forum.opennet.ru - "Доступ на внешний интерфейс из NAT на Cisco 871" (10)

"Доступ на внешний интерфейс из NAT на Cisco 871"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
Сообщение от Takkmoil (?), 23-Апр-10, 15:00
Здравствуйте! Помогите, пожалуйста новичку. Есть Cisco 871, на нём нат, за натом — четыре вебсервера, на внешний интерфейс проброшены порты. Нужно получить доступ изнутри на внешний интерфейс по проброшенным портам. Бьюсь уже второй день :( Конфиг такой: ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local ! ! aaa session-id common clock timezone Moscow 3 clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog no ip source-route ip cef ! ! no ip bootp server ip domain name network.net ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip name-server 4.2.2.2 ! ! ! username ketamine privilege 15 secret 5 ketamine ! ! archive log config logging enable hidekeys ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description WAN ip address 10.10.10.10 255.255.255.0 ip access-group FIREWALL_IN in ip access-group FIREWALL_OUT out ip verify unicast reverse-path no ip redirects no ip proxy-arp ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Vlan1 description LAN ip address 172.27.0.1 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.10.10.10 ! no ip http server no ip http secure-server ip dns server ip nat inside source list NAT interface FastEthernet4 overload ip nat inside source static tcp 172.27.0.11 80 interface FastEthernet4 8811 ip nat inside source static tcp 172.27.0.12 80 interface FastEthernet4 8812 ip nat inside source static tcp 172.27.0.13 80 interface FastEthernet4 8813 ip nat inside source static tcp 172.27.0.14 80 interface FastEthernet4 8814 ! ip access-list extended FIREWALL_IN permit ip any any ip access-list extended FIREWALL_OUT permit ip any any ip access-list extended NAT permit ip any any ! ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 privilege level 15 transport input telnet ! scheduler max-task-time 5000 end
Ответить \| Правка \| Cообщить модератору

Оглавление

что имеется ввиду, если ходить из внутренней сети на сервера по внешним ИП- рабо, blank (ok), 17:55 , 23-Апр-10, (1)

Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего , Takkmoil (?), 18:56 , 23-Апр-10, (2)

ни на каком не будет, ваше хотение решается через ДНС и обращение по имени , blank (ok), 20:09 , 23-Апр-10, (3)

Вы мне не верите, а зря Раньше было сделано именно так другим роутером Теперь , Takkmoil (?), 20:23 , 23-Апр-10, (4)

ну может быть, железо и правда бывает разное и чудное а почему локальный запрос, blank (ok), 21:27 , 23-Апр-10, (5)
Мы вам верим, эта фукнкиональность называется NAT hairpin, и стандартный цисковс, ShyLion (ok), 07:45 , 26-Апр-10, (6)

Спасибо, заработало , Takkmoil (?), 12:50 , 26-Апр-10, (7)

Такая же задача на cisco 861W - никак не получается вроде бы все уже сделал как, Nikolay777 (ok), 17:45 , 16-Авг-11, (8)

gt оверквотинг удален Дай вам Бог здоровья , Delf_Lungran (?), 10:59 , 27-Дек-19, (9)
gt оверквотинг удален спасибо вам большое , andrey (??), 04:19 , 07-Апр-20, (10)

Сообщения [Сортировка по времени | RSS]

1. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от blank (ok), 23-Апр-10, 17:55

>Нужно получить доступ изнутри на внешний интерфейс
>по проброшенным портам.
что имеется ввиду, если ходить из внутренней сети на сервера по внешним ИП- работать не будет.

Ответить | Правка | Наверх | Cообщить модератору

2. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от Takkmoil (?), 23-Апр-10, 18:56

>что имеется ввиду, если ходить из внутренней сети на сервера по внешним
>ИП- работать не будет.
Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего интерфейса.
Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не Cisco), которая стояла до Cisco 871 это было реализовано.

Ответить | Правка | Наверх | Cообщить модератору

3. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от blank (ok), 23-Апр-10, 20:09

>Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего
>интерфейса.
>Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не
>Cisco), которая стояла до Cisco 871 это было реализовано.
ни на каком не будет, ваше хотение решается через ДНС и обращение по имени.

Ответить | Правка | Наверх | Cообщить модератору

4. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от Takkmoil (?), 23-Апр-10, 20:23

>ни на каком не будет, ваше хотение решается через ДНС и обращение
>по имени.
Вы мне не верите, а зря. Раньше было сделано именно так другим роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя бы знать, почему.
DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, а внутри порты другие, и изменить этого нельзя. Работать должно одинаково как снаружи, так и изнутри :(

Ответить | Правка | Наверх | Cообщить модератору

5. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от blank (ok), 23-Апр-10, 21:27

>Вы мне не верите, а зря. Раньше было сделано именно так другим
>роутером.
ну может быть, железо и правда бывает разное и чудное;)
>знать, почему.
а почему локальный запрос должен через роутер ходить?
>DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
>а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
>как снаружи, так и изнутри :(
попробуй это http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
не знаю на 871 реализуется или нет.

Ответить | Правка | Наверх | Cообщить модератору

6. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от ShyLion (ok), 26-Апр-10, 07:45

>>ни на каком не будет, ваше хотение решается через ДНС и обращение
>>по имени.
>
>Вы мне не верите, а зря. Раньше было сделано именно так другим
>роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя
>бы знать, почему.
>DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
>а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
>как снаружи, так и изнутри :(
Мы вам верим, эта фукнкиональность называется NAT hairpin, и стандартный цисковский NAT это делать не умел. Теперь он это делать умеет, но весь нат конфигурируется немного по другому
раньше NAT делался командами:
interface Fas0
ip nat outside
inetrface Fas1
ip nat inside
!
ip nat inside source static ...
Теперь, чтобы работал hairpin:
interface Fas0
ip nat enable
interface Fas1
ip nat enable
! заметь, что теперь для кисы не имеет значения, который из них снаружи а какой изнутри
!
ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от Takkmoil (?), 26-Апр-10, 12:50

Спасибо, заработало!

Ответить | Правка | Наверх | Cообщить модератору

8. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от Nikolay777 (ok), 16-Авг-11, 17:45

Такая же задача на cisco 861W - никак не получается.
вроде бы все уже сделал как описано...
Хочется доступ снаружи на 10.20.0.172 порт 11111 транслировался в 172.16.0.2 порт 23.
Снаружи все работает - доступ на 10.20.0.172 по порту 11111, изнутри на 10.20.0.172 по порту 11111 - нет...
Маршрут по умолчанию не прописывал сейчас, хотя с ним все то же самое.
Что еще можно попробовать? Или это особенности cisco 861W?
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system flash c860-universalk9-mz.124-24.T4.bin
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
ip cef
!
!
!
!
!
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 10.20.0.172 255.255.255.0
ip nat enable
duplex auto
speed auto
!
interface wlan-ap0
description Service module interface to manage the embedded AP
no ip address
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
!
interface Vlan1
ip address 172.16.0.1 255.255.255.0
ip nat enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat source list NAT interface FastEthernet4 overload
ip nat source static tcp 172.16.0.2 23 10.20.0.172 11111 extendable
!
ip access-list extended NAT
permit ip any any
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
login
transport input all
!
scheduler max-task-time 5000
end

Ответить | Правка | Наверх | Cообщить модератору

9. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от Delf_Lungran (?), 27-Дек-19, 10:59

>[оверквотинг удален]
> Теперь, чтобы работал hairpin:
> interface Fas0
>  ip nat enable
> interface Fas1
>  ip nat enable
> ! заметь, что теперь для кисы не имеет значения, который из них
> снаружи а какой изнутри
> !
> ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
> http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...
Дай вам Бог здоровья =)

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

10. "Доступ на внешний интерфейс из NAT на Cisco 871" +/–

Сообщение от andrey (??), 07-Апр-20, 04:19

>[оверквотинг удален]
> Теперь, чтобы работал hairpin:
> interface Fas0
>  ip nat enable
> interface Fas1
>  ip nat enable
> ! заметь, что теперь для кисы не имеет значения, который из них
> снаружи а какой изнутри
> !
> ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
> http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...
спасибо вам большое!

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
Сообщение от blank (ok), 23-Апр-10, 17:55
>Нужно получить доступ изнутри на внешний интерфейс >по проброшенным портам. что имеется ввиду, если ходить из внутренней сети на сервера по внешним ИП- работать не будет.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от Takkmoil (?), 23-Апр-10, 18:56
	>что имеется ввиду, если ходить из внутренней сети на сервера по внешним >ИП- работать не будет. Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего интерфейса. Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не Cisco), которая стояла до Cisco 871 это было реализовано.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от blank (ok), 23-Апр-10, 20:09
	>Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего >интерфейса. >Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не >Cisco), которая стояла до Cisco 871 это было реализовано. ни на каком не будет, ваше хотение решается через ДНС и обращение по имени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от Takkmoil (?), 23-Апр-10, 20:23
	>ни на каком не будет, ваше хотение решается через ДНС и обращение >по имени. Вы мне не верите, а зря. Раньше было сделано именно так другим роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя бы знать, почему. DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, а внутри порты другие, и изменить этого нельзя. Работать должно одинаково как снаружи, так и изнутри :(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от blank (ok), 23-Апр-10, 21:27
	>Вы мне не верите, а зря. Раньше было сделано именно так другим >роутером. ну может быть, железо и правда бывает разное и чудное;) >знать, почему. а почему локальный запрос должен через роутер ходить? >DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, >а внутри порты другие, и изменить этого нельзя. Работать должно одинаково >как снаружи, так и изнутри :( попробуй это http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... не знаю на 871 реализуется или нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от ShyLion (ok), 26-Апр-10, 07:45
	>>ни на каком не будет, ваше хотение решается через ДНС и обращение >>по имени. > >Вы мне не верите, а зря. Раньше было сделано именно так другим >роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя >бы знать, почему. >DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, >а внутри порты другие, и изменить этого нельзя. Работать должно одинаково >как снаружи, так и изнутри :( Мы вам верим, эта фукнкиональность называется NAT hairpin, и стандартный цисковский NAT это делать не умел. Теперь он это делать умеет, но весь нат конфигурируется немного по другому раньше NAT делался командами: interface Fas0 ip nat outside inetrface Fas1 ip nat inside ! ip nat inside source static ... Теперь, чтобы работал hairpin: interface Fas0 ip nat enable interface Fas1 ip nat enable ! заметь, что теперь для кисы не имеет значения, который из них снаружи а какой изнутри ! ip nat source static tcp внутренний_ип порт внешний_ип порт extandable http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	7. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от Takkmoil (?), 26-Апр-10, 12:50
	Спасибо, заработало!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от Nikolay777 (ok), 16-Авг-11, 17:45
	Такая же задача на cisco 861W - никак не получается. вроде бы все уже сделал как описано... Хочется доступ снаружи на 10.20.0.172 порт 11111 транслировался в 172.16.0.2 порт 23. Снаружи все работает - доступ на 10.20.0.172 по порту 11111, изнутри на 10.20.0.172 по порту 11111 - нет... Маршрут по умолчанию не прописывал сейчас, хотя с ним все то же самое. Что еще можно попробовать? Или это особенности cisco 861W? ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot system flash c860-universalk9-mz.124-24.T4.bin boot-end-marker ! logging message-counter syslog ! no aaa new-model memory-size iomem 10 crypto pki token default removal timeout 0 ! ! ip source-route ! ! ip cef ! ! ! ! ! ! ! archive log config hidekeys ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address 10.20.0.172 255.255.255.0 ip nat enable duplex auto speed auto ! interface wlan-ap0 description Service module interface to manage the embedded AP no ip address arp timeout 0 ! interface Wlan-GigabitEthernet0 description Internal switch interface connecting to the embedded AP ! interface Vlan1 ip address 172.16.0.1 255.255.255.0 ip nat enable ! ip forward-protocol nd no ip http server no ip http secure-server ! ip nat source list NAT interface FastEthernet4 overload ip nat source static tcp 172.16.0.2 23 10.20.0.172 11111 extendable ! ip access-list extended NAT permit ip any any ! ! control-plane ! ! line con 0 no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all line vty 0 4 login transport input all ! scheduler max-task-time 5000 end
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от Delf_Lungran (?), 27-Дек-19, 10:59
	>[оверквотинг удален] > Теперь, чтобы работал hairpin: > interface Fas0 > ip nat enable > interface Fas1 > ip nat enable > ! заметь, что теперь для кисы не имеет значения, который из них > снаружи а какой изнутри > ! > ip nat source static tcp внутренний_ип порт внешний_ип порт extandable > http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu... Дай вам Бог здоровья =)
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	10. "Доступ на внешний интерфейс из NAT на Cisco 871"	+/–
	Сообщение от andrey (??), 07-Апр-20, 04:19
	>[оверквотинг удален] > Теперь, чтобы работал hairpin: > interface Fas0 > ip nat enable > interface Fas1 > ip nat enable > ! заметь, что теперь для кисы не имеет значения, который из них > снаружи а какой изнутри > ! > ip nat source static tcp внутренний_ип порт внешний_ип порт extandable > http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu... спасибо вам большое!
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору