Как сделать, чтобы внешний IP адрес был виден извне?

@irax · Регистрация: 11.02.2016

помогите с настройками
а конкретно. как сделать что бы внешний IP адрес был виден из вне.

@insect_87 · 07.04.2016, 14:09

как четко сформулировано...
он должен быть белым
http://paulnn.ru/IP.html

@irax · 08.04.2016, 09:25 **[ТС]**

адрес белый. настроен на Cisco. интернет есть. пинг не идет

@insect_87 · 08.04.2016, 09:41

что нужно-то - сервер, кот в локальной сети, опубликовать?

Сообщение от irax

пинг не идет

статический PAT

Сообщение от irax

адрес белый. настроен на Cisco.

конфиг

@deniskv · 08.04.2016, 09:46

конфиг роутера было бы не плохо посмотреть

@irax · 08.04.2016, 13:27 **[ТС]**

вот конфиг. я понимаю что там надо делать что то с access
о вот как не знаю

@insect_87 · 08.04.2016, 15:16

interface GigabitEthernet0/0
description ***Outside-Internet***
ip address 109.72.241.124 255.255.255.248
ip access-group FIREWALL in

ip access-list extended FIREWALL
permit tcp object-group REMOTE_LAN_MNG any eq 22
permit tcp object-group REMOTE_LAN_MNG any eq telnet
permit icmp object-group REMOTE_LAN_MNG any сюда вот это добавь (eq www)
deny ip any any
permit tcp any host 109.72.241.124 eq 8888
permit tcp any host 109.72.241.124 eq 7777
permit tcp any host 109.72.241.124 eq 9999
permit tcp any host 109.72.241.124 eq 666

object-group network REMOTE_LAN_MNG
description -=Remote-Network-Management=-
range 83.220.56.130 83.220.56.158
range 213.221.15.226 213.221.15.238
host 88.210.23.16
host 194.84.254.250
host 185.75.181.69

если хочешь, чтобы все пинговали его, то

Код

permit icmp any host 109.72.241.124

добавь до

Код

deny ip any any

@irax · 11.04.2016, 15:20 **[ТС]**

пинг идет. но не могу сделать так что бы из интернета смотрели Ip камеры в локальной сети
как это сделать?
порты пробросил

@insect_87 · 12.04.2016, 08:21

адрес у двра какой и какие порты надо пробросить?
покажи кусок команд, через которые сделал проброс

@irax · 12.04.2016, 09:01 **[ТС]**

у меня в сети 4 IP камеры.
554 порт надо пробросить
вот кусок:

Код

ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.1.14.7 554 109.72.241.124 6666 extendable
ip nat inside source static tcp 10.1.14.3 554 109.72.241.124 7777 extendable
ip nat inside source static tcp 10.1.14.4 554 109.72.241.124 8888 extendable
ip nat inside source static tcp 10.1.14.5 554 109.72.241.124 9999 extendable
ip route 0.0.0.0 0.0.0.0 109.72.241.121
ip route 10.10.0.0 255.255.0.0 10.3.0.1
!
ip access-list extended FIREWALL
 permit tcp object-group REMOTE_LAN_MNG any eq 22 перед этим пропиши (permit ip any any)
 permit tcp object-group REMOTE_LAN_MNG any eq telnet
 permit icmp object-group REMOTE_LAN_MNG any сюда вот это добавь (eq www)
 (deny   ip any any) -  вот это удали
 permit tcp any host 109.72.241.124 eq 8888
 permit tcp any host 109.72.241.124 eq 7777
 permit tcp any host 109.72.241.124 eq 9999
 permit tcp any host 109.72.241.124 eq 6666
ip access-list extended NAT
 permit ip any any
ip access-list extended SIP
 permit ip host 10.10.30.11 any
ip access-list extended Wi_Fi_GUEST
 deny   ip any object-group RFC_1918
 deny   ip any host 2.2.2.1
 permit ip any any

@insect_87 · 12.04.2016, 10:00

Сообщение от irax

(deny ip any any)

это убрал?

@irax · 12.04.2016, 10:07 **[ТС]**

если удалить deny ip any any то работает все.
если удалить deny ip any any то пропадает весь смысл фаервола. этого не хотелось бы. по другому как то можно?

@insect_87 · 12.04.2016, 10:33

он не удаляется, а емнип автоматом допишется в конце, но правила читаются сверху вниз до первого сработавшего
вот и получается что первым у тебя отработает deny ip any any

@irax · 12.04.2016, 11:03 **[ТС]**

какую команду мне дописать?

Добавлено через 24 минуты

Код

interface GigabitEthernet0/0
 description ***Outside-Internet***
 ip address 109.72.241.124 255.255.255.248
 ip access-group FIREWALL in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect FIREWALL out
 ip virtual-reassembly in
 ip verify unicast reverse-path
 duplex auto
 speed auto

когда на интерфейсе удаляю вот эту строку ((ip access-group FIREWALL in) все работает отлично
помогите оставив эту строку заработали камеры

@insect_87 · 12.04.2016, 11:19

Код

ip access-list extended FIREWALL
permit tcp object-group REMOTE_LAN_MNG any eq 22 
permit tcp object-group REMOTE_LAN_MNG any eq telnet
permit icmp object-group REMOTE_LAN_MNG any eq www
permit tcp any host 109.72.241.124 eq 8888
permit tcp any host 109.72.241.124 eq 7777
permit tcp any host 109.72.241.124 eq 9999
permit tcp any host 109.72.241.124 eq 6666
deny ip any any

@irax · 12.04.2016, 11:37 **[ТС]**

когда добавляю в конце вот этой записи (permit icmp object-group REMOTE_LAN_MNG any) вот это (eq www) выдает ошибку. вот эту (% Invalid input detected at '^' marker.)

@insect_87 · 12.04.2016, 11:59

Код

permit tcp object-group REMOTE_LAN_MNG any eq www

это чтобы те, кто входили в REMOTE_LAN_MNG, могли подключаться по 80 порту / видимо для настройки через web

Код

permit icmp object-group REMOTE_LAN_MNG any

а это разрешает пинг с адресов из этой группы

@irax · 12.04.2016, 12:08 **[ТС]**

не могу сюда permit tcp object-group REMOTE_LAN_MNG any добавить вот это eq www
выдает ошибку % Invalid input detected at '^' marker.
как здесь быть?

Код

ip dns view default
 domain timeout 1
 domain retry 1
ip nat translation timeout 120
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 120
ip nat translation udp-timeout 20
ip nat translation finrst-timeout 3
ip nat translation syn-timeout 3
ip nat translation dns-timeout 5
ip nat translation routemap-entry-timeout 120
ip nat translation icmp-timeout 5
ip nat translation arp-ping-timeout 5
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.1.14.7 554 109.72.241.124 6666 extendable
ip nat inside source static tcp 10.1.14.3 554 109.72.241.124 7777 extendable
ip nat inside source static tcp 10.1.14.4 554 109.72.241.124 8888 extendable
ip nat inside source static tcp 10.1.14.5 554 109.72.241.124 9999 extendable
ip route 0.0.0.0 0.0.0.0 109.72.241.121
ip route 10.10.0.0 255.255.0.0 10.3.0.1 
!
ip access-list extended FIREWALL
 permit tcp object-group REMOTE_LAN_MNG any eq 22 
 permit tcp object-group REMOTE_LAN_MNG any eq telnet
 permit icmp object-group REMOTE_LAN_MNG any сюда не могу добавить (eq www) ругаеться
 permit tcp any host 109.72.241.124 eq 8888
 permit tcp any host 109.72.241.124 eq 7777
 permit tcp any host 109.72.241.124 eq 9999
 permit tcp any host 109.72.241.124 eq 6666
ip access-list extended NAT
 permit ip any any
ip access-list extended SIP
 permit ip host 10.10.30.11 any
ip access-list extended Wi_Fi_GUEST
 deny   ip any object-group RFC_1918
 deny   ip any host 2.2.2.1
 permit ip any any

@insect_87 · 12.04.2016, 12:21

Код

 permit tcp object-group REMOTE_LAN_MNG any eq 80

аналог

Код

permit tcp object-group REMOTE_LAN_MNG any eq www

так ты определись , что тебе надо разрешить для этой группы? icmp или tcp 80?

@irax · 12.04.2016, 12:31 **[ТС]**

добавил вот это. permit tcp object-group REMOTE_LAN_MNG any eq 80 принял без ошибки.
мне нужно что бы из вне в Internet Explorer при вводе http://внешний адрес:порт я попадал на камеру в локальной сети

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	12.04.2016, 11:59	17
	Код permit tcp object-group REMOTE_LAN_MNG any eq www это чтобы те, кто входили в REMOTE_LAN_MNG, могли подключаться по 80 порту / видимо для настройки через web Код permit icmp object-group REMOTE_LAN_MNG any а это разрешает пинг с адресов из этой группы 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
		1
	Как сделать, чтобы внешний IP адрес был виден извне? 07.04.2016, 12:47. Показов 3931. Ответов 32 Метки нет (Все метки) помогите с настройками а конкретно. как сделать что бы внешний IP адрес был виден из вне. 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	07.04.2016, 14:09	2
	как четко сформулировано... он должен быть белым http://paulnn.ru/IP.html 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	08.04.2016, 09:25 [ТС]	3
	адрес белый. настроен на Cisco. интернет есть. пинг не идет 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	08.04.2016, 09:41	4
	что нужно-то - сервер, кот в локальной сети, опубликовать? Сообщение от irax пинг не идет статический PAT Сообщение от irax адрес белый. настроен на Cisco. конфиг 0

@deniskv 87 / 86 / 31 Регистрация: 01.07.2015 Сообщений: 243
	08.04.2016, 09:46	5
	конфиг роутера было бы не плохо посмотреть 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	08.04.2016, 15:16	7
	interface GigabitEthernet0/0 description *Outside-Internet* ip address 109.72.241.124 255.255.255.248 ip access-group FIREWALL in ip access-list extended FIREWALL permit tcp object-group REMOTE_LAN_MNG any eq 22 permit tcp object-group REMOTE_LAN_MNG any eq telnet permit icmp object-group REMOTE_LAN_MNG any сюда вот это добавь (eq www) deny ip any any permit tcp any host 109.72.241.124 eq 8888 permit tcp any host 109.72.241.124 eq 7777 permit tcp any host 109.72.241.124 eq 9999 permit tcp any host 109.72.241.124 eq 666 object-group network REMOTE_LAN_MNG description -=Remote-Network-Management=- range 83.220.56.130 83.220.56.158 range 213.221.15.226 213.221.15.238 host 88.210.23.16 host 194.84.254.250 host 185.75.181.69 если хочешь, чтобы все пинговали его, то Код permit icmp any host 109.72.241.124 добавь до Код deny ip any any 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	11.04.2016, 15:20 [ТС]	8
	пинг идет. но не могу сделать так что бы из интернета смотрели Ip камеры в локальной сети как это сделать? порты пробросил 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	12.04.2016, 08:21	9
	адрес у двра какой и какие порты надо пробросить? покажи кусок команд, через которые сделал проброс 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	12.04.2016, 10:00	11
	Сообщение от irax (deny ip any any) это убрал? 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	12.04.2016, 10:07 [ТС]	12
	если удалить deny ip any any то работает все. если удалить deny ip any any то пропадает весь смысл фаервола. этого не хотелось бы. по другому как то можно? 0

Опции темы

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	12.04.2016, 10:33	13
	он не удаляется, а емнип автоматом допишется в конце, но правила читаются сверху вниз до первого сработавшего вот и получается что первым у тебя отработает deny ip any any 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	12.04.2016, 11:03 [ТС]	14
	какую команду мне дописать? Добавлено через 24 минуты Код interface GigabitEthernet0/0 description *Outside-Internet* ip address 109.72.241.124 255.255.255.248 ip access-group FIREWALL in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect FIREWALL out ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto когда на интерфейсе удаляю вот эту строку ((ip access-group FIREWALL in) все работает отлично помогите оставив эту строку заработали камеры 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	12.04.2016, 11:37 [ТС]	16
	когда добавляю в конце вот этой записи (permit icmp object-group REMOTE_LAN_MNG any) вот это (eq www) выдает ошибку. вот эту (% Invalid input detected at '^' marker.) 0

@insect_87 10950 / 6803 / 1819 Регистрация: 25.12.2012 Сообщений: 28,798
	12.04.2016, 12:21	19
	Код permit tcp object-group REMOTE_LAN_MNG any eq 80 аналог Код permit tcp object-group REMOTE_LAN_MNG any eq www так ты определись , что тебе надо разрешить для этой группы? icmp или tcp 80? 0

@irax 0 / 0 / 0 Регистрация: 11.02.2016 Сообщений: 104
	12.04.2016, 12:31 [ТС]	20
	добавил вот это. permit tcp object-group REMOTE_LAN_MNG any eq 80 принял без ошибки. мне нужно что бы из вне в Internet Explorer при вводе http://внешний адрес:порт я попадал на камеру в локальной сети 0