URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20044
[ Назад ]
Исходное сообщение
"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 13:20 
Добрый день.
Очень нужна ваша помощь, мучаюсь уже неделю:

Есть маршрутизатор 3COM (ip 62.119.119.2) в него приходит инет и уходит по VPN L2 в различные филиалы, в одном из филиалов стоит CISCO 7200 серии, одним интерфейсом (f1/0) подлюченный к 3COM (ip 62.119.119.76), вторым интерфейсом (f1/1) подключен в другую сеть (ip 10.108.140.60), шлюз в той сети 10.108.140.202. Сеть 10.108 имеет доступ к веб ресурсу torgmosopt.ru с IP адресом 10.36.23.23. С циски я пингую этот адрес без проблем.
Нужно настроить оборудование так, чтоб я с любого филиала мог залезать на веб ресурс. Я настраивал НАТ, причем как с пулом так и статический, т.е. если обращаются на 62.117.119.76 80 портом то он пробрасывает на 10.36.23.23:80, не работает, ну так по идеи и не должно получаться, я так понимаю  сеть 10.108 меня пробрасывает тупо дальше на 10.36.23.23. Значит нужно войти в эту сеть, и настроить статический хост если torgmosopt.ru то на 10.36.23.23. Сори если запутано, вот такая тут маршрутизация.
Мои настройки на Циско:

interface FastEthernet1/0
ip address 62.119.119.76 255.255.255.128
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.108.140.60 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.108.140.202
no ip http server
no ip http secure-server
!
!
ip nat pool poolgmts 10.108.140.61 10.108.140.70 netmask 255.255.255.0
ip nat inside source list 20 pool poolgmts
!
logging alarm informational
access-list 20 permit 62.119.119.0 0.0.0.127

Причем вот при таких настройках, если я лезу из сети 62.119 то у меня вообще ничего не натится (судя по дебаг ип нат), а если вот лезу из инета то НАТ работает (???). Уже и не знаю куда копать.
В принципе не обязательно использовать для этого Циску, может попробовать какой нить никс для этого? Но конечно хотелось бы ограничиться циской.

Содержание
Сообщения в этом обсуждении
"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 13:45 
>[оверквотинг удален]
>!
>logging alarm informational
>access-list 20 permit 62.119.119.0 0.0.0.127
>
>Причем вот при таких настройках, если я лезу из сети 62.119 то
>у меня вообще ничего не натится (судя по дебаг ип нат),
>а если вот лезу из инета то НАТ работает (???). Уже
>и не знаю куда копать.
>В принципе не обязательно использовать для этого Циску, может попробовать какой нить
>никс для этого? Но конечно хотелось бы ограничиться циской.

а кто такой 62.117.119.76 80, он где расположен?
во всех остальных местах у вас сеть 62.119.119.Х.
где расположен 10.36.23.23?
в общем если вы хотите чтобы ваш сервер с приватным адресом 10.36.23.23 был доступен из
вне по адресу 62.117.119.76, то ip nat inside source static 10.36.23.23 62.117.119.76

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 14:00 
>[оверквотинг удален]
>>В принципе не обязательно использовать для этого Циску, может попробовать какой нить
>>никс для этого? Но конечно хотелось бы ограничиться циской.
>
>а кто такой 62.117.119.76 80, он где расположен?
>во всех остальных местах у вас сеть 62.119.119.Х.
>где расположен 10.36.23.23?
>в общем если вы хотите чтобы ваш сервер с приватным адресом 10.36.23.23
>был доступен из
>вне по адресу 62.117.119.76, то ip nat inside source static 10.36.23.23 62.117.119.76
>

опечатался, 62.119.119.76 80.
А вот 10.36.23.23 расположен в чужой сети, в которую как раз я могу попасть через их шлюз 10.108.140.202.
Вот почему то не натится так, т.е. дебаг не показывает что идет нат, хотя настроено все правильно.

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 14:07 
>[оверквотинг удален]
>>в общем если вы хотите чтобы ваш сервер с приватным адресом 10.36.23.23
>>был доступен из
>>вне по адресу 62.117.119.76, то ip nat inside source static 10.36.23.23 62.117.119.76
>>
>
>опечатался, 62.119.119.76 80.
>А вот 10.36.23.23 расположен в чужой сети, в которую как раз я
>могу попасть через их шлюз 10.108.140.202.
>Вот почему то не натится так, т.е. дебаг не показывает что идет
>нат, хотя настроено все правильно.

думаю будет достаточно прописать маршрут на 10.36.23.23 через 10.108.140.202 и нат, имхо,
вам не нужен.
или объясните подробнее, что вы хотите.

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 14:15 
>[оверквотинг удален]
>>>
>>
>>опечатался, 62.119.119.76 80.
>>А вот 10.36.23.23 расположен в чужой сети, в которую как раз я
>>могу попасть через их шлюз 10.108.140.202.
>>Вот почему то не натится так, т.е. дебаг не показывает что идет
>>нат, хотя настроено все правильно.
>думаю будет достаточно прописать маршрут на 10.36.23.23 через 10.108.140.202 и нат, имхо,
>
>вам не нужен.

ip route 10.36.23.23 255.255.255.254 10.108.140.202 ??

с циски я тогда пингую веб ресурс, но если лезу с другого филиала он меня не прокидывает туда, и да, у других филиалов шлюзом стоит не 76 а 62.119.119.2, т.е. по идеи надо как то сделать чтоб при обращении на 76ой он прокидывал дальше.

Я так понимаю, загвоздка у меня в том что если я лезу из сети 62.119 то у меня не идет НАТ, логи молчат, а вот если лезу из сети, то:

Aug 10 20:58:39.752: NAT: s=62.119.119.76->10.108.140.60, d=84.47.169.50 [17943
]

может быть дело в 3COMe?

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 14:20 
>[оверквотинг удален]
>то сделать чтоб при обращении на 76ой он прокидывал дальше.
>
>Я так понимаю, загвоздка у меня в том что если я лезу
>из сети 62.119 то у меня не идет НАТ, логи молчат,
>а вот если лезу из сети, то:
>
>Aug 10 20:58:39.752: NAT: s=62.119.119.76->10.108.140.60, d=84.47.169.50 [17943
>]
>
>может быть дело в 3COMe?

в других филиалах роут 10.36.23.23 через 62.119.119.76

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 15:19 
>[оверквотинг удален]
>>Я так понимаю, загвоздка у меня в том что если я лезу
>>из сети 62.119 то у меня не идет НАТ, логи молчат,
>>а вот если лезу из сети, то:
>>
>>Aug 10 20:58:39.752: NAT: s=62.119.119.76->10.108.140.60, d=84.47.169.50 [17943
>>]
>>
>>может быть дело в 3COMe?
>
>в других филиалах роут 10.36.23.23 через 62.119.119.76

Так не хочет работать((
C:\Documents and Settings\shady>tracert 10.36.23.23

Tracing route to 10.36.173.142 over a maximum of 30 hops

  1     1 ms     1 ms     1 ms  62.119.119.76
  2     *        *        *     Request timed out.

Ип 10.36.23.23 находится не в нашей сети, и попасть мы туда можем только через сеть 10.108, которая тоже не наша, админы сети этой говорят настраивайте НАТ в нашу сеть и пользуйтесь нашими днс и будет вам счастье...

почему не натиться если обращаюсь из сети 62.119 на 76ой ип, вот в чем вопрос

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 15:34 
>[оверквотинг удален]
>   *        
>*     Request timed out.
>
>Ип 10.36.23.23 находится не в нашей сети, и попасть мы туда можем
>только через сеть 10.108, которая тоже не наша, админы сети этой
>говорят настраивайте НАТ в нашу сеть и пользуйтесь нашими днс и
>будет вам счастье...
>
>почему не натиться если обращаюсь из сети 62.119 на 76ой ип, вот
>в чем вопрос

хм. требуется более детальное описание:
какие сети в филиалах?
филиалы могут ходить друг к другу, как?
ip rout с 76.
ну и не дурно схемку.

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 16:14 
Сеть можно сказать одна во главе с 3COM 62.119.119.2. Филиалы соответственно ходят к друг другу по этой сети, т.е. если на 3ком нет инета, все равно внутренние ресурсы работают (сеть предоставляет провайдер VPN L2).

http://ipicture.ru/Gallery/Viewfull/27009929.html вот так набросал быстренько, что не понятно, спрашивайте, очень нужны помощь )

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 16:23 
>Сеть можно сказать одна во главе с 3COM 62.119.119.2. Филиалы соответственно ходят
>к друг другу по этой сети, т.е. если на 3ком нет
>инета, все равно внутренние ресурсы работают (сеть предоставляет провайдер VPN L2).
>
>
>http://ipicture.ru/Gallery/Viewfull/27009929.html вот так набросал быстренько, что не понятно, спрашивайте, очень нужны помощь
>)

вы у роутеров внешние 62.119.119.Х адреса так просто указали или это на самом деле так
(в смысле они на самом деле внешние)?
трайсер из филиала на 10.36.23.23 покажите.

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 17-Ноя-09 17:07 
>[оверквотинг удален]
>>инета, все равно внутренние ресурсы работают (сеть предоставляет провайдер VPN L2).
>>
>>
>>http://ipicture.ru/Gallery/Viewfull/27009929.html вот так набросал быстренько, что не понятно, спрашивайте, очень нужны помощь
>>)
>
>вы у роутеров внешние 62.119.119.Х адреса так просто указали или это на
>самом деле так
>(в смысле они на самом деле внешние)?
>трайсер из филиала на 10.36.23.23 покажите.

Они действительно внешние.
Трейсер, если маршрут в филиале прописан что через 76ой на 10.36 лезть, то соответственно до 76го доходит и всё, там тормозит, с 76го (с циски) трейсер:

traceroute 10.36.23.23

Type escape sequence to abort.
Tracing the route to 10.36.23.23

  1 10.108.140.202 156 msec 0 msec 0 msec
  2 10.110.101.17 4 msec 0 msec 0 msec
  3  *  *  *
  4 10.45.254.29 0 msec 4 msec 0 msec
  5 10.36.247.33 0 msec 4 msec 0 msec
  6 10.36.23.23 0 msec 4 msec 0 msec

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 17-Ноя-09 17:27 
>[оверквотинг удален]
>
>Type escape sequence to abort.
>Tracing the route to 10.36.23.23
>
>  1 10.108.140.202 156 msec 0 msec 0 msec
>  2 10.110.101.17 4 msec 0 msec 0 msec
>  3  *  *  *
>  4 10.45.254.29 0 msec 4 msec 0 msec
>  5 10.36.247.33 0 msec 4 msec 0 msec
>  6 10.36.23.23 0 msec 4 msec 0 msec

все таки покажите sh ip rout с 76 циски.
с хостов подключенных к 76 все нормально?

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 18-Ноя-09 09:17 
>[оверквотинг удален]
>>
>>  1 10.108.140.202 156 msec 0 msec 0 msec
>>  2 10.110.101.17 4 msec 0 msec 0 msec
>>  3  *  *  *
>>  4 10.45.254.29 0 msec 4 msec 0 msec
>>  5 10.36.247.33 0 msec 4 msec 0 msec
>>  6 10.36.23.23 0 msec 4 msec 0 msec
>
>все таки покажите sh ip rout с 76 циски.
>с хостов подключенных к 76 все нормально?

     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S       10.36.173.142/31 [1/0] via 10.108.140.202
C       10.108.140.0/24 is directly connected, FastEthernet1/1
     62.0.0.0/25 is subnetted, 1 subnets
C       62.117.119.0 is directly connected, FastEthernet1/0
S*   0.0.0.0/0 [1/0] via 62.117.119.2


с хостов тоже не нормально, нат не идет и все тут..

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 18-Ноя-09 09:52 
>[оверквотинг удален]
>S       10.36.173.142/31 [1/0] via 10.108.140.202
>C       10.108.140.0/24 is directly connected, FastEthernet1/1
>
>     62.0.0.0/25 is subnetted, 1 subnets
>C       62.117.119.0 is directly connected, FastEthernet1/0
>
>S*   0.0.0.0/0 [1/0] via 62.117.119.2
>
>
>с хостов тоже не нормально, нат не идет и все тут..

показывайте настройки для интерфейса за которым сидят хосты 76 и нат для них.
хосты в приватной сети или тоже у всех внешние ИП?


"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 18-Ноя-09 15:24 
>[оверквотинг удален]
>>C       62.117.119.0 is directly connected, FastEthernet1/0
>>
>>S*   0.0.0.0/0 [1/0] via 62.117.119.2
>>
>>
>>с хостов тоже не нормально, нат не идет и все тут..
>
>показывайте настройки для интерфейса за которым сидят хосты 76 и нат для
>них.
>хосты в приватной сети или тоже у всех внешние ИП?

interface FastEthernet1/0
ip address 62.119.119.76 255.255.255.128
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 10.108.140.60 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!

ip classless
ip route 0.0.0.0 0.0.0.0 10.108.140.202
no ip http server
no ip http secure-server
!
!
ip nat pool poolgmts 10.108.140.61 10.108.140.70 netmask 255.255.255.0
ip nat inside source list 30 pool poolgmts overload
!
logging alarm informational
access-list 30 permit 62.119.119.0 0.0.0.127

у хостов внешние ипы

вот при такой конфе нат идет отовсюду кроме сети 62.119...


*Aug 11 22:13:58.974: NAT: address not stolen for 62.117.119.76, proto 6 port 80
*Aug 11 22:13:58.974: NAT: creating portlist proto 6 globaladdr 10.108.140.62
*Aug 11 22:13:58.974: NAT: Allocated Port for 62.117.119.76 -> 10.108.140.62: wanted 80 got 80
*Aug 11 22:13:58.974: NAT: i: tcp (62.117.119.76, 80) -> (84.47.169.50, 3772) [26833]
*Aug 11 22:13:58.974: NAT: s=62.117.119.76->10.108.140.62, d=84.47.169.50 [26833]
*Aug 11 22:13:58.974: NAT: installing alias for address 10.108.140.62

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 18-Ноя-09 15:25 
>[оверквотинг удален]
>вот при такой конфе нат идет отовсюду кроме сети 62.119...
>
>
>*Aug 11 22:13:58.974: NAT: address not stolen for 62.117.119.76, proto 6 port
>80
>*Aug 11 22:13:58.974: NAT: creating portlist proto 6 globaladdr 10.108.140.62
>*Aug 11 22:13:58.974: NAT: Allocated Port for 62.117.119.76 -> 10.108.140.62: wanted 80 got 80
>*Aug 11 22:13:58.974: NAT: i: tcp (62.117.119.76, 80) -> (84.47.169.50, 3772) [26833]
>*Aug 11 22:13:58.974: NAT: s=62.117.119.76->10.108.140.62, d=84.47.169.50 [26833]
>*Aug 11 22:13:58.974: NAT: installing alias for address 10.108.140.62

62.117 это та же сеть что и 62.119 :)

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено blank , 18-Ноя-09 15:56 
>[оверквотинг удален]
>>
>>*Aug 11 22:13:58.974: NAT: address not stolen for 62.117.119.76, proto 6 port
>>80
>>*Aug 11 22:13:58.974: NAT: creating portlist proto 6 globaladdr 10.108.140.62
>>*Aug 11 22:13:58.974: NAT: Allocated Port for 62.117.119.76 -> 10.108.140.62: wanted 80 got 80
>>*Aug 11 22:13:58.974: NAT: i: tcp (62.117.119.76, 80) -> (84.47.169.50, 3772) [26833]
>>*Aug 11 22:13:58.974: NAT: s=62.117.119.76->10.108.140.62, d=84.47.169.50 [26833]
>>*Aug 11 22:13:58.974: NAT: installing alias for address 10.108.140.62
>
>62.117 это та же сеть что и 62.119 :)

отовсюду это откуда точнее?
у хостов 62.119.х.х дефолтным маршрутом указан адрес отличный от 62.119.119.76 вот трафик
к нему и не попадает, поэтому и ната нет, имхо.
если роутинг все таки работает правильно, может попробовать статик нат?

"Проброс на ресурс в другой сети (CISCO 7200)"
Отправлено shadyflash , 19-Ноя-09 09:32 
>[оверквотинг удален]
>>>*Aug 11 22:13:58.974: NAT: s=62.117.119.76->10.108.140.62, d=84.47.169.50 [26833]
>>>*Aug 11 22:13:58.974: NAT: installing alias for address 10.108.140.62
>>
>>62.117 это та же сеть что и 62.119 :)
>
>отовсюду это откуда точнее?
>у хостов 62.119.х.х дефолтным маршрутом указан адрес отличный от 62.119.119.76 вот трафик
>
>к нему и не попадает, поэтому и ната нет, имхо.
>если роутинг все таки работает правильно, может попробовать статик нат?

отовсюду это я имею ввиду из инета.
я у хоста прописываю роут до 10.36.23.23 через 76ой.
статик нат тоже пробовал.. странно конечно, до этого по этой же схеме настраивал, работало, правда не много другая задача была, но смысл тот же
Сейчас пока тут не получается поднял нат на фряхе, подрубил, все пашет, натится и работает) пока буду думать, если есть какие нить предложения, рад буду слышать)) Спасибо