URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10447
[ Назад ]

Исходное сообщение
"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 12:12

Всем привет.
Вопрос возник такой: настроил НАТ, внутри 192.168.0.0/24, снаружи один адрес 80.х.х.х/30, внутрь пробросил 22 порт на 192.168.0.254. При попытке соединения с 80.х.х.х снаружи, порт пробрасывается, всё тип-то, но когда я пытаючь соединиться с 80.х.х.х с любого адреса из 192.168.0.х, то проброс не происходит. Не подскажете, плз, куда копать.
Спасибо.
interface Ethernet0
ip address 80.х.х.х 255.255.255.252
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
ip nat inside source list NAT-ACC interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
ip access-list standard NAT-ACC
permit 192.168.0.0 0.0.0.255
deny any

Содержание

Cisco NAT Проброс порта вовнутрь,Strelok, 12:29 , 02-Май-06
- Cisco NAT Проброс порта вовнутрь,ilya, 12:44 , 02-Май-06
  - Cisco NAT Проброс порта вовнутрь,Strelok, 12:56 , 02-Май-06
    - Cisco NAT Проброс порта вовнутрь,Strelok, 13:00 , 02-Май-06
      - Cisco NAT Проброс порта вовнутрь,sh_, 13:21 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,Strelok, 14:41 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,sh_, 14:44 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,Strelok, 14:53 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,sh_, 15:37 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,Strelok, 15:47 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,ilya, 15:53 , 02-Май-06
        Cisco NAT Проброс порта вовнутрь,Strelok, 18:28 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,ilya, 18:35 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,Strelok, 18:44 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,ilya, 19:04 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,Strelok, 19:16 , 02-Май-06
        
        Cisco NAT Проброс порта вовнутрь,ilya, 09:34 , 03-Май-06
        Cisco NAT Проброс порта вовнутрь,oga, 12:56 , 09-Авг-12
        
        Cisco NAT Проброс порта вовнутрь,eucariot, 15:20 , 09-Авг-12
        
        Cisco NAT Проброс порта вовнутрь,sh_, 19:04 , 02-Май-06
Cisco NAT Проброс порта вовнутрь,bLeArrEaZ0N, 12:08 , 10-Май-06
- Cisco NAT Проброс порта вовнутрь,vovat, 18:38 , 12-Май-06
  - Cisco NAT Проброс порта вовнутрь,mavrusha, 12:04 , 18-Дек-06
Cisco NAT Проброс порта вовнутрь,eucariot, 05:59 , 18-Май-11
- Cisco NAT Проброс порта вовнутрь,McS555, 13:24 , 25-Окт-13

Сообщения в этом обсуждении

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 12:29

Попробовал вместо
ip nat inside source list NAT-ACC interface Ethernet0 overload
использовать
ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
ip nat inside source list NAT-ACC pool NAT-POOL overload
та же фигня :(

"Cisco NAT Проброс порта вовнутрь"
Отправлено ilya , 02-Май-06 12:44

>Попробовал вместо
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>использовать
>ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
>ip nat inside source list NAT-ACC pool NAT-POOL overload
>та же фигня :(

а зачем конектиться на внешний адрес изнутри?
как-то неправильно это...

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 12:56

>а зачем конектиться на внешний адрес изнутри?
>как-то неправильно это...
Мне надо настроить коннект к этой машинке 192.168.0.254:22 с ноутбука, который может быть как изнутри сети, так и снаружи.

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 13:00

Заметил вот еще что: при инициализации коннекта в sh ip nat translations не появляется записи об этом коннекте.

"Cisco NAT Проброс порта вовнутрь"
Отправлено sh_ , 02-Май-06 13:21

А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе
int fa 0
ip pol ro fuck
route-map fuck
match ip add 100
set ip next-h 192.168.0.254
access-l 100 perm ip an 80.x.x.x

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 14:41

>А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе
А зачем secondary прописывать?
>
>int fa 0
>ip pol ro fuck
>route-map fuck
>match ip add 100
>set ip next-h 192.168.0.254
>access-l 100 perm ip an 80.x.x.x
Если настроить роут-мап, то исходящий пакет на 80.х.х.х пойдет через циску на 192.168.0.254, а ответ вернется через Ethernet напрямую. Так будет работать?

"Cisco NAT Проброс порта вовнутрь"
Отправлено sh_ , 02-Май-06 14:44

>А зачем secondary прописывать?
Чтобы работало...

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 14:53

>>А зачем secondary прописывать?
>
>Чтобы работало...
А с какой маской?

"Cisco NAT Проброс порта вовнутрь"
Отправлено sh_ , 02-Май-06 15:37

255.255.255.255

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 15:47

>255.255.255.255
Сейчас попробую, а средствами ната это не решается?

"Cisco NAT Проброс порта вовнутрь"
Отправлено ilya , 02-Май-06 15:53

>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?

решается.
запись статического ната с route-map`ом.

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 18:28

>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?
Не работает :(
#sh route-map fuck
route-map fuck, permit, sequence 10
  Match clauses:
    ip address (access-lists): 100
  Set clauses:
    ip next-hop 192.168.0.254
  Policy routing matches: 0 packets, 0 bytes
#sh ip access-lists 100
Extended IP access list 100
    10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98

"Cisco NAT Проброс порта вовнутрь"
Отправлено ilya , 02-Май-06 18:35

>>>255.255.255.255
>>
>>Сейчас попробую, а средствами ната это не решается?
>Не работает :(
>#sh route-map fuck
>route-map fuck, permit, sequence 10
>  Match clauses:
>    ip address (access-lists): 100
>  Set clauses:
>    ip next-hop 192.168.0.254
>  Policy routing matches: 0 packets, 0 bytes
>#sh ip access-lists 100
>Extended IP access list 100
>    10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98

конфиг?

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 18:44

>конфиг?
interface Ethernet0
ip address 80.x.x.x 255.255.255.252
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip policy route-map fuck
speed auto
!
ip nat inside source list NAT-ACC interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
route-map fuck permit 10
match ip address 100
set ip next-hop 192.168.0.254
!

"Cisco NAT Проброс порта вовнутрь"
Отправлено ilya , 02-Май-06 19:04

>>конфиг?
>interface Ethernet0
> ip address 80.x.x.x 255.255.255.252
> ip nat outside
> full-duplex
>!
>interface FastEthernet0
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> ip policy route-map fuck
> speed auto
>!
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
>
>access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
>route-map fuck permit 10
> match ip address 100
> set ip next-hop 192.168.0.254
^^^^^^^^^^^^^^^ тут нет ошибки? некст-хоп - удаленный хост а не лупбэк?
>!
и имелось в виду немного другое

ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME>
но прежде чем сделать эту трансляцию уберите полиси-роутинг.
и еще раз вопрос - почему месье хочет странного?
проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?

"Cisco NAT Проброс порта вовнутрь"
Отправлено Strelok , 02-Май-06 19:16

>В acl должны матчиться пакеты, идущие на 82.114.104.98.
To sh_: Издержки конспирации. матчится то что надо :)
>> set ip next-hop 192.168.0.254
>
>       ^^^^^^^^^^^^^^^ тут нет ошибки?
>некст-хоп - удаленный хост а не лупбэк?
>>!
Это по совету предидущего оратора :) надо локальный лупбэк?
>
>и имелось в виду немного другое
>
>
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22  route-map <NAME>
>
>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
Ща сделаем.
>
>и еще раз вопрос - почему месье хочет странного?
>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. Есть ноут, который бывает как внутри сетки так и с наружи. На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига к серверу не коннектится. Если есть какие-то другие решения этой проблемы -- буду благодарен.

"Cisco NAT Проброс порта вовнутрь"
Отправлено ilya , 03-Май-06 09:34

>>В acl должны матчиться пакеты, идущие на 82.114.104.98.
>To sh_: Издержки конспирации. матчится то что надо :)
>>> set ip next-hop 192.168.0.254
>>
>>       ^^^^^^^^^^^^^^^ тут нет ошибки?
>>некст-хоп - удаленный хост а не лупбэк?
>>>!
>Это по совету предидущего оратора :) надо локальный лупбэк?
эм. обычно в полиси роутинге прописывается лупбэк (в подобных задачах)
хотя поищите на циске NAT Order of Operation
и подумайте будет ли оно работать...
>>и имелось в виду немного другое
>>
>>
>>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22  route-map <NAME>
>>
>>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
>Ща сделаем.
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>Есть ноут, который бывает как внутри сетки так и с наружи.
>На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>-- буду благодарен.
дык есть конечно. недавно в форуме пробегала тема про разные зоны (или не зоны, не помню) для ДНС - для локальных пользователей выдается одни IP
для внешних - другие... соответственно прописываете не IP а днс-имя и ваша проблема должна решиться.

"Cisco NAT Проброс порта вовнутрь"
Отправлено oga , 09-Авг-12 12:56

>[оверквотинг удален]
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
> Есть ноут, который бывает как внутри сетки так и с наружи.
> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
> -- буду благодарен.
На ноуте в hosts пропиши одно имя в две строки с двумя разными ip один внешний один внутренний и будет радость.

"Cisco NAT Проброс порта вовнутрь"
Отправлено eucariot , 09-Авг-12 15:20

>[оверквотинг удален]
>>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>> Есть ноут, который бывает как внутри сетки так и с наружи.
>> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>> -- буду благодарен.
> На ноуте в hosts пропиши одно имя в две строки с двумя
> разными ip один внешний один внутренний и будет радость.
Вопрос построю так:
Есть сайт в интернете, на котором идёт трансляция видео из моей локальной сети. Если я из своей же сети обращаюсь туда, то флэш говорит мне - видео брать с такого вот адреса (а это мой внешний адрес). Разумеется, видео я не вижу, потому что обращаюсь изнутри на свой внешний адрес. Как тут быть?

"Cisco NAT Проброс порта вовнутрь"
Отправлено sh_ , 02-Май-06 19:04

В acl должны матчиться пакеты, идущие на 82.114.104.98.

"Cisco NAT Проброс порта вовнутрь"
Отправлено bLeArrEaZ0N , 10-Май-06 12:08

Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо того, чтобы мучить роутер (особенно когда клиент и так использует fqdn для общения с сервером).
Данная схема применялась неоднократно и показала себя вполне работоспособной.
Существует два DNS сервера. Один из них находится во внешнем периметре (например, зона размещена у провайдера), а второй – в локальной сети. Оба сервера содержат зону «domain.com». Так как у регистратора будет указан IP только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» в результате чего, находясь в LAN, при обращении к mail.domain.com он попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении к mail.domain.com, клиент попадает на  82.114.104.98.
Всё.
==============================================
Конфигурация «внешнего DNS»
@       IN      SOA     ns1.domain.com. noc.ns1.domain.com. (
                                2006051001 ; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum
        IN      NS      ns1.domain.com.
        IN      MX      10      mail.domain.com.
@       A       82.114.104.98
ns1     A       82.114.104.98
mail  CNAME   ns1.domain.com.
===============================================
Конфигурация «внутреннего DNS»
@       IN      SOA     ns1.domain.com. noc.ns1.domain.com. (
                                2006051001 ; Serial
                                3600    ; Refresh
                                900     ; Retry
                                3600000 ; Expire
                                3600 )  ; Minimum
        IN      NS      ns1.domain.com.
        IN      MX      10      mail.domain.com.
@       A       192.168.0.254
ns1     A       192.168.0.254
mail  CNAME   ns1.domain.com.

"Cisco NAT Проброс порта вовнутрь"
Отправлено vovat , 12-Май-06 18:38

>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>для общения с сервером).
>
>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>
>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>зона размещена у провайдера), а второй – в локальной сети. Оба
>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>к mail.domain.com, клиент попадает на 82.114.104.98.
>
>Всё.
Если есть bind9 проще view.

"Cisco NAT Проброс порта вовнутрь"
Отправлено mavrusha , 18-Дек-06 12:04

>>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>>для общения с сервером).
>>
>>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>>
>>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>>зона размещена у провайдера), а второй – в локальной сети. Оба
>>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>>к mail.domain.com, клиент попадает на 82.114.104.98.
>>
А если нет желания ставить внутри дополнительный ДНС-сервер , то можно его запустить на самом маршрутизаторе. Примерно так:
ip dns server
ip domain name test.local
ip host vm-pdc.test.local 192.168.0.150
ip host vm-termserver.test.local 192.168.0.160
ip host www.test.ru 192.168.0.252
ip host gate.test.ru 192.168.0.90
ip host mail.test.ru 192.168.0.253
ip name-server 192.168.0.150
ip name-server 217.195.66.253
ip name-server 217.195.65.9
Сначала lookup в hosts, далее запрос днс-серверов по порядку.
P.S. тоже долго мучился с policy-routing, оказалось что проще так сделать.

"Cisco NAT Проброс порта вовнутрь"
Отправлено eucariot , 18-Май-11 05:59

У вас получилось решить этот вопрос без использования DNS?

"Cisco NAT Проброс порта вовнутрь"
Отправлено McS555 , 25-Окт-13 13:24

> У вас получилось решить этот вопрос без использования DNS?
Присоединяюсь к вопросу!