Сообщения без ответов | Активные темы Текущее время: 18 янв 2022, 04:44



Ответить на тему  [ Сообщений: 6 ] 
cisco NAT как зайти на внешний адрес изнутри локалки 
Автор Сообщение

Зарегистрирован: 25 сен 2018, 10:49
Сообщения: 31
Добрый день, такой вопрос: на роутере cisco 1921 есть проброс порта 81 внутрь сети:



interface GigabitEthernet0/0
ip address dhcp
ip access-group OutsideBorder in
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto


interface GigabitEthernet0/1.77
encapsulation dot1Q 77
ip address 192.168.0.1 255.255.255.0 secondary
ip address 10.0.130.65 255.255.255.224
ip nat inside
ip virtual-reassembly in

ip nat inside source static tcp 192.168.0.10 81 interface GigabitEthernet0/0 8081

Но если из сети 10.0.130.65/27 пытаемся зайти на внешний адрес и порт 8081, то не открывается (с внешки все работает).
ПОлучается что nat не срабатывает с внутреннего интерфейса, как бы это обойти? может кто сталкивался.


30 мар 2021, 09:03
Профиль

Зарегистрирован: 18 май 2020, 09:14
Сообщения: 17
nat работает, это просто стандартное поведение, открывать изнутри сети по внутреннему адресу, чтобы работало по внешнему адресу надо настаивать дополнительно


30 мар 2021, 14:29
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 42
lynx1402 писал(а):
nat работает, это просто стандартное поведение, открывать изнутри сети по внутреннему адресу, чтобы работало по внешнему адресу надо настаивать дополнительно

Ну он и спрашивает "как бы это обойти".
Была похожая задача, но там решилось простым добавлением записи в ДНС.


30 мар 2021, 14:52
Профиль

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 52
cr1m писал(а):
ПОлучается что nat не срабатывает с внутреннего интерфейса, как бы это обойти? может кто сталкивался.


NAT hairpin в циске в таком конфиге к сожалению не работает. Ваши запросы НАТятся и улетают в сторону провайдера, где умирают.

Есть вариант использовать механизм NAT-NVI, он слегка по другому настраивается, но с ним не работает PPTP наружу, и еще подобные приколы были.

Еще вариант попробовать - взять у провайдера еще IP, и пользователей натить на один внешний адрес, а сервер натить на второй. Есть шанс что получится, но лучше проверить в лабе.


06 апр 2021, 16:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1877
Цитата:
Еще вариант попробовать - взять у провайдера еще IP, и пользователей натить на один внешний адрес, а сервер натить на второй. Есть шанс что получится, но лучше проверить в лабе.

Думаю, что не получится.
Можно попробовать через NAT NVI, но с ним гарантированно не работает ZBF, да и еще много чего, наверное.
Самый лучший способ решить это - решить через это через DNS, как уже говорилось...


07 апр 2021, 10:59
Профиль

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 52
Nikolay_ писал(а):
Цитата:
Еще вариант попробовать - взять у провайдера еще IP, и пользователей натить на один внешний адрес, а сервер натить на второй. Есть шанс что получится, но лучше проверить в лабе.

Думаю, что не получится.


У меня получилось. Единственно - аплинк должен IP redirect выключить у себя, скорее всего.


07 апр 2021, 12:03
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB