 Доступ по внешнему адресу из локальной сети (hairpin nat),  KomaLex, 22-Авг-16, 10:50 [смотреть все]В общем задача довольно распространенная, тем не менее не нашел необходимой информации.
За натом стоит сервер, проброшены порты. Извне обращение идет по внешнему адресу, все работает. Есть необходимость настроить так, что бы с локальной сети по внешнему адресу тоже все работало. Скажу сразу, решение вопроса через внешний и внутренний DNS сервера не устраивает через vpn тоже. Раньше стоял микротик, там все это настраивается через mangle. Поставили cisco 891 IOS 15.3, прошивка c890-universalk9-mz.153-3.M6
Вроде пишут везде что такое настроить можно, но как конкретно не нашел. Называется это двусторонний нат или PAT или NAT NVI. Смотрел и на наших форумах и на заграничных пытался смотреть, так и не получилось настроить. Хотя пишут, что ничего особо там настраивать не надо. Подскажите кто сталкивался, что делаю не так? Немного описание топологии:
192.168.11.1 - внутренний интерфейс Vlan 1
1.1.1.1 - внешний интерфейс PPPOE Dialin 1
192.168.11.6 - адрес сервера, порт 80Вот настройки относящиеся к задействованным интерфейсам и нату.
interface Vlan1
ip address 192.168.11.1 255.255.255.0
ip nat enable
ip virtual-reassembly in
!interface Dialer1
ip address negotiated
ip mtu 1452
ip nat enable
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname 381035811
ppp chap password 7 050E050B2443480C13
ppp pap sent-username 381035811 password 7 050E050B2443480C13
no cdp enable
! ip nat source list 122 interface Dialer1 overload
ip nat source static tcp 192.168.11.6 80 188.168.30.214 80 extendable
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.0.0 255.255.255.0 10.11.11.3
ip route 192.168.21.0 255.255.255.0 10.11.11.2
!
dialer-list 1 protocol ip permit
! access-list 122 permit ip 192.168.11.0 0.0.0.255 any
!
|
- Доступ по внешнему адресу из локальной сети (hairpin nat), KomaLex, 11:29 , 22-Авг-16 (1)
>[оверквотинг удален]
> ip nat source static tcp 192.168.11.6 80 188.168.30.214 80 extendable
> ip route 0.0.0.0 0.0.0.0 Dialer1
> ip route 192.168.0.0 255.255.255.0 10.11.11.3
> ip route 192.168.21.0 255.255.255.0 10.11.11.2
> !
> dialer-list 1 protocol ip permit
> !
> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
> !
> Есть настройки по asa, но там синтаксис другой. А вот по роутерам тоже вроде есть:
http://blog.sarlok.com/node/257
Но у меня так не работает.
- Доступ по внешнему адресу из локальной сети (hairpin nat), _alecx_, 17:46 , 22-Авг-16 (2)
>[оверквотинг удален]
>> !
>> dialer-list 1 protocol ip permit
>> !
>> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
>> !
>>
> Есть настройки по asa, но там синтаксис другой. А вот по роутерам
> тоже вроде есть:
> http://blog.sarlok.com/node/257
> Но у меня так не работает.У меня в GNS так работает. Давайте полный конфиг cisco
- Доступ по внешнему адресу из локальной сети (hairpin nat), KomaLex, 04:17 , 23-Авг-16 (3)
>[оверквотинг удален]
>>> !
>>> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
>>> !
>>>
>> Есть настройки по asa, но там синтаксис другой. А вот по роутерам
>> тоже вроде есть:
>> http://blog.sarlok.com/node/257
>> Но у меня так не работает.
> У меня в GNS так работает.
> Давайте полный конфиг cisco
Current configuration : 3373 bytes
!
! Last configuration change at 08:09:35 UTC Mon Aug 22 2016 by komal
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco-gw
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$vF3J$OqzIYTEgsgiV2VEdgUF7Y/
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa attribute list rbvpn
attribute type addr 10.11.11.3 service ppp protocol ip mandatory
!
aaa attribute list bayar
attribute type addr 10.11.11.2 service ppp protocol ip mandatory
!
!
!
!
!
aaa session-id common
!
!
!
!
!
!
!
!
!
!
ip domain name ikc.local
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
!
!
!
!
!
!
!
license udi pid CISCO891-K9 sn FCZ173491AJ
!
!
username komal privilege 15 secret 5 $1$Bxva$ZmVXAZ2px2TST8.ySK/Jp.
username bayar privilege 0 password 7 000016100B4B0E08082D
username bayar aaa attribute list bayar
username rbvpn privilege 0 password 7 03005E1D091F24424905
username rbvpn aaa attribute list rbvpn
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
!
interface FastEthernet5
no ip address
!
interface FastEthernet6
no ip address
!
interface FastEthernet7
no ip address
interface FastEthernet8
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip address 10.11.11.1 255.255.255.0
peer default ip address pool vpnpool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap ms-chap-v2
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.11.1 255.255.255.0
no ip redirects
ip nat enable
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
ip address negotiated
ip mtu 1452
ip nat enable
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname 381035811
ppp chap password 7 050E050B2443480C13
ppp pap sent-username 381035811 password 7 050E050B2443480C13
no cdp enable
!
ip local pool vpnpool 10.11.11.32 10.11.11.127
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat source list 122 interface Dialer1 overload
ip nat source static tcp 192.168.11.6 80 interface Dialer1 80
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.0.0 255.255.255.0 10.11.11.3
ip route 192.168.21.0 255.255.255.0 10.11.11.2
!
dialer-list 1 protocol ip permit
!
!
access-list 23 permit 192.168.11.0 0.0.0.255
access-list 122 permit ip 192.168.11.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
privilege exec level 1 enable
!
line con 0
line 1
modem InOut
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 0 0
privilege level 15
logging synchronous
transport input ssh
!
!
end
|
Версия для распечатки
