The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Доступ на внешний интерфейс из NAT на Cisco 871, !*! Takkmoil, 23-Апр-10, 15:00  [смотреть все]
Здравствуйте!
Помогите, пожалуйста новичку.
Есть Cisco 871, на нём нат, за натом — четыре вебсервера, на внешний интерфейс проброшены порты. Нужно получить доступ изнутри на внешний интерфейс по проброшенным портам. Бьюсь уже второй день :(

Конфиг такой:

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
ip cef
!
!
no ip bootp server
ip domain name network.net
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 4.2.2.2
!
!
!
username ketamine privilege 15 secret 5 ketamine
!
!
archive
log config
  logging enable
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN
ip address 10.10.10.10 255.255.255.0
ip access-group FIREWALL_IN in
ip access-group FIREWALL_OUT out
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description LAN
ip address 172.27.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.10.10
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
ip nat inside source static tcp 172.27.0.11 80 interface FastEthernet4 8811
ip nat inside source static tcp 172.27.0.12 80 interface FastEthernet4 8812
ip nat inside source static tcp 172.27.0.13 80 interface FastEthernet4 8813
ip nat inside source static tcp 172.27.0.14 80 interface FastEthernet4 8814
!
ip access-list extended FIREWALL_IN
permit ip any any
ip access-list extended FIREWALL_OUT
permit ip any any
ip access-list extended NAT
permit ip any any
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet
!
scheduler max-task-time 5000
end

Ответить | Сообщить модератору
  • Доступ на внешний интерфейс из NAT на Cisco 871, !*! blank, 17:55 , 23-Апр-10 (1)

    >Нужно получить доступ изнутри на внешний интерфейс
    >по проброшенным портам.

    что имеется ввиду, если ходить из внутренней сети на сервера по внешним ИП- работать не будет.

    Ответить | Сообщить модератору
    • Доступ на внешний интерфейс из NAT на Cisco 871, !*! Takkmoil, 18:56 , 23-Апр-10 (2)
      >что имеется ввиду, если ходить из внутренней сети на сервера по внешним
      >ИП- работать не будет.

      Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего интерфейса.
      Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не Cisco), которая стояла до Cisco 871 это было реализовано.

      Ответить | Сообщить модератору
      • Доступ на внешний интерфейс из NAT на Cisco 871, !*! blank, 20:09 , 23-Апр-10 (3)
        >Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего
        >интерфейса.
        >Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не
        >Cisco), которая стояла до Cisco 871 это было реализовано.

        ни на каком не будет, ваше хотение решается через ДНС и обращение по имени.

        Ответить | Сообщить модератору
        • Доступ на внешний интерфейс из NAT на Cisco 871, !*! Takkmoil, 20:23 , 23-Апр-10 (4)
          >ни на каком не будет, ваше хотение решается через ДНС и обращение
          >по имени.

          Вы мне не верите, а зря. Раньше было сделано именно так другим роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя бы знать, почему.
          DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, а внутри порты другие, и изменить этого нельзя. Работать должно одинаково как снаружи, так и изнутри :(

          Ответить | Сообщить модератору
          • Доступ на внешний интерфейс из NAT на Cisco 871, !*! blank, 21:27 , 23-Апр-10 (5)
            >Вы мне не верите, а зря. Раньше было сделано именно так другим
            >роутером.

            ну может быть, железо и правда бывает разное и чудное;)
            >знать, почему.

            а почему локальный запрос должен через роутер ходить?
            >DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
            >а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
            >как снаружи, так и изнутри :(

            попробуй это http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
            не знаю на 871 реализуется или нет.

            Ответить | Сообщить модератору
          • Доступ на внешний интерфейс из NAT на Cisco 871, !*! ShyLion, 07:45 , 26-Апр-10 (6)
            >>ни на каком не будет, ваше хотение решается через ДНС и обращение
            >>по имени.
            >
            >Вы мне не верите, а зря. Раньше было сделано именно так другим
            >роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя
            >бы знать, почему.
            >DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
            >а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
            >как снаружи, так и изнутри :(

            Мы вам верим, эта фукнкиональность называется NAT hairpin, и стандартный цисковский NAT это делать не умел. Теперь он это делать умеет, но весь нат конфигурируется немного по другому

            раньше NAT делался командами:
            interface Fas0
            ip nat outside
            inetrface Fas1
            ip nat inside
            !
            ip nat inside source static ...

            Теперь, чтобы работал hairpin:

            interface Fas0
            ip nat enable
            interface Fas1
            ip nat enable
            ! заметь, что теперь для кисы не имеет значения, который из них снаружи а какой изнутри
            !
            ip nat source static tcp внутренний_ип порт внешний_ип порт extandable

            http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...

            Ответить | Сообщить модератору
            • Доступ на внешний интерфейс из NAT на Cisco 871, !*! Takkmoil, 12:50 , 26-Апр-10 (7)
              Спасибо, заработало!
              Ответить | Сообщить модератору
              • Доступ на внешний интерфейс из NAT на Cisco 871, !*! Nikolay777, 17:45 , 16-Авг-11 (8)
                Такая же задача на cisco 861W - никак не получается.
                вроде бы все уже сделал как описано...
                Хочется доступ снаружи на 10.20.0.172 порт 11111 транслировался в 172.16.0.2 порт 23.
                Снаружи все работает - доступ на 10.20.0.172 по порту 11111, изнутри на 10.20.0.172 по порту 11111 - нет...
                Маршрут по умолчанию не прописывал сейчас, хотя с ним все то же самое.
                Что еще можно попробовать? Или это особенности cisco 861W?

                !
                version 12.4
                no service pad
                service timestamps debug datetime msec
                service timestamps log datetime msec
                no service password-encryption
                !
                hostname Router
                !
                boot-start-marker
                boot system flash c860-universalk9-mz.124-24.T4.bin
                boot-end-marker
                !
                logging message-counter syslog
                !
                no aaa new-model
                memory-size iomem 10
                crypto pki token default removal timeout 0
                !
                !
                ip source-route
                !
                !
                ip cef
                !
                !
                !
                !
                !
                !
                !
                archive
                log config
                  hidekeys
                !
                !
                !
                !
                !
                interface FastEthernet0
                !
                interface FastEthernet1
                !
                interface FastEthernet2
                !
                interface FastEthernet3
                !
                interface FastEthernet4
                ip address 10.20.0.172 255.255.255.0
                ip nat enable
                duplex auto
                speed auto
                !
                interface wlan-ap0
                description Service module interface to manage the embedded AP
                no ip address
                arp timeout 0
                !
                interface Wlan-GigabitEthernet0
                description Internal switch interface connecting to the embedded AP
                !
                interface Vlan1
                ip address 172.16.0.1 255.255.255.0
                ip nat enable
                !
                ip forward-protocol nd
                no ip http server
                no ip http secure-server
                !
                ip nat source list NAT interface FastEthernet4 overload
                ip nat source static tcp 172.16.0.2 23 10.20.0.172 11111 extendable
                !
                ip access-list extended NAT
                permit ip any any
                !
                !
                control-plane
                !
                !
                line con 0
                no modem enable
                line aux 0
                line 2
                no activation-character
                no exec
                transport preferred none
                transport input all
                line vty 0 4
                login
                transport input all
                !
                scheduler max-task-time 5000
                end

                Ответить | Сообщить модератору
            • Доступ на внешний интерфейс из NAT на Cisco 871, !*! Delf_Lungran, 10:59 , 27-Дек-19 (9)

              >[оверквотинг удален]
              > Теперь, чтобы работал hairpin:
              > interface Fas0
              >  ip nat enable
              > interface Fas1
              >  ip nat enable
              > ! заметь, что теперь для кисы не имеет значения, который из них
              > снаружи а какой изнутри
              > !
              > ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
              > http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...

              Дай вам Бог здоровья =)

              Ответить | Сообщить модератору
            • Доступ на внешний интерфейс из NAT на Cisco 871, !*! andrey, 04:19 , 07-Апр-20 (10)

              >[оверквотинг удален]
              > Теперь, чтобы работал hairpin:
              > interface Fas0
              >  ip nat enable
              > interface Fas1
              >  ip nat enable
              > ! заметь, что теперь для кисы не имеет значения, который из них
              > снаружи а какой изнутри
              > !
              > ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
              > http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...

              спасибо вам большое!


              Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру