3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
1

Двусторонний NAT

14.08.2014, 10:32. Показов 3368. Ответов 16
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Здравствуйте, уважаемые форумчане!
Прошу помощи в решении, видимо, несложной задачи, но мне она не даётся.

На схеме, представленной ниже, необходимо дать возможность пк А ходить на удалённый рабочий стол пк В при условии:

  • пк А обращается на внешний IP ASA, и не знает о внутренней сети (то бишь NAT)
  • ASA не является шлюзом для пк В
  • крайне не желательно править таблицу маршрутизации пк В

Для этого надо было организовать (поправьте, если ошибаюсь) двусторонний NAT. Почитал разного в интернете (например:1, 2, 3, 4 и т. п.), поэкспериментировал, но не идёт...
Миниатюры
Двусторонний NAT  
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.08.2014, 10:32
Ответы с готовыми решениями:

Не работает NAT
Приветствую форумчане. Прошу помощи, настраиваю циску 1921 с нуля. Не впервой делаю нат на данных...

Nat и CME
Добрый день! имеется корпоративная сеть с работающим в ней CME. Имеется потребность в подключении...

Обход NAT
Есть сеть "маршрутизатор->свич->шлюз->сервер". Нужно пустить пинги с маршрутизатора на сервер. Со...

Опять NAT
Добрый вечер всем. Возникла проблема с nat на cisco 2800 версия ios Version 12.4(13r)T Коротко...

16
0 / 0 / 0
Регистрация: 14.08.2014
Сообщений: 5
14.08.2014, 13:55 2
Так не пробовали?
ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
14.08.2014, 14:15  [ТС] 3
Цитата Сообщение от crash99 Посмотреть сообщение
Так не пробовали?
ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable
у меня Software Version 7.2 и overload и extendable у меня нет (или я ошибаюсь?)


да и при такой схеме ответ пк В в сторону пк А будет направляться на шлюз, а не на ASA - т.е. ответ потеряется
0
0 / 0 / 0
Регистрация: 14.08.2014
Сообщений: 5
14.08.2014, 14:19 4
Да, вы правы.
0
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
14.08.2014, 15:31 5
Тут я решал вопрос overlapa
Но Вам тоже может подойти
Site to site VPN ASA

ciscoasa# show nat
Manual NAT Policies (Section 1)
1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED

если ПК А, НЕ знает ничего о сети ПК Б, но ему нужно достучаться до него

ПК А = 10.10.10.1
ПК Б = 20.20.20.1

Как сделать так, что бы запросы дошли до ПК Б ?
Придумываем сетку например 192.168.60.1 для сети ПК А
Придумываем сетку для другой стороны 192.168.70.1 для сети ПК Б

Говорим, что что бы вам дойти с ПК А до ПК Б, вам нужно набирать этот адрес 192.168.70.1

ПК А шлет icmp в src 10.10.10.1 в dest 192.168.70.1
Сначала он отправит на шлюз, на шлюзе нужмен маршут типа такого, если это не АСА
ip route 192.168.70.1 255.255.255.255 IP ASA

АСА получает пакет который попадает под правило ната и начинает натить
Она перезабивает заголовки
превращает
src 10.10.10.1 в 192.168.60.1
dst 192.168.70.1 192.168.70.1

на АСЕ нужен маршут типа такого

route outside 192.168.70.1 255.255.255.255 IP ASA Другой стороны

Все, пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1

В таком виде доезжает до АСЫ партнера пакет

НА Асе принимающий стороны, делает такой же нат

Надеюсь это вам поможет, если я в тему пишу :0
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
14.08.2014, 15:45  [ТС] 6
Цитата Сообщение от Liksx Посмотреть сообщение
Все пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1
В таком виде доезжает до АСЫ партнера пакет
Спасибо, но мне всё надо решить только с применением одной ASA. Иначе я, действительно, смотрел бы в сторону создания VPN.
0
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
14.08.2014, 15:51 7
А в чем разница? таблица маршрутизации и есть таблица маршрутизации....

Укажите за каким интерфейсом сидит сеть ПК Б ? и оба ната можно сделать на одной асе, кто Вам мешает?

у вас будет типа (interface ПК А) to (interface ПК Б)
а второе правило ната (interface ПК Б) to (interface ПК А)

От того что вы делаете все на одной АСЕ, ничего не поменяется. Это еще больше упрощает задачу
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
14.08.2014, 17:22  [ТС] 8
Цитата Сообщение от Liksx Посмотреть сообщение
у вас будет типа (interface ПК А) to (interface ПК Б)
а второе правило ната (interface ПК Б) to (interface ПК А)
вот примерно так я и рассуждаю, но попробовав несколько вариантов (ссылки на которые давал выше) у меня ни чего не получилось.
Какие бы вы два правила NAT прописали?


Например, вот так не работает:

Bash
1
2
3
4
5
6
access-list inside_access_in extended permit tcp any any 
access-list outside_access_in extended permit tcp any any 
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255 
static (outside,inside) tcp interface 3389 10.10.10.10 3389 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
0
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
14.08.2014, 17:59 9
для начала условия задачи не ясны.
почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация? где вы обращаетесь на внешний ИП?
Если стоит задача, что по какой то причине, ПК А, не может набрать 192.168.100.20 ( например в его сети уже есть данная сеть, или обращаемся на внешний РЕАЛЬНЫЙ ИП ) то тогда делаемс так

Смотря какая прошивка:

Если делать обьектами

У нас ASA и она знает где все сети, но сети не знают друг о друге, они будут указывать адрес АСЫ

И так задача что бы ПК А мог пингануть ПК Б

ПК А делает пинг ПК Б

Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А )

Так как для ПК А, АСА это ШЛЮЗ? если нет, промежуточные L3 устройства должны быть правильно сконфигурированы

object network LOCAL
subnet 10.10.10.0 255.255.255.0

object network LOCAL-MAPPED
subnet 192.168.10.0 255.255.255.0

object network REMOTE-MAPPED
subnet 192.168.70.0 255.255.255.0

object network REMOTE-MAPPED2
subnet 192.168.100.0 255.255.255.0

nat (inerface ПК А,inerface ПК Б) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED2

Все на выходе у нас SRC = 192.168.10.10 DST = 192.168.100.20

в маршруте у нас указано искать 192.168.100.0 за inerface ПК Б

Тут очень важный момент, если у ПК Б, Аса не ШЛЮЗ, то шлюз у ПК Б, нужно настроить корректно по маршуритзации анологично как и со стороны ПК А


Когда АСА, после НАТА отправит Пакет ПК Б, он его обработает и отправит ICMP ответ, в котором будет SRC = 192.168.100.20 DST = 192.168.10.10


object network LOCAL2
subnet 192.168.100.0 255.255.255.0

object network LOCAL-MAPPED2
subnet 192.168.70.0 255.255.255.0

object network REMOTE-MAPPED3
subnet 192.168.10.0 255.255.255.0

object network REMOTE-MAPPED4
subnet 10.10.10.0 255.255.255.0

nat (inerface ПК Б,inerface ПК А) source static LOCAL2 LOCAL-MAPPED2 destination static REMOTE-MAPPED3 REMOTE-MAPPED4

Все на выходе у нас получается SRC = 192.168.70.20 DST = 10.10.10.10


Пишу на логику, не проверял так что все имхо

Добавлено через 6 минут
лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?)
Видимо мои мозги плавятся от жары
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
14.08.2014, 18:35  [ТС] 10
Цитата Сообщение от Liksx Посмотреть сообщение
почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация?
Приближу мою модель к реальной ситуации: между пк А и ASA расположен неподконтрольный нам маршрутизатор, который разрешает взаимодействовать только с ASA (там вообще по факту большая сеть, и не один маршрутизатор, но для модели это не важно). Таким образом пк А может обращаться только на ASA (IP 10.10.10.1)

Поэтому:
Цитата Сообщение от Liksx Посмотреть сообщение
Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А )
ping 192.168.70.20 не дойдёт до ASA.

P.S.: Изначально и писал в условии
Цитата Сообщение от gurlov Посмотреть сообщение
пк А обращается на внешний IP ASA
, но, что бы картинка не смущала, исправлю её в скором времени.

Добавлено через 2 минуты
Цитата Сообщение от Liksx Посмотреть сообщение
лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?)
Видимо мои мозги плавятся от жары
ну так и есть
0
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
14.08.2014, 19:17 11
Ох и запутали вы меня! нарисовали локальную сетку то... а на самом деле выглядит топология не так, да и двусторонний нат тут не в кассу, нужно гуглить просто port forwarding

C
1
2
3
access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255 
access-group rdp_in in interface outside
То что аса не шлюз для ПК Б, вообще без разницы, главное что бы сетка на inside интерфейсе была доступна для ПК Б
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
14.08.2014, 21:03  [ТС] 12
Цитата Сообщение от Liksx Посмотреть сообщение
access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255
access-group rdp_in in interface outside
Вот если бы АСА была шлюзом для пк В то это работало бы.
А так не работает (только что ещё раз проверил)

Причиной считаю следующее:
  • пакет от пк А к пк В проходя через ASA меняет dst на 192.168.100.20, но не меняет src (10.10.10.10).
  • пк В обрабатывает запрос и отправит ответ на 10.10.10.10 и , соответственно, этот ответ уходит на шлюз а не на ASA.
0
224 / 112 / 18
Регистрация: 27.09.2012
Сообщений: 575
15.08.2014, 10:08 13
Делаешь нат со стороны ПК В и на ПК В прописываешь что сеть 10.10.10.0 находится на 192.168.100.100. Потом пробрасываешь порты на нате. И должно всё заработать.

Добавлено через 1 час 8 минут
Вот конфиг с циски. В аса другой синтаксис но принцип понятен.
Кликните здесь для просмотра всего текста
Код
Router#sh run
Building configuration...

Current configuration : 829 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.100.100 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat pool nat_asa 10.10.10.200 10.10.10.200 netmask 255.255.255.0
ip nat inside source list 20 pool nat_asa overload
ip nat inside source static 192.168.100.20 10.10.10.201 
ip classless
!
ip flow-export version 9
!
!
access-list 20 permit 192.168.100.0 0.0.0.254
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
1
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
15.08.2014, 10:36  [ТС] 14
Цитата Сообщение от kroniel Посмотреть сообщение
Делаешь нат со стороны ПК В и на ПК В прописываешь что сеть 10.10.10.0 находится на 192.168.100.100. Потом пробрасываешь порты на нате. И должно всё заработать.
В принципе, это решит задачу.
Если не получиться сделать всё только на ASA то придётся делать как вы написали.
Но, всё же, желательно не менять таблицу маршрутизации пк B: он видит пк A через свой шлюз (192.168.100.1) - неподконтрольное нам устройство, и, поменяв маршрут, я запущу почти весь трафик через ASA, а надо только RDP. За пк А на самом деле скрывается несколько серверов.
0
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
15.08.2014, 11:08 15
я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены.

Это вообще то и означает правильная маршрутизация, я не знаю по каким причинам вы не можете ее настроить, но

static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести?

у меня нет такой версии АСЫ, но я уверен что у вас есть такая замечательная клавиша ? там иногда пишут полезные вещи

kroniel, оххх, если знания ната в роутерах помогали бы на асах, я был бы счастлив

На всякий случай конструкция остается такой же...

access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 ( тут я не уверен, нет асы со старой прошивкой, но как то так, логика ната везде одинакова... просто по разному ее можно забить в АСАХ )
access-group rdp_in in interface outside
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
15.08.2014, 12:08  [ТС] 16
Цитата Сообщение от Liksx Посмотреть сообщение
я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены.
именно это я и хочу сделать - настроить ASA
менять маршрутизацию на пк А нельзя (если надо, могу объяснить почему)
менять маршрутизацию на пк В, как предложил kroniel можно, но это не есть "хорошо". Задача - взаимодействие через ASA только по RDP.
Цитата Сообщение от Liksx Посмотреть сообщение
static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести?
такая строка один в один сейчас в конфиге на моей ASA - не работает! И не будет, так как пк А нельзя смаршрутизировать на сеть 192.168.100.0/24

P.S. Я видимо зря упростил схему, понадеявшись только на текстовое условие. Прошу прощения, если запутал этим. В ближайшее время исправлю.
0
3 / 3 / 3
Регистрация: 27.05.2014
Сообщений: 373
15.08.2014, 12:40  [ТС] 17
Вот уточнённая схема.
Доступа к настройкам шлюза X и Y нет.
шлюзы и asa смаршрутизированны в сети между собой.
Миниатюры
Двусторонний NAT  
0
15.08.2014, 12:40
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
15.08.2014, 12:40
Помогаю со студенческими работами здесь

Использование NAT
Доброго времени суток. Помоги советом или конфигом начинающему системщику. На эмуляторе делаю...

Отключение NAT
Привет Есть роутер ZyXel Keenetic Start. К нему подключен коммутатор TP-Link. Итого 24 компов. В...

Ошибка в NAT
Помогите найти ошибку Current configuration : 844 bytes ! version 12.4 service timestamps...

ipsec+NAT
День добрый, коллеги! Помогите решить задачку: есть два клиента, которые не согласовали политики...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru