×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Проблема доступа к локальному веб-серверу по глобальному адресу из локальной сети.

Неотвеченый вопрос
окт 14th, 2013
User Badges:

Заранее прошу меня извинить, если как-то неккоректно назвал тему, но ничего более мудрого в голову не пришло. Итого есть роутер Cisco 1941, один интерфейс смотрил в мир на провайдера, второй в локалку. На самом роутере настроены DHCP, NAT/PAT, и статиком проброшены некоторые порты. Суть проблемы в том, что есть определенная честь пользователей, которые пользуются некоторыми сервисами, предоставляемыми серверами из локалки, как находясь за пределами локльной сети, так и в ее пределах. Для простоты будем рассматривать только протокол www. Т.е. внутри локалки есть веб-сервер, 80-ый порт проброшен из мира на него доступ есть, все гуд. Но вот достучаться до него из локалки используя при этом внейшний IP 46.x.y.237 не получается. А у народа в хостах прописано нечто вроде:

www.local.com   46.x.y.237 и переписывать это на 192.168.0.10 (адрес веб в локальной сети) каждый раз при попадании в лольную сеть неохота. Отсюда вопрос, как сделать так, чтобы весь трафик с destination 46.x.y.237:80 приходящий из локальной сети на роутер отправлялся на 192.168.0.10?


Вырезка из конфига

!

interface GigabitEthernet0/0

description To Internet

ip address 46.x.y.237 255.255.252.0

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

!

interface GigabitEthernet0/1

description to LAN

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

duplex auto

speed auto

!

no ip forward-protocol nd

!

ip nat inside source list 100 interface GigabitEthernet0/0 overload

ip nat inside source static tcp 192.168.0.10 80 46.x.y.237 80 extendable


ip route 0.0.0.0 0.0.0.0 46.x.y.1

!

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

I have this problem too.
0 голоса
Loading.
Igor Tiunov пт, 10/18/2013 - 03:37
User Badges:

Решал этот вопрос именно с помощью DNS. Тут нужно понимать, что для корректной работы всех сервисов нужно на локальном DNS-сервере поднимать всю зону local.com, иначе при добавлении только записи в текущую зону вы получаете имя веб-сервера www.local.com.domain.local, что может в некторых случаях сыграть злую шутку.

Зона на лоакльном DNS развяжет вам руки при тестировании каких-то служб до выставления их во вне.


Мне, в свою очередь, хотелось бы понять, что происходит с пакетами, которые идут изнутри сети на inside global адрес, что с ними делает маршрутизатор?

Sergey Goffert пт, 10/18/2013 - 03:59
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Ноябрь 2014

Если я правильно понимаю логика такая:


1) Когда пакет приходит из инета на WAN-интерфейс, там он встречается с правилом NAT, изменяется DST_IP и после этого уже маршрутизируется на локальный ИП-шник в соответствии с новым DCT_IP.


2) А когда пакет на WAN_IP приходит из локалки он сначала маршрутизируется. А куда он маршрутизируется ? Т.к. этот IP явлется LOCAL в таблице маршрутизации, т.е. адресом самомго роутера, то роутер всопринимает этот пакет как отправленный ему самому и далее пакет обрабатывается процом самого роутера. До NAT на WAN-интерфейсе дело вообще не доходит. Ну а роутеру тоже ответить особо нечего.


3) Кстати можно попробовать поизвращаться с ip-policy на WAN-интерфейсе - для пакетов пришедших из локалки на WAN_IP адрес применть PBR....ну это так. Мысли вслух


Igor Tiunov пт, 10/18/2013 - 04:51
User Badges:

Не в первый раз спасибо, Сергей.

Наверно, чтобы избавится от извращений и был введен NVI. Хотя классический вариант с inside/outside кажется более внятным, чтоли.

Sergey Goffert вт, 10/15/2013 - 19:19
User Badges:
  • Silver, 250 points or more
  • Почетные Знаки Сообщества,

    Выбор участников, Ноябрь 2014

Добрый день!


1) Самым простым решением вашей проблемы будет решение на DNS - пропишите на локальном DNS в вашей локальной сети, что www.local.com = 192.168.0.10. Обращаясь по имени ил локалки они будут ходить куда надо.


2) Вообще то, как будет вести себя маршрутизатор с настроенным NAT при обращении на его внешний интерфейс из локалки зависит от того какой тип NAT используется. Говорят, что таких проблем нет, если использовать технологию NVI:

  • на всех интерфейсах вместо ip nat inside\outside прописываете  ip nat enable
  • а в строчках описывающих трансляции просто убираете слова inside\outside.


Но скажу честно, сам я этого ещё не проверял.

Действия

Информация о дискуссии

Related Content