Добрый день!

Есть простая задача. Стоит роутер Cisco, одним интерфейсом (внешним) смотрит на провайдера, другим вовнутрь.

10.10.10.10 - внешний IP
172.16.0.1 - внутреннний IP

За ним сидит DNS-server.

его IP - 172.16.0.2

Необходимо сделать так, чтобы роутер принимал udp DNS-запросы на свой внешний интерфейс, передавал их DNS-серверу, а DNS-сервер мог нормально ответить на них. Ответ должен уходить обратно клиенту с адресом источника-роутера (10.10.10.10).

Была попытка настроить проброс udp-трафика:

ip nat inside source static udp 53 172.16.0.2 10.10.10.10 53

При этом роутер действительно принимает запрос и кидает его, как и положено, на DNS-сервер. А DNS-cервер, как положено, отвечает.

Но.... Роутер не подменяет оригинальный адрес источника DNS-сервера (172.16.0.2) на свой (10.10.10.10). И все пакеты сыпятся во внешний мир с адресом 172.16.0.2.

Получается, что NAT работает только в одну сторону. :(

Что посоветуете?
Заранее благодарен!

• Проброс вовнутрь запросов DNS,angelweb, 12:06 , 24-Окт-06
  • Проброс вовнутрь запросов DNS,o, 12:23 , 24-Окт-06
    • Проброс вовнутрь запросов DNS,angelweb, 12:42 , 24-Окт-06
      • Проброс вовнутрь запросов DNS,o, 17:04 , 24-Окт-06
        • Проброс вовнутрь запросов DNS,angelweb, 17:31 , 24-Окт-06
          • Проброс вовнутрь запросов DNS,o, 10:49 , 25-Окт-06
            • Проброс вовнутрь запросов DNS,angelweb, 11:58 , 25-Окт-06
              • Проброс вовнутрь запросов DNS,Изгой, 13:26 , 25-Окт-06
                • Проброс вовнутрь запросов DNS,Изгой, 13:34 , 25-Окт-06
                  • Проброс вовнутрь запросов DNS,Doc, 16:08 , 24-Сен-18
                    • Проброс вовнутрь запросов DNS,Doc, 08:01 , 29-Сен-18

>Добрый день!
>
>Есть простая задача. Стоит роутер Cisco, одним интерфейсом (внешним) смотрит на провайдера,
>другим вовнутрь.

Помимо udp порта надо прокидывать и 53 tcp

По поводу "проброса" почитай тут http://faq-cisco.ru/page.php?id=10

>Помимо udp порта надо прокидывать и 53 tcp
>
>По поводу "проброса" почитай тут http://faq-cisco.ru/page.php?id=10

Есть проброс 53 порта и TCP и UDP. Но не работает, как хочется.

Вопрос, есть ли спецнастройки для DNS?

>
>>Помимо udp порта надо прокидывать и 53 tcp
>>
>>По поводу "проброса" почитай тут http://faq-cisco.ru/page.php?id=10
>
>Есть проброс 53 порта и TCP и UDP. Но не работает, как
>хочется.
>
>Вопрос, есть ли спецнастройки для DNS?

Тут почитай http://www.cisco.com/warp/public/556/3.html

>Тут почитай http://www.cisco.com/warp/public/556/3.html

Спасибо, но эта тема описывает проблему, которая возникает при совпадении IP адресов систем... Overlapping Networks

>
>>Тут почитай http://www.cisco.com/warp/public/556/3.html
>
>Спасибо, но эта тема описывает проблему, которая возникает при совпадении IP адресов
>систем... Overlapping Networks

ip nat inside source static tcp 10.0.1.3 53 x.y.z.t 53
ip nat inside source static udp 10.0.1.3 53 x.y.z.t 53

Где x.y.z.t внешний адрес.

>
>ip nat inside source static tcp 10.0.1.3 53 x.y.z.t 53
>ip nat inside source static udp 10.0.1.3 53 x.y.z.t 53
>
>Где x.y.z.t внешний адрес.

Это все есть. Проброс настраивается стандартно.

Но. Он работает в одну сторону :(

Проблема лишь в том, что нет обратной трансляции.

Сервер получает запрос, отвечает, но роутер не транслирует адрес сервера в свой.

>
>>
>>ip nat inside source static tcp 10.0.1.3 53 x.y.z.t 53
>>ip nat inside source static udp 10.0.1.3 53 x.y.z.t 53
>>
>>Где x.y.z.t внешний адрес.
>
>Это все есть. Проброс настраивается стандартно.
>
>Но. Он работает в одну сторону :(
>
>Проблема лишь в том, что нет обратной трансляции.
>
>Сервер получает запрос, отвечает, но роутер не транслирует адрес сервера в свой.
>

А если так ?

ip nat inside source static tcp 10.0.1.3 53 x.y.z.t 53 extendable
ip nat inside source static udp 10.0.1.3 53 x.y.z.t 53 extendable

ip nat inside source static tcp 172.16.x.x 53 interface FastEthernet0/0 53

может и так ?

>
>ip nat inside source static tcp 172.16.x.x 53 interface FastEthernet0/0 53
>
>может и так ?

Current Configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- This is the inside local IP address and it is a private IP address.

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
!
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- This is the inside global IP address.
!--- This is your public IP address and it is provided to you by your ISP.

!
ip nat inside source list 1 interface BVI1 overload

!--- This statement makes the router perform PAT for all the
!--- End Stations behind the Ethernet interface that  uses
!--- private IP addresses defined in access list #1.

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable

!--- This statement performs the static address translation for the Web server.
!--- With this statement, users  that try to reach 171.68.1.1 port 80 (www)  are
!--- automatically redirected to 192.168.0.5 port 80 (www). In this case
!--- it is the Web server.

ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- IP address 171.68.1.254 is the next hop IP address, also
!--- called the default gateway.
!--- Your ISP can tell you what IP address to configure as the next hop address.

!
access-list 1 permit 192.168.0.0 0.0.0.255

!--- This access list defines the private network
!--- that  is network address translated.

bridge 1 protocol ieee
bridge 1 route ip
!
end
вот ещё.

>[оверквотинг удален]
> the next hop address.
> !
> access-list 1 permit 192.168.0.0 0.0.0.255
> !--- This access list defines the private network
> !--- that  is network address translated.
> bridge 1 protocol ieee
> bridge 1 route ip
> !
> end
> вот ещё.

столкнулся с такой же проблемой
нат трансляция есть , адреса не резолвится :(
бьюсь уже целый день. Причем такое ощущение что нат трансляция работает , в списке трансляций появляются соединения, но nslookup все рано выдает таймаут

udp 10.163.143.2:53       192.168.212.253:53    10.163.140.13:51479   10.163.140.13:51479
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.13:51682   10.163.140.13:51682
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.13:51854   10.163.140.13:51854
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.29:61641   10.163.140.29:61641
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.29:61642   10.163.140.29:61642
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.29:61643   10.163.140.29:61643
udp 10.163.143.2:53       192.168.212.253:53    10.163.140.29:61644   10.163.140.29:61644
udp 10.163.143.2:53       192.168.212.253:53    10.163.144.13:49524   10.163.144.13:49524
udp 10.163.143.2:53       192.168.212.253:53    10.163.144.13:50827   10.163.144.13:50827

>[оверквотинг удален]
> udp 10.163.143.2:53       192.168.212.253:53    
> 10.163.140.29:61642   10.163.140.29:61642
> udp 10.163.143.2:53       192.168.212.253:53    
> 10.163.140.29:61643   10.163.140.29:61643
> udp 10.163.143.2:53       192.168.212.253:53    
> 10.163.140.29:61644   10.163.140.29:61644
> udp 10.163.143.2:53       192.168.212.253:53    
> 10.163.144.13:49524   10.163.144.13:49524
> udp 10.163.143.2:53       192.168.212.253:53    
> 10.163.144.13:50827   10.163.144.13:50827

решилось исправлением проброса
в места extendable в случаи с dns надо стаить  no-payload