URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15570
[ Назад ]

Исходное сообщение
"Full NAT на роутере Cisco ?"
Отправлено Mr.Uef , 20-Фев-08 15:26

Что-то не могу понять, как сделать NAT в обе стороны.
Нужно, чтобы сетка 10.1.1.0/24 при прохождении роутера "натилась" один-в-один в сетку 10.2.1.0/24, причем в обе стороны. Т.е. чтобы извне сеть 10.1.1.0/24 виделась как 10.2.1.0.24 и расположенные там хосты могла напр. пинговаться.

Содержание

Full NAT на роутере Cisco ?,CrAzOiD, 16:04 , 20-Фев-08
- Full NAT на роутере Cisco ?,Mr.Uef, 19:16 , 20-Фев-08
  - Full NAT на роутере Cisco ?,CrAzOiD, 21:24 , 20-Фев-08
    - Full NAT на роутере Cisco ?,Mr.Uef, 19:52 , 21-Фев-08
      - Full NAT на роутере Cisco ?,CrAzOiD, 22:06 , 21-Фев-08
        
        Full NAT на роутере Cisco ?,Mr.Uef, 12:04 , 22-Фев-08
Full NAT на роутере Cisco ?,Ярослав Росомахо, 12:09 , 22-Фев-08
- Full NAT на роутере Cisco ?,Mr.Uef, 15:15 , 22-Фев-08

Сообщения в этом обсуждении

"Full NAT на роутере Cisco ?"
Отправлено CrAzOiD , 20-Фев-08 16:04

>Что-то не могу понять, как сделать NAT в обе стороны.
>Нужно, чтобы сетка 10.1.1.0/24 при прохождении роутера "натилась" один-в-один в сетку 10.2.1.0/24,
>причем в обе стороны. Т.е. чтобы извне сеть 10.1.1.0/24 виделась как
>10.2.1.0.24 и расположенные там хосты могла напр. пинговаться.
если надо хост в хост трансляции,тогда прописывайте 254 строчки трансляций:
ip nat inside source static 10.1.1.1 10.2.1.1
ip nat inside source static 10.1.1.2 10.2.1.2
...
или надо что-то другое?

"Full NAT на роутере Cisco ?"
Отправлено Mr.Uef , 20-Фев-08 19:16

>если надо хост в хост трансляции,тогда прописывайте 254 строчки трансляций:
>ip nat inside source static 10.1.1.1 10.2.1.1
>ip nat inside source static 10.1.1.2 10.2.1.2
>...
>
>или надо что-то другое?
Нужно, чтобы в обратную сторону тоже натилось.
Напр. клиент 10.1.1.1 захотел залезть во внешнюю сеть - его адрес источника отнатился в 10.2.1.1 и попал на какой-л сервер в этой внешней сети.
И наоборот, кто-то из внешней сети захотел пропинговать 10.1.1.1 соотв, набрал
ping 10.2.1.1 этот запрос отнатился в 10.1.1.1 и попал к хосту.
Для того, чтобы хост в хост я так понял можно не 254 строчки прописывать, а использовать суффикс
type match-host.

"Full NAT на роутере Cisco ?"
Отправлено CrAzOiD , 20-Фев-08 21:24

>[оверквотинг удален]
>>...
>>
>>или надо что-то другое?
>
>Нужно, чтобы в обратную сторону тоже натилось.
>Напр. клиент 10.1.1.1 захотел залезть во внешнюю сеть - его адрес источника
>отнатился в 10.2.1.1 и попал на какой-л сервер в этой внешней
>сети.
>И наоборот, кто-то из внешней сети захотел пропинговать 10.1.1.1 соотв, набрал
>ping 10.2.1.1 этот запрос отнатился в 10.1.1.1 и попал к хосту.
наверное ping 10.1.1.1
Это и есть nat inside
работать будет именно как вы и хотите
если думаете про nat outside, то это переписывание destination адреса
>Для того, чтобы хост в хост я так понял можно не 254
>строчки прописывать, а использовать суффикс
>type match-host.
да, можно и описать пул с параметром match-host

"Full NAT на роутере Cisco ?"
Отправлено Mr.Uef , 21-Фев-08 19:52

>наверное ping 10.1.1.1
Нет. именно 10.2.1.1
Т.к. извне сетка должна быть видна как 10.2.1.0/24
>
>Это и есть nat inside
>работать будет именно как вы и хотите
>если думаете про nat outside, то это переписывание destination адреса
Если соединение инициировано из внешней подсети, то мне и нужно переписывание destination адреса.
:(

"Full NAT на роутере Cisco ?"
Отправлено CrAzOiD , 21-Фев-08 22:06

>[оверквотинг удален]
>Нет. именно 10.2.1.1
>Т.к. извне сетка должна быть видна как 10.2.1.0/24
>
>>
>>Это и есть nat inside
>>работать будет именно как вы и хотите
>>если думаете про nat outside, то это переписывание destination адреса
>
>Если соединение инициировано из внешней подсети, то мне и нужно переписывание destination
>адреса.
В этом случае вы просто напросто получаете конфликт адресов

"Full NAT на роутере Cisco ?"
Отправлено Mr.Uef , 22-Фев-08 12:04

>
>В этом случае вы просто напросто получаете конфликт адресов
Нет, не получаю. Что-то я, видимо, плохо изложил. Попробую еще раз.
Есть две сетки. 192.168.111.0/24 с веб-сервером 192.168.111.1 и 10.1.1.0/24 с клиентами.
Объединены через маршрутизатор. Нужно, чтоб веб-сервериз 192.168.111.1 думал, что к нему обращаются с адреса 10.2.1.1, когда клиент 10.1.1.1 отправит запрос. И когда сервер захочет отправить пинг на 10.2.1.1 (он его знает именно так) - пакет бы пришел к 10.1.1.1.
Т.е.
1. Клиент 10.1.1.1 отправил запрос на 192.168.1.1. На маршрутизаторе source ip "снатился"
10.2.1.1 и ушел к серверу. Ответ от сервера "разнатился" и вернулся к 10.1.1.1
2. Сервер 192.168.1.1 отправил запрос (напр.,SYN-пакет на порт 25) на 10.2.1.1. На маршрутизаторе dest ip "снатился" в 10.1.1.1 и ушел клиенту. Ответ от клиента опять "разнатился" и вернулся 192.168.1.1.

"Full NAT на роутере Cisco ?"
Отправлено Ярослав Росомахо , 22-Фев-08 12:09

>Что-то не могу понять, как сделать NAT в обе стороны.
>Нужно, чтобы сетка 10.1.1.0/24 при прохождении роутера "натилась" один-в-один в сетку 10.2.1.0/24,
>причем в обе стороны. Т.е. чтобы извне сеть 10.1.1.0/24 виделась как
>10.2.1.0.24 и расположенные там хосты могла напр. пинговаться.
ip nat inside на внутреннем интерфейсе
ip nat outside на внешнем интерфейсе
ip nat inside source static network 10.1.1.0 10.2.1.0 /24
Будет работать в обе стороны именно так как вы хотите.

"Full NAT на роутере Cisco ?"
Отправлено Mr.Uef , 22-Фев-08 15:15

>[оверквотинг удален]
>>Нужно, чтобы сетка 10.1.1.0/24 при прохождении роутера "натилась" один-в-один в сетку 10.2.1.0/24,
>>причем в обе стороны. Т.е. чтобы извне сеть 10.1.1.0/24 виделась как
>>10.2.1.0.24 и расположенные там хосты могла напр. пинговаться.
>
>ip nat inside на внутреннем интерфейсе
>ip nat outside на внешнем интерфейсе
>
>ip nat inside source static network 10.1.1.0 10.2.1.0 /24
>
>Будет работать в обе стороны именно так как вы хотите.
Действительно! Я почему-то считал, что по умолчанию преобразование идет только в одну сторону.. Проверил как Вы сказали и все Ок!!! Спасибо !!!