The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"cisco 2800 & asa 5510 проброс порта"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"cisco 2800 & asa 5510 проброс порта"  
Сообщение от metalolom email(ok) on 03-Фев-07, 20:25 
Здравствуйте!
Есть роутер 2800 который одним концом смотрит в мир, другим на asa 5510 за которой уже находится сетка юзверей.
Получается НАТ в НАТ, а именно:

от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на 192.168.0.3 (тоже 5510)
и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит на 213.169.*.*

Нужно пробросить порт 3389 на комп юзверя.
как пробрасывать порт на 2800 - я знаю, а вот как его пробросить в данном случае?
Вот конфиг 2800
hostname Router                                
!                                              
boot-start-marker                              
boot-end-marker                                
!                                              
security authentication failure rate 3 log    
security passwords min-length 6                
logging buffered 51200 informational          
logging console critical                      
enable secret 5 *****************
!                                              
aaa new-model                                  
!                                              
!                                              
aaa authentication login local_authen local    
aaa authorization exec local_author local      
!                                              
aaa session-id common                          
!                                              
resource policy
!                                                          
ip subnet-zero                                              
no ip source-route                                          
ip tcp synwait-time 10                                      
!                                                          
!                                                          
ip cef                                                      
!                                                          
!                                                          
no ip bootp server                                          
!                                                          
username *****  privilege 15 password 7 ************
!                                                          
!                                                          
!                                                          
interface Null0                                            
no ip unreachables                                        
!                                                          
interface FastEthernet0/0                                  
description $ETH-LAN$$FW_OUTSIDE$                          
ip address 213.169.**.** 255.255.255.252  
no ip redirects                            
no ip unreachables                          
no ip proxy-arp                            
ip nat outside                              
ip route-cache flow                        
duplex auto                                
speed auto                                  
no mop enabled                              
!                                            
interface FastEthernet0/1                    
description $FW_INSIDE$                    
ip address 192.168.0.1 255.255.255.0        
no ip redirects                            
no ip unreachables                          
no ip proxy-arp                            
ip nat inside                              
ip route-cache flow                        
duplex auto                                
speed auto                                  
no mop enabled                              
!                                            
ip classless  
ip route 0.0.0.0 0.0.0.0 213.169.**.**                                        
!                                                                              
ip http server                                                                  
ip http access-class 12                                                        
ip nat inside source list 1 interface FastEthernet0/0 overload                  
ip nat inside source static tcp 192.168.0.1 80 213.169.**.** 80 extendable    
ip nat outside source static tcp 213.169.**.** 3389 192.168.0.2 3389 extendable
!                                                                              
logging 213.169.**.**                                                          
access-list 1 remark SDM_ACL Category=2                                        
access-list 1 permit 10.2.0.0 0.0.255.255                                      
access-list 1 permit 192.0.0.0 0.255.255.255                                    
access-list 12 permit 10.2.0.11 log                                            
access-list 12 permit 213.169.**.** log                                        
access-list 12 permit 192.168.0.0 log                                          
access-list 12 permit 192.168.0.3 log                                          
access-list 12 permit 213.169.**.** log                                        
access-list 12 permit 213.169.*.** log                                        
access-list 12 permit 212.109.*.* log                                        
access-list 12 permit 192.0.0.0 log
access-list 12 deny   any                                              
access-list 100 permit ip 10.2.0.0 0.0.255.255 any                      
access-list 100 permit ip host 213.169.*.* host 10.2.0.1              
access-list 100 permit ip host 213.169.*.* host 213.169.*.* log    
access-list 100 permit ip host 213.169.*.* any                        
access-list 100 deny   ip any any                                      
access-list 103 permit tcp host 213.169.*.* eq 3389 any eq 3389      
access-list 103 permit tcp any eq 3389 host 213.169.*.* eq 3389 log  
no cdp run                                                              
!                                                                      
control-plane                                                          
!                                                                      
banner login ^CAuthorized access only!                                  
Disconnect IMMEDIATELY if you are not an authorized user!              
^C                                                                      
!                                                                      
line con 0                                                              
login authentication local_authen  
transport output telnet          
line aux 0                        
login authentication local_authen
transport output telnet          
line vty 0 4                      
access-class 12 in                
authorization exec local_author  
login authentication local_authen
transport input telnet            
transport output telnet          
!                                  
scheduler allocate 20000 1000      
!                                  
end                                                                    
              

Что и где надо писать в 5510?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от tashiki (??) on 03-Фев-07, 22:08 
>Здравствуйте!
>Есть роутер 2800 который одним концом смотрит в мир, другим на asa
>5510 за которой уже находится сетка юзверей.
>Получается НАТ в НАТ, а именно:
>
>от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на
>192.168.0.3 (тоже 5510)
>и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит
>на 213.169.*.*
>
>
>
>Нужно пробросить порт 3389 на комп юзверя.
>как пробрасывать порт на 2800 - я знаю, а вот как его
>пробросить в данном случае?

>Что и где надо писать в 5510?

Как я понимаю ситуация следующая (примерные ип):
10.2.0.2 <-----> 10.2.0.1{5510}192.168.0.3 <------> 192.168.0.1 {2800} 213.169.x.x <--

Вам надо пробросить 213.169.x.x:3389 на 10.2.0.2:3389.
Для этого на 28-ой (оставляем интерфейсы как и было):

interface FastEthernet0/0                                  
ip address 213.169.x.x 255.255.255.252  
ip nat outside

interface FastEthernet0/1                    
ip address 192.168.0.1 255.255.255.0        
ip nat inside                            

ip nat inside source static tcp 213.169.x.x 3389 10.2.0.2:3389 extendable

Вроде бы все. На 5510 ничего не нужно. Единственное что, ип=10.2.0.2:3389 вам нужно будет исключить из ACL'ов ната. И статик роут на 2800:

ip route 10.2.0.2 255.255.255.255 FastEthernet0/1

Таким образом пакеты с мира с dst=213.169.x.x:3389 будут натиться (точнее PAT'иться) на dst=10.2.0.2:3389, но наоборот)))) (так как outside int у тебя внешний, а инсайд - внутренний - будет source translation). Дальше с 2800 по статик роуту пакеты будут уходить по назначению.

P.S.: это предыдущий топик - http://www.opennet.dev/openforum/vsluhforumID6/12649.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от metalolom email(ok) on 04-Фев-07, 13:45 
>Единственное что, ип=10.2.0.2:3389 вам
>нужно будет исключить из ACL'ов ната.

Если не сложно,напишите как это лучше реализовать на 5510?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от tashiki (??) on 04-Фев-07, 15:51 
>>Единственное что, ип=10.2.0.2:3389 вам
>>нужно будет исключить из ACL'ов ната.
>
>Если не сложно,напишите как это лучше реализовать на 5510?

Немного ошибся - исключить надо 213.169.x.x:3389. На самом деле при такой схеме на 5510 вообще ничего делать не нужно. У вас настроен PAT на один ип, и есть вероятность, что в overload может попасть порт 213.169.x.x:3389. Например:

Пакет с scr=192.168.3.4:345 может попасть в PAT src=213.169.x.x:3389, что не приемлемо, поскольку вариант src=10.2.0.2:3389->213.169.x.x:3389 должен быть забронирован. Тоесть порт 3389 на 213.169.x.x всегда должен оставаться свободным для вашего static PAT'а. В схеме overload так сделать неудасться (тоесть исключить 213.169.x.x:3389), хотя работать все будет нормально. Проверьте на практике, быть может для static PAT'a IOS этот порт использовать при overload'е не будет ...это интересно.

На PIX'ах такое сделать вполне реально.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от tashiki (ok) on 04-Фев-07, 16:29 
Вот рабочий пример:
http://cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml

ip nat inside source static tcp 10.2.0.2 3389 213.169.x.x 3389 extendable

+ static route
...будет работать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от metalolom email(ok) on 16-Фев-07, 18:37 
>Вот рабочий пример:
>http://cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml
>
>ip nat inside source static tcp 10.2.0.2 3389 213.169.x.x 3389 extendable
>
>+ static route
>...будет работать


не работает

Такое ощущение что 5510 просто блокирует этот трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от tashiki (??) on 16-Фев-07, 21:59 
Покажите полностью (или по-сути) конфиг 5510 plz.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "cisco 2800 & asa 5510 проброс порта"  
Сообщение от metalolom (ok) on 22-Фев-07, 13:54 
>Покажите полностью (или по-сути) конфиг 5510 plz.


Извините за задержу - болел, вот полный конфиг 5510

hostname ciscoasa
enable password *********** encrypted
names
dns-guard
!
interface Ethernet0/0
nameif to_router
security-level 0
ip address 192.168.0.2 255.255.255.0
!
interface Ethernet0/1
nameif to_users
security-level 0
ip address 10.2.0.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd *********** encrypted
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list management_nat0_outbound extended permit ip any 192.168.0.0 255.255.255.240
access-list out2in extended permit ip any any
access-list to_users_access_out extended permit ip any any
access-list to_router_access_out extended permit ip any any
access-list to_router_pnat_outbound remark remoute desctop
access-list to_router_pnat_outbound extended permit tcp interface to_router eq 3389 host 10.2.0.11 eq 3389
pager lines 24
logging enable
logging timestamp
logging asdm informational
mtu management 1500
mtu to_router 1500
mtu to_users 1500
ip local pool vpn_radmin 192.168.0.5-192.168.0.10 mask 255.255.255.0
ip verify reverse-path interface management
ip verify reverse-path interface to_router
ip verify reverse-path interface to_users
asdm image disk0:/asdm506.bin
no asdm history enable
arp timeout 14400
nat-control
global (to_router) 1 192.168.0.3
nat (management) 0 access-list management_nat0_outbound
nat (to_users) 1 10.2.0.0 255.255.0.0
static (to_router,to_users) tcp 10.2.0.11 3389 access-list to_router_pnat_outbound
access-group out2in in interface to_router
access-group to_router_access_out out interface to_router
access-group to_users_access_out out interface to_users
route to_router 0.0.0.0 0.0.0.0 192.168.0.1 2
route to_users 10.2.0.0 255.255.0.0 192.168.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy Radmin internal
group-policy Radmin attributes
dns-server value 213.169.***.***
username ********* password *********** encrypted privilege 15
filter java except 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.0.0 255.255.255.0 to_router
http 10.2.0.2 255.255.255.255 to_router
http 10.2.0.1 255.255.255.255 to_router
http 213.169.***.*** 255.255.255.255 to_router
http 10.2.0.0 255.255.0.0 to_users
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map to_router_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map to_router_map 65535 ipsec-isakmp dynamic to_router_dyn_map
crypto map to_router_map interface to_router
isakmp enable to_router
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
tunnel-group Radmin type ipsec-ra
tunnel-group Radmin general-attributes
address-pool vpn_radmin
default-group-policy Radmin
tunnel-group Radmin ipsec-attributes
pre-shared-key *
telnet 192.168.1.0 255.255.255.0 management
telnet 192.168.0.0 255.255.255.0 to_router
telnet 213.169.***.*** 255.255.255.255 to_router
telnet 10.2.0.0 255.255.0.0 to_users
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
smtp-server 213.169.***.*** 213.169.***.***

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру