URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8727
[ Назад ]

Исходное сообщение
"NAT inside outside"

Отправлено melco , 17-Сен-05 02:04 
Здравствуйте!
имеется вот такая вот проблемка...
Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и есть в этой сети шлюз в интернет.
Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти в интернет, у cisco1751 в свою очередь как шлюз стоит тот шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в том, что есть только один интерфейс, и как его указать nat inside и nat outside не знаю...
А если быть точнее, то нужен не NAT а PAT(overload), а если быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether и ничего больше)

Содержание

Сообщения в этом обсуждении
"NAT inside outside"
Отправлено Nailer , 17-Сен-05 11:18 
>Здравствуйте!
>имеется вот такая вот проблемка...
>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>есть в этой сети шлюз в интернет.
>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>том, что есть только один интерфейс, и как его указать nat
>inside и nat outside не знаю...
>А если быть точнее, то нужен не NAT а PAT(overload), а если
>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>и ничего больше)

Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в 1751.


"NAT inside outside"
Отправлено melco , 17-Сен-05 11:21 
>>Здравствуйте!
>>имеется вот такая вот проблемка...
>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>есть в этой сети шлюз в интернет.
>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>том, что есть только один интерфейс, и как его указать nat
>>inside и nat outside не знаю...
>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>и ничего больше)
>
>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>1751.

Да, но тут же вопрос... как на два интерфейса назначить ip из одной сети?


"NAT inside outside"
Отправлено Nailer , 17-Сен-05 12:30 
>>>Здравствуйте!
>>>имеется вот такая вот проблемка...
>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>есть в этой сети шлюз в интернет.
>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>том, что есть только один интерфейс, и как его указать nat
>>>inside и nat outside не знаю...
>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>и ничего больше)
>>
>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>1751.
>
>Да, но тут же вопрос... как на два интерфейса назначить ip из
>одной сети?

Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?


"NAT inside outside"
Отправлено melco , 17-Сен-05 20:57 
>>>>Здравствуйте!
>>>>имеется вот такая вот проблемка...
>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>есть в этой сети шлюз в интернет.
>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>том, что есть только один интерфейс, и как его указать nat
>>>>inside и nat outside не знаю...
>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>и ничего больше)
>>>
>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>1751.
>>
>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>одной сети?
>
>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>


Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к тому же администрирую шлюз не я... вот потому и нада такую


"NAT inside outside"
Отправлено Nailer , 17-Сен-05 21:23 
>>>>>Здравствуйте!
>>>>>имеется вот такая вот проблемка...
>>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>>есть в этой сети шлюз в интернет.
>>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>>том, что есть только один интерфейс, и как его указать nat
>>>>>inside и nat outside не знаю...
>>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>>и ничего больше)
>>>>
>>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>>1751.
>>>
>>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>>одной сети?
>>
>>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>>
>
>
>Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к
>тому же администрирую шлюз не я... вот потому и нада такую
>

Тогда делаете другую сеть в офисе..
Если вы поставите два роутера в одну ip-подсеть и пропишете на одном второй в качестве шлюза, то первый будет кидать icmp redirect клиентам, чтобы они шли на первый..


"NAT inside outside"
Отправлено melco , 17-Сен-05 21:39 
>>>>>>Здравствуйте!
>>>>>>имеется вот такая вот проблемка...
>>>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>>>есть в этой сети шлюз в интернет.
>>>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>>>том, что есть только один интерфейс, и как его указать nat
>>>>>>inside и nat outside не знаю...
>>>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>>>и ничего больше)
>>>>>
>>>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>>>1751.
>>>>
>>>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>>>одной сети?
>>>
>>>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>>>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>>>
>>
>>
>>Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к
>>тому же администрирую шлюз не я... вот потому и нада такую
>>
>
>Тогда делаете другую сеть в офисе..
>Если вы поставите два роутера в одну ip-подсеть и пропишете на одном
>второй в качестве шлюза, то первый будет кидать icmp redirect клиентам,
>чтобы они шли на первый..


Ха, тото он и делает... :(


"NAT inside outside"
Отправлено AGP , 19-Сен-05 11:11 
А может прокси решит вопрос?

"NAT inside outside"
Отправлено Alan_1 , 20-Сен-05 02:42 
Почему же Вы не можете сделать для внутренней сети отдельную подсеть? С помощью подинтерфейсов. Какой у Вас свитч в локалке стоит? Если он вланы поддерживает, то ни каких проблем быть не может.


"NAT inside outside"
Отправлено kaa , 20-Сен-05 06:48 
>Здравствуйте!
>имеется вот такая вот проблемка...
>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>есть в этой сети шлюз в интернет.
>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>том, что есть только один интерфейс, и как его указать nat
>inside и nat outside не знаю...
>А если быть точнее, то нужен не NAT а PAT(overload), а если
>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>и ничего больше)

Кусок конфига:

interface FastEthernet0/0
no ip address
no ip mroute-cache
speed 100
full-duplex
fair-queue
no cdp enable
!
interface FastEthernet0/0.1
description ЧЧЧ
encapsulation dot1Q 1 native
ip address 192.168.0.1 255.255.255.0
ip nat inside
no ip mroute-cache
no cdp enable
!
interface FastEthernet0/0.2
description ЗЗЗ
encapsulation dot1Q 2
ip address 198.220.135.1 255.255.255.252
ip nat outside
no ip mroute-cache
no cdp enable
!
ip nat inside source list 27 pool ПУЛ overload
!
access-list 27 permit 192.168.0.0 0.0.0.255
!
ip route 0.0.0.0 0.0.0.0 <иппровайдера>


"NAT inside outside"
Отправлено kaa , 20-Сен-05 06:51 
>Кусок конфига:
>
>interface FastEthernet0/0
> no ip address
> no ip mroute-cache
> speed 100
> full-duplex
> fair-queue
> no cdp enable
>!
>interface FastEthernet0/0.1
> description ЧЧЧ
> encapsulation dot1Q 1 native
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> no ip mroute-cache
> no cdp enable
>!
>interface FastEthernet0/0.2
> description ЗЗЗ
> encapsulation dot1Q 2
> ip address 198.220.135.1 255.255.255.252
> ip nat outside
> no ip mroute-cache
> no cdp enable
>!
>ip nat inside source list 27 pool ПУЛ overload
>!
>access-list 27 permit 192.168.0.0 0.0.0.255
>!
>ip route 0.0.0.0 0.0.0.0 <иппровайдера>

Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload,
заменить на >ip nat inside source list 27 int f0/0.2 overload


"NAT inside outside"
Отправлено iasb , 22-Сен-05 12:01 
>>Кусок конфига:
>>
>>interface FastEthernet0/0
>> no ip address
>> no ip mroute-cache
>> speed 100
>> full-duplex
>> fair-queue
>> no cdp enable
>>!
>>interface FastEthernet0/0.1
>> description ЧЧЧ
>> encapsulation dot1Q 1 native
>> ip address 192.168.0.1 255.255.255.0
>> ip nat inside
>> no ip mroute-cache
>> no cdp enable
>>!
>>interface FastEthernet0/0.2
>> description ЗЗЗ
>> encapsulation dot1Q 2
>> ip address 198.220.135.1 255.255.255.252
>> ip nat outside
>> no ip mroute-cache
>> no cdp enable
>>!
>>ip nat inside source list 27 pool ПУЛ overload
>>!
>>access-list 27 permit 192.168.0.0 0.0.0.255
>>!
>>ip route 0.0.0.0 0.0.0.0 <иппровайдера>
>
>Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload,
>заменить на >ip nat inside source list 27 int f0/0.2 overload


Можно ли вопросы вдогон ? Спасибо заранее.

Во-первых что делать с этим ?


http://www.opennet.me/base/cisco/one_nat.txt.html

В особенности с припиской:
=======
NAT на cisco для доступа локальной сети в Internet (cis, Etvas, 12:18:00, 08/05/2005 [ответить] (1)
Волка такой вопрос?
Как понимаю у тебя Internet на Vilan в комутатор,
а как избавился от того что у тебя кадры interface Ethernet0 "сифонят" в Интернет?
Гм, конечно коннект по IP с наружными сервисами у тебя будет с sourc IP 195.0.0.2 но кадры от Ethernet0
с твоими внутренними IP будут доступны, в том числе и в широковещательном домене Ethernet Провайдера! Не страшно?
=======

И второй вопрос - а как при этом сделать проброс (при работающем NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И нат внутрь при этом делается для адресовв 172 ??? Определения для интерфейсов ip nat inbount и ip nat outbound - у нас же фиксированные, а тут надо делать в противоположном направлении.

IOS 11.3


"NAT inside outside"
Отправлено kaa , 22-Сен-05 13:12 
>Можно ли вопросы вдогон ? Спасибо заранее.
>
>Во-первых что делать с этим ?
>
>
>http://www.opennet.me/base/cisco/one_nat.txt.html
>
>В особенности с припиской:
>=======
> NAT на cisco для доступа локальной сети в Internet (cis, Etvas,
>12:18:00, 08/05/2005 [ответить] (1)
>Волка такой вопрос?
>Как понимаю у тебя Internet на Vilan в комутатор,
>а как избавился от того что у тебя кадры interface Ethernet0 "сифонят"
>в Интернет?
>Гм, конечно коннект по IP с наружными сервисами у тебя будет с
>sourc IP 195.0.0.2 но кадры от Ethernet0
>с твоими внутренними IP будут доступны, в том числе и в широковещательном
>домене Ethernet Провайдера! Не страшно?
>=======
Вы не путайте, там рутер 802.1q не поддерживает, написано же.
>
>И второй вопрос - а как при этом сделать проброс (при работающем
>NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные
>описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно
>объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И
>нат внутрь при этом делается для адресовв 172 ??? Определения для
>интерфейсов ip nat inbount и ip nat outbound - у нас
>же фиксированные, а тут надо делать в противоположном направлении.
>
>IOS 11.3
ip nat inside source static tcp <inside ip> 80 <outside ip> 80 extendable
Вот тут разбиралась тема:
http://www.opennet.me/openforum/vsluhforumID6/8689.html



"NAT inside outside"
Отправлено iasb , 22-Сен-05 15:36 
Спасибо, буду разбираться

"NAT inside outside"
Отправлено iasb , 22-Сен-05 15:58 
Да, а в общем случае <outside IP> - 0.0.0.0 что ли ?



"NAT inside outside"
Отправлено kaa , 22-Сен-05 16:09 
>Да, а в общем случае <outside IP> - 0.0.0.0 что ли ?

Нет нет!!!
outside ip - адрес внешнего интерфейса,
inside ip - адрес внутреннего интерфейса.


"NAT inside outside"
Отправлено kaa , 22-Сен-05 16:12 

>Нет нет!!!
>outside ip - адрес внешнего интерфейса,
>inside ip - адрес внутреннего интерфейса.

Брррр.......:)))))
inside ip - адрес внутреннего сервера!!!


"NAT inside outside"
Отправлено iasb , 22-Сен-05 16:44 
>
>>Нет нет!!!
>>outside ip - адрес внешнего интерфейса,
>>inside ip - адрес внутреннего интерфейса.
>
>Брррр.......:)))))
>inside ip - адрес внутреннего сервера!!!


Да, понятно.

Это ж надо, додуматься - внутренняя машина имеет другой гейтвей. Ясно. Сетка с разными маршрутами.

по крайней мере с tcpdump -i XXX 'port smtp'  - видно что пакеты приходят. Хотя пока на внешней машине я коннекта к внутренней не имею. Пробую. Спасибо.