forum.opennet.ru - "Telnet через nat" (30)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Telnet через nat"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Telnet через nat"	+/–
Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 11:09
Добрый день. У меня такая ситуация: Есть устройство с IP из локальной сети. По нему стройство отвечает и дает доступ по telnet. Но работает устройство на стороннюю организацию, которая подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот адрес, на адрес организации. При этом натированай адрес пингуется, но по telnet уже не пускает. Нат прописан так: ip nat inside source static 172.30.64.92 172.30.1.93 Подскажите, пожалуйста, в чем может быть затык?
Ответить \| Правка \| Cообщить модератору

Оглавление

Telnet через nat, rusadmin, 11:25 , 22-Дек-10, (1)

Telnet через nat, Ivan Pomidorov, 12:10 , 22-Дек-10, (2)

Telnet через nat, rusadmin, 12:14 , 22-Дек-10, (3)

Telnet через nat, Ivan Pomidorov, 12:26 , 22-Дек-10, (4)

Telnet через nat, aZL, 12:36 , 22-Дек-10, (5)

Telnet через nat, rusadmin, 12:39 , 22-Дек-10, (6)

Telnet через nat, Ivan Pomidorov, 12:58 , 22-Дек-10, (7)

Telnet через nat, aZL, 13:28 , 22-Дек-10, (8)

Telnet через nat, aZL, 13:29 , 22-Дек-10, (9)

Telnet через nat, Ivan Pomidorov, 13:49 , 22-Дек-10, (11)

Telnet через nat, Ivan Pomidorov, 13:47 , 22-Дек-10, (10)

Telnet через nat, aZL, 13:57 , 22-Дек-10, (12)

Telnet через nat, Ivan Pomidorov, 09:33 , 23-Дек-10, (22)

Telnet через nat, aZL, 11:29 , 23-Дек-10, (25)

Telnet через nat, Ivan Pomidorov, 14:50 , 23-Дек-10, (26)

Telnet через nat, aZL, 15:07 , 23-Дек-10, (27)

Telnet через nat, Ivan Pomidorov, 15:39 , 27-Дек-10, (28)

Telnet через nat, crash, 07:05 , 23-Дек-10, (15)

Telnet через nat, VolanD, 17:22 , 22-Дек-10, (13)

Telnet через nat, rusadmin, 06:50 , 23-Дек-10, (14)

Telnet через nat, Ivan Pomidorov, 08:49 , 23-Дек-10, (18)

Telnet через nat, aZL, 09:02 , 23-Дек-10, (19)

Telnet через nat, Ivan Pomidorov, 09:45 , 23-Дек-10, (24)

Telnet через nat, crash, 07:08 , 23-Дек-10, (16)
Telnet через nat, Ivan Pomidorov, 08:31 , 23-Дек-10, (17)

Telnet через nat, VolanD, 09:19 , 23-Дек-10, (20)
Telnet через nat, ShyLion, 09:20 , 23-Дек-10, (21)

Telnet через nat, Ivan Pomidorov, 09:42 , 23-Дек-10, (23)

Telnet через nat, аноним_, 06:09 , 28-Дек-10, (29)

Telnet через nat, Ivan Pomidorov, 10:23 , 28-Дек-10, (30)

Сообщения по теме [Сортировка по времени | RSS]

1. "Telnet через nat" +/–

Сообщение от rusadmin (ok) on 22-Дек-10, 11:25

> Добрый день.
> У меня такая ситуация:
> Есть устройство с IP из локальной сети. По нему стройство отвечает и
> дает доступ по telnet. Но работает устройство на стороннюю организацию, которая
> подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот
> адрес, на адрес организации. При этом натированай адрес пингуется, но по
> telnet уже не пускает.
> Нат прописан так:
> ip nat inside source static 172.30.64.92 172.30.1.93
> Подскажите, пожалуйста, в чем может быть затык?
попробуйте указать другой порт, например 2300
Например у меня так:
ip nat inside source static tcp 192.168.1.2 23 interface Virtual-PPP1 2300
З.Ы. Я встречался с проблемой проброски телнет. Пришлось дать телнет на шлюзе, откуда подключался уже во внутреннюю сеть, но это не есть правильно (Делал это на линуксе, где при логине автоматом запускался клиент телнет с подключением на устройство в локалке). Вы можете завести нового пользователя с privilege-уровнем, позволяющим использовать телнет-клиент

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:10

Указывал другой порт (собственно телнет не так важен, просто им я проверяю доступность порта, который должен быть открыт для сервиса который обращается к этому устройству). Ничего не меняется. Пробывал также натировать конкретный порт (5002, он нужен сервису), никакой разницы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Telnet через nat" +/–

Сообщение от rusadmin (ok) on 22-Дек-10, 12:14

> Указывал другой порт (собственно телнет не так важен, просто им я проверяю
> доступность порта, который должен быть открыт для сервиса который обращается к
> этому устройству). Ничего не меняется. Пробывал также натировать конкретный порт (5002,
> он нужен сервису), никакой разницы.
Всетаки я задачу непонимаю
есть устройство в локалке, к которому должны подключаться из вне? По средствам пограничного маршрутизатора? Или как?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:26

Есть устройство в локальной сети. Есть пограничный маршрутизатор в который (через коммутатор) воткнут сервер сторонней организации (с адресацией свое локалки). А этот сервер должен опрашивать устройство в нашей локалке но адресом из сети усторонней организации.
Сервер --- Маршрутизатор --- Наша сеть --- Устройство

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Telnet через nat" +/–

Сообщение от aZL on 22-Дек-10, 12:36

> Подскажите, пожалуйста, в чем может быть затык?
В данном исполнении узел внутри сети будет доступен только по icmp, а также динамически в ответ на запросы внутреннего узла.
Увидите это по sh ip nat translation.
В Вашем случае правильно будет:
ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Telnet через nat" +/–

Сообщение от rusadmin (ok) on 22-Дек-10, 12:39

>> Подскажите, пожалуйста, в чем может быть затык?
> В данном исполнении узел внутри сети будет доступен только по icmp, а
> также динамически в ответ на запросы внутреннего узла.
> Увидите это по sh ip nat translation.
> В Вашем случае правильно будет:
> ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23
во и я о том же

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:58

Дык я же говорю, что пробывал так. Вот еще раз прописал:
m3_kirova#sh ip nat tr
Pro Inside global      Inside local       Outside local      Outside global
tcp 172.30.1.93:5002   172.30.64.92:5002  ---                ---

m3_kirova#telnet 172.30.1.93 5002
Trying 172.30.1.93, 5002 ...
% Connection timed out; remote host not responding
m3_kirova#telnet 172.30.64.92 5002
Trying 172.30.64.92, 5002 ... Open

Не получаеца(

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Telnet через nat" +/–

Сообщение от aZL on 22-Дек-10, 13:28

> m3_kirova#telnet 172.30.64.92 5002
> Trying 172.30.64.92, 5002 ... Open
> Не получаеца(
Дык, что не получается?? Сессия же открылась ;)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Telnet через nat" +/–

Сообщение от aZL on 22-Дек-10, 13:29

Стоп, стесняюсь спросить: ip nat inside и ip nat outside на интерфейсах присутствуют?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 13:49

> Стоп, стесняюсь спросить: ip nat inside и ip nat outside на интерфейсах
> присутствуют?
Присутсвуют.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 13:47

>> m3_kirova#telnet 172.30.64.92 5002
>> Trying 172.30.64.92, 5002 ... Open
>> Не получаеца(
> Дык, что не получается?? Сессия же открылась ;)
Открылась сессия при обращении по ip адресу, а по натированому не открылась.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Telnet через nat" +/–

Сообщение от aZL on 22-Дек-10, 13:57

> Открылась сессия при обращении по ip адресу, а по натированому не открылась.
Ага, не просмотрел сразу сообщение до конца.
debug ip nat det
и желательно всё-таки посмотреть полный конфиг.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:33

Вот что говорит debug
009247: Dec 23 06:16:17.462: %IPNAT-6-NAT_CREATED: Created tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.53:59202 172.30.1.53:59202
009248: Dec 23 06:16:17.462: NAT: o: tcp (172.30.1.53, 59202) -> (172.30.1.93, 5002) [36752]
009249: Dec 23 06:16:17.462: NAT: s=172.30.1.53, d=172.30.1.93->172.30.64.92 [36752]
010407: Dec 23 06:18:06.033: NAT: expiring 172.30.1.93 (172.30.64.92) tcp 5002 (5002)
010408: Dec 23 06:18:06.033: %IPNAT-6-NAT_DELETED: Deleted tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.53:26434 172.30.1.53:26434
По моему не информативно...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Telnet через nat" +/–

Сообщение от aZL on 23-Дек-10, 11:29

>По моему не информативно...
Всё информативно, только Вы пытаетесь установить telnet-сессию с маршрутизатора. Возможно ли посмотреть deb ip nat det при попытке коннекта от клиента либо др.хоста в сети?
Ещё вопрос: а что за железка на 192.169.3.26 ?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 14:50

>>По моему не информативно...
> Всё информативно, только Вы пытаетесь установить telnet-сессию с маршрутизатора. Возможно
> ли посмотреть deb ip nat det при попытке коннекта от клиента
> либо др.хоста в сети?
Вот дебаг с инициализацией сессии от клиента
087784: Dec 23 12:00:15.076: %IPNAT-6-NAT_CREATED: Created tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.51:1192 172.30.1.51:1192
087785: Dec 23 12:00:15.076: NAT*: o: tcp (172.30.1.51, 1192) -> (172.30.1.93, 5002) [7541]
087786: Dec 23 12:00:15.076: NAT*: o: tcp (172.30.1.51, 1192) -> (172.30.1.93, 5002) [7541]
087787: Dec 23 12:00:15.076: NAT*: s=172.30.1.51, d=172.30.1.93->172.30.64.92 [7541]
088360: Dec 23 12:01:24.498: NAT: expiring 172.30.1.93 (172.30.64.92) tcp 5002 (5002)
088361: Dec 23 12:01:24.498: %IPNAT-6-NAT_DELETED: Deleted tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.51:1192 172.30.1.51:1192
> Ещё вопрос: а что за железка на 192.169.3.26 ?
Это следующий маршрутизатор

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Telnet через nat" +/–

Сообщение от aZL on 23-Дек-10, 15:07

#telnet 172.30.64.92 5002 /source-interface gi0/0.6

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 27-Дек-10, 15:39

> #telnet 172.30.64.92 5002 /source-interface gi0/0.6
Не идет. Канечно с этого надо былона чинать, мне казалось что проверял ((
Пробывал с коммутатора, в который воткнуто устройства залезть ненатированым адресом по этому 5002 порту - не пускает:
m10#telnet 172.30.64.92 5002
Trying 172.30.64.92 ... Open
Долго долго висит, а потом говорит
[Connection to 172.30.64.92 closed by foreign host]
По дефолтному пускает:
m10_varzuga#telnet 172.30.64.92
Trying 172.30.64.92 ... Open
Login:
По любому другому порту сразу отвечает:
m10_varzuga#telnet 172.30.64.92 500
Trying 172.30.64.92, 500 ...
% Connection refused by remote host

В устройство залезть не могу (не мое), но хозяева утверждают что 5002 порт открыт и должен принимать telnet соединение. Не доверять смысла не вижу (они сами заинтересованы в в том чтобы все заработало), к тому же проблема появилась после перевода сети с одного маршрутизатора на другой, до этого работало все по этому порту.
Поэтому возникает такой вопрос:
можно ли на коммуататоре(cisco WS-C2960-8TC-L IOS:c2960-lanbasek9-mz.122-40.SE/c2960-lanbasek9-mz.122-40.SE) , в который непосредственно воткнуто устройство посмотреть, что происходит при обращении по  172.30.64.92 5002

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

15. "Telnet через nat" +/–

Сообщение от crash (ok) on 23-Дек-10, 07:05

>> Подскажите, пожалуйста, в чем может быть затык?
> В данном исполнении узел внутри сети будет доступен только по icmp, а
> также динамически в ответ на запросы внутреннего узла.
> Увидите это по sh ip nat translation.
> В Вашем случае правильно будет:
> ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23
С чего это? У человека открыт сделан полный NAT и отвечать транслируются все адреса.
Вопрос в том, есть ли у топикстартера access-list и что в нем прописано.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Telnet через nat" +/–

Сообщение от VolanD (ok) on 22-Дек-10, 17:22

> Добрый день.
> У меня такая ситуация:
> Есть устройство с IP из локальной сети. По нему стройство отвечает и
> дает доступ по telnet. Но работает устройство на стороннюю организацию, которая
> подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот
> адрес, на адрес организации. При этом натированай адрес пингуется, но по
> telnet уже не пускает.
> Нат прописан так:
> ip nat inside source static 172.30.64.92 172.30.1.93
> Подскажите, пожалуйста, в чем может быть затык?
Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ? Мож там UDP, а вы telnet'ом подключаетесь.
А что говорит debug ip tcp при подключении к нему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Telnet через nat" +/–

Сообщение от rusadmin (ok) on 23-Дек-10, 06:50

>[оверквотинг удален]
>> дает доступ по telnet. Но работает устройство на стороннюю организацию, которая
>> подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот
>> адрес, на адрес организации. При этом натированай адрес пингуется, но по
>> telnet уже не пускает.
>> Нат прописан так:
>> ip nat inside source static 172.30.64.92 172.30.1.93
>> Подскажите, пожалуйста, в чем может быть затык?
> Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ?
> Мож там UDP, а вы telnet'ом подключаетесь.
> А что говорит debug ip tcp при подключении к нему?
sh run в студию!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 08:49

Вот конфиг:

m3_kirova#sh run
Building configuration...
Current configuration : 13189 bytes
!
! Last configuration change at 12:53:10 moscow Wed Dec 22 2010 by rsduadmin
! NVRAM config last updated at 09:43:30 moscow Mon Dec 20 2010 by rsduadmin
!
version 12.4
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname m3_kirova
!
boot-start-marker
boot-end-marker
!
card type e1 0 2
card type e1 0 3
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
clock timezone moscow 3
clock summer-time moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
no network-clock-participate wic 2
no network-clock-participate wic 3
ip subnet-zero
!
!
ip cef
!
!
ip domain name yourdomain.com
ip rcmd rcp-enable
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-3908919293
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3908919293
revocation-check none
rsakeypair TP-self-signed-3908919293
!
!
archive
path tftp://192.168.1.83/m3/conf_m3_kirova
write-memory
!
!
controller E1 0/2/0
clock source internal
channel-group 0 timeslots 1-31
description to m12_ps11a through OLT_N37(8e1)
!
controller E1 0/3/0
channel-group 0 timeslots 1-31
description to M1-sovetskaya
!
controller E1 0/3/1
channel-group 0 timeslots 1-31
description to KRDU
!
!
!
!
!
interface Loopback0
ip address 172.29.1.1 255.255.255.0
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FastEthernet0/0$
no ip address
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.169.140.1 255.255.255.0 secondary
ip address 192.169.140.10 255.255.255.0
no snmp trap link-status
!
interface GigabitEthernet0/0.2
description TGK
encapsulation dot1Q 2
ip address 172.30.0.13 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface GigabitEthernet0/0.3
description PS36
encapsulation dot1Q 3
ip address 192.168.6.33 255.255.255.248
no snmp trap link-status
!
interface GigabitEthernet0/0.4
description PS53
encapsulation dot1Q 4
no snmp trap link-status
!
interface GigabitEthernet0/0.5
description KAES
encapsulation dot1Q 5
ip address 172.30.52.33 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface GigabitEthernet0/0.6 //ЭТОТ ИНТЕРФЕЙС СМОТРИТ В СТОРОНУ СЕРВЕРА
description ASKUE
encapsulation dot1Q 6
ip address 172.30.1.53 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
interface GigabitEthernet0/1
description to m2-dp
ip address 192.169.3.18 255.255.255.252
ip nat inside
ip virtual-reassembly
duplex half
speed auto
!
interface FastEthernet0/1/0
vlan-id dot1q 4
  exit-vlan-config
!
vlan-id dot1q 1
  exit-vlan-config
!
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface Serial0/2/0:0  // ЭТОТ ИНТЕРФЕЙС СМОТРИТ В СТОРОНУ УСТРОЙСТВА
description to m12_ps11a through OLT_N37(8e1)
ip address 192.169.3.26 255.255.255.252
ip nat inside
ip virtual-reassembly
!
interface Serial0/3/0:0
description to M1-Sovetskaya
ip address 192.169.3.6 255.255.255.252
!
interface Serial0/3/1:0
description TO KRDU
ip address 172.24.86.107 255.255.255.224 secondary
ip address 172.24.86.101 255.255.255.252
ip nat outside
ip virtual-reassembly
ip ospf cost 40
ip ospf dead-interval minimal hello-multiplier 5
keepalive 2
no cdp enable
!
interface Serial1/0
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/1
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/2
description TO KGMK PS11A
bandwidth 64
ip address 172.30.192.17 255.255.255.240
ip nat inside
ip virtual-reassembly
!
interface Serial1/3
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/4
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/5
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/6
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Serial1/7
no ip address
shutdown
no dce-terminal-timing-enable
!
interface Vlan1
ip address 192.168.6.23 255.255.255.240
!
interface Vlan4
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
redistribute static subnets route-map redistr-static
redistribute ospf 5 metric-type 1 subnets route-map To_KRDU
passive-interface default
no passive-interface GigabitEthernet0/0
no passive-interface GigabitEthernet0/0.1
no passive-interface GigabitEthernet0/0.2
no passive-interface GigabitEthernet0/0.3
no passive-interface GigabitEthernet0/0.4
no passive-interface GigabitEthernet0/0.5
no passive-interface GigabitEthernet0/0.6
no passive-interface GigabitEthernet0/1
no passive-interface FastEthernet0/1/0
no passive-interface Serial0/2/0:0
no passive-interface Serial0/3/0:0
no passive-interface Serial1/2
no passive-interface Vlan1
no passive-interface Loopback0
network 172.30.1.0 0.0.0.255 area 0
network 172.30.196.32 0.0.0.15 area 0
network 192.168.4.0 0.0.0.255 area 0
network 192.168.6.16 0.0.0.15 area 0
network 192.168.6.32 0.0.0.7 area 0
network 192.169.1.0 0.0.0.255 area 0
network 192.169.3.4 0.0.0.3 area 0
network 192.169.3.12 0.0.0.3 area 0
network 192.169.3.16 0.0.0.3 area 0
network 192.169.3.20 0.0.0.3 area 0
network 192.169.3.24 0.0.0.3 area 0
network 192.169.140.0 0.0.0.255 area 0
!
router ospf 5
log-adjacency-changes
passive-interface default
no passive-interface Serial0/3/1:0
network 172.24.86.100 0.0.0.3 area 0
network 172.24.86.96 0.0.0.31 area 0
!
ip classless
ip route 10.1.1.3 255.255.255.255 192.169.140.250
ip route 10.1.1.4 255.255.255.255 192.169.140.250
ip route 10.1.1.5 255.255.255.255 192.169.140.250
ip route 10.1.1.6 255.255.255.255 192.169.140.250
ip route 10.9.0.0 255.255.0.0 172.30.52.34
ip route 172.30.32.16 255.255.255.240 172.30.52.34
ip route 172.30.40.16 255.255.255.240 172.30.0.11
ip route 172.30.40.32 255.255.255.240 172.30.0.12
ip route 172.30.64.48 255.255.255.240 192.169.3.25
ip route 172.30.196.16 255.255.255.240 192.169.3.17
ip route 192.168.12.0 255.255.255.0 172.30.192.18
ip route 192.168.50.0 255.255.255.0 192.169.140.210
ip route 192.168.89.26 255.255.255.255 192.169.140.210
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat log translations syslog
ip nat inside source static 192.168.2.165 172.24.86.108
ip nat inside source static 172.30.66.3 172.24.86.110
ip nat inside source static 172.30.66.21 172.24.86.111
ip nat inside source static 192.168.6.25 172.24.86.113
ip nat inside source static 192.168.6.8 172.24.86.123
ip nat inside source static 172.30.40.19 172.30.1.12
ip nat inside source static 172.30.40.35 172.30.1.13
ip nat inside source static 192.168.12.1 172.30.1.25
ip nat inside source static 172.30.196.20 172.30.1.26
ip nat inside source static 10.9.245.240 172.30.1.40
ip nat inside source static 172.30.64.60 172.30.1.91
ip nat inside source static 172.30.64.76 172.30.1.92
ip nat inside source static tcp 172.30.64.92 5002 172.30.1.93 5002 extendable
!
!
ip prefix-list ANY seq 1 permit 0.0.0.0/0 le 32
!
ip prefix-list KRDU seq 1 permit 172.24.86.96/27 le 32
ip prefix-list KRDU seq 2 permit 172.24.86.0/26 le 32
logging 192.168.1.83
access-list 2 remark NTP
access-list 2 permit 172.30.129.1
access-list 3 permit 172.30.129.2
access-list 3 permit 192.169.140.145
access-list 3 permit 192.168.1.145
access-list 3 deny   any log
access-list 4 remark RCP
access-list 4 permit 172.30.129.2
access-list 4 permit 192.169.140.145
access-list 4 deny   any log
access-list 100 remark Guard to CES
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 100 deny   ip any any log
access-list 110 remark Redistribute static route into OSPF
access-list 110 permit ip 172.30.196.48 0.0.0.15 any
access-list 110 permit ip 172.30.1.0 0.0.0.255 any
route-map redistr-static permit 100
description Redistribute static route into OSPF
match ip address 110
!
route-map To_KRDU permit 1
match ip address prefix-list KRDU
!
route-map To_KRDU deny 10
match ip address prefix-list ANY
!
!
!
!
control-plane
!
!
!
!
!
!
!
dial-peer voice 82 voip
destination-pattern 82.
session target ipv4:172.30.196.34
dtmf-relay cisco-rtp
codec g711alaw
!
dial-peer voice 51 pots
destination-pattern 51
!
dial-peer voice 100 pots
destination-pattern .+T
!
dial-peer voice 120 voip
destination-pattern 2248
session target ipv4:192.168.1.100
dtmf-relay h245-signal
codec g711ulaw
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
transport preferred none
stopbits 1
line aux 0
password asdu
modem InOut
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
exec-timeout 15 0
privilege level 15
logging synchronous
login local
terminal-type mon
transport preferred none
transport input telnet ssh
transport output telnet ssh
line vty 5 15
exec-timeout 15 0
privilege level 15
logging synchronous
login local
terminal-type mon
transport input telnet ssh
transport output telnet ssh
!
scheduler allocate 20000 1000
ntp authentication-key 1 md5 13211D1E0D4A497971622E3D76 7
ntp authenticate
ntp trusted-key 1
ntp clock-period 17180300
ntp source GigabitEthernet0/0
ntp server 192.168.1.90
!
end

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Telnet через nat" +/–

Сообщение от aZL on 23-Дек-10, 09:02

А собственно где сеть 172.30.64/24 на inside?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:45

Она за другим маршрутизатором, информация о ней приходит по ospf
m3_kirova#sh ip route
O E2    172.30.64.80/28 [110/20] via 192.169.3.25, 23:56:47, Serial0/2/0:0

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

16. "Telnet через nat" +/–

Сообщение от crash (ok) on 23-Дек-10, 07:08

> Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ?
> Мож там UDP, а вы telnet'ом подключаетесь.
если верить, то
m3_kirova#telnet 172.30.64.92 5002
Trying 172.30.64.92, 5002 ... Open

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 08:31

Точно ждет. По ненатированному то подключается.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Telnet через nat" +/–

Сообщение от VolanD (ok) on 23-Дек-10, 09:19

> Точно ждет. По ненатированному то подключается.
Тогда что показывается debug ip tcp ?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Telnet через nat" +/–

Сообщение от ShyLion (ok) on 23-Дек-10, 09:20

> Точно ждет. По ненатированному то подключается.
На самом устройстве шлюз правильный прописан?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:42

>> Точно ждет. По ненатированному то подключается.
> На самом устройстве шлюз правильный прописан?
Ну по ненатированому адресу он же доступен, и пингуется по натированому, по моему это говорит за то, что шлюз правильный. Разве нет?
Посмотреть просто не могу, т.к. устройство не мое, но если надо запрошу у сторонней организации.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Telnet через nat" +/–

Сообщение от аноним_ on 28-Дек-10, 06:09

сорри за офтоп. топикстартеру - хэши и каменты такие не постили бы, а то вроде как стратегическая отрасль будет в опасности...)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Telnet через nat" +/–

Сообщение от Ivan Pomidorov (ok) on 28-Дек-10, 10:23

А я внешние ипшники не даю.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Telnet через nat"	+/–
Сообщение от rusadmin (ok) on 22-Дек-10, 11:25
> Добрый день. > У меня такая ситуация: > Есть устройство с IP из локальной сети. По нему стройство отвечает и > дает доступ по telnet. Но работает устройство на стороннюю организацию, которая > подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот > адрес, на адрес организации. При этом натированай адрес пингуется, но по > telnet уже не пускает. > Нат прописан так: > ip nat inside source static 172.30.64.92 172.30.1.93 > Подскажите, пожалуйста, в чем может быть затык? попробуйте указать другой порт, например 2300 Например у меня так: ip nat inside source static tcp 192.168.1.2 23 interface Virtual-PPP1 2300 З.Ы. Я встречался с проблемой проброски телнет. Пришлось дать телнет на шлюзе, откуда подключался уже во внутреннюю сеть, но это не есть правильно (Делал это на линуксе, где при логине автоматом запускался клиент телнет с подключением на устройство в локалке). Вы можете завести нового пользователя с privilege-уровнем, позволяющим использовать телнет-клиент
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:10
	Указывал другой порт (собственно телнет не так важен, просто им я проверяю доступность порта, который должен быть открыт для сервиса который обращается к этому устройству). Ничего не меняется. Пробывал также натировать конкретный порт (5002, он нужен сервису), никакой разницы.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Telnet через nat"	+/–
	Сообщение от rusadmin (ok) on 22-Дек-10, 12:14
	> Указывал другой порт (собственно телнет не так важен, просто им я проверяю > доступность порта, который должен быть открыт для сервиса который обращается к > этому устройству). Ничего не меняется. Пробывал также натировать конкретный порт (5002, > он нужен сервису), никакой разницы. Всетаки я задачу непонимаю есть устройство в локалке, к которому должны подключаться из вне? По средствам пограничного маршрутизатора? Или как?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:26
	Есть устройство в локальной сети. Есть пограничный маршрутизатор в который (через коммутатор) воткнут сервер сторонней организации (с адресацией свое локалки). А этот сервер должен опрашивать устройство в нашей локалке но адресом из сети усторонней организации. Сервер --- Маршрутизатор --- Наша сеть --- Устройство
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Telnet через nat"	+/–
Сообщение от aZL on 22-Дек-10, 12:36
> Подскажите, пожалуйста, в чем может быть затык? В данном исполнении узел внутри сети будет доступен только по icmp, а также динамически в ответ на запросы внутреннего узла. Увидите это по sh ip nat translation. В Вашем случае правильно будет: ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Telnet через nat"	+/–
	Сообщение от rusadmin (ok) on 22-Дек-10, 12:39
	>> Подскажите, пожалуйста, в чем может быть затык? > В данном исполнении узел внутри сети будет доступен только по icmp, а > также динамически в ответ на запросы внутреннего узла. > Увидите это по sh ip nat translation. > В Вашем случае правильно будет: > ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23 во и я о том же
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 12:58
	Дык я же говорю, что пробывал так. Вот еще раз прописал: m3_kirova#sh ip nat tr Pro Inside global Inside local Outside local Outside global tcp 172.30.1.93:5002 172.30.64.92:5002 --- --- m3_kirova#telnet 172.30.1.93 5002 Trying 172.30.1.93, 5002 ... % Connection timed out; remote host not responding m3_kirova#telnet 172.30.64.92 5002 Trying 172.30.64.92, 5002 ... Open Не получаеца(
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Telnet через nat"	+/–
	Сообщение от aZL on 22-Дек-10, 13:28
	> m3_kirova#telnet 172.30.64.92 5002 > Trying 172.30.64.92, 5002 ... Open > Не получаеца( Дык, что не получается?? Сессия же открылась ;)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Telnet через nat"	+/–
	Сообщение от aZL on 22-Дек-10, 13:29
	Стоп, стесняюсь спросить: ip nat inside и ip nat outside на интерфейсах присутствуют?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 13:49
	> Стоп, стесняюсь спросить: ip nat inside и ip nat outside на интерфейсах > присутствуют? Присутсвуют.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	10. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 22-Дек-10, 13:47
	>> m3_kirova#telnet 172.30.64.92 5002 >> Trying 172.30.64.92, 5002 ... Open >> Не получаеца( > Дык, что не получается?? Сессия же открылась ;) Открылась сессия при обращении по ip адресу, а по натированому не открылась.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "Telnet через nat"	+/–
	Сообщение от aZL on 22-Дек-10, 13:57
	> Открылась сессия при обращении по ip адресу, а по натированому не открылась. Ага, не просмотрел сразу сообщение до конца. debug ip nat det и желательно всё-таки посмотреть полный конфиг.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	22. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:33
	Вот что говорит debug 009247: Dec 23 06:16:17.462: %IPNAT-6-NAT_CREATED: Created tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.53:59202 172.30.1.53:59202 009248: Dec 23 06:16:17.462: NAT: o: tcp (172.30.1.53, 59202) -> (172.30.1.93, 5002) [36752] 009249: Dec 23 06:16:17.462: NAT: s=172.30.1.53, d=172.30.1.93->172.30.64.92 [36752] 010407: Dec 23 06:18:06.033: NAT: expiring 172.30.1.93 (172.30.64.92) tcp 5002 (5002) 010408: Dec 23 06:18:06.033: %IPNAT-6-NAT_DELETED: Deleted tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.53:26434 172.30.1.53:26434 По моему не информативно...
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	25. "Telnet через nat"	+/–
	Сообщение от aZL on 23-Дек-10, 11:29
	>По моему не информативно... Всё информативно, только Вы пытаетесь установить telnet-сессию с маршрутизатора. Возможно ли посмотреть deb ip nat det при попытке коннекта от клиента либо др.хоста в сети? Ещё вопрос: а что за железка на 192.169.3.26 ?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	26. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 14:50
	>>По моему не информативно... > Всё информативно, только Вы пытаетесь установить telnet-сессию с маршрутизатора. Возможно > ли посмотреть deb ip nat det при попытке коннекта от клиента > либо др.хоста в сети? Вот дебаг с инициализацией сессии от клиента 087784: Dec 23 12:00:15.076: %IPNAT-6-NAT_CREATED: Created tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.51:1192 172.30.1.51:1192 087785: Dec 23 12:00:15.076: NAT: o: tcp (172.30.1.51, 1192) -> (172.30.1.93, 5002) [7541] 087786: Dec 23 12:00:15.076: NAT: o: tcp (172.30.1.51, 1192) -> (172.30.1.93, 5002) [7541] 087787: Dec 23 12:00:15.076: NAT*: s=172.30.1.51, d=172.30.1.93->172.30.64.92 [7541] 088360: Dec 23 12:01:24.498: NAT: expiring 172.30.1.93 (172.30.64.92) tcp 5002 (5002) 088361: Dec 23 12:01:24.498: %IPNAT-6-NAT_DELETED: Deleted tcp 172.30.64.92:5002 172.30.1.93:5002 172.30.1.51:1192 172.30.1.51:1192 > Ещё вопрос: а что за железка на 192.169.3.26 ? Это следующий маршрутизатор
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Telnet через nat"	+/–
	Сообщение от aZL on 23-Дек-10, 15:07
	#telnet 172.30.64.92 5002 /source-interface gi0/0.6
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 27-Дек-10, 15:39
	> #telnet 172.30.64.92 5002 /source-interface gi0/0.6 Не идет. Канечно с этого надо былона чинать, мне казалось что проверял (( Пробывал с коммутатора, в который воткнуто устройства залезть ненатированым адресом по этому 5002 порту - не пускает: m10#telnet 172.30.64.92 5002 Trying 172.30.64.92 ... Open Долго долго висит, а потом говорит [Connection to 172.30.64.92 closed by foreign host] По дефолтному пускает: m10_varzuga#telnet 172.30.64.92 Trying 172.30.64.92 ... Open Login: По любому другому порту сразу отвечает: m10_varzuga#telnet 172.30.64.92 500 Trying 172.30.64.92, 500 ... % Connection refused by remote host В устройство залезть не могу (не мое), но хозяева утверждают что 5002 порт открыт и должен принимать telnet соединение. Не доверять смысла не вижу (они сами заинтересованы в в том чтобы все заработало), к тому же проблема появилась после перевода сети с одного маршрутизатора на другой, до этого работало все по этому порту. Поэтому возникает такой вопрос: можно ли на коммуататоре(cisco WS-C2960-8TC-L IOS:c2960-lanbasek9-mz.122-40.SE/c2960-lanbasek9-mz.122-40.SE) , в который непосредственно воткнуто устройство посмотреть, что происходит при обращении по 172.30.64.92 5002
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	15. "Telnet через nat"	+/–
	Сообщение от crash (ok) on 23-Дек-10, 07:05
	>> Подскажите, пожалуйста, в чем может быть затык? > В данном исполнении узел внутри сети будет доступен только по icmp, а > также динамически в ответ на запросы внутреннего узла. > Увидите это по sh ip nat translation. > В Вашем случае правильно будет: > ip nat inside source static tcp 172.30.64.92 23 172.30.1.93 23 С чего это? У человека открыт сделан полный NAT и отвечать транслируются все адреса. Вопрос в том, есть ли у топикстартера access-list и что в нем прописано.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

13. "Telnet через nat"	+/–
Сообщение от VolanD (ok) on 22-Дек-10, 17:22
> Добрый день. > У меня такая ситуация: > Есть устройство с IP из локальной сети. По нему стройство отвечает и > дает доступ по telnet. Но работает устройство на стороннюю организацию, которая > подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот > адрес, на адрес организации. При этом натированай адрес пингуется, но по > telnet уже не пускает. > Нат прописан так: > ip nat inside source static 172.30.64.92 172.30.1.93 > Подскажите, пожалуйста, в чем может быть затык? Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ? Мож там UDP, а вы telnet'ом подключаетесь. А что говорит debug ip tcp при подключении к нему?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "Telnet через nat"	+/–
	Сообщение от rusadmin (ok) on 23-Дек-10, 06:50
	>[оверквотинг удален] >> дает доступ по telnet. Но работает устройство на стороннюю организацию, которая >> подключена к нашей сети, и на граничном маршрутизаторе мы натируем этот >> адрес, на адрес организации. При этом натированай адрес пингуется, но по >> telnet уже не пускает. >> Нат прописан так: >> ip nat inside source static 172.30.64.92 172.30.1.93 >> Подскажите, пожалуйста, в чем может быть затык? > Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ? > Мож там UDP, а вы telnet'ом подключаетесь. > А что говорит debug ip tcp при подключении к нему? sh run в студию!
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 08:49
	Вот конфиг: m3_kirova#sh run Building configuration... Current configuration : 13189 bytes ! ! Last configuration change at 12:53:10 moscow Wed Dec 22 2010 by rsduadmin ! NVRAM config last updated at 09:43:30 moscow Mon Dec 20 2010 by rsduadmin ! version 12.4 service tcp-keepalives-in service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service sequence-numbers ! hostname m3_kirova ! boot-start-marker boot-end-marker ! card type e1 0 2 card type e1 0 3 logging buffered 51200 warnings ! no aaa new-model ! resource policy ! clock timezone moscow 3 clock summer-time moscow recurring last Sun Mar 2:00 last Sun Oct 2:00 no network-clock-participate wic 2 no network-clock-participate wic 3 ip subnet-zero ! ! ip cef ! ! ip domain name yourdomain.com ip rcmd rcp-enable ! ! voice-card 0 no dspfarm ! ! ! ! ! ! ! ! ! ! ! ! ! crypto pki trustpoint TP-self-signed-3908919293 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3908919293 revocation-check none rsakeypair TP-self-signed-3908919293 ! ! archive path tftp://192.168.1.83/m3/conf_m3_kirova write-memory ! ! controller E1 0/2/0 clock source internal channel-group 0 timeslots 1-31 description to m12_ps11a through OLT_N37(8e1) ! controller E1 0/3/0 channel-group 0 timeslots 1-31 description to M1-sovetskaya ! controller E1 0/3/1 channel-group 0 timeslots 1-31 description to KRDU ! ! ! ! ! interface Loopback0 ip address 172.29.1.1 255.255.255.0 ! interface GigabitEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FastEthernet0/0$ no ip address ip nat inside ip virtual-reassembly duplex auto speed auto ! interface GigabitEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.169.140.1 255.255.255.0 secondary ip address 192.169.140.10 255.255.255.0 no snmp trap link-status ! interface GigabitEthernet0/0.2 description TGK encapsulation dot1Q 2 ip address 172.30.0.13 255.255.255.0 ip nat inside ip virtual-reassembly no snmp trap link-status ! interface GigabitEthernet0/0.3 description PS36 encapsulation dot1Q 3 ip address 192.168.6.33 255.255.255.248 no snmp trap link-status ! interface GigabitEthernet0/0.4 description PS53 encapsulation dot1Q 4 no snmp trap link-status ! interface GigabitEthernet0/0.5 description KAES encapsulation dot1Q 5 ip address 172.30.52.33 255.255.255.0 ip nat inside ip virtual-reassembly no snmp trap link-status ! interface GigabitEthernet0/0.6 //ЭТОТ ИНТЕРФЕЙС СМОТРИТ В СТОРОНУ СЕРВЕРА description ASKUE encapsulation dot1Q 6 ip address 172.30.1.53 255.255.255.0 ip nat outside ip virtual-reassembly no snmp trap link-status ! interface GigabitEthernet0/1 description to m2-dp ip address 192.169.3.18 255.255.255.252 ip nat inside ip virtual-reassembly duplex half speed auto ! interface FastEthernet0/1/0 vlan-id dot1q 4 exit-vlan-config ! vlan-id dot1q 1 exit-vlan-config ! ! interface FastEthernet0/1/1 ! interface FastEthernet0/1/2 ! interface FastEthernet0/1/3 ! interface Serial0/2/0:0 // ЭТОТ ИНТЕРФЕЙС СМОТРИТ В СТОРОНУ УСТРОЙСТВА description to m12_ps11a through OLT_N37(8e1) ip address 192.169.3.26 255.255.255.252 ip nat inside ip virtual-reassembly ! interface Serial0/3/0:0 description to M1-Sovetskaya ip address 192.169.3.6 255.255.255.252 ! interface Serial0/3/1:0 description TO KRDU ip address 172.24.86.107 255.255.255.224 secondary ip address 172.24.86.101 255.255.255.252 ip nat outside ip virtual-reassembly ip ospf cost 40 ip ospf dead-interval minimal hello-multiplier 5 keepalive 2 no cdp enable ! interface Serial1/0 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/1 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/2 description TO KGMK PS11A bandwidth 64 ip address 172.30.192.17 255.255.255.240 ip nat inside ip virtual-reassembly ! interface Serial1/3 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/4 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/5 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/6 no ip address shutdown no dce-terminal-timing-enable ! interface Serial1/7 no ip address shutdown no dce-terminal-timing-enable ! interface Vlan1 ip address 192.168.6.23 255.255.255.240 ! interface Vlan4 no ip address shutdown ! router ospf 1 log-adjacency-changes redistribute static subnets route-map redistr-static redistribute ospf 5 metric-type 1 subnets route-map To_KRDU passive-interface default no passive-interface GigabitEthernet0/0 no passive-interface GigabitEthernet0/0.1 no passive-interface GigabitEthernet0/0.2 no passive-interface GigabitEthernet0/0.3 no passive-interface GigabitEthernet0/0.4 no passive-interface GigabitEthernet0/0.5 no passive-interface GigabitEthernet0/0.6 no passive-interface GigabitEthernet0/1 no passive-interface FastEthernet0/1/0 no passive-interface Serial0/2/0:0 no passive-interface Serial0/3/0:0 no passive-interface Serial1/2 no passive-interface Vlan1 no passive-interface Loopback0 network 172.30.1.0 0.0.0.255 area 0 network 172.30.196.32 0.0.0.15 area 0 network 192.168.4.0 0.0.0.255 area 0 network 192.168.6.16 0.0.0.15 area 0 network 192.168.6.32 0.0.0.7 area 0 network 192.169.1.0 0.0.0.255 area 0 network 192.169.3.4 0.0.0.3 area 0 network 192.169.3.12 0.0.0.3 area 0 network 192.169.3.16 0.0.0.3 area 0 network 192.169.3.20 0.0.0.3 area 0 network 192.169.3.24 0.0.0.3 area 0 network 192.169.140.0 0.0.0.255 area 0 ! router ospf 5 log-adjacency-changes passive-interface default no passive-interface Serial0/3/1:0 network 172.24.86.100 0.0.0.3 area 0 network 172.24.86.96 0.0.0.31 area 0 ! ip classless ip route 10.1.1.3 255.255.255.255 192.169.140.250 ip route 10.1.1.4 255.255.255.255 192.169.140.250 ip route 10.1.1.5 255.255.255.255 192.169.140.250 ip route 10.1.1.6 255.255.255.255 192.169.140.250 ip route 10.9.0.0 255.255.0.0 172.30.52.34 ip route 172.30.32.16 255.255.255.240 172.30.52.34 ip route 172.30.40.16 255.255.255.240 172.30.0.11 ip route 172.30.40.32 255.255.255.240 172.30.0.12 ip route 172.30.64.48 255.255.255.240 192.169.3.25 ip route 172.30.196.16 255.255.255.240 192.169.3.17 ip route 192.168.12.0 255.255.255.0 172.30.192.18 ip route 192.168.50.0 255.255.255.0 192.169.140.210 ip route 192.168.89.26 255.255.255.255 192.169.140.210 ! ! ip http server ip http authentication local ip http secure-server ip nat log translations syslog ip nat inside source static 192.168.2.165 172.24.86.108 ip nat inside source static 172.30.66.3 172.24.86.110 ip nat inside source static 172.30.66.21 172.24.86.111 ip nat inside source static 192.168.6.25 172.24.86.113 ip nat inside source static 192.168.6.8 172.24.86.123 ip nat inside source static 172.30.40.19 172.30.1.12 ip nat inside source static 172.30.40.35 172.30.1.13 ip nat inside source static 192.168.12.1 172.30.1.25 ip nat inside source static 172.30.196.20 172.30.1.26 ip nat inside source static 10.9.245.240 172.30.1.40 ip nat inside source static 172.30.64.60 172.30.1.91 ip nat inside source static 172.30.64.76 172.30.1.92 ip nat inside source static tcp 172.30.64.92 5002 172.30.1.93 5002 extendable ! ! ip prefix-list ANY seq 1 permit 0.0.0.0/0 le 32 ! ip prefix-list KRDU seq 1 permit 172.24.86.96/27 le 32 ip prefix-list KRDU seq 2 permit 172.24.86.0/26 le 32 logging 192.168.1.83 access-list 2 remark NTP access-list 2 permit 172.30.129.1 access-list 3 permit 172.30.129.2 access-list 3 permit 192.169.140.145 access-list 3 permit 192.168.1.145 access-list 3 deny any log access-list 4 remark RCP access-list 4 permit 172.30.129.2 access-list 4 permit 192.169.140.145 access-list 4 deny any log access-list 100 remark Guard to CES access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 100 permit ip 192.168.2.0 0.0.0.255 any access-list 100 deny ip any any log access-list 110 remark Redistribute static route into OSPF access-list 110 permit ip 172.30.196.48 0.0.0.15 any access-list 110 permit ip 172.30.1.0 0.0.0.255 any route-map redistr-static permit 100 description Redistribute static route into OSPF match ip address 110 ! route-map To_KRDU permit 1 match ip address prefix-list KRDU ! route-map To_KRDU deny 10 match ip address prefix-list ANY ! ! ! ! control-plane ! ! ! ! ! ! ! dial-peer voice 82 voip destination-pattern 82. session target ipv4:172.30.196.34 dtmf-relay cisco-rtp codec g711alaw ! dial-peer voice 51 pots destination-pattern 51 ! dial-peer voice 100 pots destination-pattern .+T ! dial-peer voice 120 voip destination-pattern 2248 session target ipv4:192.168.1.100 dtmf-relay h245-signal codec g711ulaw ! ! ! ! line con 0 exec-timeout 0 0 logging synchronous transport preferred none stopbits 1 line aux 0 password asdu modem InOut transport input all stopbits 1 speed 115200 flowcontrol hardware line vty 0 4 exec-timeout 15 0 privilege level 15 logging synchronous login local terminal-type mon transport preferred none transport input telnet ssh transport output telnet ssh line vty 5 15 exec-timeout 15 0 privilege level 15 logging synchronous login local terminal-type mon transport input telnet ssh transport output telnet ssh ! scheduler allocate 20000 1000 ntp authentication-key 1 md5 13211D1E0D4A497971622E3D76 7 ntp authenticate ntp trusted-key 1 ntp clock-period 17180300 ntp source GigabitEthernet0/0 ntp server 192.168.1.90 ! end
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	19. "Telnet через nat"	+/–
	Сообщение от aZL on 23-Дек-10, 09:02
	А собственно где сеть 172.30.64/24 на inside?
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	24. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:45
	Она за другим маршрутизатором, информация о ней приходит по ospf m3_kirova#sh ip route O E2 172.30.64.80/28 [110/20] via 192.169.3.25, 23:56:47, Serial0/2/0:0
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	16. "Telnet через nat"	+/–
	Сообщение от crash (ok) on 23-Дек-10, 07:08
	> Эмм... глупый вопрос канешна, а устройство точно ждет подключение по TCP ? > Мож там UDP, а вы telnet'ом подключаетесь. если верить, то m3_kirova#telnet 172.30.64.92 5002 Trying 172.30.64.92, 5002 ... Open
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	17. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 08:31
	Точно ждет. По ненатированному то подключается.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	20. "Telnet через nat"	+/–
	Сообщение от VolanD (ok) on 23-Дек-10, 09:19
	> Точно ждет. По ненатированному то подключается. Тогда что показывается debug ip tcp ?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	21. "Telnet через nat"	+/–
	Сообщение от ShyLion (ok) on 23-Дек-10, 09:20
	> Точно ждет. По ненатированному то подключается. На самом устройстве шлюз правильный прописан?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	23. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 23-Дек-10, 09:42
	>> Точно ждет. По ненатированному то подключается. > На самом устройстве шлюз правильный прописан? Ну по ненатированому адресу он же доступен, и пингуется по натированому, по моему это говорит за то, что шлюз правильный. Разве нет? Посмотреть просто не могу, т.к. устройство не мое, но если надо запрошу у сторонней организации.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	29. "Telnet через nat"	+/–
	Сообщение от аноним_ on 28-Дек-10, 06:09
	сорри за офтоп. топикстартеру - хэши и каменты такие не постили бы, а то вроде как стратегическая отрасль будет в опасности...)
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	30. "Telnet через nat"	+/–
	Сообщение от Ivan Pomidorov (ok) on 28-Дек-10, 10:23
	А я внешние ипшники не даю.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору