https://www.opennet.ru/openforum/vsluhforumID6/18076.html добрый день уважаемые цисковеды<br>не могу понять в чем проблема<br>есть Cisco 1811<br>за ней две подсетки<br>vlan1<br>192.168.0.0/24 - основная локалка <br>vlan2<br>192.168.1.0/24 - в этой подсети есть сервак 192.168.1.2<br>еще есть вот такое<br>ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable<br>ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable<br><br>есть CiscoPix за ней одна подсеть<br>192.168.2.0/24<br><br>между этими желязяками настроен впн<br>все три сети связаны др с др по в любым портам<br>но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 или 22 порту то ничего не получается соединение просто отваливается, а если допустим по 21 или 23 то все отлично работает<br>при этом из 192.168.0.0 я спокойно обращаюсь к этим портам<br>как только статическую трансляцию выключаю спокойно захожу на эти порты<br>подскажите пожалуйста как быть <br> https://www.opennet.ru/openforum/vsluhforumID6/18076.html#7 Tue, 02 Mar 2010 04:34:17 GMT Всем Здравствуйте!<br><br>У меня подобная проблема<br><br>Cisco: c2800nm-adventerprisek9_sna-mz.124-24.T2, два интерфейса:<br> 1) от ISP один внешний ip адрес x.x.x.x<br> 2) внутренний 192.168.1.1<br><br>192.168.1.2 - почтовый сервер<br>есть VPN к удаленной сети 10.10.1.0<br><br><br>Описанная схема прекрасно работает. Сервер получает, отправляет почту, клиенты из сетей 192.168.1.0 и 10.10.1.0 отправляют и получают почту через 192.168.1.2<br><br>!<br>access-list 130 deny tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp<br>access-list 130 permit tcp any host x.x.x.x eq smtp<br>!<br>route-map nonat permit 10<br> match ip address 130<br>!<br>access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255<br>access-list 110 permit ip host 192.168.1.2 any<br>!<br>route-map ISP permit 10<br> match ip address 110<br>!<br>ip nat inside source static tcp 192.168.1.2 25 x.x.x.x 25 route-map nonat extendable<br>ip nat inside source route-map ISP interface gi0/1.1 overload<br>!<br><br>Возникла задача отправлять почту через внешний SMTP-сервер(ip: s.s.s.s), хоста 192.1 https://www.opennet.ru/openforum/vsluhforumID6/18076.html#6 Thu, 29 Jan 2009 12:51:34 GMT тема закрыта вот таким образом:<br>ip nat inside source static tcp 192.168.1.2 80 а.а.а.а 80 route-map nonat-map<br>и все заработало!!<br> https://www.opennet.ru/openforum/vsluhforumID6/18076.html#5 Thu, 29 Jan 2009 06:59:12 GMT <br>&gt;route map c роутами покажите <br><br>ip access-list extended nonat<br> deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255<br>ip nat inside source route-map nonat-map pool GlobalPool overload<br>route-map nonat-map permit 10<br> match ip address nonat<br> match interface FastEthernet1 // интерфейс который смотрит в нет<br><br><br>ip access-list extended LocalNet<br> deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255<br> permit ip 192.168.0.0 0.0.255.255 any<br>этот ацл применен на vlan1 и vlan2<br><br>у меня есть еще пара удаленных филиалов с которыми настроен впн через роутеры и гре тоннели (и с них я спокойно захожу на пробрасываемые порты)<br>так вот когда я делаю sh ip route <br>во все удаленные подсетки которые за роутерами прописаны маршруты через тоннели,<br>а в подсеть которая за пиксой маршрута как такового нет<br>скорее всего когда я из проблемной сети обращаюсь на 192.168.1.2 80 то ответ пытается пройти через внешние адреса<br>мудрено конечно но я другого варианта не вижу<br>пытался вручную прописать маршрут <br>ip route 192.1 https://www.opennet.ru/openforum/vsluhforumID6/18076.html#4 Fri, 23 Jan 2009 13:25:36 GMT &gt;&gt;есть Cisco 1811 <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable <br>&gt;&gt;но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 <br>&gt;&gt;или 22 порту то ничего не получается соединение просто отваливается<br>&gt;<br>&gt;Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 . <br>&gt;<br>&gt;Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http <br>&gt;. <br><br>попробовал ради интереса<br>ip nat inside source static tcp 192.168.0.136 3389 a.a.a.a 3389 extendable <br><br>если раньше из 192.168.2.0 был доступ на этот комп по этому порту то он тутже пропал<br>а из 192.168.1.0 остался<br>похоже что появляется какая-то коллизия с обратными пакетами<br>как ее побороть? снифером на компах видны попытки коннекта<br> https://www.opennet.ru/openforum/vsluhforumID6/18076.html#3 Fri, 23 Jan 2009 13:23:23 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;сервисы точно другие не запущены порты на самом деле другие - необходимые <br>&gt;для работы специфического ПО <br>&gt;когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2 <br>&gt;<br>&gt;когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается <br>&gt;sh ip route говорит <br>&gt;что в 192.168.1.0 надо ходить через vlan2 <br>&gt;на vlan2 висит роутмап в которой четко прописано что можно ходить и <br>&gt;в 192.168.0.0 и в 192.168.2.0 по всему ip <br><br>route map c роутами покажите <br><br> https://www.opennet.ru/openforum/vsluhforumID6/18076.html#2 Fri, 23 Jan 2009 12:13:13 GMT &gt;&gt;есть Cisco 1811 <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable <br>&gt;&gt;ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable <br>&gt;&gt;но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 <br>&gt;&gt;или 22 порту то ничего не получается соединение просто отваливается<br>&gt;<br>&gt;Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 . <br>&gt;<br>&gt;Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http <br>&gt;. <br><br>сервисы точно другие не запущены порты на самом деле другие - необходимые для работы специфического ПО<br>когда коннект снаружи на условный а.а.а.а:80 то трансляция происходит именно на 192.168.1.2<br>когда коннект идет на 192.168.1.2:80 из 192.168.0.0 тоже все корректно отрабатывается<br>sh ip route говорит<br>что в 192.168.1.0 надо ходить через vlan2 <br>на vlan2 висит роутмап в которой четко прописано что можно ходить и в 192.168.0.0 и в 192.168.2.0 по всему ip<br> https://www.opennet.ru/openforum/vsluhforumID6/18076.html#1 Fri, 23 Jan 2009 11:39:03 GMT &gt;есть Cisco 1811 <br>&gt;ip nat inside source static tcp 192.168.1.2 80 a.a.a.a 80 extendable <br>&gt;ip nat inside source static tcp 192.168.1.2 22 a.a.a.a 22 extendable <br>&gt;но если возникает необходимость получить доступ из 192.168.2.0 к 192.168.1.2 по 80 <br>&gt;или 22 порту то ничего не получается соединение просто отваливается<br><br>Наверно на a.a.a.a свой сервис запущен на портах 80 и 22 .<br>Выберите другие порты или остановите сервисы на a.a.a.a , хотя бы http .<br><br>