The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Корпоративная сеть за NATом. Как пустить к себе определенные..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 20-Апр-10, 10:58 
Здравствуйте.

Есть cisco 3845.
int Gi0/0 смотрит в локалку.
int Gi0/1 смотрит в серую сетку ЮТК.

По области у меня есть больше полусотни филиалов, которые могут быть подключены в видеоконференцию на 4-х точечный TANDBERG с IP=10.65.0.104
Для этой цели поднят NAT.
Подключение в видеоконференцию осуществляется исходящим вызовом "МОЯ_КОРПОРАТ.СЕТЬ-->ПОЛЬЗОВАТЕЛЬ_ОБЛАСТИ"

Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть.

Как бы это лучше реализовать? Краем уха слышал, что нужно прописывать каждый IP, но как его пустить в свою сетку не знаю.

Вот конфиг маршрутизатора:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
service sequence-numbers
!
hostname GW2
!
boot-start-marker
boot system flash c3845-advipservicesk9-mz.124-24.T1.bin
boot-end-marker
!
!card type command needed for slot 1
!card type command needed for slot 1
security authentication failure rate 3 log
security passwords min-length 6
logging message-counter syslog
logging buffered 51200
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00
no network-clock-participate slot 1
no network-clock-participate slot 2
!
dot11 syslog
ip source-route
!
ip cef
!
multilink bundle-name authenticated
!
voice-card 0
!
voice-card 2
!
voice service voip
allow-connections h323 to h323
redirect ip2ip
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
h323
  no call service stop
!
voice translation-rule 1
rule 1 /....\(..\)/ /\1/
!
voice translation-rule 2
rule 1 /.\(..\)/ /\1/
!
!
voice translation-profile 1
translate called 1
!
voice translation-profile 2
translate called 2
!
username xxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
username xxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
archive
log config
  hidekeys
!
class-map match-all tandberg_video_signaling
match access-group name tandberg_control
class-map match-all voice_ip
match access-group name voice_ip
match ip precedence 5
class-map match-all video_ftp
match access-group name video_ftp
class-map match-all voice_signaling
match access-group name voice_signaling
class-map match-all tandberg_video_ip
match access-group name tandberg_video_ip
!
policy-map voice_video_policy
class voice_ip
    priority 300
  set dscp cs4
class voice_signaling
    bandwidth 15
  set dscp af21
class tandberg_video_signaling
    bandwidth 30
  set dscp af21
class tandberg_video_ip
    bandwidth 1000
  set dscp cs4
class video_ftp
  set precedence 1
    police 128000 4000 4000 conform-action transmit  exceed-action drop  violate-action drop
class class-default
    fair-queue
     random-detect
  set ip precedence 0
!
interface GigabitEthernet0/0
description LAN
ip address 10.65.0.2 255.255.128.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
!
interface GigabitEthernet0/1
description UTK
ip address 10.9.4.186 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
service-policy output voice_video_policy
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
interface Serial0/1/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/1/1
no ip address
shutdown
clock rate 2000000
!
router bgp 65003
no synchronization
bgp log-neighbor-changes
neighbor 10.65.0.1 remote-as 65003
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.65.0.1
ip route 10.9.0.0 255.255.0.0 10.9.4.185
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
ip nat inside source static 10.65.0.104 interface GigabitEthernet0/1
!
ip access-list extended LAN
deny   udp any any range netbios-ns netbios-dgm
permit ip any 10.0.0.0 0.255.255.255
permit udp any any eq bootps
permit icmp any any
deny   ip any any log
ip access-list extended tandberg_control
permit tcp any any range 5555 5587
permit tcp any range 5555 5587 any
ip access-list extended tandberg_video_ip
permit udp any any range 2326 2837
permit udp any range 2326 2837 any
ip access-list extended video_ftp
permit tcp any any eq ftp-data
ip access-list extended voice_ip
permit udp any any range 16384 32767
permit udp any range 16384 32767 any
ip access-list extended voice_signaling
permit tcp any eq 1720 any
permit tcp any any eq 1720
!
line con 0
exec-timeout 60 0
logging synchronous
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
exec-timeout 60 0
privilege level 15
logging synchronous
login local
transport input telnet
line vty 5 15
exec-timeout 60 0
privilege level 15
logging synchronous
login local
transport input telnet
!
scheduler allocate 20000 1000
end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от GolDi (??) on 20-Апр-10, 11:53 
>[оверквотинг удален]
> transport input telnet
>line vty 5 15
> exec-timeout 60 0
> privilege level 15
> logging synchronous
> login local
> transport input telnet
>!
>scheduler allocate 20000 1000
>end

Читайте
ip nat outside

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 11:54 
>Как бы это лучше реализовать?

Правильней всего - построить VPN с филиалами и не заниматься ерундой с НАТ. Для отдельно живущих пользователей существует PPTP. Для групп пользователей - туннели, IPSec и их комбинации. Поверх всего этого запускают EIGRP (если во всех филиалах Cisco), или OSPF (если ззопарк), на самый край - RIP (если тупой зоопарк).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 20-Апр-10, 16:44 
>>Как бы это лучше реализовать?
>
>Правильней всего - построить VPN с филиалами и не заниматься ерундой с
>НАТ. Для отдельно живущих пользователей существует PPTP.

У самих пользователей на местах настроено PPP соединение, запуская которое они попадают в сетку ЮТК и стоит программа POLYCOM, с помощью которой, собственно, они и учасвствуют в видеоконференции.

Строить VPN в нашем случае очень дорого.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 17:14 
>>>Как бы это лучше реализовать?
>>
>>Правильней всего - построить VPN с филиалами и не заниматься ерундой с
>>НАТ. Для отдельно живущих пользователей существует PPTP.
>
>У самих пользователей на местах настроено PPP соединение, запуская которое они попадают
>в сетку ЮТК и стоит программа POLYCOM, с помощью которой, собственно,
>они и учасвствуют в видеоконференции.
>
>Строить VPN в нашем случае очень дорого.

interface GigabitEthernet0/1
ip address 10.9.4.186 255.255.255.248
ip nat outside
interface GigabitEthernet0/0
ip address 10.65.0.2 255.255.128.0
ip nat inside
!

пусть железка куда надо цепляться 10.65.0.111
далее надо определиться с протоколами и номерами портов. допустим (допустим)
что UDP/1000 и TCP/2000. На память не помню, можно в поликомовских доках посмотреть.

далее пробрасываем вовнутрь входящие соединения:

ip nat inside source static udp 10.65.0.111 1000 10.9.4.186 1000
ip nat inside source static tcp 10.65.0.111 2000 10.9.4.186 2000
и т.п.

Входящие соединения на адрес 10.9.4.186 снаружи по перечисленным протоколам/портам будут проброшены вовнутрь на адрес 10.65.0.111
В моем примере входящий порт внешнего адреса совпадает с портом внутреннего адреса, хотя можно делать их разными.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 10:04 
>[оверквотинг удален]
>>>
>interface GigabitEthernet0/1
> ip address 10.9.4.186 255.255.255.248
> ip nat outside
>interface GigabitEthernet0/0
> ip address 10.65.0.2 255.255.128.0
> ip nat inside
>!
>
>пусть железка куда надо цепляться 10.65.0.111

Вот спасибо!
Только у меня возникла проблема с пробросом диапазона портов.
Нужно пробросить tcp и udp 3230-3237 и tcp 1720

А синтаксис команды "ip nat inside source static tcp..." и т.д. не позволяет прописать диапазон портов, а прописывать 17 команд для одного IP адреса (а их у меня будет как минимум 55 штук)не то, что муторно, но в конфиге потом запутаюсь, он станет не читабельным.

Почитал темы, вроде как можно access-list сделать.
Как его правильно написать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 10:46 
>позволяет прописать диапазон портов, а прописывать 17 команд для одного IP
>адреса (а их у меня будет как минимум 55 штук)не то,

55 штук?

расскажи подробнее про:

> Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть.

с какой целью?

Что-то сдается мне, что не с того конца ты пытаешься задачу решить.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 12:12 
>расскажи подробнее про:
>
>> Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть.
>
>с какой целью?
>
>Что-то сдается мне, что не с того конца ты пытаешься задачу решить.
>

Ну в общем еще раз попытаюсь описать ситуацию.
У нас есть корпоративная сеть.
Мой кусок этой сети 10.65.0.0 netmask 255.255.128.0
У нас очень любят проводить видеоселектора. И возникла необходимость подключить на эти видеоселектора 55 точек по области.
VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят.

Поэтому наша организация на взаимовыгодных условиях договорилась с ЮТК. Те сделали нам для каждой точки PPP соединение (авторизация логин-пароль), на циску дали статичный IP без всякой авторизации.
Ну вот, собственно и все. Одна проблема, что в ЮТК используется сетка тоже 10.0.0.0 поэтому разруливаем все через нат.

Все.
У нас в сети стоит Tandberg мультиточка ip=10.65.0.104
Абоненты по области имеют ip от 10.9.2.61 до ... ну и плюс 55 вобщем.

Из внешней сети виден только ip cisки 10.9.4.186.
Из внутренней сети сетка 10.9.0.0 видна только с Ip адреса tandberga, т.е. с 10.65.0.104 (смотреть конфиг циски выше), поэтому абонентов на видеоконференцию мы собираем с самого тандберга.

Теперь нужно, чтобы из внешки люди могли сами цепляться на tandberg.

Вот и все. Жду Ваших соображений. Спасибо


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 12:39 
>Теперь нужно, чтобы из внешки люди могли сами цепляться на tandberg.

ну так это не 55 натов помноженые на 17 портов

прописываешь просто по одному нату на порт и все

ip nat inside source tcp 10.65.0.104 xxxx 10.9.4.186 хххх
ip nat inside source tcp 10.65.0.104 yyyy 10.9.4.186 yyyy
и т.д.

внешние клиенты должны будут цепляться к адресу 10.9.4.186

если хочется фильтровать - ставишь входящий фильтр на внешнем интерфейсе
permit tcp 10.9.2.0 0.0.0.255 host 10.9.4.186 eq xxxx
permit tcp 10.9.2.0 0.0.0.255 host 10.9.4.186 eq yyyy
...
deny tcp any host 10.9.4.186 eq xxxx
deny tcp any host 10.9.4.186 eq yyyy
...
permit ip any any

ну как-то так

а вообще, спросите у провайдера, может у них ваш блок 10.65.0.0/17 еще не занят, тогда можно без НАТа обойтись.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 12:40 
>а вообще, спросите у провайдера, может у них ваш блок 10.65.0.0/17 еще
>не занят, тогда можно без НАТа обойтись.

или второй вариант я уже описал
в отдельную подсеть сеть, арендованую у провайдера и которой у вас нигде нет, поставить свой тандберг.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 12:42 
>VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят.

под ВПН я подразумевал обычные тоннели через интернет

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 14:32 
>>VPN строить стоит дорого за 1 точку в месяц 27000 руб. просят.
>
>под ВПН я подразумевал обычные тоннели через интернет.

А, я понял.

Да я бы и сам не прочь VPN через Инет сделать, но правило такое, что в гос. учреждениях сращивать сеть интернет и локалку нельзя. Вот хоть ты тресни, должно быть физическое разделение, а то, что оно разделено логикой никому из чиновников 1917 года выпуска не докажешь. И то что локалки всего мира все-равно объединены между собой всякими хитрыми портами, открывающимися порт-кнокингом, сделанным хитрыми админами, тоже рассказывать не будешь :)))

  

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 14:42 
>нельзя. Вот хоть ты тресни, должно быть физическое разделение, а то,
>что оно разделено логикой никому из чиновников 1917 года выпуска не

а то, что физически соеденена ваша локалка и сеть ЮТК это ничего страшного???? а что дыры и во всяких тандбергах бывают, да вообще во всем, где есть процессор и оперативная память с загружаемым кодом, тоже ничего страшного? :)))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 14:52 
>тоже ничего страшного? :)))

:)))


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 20-Апр-10, 17:17 
>>>Как бы это лучше реализовать?
>Строить VPN в нашем случае очень дорого.

Еще вариант есть без NAT:

Вынести ВКС оборудование в отдельную подсеть, попросив ее у провайдера. Раз она серая, то им не составит труда выдать небольшой блок. Эту подсеть повесить на отдельный интерфейс в DMZ. При необходимости statefull фильтрацию обеспечить, например средствами IOS Firewall.
Доступ снаружи в эту ДМЗ открыть и из локалки, без НАТа.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 15:08 
>>>>Как бы это лучше реализовать?

УРА ЗАРАБОТАЛО!!!

По видео цепляюсь нормально.

Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети.
Пытаюсь сделать аналогично.

ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21
получаю ошибку
similar static entry (10.65.0.104 -> 10.9.4.186) already exists

Что-то не пойму на один адрес один ip можно повесить один адрес натом что-ли?

А как же остальные нужные внутренние ресурсы сделать доступными извне?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 15:18 
>[оверквотинг удален]
>По видео цепляюсь нормально.
>
>Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети.
>
>Пытаюсь сделать аналогично.
>
>ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21
>получаю ошибку
>similar static entry (10.65.0.104 -> 10.9.4.186) already exists
>

ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только для чего?

если сильно надо, тогда надо у провайдера просить еще IP и натить вовнутрб с него

иначе сам посуди, с наружи приходит запрос на подключение на 21 порт tcp, как роутер должен решить, на какой из внутренних хостов его направить если бы их было несколько?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 16:45 
>ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только
>для чего?

не, 21 порт завел на 10.64.0.135, просто думал, что так вот имея один внешний IP могу пробросить порт до какого угодно IP внутренней сети.
>
>если сильно надо, тогда надо у провайдера просить еще IP и натить
>вовнутрб с него
>

Я так понял что это единственный способ, т.е. на каждый открываемый через nat новый ресурс во внутренней сети нужен IP из внешней сети?
>иначе сам посуди, с наружи приходит запрос на подключение на 21 порт
>tcp, как роутер должен решить, на какой из внутренних хостов его
>направить если бы их было несколько?

Так вот логически посудив я и хотел показать ему куда пробрасывать: ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21, т.е. с внешки внутрь на такой-то IP.

Я же больше нигде не использую проброс еще одного 21-го порта. Почему конфликт?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 21-Апр-10, 16:47 
>Я же больше нигде не использую проброс еще одного 21-го порта. Почему
>конфликт?

sho run | inc ip nat inside

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 21-Апр-10, 16:51 
>>Я же больше нигде не использую проброс еще одного 21-го порта. Почему
>>конфликт?
>
>sho run | inc ip nat inside

не, я все равно не понимаю, потому, что я привязал внутренний IP к внешнему интерфейсу?
Или еще что?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от DDDstart email(ok) on 22-Апр-10, 12:08 
>>>Я же больше нигде не использую проброс еще одного 21-го порта. Почему
>>>конфликт?
>>
>>sho run | inc ip nat inside

нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184!

Но все равно, когда все сделал правильно, т.е.
ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21

ftp сервер не доступен

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Корпоративная сеть за NATом. Как пустить к себе определенные..."  +/
Сообщение от ShyLion (ok) on 22-Апр-10, 12:42 
>[оверквотинг удален]
>>>>конфликт?
>>>
>>>sho run | inc ip nat inside
>
>нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184!
>
>Но все равно, когда все сделал правильно, т.е.
>ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21
>
>ftp сервер не доступен

телнет на 21 порт проходит?

фтп размещать за НАТ - тот еще головняк
это связано с тем, что в активном режиме фтп сервер делает исходящее соединение в сторону клиента на выбраный клиентом случайный порт (для этого нужно выпустить наружу фтп сервер по любым (практически) портам ТСП,
а в пассивном режиме сервер сообщает клиенту опять таки выбранный случайным образом порт (в отдельных случаях можно задать конкретный диапазон настройками сервера) и клиент САМ коннектится к серверу по этому порту.

Ясен пень, что обычный фаервол заранее не знает, какой именно порт выберет сервер, так что ты его вовнутрь прокинуть не можешь, только если заранее на фтп выбрать блок портов и заранее на кисе его прокинуть на фтп. В общем и целом - ЖОПА.
Есть вариации на тему анализа управляющего трафика по 21 порту и временное открытие/проброс портов, но честно говоря не знаю как это на ИОСе делать, если можно вообще.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру