Добрый день,Столкнулся на работе с задачей и понял что чегото не хватает в знаниях.
Помогите понять. И осветить пару вопросов.Схема:
или:
http://rusfolder.com/download/745/?43337207&Q5YUIHjwr4UOx3md...
или:
http://rusfolder.com/43337207Собственно вопросы:
какие технологии и настройки надо использовать для решения задач указанных на схеме?
и возможны ли решения данных вопросов?Заранее большое спасибо.
> Добрый день,
> http://rusfolder.com/43337207
> Собственно вопросы:
> какие технологии и настройки надо использовать для решения задач указанных на схеме?
> и возможны ли решения данных вопросов?Схема у вас уже работает? тогда покажите конфиг "пограничного"-маршрутизатора.
Если ничего из схемы пока нет, то обрисуйте что хотите получить в целом, и зачем нужен NAT в частности.
Чтобы ответить на вопросы, из схемы не хватает данных.
Схема работает. Static Routes - убраны.
Какую именно часть показать? а то настроил я там уже много... а что именно показать для решения - не ясно.Нат нужен т.к. Lan2 - это сторонняя организация которой нужен доступ к ВКС из локалки моей компании.
Пинг из сети Lan2 идет в Lan1 и обратно, промежуточные сети - соответственно тоже доступны.
Но надо иметь в виду что пограничный шлюз - он с моей стороны- пограничный, но он не является шлюзом по умолчанию в сети Lan2
>[оверквотинг удален]
> Схема работает. Static Routes - убраны.
> Какую именно часть показать? а то настроил я там уже много... а
> что именно показать для решения - не ясно.(если весь конфиг нужно, то почищу и выложу сегодня ночью))
> Нат нужен т.к. Lan2 - это сторонняя организация которой нужен доступ к
> ВКС из локалки моей компании.
> Пинг из сети Lan2 идет в Lan1 и обратно, промежуточные сети -
> соответственно тоже доступны.
> Но надо иметь в виду что пограничный шлюз - он с моей
> стороны- пограничный, но он не является шлюзом по умолчанию в сети
> Lan2
В первую очередь интересует вот что:
МОжно ли сделать Портфорвард с пограничного ПК сразу в "нелокальноподключенную сеть" т.е. в настройках указать ip назначения сразу адрес из LAN1.
> В первую очередь интересует вот что:
> МОжно ли сделать Портфорвард с пограничного ПК сразу в "нелокальноподключенную сеть" т.е.
> в настройках указать ip назначения сразу адрес из LAN1.Раз связность по-роутингу обеспечили, то
для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip в connected-сети ("нелокальноподключенной сети").ВКС через NAT не очень хорошо, есть же прямая связность.
> Раз связность по-роутингу обеспечили, то
> для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip
> в connected-сети ("нелокальноподключенной сети").что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип из локально подключенной сети?
и есть возможность показать пример команды , которая сделает snat?
а то я не сильно владею этой темой...собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между роутерами,
настроен нат всего что выходит через wan и больше ничего.
Подскажи пож как настроить snat под текущую задачу.
> ВКС через NAT не очень хорошо, есть же прямая связность.прямая связность - это конечно хорошо, но еще она предполагает доступ к другим ресурсам сети, которые я показывать не хотел бы. Или стоит вырезать всё ACL-ами?
> что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип
> из локально подключенной сети?Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать - mapped-бедый, real-серый.
> собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между
> роутерами,
> настроен нат всего что выходит через wan и больше ничего.
> Подскажи пож как настроить snat под текущую задачу.Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся для него.
>> ВКС через NAT не очень хорошо, есть же прямая связность.
> прямая связность - это конечно хорошо, но еще она предполагает доступ к
> другим ресурсам сети, которые я показывать не хотел бы. Или стоит
> вырезать всё ACL-ами?Если без NAT, то просто попросите владельца сети LAN2 прописать статический маршрут к вашей ВКС(т.е. на единственный ip из LAN1). Прописать он его должен на своем роутере-шлюзе для LAN2. Потом опционально можно и ACL.
>> что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип
>> из локально подключенной сети?
> Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать
> - mapped-бедый, real-серый.дак а причем здесь белый\серый? загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24
а у пограничного роутера есть только маршрут до lan1. можно ли Snat делать для ip из "сильно удаленной сети"? И вроде-бы ответ на этот вопрос "да". Чет я запутался....>> собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между
>> роутерами,
>> настроен нат всего что выходит через wan и больше ничего.
>> Подскажи пож как настроить snat под текущую задачу.
> Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся
> для него.Модель: Cisco 871
> ... загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24
> а у пограничного роутера есть только маршрут до lan1. можно ли Snat
> делать для ip из "сильно удаленной сети"? И вроде-бы ответ на
> этот вопрос "да". Чет я запутался....
> Модель: Cisco 871Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT
Например, трансляция адреса в адрес, может подойти.
inside - это будет LAN1
outside - LAN2И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях), если с роутингом всё налажено.
>[оверквотинг удален]
>> а у пограничного роутера есть только маршрут до lan1. можно ли Snat
>> делать для ip из "сильно удаленной сети"? И вроде-бы ответ на
>> этот вопрос "да". Чет я запутался....
>> Модель: Cisco 871
> Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT
> Например, трансляция адреса в адрес, может подойти.
> inside - это будет LAN1
> outside - LAN2
> И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях),
> если с роутингом всё налажено.Вот такое ощущение что мы на одном языке говорим, но друг друга не понимаем...(
Пример:
Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 --- ПК3
у router2 есть два ip-адрес lan2.x и lan3.x
у Сервер1 есть один ip-адрес lan1.y
Есть прямая "видимость"(Ping и пр.) Router2 <--> Сервер1.lan1.yВопрос:
могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт 3389 попасть по RDP на Сервер1?
Т.е. будет ли работать так как ожидается команда:
snat router2.lan3.x -> Сервер1.lan3.y
или snat можно делать только:
snat router2.lan3.x -> router2.lan2.x?
> Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 ---
> ПК3
> у router2 есть два ip-адрес lan2.x и lan3.x
> у Сервер1 есть один ip-адрес lan1.y
> Есть прямая "видимость"(Ping и пр.) Router2 <--> Сервер1.lan1.y
> Вопрос:
> могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт
> 3389 попасть по RDP на Сервер1?Если так надо, то:
outside - это LAN3,ПК3
inside - LAN2,LAN1,Сервер1ip nat inside source static tcp Сервер1 3389 Router2.lan3.x 3389 extendable
> Т.е. будет ли работать так как ожидается команда:
>
> snat router2.lan3.x -> Сервер1.lan3.y
> или snat можно делать только:
>
> snat router2.lan3.x -> router2.lan2.xЧтоб не сломать мозг, можно конечно разрисовать логику nat в двустороннем движении пакетов по их src,dst, для конкретной nat-команды. Но проще нагуглить похожий пример и содрать оттуда.
Отлично, с одним вопросом разобрались) радует что нат - такой функциональный)Остался второй вопрос:
Как сделать так, чтобы у пограничного роутера было не 1 айпишник в сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3 был ВКС, в lan2 был ВКС и еще гденить в ospf area еще 3 ВКС. И это для того, чтобы с ПК3 можно было по ip-шникам из lan3 подключаться ко всем ВКС ?Эт факультативный вопрос... такого решения я избежал, но решить(понять как оно работает) оч хочется.
> Сервер1(lan1.y) -- lan1 -- Router1 -- lan2 -- router2 -- lan3 -- ПК3
>
> Как сделать так, чтобы у пограничного роутера было не 1 айпишник в
> сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3
> был ВКС, в lan2 был ВКС и еще гденить в ospf
> area еще 3 ВКС. И это для того, чтобы с ПК3
> можно было по ip-шникам из lan3 подключаться ко всем ВКС ?Для этого надо, аналогично что и пример выше. Только адрес-в-адрес.
ip nat inside source static ВКС2 Router2.lan3.x2
ip nat inside source static ВКС3 Router2.lan3.x3
ip nat inside source static ВКС4 Router2.lan3.x4если lan3 это единый сегмент и адреса x2..4 не заняты.