Anticisco
http://www.anticisco.ru/forum/

NAT loopback на ISR
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11220
Страница 1 из 1

Автор:  siqueiros [ 02 янв 2020, 22:24 ]
Заголовок сообщения:  NAT loopback на ISR

Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, www.firma.ru.
Как "красиво" решить ситуацию? ;)

Автор:  dijix [ 03 янв 2020, 03:59 ]
Заголовок сообщения:  Re: NAT loopback на ISR

siqueiros писал(а):
Подскажите пожалуйста, как правильно решить вопрос доступа к открытым извне службам по внешним айпи адресам и доменным именам из локальной сети?
К примеру, веб-сервер "поднят" на машине с адресом 10.10.10.200 в локальной сети и доступ к ней публично разрешен на роутере, через PAT (ip nat inside source static 80).
Все бы хорошо, но в локальной сети к этой машине можно подключиться только по внутреннему айпи адресу (10.10.10.200), и нельзя ! ни по внешнему "белому", ни по доменному, http://www.firma.ru.
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833

Автор:  Bessmertniy [ 03 янв 2020, 13:42 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Я это делаю средствами view в BIND.

Автор:  dijix [ 03 янв 2020, 20:50 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Bessmertniy писал(а):
Я это делаю средствами view в BIND.

Можно подробнее?

Автор:  Bessmertniy [ 03 янв 2020, 21:27 ]
Заголовок сообщения:  Re: NAT loopback на ISR

https://kb.isc.org/docs/aa-00851

Автор:  siqueiros [ 03 янв 2020, 21:47 ]
Заголовок сообщения:  Re: NAT loopback на ISR

dijix писал(а):
Как "красиво" решить ситуацию? ;)

https://community.cisco.com/t5/routing/ ... -p/3302833[/quote]

То есть перенастроить на NVI NAT? Вместо in и out на интерфейсах, используем "ip nat enable" и петли не будет?
Спасибо!

Автор:  siqueiros [ 03 янв 2020, 21:49 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Bessmertniy писал(а):
Я это делаю средствами view в BIND.


А BIND тогда надо отдельно поднимать где-то в сети на машине, да? Или цискаревый днс сервер поддерживает те же команды BIND,?

Автор:  Bessmertniy [ 03 янв 2020, 21:56 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет. А держать DNS на цыцке это извращение.

Автор:  siqueiros [ 03 янв 2020, 23:04 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Bessmertniy писал(а):
Вы же наверняка какой-то DNS используете, узнайте умеет ли он view. Я всегда на BIND делал, не знаю умеет ли кто-то еще, АД точно не умеет.


Используется DNS сервер регистратора домена, это webnames.ru, там наверняка BIND, но полноценного доступа к нему нет, простая веб-панель для редактирования и внесения записей зон, типа "А", "МХ", CNAME.
Возможно что и через обращение можно какие-то изменения внести дополнительные, попробую выяснить через суппорт, спасибо!


Bessmertniy писал(а):
А держать DNS на цыцке это извращение.


Даже в маленькой сети, а почему так, этому есть объяснение? Вроде как направить клиента на роутер, а на роутере выставить нужные ДНС адреса как-бы безопаснее, нет?

Автор:  root99 [ 03 янв 2020, 23:25 ]
Заголовок сообщения:  Re: NAT loopback на ISR

причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND - ДНС сервер у вас должен быть свой внутри сети....

Автор:  siqueiros [ 03 янв 2020, 23:58 ]
Заголовок сообщения:  Re: NAT loopback на ISR

root99 писал(а):
причём тут регистратор доменов со своей панелью - не делают они сплит горизонт на серые айпишники даже если у них трижды BIND -


айпишник у меня "белый".

root99 писал(а):
ДНС сервер у вас должен быть свой внутри сети....


ясно! я поэтому выше интересовался, можно ли это view настроить средствами ip dns-server на циско. Теперь понятно, что речь о внутреннем ДНС сервере.

Автор:  Bessmertniy [ 04 янв 2020, 09:08 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. Но это не отменяет того что это не задача маршрутизатора.

Автор:  root99 [ 04 янв 2020, 10:04 ]
Заголовок сообщения:  Re: NAT loopback на ISR

для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9

Автор:  siqueiros [ 04 янв 2020, 16:05 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Bessmertniy писал(а):
Я считал что цыцин DNS это костыль без функционала, а оказывается он даже view умеет https://www.cisco.com/c/en/us/td/docs/i ... 5622E292A4. .


Отлично,! Тогда NAT NVI vs DNS VIEW

Bessmertniy писал(а):
Но это не отменяет того что это не задача маршрутизатора


Да, конечно, если есть сервер с гипервизором, но Bind на CentOS сильно ресурсов не откушает, поднять можно, хотя я лично этот процесс на зубок не знаю, поднять подниму, но опыта дальнейшего обслуживания и обеспечения работоспособности и защиты честно говоря нет, для продакшына не стану, будет падать, лишние заботы.
Для моих скромных нужд пожалуй Циськового ДНС сервера для предотвращения петли и хватит ;), спасибо!,

Автор:  root99 [ 04 янв 2020, 17:49 ]
Заголовок сообщения:  Re: NAT loopback на ISR

По большому счёту вам и BIND не нужен не в каком виде - если есть MS AD то используйте DNS от Мелкософт - поднимете зону, сделайте А рекорд на свой внутренний адрес и забудьте....

Автор:  siqueiros [ 15 апр 2020, 18:11 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!

Автор:  Praporwik [ 05 май 2020, 22:25 ]
Заголовок сообщения:  Re: NAT loopback на ISR

siqueiros писал(а):
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!


по идее, такого быть не должно.

Автор:  siqueiros [ 10 июн 2020, 19:15 ]
Заголовок сообщения:  Re: NAT loopback на ISR

Praporwik писал(а):
siqueiros писал(а):
Этот NAT hairpin чего-то "душит" пропускную способность маршрутизатора; перебил inside/outside на enable и пропускная способность упала в два раза,!
Speedtest на классическом PAT выдает 90Мегабит, а перенастроенная трансляция на ip nat enable стал выдавать 40Мегабит с копейками всего.!


по идее, такого быть не должно.


По идее может и не должно, а на деле получается именно так.
Реально такие результаты, по крайней мере на 800-й серии.

Автор:  siqueiros [ 10 июн 2020, 19:42 ]
Заголовок сообщения:  Re: NAT loopback на ISR

root99 писал(а):
для одной записи вполне можно и днс на рутере заиметь, да и на современных IOS XE маршрутизаторах можно запустить докер контейнер с тем же BIND9


Да, пока настроил Cisco в качестве DNS сервера,
Код:
ip dns server
, и прописал переадресацию доменного имени в локальный ip адрес.
Код:
ip host mydomain.ru 10.10.10.100
.
Но к сожалению, по-внешнему "белому" айпишнику на веб-сервер из локалки по-прежнему "сходить" не удается.
У меня qemu-kvm крутится на CentOS, иногда балуюсь с разными фреймворками и движками, в некоторых конфигурациях бывает нужно именно по внешнему айпишнику протестировать загрузку и настройки.
Пока не придумал как решить.

Автор:  Praporwik [ 12 июн 2020, 20:13 ]
Заголовок сообщения:  Re: NAT loopback на ISR

siqueiros писал(а):
Реально такие результаты, по крайней мере на 800-й серии.


на 800 серии может так и быть - т.к. железки начального уровня

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/