Не спрашивайте зачем это надо - надо! :)

Имеем Cisco 2611 и 12.4(3) IOS

ip nat inside source static 10.0.1.1 195.195.195.195

Возможно-ли находясь на машине 10.0.1.1 пинговать и иметь доступ к 195.195.195.195.

То есть, чтобы можно было соединиться с данной машиной (с самим собой) как по локальному адресу, так и по 195.195.195.195.

P.S: Повторяю НАХОДЯСЬ на машине 10.0.1.1.

Конфиг пока не привожу - интересует теоритическая возможность.

По моим наблюдениям, пакетики с 10.0.1.1 на 195.195.195.195 уходит в интернет, где провайдер честно его возвращает назад на cisco, где и происходит затык.

То есть получается cisco незнает о "роутинге" на 195.195.195.195, если пакет приходит из локальной сети (в данном случае с 10.0.1.1).

• доступ к машине, транслируемой в ip nat inside,fantom, 08:58 , 19-Июн-07
  • доступ к машине, транслируемой в ip nat inside,Mike, 15:06 , 19-Июн-07
• доступ к машине, транслируемой в ip nat inside,sergey_a, 16:19 , 19-Июн-07
  • доступ к машине, транслируемой в ip nat inside,rusxakep, 22:47 , 19-Июн-07
    • доступ к машине, транслируемой в ip nat inside,Mike, 10:08 , 20-Июн-07

>Не спрашивайте зачем это надо - надо! :)
>
>Имеем Cisco 2611 и 12.4(3) IOS
>
>ip nat inside source static 10.0.1.1 195.195.195.195
>
>Возможно-ли находясь на машине 10.0.1.1 пинговать и иметь доступ к 195.195.195.195.
>
>То есть, чтобы можно было соединиться с данной машиной (с самим собой)
>как по локальному адресу, так и по 195.195.195.195.
>
>P.S: Повторяю НАХОДЯСЬ на машине 10.0.1.1.
>
>Конфиг пока не привожу - интересует теоритическая возможность.
>
>По моим наблюдениям, пакетики с 10.0.1.1 на 195.195.195.195 уходит в интернет, где
>провайдер честно его возвращает назад на cisco, где и происходит затык.
>
>
>То есть получается cisco незнает о "роутинге" на 195.195.195.195, если пакет приходит
>из локальной сети (в данном случае с 10.0.1.1).

Создать на этой машине лупбек с этим адресом. и будешь пинговать.

>>Не спрашивайте зачем это надо - надо! :)
>>
>>Имеем Cisco 2611 и 12.4(3) IOS
>>
>>ip nat inside source static 10.0.1.1 195.195.195.195
>>
>>Возможно-ли находясь на машине 10.0.1.1 пинговать и иметь доступ к 195.195.195.195.
>>
>>То есть, чтобы можно было соединиться с данной машиной (с самим собой)
>>как по локальному адресу, так и по 195.195.195.195.
>>
>>P.S: Повторяю НАХОДЯСЬ на машине 10.0.1.1.
>>
>>Конфиг пока не привожу - интересует теоритическая возможность.
>>
>>По моим наблюдениям, пакетики с 10.0.1.1 на 195.195.195.195 уходит в интернет, где
>>провайдер честно его возвращает назад на cisco, где и происходит затык.
>>
>>
>>То есть получается cisco незнает о "роутинге" на 195.195.195.195, если пакет приходит
>>из локальной сети (в данном случае с 10.0.1.1).
>
>Создать на этой машине лупбек с этим адресом. и будешь пинговать.

Да это понятно. Реальная ситуация такова, что необходимо обращаться к машинам в локальной сети по их Интернет адресам, а не по локальным. Все эти машины под ip nat inside source.

>Не спрашивайте зачем это надо - надо! :)
>

Все должно работать. Проверьте, правильно ли объявлены на интерфейсах ip nat inside / ip nat outside

>>Не спрашивайте зачем это надо - надо! :)
>>
>
>Все должно работать. Проверьте, правильно ли объявлены на интерфейсах ip nat inside
>/ ip nat outside

снаружи работает все - если обращаться на 195.195.195.195 все идет правильно на локальную машину. Нельзя только добраться из локальной сети на 195.195.195.195.

на локальном интерфейсе стоит ip nat inside, на интернетовском ip nat outside

Вот кусок конфига (адреса левые):

no service pad
no service dhcp
no ip source-route
ip subnet-zero
ip cef
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description 10.0.10.0/24 LAN network
ip address 10.0.10.1 255.255.255.0
ip access-group 100 in
no ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
no ip directed-broadcast
ip accounting output-packets
ip accounting access-violations
ip virtual-reassembly
ip route-cache cef
duplex auto
speed auto
ip nat inside
!
interface Serial0/0
bandwidth 1024
ip address 195.195.190.198 255.255.255.252
ip policy route-map ROUTE
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
no ip directed-broadcast
ip accounting output-packets
ip accounting access-violations
ip virtual-reassembly
ip route-cache cef
ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 195.195.190.197
ip route 0.0.0.0 0.0.0.0 Null0 100
ip route 127.0.0.0 255.0.0.0 Null0
ip route 172.16.0.0 255.240.0.0 Null0
ip route 169.254.0.0 255.255.0.0 Null0
ip route 10.0.0.0 255.0.0.0 10.0.10.254
ip route 10.0.0.0 255.0.0.0 Null0 100
!
ip nat inside source static 10.0.1.111 195.195.195.195
!
control-plane
!

По tracepath видно, что пакет уходит на роутер провайдера, а тот его, для порядку, обратно пихает.

mike ~ # tracepath -n 195.195.195.195
1:  10.0.1.111          0.000ms pmtu 1500
2:  10.0.10.1         2.262ms
3:  195.195.190.197   20.931ms
4:  195.195.190.198  asymm  2  31.502ms
5:  no reply

Cisco незнает ничего о транслируемых адресах. :-(

P.S: debug icmp на этом tracepath выдал следующее:

ICMP: time exceeded (time to live) sent to 10.0.1.111 (dest was 195.195.195.195)
ICMP: time exceeded (time to live) sent to 195.195.195.195 (dest was 195.195.195.195)

ip nat inside is not used unless the traffic makes its way to
an interface where ip nat outside has been configured. When your
traffic crosses between "inside" and "outside" that's automatic
but when you are trying to have the ping loop around, the traffic is
coming from the inside and destined to the inside so there is no
crossing.

Причина в том, как я понял, что ip nat inside source static работает только при переходе пакета через ip nat outside. Но судя по traceroute он проходит через этот интерфейс и возвращается обратно. Почему не работает?