https://217.65.3.21/openforum/vsluhforumID6/1671.html Добрый день,<br><br>Столкнулся на работе с задачей и понял что чегото не хватает в знаниях.<br>Помогите понять. И осветить пару вопросов.<br><br>Схема: <br>или:<br>http://rusfolder.com/download/745/?43337207&Q5YUIHjwr4UOx3mdrgaSoA%3D%3D<br>или:<br>http://rusfolder.com/43337207<br><br>Собственно вопросы:<br>какие технологии и настройки надо использовать для решения задач указанных на схеме?<br>и возможны ли решения данных вопросов?<br><br>Заранее большое спасибо.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#13 Tue, 31 Mar 2015 15:00:22 GMT &gt; Сервер1(lan1.y) -- lan1 -- Router1 -- lan2 -- router2 -- lan3 -- ПК3<br>&gt; <br>&gt; Как сделать так, чтобы у пограничного роутера было не 1 айпишник в <br>&gt; сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3 <br>&gt; был ВКС, в lan2 был ВКС и еще гденить в ospf <br>&gt; area еще 3 ВКС. И это для того, чтобы с ПК3 <br>&gt; можно было по ip-шникам из lan3 подключаться ко всем ВКС ? <br><br>Для этого надо, аналогично что и пример выше. Только адрес-в-адрес.<br><br>ip nat inside source static ВКС2 Router2.lan3.x2<br>ip nat inside source static ВКС3 Router2.lan3.x3<br>ip nat inside source static ВКС4 Router2.lan3.x4<br><br>если lan3 это единый сегмент и адреса x2..4 не заняты.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#12 Tue, 31 Mar 2015 14:31:30 GMT Отлично, с одним вопросом разобрались) радует что нат - такой функциональный)<br><br>Остался второй вопрос:<br>Как сделать так, чтобы у пограничного роутера было не 1 айпишник в сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3 был ВКС, в lan2 был ВКС и еще гденить в ospf area еще 3 ВКС. И это для того, чтобы с ПК3 можно было по ip-шникам из lan3 подключаться ко всем ВКС ?<br><br>Эт факультативный вопрос... такого решения я избежал, но решить(понять как оно работает) оч хочется.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#11 Tue, 31 Mar 2015 14:09:44 GMT &gt; Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 --- <br>&gt; ПК3 <br>&gt; у router2 есть два ip-адрес lan2.x и lan3.x <br>&gt; у Сервер1 есть один ip-адрес lan1.y <br>&gt; Есть прямая "видимость"(Ping и пр.) Router2 &lt;--&gt; Сервер1.lan1.y <br>&gt; Вопрос: <br>&gt; могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт <br>&gt; 3389 попасть по RDP на Сервер1?<br><br>Если так надо, то:<br>outside - это LAN3,ПК3<br>inside - LAN2,LAN1,Сервер1<br><br>ip nat inside source static tcp Сервер1 3389 Router2.lan3.x 3389 extendable<br><br><br><br>&gt; Т.е. будет ли работать так как ожидается команда: <br>&gt; <br>&gt; snat router2.lan3.x -&gt; Сервер1.lan3.y <br>&gt; или snat можно делать только: <br>&gt; <br>&gt; snat router2.lan3.x -&gt; router2.lan2.x <br><br>Чтоб не сломать мозг, можно конечно разрисовать логику nat в двустороннем движении пакетов по их src,dst, для конкретной nat-команды. Но проще нагуглить похожий пример и содрать оттуда.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#10 Tue, 31 Mar 2015 11:56:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; а у пограничного роутера есть только маршрут до lan1. можно ли Snat <br>&gt;&gt; делать для ip из "сильно удаленной сети"? И вроде-бы ответ на <br>&gt;&gt; этот вопрос "да". Чет я запутался....<br>&gt;&gt; Модель: Cisco 871 <br>&gt; Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT <br>&gt; Например, трансляция адреса в адрес, может подойти.<br>&gt; inside - это будет LAN1 <br>&gt; outside - LAN2 <br>&gt; И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях), <br>&gt; если с роутингом всё налажено.<br><br>Вот такое ощущение что мы на одном языке говорим, но друг друга не понимаем...(<br><br>Пример:<br><br>Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 --- ПК3<br><br>у router2 есть два ip-адрес lan2.x и lan3.x<br>у Сервер1 есть один ip-адрес lan1.y<br>Есть прямая "видимость"(Ping и пр.) Router2 &lt;--&gt; Сервер1.lan1.y<br><br>Вопрос:<br><br>могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт 3389 попасть по RDP на Сервер1?<br> <br>Т.е. будет ли работать так как ожидается https://217.65.3.21/openforum/vsluhforumID6/1671.html#9 Tue, 31 Mar 2015 09:17:31 GMT &gt; ... загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24 <br>&gt; а у пограничного роутера есть только маршрут до lan1. можно ли Snat <br>&gt; делать для ip из "сильно удаленной сети"? И вроде-бы ответ на <br>&gt; этот вопрос "да". Чет я запутался....<br>&gt; Модель: Cisco 871 <br><br>Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT<br><br>Например, трансляция адреса в адрес, может подойти.<br><br>inside - это будет LAN1<br>outside - LAN2<br><br>И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях), если с роутингом всё налажено.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#8 Tue, 31 Mar 2015 08:52:58 GMT &gt;&gt; что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип <br>&gt;&gt; из локально подключенной сети?<br>&gt; Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать <br>&gt; - mapped-бедый, real-серый.<br><br>дак а причем здесь белый\серый? загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24<br>а у пограничного роутера есть только маршрут до lan1. можно ли Snat делать для ip из "сильно удаленной сети"? И вроде-бы ответ на этот вопрос "да". Чет я запутался....<br><br>&gt;&gt; собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между <br>&gt;&gt; роутерами, <br>&gt;&gt; настроен нат всего что выходит через wan и больше ничего.<br>&gt;&gt; Подскажи пож как настроить snat под текущую задачу.<br>&gt; Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся <br>&gt; для него.<br><br>Модель: Cisco 871<br><br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#7 Tue, 31 Mar 2015 08:25:29 GMT &gt; что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип <br>&gt; из локально подключенной сети?<br><br>Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать - mapped-бедый, real-серый. <br><br>&gt; собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между <br>&gt; роутерами, <br>&gt; настроен нат всего что выходит через wan и больше ничего.<br>&gt; Подскажи пож как настроить snat под текущую задачу.<br><br>Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся для него.<br><br>&gt;&gt; ВКС через NAT не очень хорошо, есть же прямая связность.<br>&gt; прямая связность - это конечно хорошо, но еще она предполагает доступ к <br>&gt; другим ресурсам сети, которые я показывать не хотел бы. Или стоит <br>&gt; вырезать всё ACL-ами?<br><br>Если без NAT, то просто попросите владельца сети LAN2 прописать статический маршрут к вашей ВКС(т.е. на единственный ip из LAN1). Прописать он его должен на своем роутере-шлюзе для LAN2. Потом опционально можно и ACL.<br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#6 Mon, 30 Mar 2015 19:29:25 GMT &gt; Раз связность по-роутингу обеспечили, то <br>&gt; для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip <br>&gt; в connected-сети ("нелокальноподключенной сети").<br><br>что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип из локально подключенной сети?<br><br>и есть возможность показать пример команды , которая сделает snat?<br>а то я не сильно владею этой темой...<br><br>собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между роутерами,<br>настроен нат всего что выходит через wan и больше ничего.<br>Подскажи пож как настроить snat под текущую задачу.<br><br><br>&gt; ВКС через NAT не очень хорошо, есть же прямая связность.<br><br>прямая связность - это конечно хорошо, но еще она предполагает доступ к другим ресурсам сети, которые я показывать не хотел бы. Или стоит вырезать всё ACL-ами?<br><br><br><br> https://217.65.3.21/openforum/vsluhforumID6/1671.html#5 Mon, 30 Mar 2015 15:17:38 GMT &gt; В первую очередь интересует вот что: <br>&gt; МОжно ли сделать Портфорвард с пограничного ПК сразу в "нелокальноподключенную сеть" т.е. <br>&gt; в настройках указать ip назначения сразу адрес из LAN1.<br><br>Раз связность по-роутингу обеспечили, то<br>для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip в connected-сети ("нелокальноподключенной сети"). <br><br>ВКС через NAT не очень хорошо, есть же прямая связность. <br>