OpenForum RSS: Корпоративная сеть за NATом. Как пустить к себе определенные... https://www.opennet.me/openforum/vsluhforumID6/20907.html Здравствуйте.<br><br>Есть cisco 3845.<br>int Gi0/0 смотрит в локалку.<br>int Gi0/1 смотрит в серую сетку ЮТК.<br><br>По области у меня есть больше полусотни филиалов, которые могут быть подключены в видеоконференцию на 4-х точечный TANDBERG с IP=10.65.0.104<br>Для этой цели поднят NAT.<br>Подключение в видеоконференцию осуществляется исходящим вызовом "МОЯ_КОРПОРАТ.СЕТЬ--&gt;ПОЛЬЗОВАТЕЛЬ_ОБЛАСТИ"<br><br>Теперь задача стоит разрешить ходить пользователям с определенными IP из серой сетки ЮТК в мою корпоративную сеть.<br><br>Как бы это лучше реализовать? Краем уха слышал, что нужно прописывать каждый IP, но как его пустить в свою сетку не знаю.<br><br>Вот конфиг маршрутизатора:<br><br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime show-timezone<br>service timestamps log datetime msec localtime show-timezone<br>no service password-encryption<br>service sequence-numbers<br>!<br>hostname GW2<br>!<br>boot-start-marker<br>boot system flash c3845-advipservicesk9-mz.124-24.T1.bin Корпоративная сеть за NATом. Как пустить к себе определенные... (ShyLion) https://www.opennet.me/openforum/vsluhforumID6/20907.html#21 Thu, 22 Apr 2010 08:42:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;конфликт? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;sho run &#124; inc ip nat inside <br>&gt;<br>&gt;нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184! <br>&gt;<br>&gt;Но все равно, когда все сделал правильно, т.е. <br>&gt;ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21 <br>&gt;<br>&gt;ftp сервер не доступен <br><br>телнет на 21 порт проходит?<br><br>фтп размещать за НАТ - тот еще головняк<br>это связано с тем, что в активном режиме фтп сервер делает исходящее соединение в сторону клиента на выбраный клиентом случайный порт (для этого нужно выпустить наружу фтп сервер по любым (практически) портам ТСП,<br>а в пассивном режиме сервер сообщает клиенту опять таки выбранный случайным образом порт (в отдельных случаях можно задать конкретный диапазон настройками сервера) и клиент САМ коннектится к серверу по этому порту.<br><br>Ясен пень, что обычный фаервол заранее не знает, какой именно порт выберет сервер, так что ты его вовнутрь прокинуть не можешь, только если заранее на фтп выбрать блок портов и заранее на кисе его прокинуть на ф Корпоративная сеть за NATом. Как пустить к себе определенные... (DDDstart) https://www.opennet.me/openforum/vsluhforumID6/20907.html#20 Thu, 22 Apr 2010 08:08:53 GMT &gt;&gt;&gt;Я же больше нигде не использую проброс еще одного 21-го порта. Почему <br>&gt;&gt;&gt;конфликт? <br>&gt;&gt;<br>&gt;&gt;sho run &#124; inc ip nat inside <br><br>нашел ошибку, надо было использовать 10.9.4.186, а я писал 10.9.4.184!<br><br>Но все равно, когда все сделал правильно, т.е. <br>ip nat inside source static tcp 10.64.0.135 21 10.9.4.186 21<br><br>ftp сервер не доступен<br><br> Корпоративная сеть за NATом. Как пустить к себе определенные... (DDDstart) https://www.opennet.me/openforum/vsluhforumID6/20907.html#19 Wed, 21 Apr 2010 12:51:53 GMT &gt;&gt;Я же больше нигде не использую проброс еще одного 21-го порта. Почему <br>&gt;&gt;конфликт? <br>&gt;<br>&gt;sho run &#124; inc ip nat inside <br><br>не, я все равно не понимаю, потому, что я привязал внутренний IP к внешнему интерфейсу?<br>Или еще что?<br><br><br> Корпоративная сеть за NATом. Как пустить к себе определенные... (ShyLion) https://www.opennet.me/openforum/vsluhforumID6/20907.html#18 Wed, 21 Apr 2010 12:47:01 GMT &gt;Я же больше нигде не использую проброс еще одного 21-го порта. Почему <br>&gt;конфликт? <br><br>sho run &#124; inc ip nat inside<br> Корпоративная сеть за NATом. Как пустить к себе определенные... (DDDstart) https://www.opennet.me/openforum/vsluhforumID6/20907.html#17 Wed, 21 Apr 2010 12:45:27 GMT &gt;ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только <br>&gt;для чего?<br><br>не, 21 порт завел на 10.64.0.135, просто думал, что так вот имея один внешний IP могу пробросить порт до какого угодно IP внутренней сети.<br>&gt;<br>&gt;если сильно надо, тогда надо у провайдера просить еще IP и натить <br>&gt;вовнутрб с него <br>&gt;<br><br>Я так понял что это единственный способ, т.е. на каждый открываемый через nat новый ресурс во внутренней сети нужен IP из внешней сети?<br>&gt;иначе сам посуди, с наружи приходит запрос на подключение на 21 порт <br>&gt;tcp, как роутер должен решить, на какой из внутренних хостов его <br>&gt;направить если бы их было несколько?<br><br>Так вот логически посудив я и хотел показать ему куда пробрасывать: ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21, т.е. с внешки внутрь на такой-то IP.<br><br>Я же больше нигде не использую проброс еще одного 21-го порта. Почему конфликт?<br><br><br> Корпоративная сеть за NATом. Как пустить к себе определенные... (ShyLion) https://www.opennet.me/openforum/vsluhforumID6/20907.html#16 Wed, 21 Apr 2010 11:18:15 GMT &gt;[оверквотинг удален]<br>&gt;По видео цепляюсь нормально. <br>&gt;<br>&gt;Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети. <br>&gt;<br>&gt;Пытаюсь сделать аналогично. <br>&gt;<br>&gt;ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21 <br>&gt;получаю ошибку <br>&gt;similar static entry (10.65.0.104 -&gt; 10.9.4.186) already exists<br>&gt;<br><br>ну если ты снаружи и 21 порт завел уже на 10.65.0.104... только для чего?<br><br>если сильно надо, тогда надо у провайдера просить еще IP и натить вовнутрб с него<br><br>иначе сам посуди, с наружи приходит запрос на подключение на 21 порт tcp, как роутер должен решить, на какой из внутренних хостов его направить если бы их было несколько?<br> Корпоративная сеть за NATом. Как пустить к себе определенные... (DDDstart) https://www.opennet.me/openforum/vsluhforumID6/20907.html#15 Wed, 21 Apr 2010 11:08:36 GMT &gt;&gt;&gt;&gt;Как бы это лучше реализовать?<br><br>УРА ЗАРАБОТАЛО!!!<br><br>По видео цепляюсь нормально.<br><br>Теперь хочу сделать доступ к ftp серверу с ip=10.64.0.135 из внешней сети.<br>Пытаюсь сделать аналогично.<br><br>ip nat inside source static tcp 10.64.0.135 21 10.9.4.184 21<br>получаю ошибку <br>similar static entry (10.65.0.104 -&gt; 10.9.4.186) already exists<br><br>Что-то не пойму на один адрес один ip можно повесить один адрес натом что-ли?<br><br>А как же остальные нужные внутренние ресурсы сделать доступными извне?<br><br><br><br> Корпоративная сеть за NATом. Как пустить к себе определенные... (DDDstart) https://www.opennet.me/openforum/vsluhforumID6/20907.html#14 Wed, 21 Apr 2010 10:52:28 GMT &gt;тоже ничего страшного? :))) <br><br>:)))<br><br><br> Корпоративная сеть за NATом. Как пустить к себе определенные... (ShyLion) https://www.opennet.me/openforum/vsluhforumID6/20907.html#13 Wed, 21 Apr 2010 10:42:28 GMT &gt;нельзя. Вот хоть ты тресни, должно быть физическое разделение, а то, <br>&gt;что оно разделено логикой никому из чиновников 1917 года выпуска не <br><br>а то, что физически соеденена ваша локалка и сеть ЮТК это ничего страшного???? а что дыры и во всяких тандбергах бывают, да вообще во всем, где есть процессор и оперативная память с загружаемым кодом, тоже ничего страшного? :)))<br>