отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Cisco 891/K9 Проброс портов + 2 ISP

Сложилась следующая ситуация:

Соединение с провайдерами я худо-бедно настроил, интернет работает, при падении одного из каналов успешно переключается на другой.

Теперь необходимо пробросить порты на RDP из вне.

Попробовал вот это:

ip nat inside source static tcp 192.168.0.20 3389 xxx.xxx.xxx.xxx 30000 extendable

ip nat inside source static tcp 192.168.0.20 3389 yyy.yyy.yyy.yyy 30000 extendable

Но не работает. Порт не открывается, соединиться с RDP сервером не удается.

Была попытка сделать проброс для telnet на сам роутер, порт открывается, но соединение установить всё равно не удается.

Ниже приведена текущая конфигурация моего роутера.

Подскажите, может что в конфигурации не так и чего не хватает?

Current configuration : 4508 bytes

!

! Last configuration change at 15:17:43 Moscow Mon Dec 9 2013 by user

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

no service dhcp

!

hostname ROUTER

!

boot-start-marker

boot-end-marker

!

!

enable secret 4 XNOSvqa8GUCO4nkkzLJe4fzD82U6AYXfQP76

!

no aaa new-model

!

!

!

!

!

!

ip domain name MYDOMAIN

ip name-server DNS1 ISP1

ip name-server DNS2 ISP1

ip name-server DNS1 ISP2

ip name-server DNS2 ISP2

ip cef

no ipv6 cef

!

!

!

!

!

multilink bundle-name authenticated

!

!

!

!

!

!

!

!

!

username user privilege 15 password 0 mypassword

!

redundancy

!

!

!

track 1 ip sla 1 reachability

!

track 2 ip sla 2 reachability

!

!

!

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

no ip address

!

interface FastEthernet5

no ip address

!

interface FastEthernet6

no ip address

!

interface FastEthernet7

no ip address

!

interface FastEthernet8

description $ETH-WAN$

ip address xxx.xxx.xxx.xxx 255.255.255.252

ip nat outside

ip virtual-reassembly in max-reassemblies 256

duplex auto

speed auto

!

interface GigabitEthernet0

description $ETH-WAN$

ip address yyy.yyy.yyy.yyy 255.255.255.224

ip nat outside

ip virtual-reassembly in max-reassemblies 256

duplex auto

speed auto

!

interface Vlan1

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly in max-reassemblies 256

!

interface Async1

no ip address

encapsulation slip

!

ip http server

ip http authentication local

ip http secure-server

ip forward-protocol nd

!

!

ip dns server

ip nat inside source route-map ISP1 interface GigabitEthernet0 overload

ip nat inside source route-map ISP2 interface FastEthernet8 overload

ip nat inside source static tcp 192.168.0.20 3389 xxx.xxx.xxx.xxx 30000 extendable

ip nat inside source static tcp 192.168.0.20 3389 yyy.yyy.yyy.yyy 30000 extendable

ip route 0.0.0.0 0.0.0.0 GigabitEthernet0 xxx.xxx.xxx.xxx track 1

ip route 0.0.0.0 0.0.0.0 FastEthernet8 yyy.yyy.yyy.yyy 250 track 2

!

ip sla auto discovery

ip sla 1

icmp-echo xxx.xxx.xxx.xxx

ip sla schedule 1 life forever start-time now

ip sla 2

icmp-echo yyy.yyy.yyy.yyy

ip sla schedule 2 life forever start-time now

access-list 10 permit 192.168.0.0 0.0.0.255

!

route-map ISP2 permit 10

match ip address 10

match interface FastEthernet8

!

route-map ISP1 permit 10

match ip address 10

match interface GigabitEthernet0

!

!

!

control-plane

!

!

!

!

mgcp profile default

!

!

!

!

!

!

line con 0

password mypassword

login

line 1

modem InOut

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

login local

transport input telnet ssh

line vty 5 15

login local

transport input all

!

!

end

Теги (1)
1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Re: Cisco 891/K9 Проброс портов + 2 ISP

Для эксперимента поменяйте шлюз на 192.168.0.1 и отпишитесь пожалуйста о результате.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
18 ОТВЕТ.

Re: Cisco 891/K9 Проброс портов + 2 ISP

Добрый день. Попробуйте так:

ip nat inside source static tcp 192.168.0.20 3389 xxx.xxx.xxx.xxx 3389

ip nat inside source static tcp 192.168.0.20 3389 yyy.yyy.yyy.yyy 3389

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Порт молчит, как партизан...

Re: Cisco 891/K9 Проброс портов + 2 ISP

Ну синтаксис верен, должно работать.

Вы на обоих провайдерах проверили? 

Пробовали оставлять только нат правило для основнного провайдера?

Пробовали делать(По сути тоже самое):

ip nat inside source static tcp 192.168.0.20 3389 interface GigabitEthernet0 3389

На самом компьютере не стоит ли файрвол внешний или свой штатный с ограничивающими правилами т.к. пакеты приходят от маршрутизатора 192.168.0.1.

Смотрели, что показывает sh ip nat translations | include 3389 при подключении? Срабатывает ли нат правило?

Дайте время я сэмулирую вашу ситуацию для проверки и отпишусь вам.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: Cisco 891/K9 Проброс портов + 2 ISP

в моей эмуляции заработало так:

ip nat inside source static tcp 192.168.0.20 3389 1.1.1.2 3389 extendable

где 1.1.1.2 внешний IP адрес

Получилось следующее:

office#sh ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

tcp 1.1.1.2:3389       192.168.0.20:3389  xx.xx.xx.xx:48290   xx.xx.xx.xx:48290

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Проверял на обоих провайдерах.

Правило только для основного провайдера оставлять не пробовал.

Пробовал и

ip nat inside source static tcp 192.168.0.20 3389 interface GigabitEthernet0 3389

и

ip nat inside source static tcp 192.168.0.20 3389 1.1.1.2 3389 extendable

На самом компьютере фаерволов не стоит, ничто ограничивать не должно. Есть работающий ISA сервер, через который порт успешно проброшен и используется каждый день.

#sh ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

tcp 195.182.154.134:3389 192.168.0.20:3389 ---               ---

Re: Cisco 891/K9 Проброс портов + 2 ISP

#sh ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

tcp 195.182.154.134:3389 192.168.0.20:3389 ---               ---

Это говорит, о том, что правило успешно было сработано когда-то "---               ---" т.к. информация о Outside Global и Local отсутствует.

Ищите проблему на ISA.  Установите wireshark и включите сбор пакетов с фильтром:

tcp.port == 3389

и вновь сделайте подключение и посмотрите доходит ли пакет до ISA?

ISA я так понял 192.168.0.20?

Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Да не, ISA Server тут не при чем. Его я упомянул в том смысле, что если вместо Cisco включить ISA, то доступ к серверу 192.168.0.20 на порт 3389 будет. Т.е. дело не в настройках сервера или локальной сети.

Re: Cisco 891/K9 Проброс портов + 2 ISP

Давайте тогда поставим wireshark на устройстве с ип адресом 192.168.0.20 с тем же фильтром. Почему именно там, т.к. судя по вашему "sh ip nat" нат работает, но почему не работает RDP? для этого нужно выяснить доходят ли транслированные пакеты до сетевого адаптера сервера. Если приходят то какие.

Потом удалите второе правило, оставьте только одно правило нат для основного провайдера который на данный момент активен.

Сделайте вновь подключение и посмотрите в шарке что выходит.

Если у вас есть затруднения при работе с продуктом Wireshark. Дайте знать, я вам помогу.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Да, Wireshark я никогда не использовал, буду очень признателен, если окажите помощь!

Re: Cisco 891/K9 Проброс портов + 2 ISP

  1. Скачиваем устанавливаем и запускаем програму от администратора.
  2. В списке интерфейсов выбираем ваш сетевой адаптор и кликаем Start
  3. Не пугайтесь если пойдет куча разных цветных запросов. В строке Filter вводим tcp.port == 3389 и нажимем Enter или Apply
  4. Делаем запрос из вне на 3389, и смотрим появится ли что-то. Если пакет приходит можно зайти в него и посмотреть источники и назначения. Проделайте эту операцию и отпишитесь о результатах.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Судя по всему, туда ничего не приходит. Видно только сессию из локальной сети (подключаюсь туда через RDP).

Re: Cisco 891/K9 Проброс портов + 2 ISP

а пробовали с маршрутизатора делать:


telnet 192.168.0.20 3389
telnet 192.168.0.20 3389 /source-interface GigabitEthernet0

Сделайте и посмотрите что покажет шарк.

Обратите внимание на: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094e77.shtml#topic9

Все настроенно верно и нат работает у вас судя из "show ip nat"

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Сейчас заметил таки одну особенность! Видимо дело все в интерфейсе Vlan.

В Cisco в порт FE1 включен компьютер для страшных опытов, в него же подлкючена Cisco через консольный порт. А в FE0 я включил патчкорд, который в свою очередь включен в общий свитч локальной сети.

Что я сделал:

сделал проброс на тот копьютер для страшных опытов, который подлючен непосредственно в порт Cisco FE1. И проброс заработал! И порт открылся и удалось подключиться из вне по RDP.

Т.е. получается так, что проброс не получается сделать дальше тех портов, которые непосредственно на Cisco! Может быть у меня Vlan интерфейс сконфигурирован неправильно?

Re: Cisco 891/K9 Проброс портов + 2 ISP

Ваш вилан интерфейс(SVI) сконфигурирован верно. Не думайте о нем.

А стоящий по пути коммутатор не должен влиять на вашу проблему. Это обычный коммутатор? или L3 или HUB?

Шлюзом у компьютера 192.168.0.20 что выступает? И настроен ли он?

"сделал проброс на тот копьютер для страшных опытов, который подлючен непосредственно в порт Cisco FE1. И проброс заработал! И порт открылся и удалось подключиться из вне по RDP" - проброс у вас работал еще утром, судя по "sh ip nat"

Возможно проблему нужно искать на компьютере 192.168.0.20 еси по пути нету никаких устройств L3, или межсетевых экранов.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Коммутатор обычный, 3COM Baseline switch 2824.

Шлюзом у 192.168.0.20 выступает ISA Server, через который кстати, можно подключиться на 192.168.0.20, т.е. он настроен, работает уже очень давно!

Более, никаких межсетевых экранов и активного оборудования на пути вроде как нет.

New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Один момент только не упомянул, что 192.168.0.20 крутится на Hyper-V. Хотя я не думаю, что тут есть какая-то специфика в этом плане.

Re: Cisco 891/K9 Проброс портов + 2 ISP

Для эксперимента поменяйте шлюз на 192.168.0.1 и отпишитесь пожалуйста о результате.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Cisco 891/K9 Проброс портов + 2 ISP

Да, я сделал это! И этот эксперимент принес свои результаты!

Всё заработало

Как это мне это даже в голову сразу не могло придти!

Vitaliy Zinatov, что бы я без вас делал!?

Огромное, человеческое спасибо вам!!!

2105
Просмотры
85
Полезный материал
18
Ответы