- Помощь в настройке и понимании,
 cant, 17:20 , 30-Мрт-15 (1)> Добрый день,
> http://rusfolder.com/43337207
> Собственно вопросы:
> какие технологии и настройки надо использовать для решения задач указанных на схеме?
> и возможны ли решения данных вопросов?Схема у вас уже работает? тогда покажите конфиг "пограничного"-маршрутизатора. Если ничего из схемы пока нет, то обрисуйте что хотите получить в целом, и зачем нужен NAT в частности. Чтобы ответить на вопросы, из схемы не хватает данных.
- Помощь в настройке и понимании, NeonGloss, 17:49 , 30-Мрт-15 (2)
Схема работает. Static Routes - убраны.
Какую именно часть показать? а то настроил я там уже много... а что именно показать для решения - не ясно.Нат нужен т.к. Lan2 - это сторонняя организация которой нужен доступ к ВКС из локалки моей компании. Пинг из сети Lan2 идет в Lan1 и обратно, промежуточные сети - соответственно тоже доступны. Но надо иметь в виду что пограничный шлюз - он с моей стороны- пограничный, но он не является шлюзом по умолчанию в сети Lan2
- Помощь в настройке и понимании, NeonGloss, 18:00 , 30-Мрт-15 (4)
>[оверквотинг удален]
> Схема работает. Static Routes - убраны.
> Какую именно часть показать? а то настроил я там уже много... а
> что именно показать для решения - не ясно.(если весь конфиг нужно, то почищу и выложу сегодня ночью))
> Нат нужен т.к. Lan2 - это сторонняя организация которой нужен доступ к
> ВКС из локалки моей компании.
> Пинг из сети Lan2 идет в Lan1 и обратно, промежуточные сети -
> соответственно тоже доступны.
> Но надо иметь в виду что пограничный шлюз - он с моей
> стороны- пограничный, но он не является шлюзом по умолчанию в сети
> Lan2
- Помощь в настройке и понимании, NeonGloss, 17:51 , 30-Мрт-15 (3)
В первую очередь интересует вот что:
МОжно ли сделать Портфорвард с пограничного ПК сразу в "нелокальноподключенную сеть" т.е. в настройках указать ip назначения сразу адрес из LAN1.
- Помощь в настройке и понимании, cant, 18:17 , 30-Мрт-15 (5)
> В первую очередь интересует вот что:
> МОжно ли сделать Портфорвард с пограничного ПК сразу в "нелокальноподключенную сеть" т.е.
> в настройках указать ip назначения сразу адрес из LAN1.Раз связность по-роутингу обеспечили, то
для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip в connected-сети ("нелокальноподключенной сети"). ВКС через NAT не очень хорошо, есть же прямая связность.
- Помощь в настройке и понимании, NeonGloss, 22:29 , 30-Мрт-15 (6)
> Раз связность по-роутингу обеспечили, то
> для static-nat (порт-форварда) совершенно не обязательно иметь как real_ip, так и mapped_ip
> в connected-сети ("нелокальноподключенной сети").что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип из локально подключенной сети? и есть возможность показать пример команды , которая сделает snat?
а то я не сильно владею этой темой... собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между роутерами,
настроен нат всего что выходит через wan и больше ничего.
Подскажи пож как настроить snat под текущую задачу.
> ВКС через NAT не очень хорошо, есть же прямая связность.
прямая связность - это конечно хорошо, но еще она предполагает доступ к другим ресурсам сети, которые я показывать не хотел бы. Или стоит вырезать всё ACL-ами?
- Помощь в настройке и понимании, cant, 11:25 , 31-Мрт-15 (7)
> что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип
> из локально подключенной сети?Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать - mapped-бедый, real-серый. > собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между
> роутерами,
> настроен нат всего что выходит через wan и больше ничего.
> Подскажи пож как настроить snat под текущую задачу. Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся для него. >> ВКС через NAT не очень хорошо, есть же прямая связность.
> прямая связность - это конечно хорошо, но еще она предполагает доступ к
> другим ресурсам сети, которые я показывать не хотел бы. Или стоит
> вырезать всё ACL-ами? Если без NAT, то просто попросите владельца сети LAN2 прописать статический маршрут к вашей ВКС(т.е. на единственный ip из LAN1). Прописать он его должен на своем роутере-шлюзе для LAN2. Потом опционально можно и ACL.
- Помощь в настройке и понимании, NeonGloss, 11:52 , 31-Мрт-15 (8)
>> что значит real_ip и mapped_ip в контексте вопроса? белый ип и ип
>> из локально подключенной сети?
> Это терминология от cisco-asa. Ну в простейшем случае можно и так ситать
> - mapped-бедый, real-серый.дак а причем здесь белый\серый? загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24
а у пограничного роутера есть только маршрут до lan1. можно ли Snat делать для ip из "сильно удаленной сети"? И вроде-бы ответ на этот вопрос "да". Чет я запутался.... >> собсно к роутеру подключено 3 сети: wan, lan2 и промежуточный lan_b между
>> роутерами,
>> настроен нат всего что выходит через wan и больше ничего.
>> Подскажи пож как настроить snat под текущую задачу.
> Знать бы модель роутера и версию софта, snat нагуглить скорее всего удастся
> для него. Модель: Cisco 871
- Помощь в настройке и понимании, cant, 12:17 , 31-Мрт-15 (9)
> ... загвоздка жеж в том что ВКС из Lan1 имеет ip lan1.x/24
> а у пограничного роутера есть только маршрут до lan1. можно ли Snat
> делать для ip из "сильно удаленной сети"? И вроде-бы ответ на
> этот вопрос "да". Чет я запутался....
> Модель: Cisco 871 Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT Например, трансляция адреса в адрес, может подойти. inside - это будет LAN1
outside - LAN2 И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях), если с роутингом всё налажено.
- Помощь в настройке и понимании, NeonGloss, 14:56 , 31-Мрт-15 (10)
>[оверквотинг удален]
>> а у пограничного роутера есть только маршрут до lan1. можно ли Snat
>> делать для ip из "сильно удаленной сети"? И вроде-бы ответ на
>> этот вопрос "да". Чет я запутался....
>> Модель: Cisco 871
> Для этой железки можете подобрать отсюда подходящую трансляцию http://xgu.ru/wiki/Cisco_NAT
> Например, трансляция адреса в адрес, может подойти.
> inside - это будет LAN1
> outside - LAN2
> И да, обе ВКС могут быть "сильно удалены" (быть не в connected-сетях),
> если с роутингом всё налажено.Вот такое ощущение что мы на одном языке говорим, но друг друга не понимаем...( Пример: Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 --- ПК3 у router2 есть два ip-адрес lan2.x и lan3.x
у Сервер1 есть один ip-адрес lan1.y
Есть прямая "видимость"(Ping и пр.) Router2 <--> Сервер1.lan1.y Вопрос: могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт 3389 попасть по RDP на Сервер1?
Т.е. будет ли работать так как ожидается команда:
snat router2.lan3.x -> Сервер1.lan3.y
или snat можно делать только:
snat router2.lan3.x -> router2.lan2.x ?
- Помощь в настройке и понимании, cant, 17:09 , 31-Мрт-15 (11)
> Сервер1(ip=lan1.y) --- lan1 --- Router1 --- lan2 --- router2 --- lan3 ---
> ПК3
> у router2 есть два ip-адрес lan2.x и lan3.x
> у Сервер1 есть один ip-адрес lan1.y
> Есть прямая "видимость"(Ping и пр.) Router2 <--> Сервер1.lan1.y
> Вопрос:
> могу я сделать так чтобы ПК3 обращаясь к ip-адресу Router2.lan3.x на порт
> 3389 попасть по RDP на Сервер1?Если так надо, то:
outside - это LAN3,ПК3
inside - LAN2,LAN1,Сервер1 ip nat inside source static tcp Сервер1 3389 Router2.lan3.x 3389 extendable > Т.е. будет ли работать так как ожидается команда:
>
> snat router2.lan3.x -> Сервер1.lan3.y
> или snat можно делать только:
>
> snat router2.lan3.x -> router2.lan2.x Чтоб не сломать мозг, можно конечно разрисовать логику nat в двустороннем движении пакетов по их src,dst, для конкретной nat-команды. Но проще нагуглить похожий пример и содрать оттуда.
- Помощь в настройке и понимании, NeonGloss, 17:31 , 31-Мрт-15 (12)
Отлично, с одним вопросом разобрались) радует что нат - такой функциональный)Остался второй вопрос:
Как сделать так, чтобы у пограничного роутера было не 1 айпишник в сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3 был ВКС, в lan2 был ВКС и еще гденить в ospf area еще 3 ВКС. И это для того, чтобы с ПК3 можно было по ip-шникам из lan3 подключаться ко всем ВКС ? Эт факультативный вопрос... такого решения я избежал, но решить(понять как оно работает) оч хочется.
- Помощь в настройке и понимании, cant, 18:00 , 31-Мрт-15 (13)
> Сервер1(lan1.y) -- lan1 -- Router1 -- lan2 -- router2 -- lan3 -- ПК3
>
> Как сделать так, чтобы у пограничного роутера было не 1 айпишник в
> сети lan3, а допустим 5 айпишников. Чтоб к примеру в lan3
> был ВКС, в lan2 был ВКС и еще гденить в ospf
> area еще 3 ВКС. И это для того, чтобы с ПК3
> можно было по ip-шникам из lan3 подключаться ко всем ВКС ? Для этого надо, аналогично что и пример выше. Только адрес-в-адрес. ip nat inside source static ВКС2 Router2.lan3.x2
ip nat inside source static ВКС3 Router2.lan3.x3
ip nat inside source static ВКС4 Router2.lan3.x4 если lan3 это единый сегмент и адреса x2..4 не заняты.
|
Версия для распечатки
Помощь в настройке и понимании, 
