форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
Сообщение от DDDstart (ok) on 20-Апр-10, 10:58
Здравствуйте. Есть cisco 3845. int Gi0/0 смотрит в локалку. int Gi0/1 смотрит в серую сетку ЮТК. По области у меня есть больше полусотни филиалов, которые могут быть подключены в видеоконференцию на 4-х точечный TANDBERG с IP=10.65.0.104 Для этой цели поднят NAT. Подключение в видеоконференцию осуществляется исходящим вызовом "МОЯ_КОРПОРАТ.СЕТЬ-->ПОЛЬЗОВАТЕЛЬ_ОБЛАСТИ" Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть. Как бы это лучше реализовать? Краем уха слышал, что нужно прописывать каждый IP, но как его пустить в свою сетку не знаю. Вот конфиг маршрутизатора: ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone no service password-encryption service sequence-numbers ! hostname GW2 ! boot-start-marker boot system flash c3845-advipservicesk9-mz.124-24.T1.bin boot-end-marker ! !card type command needed for slot 1 !card type command needed for slot 1 security authentication failure rate 3 log security passwords min-length 6 logging message-counter syslog logging buffered 51200 enable secret 5 xxxxxxxxxxxxxxxxxxxxxxx ! no aaa new-model clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00 no network-clock-participate slot 1 no network-clock-participate slot 2 ! dot11 syslog ip source-route ! ip cef ! multilink bundle-name authenticated ! voice-card 0 ! voice-card 2 ! voice service voip allow-connections h323 to h323 redirect ip2ip fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco h323   no call service stop ! voice translation-rule 1 rule 1 /....\(..\)/ /\1/ ! voice translation-rule 2 rule 1 /.\(..\)/ /\1/ ! ! voice translation-profile 1 translate called 1 ! voice translation-profile 2 translate called 2 ! username xxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx username xxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx archive log config   hidekeys ! class-map match-all tandberg_video_signaling match access-group name tandberg_control class-map match-all voice_ip match access-group name voice_ip match ip precedence 5 class-map match-all video_ftp match access-group name video_ftp class-map match-all voice_signaling match access-group name voice_signaling class-map match-all tandberg_video_ip match access-group name tandberg_video_ip ! policy-map voice_video_policy class voice_ip     priority 300   set dscp cs4 class voice_signaling     bandwidth 15   set dscp af21 class tandberg_video_signaling     bandwidth 30   set dscp af21 class tandberg_video_ip     bandwidth 1000   set dscp cs4 class video_ftp   set precedence 1     police 128000 4000 4000 conform-action transmit  exceed-action drop  violate-action drop class class-default     fair-queue      random-detect   set ip precedence 0 ! interface GigabitEthernet0/0 description LAN ip address 10.65.0.2 255.255.128.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly duplex auto speed auto media-type rj45 no mop enabled ! interface GigabitEthernet0/1 description UTK ip address 10.9.4.186 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly duplex auto speed auto media-type rj45 no mop enabled service-policy output voice_video_policy ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! interface Serial0/1/0 no ip address shutdown clock rate 2000000 ! interface Serial0/1/1 no ip address shutdown clock rate 2000000 ! router bgp 65003 no synchronization bgp log-neighbor-changes neighbor 10.65.0.1 remote-as 65003 no auto-summary ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.65.0.1 ip route 10.9.0.0 255.255.0.0 10.9.4.185 ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip http path flash:/gui ! ip nat inside source static 10.65.0.104 interface GigabitEthernet0/1 ! ip access-list extended LAN deny   udp any any range netbios-ns netbios-dgm permit ip any 10.0.0.0 0.255.255.255 permit udp any any eq bootps permit icmp any any deny   ip any any log ip access-list extended tandberg_control permit tcp any any range 5555 5587 permit tcp any range 5555 5587 any ip access-list extended tandberg_video_ip permit udp any any range 2326 2837 permit udp any range 2326 2837 any ip access-list extended video_ftp permit tcp any any eq ftp-data ip access-list extended voice_ip permit udp any any range 16384 32767 permit udp any range 16384 32767 any ip access-list extended voice_signaling permit tcp any eq 1720 any permit tcp any any eq 1720 ! line con 0 exec-timeout 60 0 logging synchronous login local transport output telnet line aux 0 login local transport output telnet line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous login local transport input telnet line vty 5 15 exec-timeout 60 0 privilege level 15 logging synchronous login local transport input telnet ! scheduler allocate 20000 1000 end
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
Сообщение от GolDi (??) on 20-Апр-10, 11:53
>[оверквотинг удален] > transport input telnet >line vty 5 15 > exec-timeout 60 0 > privilege level 15 > logging synchronous > login local > transport input telnet >! >scheduler allocate 20000 1000 >end Читайте ip nat outside
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
Сообщение от ShyLion (ok) on 20-Апр-10, 11:54
>Как бы это лучше реализовать? Правильней всего - построить VPN с филиалами и не заниматься ерундой с НАТ. Для отдельно живущих пользователей существует PPTP. Для групп пользователей - туннели, IPSec и их комбинации. Поверх всего этого запускают EIGRP (если во всех филиалах Cisco), или OSPF (если ззопарк), на самый край - RIP (если тупой зоопарк).
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 20-Апр-10, 16:44
	>>Как бы это лучше реализовать? > >Правильней всего - построить VPN с филиалами и не заниматься ерундой с >НАТ. Для отдельно живущих пользователей существует PPTP. У самих пользователей на местах настроено PPP соединение, запуская которое они попадают в сетку ЮТК и стоит программа POLYCOM, с помощью которой, собственно, они и учасвствуют в видеоконференции. Строить VPN в нашем случае очень дорого.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 20-Апр-10, 17:14
	>>>Как бы это лучше реализовать? >> >>Правильней всего - построить VPN с филиалами и не заниматься ерундой с >>НАТ. Для отдельно живущих пользователей существует PPTP. > >У самих пользователей на местах настроено PPP соединение, запуская которое они попадают >в сетку ЮТК и стоит программа POLYCOM, с помощью которой, собственно, >они и учасвствуют в видеоконференции. > >Строить VPN в нашем случае очень дорого. interface GigabitEthernet0/1 ip address 10.9.4.186 255.255.255.248 ip nat outside interface GigabitEthernet0/0 ip address 10.65.0.2 255.255.128.0 ip nat inside ! пусть железка куда надо цепляться 10.65.0.111 далее надо определиться с протоколами и номерами портов. допустим (допустим) что UDP/1000 и TCP/2000. На память не помню, можно в поликомовских доках посмотреть. далее пробрасываем вовнутрь входящие соединения: ip nat inside source static udp 10.65.0.111 1000 10.9.4.186 1000 ip nat inside source static tcp 10.65.0.111 2000 10.9.4.186 2000 и т.п. Входящие соединения на адрес 10.9.4.186 снаружи по перечисленным протоколам/портам будут проброшены вовнутрь на адрес 10.65.0.111 В моем примере входящий порт внешнего адреса совпадает с портом внутреннего адреса, хотя можно делать их разными.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 10:04
	>[оверквотинг удален] >>> >interface GigabitEthernet0/1 > ip address 10.9.4.186 255.255.255.248 > ip nat outside >interface GigabitEthernet0/0 > ip address 10.65.0.2 255.255.128.0 > ip nat inside >! > >пусть железка куда надо цепляться 10.65.0.111 Вот спасибо! Только у меня возникла проблема с пробросом диапазона портов. Нужно пробросить tcp и udp 3230-3237 и tcp 1720 А синтаксис команды "ip nat inside source static tcp..." и т.д. не позволяет прописать диапазон портов, а прописывать 17 команд для одного IP адреса (а их у меня будет как минимум 55 штук)не то, что муторно, но в конфиге потом запутаюсь, он станет не читабельным. Почитал темы, вроде как можно access-list сделать. Как его правильно написать?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 10:46
	>позволяет прописать диапазон портов, а прописывать 17 команд для одного IP >адреса (а их у меня будет как минимум 55 штук)не то, 55 штук? расскажи подробнее про: > Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть. с какой целью? Что-то сдается мне, что не с того конца ты пытаешься задачу решить.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 12:12
	>расскажи подробнее про: > >> Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть. > >с какой целью? > >Что-то сдается мне, что не с того конца ты пытаешься задачу решить. > Ну в общем еще раз попытаюсь описать ситуацию. У нас есть корпоративная сеть. Мой кусок этой сети 10.65.0.0 netmask 255.255.128.0 У нас очень любят проводить видеоселектора. И возникла необходимость подключить на эти видеоселектора 55 точек по области. VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят. Поэтому наша организация на взаимовыгодных условиях договорилась с ЮТК. Те сделали нам для каждой точки PPP соединение (авторизация логин-пароль), на циску дали статичный IP без всякой авторизации. Ну вот, собственно и все. Одна проблема, что в ЮТК используется сетка тоже 10.0.0.0 поэтому разруливаем все через нат. Все. У нас в сети стоит Tandberg мультиточка ip=10.65.0.104 Абоненты по области имеют ip от 10.9.2.61 до ... ну и плюс 55 вобщем. Из внешней сети виден только ip cisки 10.9.4.186. Из внутренней сети сетка 10.9.0.0 видна только с Ip адреса tandberga, т.е. с 10.65.0.104 (смотреть конфиг циски выше), поэтому абонентов на видеоконференцию мы собираем с самого тандберга. Теперь нужно, чтобы из внешки люди могли сами цепляться на tandberg. Вот и все. Жду Ваших соображений. Спасибо
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 12:39
	>Теперь нужно, чтобы из внешки люди могли сами цепляться на tandberg. ну так это не 55 натов помноженые на 17 портов прописываешь просто по одному нату на порт и все ip nat inside source tcp 10.65.0.104 xxxx 10.9.4.186 хххх ip nat inside source tcp 10.65.0.104 yyyy 10.9.4.186 yyyy и т.д. внешние клиенты должны будут цепляться к адресу 10.9.4.186 если хочется фильтровать - ставишь входящий фильтр на внешнем интерфейсе permit tcp 10.9.2.0 0.0.0.255 host 10.9.4.186 eq xxxx permit tcp 10.9.2.0 0.0.0.255 host 10.9.4.186 eq yyyy ... deny tcp any host 10.9.4.186 eq xxxx deny tcp any host 10.9.4.186 eq yyyy ... permit ip any any ну как-то так а вообще, спросите у провайдера, может у них ваш блок 10.65.0.0/17 еще не занят, тогда можно без НАТа обойтись.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 12:40
	>а вообще, спросите у провайдера, может у них ваш блок 10.65.0.0/17 еще >не занят, тогда можно без НАТа обойтись. или второй вариант я уже описал в отдельную подсеть сеть, арендованую у провайдера и которой у вас нигде нет, поставить свой тандберг.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 12:42
	>VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят. под ВПН я подразумевал обычные тоннели через интернет
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 14:32
	>>VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят. > >под ВПН я подразумевал обычные тоннели через интернет. А, я понял. Да я бы и сам не прочь VPN через Инет сделать, но правило такое, что в гос. учреждениях сращивать сеть интернет и локалку нельзя. Вот хоть ты тресни, должно быть физическое разделение, а то, что оно разделено логикой никому из чиновников 1917 года выпуска не докажешь. И то что локалки всего мира все-равно объединены между собой всякими хитрыми портами, открывающимися порт-кнокингом, сделанным хитрыми админами, тоже рассказывать не будешь :)))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 14:42
	>нельзя. Вот хоть ты тресни, должно быть физическое разделение, а то, >что оно разделено логикой никому из чиновников 1917 года выпуска не а то, что физически соеденена ваша локалка и сеть ЮТК это ничего страшного???? а что дыры и во всяких тандбергах бывают, да вообще во всем, где есть процессор и оперативная память с загружаемым кодом, тоже ничего страшного? :)))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 14:52
	>тоже ничего страшного? :))) :)))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 20-Апр-10, 17:17
	>>>Как бы это лучше реализовать? >Строить VPN в нашем случае очень дорого. Еще вариант есть без NAT: Вынести ВКС оборудование в отдельную подсеть, попросив ее у провайдера. Раз она серая, то им не составит труда выдать небольшой блок. Эту подсеть повесить на отдельный интерфейс в DMZ. При необходимости statefull фильтрацию обеспечить, например средствами IOS Firewall. Доступ снаружи в эту ДМЗ открыть и из локалки, без НАТа.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 15:08
	>>>>Как бы это лучше реализовать? УРА ЗАРАБОТАЛО!!! По видео цепляюсь нормально. Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети. Пытаюсь сделать аналогично. ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21 получаю ошибку similar static entry (10.65.0.104 -> 10.9.4.186) already exists Что-то не пойму на один адрес один ip можно повесить один адрес натом что-ли? А как же остальные нужные внутренние ресурсы сделать доступными извне?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 15:18
	>[оверквотинг удален] >По видео цепляюсь нормально. > >Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети. > >Пытаюсь сделать аналогично. > >ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21 >получаю ошибку >similar static entry (10.65.0.104 -> 10.9.4.186) already exists > ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только для чего? если сильно надо, тогда надо у провайдера просить еще IP и натить вовнутрб с него иначе сам посуди, с наружи приходит запрос на подключение на 21 порт tcp, как роутер должен решить, на какой из внутренних хостов его направить если бы их было несколько?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 16:45
	>ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только >для чего? не, 21 порт завел на 10.64.0.135, просто думал, что так вот имея один внешний IP могу пробросить порт до какого угодно IP внутренней сети. > >если сильно надо, тогда надо у провайдера просить еще IP и натить >вовнутрб с него > Я так понял что это единственный способ, т.е. на каждый открываемый через nat новый ресурс во внутренней сети нужен IP из внешней сети? >иначе сам посуди, с наружи приходит запрос на подключение на 21 порт >tcp, как роутер должен решить, на какой из внутренних хостов его >направить если бы их было несколько? Так вот логически посудив я и хотел показать ему куда пробрасывать: ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21, т.е. с внешки внутрь на такой-то IP. Я же больше нигде не использую проброс еще одного 21-го порта. Почему конфликт?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 21-Апр-10, 16:47
	>Я же больше нигде не использую проброс еще одного 21-го порта. Почему >конфликт? sho run | inc ip nat inside
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 21-Апр-10, 16:51
	>>Я же больше нигде не использую проброс еще одного 21-го порта. Почему >>конфликт? > >sho run | inc ip nat inside не, я все равно не понимаю, потому, что я привязал внутренний IP к внешнему интерфейсу? Или еще что?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от DDDstart (ok) on 22-Апр-10, 12:08
	>>>Я же больше нигде не использую проброс еще одного 21-го порта. Почему >>>конфликт? >> >>sho run | inc ip nat inside нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184! Но все равно, когда все сделал правильно, т.е. ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21 ftp сервер не доступен
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Корпоративная сеть за NATом. Как пустить к себе определенные..."		+/–
	Сообщение от ShyLion (ok) on 22-Апр-10, 12:42
	>[оверквотинг удален] >>>>конфликт? >>> >>>sho run | inc ip nat inside > >нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184! > >Но все равно, когда все сделал правильно, т.е. >ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21 > >ftp сервер не доступен телнет на 21 порт проходит? фтп размещать за НАТ - тот еще головняк это связано с тем, что в активном режиме фтп сервер делает исходящее соединение в сторону клиента на выбраный клиентом случайный порт (для этого нужно выпустить наружу фтп сервер по любым (практически) портам ТСП, а в пассивном режиме сервер сообщает клиенту опять таки выбранный случайным образом порт (в отдельных случаях можно задать конкретный диапазон настройками сервера) и клиент САМ коннектится к серверу по этому порту. Ясен пень, что обычный фаервол заранее не знает, какой именно порт выберет сервер, так что ты его вовнутрь прокинуть не можешь, только если заранее на фтп выбрать блок портов и заранее на кисе его прокинуть на фтп. В общем и целом - ЖОПА. Есть вариации на тему анализа управляющего трафика по 21 порту и временное открытие/проброс портов, но честно говоря не знаю как это на ИОСе делать, если можно вообще.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема