URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8689
[ Назад ]

Исходное сообщение
"Приложение через NAT"
Отправлено OldMadDog , 13-Сен-05 12:53

у нас тут клиентский софт есть... Который из инета по порту 7777 должен попадать ТОЛЬКО на внутренний сервак с IP 192.168.0.2
Обратно порт генериться случайным образом.
рАньше была винда с RRAS . там настроен NAT, что если приходит запрос на порт 7777. он тупо шлет на опр. IP.
Решили винду пофиксить и поставили С2811.
ПО подключению:
interface FastEthernet0/0 - смотрит во внутр сеть
interface FastEthernet0/1 - подключен к провайдеру
Сделали по подобию http://www.ciscotaccc.com/iprout/showcase?case=K75019454
настройки(адреса в примере от балды. ессно):
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 213.214.215.52 255.255.255.248
ip nat outside
duplex auto
speed auto
no cdp enable
!
!
ip nat outside source static tcp 213.214.215.52 7777 192.168.0.2 7777 extendable
______________
даешь команду debug ip nat - вроде все нормально с виду переборасывается, но...
Софт не коннектится. В чем трабл?. Пособите, плз... :((((

Содержание

Приложение через NAT,sh_, 13:58 , 13-Сен-05
- Приложение через NAT,OldMadDog, 14:43 , 13-Сен-05
  - Приложение через NAT,Фуфель, 14:48 , 13-Сен-05
    - Приложение через NAT,OldMadDog, 15:05 , 13-Сен-05
      - Приложение через NAT,Nailer, 15:08 , 13-Сен-05
- Приложение через NAT,kaa, 17:30 , 13-Сен-05
Приложение через NAT,kaa, 17:06 , 13-Сен-05
- Приложение через NAT,OldMadDog, 14:37 , 14-Сен-05
  - Приложение через NAT,sh_, 15:26 , 14-Сен-05
  - Приложение через NAT,kaa, 16:33 , 14-Сен-05
    - Приложение через NAT,kaa, 16:51 , 14-Сен-05
      - Приложение через NAT,OldMadDog, 10:25 , 15-Сен-05
        
        Приложение через NAT,kaa, 10:35 , 15-Сен-05
        
        Приложение через NAT,kaa, 11:09 , 15-Сен-05
        
        Приложение через NAT,OldMadDog, 11:54 , 15-Сен-05
        
        Приложение через NAT,kaa, 14:26 , 22-Сен-05
        
        Приложение через NAT,OldMadDog, 12:02 , 15-Сен-05

Сообщения в этом обсуждении

"Приложение через NAT"
Отправлено sh_ , 13-Сен-05 13:58

Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
Может нужно сделать PAT для сети 192.168.0.0/24?

"Приложение через NAT"
Отправлено OldMadDog , 13-Сен-05 14:43

>Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
как ответили программеры - обратку сама винда выдает, а не софт их
>Может нужно сделать PAT для сети 192.168.0.0/24?
а это как? на нашел в 2811 такого или не там искал

"Приложение через NAT"
Отправлено Фуфель , 13-Сен-05 14:48

>>Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
>
>как ответили программеры - обратку сама винда выдает, а не софт их
О как!
А винда то по своей сути тоже софт ;)
>>Может нужно сделать PAT для сети 192.168.0.0/24?
>а это как? на нашел в 2811 такого или не там искал
Ухты а как это? ip pat inside|outside ?

"Приложение через NAT"
Отправлено OldMadDog , 13-Сен-05 15:05

>>>Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
>>
>>как ответили программеры - обратку сама винда выдает, а не софт их
>О как!
>А винда то по своей сути тоже софт ;)
это я в курсе...:))))
>>>Может нужно сделать PAT для сети 192.168.0.0/24?
>>а это как? на нашел в 2811 такого или не там искал
>Ухты а как это? ip pat inside|outside ?
ага, ятож так глядел
ip nat outside source static tcp А.а.а.а 7777 В.В.В.В 7777 extendable
винда иной раз выдает конфликт IP адресов почему-то...:(

"Приложение через NAT"
Отправлено Nailer , 13-Сен-05 15:08

>>>>Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
>>>
>>>как ответили программеры - обратку сама винда выдает, а не софт их
>>О как!
>>А винда то по своей сути тоже софт ;)
>
>это я в курсе...:))))
>
>>>>Может нужно сделать PAT для сети 192.168.0.0/24?
>>>а это как? на нашел в 2811 такого или не там искал
>>Ухты а как это? ip pat inside|outside ?
>ага, ятож так глядел
>ip nat outside source static tcp А.а.а.а 7777 В.В.В.В 7777 extendable
>
>винда иной раз выдает конфликт IP адресов почему-то...:(
no-alias допишите..

"Приложение через NAT"
Отправлено kaa , 13-Сен-05 17:30

>Поподробнее на счет фразы: "Обратно порт генериться случайным образом."
>Может нужно сделать PAT для сети 192.168.0.0/24?
PAT не нужен.
PAT не может быть использован для запросов из аутсайда в 192.168.0.0/24,
только наиборот.
2 OldMadDog
PAT конфигурится так:
ip nat inside source list XX pool <пул глобальных адресов для PAT> overload
или
ip nat inside source list XX interface <аутсайд интерфейс> overload

"Приложение через NAT"
Отправлено kaa , 13-Сен-05 17:06

2 OldMadDog
ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 extendable

"Приложение через NAT"
Отправлено OldMadDog , 14-Сен-05 14:37

>2 OldMadDog
>
>ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 extendable
заработало лишь когда вписал
ip nat inside source static 192.168.0.2 213.214.215.52

"Приложение через NAT"
Отправлено sh_ , 14-Сен-05 15:26

Теперь покажи sh ip nat tr, чтобы посмотреть, по каким портам они реально общаются...

"Приложение через NAT"
Отправлено kaa , 14-Сен-05 16:33

>>2 OldMadDog
>>
>>ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 extendable
>
>
>
>заработало лишь когда вписал
>ip nat inside source static 192.168.0.2 213.214.215.52
Ну дык...:)
так и надо ежели сервер в инсайде.

"Приложение через NAT"
Отправлено kaa , 14-Сен-05 16:51

>>>2 OldMadDog
>>>
>>>ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 extendable
>>
>>
>>
>>заработало лишь когда вписал
>>ip nat inside source static 192.168.0.2 213.214.215.52
>
>Ну дык...:)
>так и надо ежели сервер в инсайде.
аааа....:)
сорри, не смикитил о чём речь,
да посмотрите sh ip nat tr - всякое бывает, может вы порты перепутали.
если на 192.168.0.2 7777 , то кинте сюда sh run

"Приложение через NAT"
Отправлено OldMadDog , 15-Сен-05 10:25

>>>>2 OldMadDog
>>>>
>>>>ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 extendable
>>>
>>>
>>>
>>>заработало лишь когда вписал
>>>ip nat inside source static 192.168.0.2 213.214.215.52
>>
>>Ну дык...:)
>>так и надо ежели сервер в инсайде.
>
>аааа....:)
>сорри, не смикитил о чём речь,
>да посмотрите sh ip nat tr  - всякое бывает, может вы
>порты перепутали.
>если на 192.168.0.2 7777 , то кинте сюда sh run

да фигня какая-то..
с портами программеры грят- чтотолько енти
но..
даешь конфиг
ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 ext
не пашет клиент, не видет сервер
Cisco2811#sh ip nat tr
Pro Inside global      Inside local       Outside local      Outside global
tcp 213.214.215.52:7777 192.168.0.2:7777 с.с.с.с:1698 с.с.с.с:1698
--- 213.214.215.52     192.168.0.2      ---                ---

с.с.с.с - внешний адрес клиента
пишешь ip nat inside source static 192.168.0.2 213.214.215.52
все работает как часы

"Приложение через NAT"
Отправлено kaa , 15-Сен-05 10:35

>да фигня какая-то..
> с портами программеры грят- чтотолько енти
>но..
> даешь конфиг
>ip nat inside source static tcp 192.168.0.2 7777 213.214.215.52 7777 ext
>
>не пашет клиент, не видет сервер
>Cisco2811#sh ip nat tr
>Pro Inside global      Inside local
>    Outside local
>Outside global
>tcp 213.214.215.52:7777 192.168.0.2:7777 с.с.с.с:1698 с.с.с.с:1698
>--- 213.214.215.52     192.168.0.2
>---
>     ---
>
>
>с.с.с.с - внешний адрес клиента
>
>пишешь ip nat inside source static 192.168.0.2 213.214.215.52
>
>все работает как часы
Ну тут два варианта - если айпишник не жалко один в один транслить,
то забейте :) , а если хочется сделать красиво, то надо потраблшутить,
если решите что нужен второй вариант, кидайте для начала sh run, не плохо было бы езериал на сервере запустить ещё...

"Приложение через NAT"
Отправлено kaa , 15-Сен-05 11:09

И sh ver ещё!

"Приложение через NAT"
Отправлено OldMadDog , 15-Сен-05 11:54

>И sh ver ещё!

Cisco2811#sh ver
Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.3(8)T7, RELEASE
SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Sat 12-Mar-05 10:28 by ccai
ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
Cisco2811 uptime is 51 minutes
System returned to ROM by power-on
System image file is "flash:c2800nm-ipbase-mz.123-8.T7.bin"
Cisco 2811 (revision 53.51) with 253952K/8192K bytes of memory.
Processor board ID FHK0916F1LN
2 FastEthernet interfaces
8 terminal lines
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102

"Приложение через NAT"
Отправлено kaa , 22-Сен-05 14:26

>>И sh ver ещё!
>
>
>Cisco2811#sh ver
>Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.3(8)T7, RELEASE
> SOFTWARE (fc3)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2005 by Cisco Systems, Inc.
>Compiled Sat 12-Mar-05 10:28 by ccai
>
>ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
>
>Cisco2811 uptime is 51 minutes
>System returned to ROM by power-on
>System image file is "flash:c2800nm-ipbase-mz.123-8.T7.bin"
>
>Cisco 2811 (revision 53.51) with 253952K/8192K bytes of memory.
>Processor board ID FHK0916F1LN
>2 FastEthernet interfaces
>8 terminal lines
>DRAM configuration is 64 bits wide with parity enabled.
>239K bytes of non-volatile configuration memory.
>62720K bytes of ATA CompactFlash (Read/Write)
>
>Configuration register is 0x2102

Прошу прощения, почему-то проглядел ваши ответы..
Иос пробил, все натовские фичи, как и в ентерпрайз секурити,
пробуйте менять иос на более свежий релиз, может поможет.
Ещё момент, вы показывали нам sh ip nat tr , только после ip nat inside source static tcp...
а при ip nat inside source static..., можете сделать sh ip nat tr | include 192.168.0.2 ?

"Приложение через NAT"
Отправлено OldMadDog , 15-Сен-05 12:02

в сыром виде сейчас вот такой конфиг

Cisco2811#sh runn
Building configuration...
Current configuration : 2004 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2811
!
boot-start-marker
boot-end-marker
!
!
username cisco privilege 15 secret 5 $1$tz5C$Fxwah08i/tXvumtwFnzM3.
no network-clock-participate aim 0
no network-clock-participate aim 1
modem country smart_acf russia
aaa new-model
!
!
aaa authentication login default group radius local
aaa authentication login console local
aaa authentication login no_radius local
aaa authentication enable default enable
aaa authentication ppp default group radius local
aaa accounting network default start-stop group radius
aaa session-id common
ip subnet-zero
!
!
ip cef
!
!
ip domain name test.com
ip name-server a.a.a.a
no ftp-server write-enable
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address b.b.0.2 255.255.0.0
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address c.c.c.52 255.255.255.248
ip nat outside
duplex auto
speed auto
no cdp enable
!
interface Group-Async1
ip unnumbered Loopback0
encapsulation ppp
dialer in-band
dialer-group 1
async mode interactive
peer default ip address pool RAS
ppp authentication ms-chap-v2
group-range 1/0 1/7
!
ip local pool RAS b.b.100.1 b.b.100.100
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
ip route a.a.0.0 255.255.0.0 b.b.0.1
ip http server
ip http authentication local
ip nat inside source static b.b.b.5 c.c.c.52
!
!
dialer-list 1 protocol ip permit
snmp-server community public RW
snmp-server enable traps tty
no cdp run
radius-server host b.b.b.25 auth-port 1645 acct-port 1646
radius-server key 123
!
control-plane
!
!
line con 0
line aux 0
line 1/0 1/7
modem InOut
transport input all
autoselect ppp
line vty 0 4
privilege level 15
login authentication local
transport input telnet
!
scheduler allocate 20000 1000
!
end
Cisco2811#