Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Не получается сделать проброс порта Cisco IOS в другую подсеть

Здравствуйте. Как делать обычный проброс порта во внутреннюю сеть, я в курсе. Но у меня вот какая ситуация:

Есть маршрутизатор cisco 871 с внешним белым ip: xxx.xxx.xxx.xxx, он работает как обычный офисный роутер, раздает адреса 192.168.0.0/24

Он связан VPNом с cisco 2811 в другом офисе, который имеет также белый ip и раздает подсеть 192.168.2.0/24

Сети друг друга видят, все ок. Мне нужен проброс с xxx.xxx.xxx.xxx:3389 на адрес из подсети на другом конце 192.168.2.100

Строка ip nat inside source static tcp 192.168.2.100 3389 interface FastEthernet4 3389 не работает. Порт на фаерволе открыт разумеется.

Такое вообще может работать?

12 ОТВЕТ.
New Member

Добрый день

Добрый день

По описанию похоже нужно использовать функционал, называемый outside NAT, но хотелось бы более детальное описание ситуации (схему) с конкретным примером, что хочется получить.

С уважением

Нестеркин Алексей.

New Member

Ну так вроде я подробно

Ну так вроде я подробно описал :)

Схема, нарисовання мной моим ребенком в аттаче.

Речь идет о пробросе РДП, мне надо, чтобы при вводе xxx.xxx.xxx.xxx:3389 я попадал на 192.168.2.100:3389

Bronze

Добрый день.

Добрый день.

Если на обоих маршрутизаторах IP один и тот же, то делаете одинаковый NAT на обоих железках. Те запросы, которые придут на первую (т.е. туда, где 192.168.0.0/24), должны будут уйти через VPN.

С уважением, Александр.

New Member

Вот еще раз схема, айпишники

Вот еще раз схема, айпишники разные.

Bronze

Добрый день.

Добрый день.

Противоречие :)

cisco 2811 в другом офисе, который имеет также белый ip

В данном случае вообще без проблем.

Cisco1: ip nat inside source static tcp XXX.XXX.XXX.XXX 3389 192.168.0.100 3389 extendable

Cisco2: ip nat inside source static tcp YYY.YYY.YYY.YYY 3389 192.168.2.100 3389 extendable

Ну а если необходимо с первого, через VPN на 2.100, то на Cisco 1: ip nat inside source static tcp XXX.XXX.XXX.XXX 3389 192.168.2.100 3389 extendable. Вот только не забудьте в этом случае трафик со 192.168.2.100 выпускать через маршутизатор Cisco 1.

New Member

Спасибо, но ip nat inside

Спасибо, но ip nat inside source static tcp XXX.XXX.XXX.XXX 3389 192.168.2.100 3389 extendable не помогло. А в каком смысле "выпускать через Cisco1" ?

Bronze

Добрый день. Смысл в том, что

Добрый день. Смысл в том, что если у Вас есть stateful firewall на маршрутизаторе cisco2, то он не выпустит трафик из внутренней сети наружу,т.к. для него не создавалась входящая сессия.

Дайте вывод команд с обоих маршрутизаторов:

sh run | section nat

sh run interface [название интерфейса на внешнюю и внутреннюю сторону]

New Member

Yes, sir!

Yes, sir!

Cisco1 sh run | section nat:

 ip nat outside
 ip nat inside
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source static tcp 192.168.102.100 3389 xxx.xxx.xxx.xxx 3389 extendable

Cisco1 WAN interface:

interface FastEthernet4
 description -== WAN ==-
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 ip access-group 105 in
 ip nat outside
 ip inspect CCP_LOW out
 ip virtual-reassembly in
 ip verify unicast reverse-path
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
end

Cisco1 LAN interface:

interface Vlan1
 description === LAN ===
 ip address 192.168.0.1 255.255.255.0
 ip access-group 104 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1352
end

Cisco2 sh run | section nat:

ip nat outside
 ip nat inside
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload

Cisco2 WAN interface:

interface FastEthernet0/0
 description == WAN ==
 ip address yyy.yyy.yyy.yyy 255.255.255.224
 ip access-group 103 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect CCP_LOW out
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
 crypto map SDM_CMAP_1
end

Cisco2 LAN interface:

interface FastEthernet0/1
 description == LAN ==
 ip address 192.168.2.1 255.255.255.0
 ip access-group 105 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1400
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
end

Bronze

Добрый день.

Добрый день.

Наверно я всё же поторопился с командами, т.к. наверняка проблема в том, что трафик с 192.168.2.100 выходит через Cisco2. Поясню проблему в данной ситуации:

Вам приходит подключение на ххх.ххх.ххх.ххх. Его обрабатывает NAT и отправляет на 192.168.2.100. Ответный пакет от 192.168.2.100 уходит на Cisco2. Но т.к. там ранее данной NAT сессии не существовало, то он подменяет src адрес на yyy.yyy.yyy.yyy.

Теперь ситуация на стороне RDP клиента: он отправил пакет на xxx.xxx.xxx.xxx, а ему ответ приходит от yyy.yyy.yyy.yyy. Естественно, что такое подключение работать не будет.

Предлагаю к изучению технологию policy map, если адрес клиента не статичный.

PS. Судя по выводу команд - у Вас statefull firewall (конкретно - CBAC). Но в данном случае это ни на что не влияет. Основная проблема описана выше.

PSS Теоретически, можно сделать подмену на Cisco2 на адрес ххх.ххх.ххх.ххх по средствам NAT (не обязательно вешать данный IP адрес на интерфейс). Но пропустит ли провайдер такие пакеты - тот ещё вопрос, т.к. у него так же может быть файрвол на спуфинг IP адресов.

New Member

Спасибо, суть проблемы мне

Спасибо, суть проблемы мне ясна теперь. Можете дать какую нибудь ссылку, откуда начать Policy map ковырять, чтобы было по моей проблеме? :)

Bronze

Если смотреть документацию

Если смотреть документацию Cisco, то вот: http://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/configuration/guide/fqos_c/qcfclass.html#wpxref35843

Если с английским напряги или хочется чуть более понятным языком: https://habrahabr.ru/post/101796/

А так, можете попробовать дать команду ip nat inside source static tcp xxx.xxx.xxx.xxx 3389 192.168.2.100 3389 exten на cisco2. Вдруг повезёт и провайдер не блокирует спуфинговые пакеты...

Т.е. при таком раскладе пакеты будут уходить от маршрутизатора cisco2, но src поле в пакете будут иметь ххх.ххх.ххх.ххх (даже учитывая, что IP маршрутизатора yyy.yyy.yyy.yyy).

New Member

Вероятно с начало надо

Вероятно с начало надо исключить данный трафик из crypto map. Иначе он уходит в тоннель.

351
Просмотры
9
Полезный материал
12
Ответы
СоздатьДля создания публикации, пожалуйста в систему