добрый день уважаемые цисковеды
не могу понять в чем проблема
есть Cisco 1811
за ней две подсетки
vlan1
192.168.0.0/24 - основная локалка
vlan2
192.168.1.0/24 - в этой подсети есть сервак 192.168.1.2
еще есть вот такое
ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendableесть CiscoPix за ней одна подсеть
192.168.2.0/24между этими желязяками настроен впн
все три сети связаны др с др по в любым портам
но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 или 22 порту то ничего не получается соединение просто отваливается, а если допустим по 21 или 23 то все отлично работает
при этом из 192.168.0.0 я спокойно обращаюсь к этим портам
как только статическую трансляцию выключаю спокойно захожу на эти порты
подскажите пожалуйста как быть
>есть Cisco 1811
>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>или 22 порту то ничего не получается соединение просто отваливаетсяНаверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http .
>>есть Cisco 1811
>>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>>или 22 порту то ничего не получается соединение просто отваливается
>
>Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
>
>Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http
>.сервисы точно другие не запущены порты на самом деле другие - необходимые для работы специфического ПО
когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2
когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается
sh ip route говорит
что в 192.168.1.0 надо ходить через vlan2
на vlan2 висит роутмап в которой четко прописано что можно ходить и в 192.168.0.0 и в 192.168.2.0 по всему ip
>[оверквотинг удален]
>
>сервисы точно другие не запущены порты на самом деле другие - необходимые
>для работы специфического ПО
>когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2
>
>когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается
>sh ip route говорит
>что в 192.168.1.0 надо ходить через vlan2
>на vlan2 висит роутмап в которой четко прописано что можно ходить и
>в 192.168.0.0 и в 192.168.2.0 по всему iproute map c роутами покажите
>route map c роутами покажитеip access-list extended nonat
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
ip nat inside source route-map nonat-map pool GlobalPool overload
route-map nonat-map permit 10
match ip address nonat
match interface FastEthernet1 // интерфейс который смотрит в нет
ip access-list extended LocalNet
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any
этот ацл применен на vlan1 и vlan2у меня есть еще пара удаленных филиалов с которыми настроен впн через роутеры и гре тоннели (и с них я спокойно захожу на пробрасываемые порты)
так вот когда я делаю sh ip route
во все удаленные подсетки которые за роутерами прописаны маршруты через тоннели,
а в подсеть которая за пиксой маршрута как такового нет
скорее всего когда я из проблемной сети обращаюсь на 192.168.1.2 80 то ответ пытается пройти через внешние адреса
мудрено конечно но я другого варианта не вижу
пытался вручную прописать маршрут
ip route 192.168.2.0 255.255.255.0 192.168.2.1 где 192.168.2.1 это внутренний адрес пикса но маршрут даже не сохраняется
вот такая вот загагулина
>>есть Cisco 1811
>>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>>или 22 порту то ничего не получается соединение просто отваливается
>
>Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
>
>Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http
>.попробовал ради интереса
ip nat inside source static tcp 192.168.0.136 3389 a.a.a.a 3389 extendableесли раньше из 192.168.2.0 был доступ на этот комп по этому порту то он тутже пропал
а из 192.168.1.0 остался
похоже что появляется какая-то коллизия с обратными пакетами
как ее побороть? снифером на компах видны попытки коннекта
тема закрыта вот таким образом:
ip nat inside source static tcp 192.168.1.2 80 а.а.а.а 80 route-map nonat-map
и все заработало!!
Всем Здравствуйте!У меня подобная проблема
Cisco: c2800nm-adventerprisek9_sna-mz.124-24.T2, два интерфейса:
1) от ISP один внешний ip адрес x.x.x.x
2) внутренний 192.168.1.1192.168.1.2 - почтовый сервер
есть VPN к удаленной сети 10.10.1.0
Описанная схема прекрасно работает. Сервер получает, отправляет почту, клиенты из сетей 192.168.1.0 и 10.10.1.0 отправляют и получают почту через 192.168.1.2!
access-list 130 deny tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp
access-list 130 permit tcp any host x.x.x.x eq smtp
!
route-map nonat permit 10
match ip address 130
!
access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 110 permit ip host 192.168.1.2 any
!
route-map ISP permit 10
match ip address 110
!
ip nat inside source static tcp 192.168.1.2 25 x.x.x.x 25 route-map nonat extendable
ip nat inside source route-map ISP interface gi0/1.1 overload
!Возникла задача отправлять почту через внешний SMTP-сервер(ip: s.s.s.s), хоста 192.168.1.3(используя простой почтовый клиент), приветствие проходит:
#sh ip nat translations | inc :25
tcp x.x.x.x:1405 192.168.1.3:1405 s.s.s.s:25 s.s.s.s:25
- и на этом все, сообщение не уходит.
Не могу сориентироваться, использует ли дальше s.s.s.s 25 порт как порт назначения для x.x.x.x и перенаправляется ли он на 192.168.1.2 вместо 192.168.1.3 ?С хоста 192.168.1.2 естественно почта отправляется используя внешний SMTP.
Как разрешить данную проблему?