URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9592
[ Назад ]

Исходное сообщение
"Трансляция адресов между внутренними интерфейсами маршрутизатора"

Отправлено Cug , 16-Янв-06 15:05 
Имеем Cisco 3725 Router (IOS с VoIP 12.3) который динамически транслирует адреса с перегрузкой (overload) из двух не перекрывающихся подсетей (на внутренних интерфейсах роутера) на внешний интерфейс, смотрящий в Интернет.

В обеих подсетях установлены серверы (почта и web). Соответственно, для них на роутере проброшен статический NAT на внешний интерфейс по всем портам.

ip nat inside source list 1 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 1
ip nat inside source list 2 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 2

ip nat inside source static 192.168.0.1 xxx.xxx.xxx.xxx extendable - статическая трансляция локального IP-адреса из сети 1 сервера в глобальный
ip nat inside source static 192.168.0.90 xxx.xxx.xxx.xxy extendable - статическая трансляция локального IP-адреса из сети 2 сервера в глобальный

Когда глобальные пользователи обращаются к серверам, запросы транслируются по указанным правилам - все в порядке.

Когда локальные пользователи обращаются серверам по реальному IP-адресу - начинаются грабли. Как я понимаю, Cisco передает запрос с внутреннего интерфейса на внешний, а тот в свою очередь не может завернуть его обратно.

Для меня важно именно обращение к серверам по реальным IP-адресам, поскольку по административно-техническим причинам поднять внутренний DNS я не могу. Внешний DNS-сервер находится в одной из локальных сетей, но вносить в него изменения я опять-таки не могу.

Буду признателен за идеи решения проблемы.


Содержание

Сообщения в этом обсуждении
"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено sh_ , 16-Янв-06 15:31 
Делай трансляцию для определенных портов...

"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено Cug , 16-Янв-06 20:58 
Прошу прощения, каким образом, если оба внутренних интерфейса помечены как inside, а внешний как outside?

Кроме того, трансляция для определенных портов не поможет - надо открывать всю динамику для ftp- и для smtp-сервисов.


"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено sh_ , 16-Янв-06 21:11 
Конфиг покажи...

"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено Cug , 17-Янв-06 13:32 
еще раз уточняю вопрос: необходимо, чтобы проходили запросы при обращении из внутренних подсетей (с неперекнывающимися нереальными адресными полями) по реальному IP-адресу, к ресурсам, размещенным во внутренних же подсетях.

[...]
!
controller E1 0/0
channel-group 0 timeslots 1-31 speed 64
!
controller E1 0/1
shutdown
!
!
!
[порт зарезервирован под будущие нужды]
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
no cdp enable
no mop enabled
!
[связь с Cisco 3725, установленной на границе второй внутренней подсети -
выполняет функции маршрутизатора. Есть доступ для перенастройки]
interface Serial0/0:0
ip address 10.0.0.2 255.255.255.252
ip nat inside
no cdp enable
!
interface FastEthernet0/1
description Provider
ip address xxx.xxx.xxx.y 255.255.255.252
ip access-group ACL in
ip nat outside
duplex auto
speed auto
no cdp enable
!
[первая внутренняя подсеть]
interface FastEthernet1/0
ip address aaa.aaa.aaa.a 255.255.255.240
ip nat inside
duplex auto
speed auto
no cdp enable
!
[порт свободен]
interface FastEthernet1/1
no ip address
duplex auto
speed auto
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.z
ip route aaa.aaa.aaa.b 255.255.255.224 10.0.0.1
!
no ip http server
[динамический NAT для пользователей обеих подсетей]
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source list 2 interface FastEthernet0/1 overload
[статический NAT для серверов в обеих подсетях]
ip nat inside source static aaa.aaa.aaa.c xxx.xxx.xxx.h extendable
ip nat inside source static aaa.aaa.aaa.d xxx.xxx.xxx.i no-payload
ip nat inside source static aaa.aaa.aaa.e xxx.xxx.xxx.j extendable
ip nat inside source static aaa.aaa.aaa.f xxx.xxx.xxx.k extendable
ip nat inside source static aaa.aaa.aaa.g xxx.xxx.xxx.l extendable
!
ip access-list extended ACL
permit icmp any any
permit tcp any any established
remark ---Access to DNS---
permit tcp any host xxx.xxx.xxx.i eq domain
permit udp any host xxx.xxx.xxx.i eq domain
remark ---Access to www1---
permit tcp any gt 1024 host xxx.xxx.xxx.l eq www
remark ---Access to POP3 mail1---
permit tcp any gt 1024 host xxx.xxx.xxx.h eq pop3
remark ---Access to SMTP mail1---
permit tcp any gt 1024 host xxx.xxx.xxx.h eq smtp
remark ---Access to POP3 mail2---
permit tcp any gt 1024 host xxx.xxx.xxx.k eq pop3
remark ---Access to SMTP mail2---
permit tcp any gt 1024 host xxx.xxx.xxx.k eq smtp
remark ---Access to www2---
permit tcp any host xxx.xxx.xxx.j gt 1024
permit tcp any host xxx.xxx.xxx.j eq ftp-data log
permit tcp any host xxx.xxx.xxx.j eq ftp log
permit tcp any host xxx.xxx.xxx.j eq www log
deny   ip any any

!
[запрещение динамического NAT для серверов]
access-list 1 deny   aaa.aaa.aaa.c
access-list 1 deny   aaa.aaa.aaa.d
access-list 1 permit aaa.aaa.aaa.o 0.0.0.15
access-list 2 deny   aaa.aaa.aaa.e
access-list 2 deny   aaa.aaa.aaa.f
access-list 2 deny   aaa.aaa.aaa.g
access-list 2 permit aaa.aaa.aaa.b 0.0.0.31
!
[...]


"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено sh_ , 17-Янв-06 21:27 
Sorry, невнимательно вопрос перый прочитал.
Может типа того попробовать?
int s0/0:0
ip policy route-ma fuck
int lo0
ip add 1.1.1.1 255.255.255.255
ip nat ou
rute-map fuck
match ip add 100
set int lo0
access-l 100 perm ip any ho xxx.xxx.xxx.h

"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено Cug , 19-Янв-06 11:59 
>Sorry, невнимательно вопрос перый прочитал.
>Может типа того попробовать?
>int s0/0:0
>ip policy route-ma fuck
>int lo0
>ip add 1.1.1.1 255.255.255.255
>ip nat ou
>rute-map fuck
>match ip add 100
>set int lo0
>access-l 100 perm ip any ho xxx.xxx.xxx.h

Обязательно попробую, поскольку в сети есть приложения, которые работают с жесткой привязкой к IP-адресам.

Проблема доступа к почте и web, решилась достаточно просто - на пользователях пробил DNS-серверы, находящиеся за пределами сети. При прохождении через маршрутизатор с NAT тело пакета с ответом транслируется и клиентам приходит соответствующий правилам статической трансляции нереальный адрес.


"Трансляция адресов между внутренними интерфейсами маршрутиза..."
Отправлено Cug , 06-Мрт-06 17:02 
Не работает.
И что самое обидное, не могу отследить, где происходит затык.
Еще предложения будут?