The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"проблема с ip nat inside source static"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"проблема с ip nat inside source static"  +/
Сообщение от bmonk (??) on 23-Янв-09, 13:34 
добрый день уважаемые цисковеды
не могу понять в чем проблема
есть Cisco 1811
за ней две подсетки
vlan1
192.168.0.0/24 - основная локалка
vlan2
192.168.1.0/24 - в этой подсети есть сервак 192.168.1.2
еще есть вот такое
ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable

есть CiscoPix за ней одна подсеть
192.168.2.0/24

между этими желязяками настроен впн
все три сети связаны др с др по в любым портам
но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 или 22 порту то ничего не получается соединение просто отваливается, а если допустим по 21 или 23 то все отлично работает
при этом из 192.168.0.0 я спокойно обращаюсь к этим портам
как только статическую трансляцию выключаю спокойно захожу на эти порты
подскажите пожалуйста как быть

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "проблема с ip nat inside source static"  +/
Сообщение от DN (ok) on 23-Янв-09, 14:39 
>есть Cisco 1811
>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>или 22 порту то ничего не получается соединение просто отваливается

Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http .

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "проблема с ip nat inside source static"  +/
Сообщение от bmonk (??) on 23-Янв-09, 15:13 
>>есть Cisco 1811
>>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>>или 22 порту то ничего не получается соединение просто отваливается
>
>Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
>
>Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http
>.

сервисы точно другие не запущены порты на самом деле другие - необходимые для работы специфического ПО
когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2
когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается
sh ip route говорит
что в 192.168.1.0 надо ходить через vlan2
на vlan2 висит роутмап в которой четко прописано что можно ходить и в 192.168.0.0 и в 192.168.2.0 по всему ip

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "проблема с ip nat inside source static"  +/
Сообщение от mario23 email on 23-Янв-09, 16:23 
>[оверквотинг удален]
>
>сервисы точно другие не запущены порты на самом деле другие - необходимые
>для работы специфического ПО
>когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2
>
>когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается
>sh ip route говорит
>что в 192.168.1.0 надо ходить через vlan2
>на vlan2 висит роутмап в которой четко прописано что можно ходить и
>в 192.168.0.0 и в 192.168.2.0 по всему ip

route map c роутами покажите

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "проблема с ip nat inside source static"  +/
Сообщение от bmonk (??) on 29-Янв-09, 09:59 

>route map c роутами покажите

ip access-list extended nonat
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
ip nat inside source route-map nonat-map pool GlobalPool overload
route-map nonat-map permit 10
match ip address nonat
match interface FastEthernet1 // интерфейс который смотрит в нет


ip access-list extended LocalNet
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any
этот ацл применен на vlan1 и vlan2

у меня есть еще пара удаленных филиалов с которыми настроен впн через роутеры и гре тоннели (и с них я спокойно захожу на пробрасываемые порты)
так вот когда я делаю sh ip route
во все удаленные подсетки которые за роутерами прописаны маршруты через тоннели,
а в подсеть которая за пиксой маршрута как такового нет
скорее всего когда я из проблемной сети обращаюсь на 192.168.1.2 80 то ответ пытается пройти через внешние адреса
мудрено конечно но я другого варианта не вижу
пытался вручную прописать маршрут
ip route 192.168.2.0 255.255.255.0 192.168.2.1  где 192.168.2.1 это внутренний адрес пикса но маршрут даже не сохраняется
вот такая вот загагулина

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "проблема с ip nat inside source static"  +/
Сообщение от bmonk (??) on 23-Янв-09, 16:25 
>>есть Cisco 1811
>>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable
>>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable
>>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80
>>или 22 порту то ничего не получается соединение просто отваливается
>
>Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .
>
>Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http
>.

попробовал ради интереса
ip nat inside source static tcp 192.168.0.136 3389 a.a.a.a 3389 extendable

если раньше из 192.168.2.0 был доступ на этот комп по этому порту то он тутже пропал
а из 192.168.1.0 остался
похоже что появляется какая-то коллизия с обратными пакетами
как ее побороть? снифером на компах видны попытки коннекта

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "проблема с ip nat inside source static"  +/
Сообщение от bmonk (??) on 29-Янв-09, 15:51 
тема закрыта вот таким образом:
ip nat inside source static tcp 192.168.1.2 80 а.а.а.а 80 route-map nonat-map
и все заработало!!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "проблема с ip nat inside source static"  +/
Сообщение от Ivan email(??) on 02-Мрт-10, 07:34 
Всем Здравствуйте!

У меня подобная проблема

Cisco: c2800nm-adventerprisek9_sna-mz.124-24.T2, два интерфейса:
      1) от ISP один внешний ip адрес x.x.x.x
      2) внутренний 192.168.1.1

192.168.1.2 - почтовый сервер
есть VPN к удаленной сети 10.10.1.0


Описанная схема прекрасно работает. Сервер получает, отправляет почту, клиенты из сетей 192.168.1.0 и 10.10.1.0 отправляют и получают почту через 192.168.1.2

!
access-list 130 deny   tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp
access-list 130 permit tcp any host x.x.x.x eq smtp
!
route-map nonat permit 10
match ip address 130
!
access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 110 permit ip host 192.168.1.2 any
!
route-map ISP permit 10
match ip address 110
!
ip nat inside source static tcp 192.168.1.2 25 x.x.x.x 25 route-map nonat extendable
ip nat inside source route-map ISP interface gi0/1.1 overload
!

Возникла задача отправлять почту через внешний SMTP-сервер(ip: s.s.s.s),  хоста 192.168.1.3(используя простой почтовый клиент), приветствие проходит:

#sh ip nat translations | inc :25
tcp x.x.x.x:1405 192.168.1.3:1405 s.s.s.s:25 s.s.s.s:25
- и на этом все, сообщение не уходит.
Не могу сориентироваться, использует ли дальше s.s.s.s 25 порт как порт назначения для x.x.x.x и перенаправляется ли он на 192.168.1.2 вместо 192.168.1.3 ?

С хоста 192.168.1.2 естественно почта отправляется используя внешний SMTP.

Как разрешить данную проблему?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру