URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9947
[ Назад ]

Исходное сообщение
"Проброска реальных адресов через NAT"
Отправлено artmy , 27-Фев-06 16:18

Здравствуйте, уважаемые! Пожалуйста помогите чайнику.
Имеется Cisco 2611. Два интерфейса Ethernet, один Serial.
Serial0/0 подключен к провайдеру на нём работает NAT(ZZ.YY.118.184/29). Один Eternet интерфейс смотрит во внутреннюю частную сеть,(192.168.100.0), второй подключен к почтовому серваку и Web-сервру с реальными IP адресами (ZZ.YY.126.32/29). Требуеться чтобы натилась только частная сеть, а диапазон
ZZ.YY.126.32./29 ходил туда и обратно без изменений.
Вот кусок конфига:
interface Ethernet0/0
description Internal Network
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip accounting output-packets
ip nat inside
no ip mroute-cache
full-duplex
interface Serial0/0
description Link to Internet
ip address zz.yy.118.186 255.255.255.248
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
ip accounting output-packets
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache
interface Ethernet0/1
description DMZ for web and e-mail services
ip address zz.yy.126.34 255.255.255.248
no ip directed-broadcast
ip accounting output-packets
no ip mroute-cache
full-duplex
ip nat inside source route-map NAT interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 zz.yy.118.185 #НА шлюз провайдера
no ip http server
access-list 124 deny   icmp 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7
access-list 124 deny   ip 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7
access-list 124 permit icmp any any
access-list 124 permit ip any any
route-map NAT permit 10
match ip address 124
Вопрос, где я дурак?

Содержание

Проброска реальных адресов через NAT,sh_, 18:40 , 27-Фев-06
- Проброска реальных адресов через NAT,artmy, 12:22 , 28-Фев-06
  - Проброска реальных адресов через NAT,sh_, 13:00 , 28-Фев-06
    - Проброска реальных адресов через NAT,artmy, 09:17 , 02-Мрт-06
      - Проброска реальных адресов через NAT,nbv, 09:50 , 02-Мрт-06
        
        Проброска реальных адресов через NAT,artmy, 09:33 , 03-Мрт-06
        
        Проброска реальных адресов через NAT,artmy, 11:18 , 06-Мрт-06
        
        Проброска реальных адресов через NAT,Lacunacoil, 18:54 , 07-Мрт-06
        
        Проброска реальных адресов через NAT,artmy, 14:58 , 09-Мрт-06

Сообщения в этом обсуждении

"Проброска реальных адресов через NAT"
Отправлено sh_ , 27-Фев-06 18:40

А не проще
no access-list 124
access-list 124 perm ip 192.168.100.0 0.0.0.255 an
И что не работает?

"Проброска реальных адресов через NAT"
Отправлено artmy , 28-Фев-06 12:22

>А не проще
>no access-list 124
>access-list 124 perm ip 192.168.100.0 0.0.0.255 an
>
>И что не работает?

Не пингуеться и не видиться порт маршрутки ZZ.YY.126.34 со стороны внешнего ZZ.YY.118.186, а уж ZZ.YY.126.35 - это почтовый сервер и подавно, причем 186 снаружи видиться и пингуеться. Вот это последнее особенно бесит!

"Проброска реальных адресов через NAT"
Отправлено sh_ , 28-Фев-06 13:00

А провайдер на тебя маршрутизирует эту сетку?
На всякий случай
interface Serial0/0
ip proxy-arp

"Проброска реальных адресов через NAT"
Отправлено artmy , 02-Мрт-06 09:17

>А провайдер на тебя маршрутизирует эту сетку?
>На всякий случай
>interface Serial0/0
>ip proxy-arp
Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на шлюз провайдера за номером 118.185 пакет не проходит и сидит эта ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно. Блин, тихий ужас.

"Проброска реальных адресов через NAT"
Отправлено nbv , 02-Мрт-06 09:50

>>А провайдер на тебя маршрутизирует эту сетку?
>>На всякий случай
>>interface Serial0/0
>>ip proxy-arp
>
>Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны
>почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту
>машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на
>шлюз провайдера за номером 118.185 пакет не проходит и сидит эта
>ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно.
>Блин, тихий ужас.
попробуй упростить конфиг - убери ACL и Route-map - они не нужны.
ip nat соответсвенно безусловный
DMZ под него попадать не будет, потому что интерфейс не "ip nat inside"

"Проброска реальных адресов через NAT"
Отправлено artmy , 03-Мрт-06 09:33

>попробуй упростить конфиг - убери ACL и Route-map - они не нужны.
>
>ip nat соответсвенно безусловный
>DMZ под него попадать не будет, потому что интерфейс не "ip nat
>inside"

Как это убрать ACL, а что вместо него? Вот так что-ли
ip nat inside source list InternalACL interface Serial0/0 overload
ip access-list standard InternalACL
permit 192.168.100.0 0.0.0.255
Или просто создать пул?

"Проброска реальных адресов через NAT"
Отправлено artmy , 06-Мрт-06 11:18

Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно

interface Ethernet0/0
description Internal Network
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip accounting output-packets
ip nat inside
no ip route-cache
no ip mroute-cache
full-duplex
!
interface Serial0/0
description Link to Internet
ip address zz.yy.118.186 255.255.255.248
ip directed-broadcast
ip accounting output-packets
ip nat outside
encapsulation ppp
peer default ip address zz.yy.118.185
!
interface Ethernet0/1
description DMZ for web and e-mail services
ip address zz.yy.126.34 255.255.255.248
no ip directed-broadcast
ip accounting output-packets
no ip mroute-cache
full-duplex
!
ip nat inside source list 1 interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 zz.yy.118.185
no ip http server
!
logging trap debugging
logging zz.yy.126.35
access-list 1 permit 192.168.100.0 0.0.0.255

"Проброска реальных адресов через NAT"
Отправлено Lacunacoil , 07-Мрт-06 18:54

>Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит
>до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно
>
>
>
>interface Ethernet0/0
> description Internal Network
> ip address 192.168.100.1 255.255.255.0
> no ip directed-broadcast
> ip accounting output-packets
> ip nat inside
> no ip route-cache
> no ip mroute-cache
> full-duplex
>!
>interface Serial0/0
> description Link to Internet
> ip address zz.yy.118.186 255.255.255.248
> ip directed-broadcast
> ip accounting output-packets
> ip nat outside
> encapsulation ppp
> peer default ip address zz.yy.118.185
>!
>interface Ethernet0/1
> description DMZ for web and e-mail services
> ip address zz.yy.126.34 255.255.255.248
> no ip directed-broadcast
> ip accounting output-packets
> no ip mroute-cache
> full-duplex
>!
>ip nat inside source list 1 interface Serial0/0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 zz.yy.118.185
>no ip http server
>!
>logging trap debugging
>logging zz.yy.126.35
>access-list 1 permit 192.168.100.0 0.0.0.255

пакет на дефолт не уходит или не приходит с почтовика ?

"Проброска реальных адресов через NAT"
Отправлено artmy , 09-Мрт-06 14:58

>
>
>пакет на дефолт не уходит или не приходит с почтовика ?

С Solaris'a с аресом ZZ.yy.126.35 даю:
ping ZZ.YY.118.186
ответ alive
даю:
ping ZZ.YY.118.185
no answer
Далее, с маршрутки все IP пингуються
Вот такая байда.