- Cisco NAT Проброс порта вовнутрь, Strelok, 12:29 , 02-Май-06 (1)
Попробовал вместо ip nat inside source list NAT-ACC interface Ethernet0 overload использовать ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30 ip nat inside source list NAT-ACC pool NAT-POOL overload та же фигня :(
- Cisco NAT Проброс порта вовнутрь, ilya, 12:44 , 02-Май-06 (2)
>Попробовал вместо >ip nat inside source list NAT-ACC interface Ethernet0 overload >использовать >ip nat pool NAT-POOL 80.х.х.х 80.х.х.х prefix-length 30 >ip nat inside source list NAT-ACC pool NAT-POOL overload >та же фигня :( а зачем конектиться на внешний адрес изнутри? как-то неправильно это...
- Cisco NAT Проброс порта вовнутрь, Strelok, 12:56 , 02-Май-06 (3)
>а зачем конектиться на внешний адрес изнутри? >как-то неправильно это... Мне надо настроить коннект к этой машинке 192.168.0.254:22 с ноутбука, который может быть как изнутри сети, так и снаружи.
- Cisco NAT Проброс порта вовнутрь, Strelok, 13:00 , 02-Май-06 (4)
Заметил вот еще что: при инициализации коннекта в sh ip nat translations не появляется записи об этом коннекте.
- Cisco NAT Проброс порта вовнутрь, sh_, 13:21 , 02-Май-06 (5)
А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизатореint fa 0 ip pol ro fuck route-map fuck match ip add 100 set ip next-h 192.168.0.254 access-l 100 perm ip an 80.x.x.x
- Cisco NAT Проброс порта вовнутрь, Strelok, 14:41 , 02-Май-06 (6)
>А если на машинке 192.168.0.254 прописать secondary адрес 80.x.x.x, а на маршрутизаторе А зачем secondary прописывать? > >int fa 0 >ip pol ro fuck >route-map fuck >match ip add 100 >set ip next-h 192.168.0.254 >access-l 100 perm ip an 80.x.x.x Если настроить роут-мап, то исходящий пакет на 80.х.х.х пойдет через циску на 192.168.0.254, а ответ вернется через Ethernet напрямую. Так будет работать?
- Cisco NAT Проброс порта вовнутрь, sh_, 14:44 , 02-Май-06 (7)
>А зачем secondary прописывать?Чтобы работало...
- Cisco NAT Проброс порта вовнутрь, Strelok, 14:53 , 02-Май-06 (8)
>>А зачем secondary прописывать? > >Чтобы работало... А с какой маской?
- Cisco NAT Проброс порта вовнутрь, sh_, 15:37 , 02-Май-06 (9)
- Cisco NAT Проброс порта вовнутрь, Strelok, 15:47 , 02-Май-06 (10)
>255.255.255.255 Сейчас попробую, а средствами ната это не решается?
- Cisco NAT Проброс порта вовнутрь, ilya, 15:53 , 02-Май-06 (11)
>>255.255.255.255 > >Сейчас попробую, а средствами ната это не решается? решается. запись статического ната с route-map`ом.
- Cisco NAT Проброс порта вовнутрь, Strelok, 18:28 , 02-Май-06 (12)
>>255.255.255.255 > >Сейчас попробую, а средствами ната это не решается? Не работает :( #sh route-map fuck route-map fuck, permit, sequence 10 Match clauses: ip address (access-lists): 100 Set clauses: ip next-hop 192.168.0.254 Policy routing matches: 0 packets, 0 bytes #sh ip access-lists 100 Extended IP access list 100 10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98
- Cisco NAT Проброс порта вовнутрь, ilya, 18:35 , 02-Май-06 (13)
>>>255.255.255.255 >> >>Сейчас попробую, а средствами ната это не решается? >Не работает :( >#sh route-map fuck >route-map fuck, permit, sequence 10 > Match clauses: > ip address (access-lists): 100 > Set clauses: > ip next-hop 192.168.0.254 > Policy routing matches: 0 packets, 0 bytes >#sh ip access-lists 100 >Extended IP access list 100 > 10 permit ip 192.168.0.0 0.0.0.255 host 82.114.104.98 конфиг?
- Cisco NAT Проброс порта вовнутрь, Strelok, 18:44 , 02-Май-06 (14)
>конфиг? interface Ethernet0 ip address 80.x.x.x 255.255.255.252 ip nat outside full-duplex ! interface FastEthernet0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip policy route-map fuck speed auto ! ip nat inside source list NAT-ACC interface Ethernet0 overload ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x route-map fuck permit 10 match ip address 100 set ip next-hop 192.168.0.254 !
- Cisco NAT Проброс порта вовнутрь, ilya, 19:04 , 02-Май-06 (15)
>>конфиг? >interface Ethernet0 > ip address 80.x.x.x 255.255.255.252 > ip nat outside > full-duplex >! >interface FastEthernet0 > ip address 192.168.0.1 255.255.255.0 > ip nat inside > ip policy route-map fuck > speed auto >! >ip nat inside source list NAT-ACC interface Ethernet0 overload >ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 extendable no-alias > >access-list 100 permit ip 192.168.0.0 0.0.0.255 host 80.x.x.x >route-map fuck permit 10 > match ip address 100 > set ip next-hop 192.168.0.254 ^^^^^^^^^^^^^^^ тут нет ошибки? некст-хоп - удаленный хост а не лупбэк? >! и имелось в виду немного другое ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME>
но прежде чем сделать эту трансляцию уберите полиси-роутинг. и еще раз вопрос - почему месье хочет странного? проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? - Cisco NAT Проброс порта вовнутрь, Strelok, 19:16 , 02-Май-06 (17)
>В acl должны матчиться пакеты, идущие на 82.114.104.98. To sh_: Издержки конспирации. матчится то что надо :) >> set ip next-hop 192.168.0.254 > > ^^^^^^^^^^^^^^^ тут нет ошибки? >некст-хоп - удаленный хост а не лупбэк? >>! Это по совету предидущего оратора :) надо локальный лупбэк? > >и имелось в виду немного другое > > >ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME> > >но прежде чем сделать эту трансляцию уберите полиси-роутинг. Ща сделаем. > >и еще раз вопрос - почему месье хочет странного? >проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. Есть ноут, который бывает как внутри сетки так и с наружи. На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига к серверу не коннектится. Если есть какие-то другие решения этой проблемы -- буду благодарен. - Cisco NAT Проброс порта вовнутрь, ilya, 09:34 , 03-Май-06 (18)
>>В acl должны матчиться пакеты, идущие на 82.114.104.98. >To sh_: Издержки конспирации. матчится то что надо :) >>> set ip next-hop 192.168.0.254 >> >> ^^^^^^^^^^^^^^^ тут нет ошибки? >>некст-хоп - удаленный хост а не лупбэк? >>>! >Это по совету предидущего оратора :) надо локальный лупбэк? эм. обычно в полиси роутинге прописывается лупбэк (в подобных задачах) хотя поищите на циске NAT Order of Operation и подумайте будет ли оно работать...>>и имелось в виду немного другое >> >> >>ip nat inside source static tcp 192.168.0.254 22 82.114.104.98 22 route-map <NAME> >> >>но прежде чем сделать эту трансляцию уберите полиси-роутинг. >Ща сделаем. >> >>и еще раз вопрос - почему месье хочет странного? >>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? >Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер >mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. >Есть ноут, который бывает как внутри сетки так и с наружи. >На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все >работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига >к серверу не коннектится. Если есть какие-то другие решения этой проблемы >-- буду благодарен. дык есть конечно. недавно в форуме пробегала тема про разные зоны (или не зоны, не помню) для ДНС - для локальных пользователей выдается одни IP для внешних - другие... соответственно прописываете не IP а днс-имя и ваша проблема должна решиться.
- Cisco NAT Проброс порта вовнутрь, oga, 12:56 , 09-Авг-12 (23)
>[оверквотинг удален] >> >>и еще раз вопрос - почему месье хочет странного? >>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? > Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер > mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. > Есть ноут, который бывает как внутри сетки так и с наружи. > На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все > работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига > к серверу не коннектится. Если есть какие-то другие решения этой проблемы > -- буду благодарен.На ноуте в hosts пропиши одно имя в две строки с двумя разными ip один внешний один внутренний и будет радость.
- Cisco NAT Проброс порта вовнутрь, eucariot, 15:20 , 09-Авг-12 (24)
>[оверквотинг удален] >>>проблема с DNS? зачем такой мягко-говоря не совсем стандартное решение? >> Мсье хочет жаренную курицу. :) А вообще схема такова: есть SMTP/POP3 сервер >> mail.chto-to.ru по адресу 192.168.0.254. на него пробрасывается с 82.114.104.98 25 порт. >> Есть ноут, который бывает как внутри сетки так и с наружи. >> На нем в качестве SMTP/POP3 прописано mail.chto-to.ru(82.114.104.98) Так вот снаружи все >> работает просто супер, изнутри когда у ноута адрес 192.168.0.10 (например) нифига >> к серверу не коннектится. Если есть какие-то другие решения этой проблемы >> -- буду благодарен. > На ноуте в hosts пропиши одно имя в две строки с двумя > разными ip один внешний один внутренний и будет радость.Вопрос построю так: Есть сайт в интернете, на котором идёт трансляция видео из моей локальной сети. Если я из своей же сети обращаюсь туда, то флэш говорит мне - видео брать с такого вот адреса (а это мой внешний адрес). Разумеется, видео я не вижу, потому что обращаюсь изнутри на свой внешний адрес. Как тут быть? - Cisco NAT Проброс порта вовнутрь, sh_, 19:04 , 02-Май-06 (16)
В acl должны матчиться пакеты, идущие на 82.114.104.98.
- Cisco NAT Проброс порта вовнутрь, bLeArrEaZ0N, 12:08 , 10-Май-06 (19)
Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо того, чтобы мучить роутер (особенно когда клиент и так использует fqdn для общения с сервером). Данная схема применялась неоднократно и показала себя вполне работоспособной. Существует два DNS сервера. Один из них находится во внешнем периметре (например, зона размещена у провайдера), а второй – в локальной сети. Оба сервера содержат зону «domain.com». Так как у регистратора будет указан IP только «внешнего» DNS, никаких проблем с обновлением зоны не будет. DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» в результате чего, находясь в LAN, при обращении к mail.domain.com он попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении к mail.domain.com, клиент попадает на 82.114.104.98. Всё. ============================================== Конфигурация «внешнего DNS» @ IN SOA ns1.domain.com. noc.ns1.domain.com. ( 2006051001 ; Serial 3600 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS ns1.domain.com. IN MX 10 mail.domain.com. @ A 82.114.104.98 ns1 A 82.114.104.98 mail CNAME ns1.domain.com. =============================================== Конфигурация «внутреннего DNS» @ IN SOA ns1.domain.com. noc.ns1.domain.com. ( 2006051001 ; Serial 3600 ; Refresh 900 ; Retry 3600000 ; Expire 3600 ) ; Minimum IN NS ns1.domain.com. IN MX 10 mail.domain.com. @ A 192.168.0.254 ns1 A 192.168.0.254 mail CNAME ns1.domain.com.
- Cisco NAT Проброс порта вовнутрь, vovat, 18:38 , 12-Май-06 (20)
>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо >того, чтобы мучить роутер (особенно когда клиент и так использует fqdn >для общения с сервером). > >Данная схема применялась неоднократно и показала себя вполне работоспособной. > >Существует два DNS сервера. Один из них находится во внешнем периметре (например, >зона размещена у провайдера), а второй – в локальной сети. Оба >сервера содержат зону «domain.com». Так как у регистратора будет указан IP >только «внешнего» DNS, никаких проблем с обновлением зоны не будет. >DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» >в результате чего, находясь в LAN, при обращении к mail.domain.com он >попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении >к mail.domain.com, клиент попадает на 82.114.104.98. > >Всё. Если есть bind9 проще view.
- Cisco NAT Проброс порта вовнутрь, mavrusha, 12:04 , 18-Дек-06 (21)
>>Не надо маяться дурью. Правильно пишут - надо использовать возможности DNS вместо >>того, чтобы мучить роутер (особенно когда клиент и так использует fqdn >>для общения с сервером). >> >>Данная схема применялась неоднократно и показала себя вполне работоспособной. >> >>Существует два DNS сервера. Один из них находится во внешнем периметре (например, >>зона размещена у провайдера), а второй – в локальной сети. Оба >>сервера содержат зону «domain.com». Так как у регистратора будет указан IP >>только «внешнего» DNS, никаких проблем с обновлением зоны не будет. >>DHCP сервер локальной сети в качестве nameserver передает клиенту адрес «внутреннего DNS» >>в результате чего, находясь в LAN, при обращении к mail.domain.com он >>попадает на 192.168.0.254. Находясь же вне периметра локальной сети, при обращении >>к mail.domain.com, клиент попадает на 82.114.104.98. >> А если нет желания ставить внутри дополнительный ДНС-сервер , то можно его запустить на самом маршрутизаторе. Примерно так:ip dns server ip domain name test.local ip host vm-pdc.test.local 192.168.0.150 ip host vm-termserver.test.local 192.168.0.160 ip host www.test.ru 192.168.0.252 ip host gate.test.ru 192.168.0.90 ip host mail.test.ru 192.168.0.253 ip name-server 192.168.0.150 ip name-server 217.195.66.253 ip name-server 217.195.65.9 Сначала lookup в hosts, далее запрос днс-серверов по порядку. P.S. тоже долго мучился с policy-routing, оказалось что проще так сделать.
- Cisco NAT Проброс порта вовнутрь, eucariot, 05:59 , 18-Май-11 (22)
У вас получилось решить этот вопрос без использования DNS?
|