- NAT inside outside,
 Nailer, 11:18 , 17-Сен-05 (1)>Здравствуйте!
>имеется вот такая вот проблемка...
>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>есть в этой сети шлюз в интернет.
>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>том, что есть только один интерфейс, и как его указать nat
>inside и nat outside не знаю...
>А если быть точнее, то нужен не NAT а PAT(overload), а если
>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>и ничего больше) Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в 1751.
- NAT inside outside, melco, 11:21 , 17-Сен-05 (2)
>>Здравствуйте!
>>имеется вот такая вот проблемка...
>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>есть в этой сети шлюз в интернет.
>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>том, что есть только один интерфейс, и как его указать nat
>>inside и nat outside не знаю...
>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>и ничего больше)
>
>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>1751. Да, но тут же вопрос... как на два интерфейса назначить ip из одной сети?
- NAT inside outside, Nailer, 12:30 , 17-Сен-05 (3)
>>>Здравствуйте!
>>>имеется вот такая вот проблемка...
>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>есть в этой сети шлюз в интернет.
>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>том, что есть только один интерфейс, и как его указать nat
>>>inside и nat outside не знаю...
>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>и ничего больше)
>>
>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>1751.
>
>Да, но тут же вопрос... как на два интерфейса назначить ip из
>одной сети? Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
- NAT inside outside, melco, 20:57 , 17-Сен-05 (4)
>>>>Здравствуйте!
>>>>имеется вот такая вот проблемка...
>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>есть в этой сети шлюз в интернет.
>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>том, что есть только один интерфейс, и как его указать nat
>>>>inside и nat outside не знаю...
>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>и ничего больше)
>>>
>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>1751.
>>
>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>одной сети?
>
>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>
Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к тому же администрирую шлюз не я... вот потому и нада такую
- NAT inside outside, Nailer, 21:23 , 17-Сен-05 (5)
>>>>>Здравствуйте!
>>>>>имеется вот такая вот проблемка...
>>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>>есть в этой сети шлюз в интернет.
>>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>>том, что есть только один интерфейс, и как его указать nat
>>>>>inside и nat outside не знаю...
>>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>>и ничего больше)
>>>>
>>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>>1751.
>>>
>>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>>одной сети?
>>
>>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>>
>
>
>Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к
>тому же администрирую шлюз не я... вот потому и нада такую
>Тогда делаете другую сеть в офисе..
Если вы поставите два роутера в одну ip-подсеть и пропишете на одном второй в качестве шлюза, то первый будет кидать icmp redirect клиентам, чтобы они шли на первый..
- NAT inside outside, melco, 21:39 , 17-Сен-05 (6)
>>>>>>Здравствуйте!
>>>>>>имеется вот такая вот проблемка...
>>>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>>>>>>есть в этой сети шлюз в интернет.
>>>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>>>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>>>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>>>>>>том, что есть только один интерфейс, и как его указать nat
>>>>>>inside и nat outside не знаю...
>>>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если
>>>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>>>>>>и ничего больше)
>>>>>
>>>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в
>>>>>1751.
>>>>
>>>>Да, но тут же вопрос... как на два интерфейса назначить ip из
>>>>одной сети?
>>>
>>>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку?
>>>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
>>>
>>
>>
>>Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к
>>тому же администрирую шлюз не я... вот потому и нада такую
>>
>
>Тогда делаете другую сеть в офисе..
>Если вы поставите два роутера в одну ip-подсеть и пропишете на одном
>второй в качестве шлюза, то первый будет кидать icmp redirect клиентам,
>чтобы они шли на первый..
Ха, тото он и делает... :(
- NAT inside outside, AGP, 11:11 , 19-Сен-05 (7)
А может прокси решит вопрос?
- NAT inside outside, Alan_1, 02:42 , 20-Сен-05 (8)
Почему же Вы не можете сделать для внутренней сети отдельную подсеть? С помощью подинтерфейсов. Какой у Вас свитч в локалке стоит? Если он вланы поддерживает, то ни каких проблем быть не может. - NAT inside outside, kaa, 06:48 , 20-Сен-05 (9)
>Здравствуйте!
>имеется вот такая вот проблемка...
>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и
>есть в этой сети шлюз в интернет.
>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти
>в интернет, у cisco1751 в свою очередь как шлюз стоит тот
>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в
>том, что есть только один интерфейс, и как его указать nat
>inside и nat outside не знаю...
>А если быть точнее, то нужен не NAT а PAT(overload), а если
>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether
>и ничего больше) Кусок конфига: interface FastEthernet0/0
no ip address
no ip mroute-cache
speed 100
full-duplex
fair-queue
no cdp enable
!
interface FastEthernet0/0.1
description ЧЧЧ
encapsulation dot1Q 1 native
ip address 192.168.0.1 255.255.255.0
ip nat inside
no ip mroute-cache
no cdp enable
!
interface FastEthernet0/0.2
description ЗЗЗ
encapsulation dot1Q 2
ip address 198.220.135.1 255.255.255.252
ip nat outside
no ip mroute-cache
no cdp enable
!
ip nat inside source list 27 pool ПУЛ overload
!
access-list 27 permit 192.168.0.0 0.0.0.255
!
ip route 0.0.0.0 0.0.0.0 <иппровайдера>
- NAT inside outside, kaa, 06:51 , 20-Сен-05 (10)
>Кусок конфига:
>
>interface FastEthernet0/0
> no ip address
> no ip mroute-cache
> speed 100
> full-duplex
> fair-queue
> no cdp enable
>!
>interface FastEthernet0/0.1
> description ЧЧЧ
> encapsulation dot1Q 1 native
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> no ip mroute-cache
> no cdp enable
>!
>interface FastEthernet0/0.2
> description ЗЗЗ
> encapsulation dot1Q 2
> ip address 198.220.135.1 255.255.255.252
> ip nat outside
> no ip mroute-cache
> no cdp enable
>!
>ip nat inside source list 27 pool ПУЛ overload
>!
>access-list 27 permit 192.168.0.0 0.0.0.255
>!
>ip route 0.0.0.0 0.0.0.0 <иппровайдера>Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload,
заменить на >ip nat inside source list 27 int f0/0.2 overload
- NAT inside outside, iasb, 12:01 , 22-Сен-05 (11)
>>Кусок конфига:
>>
>>interface FastEthernet0/0
>> no ip address
>> no ip mroute-cache
>> speed 100
>> full-duplex
>> fair-queue
>> no cdp enable
>>!
>>interface FastEthernet0/0.1
>> description ЧЧЧ
>> encapsulation dot1Q 1 native
>> ip address 192.168.0.1 255.255.255.0
>> ip nat inside
>> no ip mroute-cache
>> no cdp enable
>>!
>>interface FastEthernet0/0.2
>> description ЗЗЗ
>> encapsulation dot1Q 2
>> ip address 198.220.135.1 255.255.255.252
>> ip nat outside
>> no ip mroute-cache
>> no cdp enable
>>!
>>ip nat inside source list 27 pool ПУЛ overload
>>!
>>access-list 27 permit 192.168.0.0 0.0.0.255
>>!
>>ip route 0.0.0.0 0.0.0.0 <иппровайдера>
>
>Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload,
>заменить на >ip nat inside source list 27 int f0/0.2 overload
Можно ли вопросы вдогон ? Спасибо заранее.
Во-первых что делать с этим ?
http://www.opennet.me/base/cisco/one_nat.txt.html
В особенности с припиской:
=======
NAT на cisco для доступа локальной сети в Internet (cis, Etvas, 12:18:00, 08/05/2005 [ответить] (1)
Волка такой вопрос?
Как понимаю у тебя Internet на Vilan в комутатор,
а как избавился от того что у тебя кадры interface Ethernet0 "сифонят" в Интернет?
Гм, конечно коннект по IP с наружными сервисами у тебя будет с sourc IP 195.0.0.2 но кадры от Ethernet0
с твоими внутренними IP будут доступны, в том числе и в широковещательном домене Ethernet Провайдера! Не страшно?
======= И второй вопрос - а как при этом сделать проброс (при работающем NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И нат внутрь при этом делается для адресовв 172 ??? Определения для интерфейсов ip nat inbount и ip nat outbound - у нас же фиксированные, а тут надо делать в противоположном направлении. IOS 11.3
- NAT inside outside, kaa, 13:12 , 22-Сен-05 (12)
>Можно ли вопросы вдогон ? Спасибо заранее.
>
>Во-первых что делать с этим ?
>
>
>http://www.opennet.me/base/cisco/one_nat.txt.html
>
>В особенности с припиской:
>=======
> NAT на cisco для доступа локальной сети в Internet (cis, Etvas,
>12:18:00, 08/05/2005 [ответить] (1)
>Волка такой вопрос?
>Как понимаю у тебя Internet на Vilan в комутатор,
>а как избавился от того что у тебя кадры interface Ethernet0 "сифонят"
>в Интернет?
>Гм, конечно коннект по IP с наружными сервисами у тебя будет с
>sourc IP 195.0.0.2 но кадры от Ethernet0
>с твоими внутренними IP будут доступны, в том числе и в широковещательном
>домене Ethernet Провайдера! Не страшно?
>=======
Вы не путайте, там рутер 802.1q не поддерживает, написано же.
>
>И второй вопрос - а как при этом сделать проброс (при работающем
>NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные
>описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно
>объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И
>нат внутрь при этом делается для адресовв 172 ??? Определения для
>интерфейсов ip nat inbount и ip nat outbound - у нас
>же фиксированные, а тут надо делать в противоположном направлении.
>
>IOS 11.3
ip nat inside source static tcp <inside ip> 80 <outside ip> 80 extendable
Вот тут разбиралась тема:
http://www.opennet.me/openforum/vsluhforumID6/8689.html
- NAT inside outside, iasb, 15:36 , 22-Сен-05 (13)
Спасибо, буду разбираться
- NAT inside outside, iasb, 15:58 , 22-Сен-05 (14)
Да, а в общем случае <outside IP> - 0.0.0.0 что ли ?
- NAT inside outside, kaa, 16:09 , 22-Сен-05 (15)
>Да, а в общем случае <outside IP> - 0.0.0.0 что ли ?Нет нет!!!
outside ip - адрес внешнего интерфейса,
inside ip - адрес внутреннего интерфейса.
- NAT inside outside, kaa, 16:12 , 22-Сен-05 (16)
>Нет нет!!!
>outside ip - адрес внешнего интерфейса,
>inside ip - адрес внутреннего интерфейса. Брррр.......:)))))
inside ip - адрес внутреннего сервера!!!
- NAT inside outside, iasb, 16:44 , 22-Сен-05 (17)
>
>>Нет нет!!!
>>outside ip - адрес внешнего интерфейса,
>>inside ip - адрес внутреннего интерфейса.
>
>Брррр.......:)))))
>inside ip - адрес внутреннего сервера!!!
Да, понятно.
Это ж надо, додуматься - внутренняя машина имеет другой гейтвей. Ясно. Сетка с разными маршрутами.
по крайней мере с tcpdump -i XXX 'port smtp' - видно что пакеты приходят. Хотя пока на внешней машине я коннекта к внутренней не имею. Пробую. Спасибо.
|
Версия для распечатки
NAT inside outside, 
