool pool10
!
!
ip route 10.0.1.0 255.255.255.0 в интернет
удаленная сторона будет видеть траффик от выданой сети