https://www.opennet.me/openforum/vsluhforumID6/23015.html Коллеги, подскажите по nat-проблеме...<br><br>Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в этой сети. Одно из устройств - ASA. Все прекрасно, все работает.<br><br>Но вот возникла задача, из этой сети, которая /27 переместить хост за ASA NAT, с сохранением адреса.<br><br>Если я правильно понимаю, то делаю правило для ната, в котором src outside будет старый адрес устройства, когда оно еще не было за натом.<br><br>Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже отвечать адресом, который не на асе висит, и на нее не смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#28 Tue, 26 Jun 2012 14:17:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; когда используется Juniper SRX в качестве межсетевого экрана.<br>&gt;&gt;&gt; фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону <br>&gt;&gt;&gt; провайдера смотрим через PPP ?<br>&gt;&gt; Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy <br>&gt;&gt; arp в одном правиле для одного адреса - перставал нат работать <br>&gt;&gt; для этого сервера... Что доставляет...:( <br>&gt; У меня такая же фигня, можешь сказать у тебя на juniper из <br>&gt; локальной сети при static nat при обращении на внешний ip который <br>&gt; соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp <br>&gt; на внешнем ip ?<br><br>сори на внешнем интерфейсе<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#27 Tue, 26 Jun 2012 14:15:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.<br>&gt;&gt;&gt;&gt; При Proxy ARP ASA просто говорит что знает как передать ARP <br>&gt;&gt;&gt;&gt; пакет в нужный broadcast domain.<br>&gt;&gt;&gt; Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а <br>&gt;&gt;&gt; когда используется Juniper SRX в качестве межсетевого экрана.<br>&gt;&gt; фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону <br>&gt;&gt; провайдера смотрим через PPP ?<br>&gt; Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy <br>&gt; arp в одном правиле для одного адреса - перставал нат работать <br>&gt; для этого сервера... Что доставляет...:( <br><br>У меня такая же фигня, можешь сказать у тебя на juniper из локальной сети при static nat при обращении на внешний ip который соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp на внешнем ip ?<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#26 Mon, 19 Sep 2011 04:33:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; - и есть другой бродкастный домен?<br>&gt;&gt;&gt; да, но это и другой subnet. Proxy ARP нужен если один subnet <br>&gt;&gt;&gt; но два broadcast domains.<br>&gt;&gt;&gt; При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.<br>&gt;&gt;&gt; При Proxy ARP ASA просто говорит что знает как передать ARP <br>&gt;&gt;&gt; пакет в нужный broadcast domain.<br>&gt;&gt; Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а <br>&gt;&gt; когда используется Juniper SRX в качестве межсетевого экрана.<br>&gt; фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону <br>&gt; провайдера смотрим через PPP ?<br><br>Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy arp в одном правиле для одного адреса - перставал нат работать для этого сервера... Что доставляет...:(<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#25 Wed, 14 Sep 2011 22:02:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; это в broadcast domain там где стоит сервер 10.1.1.20.<br>&gt;&gt;&gt; Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае <br>&gt;&gt;&gt; - и есть другой бродкастный домен?<br>&gt;&gt; да, но это и другой subnet. Proxy ARP нужен если один subnet <br>&gt;&gt; но два broadcast domains.<br>&gt;&gt; При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.<br>&gt;&gt; При Proxy ARP ASA просто говорит что знает как передать ARP <br>&gt;&gt; пакет в нужный broadcast domain.<br>&gt; Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а <br>&gt; когда используется Juniper SRX в качестве межсетевого экрана.<br><br>фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону провайдера смотрим через PPP ?<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#24 Wed, 14 Sep 2011 21:34:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном <br>&gt;&gt;&gt; и том же broadcast domain где и рутер провайдера и перенаправляет <br>&gt;&gt;&gt; это в broadcast domain там где стоит сервер 10.1.1.20.<br>&gt;&gt; Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае <br>&gt;&gt; - и есть другой бродкастный домен?<br>&gt; да, но это и другой subnet. Proxy ARP нужен если один subnet <br>&gt; но два broadcast domains.<br>&gt; При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов. <br>&gt; При Proxy ARP ASA просто говорит что знает как передать ARP <br>&gt; пакет в нужный broadcast domain.<br><br>Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а когда используется Juniper SRX в качестве межсетевого экрана.<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#23 Wed, 14 Sep 2011 18:46:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt; DMZ стоят все мои почтовые и вебсервера.<br>&gt;&gt;&gt; Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, <br>&gt;&gt;&gt; не для всей сети...<br>&gt;&gt; Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой <br>&gt;&gt; broadcast domain. Это значит что когда рутер провайдера спрашивает who has <br>&gt;&gt; 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном <br>&gt;&gt; и том же broadcast domain где и рутер провайдера и перенаправляет <br>&gt;&gt; это в broadcast domain там где стоит сервер 10.1.1.20.<br>&gt; Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае <br>&gt; - и есть другой бродкастный домен?<br><br>да, но это и другой subnet. Proxy ARP нужен если один subnet но два broadcast domains.<br><br>При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов. При Proxy ARP ASA просто говорит что знает как передать ARP пакет в нужный broadcast domain.<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#22 Wed, 14 Sep 2011 15:34:44 GMT &gt;[оверквотинг удален]<br>&gt; выше рутер моего прова видет что все мои внешние адреса принадлежат <br>&gt; одному MAC адресу а именно моей ASA. За ASA в приватном <br>&gt; DMZ стоят все мои почтовые и вебсервера.<br>&gt;&gt; Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, <br>&gt;&gt; не для всей сети...<br>&gt; Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой <br>&gt; broadcast domain. Это значит что когда рутер провайдера спрашивает who has <br>&gt; 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном <br>&gt; и том же broadcast domain где и рутер провайдера и перенаправляет <br>&gt; это в broadcast domain там где стоит сервер 10.1.1.20.<br><br>Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае - и есть другой бродкастный домен?<br> https://www.opennet.me/openforum/vsluhforumID6/23015.html#21 Tue, 13 Sep 2011 16:06:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ни в одной ссылке не написано что для static NAT у Juniper <br>&gt;&gt; _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это <br>&gt;&gt; не твой случай.<br>&gt;&gt; Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что <br>&gt;&gt; он тебе именно в этом случае обсалютно не нужен. А если <br>&gt;&gt; твой рутер будет соеденен через PPP к инету, как ты тогда <br>&gt;&gt; будешь устраивать Proxy ARP на внешнем интерфейсе ???<br>&gt; Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из <br>&gt; этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, <br>&gt; они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...<br><br>например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.<br><br>Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, https://www.opennet.me/openforum/vsluhforumID6/23015.html#20 Tue, 13 Sep 2011 15:26:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt; http://kengilmour.com/geeklog/public_html/article.php?story=20100522090304271 <br>&gt;&gt; http://boardreader.com/thread/confused_about_static_arp_and_proxy_arp_5km0aX1q9a.html <br>&gt;&gt; Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.<br>&gt; ни в одной ссылке не написано что для static NAT у Juniper <br>&gt; _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это <br>&gt; не твой случай.<br>&gt; Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что <br>&gt; он тебе именно в этом случае обсалютно не нужен. А если <br>&gt; твой рутер будет соеденен через PPP к инету, как ты тогда <br>&gt; будешь устраивать Proxy ARP на внешнем интерфейсе ???<br><br>Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...<br><br>Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, не для всей сети...<br>