3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
1 | |
Двусторонний NAT14.08.2014, 10:32. Показов 3368. Ответов 16
Метки нет (Все метки)
Здравствуйте, уважаемые форумчане!
Прошу помощи в решении, видимо, несложной задачи, но мне она не даётся. На схеме, представленной ниже, необходимо дать возможность пк А ходить на удалённый рабочий стол пк В при условии:
Для этого надо было организовать (поправьте, если ошибаюсь) двусторонний NAT. Почитал разного в интернете (например:1, 2, 3, 4 и т. п.), поэкспериментировал, но не идёт...
0
|
14.08.2014, 10:32 | |
Ответы с готовыми решениями:
16
Не работает NAT Nat и CME Обход NAT Опять NAT |
0 / 0 / 0
Регистрация: 14.08.2014
Сообщений: 5
|
|
14.08.2014, 13:55 | 2 |
Так не пробовали?
ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
14.08.2014, 14:15 [ТС] | 3 |
у меня Software Version 7.2 и overload и extendable у меня нет (или я ошибаюсь?)
да и при такой схеме ответ пк В в сторону пк А будет направляться на шлюз, а не на ASA - т.е. ответ потеряется
0
|
0 / 0 / 0
Регистрация: 14.08.2014
Сообщений: 5
|
|
14.08.2014, 14:19 | 4 |
Да, вы правы.
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
14.08.2014, 15:31 | 5 |
Тут я решал вопрос overlapa
Но Вам тоже может подойти Site to site VPN ASA ciscoasa# show nat Manual NAT Policies (Section 1) 1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED если ПК А, НЕ знает ничего о сети ПК Б, но ему нужно достучаться до него ПК А = 10.10.10.1 ПК Б = 20.20.20.1 Как сделать так, что бы запросы дошли до ПК Б ? Придумываем сетку например 192.168.60.1 для сети ПК А Придумываем сетку для другой стороны 192.168.70.1 для сети ПК Б Говорим, что что бы вам дойти с ПК А до ПК Б, вам нужно набирать этот адрес 192.168.70.1 ПК А шлет icmp в src 10.10.10.1 в dest 192.168.70.1 Сначала он отправит на шлюз, на шлюзе нужмен маршут типа такого, если это не АСА ip route 192.168.70.1 255.255.255.255 IP ASA АСА получает пакет который попадает под правило ната и начинает натить Она перезабивает заголовки превращает src 10.10.10.1 в 192.168.60.1 dst 192.168.70.1 192.168.70.1 на АСЕ нужен маршут типа такого route outside 192.168.70.1 255.255.255.255 IP ASA Другой стороны Все, пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1 В таком виде доезжает до АСЫ партнера пакет НА Асе принимающий стороны, делает такой же нат Надеюсь это вам поможет, если я в тему пишу :0
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
14.08.2014, 15:45 [ТС] | 6 |
Спасибо, но мне всё надо решить только с применением одной ASA. Иначе я, действительно, смотрел бы в сторону создания VPN.
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
14.08.2014, 15:51 | 7 |
А в чем разница? таблица маршрутизации и есть таблица маршрутизации....
Укажите за каким интерфейсом сидит сеть ПК Б ? и оба ната можно сделать на одной асе, кто Вам мешает? у вас будет типа (interface ПК А) to (interface ПК Б) а второе правило ната (interface ПК Б) to (interface ПК А) От того что вы делаете все на одной АСЕ, ничего не поменяется. Это еще больше упрощает задачу
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
||||||
14.08.2014, 17:22 [ТС] | 8 | |||||
вот примерно так я и рассуждаю, но попробовав несколько вариантов (ссылки на которые давал выше) у меня ни чего не получилось.
Какие бы вы два правила NAT прописали? Например, вот так не работает:
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
14.08.2014, 17:59 | 9 |
для начала условия задачи не ясны.
почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация? где вы обращаетесь на внешний ИП? Если стоит задача, что по какой то причине, ПК А, не может набрать 192.168.100.20 ( например в его сети уже есть данная сеть, или обращаемся на внешний РЕАЛЬНЫЙ ИП ) то тогда делаемс так Смотря какая прошивка: Если делать обьектами У нас ASA и она знает где все сети, но сети не знают друг о друге, они будут указывать адрес АСЫ И так задача что бы ПК А мог пингануть ПК Б ПК А делает пинг ПК Б Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А ) Так как для ПК А, АСА это ШЛЮЗ? если нет, промежуточные L3 устройства должны быть правильно сконфигурированы object network LOCAL subnet 10.10.10.0 255.255.255.0 object network LOCAL-MAPPED subnet 192.168.10.0 255.255.255.0 object network REMOTE-MAPPED subnet 192.168.70.0 255.255.255.0 object network REMOTE-MAPPED2 subnet 192.168.100.0 255.255.255.0 nat (inerface ПК А,inerface ПК Б) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED2 Все на выходе у нас SRC = 192.168.10.10 DST = 192.168.100.20 в маршруте у нас указано искать 192.168.100.0 за inerface ПК Б Тут очень важный момент, если у ПК Б, Аса не ШЛЮЗ, то шлюз у ПК Б, нужно настроить корректно по маршуритзации анологично как и со стороны ПК А Когда АСА, после НАТА отправит Пакет ПК Б, он его обработает и отправит ICMP ответ, в котором будет SRC = 192.168.100.20 DST = 192.168.10.10 object network LOCAL2 subnet 192.168.100.0 255.255.255.0 object network LOCAL-MAPPED2 subnet 192.168.70.0 255.255.255.0 object network REMOTE-MAPPED3 subnet 192.168.10.0 255.255.255.0 object network REMOTE-MAPPED4 subnet 10.10.10.0 255.255.255.0 nat (inerface ПК Б,inerface ПК А) source static LOCAL2 LOCAL-MAPPED2 destination static REMOTE-MAPPED3 REMOTE-MAPPED4 Все на выходе у нас получается SRC = 192.168.70.20 DST = 10.10.10.10 Пишу на логику, не проверял так что все имхо Добавлено через 6 минут лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?) Видимо мои мозги плавятся от жары
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
14.08.2014, 18:35 [ТС] | 10 |
Приближу мою модель к реальной ситуации: между пк А и ASA расположен неподконтрольный нам маршрутизатор, который разрешает взаимодействовать только с ASA (там вообще по факту большая сеть, и не один маршрутизатор, но для модели это не важно). Таким образом пк А может обращаться только на ASA (IP 10.10.10.1)
Поэтому: ping 192.168.70.20 не дойдёт до ASA. P.S.: Изначально и писал в условии , но, что бы картинка не смущала, исправлю её в скором времени. Добавлено через 2 минуты ну так и есть
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
||||||
14.08.2014, 19:17 | 11 | |||||
Ох и запутали вы меня! нарисовали локальную сетку то... а на самом деле выглядит топология не так, да и двусторонний нат тут не в кассу, нужно гуглить просто port forwarding
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
14.08.2014, 21:03 [ТС] | 12 |
Вот если бы АСА была шлюзом для пк В то это работало бы.
А так не работает (только что ещё раз проверил) Причиной считаю следующее:
0
|
224 / 112 / 18
Регистрация: 27.09.2012
Сообщений: 575
|
|
15.08.2014, 10:08 | 13 |
Делаешь нат со стороны ПК В и на ПК В прописываешь что сеть 10.10.10.0 находится на 192.168.100.100. Потом пробрасываешь порты на нате. И должно всё заработать.
Добавлено через 1 час 8 минут Вот конфиг с циски. В аса другой синтаксис но принцип понятен. Кликните здесь для просмотра всего текста
Код
Router#sh run Building configuration... Current configuration : 829 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Router ! ! ! ! ! ! ip cef no ipv6 cef ! ! ! ! ! ! ! ! ! ! ! ! spanning-tree mode pvst ! ! ! ! ! ! interface FastEthernet0/0 ip address 10.10.10.1 255.255.255.0 ip nat outside duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.100.100 255.255.255.0 ip nat inside duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip nat pool nat_asa 10.10.10.200 10.10.10.200 netmask 255.255.255.0 ip nat inside source list 20 pool nat_asa overload ip nat inside source static 192.168.100.20 10.10.10.201 ip classless ! ip flow-export version 9 ! ! access-list 20 permit 192.168.100.0 0.0.0.254 ! ! ! ! ! line con 0 ! line aux 0 ! line vty 0 4 login ! ! ! end
1
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
15.08.2014, 10:36 [ТС] | 14 |
В принципе, это решит задачу.
Если не получиться сделать всё только на ASA то придётся делать как вы написали. Но, всё же, желательно не менять таблицу маршрутизации пк B: он видит пк A через свой шлюз (192.168.100.1) - неподконтрольное нам устройство, и, поменяв маршрут, я запущу почти весь трафик через ASA, а надо только RDP. За пк А на самом деле скрывается несколько серверов.
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
15.08.2014, 11:08 | 15 |
я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены.
Это вообще то и означает правильная маршрутизация, я не знаю по каким причинам вы не можете ее настроить, но static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести? у меня нет такой версии АСЫ, но я уверен что у вас есть такая замечательная клавиша ? там иногда пишут полезные вещи kroniel, оххх, если знания ната в роутерах помогали бы на асах, я был бы счастлив На всякий случай конструкция остается такой же... access-list rdp_in extended permit tcp any interface outside eq 3389 static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 ( тут я не уверен, нет асы со старой прошивкой, но как то так, логика ната везде одинакова... просто по разному ее можно забить в АСАХ ) access-group rdp_in in interface outside
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
15.08.2014, 12:08 [ТС] | 16 |
именно это я и хочу сделать - настроить ASA
менять маршрутизацию на пк А нельзя (если надо, могу объяснить почему) менять маршрутизацию на пк В, как предложил kroniel можно, но это не есть "хорошо". Задача - взаимодействие через ASA только по RDP. такая строка один в один сейчас в конфиге на моей ASA - не работает! И не будет, так как пк А нельзя смаршрутизировать на сеть 192.168.100.0/24 P.S. Я видимо зря упростил схему, понадеявшись только на текстовое условие. Прошу прощения, если запутал этим. В ближайшее время исправлю.
0
|
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
|
|
15.08.2014, 12:40 [ТС] | 17 |
Вот уточнённая схема.
Доступа к настройкам шлюза X и Y нет. шлюзы и asa смаршрутизированны в сети между собой.
0
|
15.08.2014, 12:40 | |
15.08.2014, 12:40 | |
Помогаю со студенческими работами здесь
17
Использование NAT Отключение NAT Ошибка в NAT ipsec+NAT Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |