Anticisco http://www.anticisco.ru/forum/ |
|
NAT loopback на ISR http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11220 |
Страница 1 из 1 |
Автор: | siqueiros [ 02 янв 2020, 22:24 ] |
Заголовок сообщения: | NAT loopback на ISR |
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети? К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80). Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, www.firma.ru. Как "красиво" решить ситуацию? |
Автор: | dijix [ 03 янв 2020, 03:59 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
siqueiros писал(а): Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети? К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80). Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, http://www.firma.ru. Как "красиво" решить ситуацию? https://community.cisco.com/t5/routing/ ... -p/3302833 |
Автор: | Bessmertniy [ 03 янв 2020, 13:42 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Я это делаю средствами view в BIND. |
Автор: | dijix [ 03 янв 2020, 20:50 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Bessmertniy писал(а): Я это делаю средствами view в BIND. Можно подробнее? |
Автор: | Bessmertniy [ 03 янв 2020, 21:27 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
https://kb.isc.org/docs/aa-00851 |
Автор: | siqueiros [ 03 янв 2020, 21:47 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
dijix писал(а): Как "красиво" решить ситуацию? https://community.cisco.com/t5/routing/ ... -p/3302833[/quote] То есть перенастроить на NVI NAT? Вместо in и out на интерфейсах, используем "ip nat enable" и петли не будет? Спасибо! |
Автор: | siqueiros [ 03 янв 2020, 21:49 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Bessmertniy писал(а): Я это делаю средствами view в BIND. А BIND тогда надо отдельно поднимать где-то в сети на машине, да? Или цискаревый днс сервер поддерживает те же команды BIND,? |
Автор: | Bessmertniy [ 03 янв 2020, 21:56 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. А держать DNS на цыцке это извращение. |
Автор: | siqueiros [ 03 янв 2020, 23:04 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Bessmertniy писал(а): Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. Используется DNS сервер регистратора домена, это webnames.ru, там наверняка BIND, но полноценного доступа к нему нет, простая веб-панель для редактирования и внесения записей зон, типа "А", "МХ", CNAME. Возможно что и через обращение можно какие-то изменения внести дополнительные, попробую выяснить через суппорт, спасибо! Bessmertniy писал(а): А держать DNS на цыцке это извращение. Даже в маленькой сети, а почему так, этому есть объяснение? Вроде как направить клиента на роутер, а на роутере выставить нужные ДНС адреса как-бы безопаснее, нет? |
Автор: | root99 [ 03 янв 2020, 23:25 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - ДНС сервер у вас должен быть свой внутри сети.... |
Автор: | siqueiros [ 03 янв 2020, 23:58 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
root99 писал(а): причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - айпишник у меня "белый". root99 писал(а): ДНС сервер у вас должен быть свой внутри сети.... ясно! я поэтому выше интересовался, можно ли это view настроить средствами ip dns-server на циско. Теперь понятно, что речь о внутреннем ДНС сервере. |
Автор: | Bessmertniy [ 04 янв 2020, 09:08 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. Но это не отменяет того что это не задача маршрутизатора. |
Автор: | root99 [ 04 янв 2020, 10:04 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9 |
Автор: | siqueiros [ 04 янв 2020, 16:05 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Bessmertniy писал(а): Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. . Отлично,! Тогда NAT NVI vs DNS VIEW Bessmertniy писал(а): Но это не отменяет того что это не задача маршрутизатора Да, конечно, если есть сервер с гипервизором, но Bind на CentOS сильно ресурсов не откушает, поднять можно, хотя я лично этот процесс на зубок не знаю, поднять подниму, но опыта дальнейшего обслуживания и обеспечения работоспособности и защиты честно говоря нет, для продакшына не стану, будет падать, лишние заботы. Для моих скромных нужд пожалуй Циськового ДНС сервера для предотвращения петли и хватит , спасибо!, |
Автор: | root99 [ 04 янв 2020, 17:49 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
По большому счёту вам и BIND не нужен не в каком виде - если есть MS AD то используйте DNS от Мелкософт - поднимете зону, сделайте А рекорд на свой внутренний адрес и забудьте.... |
Автор: | siqueiros [ 15 апр 2020, 18:11 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.! |
Автор: | Praporwik [ 05 май 2020, 22:25 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
siqueiros писал(а): Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.! по идее, такого быть не должно. |
Автор: | siqueiros [ 10 июн 2020, 19:15 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
Praporwik писал(а): siqueiros писал(а): Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,! Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.! по идее, такого быть не должно. По идее может и не должно, а на деле получается именно так. Реально такие результаты, по крайней мере на 800-й серии. |
Автор: | siqueiros [ 10 июн 2020, 19:42 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
root99 писал(а): для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9 Да, пока настроил Cisco в качестве DNS сервера, Код: ip dns server Код: ip host mydomain.ru 10.10.10.100 Но к сожалению, по-внешнему "белому" айпишнику на веб-сервер из локалки по-прежнему "сходить" не удается. У меня qemu-kvm крутится на CentOS, иногда балуюсь с разными фреймворками и движками, в некоторых конфигурациях бывает нужно именно по внешнему айпишнику протестировать загрузку и настройки. Пока не придумал как решить. |
Автор: | Praporwik [ 12 июн 2020, 20:13 ] |
Заголовок сообщения: | Re: NAT loopback на ISR |
siqueiros писал(а): Реально такие результаты, по крайней мере на 800-й серии. на 800 серии может так и быть - т.к. железки начального уровня |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |