The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема доступа к проброшенным портам из тоннеля"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Проблема доступа к проброшенным портам из тоннеля"  +/
Сообщение от Doc email(??) on 17-Сен-15, 14:20 
Есть сервер который через cisco2911 смотрит в инет на данный сервер проброшено несколько портов из "вне" (25,80,110)
с данной кошки установлен IPsec тоннель на такую-же. тоннель в порядке и сети друг друга видят (фильтров никаких нет)
но вот с доступом к проброшенным портам вонзили проблемы - из тоннеля они недоступны. (по портам которые не проброшены во вне сервер доступен)

совладеть ощущение, что пакет приходит на север со стороны тоннеля, а вот обратно не ложиться и улетает во "вне"

вот что показала таблица nat

tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:43266 94.159.96.45:43266
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47134 94.159.96.45:47134
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47231 94.159.96.45:47231
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:61723 94.159.96.45:61723
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:64225 94.159.96.45:64225
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:10392 192.2.2.102:10392
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:11892 192.2.2.102:11892
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197

соответственно:
109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован в 8888)
192.0.2.30 - внутренний адрес сервера
192.2.2.102 - адрес клиента со стороны тоннеля

Как это пофиксить?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема доступа к проброшенным портам из тоннеля"  +/
Сообщение от Merridius (ok) on 17-Сен-15, 14:31 
>[оверквотинг удален]
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:11892 192.2.2.102:11892
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197
> соответственно:
> 109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован
> в 8888)
> 192.0.2.30 - внутренний адрес сервера
> 192.2.2.102 - адрес клиента со стороны тоннеля
> Как это пофиксить?

Описать через Route-map трафик, который не нежно натить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблема доступа к проброшенным портам из тоннеля"  +/
Сообщение от Doc email(??) on 17-Сен-15, 14:48 
>[оверквотинг удален]
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197
>> соответственно:
>> 109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован
>> в 8888)
>> 192.0.2.30 - внутренний адрес сервера
>> 192.2.2.102 - адрес клиента со стороны тоннеля
>> Как это пофиксить?
> Описать через Route-map трафик, который не нежно натить.

уже имеется вот такой
access-list 111 permit ip 192.0.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 111 permit ip 192.2.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 111 permit ip 192.10.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 112 permit ip 192.0.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 112 permit ip 192.1.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 112 permit ip 192.10.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 121 permit ip 192.0.0.0 0.3.255.255 192.10.1.0 0.0.0.255
access-list 122 permit ip 192.0.0.0 0.3.255.255 192.10.2.0 0.0.0.255
access-list 123 permit ip 192.0.0.0 0.3.255.255 192.10.3.0 0.0.0.255
access-list 124 permit ip 192.0.0.0 0.3.255.255 192.10.4.0 0.0.0.255

route-map IPSEC_1 permit 10
match ip address 111 112 121 122 123 124

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема доступа к проброшенным портам из тоннеля"  +/
Сообщение от Roman (??) on 17-Сен-15, 15:41 
чтобы обойти подобную ерунду использовал следующее:

вариант 1
на сервере настраиваем дополнительный ip и используем его только для натирования.
вариант 2
используем связку gre+ipsec или ipip+ipsec.
интерфейс тунеля (gre) не использует натирования как следствие всё замечательно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру