>Здравствуйте!
>Есть роутер 2800 который одним концом смотрит в мир, другим на asa
>5510 за которой уже находится сетка юзверей.
>Получается НАТ в НАТ, а именно:
>
>от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на
>192.168.0.3 (тоже 5510)
>и идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит
>на 213.169.*.*
>
>
>
>Нужно пробросить порт 3389 на комп юзверя.
>как пробрасывать порт на 2800 - я знаю, а вот как его
>пробросить в данном случае? >Что и где надо писать в 5510?
Как я понимаю ситуация следующая (примерные ип):
10.2.0.2 <-----> 10.2.0.1{5510}192.168.0.3 <------> 192.168.0.1 {2800} 213.169.x.x <--
Вам надо пробросить 213.169.x.x:3389 на 10.2.0.2:3389.
Для этого на 28-ой (оставляем интерфейсы как и было):
interface FastEthernet0/0
ip address 213.169.x.x 255.255.255.252
ip nat outside
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source static tcp 213.169.x.x 3389 10.2.0.2:3389 extendable
Вроде бы все. На 5510 ничего не нужно. Единственное что, ип=10.2.0.2:3389 вам нужно будет исключить из ACL'ов ната. И статик роут на 2800:
ip route 10.2.0.2 255.255.255.255 FastEthernet0/1
Таким образом пакеты с мира с dst=213.169.x.x:3389 будут натиться (точнее PAT'иться) на dst=10.2.0.2:3389, но наоборот)))) (так как outside int у тебя внешний, а инсайд - внутренний - будет source translation). Дальше с 2800 по статик роуту пакеты будут уходить по назначению.
P.S.: это предыдущий топик - http://www.opennet.ru/openforum/vsluhforumID6/12649.html
