Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 18:07



Ответить на тему  [ Сообщений: 22 ] 
NO NAT в CISCO ISR (2911) 
Автор Сообщение

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Здравствуйте уважаемые!
Подскажите пожалуйста, как решить задачку:
Есть IP-адрес в локальной сети которую нужно NAT-ить из вне, но исключить для определённой подсети NAT-ирование.
Вот текущий конфиг который работает:::::::::::::::::::::::::::::::::::
Это IP-адрес на интерфейсе который надо NAT-ить
Код:
interface GigabitEthernet 10
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip nat enable
 ip virtual-reassembly in


Это правило NAT
Код:
ip nat source list MAIN_NAT interface GigabitEthernet 10 overload


Это access-list
Код:
ip access-list extended MAIN_NAT
 deny   ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
 permit ip any host 1.1.1.1 log-input
 deny   ip any any log-input


Необходимо что бы из сети 2.2.2.2 не NAT-ился IP-адрес 1.1.1.1

Спасибо Вам за уделённое время!


21 окт 2019, 12:21
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Что-то я схемку хочу. Задачка, вроде, не сильно сложная, но из описания не всё понятно.
Схемку с интерфейсами, сетями и инфой, кто и куда ходит.
И, кстати, NAT или PAT?


21 окт 2019, 18:58
Профиль WWW

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Black Fox писал(а):
Что-то я схемку хочу. Задачка, вроде, не сильно сложная, но из описания не всё понятно.
Схемку с интерфейсами, сетями и инфой, кто и куда ходит.
И, кстати, NAT или PAT?

Действтельно, не NAT, прошу прощения за неточность, именно PAT NVI.
Схема прилагается:


Вложения:
Без имени 1.jpg
Без имени 1.jpg [ 159.97 КБ | Просмотров: 12840 ]
22 окт 2019, 10:34
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Пожалуйста, подскажите, что может быть не так?


23 окт 2019, 15:38
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
sidsoft писал(а):
Пожалуйста, подскажите, что может быть не так?

Судя по терминологии и описанию проблемы "Все смешалось в доме Обломских!".
Но вот почитайте аналогичную тему, вдруг поможет.

viewtopic.php?f=2&t=10267&p=83373#p83373

_________________
Knowledge is Power


24 окт 2019, 02:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
1. Если нет необходимости, я бы NAT NVI не использовал.
2. interface GigabitEthernet 10
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip nat enable
ip virtual-reassembly in

На картинке : Server IP 1.1.1.1/24

Это как? Что именно Вы хотите натить и во что?


24 окт 2019, 09:50
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Привожу схему с описанием проблемы.


Вложения:
Без имени 3.jpg
Без имени 3.jpg [ 213.72 КБ | Просмотров: 12686 ]
28 окт 2019, 14:17
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Прсто прошу подсказать, почему нет "обратной связи" от сервера 3.3.3.1 в подсеть 2.2.2.0/24 ?


30 окт 2019, 11:11
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
sidsoft писал(а):
Прсто прошу подсказать, почему нет "обратной связи" от сервера 3.3.3.1 в подсеть 2.2.2.0/24 ?

Точнее "обратная связь" есть, но IP-адрес возврата должен быть 1.1.1.1/24 но возвращается с 3.3.3.1/24.


30 окт 2019, 12:54
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
почему не сделать всё по-человечески через FQDN - и меняйте себе адреса хоть до опупения без всяких НАТов и т.д.


30 окт 2019, 13:02
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
root99 писал(а):
почему не сделать всё по-человечески через FQDN - и меняйте себе адреса хоть до опупения без всяких НАТов и т.д.

Есть более 3 000 устройств которые разнесены по всей нашей стране, доступа к ним физического и удалённого нет, что бы у них у каждого в конфигурации менять IP-адрес на FQDN.
Запланирован переход на FQDN в течении 3-х лет, а пока в течении 3-х лет необходимо "подменять" IP-адрес посредством NAT NVI.


30 окт 2019, 13:25
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
root99 писал(а):
почему не сделать всё по-человечески через FQDN - и меняйте себе адреса хоть до опупения без всяких НАТов и т.д.

Есть более 3 000 устройств которые разнесены по всей нашей стране, доступа к ним физического и удалённого нет, что бы у них у каждого в конфигурации менять IP-адрес на FQDN.
Запланирован переход на FQDN в течении 3-х лет, а пока в течении 3-х лет необходимо "подменять" IP-адрес посредством NAT NVI.

Вам нужен второй NAT, чтобы транслировать ответы сервера в нужный вам адрес.


30 окт 2019, 13:59
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
AlexDv писал(а):
sidsoft писал(а):
root99 писал(а):
почему не сделать всё по-человечески через FQDN - и меняйте себе адреса хоть до опупения без всяких НАТов и т.д.

Есть более 3 000 устройств которые разнесены по всей нашей стране, доступа к ним физического и удалённого нет, что бы у них у каждого в конфигурации менять IP-адрес на FQDN.
Запланирован переход на FQDN в течении 3-х лет, а пока в течении 3-х лет необходимо "подменять" IP-адрес посредством NAT NVI.

Вам нужен второй NAT, чтобы транслировать ответы сервера в нужный вам адрес.

Хм, я к своему сожалению не сталкивался с двойным NAT-ом.
Если у вас есть время, пожалуйста подскажите какие строки добавить/удалить/изменить в ниже приведённой конфигурации?
Код:
interface GigabitEthernet 10
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip nat enable
 ip virtual-reassembly in

ip nat source list MAIN_NAT interface GigabitEthernet 10 overload

ip access-list extended MAIN_NAT
 deny   ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
 permit ip any host 1.1.1.1 log-input
 deny   ip any any log-input


30 окт 2019, 14:14
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
AlexDv писал(а):
Хм, я к своему сожалению не сталкивался с двойным NAT-ом.
Если у вас есть время, пожалуйста подскажите какие строки добавить/удалить/изменить в ниже приведённой конфигурации?
Код:
interface GigabitEthernet 10
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip nat enable
 ip virtual-reassembly in

ip nat source list MAIN_NAT interface GigabitEthernet 10 overload

ip access-list extended MAIN_NAT
 deny   ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
 permit ip any host 1.1.1.1 log-input
 deny   ip any any log-input

Прямо здесь есть похожий пример. Задача 2. http://www.anticisco.ru/blogs/2010/02/23/

И покажите полный конфиг.


30 окт 2019, 14:23
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
AlexDv писал(а):
sidsoft писал(а):
AlexDv писал(а):
Хм, я к своему сожалению не сталкивался с двойным NAT-ом.
Если у вас есть время, пожалуйста подскажите какие строки добавить/удалить/изменить в ниже приведённой конфигурации?
Код:
interface GigabitEthernet 10
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip nat enable
 ip virtual-reassembly in

ip nat source list MAIN_NAT interface GigabitEthernet 10 overload

ip access-list extended MAIN_NAT
 deny   ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
 permit ip any host 1.1.1.1 log-input
 deny   ip any any log-input

Прямо здесь есть похожий пример. Задача 2. http://www.anticisco.ru/blogs/2010/02/23/

И покажите полный конфиг.

Using 7748 out of 262136 bytes
!
! Last configuration change at 13:43:08 MSK Mon Oct 21 2019 by admin
! NVRAM config last updated at 13:43:09 MSK Mon Oct 21 2019 by admin
! NVRAM config last updated at 13:43:09 MSK Mon Oct 21 2019 by admin
version 15.3
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service internal
service sequence-numbers
!
hostname R_GLOBAL_FOR_DEVICES_NPTK
!
boot-start-marker
boot system flash:c2900.bin
boot-end-marker
!
!
logging buffered 32768 informational
no logging console
logging monitor informational
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
clock timezone MSK 3 0
clock calendar-valid
!
no ip gratuitous-arps
!
!
!
!
!
!
!
!
!
!
no ip domain lookup
ip domain name NPTK.LOCAL
ip multicast-routing
ip inspect WAAS flush-timeout 10
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
description HALOWEEN
request-dialin
protocol pptp
rotary-group 1
initiate-to ip 99.99.99.99 priority 40
initiate-to ip 100.100.100.100 priority 50
!
!
!
crypto pki trustpoint TP-self-signed
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate
revocation-check none
rsakeypair TP-self-signed
!
!
crypto pki certificate chain TP-self-signed
certificate self-signed 01 nvram:
license udi pid
!
!
username nptk privilege 15 password 7
!
redundancy
notification-timer 60000
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet 10
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip nat enable
ip virtual-reassembly in
!
interface GigabitEthernet 11
encapsulation dot1Q 10
ip address 6.6.6.6 255.255.255.240
ip nat enable
ip virtual-reassembly in
ip ospf priority 150
!
interface GigabitEthernet 12
no ip address
shutdown
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet 13
no ip address
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet 14
encapsulation dot1Q 200
ip address 7.7.7.7 255.255.255.0
ip nat enable
ip virtual-reassembly in
!
interface GigabitEthernet 15
encapsulation dot1Q 240
ip address 8.8.8.8 255.255.255.252
ip nat enable
ip virtual-reassembly in
!
interface GigabitEthernet 16
encapsulation dot1Q 250
ip address 2.2.2.2 255.255.255.252
ip nat enable
ip virtual-reassembly in
!
interface Dialer1
mtu 1492
ip address negotiated
ip pim dense-mode
ip nat enable
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no peer neighbor-route
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname
ppp chap password 7
ppp pap sent-username
no cdp enable
!
router ospf 99
router-id 9.9.9.9
ispf
redistribute connected subnets
redistribute static subnets route-map ospf_rt
network 2.2.2.0 0.0.0.15 area 0
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat log translations syslog
ip nat source list NAT_NPTK1 interface Dialer1 overload
ip nat source list nat_nptk2 interface GigabitEthernet 14 overload
ip nat source list MAIN_NAT interface GigabitEthernet 10 overload
ip nat source list MAIN_NAT1 interface GigabitEthernet 11 overload
ip nat source static 3.3.3.3 1.1.1.1 extendable
!
ip access-list standard routs_to_ospf
permit 60.60.60.60
!
ip access-list extended NAT_NPTK1
permit ip any host 66.66.66.66 log-input
deny ip any any
ip access-list extended nat_nptk2
permit ip host 99.99.99.99 host 100.110.100.100
deny ip any any
ip access-list extended MAIN_NAT
deny ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
permit ip any host 1.1.1.1 log-input
deny ip any any log-input
ip access-list extended MAIN_NAT1
permit ip 200.200.200.0 0.0.0.255 host 1.1.1.1 log-input
deny ip any any
ip access-list extended vty_access
permit ip host 8.8.8.8 any log-input
deny ip any any log-input
!
dialer-list 1 protocol ip permit
!
route-map ospf_rt permit 5
match ip address ospf_rt
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output none
stopbits 1
line vty 0 4
access-class vty_access in
exec-timeout 15 0
privilege level 15
transport input telnet ssh
line vty 5 15
access-class vty_access in
exec-timeout 15 0
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp master
ntp update-calendar
!
end


30 окт 2019, 15:10
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
interface GigabitEthernet 10
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip nat enable
ip virtual-reassembly in
!
end


Непонятно, так какой адрес у сервера? 1.1.1.1 ? А interface GigabitEthernet 10 что?
А новый сервер 3.3.3.3 directly connected или нет? Из конфига непонятно.
Еще надо sh ip route


30 окт 2019, 16:00
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
AlexDv писал(а):
sidsoft писал(а):
interface GigabitEthernet 10
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip nat enable
ip virtual-reassembly in
!
end


Непонятно, так какой адрес у сервера? 1.1.1.1 ? А interface GigabitEthernet 10 что?
А новый сервер 3.3.3.3 directly connected или нет? Из конфига непонятно.
Еще надо sh ip route

IP-адрес у нового сервера 3.3.3.1, ниже sh ip route
Код:
1.1.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        1.1.1.0/24 is directly connected, GigabitEthernet 10
L        1.1.1.1/32 is directly connected, GigabitEthernet 10
O E2     3.3.3.0/24 [110/20] via 6.6.6.6, 1w0d, GigabitEthernet 11

Сеть 3.3.3.0/24 располагается на другом управляемом коммутаторе (подчеркну, именно КОММУТАТОРЕ, на нём нет никаких NAT PAT и прочее, только VLAN-ы), по 10-VLAN-ну подсоединенный через 11-ый интерфейс, и маршрутизируется OSPF-ом.
Код:
encapsulation dot1Q 10


30 окт 2019, 16:42
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
AlexDv писал(а):
sidsoft писал(а):
interface GigabitEthernet 10
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip nat enable
ip virtual-reassembly in
!
end


Непонятно, так какой адрес у сервера? 1.1.1.1 ? А interface GigabitEthernet 10 что?
А новый сервер 3.3.3.3 directly connected или нет? Из конфига непонятно.
Еще надо sh ip route

IP-адрес у нового сервера 3.3.3.1, ниже sh ip route
Код:
1.1.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        1.1.1.0/24 is directly connected, GigabitEthernet 10
L        1.1.1.1/32 is directly connected, GigabitEthernet 10
O E2     3.3.3.0/24 [110/20] via 6.6.6.6, 1w0d, GigabitEthernet 11

Сеть 3.3.3.0/24 располагается на другом управляемом коммутаторе (подчеркну, именно КОММУТАТОРЕ, на нём нет никаких NAT PAT и прочее, только VLAN-ы), по 10-VLAN-ну подсоединенный через 11-ый интерфейс, и маршрутизируется OSPF-ом.
Код:
encapsulation dot1Q 10

Хорошо, с 3.3.3.1 разобрались.
Тогда здесь ошибка с адресом.
ip nat source static 3.3.3.3 1.1.1.1 extendable
Еще неплохо бы ограничить
ip nat source static tcp 3.3.3.1 1000 1.1.1.1 1000 extendable протоколом и портом.


А про 1.1.1.1 вы не ответили.
Еще, покажите sh ip nat nvi transl


30 окт 2019, 17:15
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Прошу прощения, в самом начале я не указал про этот NAT
Код:
ip nat source static 3.3.3.3 1.1.1.1 extendable

В конфиге он есть.
К сожалению ограничить несколькими портами хост 3.3.3.3 не возможно, на каждый хост свой порт, и более чем 3 000 раз прописывать по портам, не уверен что будет "оптимально".
Когда я с хоста 2.2.2.2 пытаюсь подключиться к "старому" IP-адресу 1.1.1.1 на порт 6126 то в момент попытки соединения в консоли CISCO такая ситуация:, только одна строка
Код:
sh ip nat nvi translations
tcp 1.1.1.1:2162    2.2.2.2:2162       1.1.1.1:6126    3.3.3.3:6126

Нет обратного, как должно быть:
Код:
tcp 1.1.1.1:1045    5.5.5.5:1034        1.1.1.1:6068    3.3.3.3:6068
tcp 1.1.1.1:1099    5.5.5.5:1099        1.1.1.1:6068    3.3.3.3:6068

А должна быть "пара"


30 окт 2019, 17:41
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
Прошу прощения, в самом начале я не указал про этот NAT
Код:
ip nat source static 3.3.3.3 1.1.1.1 extendable

В конфиге он есть.
К сожалению ограничить несколькими портами хост 3.3.3.3 не возможно, на каждый хост свой порт, и более чем 3 000 раз прописывать по портам, не уверен что будет "оптимально".
Когда я с хоста 2.2.2.2 пытаюсь подключиться к "старому" IP-адресу 1.1.1.1 на порт 6126 то в момент попытки соединения в консоли CISCO такая ситуация:, только одна строка
Код:
sh ip nat nvi translations
tcp 1.1.1.1:2162    2.2.2.2:2162       1.1.1.1:6126    3.3.3.3:6126

Нет обратного, как должно быть:
Код:
tcp 1.1.1.1:1045    5.5.5.5:1034        1.1.1.1:6068    3.3.3.3:6068
tcp 1.1.1.1:1099    5.5.5.5:1099        1.1.1.1:6068    3.3.3.3:6068

А должна быть "пара"

Давайте сделаем так. Найдите свободный адрес в сети 6.6.6.0.
Код:
interface GigabitEthernet 10
no ip nat enable
no ip access-list extended MAIN_NAT
ip access-list extended MAIN_NAT
permit tcp any host 1.1.1.1 log-input
no ip nat source list MAIN_NAT interface GigabitEthernet 10 overload
ip nat pool NAT_POOL 6.6.6.7 6.6.6.7 netmask 255.255.255.0
ip nat source list MAIN_NAT pool NAT_POOL overload
ip nat source static tcp 1.1.1.1 6.6.6.7  extendable


30 окт 2019, 18:51
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Цитата:
Давайте сделаем так. Найдите свободный адрес в сети 6.6.6.0.
Код:
interface GigabitEthernet 10
no ip nat enable
no ip access-list extended MAIN_NAT
ip access-list extended MAIN_NAT
permit tcp any host 1.1.1.1 log-input
no ip nat source list MAIN_NAT interface GigabitEthernet 10 overload
ip nat pool NAT_POOL 6.6.6.7 6.6.6.7 netmask 255.255.255.0
ip nat source list MAIN_NAT pool NAT_POOL overload
ip nat source static tcp 1.1.1.1 6.6.6.7  extendable

Это тоже работает, но с подсетью 2.2.2.0/24 не работает.
С другими подсетями всё в порядке, пробовал, и с предложенной вами конфигурацией и с той конфигурацией которую я приводил и привёл ниже:
Код:
interface GigabitEthernet 10
 encapsulation dot1Q 1 native
 ip address 1.1.1.1 255.255.255.0
 ip nat enable
 ip virtual-reassembly in

ip nat source list MAIN_NAT interface GigabitEthernet 10 overload
ip nat source static 3.3.3.3 1.1.1.1 extendable

ip access-list extended MAIN_NAT
 deny   ip 1.1.1.0 0.0.0.255 host 1.1.1.1 log-input
 permit ip any host 1.1.1.1 log-input
 deny   ip any any log-input

Всё работает с других подсетей... проблема только с подсетью 2.2.2.0/24, именно на ней не срабатывает NAT NVI.
С подсетей 1.1.1.0/24, 3.3.3.0/24, 4.4.4.0/24, 5.5.5.0/24, 6.6.6.0/24 всё прекрасно работает, а вот с подсетью 2.2.2.0/24 и только с ней нет "двухстороннего" NAT NVI.


31 окт 2019, 08:59
Профиль

Зарегистрирован: 23 май 2012, 15:07
Сообщения: 50
sidsoft писал(а):
Это тоже работает, но с подсетью 2.2.2.0/24 не работает.
С другими подсетями всё в порядке, пробовал, и с предложенной вами конфигурацией и с той конфигурацией которую я приводил и привёл ниже:
Всё работает с других подсетей... проблема только с подсетью 2.2.2.0/24, именно на ней не срабатывает NAT NVI.
С подсетей 1.1.1.0/24, 3.3.3.0/24, 4.4.4.0/24, 5.5.5.0/24, 6.6.6.0/24 всё прекрасно работает, а вот с подсетью 2.2.2.0/24 и только с ней нет "двухстороннего" NAT NVI.

Тогда снимайте дебаг из разных сетей и смотрите чем они отличаются.


31 окт 2019, 12:06
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB