Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 15:35



Ответить на тему  [ Сообщений: 13 ] 
Проброс порта через vpn туннель 
Автор Сообщение

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
Коллеги, подскажите как решить такую задачу:
Нужно пробросить 80 порт с публичного IP Router1 на сервер, который находится за ipsec vpn туннелем на Router 2, схема примерно такая:
WAN_IP:80----R1----------------->VPN IPSEC----------------->R2------------------->192.168.0.10:80
На R1 делаю:
Код:
ip nat inside source static tcp 192.168.0.10 80 WAN_IP 80 extendable

Не работает.
Связность между роутерами есть, с R1 можно пинговать 192.168.0.10.
Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить.
Подскажите, как правильно реализовать такую схему?


18 апр 2018, 10:52
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
alex387 писал(а):
Коллеги, подскажите как решить такую задачу:
Нужно пробросить 80 порт с публичного IP Router1 на сервер, который находится за ipsec vpn туннелем на Router 2, схема примерно такая:
WAN_IP:80----R1----------------->VPN IPSEC----------------->R2------------------->192.168.0.10:80
На R1 делаю:
Код:
ip nat inside source static tcp 192.168.0.10 80 WAN_IP 80 extendable

Не работает.
Связность между роутерами есть, с R1 можно пинговать 192.168.0.10.
Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить.
Подскажите, как правильно реализовать такую схему?

когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам.


18 апр 2018, 10:58
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
alex387 писал(а):
Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить.
настроить маршрутизацию видимо.


18 апр 2018, 11:03
Профиль

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
sidsoft писал(а):
когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам.


Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть.
Если не через проброс портов, то как?


18 апр 2018, 11:06
Профиль

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
crash писал(а):
настроить маршрутизацию видимо.

Я не понимаю где и как нужно настраивать маршрутизацию, на R2 route-map какой-то нужен? Чтобы трафик правильно по туннелю назад уходил? Подскажите в каком направлении хотя бы двигаться.


18 апр 2018, 11:10
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
alex387 писал(а):
sidsoft писал(а):
когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам.


Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть.
Если не через проброс портов, то как?

Нет, не работает как "нужно", Вы сами пишете в первом посте этой темы:
Код:
Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить.

Туннель работать должен в обе стороны полноценно. Должно все "пинговаться" и "телнениться" по всем портам в обоих направлениях, это и есть полноценный IPSEC VPN без пробросов и т.п.


18 апр 2018, 11:52
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
Ваш сервер через R2 должен в инет выходить?


18 апр 2018, 11:56
Профиль

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
crash писал(а):
Ваш сервер через R2 должен в инет выходить?

Да, выходит в инет через R2, но надо чтобы проброс порта был через R1, т.е. при обращении на публичный ip на 80 порт на R1, должен ответить сервер который за R2.


18 апр 2018, 16:14
Профиль

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
sidsoft писал(а):
alex387 писал(а):
sidsoft писал(а):
когда у вас туннель заработает в полном смысле этого слова, вам пробрасывать ничего не придется. На все и вся будет доступ по всем "основным" протоколам.


Простите, но не понимаю о чем речь, туннель работает как нужно, связность между подсетями на R1 и R2 есть.
Если не через проброс портов, то как?

Нет, не работает как "нужно", Вы сами пишете в первом посте этой темы:
Код:
Я так понимаю, обратный трафик с R2 не идет как нужно, но не понимаю как это исправить.

Туннель работать должен в обе стороны полноценно. Должно все "пинговаться" и "телнениться" по всем портам в обоих направлениях, это и есть полноценный IPSEC VPN без пробросов и т.п.


Все так и есть, все пингуется, телнетится итп. Но проброс порта не работает.


18 апр 2018, 16:36
Профиль

Зарегистрирован: 21 мар 2013, 14:27
Сообщения: 147
Попробуйте направить на внешний IP R2. На внешнем IP R1 сделать проброс на внутренний IP web-сервера.
Или немного проще, поставить web-сервер за R2 и настроить редирект, можно через .htaccess если Apache или иной способ.
Так даже "надежней", если R2 "свалится" то на сервере за R1 можно страничку вывесить, мол тех.проблемы, подождите 5 мин...


18 апр 2018, 16:45
Профиль

Зарегистрирован: 13 июн 2017, 15:39
Сообщения: 3
Ну так и выводите сервер в инет через R1. Роутмап на R2 для сервера сделать.


18 апр 2018, 17:24
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
alex387 писал(а):
Да, выходит в инет через R2, но надо чтобы проброс порта был через R1, т.е. при обращении на публичный ip на 80 порт на R1, должен ответить сервер который за R2.
тогда по идее вам надо еще делать подмену адреса источника.


18 апр 2018, 18:46
Профиль

Зарегистрирован: 08 окт 2016, 12:31
Сообщения: 49
Вот в такой конфигурации как правильно прописать проброс?:

R1:

Код:
interface GigabitEthernet0/0
 description R1_WAN
 ip address R1_WAN_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description R1_LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto

interface Tunnel0
 description to R2
 ip address 10.10.10.10 255.255.255.252
 ip virtual-reassembly in
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination R2_WAN_IP
 tunnel protection ipsec profile ipsec

ip nat inside source static tcp 192.168.0.10 80 R1_WAN_IP 80 extendable
ip nat inside source route-map RM interface GigabitEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 R1_ISP_GW
ip route 192.168.0.0 255.255.255.0 Tunnel0

route-map RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/0

ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any


R2:

Код:
interface GigabitEthernet0/0
 description R2_WAN
 ip address R2_WAN_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description R2_LAN
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto

interface Tunnel0
 description to R1
 ip address 10.10.10.11 255.255.255.252
 ip virtual-reassembly in
 tunnel source GigabitEthernet0/0
 tunnel mode ipsec ipv4
 tunnel destination R1_WAN_IP
 tunnel protection ipsec profile ipsec


ip nat inside source route-map RM interface GigabitEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 R2_ISP_GW
ip route 192.168.1.0 255.255.255.0 Tunnel0

route-map RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/0

ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any


19 апр 2018, 09:32
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 13 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 87


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB