Здравствуйте!
Помогите, пожалуйста новичку.
Есть Cisco 871, на нём нат, за натом — четыре вебсервера, на внешний интерфейс проброшены порты. Нужно получить доступ изнутри на внешний интерфейс по проброшенным портам. Бьюсь уже второй день :(Конфиг такой:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
no ip source-route
ip cef
!
!
no ip bootp server
ip domain name network.net
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 4.2.2.2
!
!
!
username ketamine privilege 15 secret 5 ketamine
!
!
archive
log config
logging enable
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN
ip address 10.10.10.10 255.255.255.0
ip access-group FIREWALL_IN in
ip access-group FIREWALL_OUT out
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description LAN
ip address 172.27.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.10.10
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
ip nat inside source static tcp 172.27.0.11 80 interface FastEthernet4 8811
ip nat inside source static tcp 172.27.0.12 80 interface FastEthernet4 8812
ip nat inside source static tcp 172.27.0.13 80 interface FastEthernet4 8813
ip nat inside source static tcp 172.27.0.14 80 interface FastEthernet4 8814
!
ip access-list extended FIREWALL_IN
permit ip any any
ip access-list extended FIREWALL_OUT
permit ip any any
ip access-list extended NAT
permit ip any any
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet
!
scheduler max-task-time 5000
end
>Нужно получить доступ изнутри на внешний интерфейс
>по проброшенным портам.что имеется ввиду, если ходить из внутренней сети на сервера по внешним ИП- работать не будет.
>что имеется ввиду, если ходить из внутренней сети на сервера по внешним
>ИП- работать не будет.Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего интерфейса.
Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не Cisco), которая стояла до Cisco 871 это было реализовано.
>Да, мне действительно нужно именно обращаться из внутренней сети на IP внешнего
>интерфейса.
>Если это невозможно, хотелось бы понять причины — какой-то другой железкой (не
>Cisco), которая стояла до Cisco 871 это было реализовано.ни на каком не будет, ваше хотение решается через ДНС и обращение по имени.
>ни на каком не будет, ваше хотение решается через ДНС и обращение
>по имени.Вы мне не верите, а зря. Раньше было сделано именно так другим роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя бы знать, почему.
DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты, а внутри порты другие, и изменить этого нельзя. Работать должно одинаково как снаружи, так и изнутри :(
>Вы мне не верите, а зря. Раньше было сделано именно так другим
>роутером.ну может быть, железо и правда бывает разное и чудное;)
>знать, почему.а почему локальный запрос должен через роутер ходить?
>DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
>а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
>как снаружи, так и изнутри :(попробуй это http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
не знаю на 871 реализуется или нет.
>>ни на каком не будет, ваше хотение решается через ДНС и обращение
>>по имени.
>
>Вы мне не верите, а зря. Раньше было сделано именно так другим
>роутером. Теперь Cisco 871 — сделать не получается. Я хочу хотя
>бы знать, почему.
>DNS не решит мою проблему, ибо обращаться нужно именно на конкретные порты,
>а внутри порты другие, и изменить этого нельзя. Работать должно одинаково
>как снаружи, так и изнутри :(Мы вам верим, эта фукнкиональность называется NAT hairpin, и стандартный цисковский NAT это делать не умел. Теперь он это делать умеет, но весь нат конфигурируется немного по другому
раньше NAT делался командами:
interface Fas0
ip nat outside
inetrface Fas1
ip nat inside
!
ip nat inside source static ...Теперь, чтобы работал hairpin:
interface Fas0
ip nat enable
interface Fas1
ip nat enable
! заметь, что теперь для кисы не имеет значения, который из них снаружи а какой изнутри
!
ip nat source static tcp внутренний_ип порт внешний_ип порт extandablehttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...
Спасибо, заработало!
Такая же задача на cisco 861W - никак не получается.
вроде бы все уже сделал как описано...
Хочется доступ снаружи на 10.20.0.172 порт 11111 транслировался в 172.16.0.2 порт 23.
Снаружи все работает - доступ на 10.20.0.172 по порту 11111, изнутри на 10.20.0.172 по порту 11111 - нет...
Маршрут по умолчанию не прописывал сейчас, хотя с ним все то же самое.
Что еще можно попробовать? Или это особенности cisco 861W?!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot system flash c860-universalk9-mz.124-24.T4.bin
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
ip cef
!
!
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 10.20.0.172 255.255.255.0
ip nat enable
duplex auto
speed auto
!
interface wlan-ap0
description Service module interface to manage the embedded AP
no ip address
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
!
interface Vlan1
ip address 172.16.0.1 255.255.255.0
ip nat enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat source list NAT interface FastEthernet4 overload
ip nat source static tcp 172.16.0.2 23 10.20.0.172 11111 extendable
!
ip access-list extended NAT
permit ip any any
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
login
transport input all
!
scheduler max-task-time 5000
end
>[оверквотинг удален]
> Теперь, чтобы работал hairpin:
> interface Fas0
> ip nat enable
> interface Fas1
> ip nat enable
> ! заметь, что теперь для кисы не имеет значения, который из них
> снаружи а какой изнутри
> !
> ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
> http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...Дай вам Бог здоровья =)
>[оверквотинг удален]
> Теперь, чтобы работал hairpin:
> interface Fas0
> ip nat enable
> interface Fas1
> ip nat enable
> ! заметь, что теперь для кисы не имеет значения, который из них
> снаружи а какой изнутри
> !
> ip nat source static tcp внутренний_ип порт внешний_ип порт extandable
> http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/gu...спасибо вам большое!