forum.opennet.ru - "Доступ по внешнему адресу из локальной сети (hairpin nat)" (3)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Доступ по внешнему адресу из локальной сети (hairpin nat)"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ по внешнему адресу из локальной сети (hairpin nat)"	+/–
Сообщение от KomaLex (ok) on 22-Авг-16, 10:50
В общем задача довольно распространенная, тем не менее не нашел необходимой информации. За натом стоит сервер, проброшены порты. Извне обращение идет по внешнему адресу, все работает. Есть необходимость настроить так, что бы с локальной сети по внешнему адресу тоже все работало. Скажу сразу, решение вопроса через внешний и внутренний DNS сервера не устраивает через vpn тоже. Раньше стоял микротик, там все это настраивается через mangle. Поставили cisco 891 IOS 15.3, прошивка c890-universalk9-mz.153-3.M6 Вроде пишут везде что такое настроить можно, но как конкретно не нашел. Называется это двусторонний нат или PAT или NAT NVI. Смотрел и на наших форумах и на заграничных пытался смотреть, так и не получилось настроить. Хотя пишут, что ничего особо там настраивать не надо. Подскажите кто сталкивался, что делаю не так? Немного описание топологии: 192.168.11.1 - внутренний интерфейс Vlan 1 1.1.1.1 - внешний интерфейс PPPOE Dialin 1 192.168.11.6 - адрес сервера, порт 80 Вот настройки относящиеся к задействованным интерфейсам и нату. interface Vlan1 ip address 192.168.11.1 255.255.255.0 ip nat enable ip virtual-reassembly in ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat enable ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap chap callin ppp chap hostname 381035811 ppp chap password 7 050E050B2443480C13 ppp pap sent-username 381035811 password 7 050E050B2443480C13 no cdp enable ! ip nat source list 122 interface Dialer1 overload ip nat source static tcp 192.168.11.6 80 188.168.30.214 80 extendable ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.0.0 255.255.255.0 10.11.11.3 ip route 192.168.21.0 255.255.255.0 10.11.11.2 ! dialer-list 1 protocol ip permit ! access-list 122 permit ip 192.168.11.0 0.0.0.255 any !
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ по внешнему адресу из локальной сети (hairpin nat), KomaLex, 11:29 , 22-Авг-16, (1)

Доступ по внешнему адресу из локальной сети (hairpin nat), _alecx_, 17:46 , 22-Авг-16, (2)

Доступ по внешнему адресу из локальной сети (hairpin nat), KomaLex, 04:17 , 23-Авг-16, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ по внешнему адресу из локальной сети (hairpin nat)" +/–

Сообщение от KomaLex (ok) on 22-Авг-16, 11:29

>[оверквотинг удален]
> ip nat source static tcp 192.168.11.6 80 188.168.30.214 80 extendable
> ip route 0.0.0.0 0.0.0.0 Dialer1
> ip route 192.168.0.0 255.255.255.0 10.11.11.3
> ip route 192.168.21.0 255.255.255.0 10.11.11.2
> !
> dialer-list 1 protocol ip permit
> !
> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
> !
>
Есть настройки по asa, но там синтаксис другой. А вот по роутерам тоже вроде есть:
http://blog.sarlok.com/node/257
Но у меня так не работает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступ по внешнему адресу из локальной сети (hairpin nat)" +/–

Сообщение от _alecx_ (ok) on 22-Авг-16, 17:46

>[оверквотинг удален]
>> !
>> dialer-list 1 protocol ip permit
>> !
>> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
>> !
>>
> Есть настройки по asa, но там синтаксис другой. А вот по роутерам
> тоже вроде есть:
> http://blog.sarlok.com/node/257
> Но у меня так не работает.
У меня в GNS так работает.
Давайте полный конфиг cisco

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступ по внешнему адресу из локальной сети (hairpin nat)" +/–

Сообщение от KomaLex (ok) on 23-Авг-16, 04:17

>[оверквотинг удален]
>>> !
>>> access-list 122 permit ip 192.168.11.0 0.0.0.255 any
>>> !
>>>
>> Есть настройки по asa, но там синтаксис другой. А вот по роутерам
>> тоже вроде есть:
>> http://blog.sarlok.com/node/257
>> Но у меня так не работает.
> У меня в GNS так работает.
> Давайте полный конфиг cisco

Current configuration : 3373 bytes
!
! Last configuration change at 08:09:35 UTC Mon Aug 22 2016 by komal
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco-gw
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$vF3J$OqzIYTEgsgiV2VEdgUF7Y/
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa attribute list rbvpn
attribute type addr 10.11.11.3 service ppp protocol ip mandatory
!
aaa attribute list bayar
attribute type addr 10.11.11.2 service ppp protocol ip mandatory
!
!
!
!
!
aaa session-id common
!
!
!
!
!
!

!
!
!
!
ip domain name ikc.local
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
!
!
!
!
!
!
!
license udi pid CISCO891-K9 sn FCZ173491AJ
!
!
username komal privilege 15 secret 5 $1$Bxva$ZmVXAZ2px2TST8.ySK/Jp.
username bayar privilege 0 password 7 000016100B4B0E08082D
username bayar aaa attribute list bayar
username rbvpn privilege 0 password 7 03005E1D091F24424905
username rbvpn aaa attribute list rbvpn
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
!
interface FastEthernet5
no ip address
!
interface FastEthernet6
no ip address
!
interface FastEthernet7
no ip address
interface FastEthernet8
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip address 10.11.11.1 255.255.255.0
peer default ip address pool vpnpool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap ms-chap-v2
!
interface GigabitEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.11.1 255.255.255.0
no ip redirects
ip nat enable
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
ip address negotiated
ip mtu 1452
ip nat enable
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname 381035811
ppp chap password 7 050E050B2443480C13
ppp pap sent-username 381035811 password 7 050E050B2443480C13
no cdp enable
!
ip local pool vpnpool 10.11.11.32 10.11.11.127
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat source list 122 interface Dialer1 overload
ip nat source static tcp 192.168.11.6 80 interface Dialer1 80
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.0.0 255.255.255.0 10.11.11.3
ip route 192.168.21.0 255.255.255.0 10.11.11.2
!
dialer-list 1 protocol ip permit
!
!
access-list 23 permit 192.168.11.0 0.0.0.255
access-list 122 permit ip 192.168.11.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
privilege exec level 1 enable
!
line con 0
line 1
modem InOut
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 0 0
privilege level 15
logging synchronous
transport input ssh
!
!
end

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ по внешнему адресу из локальной сети (hairpin nat)"	+/–
Сообщение от KomaLex (ok) on 22-Авг-16, 11:29
>[оверквотинг удален] > ip nat source static tcp 192.168.11.6 80 188.168.30.214 80 extendable > ip route 0.0.0.0 0.0.0.0 Dialer1 > ip route 192.168.0.0 255.255.255.0 10.11.11.3 > ip route 192.168.21.0 255.255.255.0 10.11.11.2 > ! > dialer-list 1 protocol ip permit > ! > access-list 122 permit ip 192.168.11.0 0.0.0.255 any > ! > Есть настройки по asa, но там синтаксис другой. А вот по роутерам тоже вроде есть: http://blog.sarlok.com/node/257 Но у меня так не работает.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Доступ по внешнему адресу из локальной сети (hairpin nat)"	+/–
	Сообщение от _alecx_ (ok) on 22-Авг-16, 17:46
	>[оверквотинг удален] >> ! >> dialer-list 1 protocol ip permit >> ! >> access-list 122 permit ip 192.168.11.0 0.0.0.255 any >> ! >> > Есть настройки по asa, но там синтаксис другой. А вот по роутерам > тоже вроде есть: > http://blog.sarlok.com/node/257 > Но у меня так не работает. У меня в GNS так работает. Давайте полный конфиг cisco
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Доступ по внешнему адресу из локальной сети (hairpin nat)"	+/–
	Сообщение от KomaLex (ok) on 23-Авг-16, 04:17
	>[оверквотинг удален] >>> ! >>> access-list 122 permit ip 192.168.11.0 0.0.0.255 any >>> ! >>> >> Есть настройки по asa, но там синтаксис другой. А вот по роутерам >> тоже вроде есть: >> http://blog.sarlok.com/node/257 >> Но у меня так не работает. > У меня в GNS так работает. > Давайте полный конфиг cisco Current configuration : 3373 bytes ! ! Last configuration change at 08:09:35 UTC Mon Aug 22 2016 by komal version 15.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname cisco-gw ! boot-start-marker boot-end-marker ! aqm-register-fnf ! enable secret 5 $1$vF3J$OqzIYTEgsgiV2VEdgUF7Y/ ! aaa new-model ! ! aaa authentication ppp default local aaa authorization network default local ! aaa attribute list rbvpn attribute type addr 10.11.11.3 service ppp protocol ip mandatory ! aaa attribute list bayar attribute type addr 10.11.11.2 service ppp protocol ip mandatory ! ! ! ! ! aaa session-id common ! ! ! ! ! ! ! ! ! ! ip domain name ikc.local ip cef no ipv6 cef ! ! ! ! ! multilink bundle-name authenticated vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 ! ! ! ! ! ! ! license udi pid CISCO891-K9 sn FCZ173491AJ ! ! username komal privilege 15 secret 5 $1$Bxva$ZmVXAZ2px2TST8.ySK/Jp. username bayar privilege 0 password 7 000016100B4B0E08082D username bayar aaa attribute list bayar username rbvpn privilege 0 password 7 03005E1D091F24424905 username rbvpn aaa attribute list rbvpn ! redundancy ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address ! interface FastEthernet5 no ip address ! interface FastEthernet6 no ip address ! interface FastEthernet7 no ip address interface FastEthernet8 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Virtual-Template1 ip address 10.11.11.1 255.255.255.0 peer default ip address pool vpnpool no keepalive ppp encrypt mppe auto ppp authentication pap chap ms-chap ms-chap-v2 ! interface GigabitEthernet0 no ip address shutdown duplex auto speed auto ! interface Vlan1 ip address 192.168.11.1 255.255.255.0 no ip redirects ip nat enable ! interface Async1 no ip address encapsulation slip ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat enable ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap chap callin ppp chap hostname 381035811 ppp chap password 7 050E050B2443480C13 ppp pap sent-username 381035811 password 7 050E050B2443480C13 no cdp enable ! ip local pool vpnpool 10.11.11.32 10.11.11.127 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat source list 122 interface Dialer1 overload ip nat source static tcp 192.168.11.6 80 interface Dialer1 80 ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.0.0 255.255.255.0 10.11.11.3 ip route 192.168.21.0 255.255.255.0 10.11.11.2 ! dialer-list 1 protocol ip permit ! ! access-list 23 permit 192.168.11.0 0.0.0.255 access-list 122 permit ip 192.168.11.0 0.0.0.255 any ! ! ! control-plane ! ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! ! ! ! ! privilege exec level 1 enable ! line con 0 line 1 modem InOut speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 23 in exec-timeout 0 0 privilege level 15 logging synchronous transport input ssh ! ! end
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору