The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco NAT Проброс порта вовнутрь"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Cisco NAT Проброс порта вовнутрь"  +2 +/
Сообщение от Strelok on 02-Май-06, 12:12 
Всем привет.
Вопрос возник такой: настроил НАТ, внутри 192.168.0.0/24, снаружи один адрес 80.х.х.х/30, внутрь пробросил 22 порт на 192.168.0.254. При попытке соединения с 80.х.х.х снаружи, порт пробрасывается, всё тип-то, но когда я пытаючь соединиться с 80.х.х.х с любого адреса из 192.168.0.х, то проброс не происходит. Не подскажете, плз, куда копать.
Спасибо.

interface Ethernet0
ip address 80.х.х.х 255.255.255.252
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
ip nat inside source list NAT-ACC interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
ip access-list standard NAT-ACC
permit 192.168.0.0 0.0.0.255
deny   any

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 12:29 
Попробовал вместо
ip nat inside source list NAT-ACC interface Ethernet0 overload
использовать
ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
ip nat inside source list NAT-ACC pool NAT-POOL overload
та же фигня :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от ilya email(ok) on 02-Май-06, 12:44 
>Попробовал вместо
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>использовать
>ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
>ip nat inside source list NAT-ACC pool NAT-POOL overload
>та же фигня :(


а зачем конектиться на внешний адрес изнутри?
как-то неправильно это...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 12:56 
>а зачем конектиться на внешний адрес изнутри?
>как-то неправильно это...
Мне надо настроить коннект к этой машинке 192.168.0.254:22 с ноутбука, который может быть как изнутри сети, так и снаружи.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 13:00 
Заметил вот еще что: при инициализации коннекта в sh ip nat translations не появляется записи об этом коннекте.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от sh_ email(??) on 02-Май-06, 13:21 
А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе

int fa 0
ip pol ro fuck
route-map fuck
match ip add 100
set ip next-h 192.168.0.254
access-l 100 perm ip an 80.x.x.x

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 14:41 
>А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе
А зачем secondary прописывать?
>
>int fa 0
>ip pol ro fuck
>route-map fuck
>match ip add 100
>set ip next-h 192.168.0.254
>access-l 100 perm ip an 80.x.x.x
Если настроить роут-мап, то исходящий пакет на 80.х.х.х пойдет через циску на 192.168.0.254, а ответ вернется через Ethernet напрямую. Так будет работать?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от sh_ email(??) on 02-Май-06, 14:44 
>А зачем secondary прописывать?

Чтобы работало...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 14:53 
>>А зачем secondary прописывать?
>
>Чтобы работало...
А с какой маской?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от sh_ email(??) on 02-Май-06, 15:37 
255.255.255.255
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 15:47 
>255.255.255.255

Сейчас попробую, а средствами ната это не решается?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от ilya email(ok) on 02-Май-06, 15:53 
>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?


решается.
запись статического ната с route-map`ом.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 18:28 
>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?
Не работает :(
#sh route-map fuck
route-map fuck, permit, sequence 10
  Match clauses:
    ip address (access-lists): 100
  Set clauses:
    ip next-hop 192.168.0.254
  Policy routing matches: 0 packets, 0 bytes
#sh ip access-lists 100
Extended IP access list 100
    10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от ilya email(ok) on 02-Май-06, 18:35 
>>>255.255.255.255
>>
>>Сейчас попробую, а средствами ната это не решается?
>Не работает :(
>#sh route-map fuck
>route-map fuck, permit, sequence 10
>  Match clauses:
>    ip address (access-lists): 100
>  Set clauses:
>    ip next-hop 192.168.0.254
>  Policy routing matches: 0 packets, 0 bytes
>#sh ip access-lists 100
>Extended IP access list 100
>    10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98


конфиг?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 18:44 
>конфиг?
interface Ethernet0
ip address 80.x.x.x 255.255.255.252
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip policy route-map fuck
speed auto
!
ip nat inside source list NAT-ACC interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
route-map fuck permit 10
match ip address 100
set ip next-hop 192.168.0.254
!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от ilya email(ok) on 02-Май-06, 19:04 
>>конфиг?
>interface Ethernet0
> ip address 80.x.x.x 255.255.255.252
> ip nat outside
> full-duplex
>!
>interface FastEthernet0
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> ip policy route-map fuck
> speed auto
>!
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
>
>access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
>route-map fuck permit 10
> match ip address 100
> set ip next-hop 192.168.0.254
                   ^^^^^^^^^^^^^^^ тут нет ошибки? некст-хоп - удаленный хост а не лупбэк?
>!

и имелось в виду немного другое


ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22  route-map <NAME>

но прежде чем сделать эту трансляцию уберите полиси-роутинг.

и еще раз вопрос - почему месье хочет странного?
проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от Strelok on 02-Май-06, 19:16 
>В acl должны матчиться пакеты, идущие на 82.114.104.98.
To sh_: Издержки конспирации. матчится то что надо :)
>> set ip next-hop 192.168.0.254
>            
>       ^^^^^^^^^^^^^^^ тут нет ошибки?
>некст-хоп - удаленный хост а не лупбэк?
>>!
Это по совету предидущего оратора :) надо локальный лупбэк?
>
>и имелось в виду немного другое
>
>
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22  route-map <NAME>
>
>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
Ща сделаем.
>
>и еще раз вопрос - почему месье хочет странного?
>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. Есть ноут, который бывает как внутри сетки так и с наружи. На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига к серверу не коннектится. Если есть какие-то другие решения этой проблемы -- буду благодарен.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от ilya email(ok) on 03-Май-06, 09:34 
>>В acl должны матчиться пакеты, идущие на 82.114.104.98.
>To sh_: Издержки конспирации. матчится то что надо :)
>>> set ip next-hop 192.168.0.254
>>            
>>       ^^^^^^^^^^^^^^^ тут нет ошибки?
>>некст-хоп - удаленный хост а не лупбэк?
>>>!
>Это по совету предидущего оратора :) надо локальный лупбэк?
эм. обычно в полиси роутинге прописывается лупбэк (в подобных задачах)
хотя поищите на циске NAT Order of Operation
и подумайте будет ли оно работать...

>>и имелось в виду немного другое
>>
>>
>>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22  route-map <NAME>
>>
>>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
>Ща сделаем.
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>Есть ноут, который бывает как внутри сетки так и с наружи.
>На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>-- буду благодарен.
дык есть конечно. недавно в форуме пробегала тема про разные зоны (или не зоны, не помню) для ДНС - для локальных пользователей выдается одни IP
для внешних - другие... соответственно прописываете не IP а днс-имя и ваша проблема должна решиться.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от oga on 09-Авг-12, 12:56 
>[оверквотинг удален]
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
> Есть ноут, который бывает как внутри сетки так и с наружи.
> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
> -- буду благодарен.

На ноуте в hosts пропиши одно имя в две строки с двумя разными ip один внешний один внутренний и будет радость.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от eucariot email(ok) on 09-Авг-12, 15:20 
>[оверквотинг удален]
>>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>> Есть ноут, который бывает как внутри сетки так и с наружи.
>> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>> -- буду благодарен.
> На ноуте в hosts пропиши одно имя в две строки с двумя
> разными ip один внешний один внутренний и будет радость.

Вопрос построю так:
Есть сайт в интернете, на котором идёт трансляция видео из моей локальной сети. Если я из своей же сети обращаюсь туда, то флэш говорит мне - видео брать с такого вот адреса (а это мой внешний адрес). Разумеется, видео я не вижу, потому что обращаюсь изнутри на свой внешний адрес. Как тут быть?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

16. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от sh_ email(??) on 02-Май-06, 19:04 
В acl должны матчиться пакеты, идущие на 82.114.104.98.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от bLeArrEaZ0N on 10-Май-06, 12:08 
Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо того, чтобы мучить роутер (особенно когда клиент и так использует fqdn для общения с сервером).

Данная схема применялась неоднократно и показала себя вполне работоспособной.

Существует два DNS сервера. Один из них находится во внешнем периметре (например, зона размещена у провайдера), а второй – в локальной сети. Оба сервера содержат зону «domain.com». Так как у регистратора будет указан IP только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» в результате чего, находясь в LAN, при обращении к mail.domain.com он попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении к mail.domain.com, клиент попадает на  82.114.104.98.

Всё.

==============================================

Конфигурация «внешнего DNS»
@       IN      SOA     ns1.domain.com. noc.ns1.domain.com. (
                                2006051001 ; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum
        IN      NS      ns1.domain.com.
        IN      MX      10      mail.domain.com.

@       A       82.114.104.98
ns1     A       82.114.104.98
mail  CNAME   ns1.domain.com.

===============================================

Конфигурация «внутреннего DNS»
@       IN      SOA     ns1.domain.com. noc.ns1.domain.com. (
                                2006051001 ; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum
        IN      NS      ns1.domain.com.
        IN      MX      10      mail.domain.com.

@       A       192.168.0.254
ns1     A       192.168.0.254  
mail  CNAME   ns1.domain.com.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от vovat on 12-Май-06, 18:38 
>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>для общения с сервером).
>
>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>
>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>зона размещена у провайдера), а второй – в локальной сети. Оба
>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>к mail.domain.com, клиент попадает на  82.114.104.98.
>
>Всё.
Если есть bind9 проще view.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от mavrusha email(??) on 18-Дек-06, 12:04 
>>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>>для общения с сервером).
>>
>>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>>
>>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>>зона размещена у провайдера), а второй – в локальной сети. Оба
>>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>>к mail.domain.com, клиент попадает на  82.114.104.98.
>>
А если нет желания ставить внутри дополнительный ДНС-сервер , то можно его запустить на самом маршрутизаторе. Примерно так:

ip dns server
ip domain name test.local
ip host vm-pdc.test.local 192.168.0.150
ip host vm-termserver.test.local 192.168.0.160
ip host www.test.ru 192.168.0.252
ip host gate.test.ru 192.168.0.90
ip host mail.test.ru 192.168.0.253
ip name-server 192.168.0.150
ip name-server 217.195.66.253
ip name-server 217.195.65.9

Сначала lookup в hosts, далее запрос днс-серверов по порядку.

P.S. тоже долго мучился с policy-routing, оказалось что проще так сделать.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от eucariot (ok) on 18-Май-11, 05:59 
У вас получилось решить этот вопрос без использования DNS?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Cisco NAT Проброс порта вовнутрь"  +/
Сообщение от McS555 email(ok) on 25-Окт-13, 13:24 
> У вас получилось решить этот вопрос без использования DNS?

Присоединяюсь к вопросу!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру