URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12901
[ Назад ]

Исходное сообщение
"Переброс пакетов"

Отправлено VAMPiR , 27-Фев-07 14:47 
Вот такая ситуация:
есть две кошки (2821 и 1841), есть 2 канала на инет (а.а.а.а который воткнут в 2821 и б.б.б.б который воткнут в 1841), естесно есть локалка, обе кошки воткнуты в нее на вторых интерфейсах соответствено айпи внутри их (192.168.9.233 - 2821 и 192.168.9.105 - 1841), все все видят но основным гейтом для сети есть кошка 2821. Есть пару серверов внутри сети в которую народ ломится по втором айпи (б.б.б.б), делаю естественно переброс соеденений (ip nat inside source static tcp 192.168.9.1 8080 б.б.б.б 8080 extandable no-aliase) на ети сервера уже выделены внешние айпи от прова а.а.а.а. Если ставить гейтом кошку 2821 то внешние айпи работают без проблем но не работает переброс, если ставить гейтом кошку 1841 то все наоборот, не работают внешние айпи но работает переброс. Уже замучался. Подскажите как сделать чтобы работал и переброс и внешние айпи нормально :(

Содержание

Сообщения в этом обсуждении
"Переброс пакетов"
Отправлено ruff , 27-Фев-07 15:39 
>Вот такая ситуация:
>есть две кошки (2821 и 1841), есть 2 канала на инет (а.а.а.а
>который воткнут в 2821 и б.б.б.б который воткнут в 1841), естесно
>есть локалка, обе кошки воткнуты в нее на вторых интерфейсах соответствено
>айпи внутри их (192.168.9.233 - 2821 и 192.168.9.105 - 1841), все
>все видят но основным гейтом для сети есть кошка 2821. Есть
>пару серверов внутри сети в которую народ ломится по втором айпи
>(б.б.б.б), делаю естественно переброс соеденений (ip nat inside source static tcp
>192.168.9.1 8080 б.б.б.б 8080 extandable no-aliase) на ети сервера уже выделены
>внешние айпи от прова а.а.а.а. Если ставить гейтом кошку 2821 то
>внешние айпи работают без проблем но не работает переброс, если ставить
>гейтом кошку 1841 то все наоборот, не работают внешние айпи но
>работает переброс. Уже замучался. Подскажите как сделать чтобы работал и переброс
>и внешние айпи нормально :(


т.е. вы хотите чтоб сервер с одного адреса (192.168.9.1) ходил и черз один гейт и через второй? и как он по вашему должен определять некстхоп для пакета? в пакете к сожалению (точнее к счастью) нет поля превиос хоп. вешайте на сервер второй адрес алисом (например 9.2) а на дефолт рутере разворачивать например роутмапой пакеты с этого адреса некстхопом на второй гейт.


"Переброс пакетов"
Отправлено VAMPiR , 27-Фев-07 15:56 
>т.е. вы хотите чтоб сервер с одного адреса (192.168.9.1) ходил и черз
>один гейт и через второй? и как он по вашему должен
>определять некстхоп для пакета? в пакете к сожалению (точнее к счастью)
>нет поля превиос хоп. вешайте на сервер второй адрес алисом (например
>9.2) а на дефолт рутере разворачивать например роутмапой пакеты с этого
>адреса некстхопом на второй гейт.


Наверное либо я не понял либо я неправильно описал :) вот схема:

inet -  |cisco 2821|-|----|      |
                     |LAN |server|
inet2 - |cisco 1841|-|----|      |

Cisco2821 маршрутизирует реальный IP на server естесно если конечно у него гейт ето циски
Cisco1841 имеет второе подключение от другого прова и натит порт на внутрений айпи server
Ну и беда:
- если гейт cisco2821 то реальный айпи работает и вот нат порта нет
- если гейт cisco1841 то реальный айпи НЕ работает но нат порта работает

тобиш, сервер имеет айпи в сети в которой стоят обе кошки (192.168.9.0/24) ну и алиасом весит второй айпи который виден снаружи...


"Переброс пакетов"
Отправлено VAMPiR , 27-Фев-07 18:28 
Как я понял нада что-то типа такого:

interface GigabitEthernet0/0 #ето дефаулт гейт для внутреней сети
ip policy route-map isps

ip access-list extended Volia #ето айпи серверов на которые идут перебросы
permit ip any host 192.168.9.200
permit ip any host 192.168.9.210

route-map isps permit 20 # ну и тут айпи кошки с которой идут перебросы...
match ip address Volia
set ip next-hop 192.168.9.105

схема не работает, но у меня большое подозрение что я написал не правильно :)


"Переброс пакетов"
Отправлено ruff , 27-Фев-07 18:37 
>Cisco2821 маршрутизирует реальный IP на server естесно если конечно у него гейт
>ето циски
>Cisco1841 имеет второе подключение от другого прова и натит порт на внутрений
>айпи server
>Ну и беда:
>- если гейт cisco2821 то реальный айпи работает и вот нат порта
>нет
>- если гейт cisco1841 то реальный айпи НЕ работает но нат порта
>работает
>
>тобиш, сервер имеет айпи в сети в которой стоят обе кошки (192.168.9.0/24)
>ну и алиасом весит второй айпи который виден снаружи...


а. понял. т.е. сервер имеет два адреса, серый и белый, белый маршрутизирует дефолт гейт (например бб.бб.бб.1) и на сервер соотв-но прописан дефолтом. но в аксес лист надо писать тогда не any -> 9 a 9 -> any (т.е. ответ сервера с серого адреса) и заворачивать его на 18шку

200 и 210 это адреса серверов?


"Переброс пакетов"
Отправлено VAMPiR , 27-Фев-07 18:56 
>
>а. понял. т.е. сервер имеет два адреса, серый и белый, белый маршрутизирует дефолт гейт (например бб.бб.бб.1) и на сервер соотв-но прописан дефолтом. но в аксес лист надо писать тогда не any -> 9 a 9 -> any (т.е. ответ сервера с серого адреса) и заворачивать его на 18шку
>
>200 и 210 это адреса серверов?

Ну почти :)
Про то что 2 айпи (сер. бел.) прявильно... на серый идете переброс порта с белого айпи прова который не в кошке которая есть основным гейтом. Тоесть... 2 кошки:
1 (a.a.a.a - ip в инете, 192.168.9.233 - ip для гейтования сети) он же есть основным гейтом для сети и основным провом, через него бегает белый айпи присвоеный серверам внутри сети
2 (b.b.b.b - ip в инете от другого прова, 192.168.9.105 - ip внутренего интерфеса кошки(тоесть тот что в локалке) он же не есть основным гейтом, но там стоит форвард на внутрений сервер который имеет белый адрес через первую кошку

Так вот если указывать дефолт на сервере то работает нормально белый айпи, но форвард неработает, если указать гейтом вторую кошку то все наоборот!


"Переброс пакетов"
Отправлено ruff , 27-Фев-07 19:28 
>>
>>а. понял. т.е. сервер имеет два адреса, серый и белый, белый маршрутизирует дефолт гейт (например бб.бб.бб.1) и на сервер соотв-но прописан дефолтом. но в аксес лист надо писать тогда не any -> 9 a 9 -> any (т.е. ответ сервера с серого адреса) и заворачивать его на 18шку
>>
>>200 и 210 это адреса серверов?
>
>Ну почти :)
>Про то что 2 айпи (сер. бел.) прявильно... на серый идете переброс
>порта с белого айпи прова который не в кошке которая есть
>основным гейтом. Тоесть... 2 кошки:
>1 (a.a.a.a - ip в инете, 192.168.9.233 - ip для гейтования сети)
>он же есть основным гейтом для сети и основным провом, через
>него бегает белый айпи присвоеный серверам внутри сети
>2 (b.b.b.b - ip в инете от другого прова, 192.168.9.105 - ip
>внутренего интерфеса кошки(тоесть тот что в локалке) он же не есть
>основным гейтом, но там стоит форвард на внутрений сервер который имеет
>белый адрес через первую кошку
>
>Так вот если указывать дефолт на сервере то работает нормально белый айпи,
>но форвард неработает, если указать гейтом вторую кошку то все наоборот!
>

Ну попробуйте исправить аклы дла рут-мапа, должно бы заработать
пбр соотв-но применить на локальном интерфейсе, на котором 9я сетка болтаеца


"Переброс пакетов"
Отправлено VAMPiR , 27-Фев-07 22:05 
>
>Ну попробуйте исправить аклы дла рут-мапа, должно бы заработать
>пбр соотв-но применить на локальном интерфейсе, на котором 9я сетка болтаеца

непомогло :( на второй кошке ненада же ничего прописывать?


"Переброс пакетов"
Отправлено ruff , 28-Фев-07 10:13 
>>
>>Ну попробуйте исправить аклы дла рут-мапа, должно бы заработать
>>пбр соотв-но применить на локальном интерфейсе, на котором 9я сетка болтаеца
>
>непомогло :( на второй кошке ненада же ничего прописывать?

ну только нат и как минимум дефолт на провайдера. надо проверять, есть ли хит пакетов в роутмапе (на акле должны рости счетчики) приходят ли развернутые пакеты на 18шку
logg buff deb
ip acce ex deb
perm ip 192.168.9.serv1 any log-in
perm ip any any
int f0/0
ip access-g deb in
do sh logg


"Переброс пакетов"
Отправлено VAMPiR , 28-Фев-07 10:40 
>>>
>>>Ну попробуйте исправить аклы дла рут-мапа, должно бы заработать
>>>пбр соотв-но применить на локальном интерфейсе, на котором 9я сетка болтаеца
>>
>>непомогло :( на второй кошке ненада же ничего прописывать?
>
>ну только нат и как минимум дефолт на провайдера. надо проверять, есть
>ли хит пакетов в роутмапе (на акле должны рости счетчики) приходят
>ли развернутые пакеты на 18шку
>logg buff deb
>ip acce ex deb
>perm ip 192.168.9.serv1 any log-in
>perm ip any any
>int f0/0
>ip access-g deb in
>do sh logg


полный молчек :(

вот на стороне роутера 2821 что:

interface GigabitEthernet0/0
ip address 192.168.9.233 255.255.255.0
ip access-group LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip policy route-map isps
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled

ip access-list extended Volia
permit ip any host 192.168.9.200
permit ip any host 192.168.9.210
permit ip any host 192.168.9.94

route-map isps permit 20
match ip address Volia
set ip next-hop 192.168.9.105

на стороне 1841 вот такое:

interface FastEthernet0/0
ip address 192.168.9.105 255.255.255.0
ip access-group deb in
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
no ip mroute-cache
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
ip address b.b.b.b 255.255.255.0
ip access-group Incoming_From_Inet in
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled

ip nat inside source static tcp 192.168.9.94 5900 b.b.b.b 5900 extendable no-alias

ip access-list extended deb
permit ip host 192.168.9.94 any log-input
permit ip any any


"Переброс пакетов"
Отправлено ruff , 28-Фев-07 10:46 
>>>>
>>>>Ну попробуйте исправить аклы дла рут-мапа, должно бы заработать
>>>>пбр соотв-но применить на локальном интерфейсе, на котором 9я сетка болтаеца
>>>
>>>непомогло :( на второй кошке ненада же ничего прописывать?
>>
>>ну только нат и как минимум дефолт на провайдера. надо проверять, есть
>>ли хит пакетов в роутмапе (на акле должны рости счетчики) приходят
>>ли развернутые пакеты на 18шку
>>logg buff deb
>>ip acce ex deb
>>perm ip 192.168.9.serv1 any log-in
>>perm ip any any
>>int f0/0
>>ip access-g deb in
>>do sh logg
>
>
>полный молчек :(
>
>вот на стороне роутера 2821 что:
>

а
sh ip acce Volia
что выдает?


"Переброс пакетов"
Отправлено VAMPiR , 28-Фев-07 10:48 

>sh ip acce Volia
>что выдает?

#sh ip acce Volia
Extended IP access list Volia
    10 permit ip any host 192.168.9.200
    20 permit ip any host 192.168.9.210
    30 permit ip any host 192.168.9.94


"Переброс пакетов"
Отправлено ruff , 28-Фев-07 10:55 
>>а
>>sh ip acce Volia
>>что выдает?
>
>#sh ip acce Volia
>Extended IP access list Volia
>    10 permit ip any host 192.168.9.200
>    20 permit ip any host 192.168.9.210
>    30 permit ip any host 192.168.9.94


значит пакеты не попадают в эту роутмапу.

А, ну да, я же говорил вам изменить направление аклов. Не
any host 192.168.9.94
а
host 192.168.9.94 any
вы ведь разворачиваете уходящие пакеты.


"Переброс пакетов"
Отправлено VAMPiR , 28-Фев-07 10:58 
>>а
>>sh ip acce Volia
>>что выдает?
>
>#sh ip acce Volia
>Extended IP access list Volia
>    10 permit ip any host 192.168.9.200
>    20 permit ip any host 192.168.9.210
>    30 permit ip any host 192.168.9.94


ой... БОЛЬШОЕ СОРРИ! :) Не с того листа скопировал :) Все заработало! Мужик, с меня причетается :)