- Cisco NAT Проброс порта вовнутрь,
 Strelok, 12:29 , 02-Май-06 (1)Попробовал вместо
ip nat inside source list NAT-ACC interface Ethernet0 overload
использовать
ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
ip nat inside source list NAT-ACC pool NAT-POOL overload
та же фигня :(
- Cisco NAT Проброс порта вовнутрь, ilya, 12:44 , 02-Май-06 (2)
>Попробовал вместо
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>использовать
>ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30
>ip nat inside source list NAT-ACC pool NAT-POOL overload
>та же фигня :(
а зачем конектиться на внешний адрес изнутри?
как-то неправильно это...
- Cisco NAT Проброс порта вовнутрь, Strelok, 12:56 , 02-Май-06 (3)
>а зачем конектиться на внешний адрес изнутри?
>как-то неправильно это...
Мне надо настроить коннект к этой машинке 192.168.0.254:22 с ноутбука, который может быть как изнутри сети, так и снаружи.
- Cisco NAT Проброс порта вовнутрь, Strelok, 13:00 , 02-Май-06 (4)
Заметил вот еще что: при инициализации коннекта в sh ip nat translations не появляется записи об этом коннекте.
- Cisco NAT Проброс порта вовнутрь, sh_, 13:21 , 02-Май-06 (5)
А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизатореint fa 0
ip pol ro fuck
route-map fuck
match ip add 100
set ip next-h 192.168.0.254
access-l 100 perm ip an 80.x.x.x
- Cisco NAT Проброс порта вовнутрь, Strelok, 14:41 , 02-Май-06 (6)
>А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе
А зачем secondary прописывать?
>
>int fa 0
>ip pol ro fuck
>route-map fuck
>match ip add 100
>set ip next-h 192.168.0.254
>access-l 100 perm ip an 80.x.x.x
Если настроить роут-мап, то исходящий пакет на 80.х.х.х пойдет через циску на 192.168.0.254, а ответ вернется через Ethernet напрямую. Так будет работать?
- Cisco NAT Проброс порта вовнутрь, sh_, 14:44 , 02-Май-06 (7)
>А зачем secondary прописывать?Чтобы работало...
- Cisco NAT Проброс порта вовнутрь, Strelok, 14:53 , 02-Май-06 (8)
>>А зачем secondary прописывать?
>
>Чтобы работало...
А с какой маской?
- Cisco NAT Проброс порта вовнутрь, sh_, 15:37 , 02-Май-06 (9)
- Cisco NAT Проброс порта вовнутрь, Strelok, 15:47 , 02-Май-06 (10)
>255.255.255.255 Сейчас попробую, а средствами ната это не решается?
- Cisco NAT Проброс порта вовнутрь, ilya, 15:53 , 02-Май-06 (11)
>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?
решается.
запись статического ната с route-map`ом.
- Cisco NAT Проброс порта вовнутрь, Strelok, 18:28 , 02-Май-06 (12)
>>255.255.255.255
>
>Сейчас попробую, а средствами ната это не решается?
Не работает :(
#sh route-map fuck
route-map fuck, permit, sequence 10
Match clauses:
ip address (access-lists): 100
Set clauses:
ip next-hop 192.168.0.254
Policy routing matches: 0 packets, 0 bytes
#sh ip access-lists 100
Extended IP access list 100
10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98
- Cisco NAT Проброс порта вовнутрь, ilya, 18:35 , 02-Май-06 (13)
>>>255.255.255.255
>>
>>Сейчас попробую, а средствами ната это не решается?
>Не работает :(
>#sh route-map fuck
>route-map fuck, permit, sequence 10
> Match clauses:
> ip address (access-lists): 100
> Set clauses:
> ip next-hop 192.168.0.254
> Policy routing matches: 0 packets, 0 bytes
>#sh ip access-lists 100
>Extended IP access list 100
> 10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98
конфиг?
- Cisco NAT Проброс порта вовнутрь, Strelok, 18:44 , 02-Май-06 (14)
>конфиг?
interface Ethernet0
ip address 80.x.x.x 255.255.255.252
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip policy route-map fuck
speed auto
!
ip nat inside source list NAT-ACC interface Ethernet0 overload
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
route-map fuck permit 10
match ip address 100
set ip next-hop 192.168.0.254
!
- Cisco NAT Проброс порта вовнутрь, ilya, 19:04 , 02-Май-06 (15)
>>конфиг?
>interface Ethernet0
> ip address 80.x.x.x 255.255.255.252
> ip nat outside
> full-duplex
>!
>interface FastEthernet0
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> ip policy route-map fuck
> speed auto
>!
>ip nat inside source list NAT-ACC interface Ethernet0 overload
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias
>
>access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x
>route-map fuck permit 10
> match ip address 100
> set ip next-hop 192.168.0.254
^^^^^^^^^^^^^^^ тут нет ошибки? некст-хоп - удаленный хост а не лупбэк?
>! и имелось в виду немного другое
ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME>
но прежде чем сделать эту трансляцию уберите полиси-роутинг. и еще раз вопрос - почему месье хочет странного?
проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? - Cisco NAT Проброс порта вовнутрь, Strelok, 19:16 , 02-Май-06 (17)
>В acl должны матчиться пакеты, идущие на 82.114.104.98.
To sh_: Издержки конспирации. матчится то что надо :)
>> set ip next-hop 192.168.0.254
>
> ^^^^^^^^^^^^^^^ тут нет ошибки?
>некст-хоп - удаленный хост а не лупбэк?
>>!
Это по совету предидущего оратора :) надо локальный лупбэк?
>
>и имелось в виду немного другое
>
>
>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME>
>
>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
Ща сделаем.
>
>и еще раз вопрос - почему месье хочет странного?
>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. Есть ноут, который бывает как внутри сетки так и с наружи. На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига к серверу не коннектится. Если есть какие-то другие решения этой проблемы -- буду благодарен. - Cisco NAT Проброс порта вовнутрь, ilya, 09:34 , 03-Май-06 (18)
>>В acl должны матчиться пакеты, идущие на 82.114.104.98.
>To sh_: Издержки конспирации. матчится то что надо :)
>>> set ip next-hop 192.168.0.254
>>
>> ^^^^^^^^^^^^^^^ тут нет ошибки?
>>некст-хоп - удаленный хост а не лупбэк?
>>>!
>Это по совету предидущего оратора :) надо локальный лупбэк?
эм. обычно в полиси роутинге прописывается лупбэк (в подобных задачах)
хотя поищите на циске NAT Order of Operation
и подумайте будет ли оно работать...>>и имелось в виду немного другое
>>
>>
>>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME>
>>
>>но прежде чем сделать эту трансляцию уберите полиси-роутинг.
>Ща сделаем.
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>Есть ноут, который бывает как внутри сетки так и с наружи.
>На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>-- буду благодарен.
дык есть конечно. недавно в форуме пробегала тема про разные зоны (или не зоны, не помню) для ДНС - для локальных пользователей выдается одни IP
для внешних - другие... соответственно прописываете не IP а днс-имя и ваша проблема должна решиться.
- Cisco NAT Проброс порта вовнутрь, oga, 12:56 , 09-Авг-12 (23)
>[оверквотинг удален]
>>
>>и еще раз вопрос - почему месье хочет странного?
>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
> Есть ноут, который бывает как внутри сетки так и с наружи.
> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
> -- буду благодарен.На ноуте в hosts пропиши одно имя в две строки с двумя разными ip один внешний один внутренний и будет радость.
- Cisco NAT Проброс порта вовнутрь, eucariot, 15:20 , 09-Авг-12 (24)
>[оверквотинг удален]
>>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение?
>> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер
>> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт.
>> Есть ноут, который бывает как внутри сетки так и с наружи.
>> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все
>> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига
>> к серверу не коннектится. Если есть какие-то другие решения этой проблемы
>> -- буду благодарен.
> На ноуте в hosts пропиши одно имя в две строки с двумя
> разными ip один внешний один внутренний и будет радость.Вопрос построю так:
Есть сайт в интернете, на котором идёт трансляция видео из моей локальной сети. Если я из своей же сети обращаюсь туда, то флэш говорит мне - видео брать с такого вот адреса (а это мой внешний адрес). Разумеется, видео я не вижу, потому что обращаюсь изнутри на свой внешний адрес. Как тут быть? - Cisco NAT Проброс порта вовнутрь, sh_, 19:04 , 02-Май-06 (16)
В acl должны матчиться пакеты, идущие на 82.114.104.98.
- Cisco NAT Проброс порта вовнутрь, bLeArrEaZ0N, 12:08 , 10-Май-06 (19)
Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо того, чтобы мучить роутер (особенно когда клиент и так использует fqdn для общения с сервером). Данная схема применялась неоднократно и показала себя вполне работоспособной. Существует два DNS сервера. Один из них находится во внешнем периметре (например, зона размещена у провайдера), а второй – в локальной сети. Оба сервера содержат зону «domain.com». Так как у регистратора будет указан IP только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» в результате чего, находясь в LAN, при обращении к mail.domain.com он попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении к mail.domain.com, клиент попадает на 82.114.104.98. Всё. ============================================== Конфигурация «внешнего DNS»
@ IN SOA ns1.domain.com. noc.ns1.domain.com. (
2006051001 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS ns1.domain.com.
IN MX 10 mail.domain.com. @ A 82.114.104.98
ns1 A 82.114.104.98
mail CNAME ns1.domain.com. =============================================== Конфигурация «внутреннего DNS»
@ IN SOA ns1.domain.com. noc.ns1.domain.com. (
2006051001 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS ns1.domain.com.
IN MX 10 mail.domain.com. @ A 192.168.0.254
ns1 A 192.168.0.254
mail CNAME ns1.domain.com.
- Cisco NAT Проброс порта вовнутрь, vovat, 18:38 , 12-Май-06 (20)
>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>для общения с сервером).
>
>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>
>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>зона размещена у провайдера), а второй – в локальной сети. Оба
>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>к mail.domain.com, клиент попадает на 82.114.104.98.
>
>Всё.
Если есть bind9 проще view.
- Cisco NAT Проброс порта вовнутрь, mavrusha, 12:04 , 18-Дек-06 (21)
>>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо
>>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn
>>для общения с сервером).
>>
>>Данная схема применялась неоднократно и показала себя вполне работоспособной.
>>
>>Существует два DNS сервера. Один из них находится во внешнем периметре (например,
>>зона размещена у провайдера), а второй – в локальной сети. Оба
>>сервера содержат зону «domain.com». Так как у регистратора будет указан IP
>>только «внешнего» DNS, никаких проблем с обновлением зоны не будет.
>>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS»
>>в результате чего, находясь в LAN, при обращении к mail.domain.com он
>>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении
>>к mail.domain.com, клиент попадает на 82.114.104.98.
>>
А если нет желания ставить внутри дополнительный ДНС-сервер , то можно его запустить на самом маршрутизаторе. Примерно так:ip dns server
ip domain name test.local
ip host vm-pdc.test.local 192.168.0.150
ip host vm-termserver.test.local 192.168.0.160
ip host www.test.ru 192.168.0.252
ip host gate.test.ru 192.168.0.90
ip host mail.test.ru 192.168.0.253
ip name-server 192.168.0.150
ip name-server 217.195.66.253
ip name-server 217.195.65.9 Сначала lookup в hosts, далее запрос днс-серверов по порядку. P.S. тоже долго мучился с policy-routing, оказалось что проще так сделать.
- Cisco NAT Проброс порта вовнутрь, eucariot, 05:59 , 18-Май-11 (22)
У вас получилось решить этот вопрос без использования DNS?
|
Версия для распечатки
Cisco NAT Проброс порта вовнутрь, 
