проблема с NAT или неправильный роутинг?

Все остальное

проблема с NAT или неправильный роутинг?

Сообщение waxmax » 17 апр 2012, 14:18

Доброго всем.
С очередной нелопостью я к вам)))

cisco2921
внешний ИП
НАТ
ЛАН

пробелема в том, что
из внутренней сети
нет доступа по
внешнему ИП
к внутренним ресурсам.
тоесть есть ссылка на сайт, который внутри должна работать по внешнему адресу.
знаю что все скажите, что-то вроде: "ДНС запись и не парь нам тут могзи"
однако охото все разобраца, реально ли , если
у меня проброшен допустим 80 порт или почтовые порты.
из вне доступ есть.
изнутри доступ только по внутренним ИП.

могу дать маршруты и прочий листинг или не стоит?))))
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: проблема с NAT или неправильный роутинг?

Сообщение Андрей » 18 апр 2012, 06:17

waxmax писал(а):могу дать маршруты и прочий листинг или не стоит?))))

Вот с него и надо начинать. Хотя бы конфиг cisco.

Проверьте это:
Из лан виден внешний порт cisco?
Может быть нат настроен из внешнего ифейса во внутренний? у меня было так 1 раз. ))
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: проблема с NAT или неправильный роутинг?

Сообщение waxmax » 18 апр 2012, 09:01

вот, вроди не перепутано
Код: Выделить всё
no aaa new-model
clock timezone EST 3
!
no ipv6 cef
ip source-route
ip cef
!
ip dhcp excluded-address 172.16.20.1
ip dhcp excluded-address …

!
ip dhcp pool v21
   network 172.16.21.0 255.255.255.0
   default-router 172.16.21.1
!
ip dhcp pool v20 …
 …
!
ip domain name …….
ip name-server 8.8.4.4
ip name-server 8.8.8.8
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
!
crypto pki trustpoint TP-self-signed-…..
…..
!
crypto pki certificate chain TP-self-signed-181778778
 certificate self-signed 01
  3082024A 308201B3 ……….
…..
license udi pid CISCO2921/K9 sn ……
….
!
username admin …

!
interface GigabitEthernet0/0
 description wan
 no ip address
 ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/2.6
 encapsulation dot1Q 6
 ip address 10.2.8.253 255.255.255.252
!
interface GigabitEthernet0/2.10
 encapsulation dot1Q 10
 ip address 172.16.3.1 255.255.255.0
 ip access-group 120 in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface GigabitEthernet0/2.15
 encapsulation dot1Q 15
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/2.19
 encapsulation dot1Q 19
 ip address 10.63.1.197 255.255.255.192
!
interface GigabitEthernet0/2.20
 encapsulation dot1Q 20
 ip address 172.16.20.1 255.255.255.0
 ip access-group 120 in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface GigabitEthernet0/2.21
 encapsulation dot1Q 21
 ip address 172.16.21.1 255.255.255.0
!
interface GigabitEthernet0/2.22
 encapsulation dot1Q 22
 ip address 172.16.22.1 255.255.255.0
!
interface GigabitEthernet0/2.23
 encapsulation dot1Q 23
 ip address 172.16.23.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/2.24
 encapsulation dot1Q 24
 ip address 172.16.24.1 255.255.255.0
!
interface GigabitEthernet0/2.25
 encapsulation dot1Q 25
 ip address 172.16.25.1 255.255.255.0
!
interface GigabitEthernet0/2.30
 encapsulation dot1Q 30
 ip address 172.15.30.1 255.255.255.0
!
interface GigabitEthernet0/2.40
 encapsulation dot1Q 40
 ip address 172.16.40.1 255.255.255.0
!
interface GigabitEthernet0/2.41
 encapsulation dot1Q 41
 ip address 172.16.41.1 255.255.255.0
!
interface GigabitEthernet0/2.50
 encapsulation dot1Q 50
 ip address 172.16.90.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Virtual-Template1
 ip unnumbered GigabitEthernet0/0
 peer default ip address pool mfcvpn
 no keepalive
!
interface Dialer0
 mtu 1492
 ip address negotiated
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip policy route-map last-clear-df
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username ……
!
ip local pool mfcvpn 10. …
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export version 5
ip flow-export destination 10.2.8.226 9996
ip flow-export destination 172.16.101.12 9996
!
ip nat inside source list 114 interface Dialer0 overload
ip nat inside source list 115 interface Dialer0 overload
ip nat inside source list 140 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list 102 interface Dialer0 overload
ip nat inside source list 104 interface Dialer0 overload
ip nat inside source list 105 interface Dialer0 overload
ip nat inside source list 106 interface Dialer0 overload
ip nat inside source list 108 interface Dialer0 overload
ip nat inside source list 109 interface Dialer0 overload
ip nat inside source list 110 interface Dialer0 overload
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source list 112 interface Dialer0 overload
ip nat inside source list 113 interface Dialer0 overload
ip nat inside source list 141 interface Dialer0 overload
ip nat inside source list 142 interface Dialer0 overload
ip nat inside source list 143 interface Dialer0 overload
ip nat inside source list 144 interface Dialer0 overload
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.2.8.225 25 1.1.1.1 25 extendable
ip nat inside source static tcp 10.2.8.225 80 1.1.1.1 80 extendable
ip nat inside source static tcp 10.2.8.225 110 1.1.1.1 110 extendable
ip nat inside source static tcp 10.2.8.225 143 1.1.1.1 143 extendable
ip nat inside source static tcp 10.2.8.225 443 1.1.1.1 443 extendable
ip nat inside source static tcp 10.2.8.225 993 1.1.1.1 993 extendable
ip nat inside source static tcp 10.2.8.225 995 1.1.1.1 995 extendable

ip route 10.0.43.73 255.255.255.255 10.2.8.254
ip route 10.0.100.0 255.255.255.0 172.16.3.2
ip route 10.0.249.0 255.255.255.0 10.2.8.254
ip route 10.2.8.0 255.255.255.128 172.16.3.2
ip route 10.2.8.128 255.255.255.192 172.16.3.2
ip route 10.2.8.224 255.255.255.240 172.16.3.2
ip route 10.2.9.0 255.255.255.0 172.16.3.2
ip route 10.63.1.192 255.255.255.192 172.16.3.2
ip route 172.16.1.0 255.255.255.0 172.16.1.2
ip route 172.16.3.0 255.255.255.0 172.16.3.2
ip route 172.16.4.0 255.255.255.0 172.16.3.2
ip route 172.16.21.0 255.255.255.0 172.16.3.2
ip route 172.16.95.0 255.255.255.0 172.16.90.2
ip route 172.16.96.0 255.255.255.0 172.16.90.2
ip route 172.16.97.0 255.255.255.0 172.16.90.2
ip route 172.16.98.0 255.255.255.0 172.16.3.2
ip route 172.16.100.0 255.255.255.0 172.16.3.2
ip route 172.16.101.0 255.255.255.0 172.16.90.2
ip route 172.16.105.0 255.255.255.0 172.16.1.2
!
ip access-list extended NAT
 permit ip host 172.16.4.0 any
 permit ip host 172.16.3.0 any
 permit ip host 172.16.98.0 any
 permit ip host 172.16.20.0 any
 permit ip host 10.2.8.224 any
 permit ip host 172.16.23.0 any
 permit ip host 172.16.1.0 any
 permit ip host 172.16.105.0 any
 permit ip 172.16.101.0 0.0.0.255 any
 permit ip 172.16.96.0 0.0.0.255 any
 permit ip 172.16.90.0 0.0.0.255 any
 permit ip 172.16.95.0 0.0.0.255 any
 permit ip 172.16.97.0 0.0.0.255 any
 permit ip 10.2.8.128 0.0.0.63 any
 permit ip 192.168.1.0 0.0.0.255 any
 permit ip 10.2.8.0 0.0.0.127 any
ip access-list extended NT
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 101 permit ip 172.16.3.0 0.0.0.255 any
access-list 102 permit ip 172.16.100.0 0.0.0.255 any
access-list 103 permit ip 172.16.3.0 0.0.0.255 any
access-list 104 permit ip 172.16.98.0 0.0.0.255 any
access-list 105 permit ip 172.16.4.0 0.0.0.255 any
access-list 106 permit ip 10.2.8.0 0.0.0.127 any
access-list 108 permit ip 172.16.20.0 0.0.0.255 any
access-list 109 permit ip 10.2.8.224 0.0.0.15 any
access-list 110 permit ip 172.16.23.0 0.0.0.255 any
access-list 111 permit ip 10.2.9.0 0.0.0.255 any
access-list 112 permit ip 172.16.1.0 0.0.0.255 any
access-list 113 permit ip 172.16.105.0 0.0.0.255 any
access-list 114 permit ip 10.2.8.128 0.0.0.63 any
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
access-list 119 permit ip 0.0.0.0 255.255.255.192 any
access-list 120 permit tcp 10.2.8.224 0.0.0.15 any eq smtp
access-list 120 permit tcp 172.16.20.0 0.0.0.225 any eq smtp
access-list 120 deny   tcp any any eq smtp
access-list 120 permit ip any any
access-list 121 permit ip 172.16.21.0 0.0.0.255 any
access-list 130 permit ip 10.0.100.0 0.0.0.255 any
access-list 140 permit ip 172.16.101.0 0.0.0.255 any
access-list 141 permit ip 172.16.96.0 0.0.0.255 any
access-list 142 permit ip 172.16.95.0 0.0.0.255 any
access-list 143 permit ip 172.16.90.0 0.0.0.255 any
access-list 144 permit ip 172.16.97.0 0.0.0.255 any
access-list 181 permit tcp any any
dialer-list 1 protocol ip permit
!


ну да, ip access-list extended NAT немного нелепый.
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: проблема с NAT или неправильный роутинг?

Сообщение lehisnoe » 18 апр 2012, 09:43

1. При посте листингов, трасс и т.п. инфы следует пользоваться тегом Code
2. Из какой подсети должен быть доступ к какому адресу?
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: проблема с NAT или неправильный роутинг?

Сообщение waxmax » 18 апр 2012, 09:45

1. прошу прощения, все время путаю.
2. допустим из 10.2.8.0/25
или из 172.16.20.1/24
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: проблема с NAT или неправильный роутинг?

Сообщение lehisnoe » 19 апр 2012, 10:00

На сколько я понял, стоит задача, чтобы при обращении из подсети 10.2.8.0/25 к 1.1.1.1 запрос перенаправлялся на 10.2.8.225.

В этом случае, как ты правильно написал выше, задача решается использованием разных зон домена для резова имен при обращении из разных подсетей.

Объясню, почему я рекомендую именно этот способ решения задачи: в данном примере cisco 2921 вообще не будет участвовать в процессе пересылки трафика, т.к. он будет не роутиться, а свичеваться вследствие того, что хосты находятся в одной IP подсети. Если же пойдет обращение из 172.16.20.1/24 к 10.2.8.225, то в дело уже вступит 2921, но не отNAT'ит, а отроутит этот трафик в сторону 10.2.8.225.

В обоих случаях будут использоваться только необходимые действия для пересылки трафика. NAT (проброс портов) в этом случае ни к чему, т.к. это очень ресурсоемкий процесс.

Offtopic:

Из interface Dialer0 убери
Код: Выделить всё
ip policy route-map last-clear-df

;-)
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: проблема с NAT или неправильный роутинг?

Сообщение waxmax » 19 апр 2012, 10:21

Да, согласен.
Но вопрос был о, хотябы, теоретической возможности.
Есть ли таковая и в чем может быть проблема у меня?
Нормально ли у меня настроен НАТ?
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: проблема с NAT или неправильный роутинг?

Сообщение lehisnoe » 10 май 2012, 10:43

waxmax писал(а):Но вопрос был о, хотябы, теоретической возможности.
Есть ли таковая и в чем может быть проблема у меня?

Таковой возможности в данном случае нет, т.к. входящие из 10.2.8.0/24 не проходят через ифейс Dialer0 (а именно он является outside-ифейсом и именно на нем применяются правила статической трансляции для входящих пакетов), именно поэтому и не работает проброс портов.

Рекомендую ознакомиться с:
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: проблема с NAT или неправильный роутинг?

Сообщение waxmax » 10 май 2012, 13:03

Тоесть, как я понял: пакеты из 10.2.8.0/24 для Dialer0 являются inside пакетами, а для проброса нужны outside, так?
Благдарю, со статьей на харбр как раз недавно ознакомился, буду читать теперь с сайта циски.
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: проблема с NAT или неправильный роутинг?

Сообщение lehisnoe » 10 май 2012, 13:19

waxmax писал(а):пакеты из 10.2.8.0/24 для Dialer0 являются inside пакетами, а для проброса нужны outside
Проброс портов работает только для пакетов, поступающих через интерфейс Dialer0. Чего нет по факту для подсети 10.2.8.0/24.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow


Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

cron