|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Проброс порта через vpn туннель
Автор |
Сообщение |
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
Коллеги, подскажите как решить такую задачу: Нужно пробросить 80 порт с публичного IP Router1 на сервер, который находится за ipsec vpn туннелем на Router 2, схема примерно такая: WAN_IP:80----R1----------------->VPN IPSEC----------------->R2------------------->192.168.0.10:80 На R1 делаю: Код: ip nat inside source static tcp 192.168.0.10 80 WAN_IP 80 extendable Не работает. Связность между роутерами есть, с R1 можно пинговать 192.168.0.10. Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить. Подскажите, как правильно реализовать такую схему?
|
18 апр 2018, 10:52 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
alex387 писал(а): Коллеги, подскажите как решить такую задачу: Нужно пробросить 80 порт с публичного IP Router1 на сервер, который находится за ipsec vpn туннелем на Router 2, схема примерно такая: WAN_IP:80----R1----------------->VPN IPSEC----------------->R2------------------->192.168.0.10:80 На R1 делаю: Код: ip nat inside source static tcp 192.168.0.10 80 WAN_IP 80 extendable Не работает. Связность между роутерами есть, с R1 можно пинговать 192.168.0.10. Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить. Подскажите, как правильно реализовать такую схему? когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам.
|
18 апр 2018, 10:58 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
alex387 писал(а): Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить. настроить маршрутизацию видимо.
|
18 апр 2018, 11:03 |
|
|
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
sidsoft писал(а): когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам. Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть. Если не через проброс портов, то как?
|
18 апр 2018, 11:06 |
|
|
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
crash писал(а): настроить маршрутизацию видимо. Я не понимаю где и как нужно настраивать маршрутизацию, на R2 route-map какой-то нужен? Чтобы трафик правильно по туннелю назад уходил? Подскажите в каком направлении хотя бы двигаться.
|
18 апр 2018, 11:10 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
alex387 писал(а): sidsoft писал(а): когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам. Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть. Если не через проброс портов, то как? Нет, не работает как "нужно", Вы сами пишете в первом посте этой темы: Код: Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить. Туннель работать должен в обе стороны полноценно. Должно все "пинговаться" и "телнениться" по всем портам в обоих направлениях, это и есть полноценный IPSEC VPN без пробросов и т.п.
|
18 апр 2018, 11:52 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Ваш сервер через R2 должен в инет выходить?
|
18 апр 2018, 11:56 |
|
|
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
crash писал(а): Ваш сервер через R2 должен в инет выходить? Да, выходит в инет через R2, но надо чтобы проброс порта был через R1, т.е. при обращении на публичный ip на 80 порт на R1, должен ответить сервер который за R2.
|
18 апр 2018, 16:14 |
|
|
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
sidsoft писал(а): alex387 писал(а): sidsoft писал(а): когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам. Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть. Если не через проброс портов, то как? Нет, не работает как "нужно", Вы сами пишете в первом посте этой темы: Код: Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить. Туннель работать должен в обе стороны полноценно. Должно все "пинговаться" и "телнениться" по всем портам в обоих направлениях, это и есть полноценный IPSEC VPN без пробросов и т.п. Все так и есть, все пингуется, телнетится итп. Но проброс порта не работает.
|
18 апр 2018, 16:36 |
|
|
sidsoft
Зарегистрирован: 21 мар 2013, 14:27 Сообщения: 147
|
Попробуйте направить на внешний IP R2. На внешнем IP R1 сделать проброс на внутренний IP web-сервера. Или немного проще, поставить web-сервер за R2 и настроить редирект, можно через .htaccess если Apache или иной способ. Так даже "надежней", если R2 "свалится" то на сервере за R1 можно страничку вывесить, мол тех.проблемы, подождите 5 мин...
|
18 апр 2018, 16:45 |
|
|
alex_0
Зарегистрирован: 13 июн 2017, 15:39 Сообщения: 3
|
Ну так и выводите сервер в инет через R1. Роутмап на R2 для сервера сделать.
|
18 апр 2018, 17:24 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
alex387 писал(а): Да, выходит в инет через R2, но надо чтобы проброс порта был через R1, т.е. при обращении на публичный ip на 80 порт на R1, должен ответить сервер который за R2. тогда по идее вам надо еще делать подмену адреса источника.
|
18 апр 2018, 18:46 |
|
|
alex387
Зарегистрирован: 08 окт 2016, 12:31 Сообщения: 49
|
Вот в такой конфигурации как правильно прописать проброс?: R1: Код: interface GigabitEthernet0/0 description R1_WAN ip address R1_WAN_IP 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description R1_LAN ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto
interface Tunnel0 description to R2 ip address 10.10.10.10 255.255.255.252 ip virtual-reassembly in tunnel source GigabitEthernet0/0 tunnel mode ipsec ipv4 tunnel destination R2_WAN_IP tunnel protection ipsec profile ipsec
ip nat inside source static tcp 192.168.0.10 80 R1_WAN_IP 80 extendable ip nat inside source route-map RM interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 R1_ISP_GW ip route 192.168.0.0 255.255.255.0 Tunnel0
route-map RM permit 10 match ip address NAT match interface GigabitEthernet0/0
ip access-list extended NAT permit ip 192.168.1.0 0.0.0.255 any R2: Код: interface GigabitEthernet0/0 description R2_WAN ip address R2_WAN_IP 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description R2_LAN ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto
interface Tunnel0 description to R1 ip address 10.10.10.11 255.255.255.252 ip virtual-reassembly in tunnel source GigabitEthernet0/0 tunnel mode ipsec ipv4 tunnel destination R1_WAN_IP tunnel protection ipsec profile ipsec
ip nat inside source route-map RM interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 R2_ISP_GW ip route 192.168.1.0 255.255.255.0 Tunnel0
route-map RM permit 10 match ip address NAT match interface GigabitEthernet0/0
ip access-list extended NAT permit ip 192.168.0.0 0.0.0.255 any
|
19 апр 2018, 09:32 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 29 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|