Двусторонний NAT

@gurlov · Регистрация: 27.05.2014

Студворк — интернет-сервис помощи студентам

Здравствуйте, уважаемые форумчане!
Прошу помощи в решении, видимо, несложной задачи, но мне она не даётся.

На схеме, представленной ниже, необходимо дать возможность пк А ходить на удалённый рабочий стол пк В при условии:

пк А обращается на внешний IP ASA, и не знает о внутренней сети (то бишь NAT)
ASA не является шлюзом для пк В
крайне не желательно править таблицу маршрутизации пк В

Для этого надо было организовать (поправьте, если ошибаюсь) двусторонний NAT. Почитал разного в интернете (например:1, 2, 3, 4 и т. п.), поэкспериментировал, но не идёт...

@crash99 · 14.08.2014, 13:55

Так не пробовали?
ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable

@gurlov · 14.08.2014, 14:15 **[ТС]**

Сообщение от crash99

Так не пробовали?
ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable

у меня Software Version 7.2 и overload и extendable у меня нет (или я ошибаюсь?)

да и при такой схеме ответ пк В в сторону пк А будет направляться на шлюз, а не на ASA - т.е. ответ потеряется

@crash99 · 14.08.2014, 14:19

Да, вы правы.

@Liksx · 14.08.2014, 15:31

Тут я решал вопрос overlapa
Но Вам тоже может подойти
Site to site VPN ASA

ciscoasa# show nat
Manual NAT Policies (Section 1)
1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED

если ПК А, НЕ знает ничего о сети ПК Б, но ему нужно достучаться до него

ПК А = 10.10.10.1
ПК Б = 20.20.20.1

Как сделать так, что бы запросы дошли до ПК Б ?
Придумываем сетку например 192.168.60.1 для сети ПК А
Придумываем сетку для другой стороны 192.168.70.1 для сети ПК Б

Говорим, что что бы вам дойти с ПК А до ПК Б, вам нужно набирать этот адрес 192.168.70.1

ПК А шлет icmp в src 10.10.10.1 в dest 192.168.70.1
Сначала он отправит на шлюз, на шлюзе нужмен маршут типа такого, если это не АСА
ip route 192.168.70.1 255.255.255.255 IP ASA

АСА получает пакет который попадает под правило ната и начинает натить
Она перезабивает заголовки
превращает
src 10.10.10.1 в 192.168.60.1
dst 192.168.70.1 192.168.70.1

на АСЕ нужен маршут типа такого

route outside 192.168.70.1 255.255.255.255 IP ASA Другой стороны

Все, пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1

В таком виде доезжает до АСЫ партнера пакет

НА Асе принимающий стороны, делает такой же нат

Надеюсь это вам поможет, если я в тему пишу :0

@gurlov · 14.08.2014, 15:45 **[ТС]**

Сообщение от Liksx

Все пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1
В таком виде доезжает до АСЫ партнера пакет

Спасибо, но мне всё надо решить только с применением одной ASA. Иначе я, действительно, смотрел бы в сторону создания VPN.

@Liksx · 14.08.2014, 15:51

А в чем разница? таблица маршрутизации и есть таблица маршрутизации....

Укажите за каким интерфейсом сидит сеть ПК Б ? и оба ната можно сделать на одной асе, кто Вам мешает?

у вас будет типа (interface ПК А) to (interface ПК Б)
а второе правило ната (interface ПК Б) to (interface ПК А)

От того что вы делаете все на одной АСЕ, ничего не поменяется. Это еще больше упрощает задачу

@gurlov · 14.08.2014, 17:22 **[ТС]**

Сообщение от Liksx

у вас будет типа (interface ПК А) to (interface ПК Б)
а второе правило ната (interface ПК Б) to (interface ПК А)

вот примерно так я и рассуждаю, но попробовав несколько вариантов (ссылки на которые давал выше) у меня ни чего не получилось.
Какие бы вы два правила NAT прописали?

Например, вот так не работает:

Bash
1
2
3
4
5
6
access-list inside_access_in extended permit tcp any any 
access-list outside_access_in extended permit tcp any any 
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255 
static (outside,inside) tcp interface 3389 10.10.10.10 3389 netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside

@Liksx · 14.08.2014, 17:59

для начала условия задачи не ясны.
почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация? где вы обращаетесь на внешний ИП?
Если стоит задача, что по какой то причине, ПК А, не может набрать 192.168.100.20 ( например в его сети уже есть данная сеть, или обращаемся на внешний РЕАЛЬНЫЙ ИП ) то тогда делаемс так

Смотря какая прошивка:

Если делать обьектами

У нас ASA и она знает где все сети, но сети не знают друг о друге, они будут указывать адрес АСЫ

И так задача что бы ПК А мог пингануть ПК Б

ПК А делает пинг ПК Б

Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А )

Так как для ПК А, АСА это ШЛЮЗ? если нет, промежуточные L3 устройства должны быть правильно сконфигурированы

object network LOCAL
subnet 10.10.10.0 255.255.255.0

object network LOCAL-MAPPED
subnet 192.168.10.0 255.255.255.0

object network REMOTE-MAPPED
subnet 192.168.70.0 255.255.255.0

object network REMOTE-MAPPED2
subnet 192.168.100.0 255.255.255.0

nat (inerface ПК А,inerface ПК Б) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED2

Все на выходе у нас SRC = 192.168.10.10 DST = 192.168.100.20

в маршруте у нас указано искать 192.168.100.0 за inerface ПК Б

Тут очень важный момент, если у ПК Б, Аса не ШЛЮЗ, то шлюз у ПК Б, нужно настроить корректно по маршуритзации анологично как и со стороны ПК А

Когда АСА, после НАТА отправит Пакет ПК Б, он его обработает и отправит ICMP ответ, в котором будет SRC = 192.168.100.20 DST = 192.168.10.10

object network LOCAL2
subnet 192.168.100.0 255.255.255.0

object network LOCAL-MAPPED2
subnet 192.168.70.0 255.255.255.0

object network REMOTE-MAPPED3
subnet 192.168.10.0 255.255.255.0

object network REMOTE-MAPPED4
subnet 10.10.10.0 255.255.255.0

nat (inerface ПК Б,inerface ПК А) source static LOCAL2 LOCAL-MAPPED2 destination static REMOTE-MAPPED3 REMOTE-MAPPED4

Все на выходе у нас получается SRC = 192.168.70.20 DST = 10.10.10.10

Пишу на логику, не проверял

так что все имхо

Добавлено через 6 минут
лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?)
Видимо мои мозги плавятся от жары

@gurlov · 14.08.2014, 18:35 **[ТС]**

Сообщение от Liksx

почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация?

Приближу мою модель к реальной ситуации: между пк А и ASA расположен неподконтрольный нам маршрутизатор, который разрешает взаимодействовать только с ASA (там вообще по факту большая сеть, и не один маршрутизатор, но для модели это не важно). Таким образом пк А может обращаться только на ASA (IP 10.10.10.1)

Поэтому:

Сообщение от Liksx

Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А )

ping 192.168.70.20 не дойдёт до ASA.

P.S.: Изначально и писал в условии

Сообщение от gurlov

пк А обращается на внешний IP ASA

, но, что бы картинка не смущала, исправлю её в скором времени.

Добавлено через 2 минуты

Сообщение от Liksx

лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?)
Видимо мои мозги плавятся от жары

ну так и есть

@Liksx · 14.08.2014, 19:17

Ох и запутали вы меня!

нарисовали локальную сетку то... а на самом деле выглядит топология не так, да и двусторонний нат тут не в кассу, нужно гуглить просто port forwarding

C
1
2
3
access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255 
access-group rdp_in in interface outside

То что аса не шлюз для ПК Б, вообще без разницы, главное что бы сетка на inside интерфейсе была доступна для ПК Б

@gurlov · 14.08.2014, 21:03 **[ТС]**

Сообщение от Liksx

access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp interface 3389 192.168.100.20 3389 netmask 255.255.255.255
access-group rdp_in in interface outside

Вот если бы АСА была шлюзом для пк В то это работало бы.
А так не работает (только что ещё раз проверил)

Причиной считаю следующее:

пакет от пк А к пк В проходя через ASA меняет dst на 192.168.100.20, но не меняет src (10.10.10.10).
пк В обрабатывает запрос и отправит ответ на 10.10.10.10 и , соответственно, этот ответ уходит на шлюз а не на ASA.

@kroniel · 15.08.2014, 10:08

Делаешь нат со стороны ПК В и на ПК В прописываешь что сеть 10.10.10.0 находится на 192.168.100.100. Потом пробрасываешь порты на нате. И должно всё заработать.

Добавлено через 1 час 8 минут
Вот конфиг с циски. В аса другой синтаксис но принцип понятен.

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
Router#sh run
Building configuration...
 
Current configuration : 829 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.100.100 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat pool nat_asa 10.10.10.200 10.10.10.200 netmask 255.255.255.0
ip nat inside source list 20 pool nat_asa overload
ip nat inside source static 192.168.100.20 10.10.10.201 
ip classless
!
ip flow-export version 9
!
!
access-list 20 permit 192.168.100.0 0.0.0.254
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

@gurlov · 15.08.2014, 10:36 **[ТС]**

Сообщение от kroniel

Делаешь нат со стороны ПК В и на ПК В прописываешь что сеть 10.10.10.0 находится на 192.168.100.100. Потом пробрасываешь порты на нате. И должно всё заработать.

В принципе, это решит задачу.
Если не получиться сделать всё только на ASA то придётся делать как вы написали.
Но, всё же, желательно не менять таблицу маршрутизации пк B: он видит пк A через свой шлюз (192.168.100.1) - неподконтрольное нам устройство, и, поменяв маршрут, я запущу почти весь трафик через ASA, а надо только RDP. За пк А на самом деле скрывается несколько серверов.

@Liksx · 15.08.2014, 11:08

я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены.

Это вообще то и означает правильная маршрутизация, я не знаю по каким причинам вы не можете ее настроить, но

static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести?

у меня нет такой версии АСЫ, но я уверен что у вас есть такая замечательная клавиша ?

там иногда пишут полезные вещи

kroniel, оххх, если знания ната в роутерах помогали бы на асах, я был бы счастлив

На всякий случай конструкция остается такой же...

access-list rdp_in extended permit tcp any interface outside eq 3389
static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 ( тут я не уверен, нет асы со старой прошивкой, но как то так, логика ната везде одинакова... просто по разному ее можно забить в АСАХ )
access-group rdp_in in interface outside

@gurlov · 15.08.2014, 12:08 **[ТС]**

Сообщение от Liksx

я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены.

именно это я и хочу сделать - настроить ASA
менять маршрутизацию на пк А нельзя (если надо, могу объяснить почему)
менять маршрутизацию на пк В, как предложил kroniel можно, но это не есть "хорошо". Задача - взаимодействие через ASA только по RDP.

Сообщение от Liksx

static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести?

такая строка один в один сейчас в конфиге на моей ASA - не работает! И не будет, так как пк А нельзя смаршрутизировать на сеть 192.168.100.0/24

P.S. Я видимо зря упростил схему, понадеявшись только на текстовое условие. Прошу прощения, если запутал этим. В ближайшее время исправлю.

@gurlov · 15.08.2014, 12:40 **[ТС]**

Вот уточнённая схема.
Доступа к настройкам шлюза X и Y нет.
шлюзы и asa смаршрутизированны в сети между собой.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373

	Двусторонний NAT 14.08.2014, 10:32. Показов 3821. Ответов 16 Метки нет (Все метки) Здравствуйте, уважаемые форумчане! Прошу помощи в решении, видимо, несложной задачи, но мне она не даётся. На схеме, представленной ниже, необходимо дать возможность пк А ходить на удалённый рабочий стол пк В при условии: пк А обращается на внешний IP ASA, и не знает о внутренней сети (то бишь NAT) ASA не является шлюзом для пк В крайне не желательно править таблицу маршрутизации пк В Для этого надо было организовать (поправьте, если ошибаюсь) двусторонний NAT. Почитал разного в интернете (например:1, 2, 3, 4 и т. п.), поэкспериментировал, но не идёт... Миниатюры 0

@crash99 0 / 0 / 0 Регистрация: 14.08.2014 Сообщений: 5
	14.08.2014, 13:55
	Так не пробовали? ip nat inside source static tcp 192.168.1.20 3389 10.10.10.1 3389 extendable 0

@crash99 0 / 0 / 0 Регистрация: 14.08.2014 Сообщений: 5
	14.08.2014, 14:19
	Да, вы правы. 0

@Liksx 81 / 81 / 7 Регистрация: 07.12.2012 Сообщений: 540
	14.08.2014, 15:31
	Тут я решал вопрос overlapa Но Вам тоже может подойти Site to site VPN ASA ciscoasa# show nat Manual NAT Policies (Section 1) 1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED если ПК А, НЕ знает ничего о сети ПК Б, но ему нужно достучаться до него ПК А = 10.10.10.1 ПК Б = 20.20.20.1 Как сделать так, что бы запросы дошли до ПК Б ? Придумываем сетку например 192.168.60.1 для сети ПК А Придумываем сетку для другой стороны 192.168.70.1 для сети ПК Б Говорим, что что бы вам дойти с ПК А до ПК Б, вам нужно набирать этот адрес 192.168.70.1 ПК А шлет icmp в src 10.10.10.1 в dest 192.168.70.1 Сначала он отправит на шлюз, на шлюзе нужмен маршут типа такого, если это не АСА ip route 192.168.70.1 255.255.255.255 IP ASA АСА получает пакет который попадает под правило ната и начинает натить Она перезабивает заголовки превращает src 10.10.10.1 в 192.168.60.1 dst 192.168.70.1 192.168.70.1 на АСЕ нужен маршут типа такого route outside 192.168.70.1 255.255.255.255 IP ASA Другой стороны Все, пакет с АСЫ выйдет как SRC = 192.168.60.1 DST 192.168.70.1 В таком виде доезжает до АСЫ партнера пакет НА Асе принимающий стороны, делает такой же нат Надеюсь это вам поможет, если я в тему пишу :0 0

@Liksx 81 / 81 / 7 Регистрация: 07.12.2012 Сообщений: 540
	14.08.2014, 15:51
	А в чем разница? таблица маршрутизации и есть таблица маршрутизации.... Укажите за каким интерфейсом сидит сеть ПК Б ? и оба ната можно сделать на одной асе, кто Вам мешает? у вас будет типа (interface ПК А) to (interface ПК Б) а второе правило ната (interface ПК Б) to (interface ПК А) От того что вы делаете все на одной АСЕ, ничего не поменяется. Это еще больше упрощает задачу 0

@Liksx 81 / 81 / 7 Регистрация: 07.12.2012 Сообщений: 540
	14.08.2014, 17:59
	для начала условия задачи не ясны. почему ПК А, обращается на внешний ИП АСЫ? это просто задачка, или реальная ситуация? где вы обращаетесь на внешний ИП? Если стоит задача, что по какой то причине, ПК А, не может набрать 192.168.100.20 ( например в его сети уже есть данная сеть, или обращаемся на внешний РЕАЛЬНЫЙ ИП ) то тогда делаемс так Смотря какая прошивка: Если делать обьектами У нас ASA и она знает где все сети, но сети не знают друг о друге, они будут указывать адрес АСЫ И так задача что бы ПК А мог пингануть ПК Б ПК А делает пинг ПК Б Для этого ПК А набирает команду PING 192.168.70.20 ( это выдуманная сеть, котору можно использовать со стороны OUTSIDE ПК А ) Так как для ПК А, АСА это ШЛЮЗ? если нет, промежуточные L3 устройства должны быть правильно сконфигурированы object network LOCAL subnet 10.10.10.0 255.255.255.0 object network LOCAL-MAPPED subnet 192.168.10.0 255.255.255.0 object network REMOTE-MAPPED subnet 192.168.70.0 255.255.255.0 object network REMOTE-MAPPED2 subnet 192.168.100.0 255.255.255.0 nat (inerface ПК А,inerface ПК Б) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED2 Все на выходе у нас SRC = 192.168.10.10 DST = 192.168.100.20 в маршруте у нас указано искать 192.168.100.0 за inerface ПК Б Тут очень важный момент, если у ПК Б, Аса не ШЛЮЗ, то шлюз у ПК Б, нужно настроить корректно по маршуритзации анологично как и со стороны ПК А Когда АСА, после НАТА отправит Пакет ПК Б, он его обработает и отправит ICMP ответ, в котором будет SRC = 192.168.100.20 DST = 192.168.10.10 object network LOCAL2 subnet 192.168.100.0 255.255.255.0 object network LOCAL-MAPPED2 subnet 192.168.70.0 255.255.255.0 object network REMOTE-MAPPED3 subnet 192.168.10.0 255.255.255.0 object network REMOTE-MAPPED4 subnet 10.10.10.0 255.255.255.0 nat (inerface ПК Б,inerface ПК А) source static LOCAL2 LOCAL-MAPPED2 destination static REMOTE-MAPPED3 REMOTE-MAPPED4 Все на выходе у нас получается SRC = 192.168.70.20 DST = 10.10.10.10 Пишу на логику, не проверял так что все имхо Добавлено через 6 минут лол, так у вас просто нужно пробросить порт рдп из внешнего мира на сервак например? или ПК? в локальную сеть?) Видимо мои мозги плавятся от жары 0

@Liksx 81 / 81 / 7 Регистрация: 07.12.2012 Сообщений: 540
	15.08.2014, 11:08
	я несколько раз писал, что промежуточные устройства Л3 должны быть правильно настроены. Это вообще то и означает правильная маршрутизация, я не знаю по каким причинам вы не можете ее настроить, но static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 у Вас можно как то так ввести? у меня нет такой версии АСЫ, но я уверен что у вас есть такая замечательная клавиша ? там иногда пишут полезные вещи kroniel, оххх, если знания ната в роутерах помогали бы на асах, я был бы счастлив На всякий случай конструкция остается такой же... access-list rdp_in extended permit tcp any interface outside eq 3389 static (inside,outside) tcp 192.168.100.100 3389 192.168.100.20 3389 netmask 255.255.255.255 ( тут я не уверен, нет асы со старой прошивкой, но как то так, логика ната везде одинакова... просто по разному ее можно забить в АСАХ ) access-group rdp_in in interface outside 0

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
	15.08.2014, 12:40 [ТС]
	Вот уточнённая схема. Доступа к настройкам шлюза X и Y нет. шлюзы и asa смаршрутизированны в сети между собой. Миниатюры 0