URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19131
[ Назад ]

Исходное сообщение
"Замена IP"
Отправлено fanat , 25-Июн-09 12:03

Доброе день цисководы.
Возникла ситуация.
Есть некий девайс который рулит VPN и к которому разрешён вход только с IP 10.0.6.30
Подсетей много поэтому на Unix было сделано правило
-A POSTROUTING -s 10.0.10.0/24 -d 190.160.90.0/24 -j SNAT --to 10.0.6.30
то есть шлюз просто подменял IP
Всё бы ничего но у меня ступор...
NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно.
А вот как подменить IP в цисаке я просто уже пол дня убиваюсь. Если делать например VLAN и врубать его в сеть то будет конфликт адресов с той машиной. К сожалению вариант смена IP на той машине не возможен.
Сопсно вопрос. А как подмена IP делается в cisco?

Содержание

Замена IP,BoBa, 15:20 , 25-Июн-09
- Замена IP,fanat, 15:30 , 25-Июн-09
  - Замена IP,sh_, 16:30 , 25-Июн-09
  - Замена IP,BoBa, 18:48 , 25-Июн-09
Замена IP,dispay666, 04:44 , 26-Июн-09
- Замена IP,fanat, 08:18 , 26-Июн-09
  - Замена IP,dispay666, 09:58 , 26-Июн-09
    - Замена IP,fanat, 10:11 , 26-Июн-09
Замена IP,BoBa, 10:16 , 26-Июн-09
- Замена IP,fanat, 12:11 , 26-Июн-09
  - Замена IP,BoBa, 12:36 , 26-Июн-09
  - Замена IP,BoBa, 12:37 , 26-Июн-09
    - Замена IP,fanat, 13:01 , 26-Июн-09

Сообщения в этом обсуждении

"Замена IP"
Отправлено BoBa , 25-Июн-09 15:20

а нат это подмена чего?

"Замена IP"
Отправлено fanat , 25-Июн-09 15:30

>а нат это подмена чего?
Так то оно так. Nat работает интернет есть. для подсети 10,0,6,0 есть подинтерфейс
!
Ip address 10.0.6.1 255.255.255.0
!
который уже является ip nat inside. дело в том чтобы занатить все IP через 10.0.6.30 необходимо назначить интрфейс с таким IP но дело в том что cisca не даст создать 2 интерфейса с айпишниками с одной сети. Unix в этом плане более гибок.

"Замена IP"
Отправлено sh_ , 25-Июн-09 16:30

Вы чего хотите сделать? Объясните на пальцах. Нифтыкайу какие адреса и на что хотите менять... И какие интерфейсы есть на маршрутизаторе.

"Замена IP"
Отправлено BoBa , 25-Июн-09 18:48

тоже не пойму что есть и что требуется... и слышать что линух гибче иоса вообще дикость )
опишите, а лучше нарисуйте существующую сеть/конфигурацию, и что хотите в итоге...

"Замена IP"
Отправлено dispay666 , 26-Июн-09 04:44

>[оверквотинг удален]
>то есть шлюз просто подменял IP
>
>Всё бы ничего но у меня ступор...
>NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно.
>
>А вот как подменить IP в цисаке я просто уже пол дня
>убиваюсь. Если делать например VLAN и врубать его в сеть то
>будет конфликт адресов с той машиной. К сожалению вариант смена IP
>на той машине не возможен.
>Сопсно вопрос. А как подмена IP делается в cisco?
Да, тяжело по описанию сообразить что куда и через что идет.
Как я понял:
access-list 111 permit ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255
access-list 112 deny ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255
access-list 112 permit ip 10.0.10.0 0.0.0.255 any
ip local pool ippool1address 10.0.6.30
ip nat inside source list 111 pool ippool1address overload

111 - лист правило для тех кто идет на впн девайс 190.160.90.0 0.0.0.255 -тут думаю стоит только один IP указать того девайса
112 - для всего остального
ну и с inside и outside интерфейсами правильно определись

"Замена IP"
Отправлено fanat , 26-Июн-09 08:18

Схема такая
!
interface GigabitEthernet0/0.5
encapsulation dot1Q 5
ip address 10.0.5.100 255.255.255.0
Ip nat inside
!
Смотрит в сторону LAN (это один из под интерфейсов)
!
interface Vlan50
bandwidth 1024
ip address х.х.х.151 255.255.255.0
ip nat outside
ip route-cache flow
!
Смотрит в сторону Internet.
!
interface GigabitEthernet0/0.6
encapsulation dot1Q 6
ip address 10.0.6.100 255.255.255.0
!
Подсеть в которой находится VPN девайс.
VPN девайс пускает тока IP 10.0.6.30 Это реально существующая машина. На линуксе дело было проще Подменяли адрес на 10.0.6.30. На циске думал тоже есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1 10.0.6.30 роутер не даст создать его так как получается петля. Необходимо Всех желающих кто хочет попасть за VPN устройство натить через IP 10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо роутить через х.x.x.151.
Соображения:
На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем ACL для входа всех желающих.
Чтобы Юзвери выходили из сети 10.0.6.0 в интернет делать полный NAT на этом интерфейсе (полное соответствие адресов). Пока мысли только такие.

"Замена IP"
Отправлено dispay666 , 26-Июн-09 09:58

>[оверквотинг удален]
>есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1
>10.0.6.30 роутер не даст создать его так как получается петля. Необходимо
>Всех желающих кто хочет попасть за VPN устройство натить через IP
>10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо
>роутить через х.x.x.151.
>Соображения:
>На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем
>ACL для входа всех желающих.
>Чтобы Юзвери выходили из сети 10.0.6.0 в интернет делать полный NAT на
>этом интерфейсе (полное соответствие адресов). Пока мысли только такие.
ip local pool ippool1address 10.0.6.30
ip nat inside source list 111 pool ippool1address overload
а так что тоже не дает задать адрес для трансляции?

"Замена IP"
Отправлено fanat , 26-Июн-09 10:11

>>[оверквотинг удален]
>ip local pool ippool1address 10.0.6.30
>
>ip nat inside source list 111 pool ippool1address overload
>
>а так что тоже не дает задать адрес для трансляции?
хм..
в таком случаи на под интерфейс 0/0.6
вешается Ip nat Outside
ip address 10.0.6.100 не меняется...
и при учёте что было написано выше...
получается что будет натится не под 100 IP а под 30?
или я чаго не понял?

"Замена IP"
Отправлено BoBa , 26-Июн-09 10:16

на сколько мог понять требуется два ната?
[quote]
осталось занатить оба интерфейса соответствующими адресами:
access-list 11 permit 10.1.0.0 0.0.255.255
route-map NAT-ISP1 permit 10
match ip address 11
match interface FastEthernet0
!
route-map NAT-ISP2 permit 10
match ip address 11
match interface Dialer1
!
ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload
ip nat inside source route-map NAT-ISP2 interface Dialer1 overload
[/quote]

"Замена IP"
Отправлено fanat , 26-Июн-09 12:11

>[оверквотинг удален]
> match ip address 11
> match interface FastEthernet0
>!
>route-map NAT-ISP2 permit 10
> match ip address 11
> match interface Dialer1
>!
>ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload
>ip nat inside source route-map NAT-ISP2 interface Dialer1 overload
>[/quote]
от куда вылезло это match interface Dialer1 (диалер у меня нет модема)
и чёт вообще не понял.
Меня порой удивляют люди бросая кусок кода

"Замена IP"
Отправлено BoBa , 26-Июн-09 12:36

это цитата (видно по тегам) примера двух натов на двух интерфейсах... или вы думали за вас будут писать нужный вам конфиг?

"Замена IP"
Отправлено BoBa , 26-Июн-09 12:37

а меня порой удивляют люди ленивые до гугла...

"Замена IP"
Отправлено fanat , 26-Июн-09 13:01

тема закрыта.
И исчо прежде чем отписаться на форуме я 3 дня потратил на прочтение мануалов и не найдя нужного направления обратился к форуму. Где сопсно заного сказали то, что уже прочитал.
Нужного решения до сих пор так и не нашёл. В итоге пришёл к выводу оис не такой гибкий как хотелось бы. И фигово то что нат физически привязан к портам. Сопсно поэтому тема и закрыта. Спасибо за внимание.