Опять NAT

@Rann · Регистрация: 19.07.2016

Author24 — интернет-сервис помощи студентам

Добрый вечер всем.
Возникла проблема с nat на cisco 2800 версия ios Version 12.4(13r)T

Коротко опишу ситуацию.
Есть интерфейс который смотрит в интернет, и 2 саб интерфейса, один (назовем его влан 100) это /24 от провайдера, другой (назовем его влан 50) это внутренняя сеть /22. Необходимо пробросить с одного ip из влана 100 разные порты (пусть будут 80 и 22) на 2 разных сервера в влан 50.
Собственно Нат на этом устройстве настроен не был, циска просто маршрутила трафик.
Что сделал:

fieldsetip nat inside source static tcp 10.10.10.10 22 222.222.222.222 22 extendable
ip nat inside source static tcp 10.10.10.15 80 222.222.222.222 80 extendable

Не помогло. Подключение просто отбрасывалось.
Пробовал делать через pool:

fieldsetip nat pool test-server 222.222.222.222 222.222.222.222 netmask 255.255.255.0
ip nat inside source list 110 pool test-server

access-list 110 permit tcp any host 10.10.10.10 eq 22
access-list 110 permit tcp any host 10.10.10.15 eq 80

тоже не сработало.

Пробовал ip в ip натить, результат никакой.

Подскажите кто что может по проблеме.

@corlovito · 20.07.2016, 08:54

на интерфейсах прописали nat inside nat outside ? покажите конфиг лучше

@insect_87 · 20.07.2016, 08:57

покажи конфиг
что за

Сообщение от Rann

один (назовем его влан 100) это /24 от провайдера

?
и у тебя пулы пересекаются
+ тебе нужен overload (PAT) или static PAT - перенаправление портов?
я если честно не понимаю, что надо и что за "от провайдера", от провайдера инет же приходит

@Rann · 20.07.2016, 10:46 **[ТС]**

на интерфейсах прописали nat inside nat outside ? покажите конфиг лучше

Прописал, но после вечерних раздумий видимо не на те интерфейсы.
Лучше выложу конфиг и попробую еще раз описать что необходимо.

fieldset
interface GigabitEthernet0/0
no ip address
no ip redirects
no ip proxy-arp
duplex auto
speed auto
!
interface GigabitEthernet0/0.100
des -= /24 daet prov =-
encapsulation dot1Q 100
ip address 222.222.222.1 255.255.255.0
no ip redirects
no ip proxy-arp
no snmp trap link-status
!
interface GigabitEthernet0/0.50
des -= LAN =-
encapsulation dot1Q 50
ip address 10.150.8.1 255.255.252.0
no ip redirects
no ip proxy-arp
no snmp trap link-status
!
interface GigabitEthernet0/1
des -= интернете =-
ip address 200.200.200.186 255.255.255.252
ip access-group INTERNET_IN in
no ip redirects
no ip proxy-arp
duplex auto
speed 100
!
ip route 0.0.0.0 0.0.0.0 200.200.200.185
!
ip access-list extended INTERNET_IN
permit tcp any host 222.222.222.222 eq 22
permit tcp any host 222.222.222.222 eq 80

Вот так выглядит без ната настроенного.
interface GigabitEthernet0/1 и interface GigabitEthernet0/0.100 - дает один и тот-же провайдер
interface GigabitEthernet0/0.50 - внутренняя сеть

Необходимо сделать так что бы трафик на ip 222.222.222.222 по порту 22 шел на ip 10.10.10.10 порт 22, а трафик пришедший на ip 222.222.222.222 на порт 80 шел на ip 10.10.10.15 порт 80.

Что делал я:

fieldset
interface GigabitEthernet0/0.100
ip nat outside

interface GigabitEthernet0/0.50
ip nat inside

ip nat inside source static tcp 10.10.10.10 22 222.222.222.222 22 extendable
ip nat inside source static tcp 10.10.10.15 80 222.222.222.222 80 extendable

И это не сработало.
Были еще эксперементы с пулом описанные выше, тоже не помогло.
Как правильно настроить нат порт-в-порт?

@corlovito · 20.07.2016, 10:52

Сообщение от Rann

interface GigabitEthernet0/1 и interface GigabitEthernet0/0.100 - дает один и тот-же провайдер

как так может быть это же физически разные интерфейсы у вас локальная сеть и интернет физически на одном порту висят ?

@Rann · 20.07.2016, 11:10 **[ТС]**

Сообщение от corlovito

как так может быть это же физически разные интерфейсы у вас локальная сеть и интернет физически на одном порту висят ?

Провайдер один, приходит через свитч =)

@corlovito · 20.07.2016, 11:19

чето у меня голова заболела, тогда давайте лучше графическую схему

@Rann · 20.07.2016, 16:15 **[ТС]**

Вот так получается.

@corlovito · 20.07.2016, 17:18

Не по теме:

а с какой целью такие извращения ? или что курили когда это делали

советовал бы для начала переделать интерфейсы по нормальному

@Rann · 20.07.2016, 17:49 **[ТС]**

не могу ответить кто и что курил, это наследство, связанно это видимо с тем что от прова еще пара /24 приходит через тот же канал на на роутер соседний. Я так понимаю нат не получится настроить для интерфейса 222.222.222.0/24??

@corlovito · 20.07.2016, 17:51

после проделанных настроек в таблице нат что нибудь есть ?

@Rann · 21.07.2016, 11:03 **[ТС]**

sh ip nat tra ничего не показывает, вообще.

fieldsetxxx#sh ip nat tra
Pro Inside global Inside local Outside local Outside global

@corlovito · 21.07.2016, 11:06

правила не добавились, у вас в конфиге один ип адрес указан в примере правил ната показываете другой так сложно поймать причину

@Rann · 21.07.2016, 11:53 **[ТС]**

не совсем понял что сделать?

@corlovito · 21.07.2016, 11:54

живой конфиг показать весь и ошибки, если возникают, когда пытаетесь правило добавить

@Rann 0 / 0 / 0 Регистрация: 19.07.2016 Сообщений: 10
	21.07.2016, 11:53 [ТС]	14
	не совсем понял что сделать? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	20.07.2016, 08:54	2
	на интерфейсах прописали nat inside nat outside ? покажите конфиг лучше 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	20.07.2016, 08:57	3
	покажи конфиг что за Сообщение от Rann один (назовем его влан 100) это /24 от провайдера ? и у тебя пулы пересекаются + тебе нужен overload (PAT) или static PAT - перенаправление портов? я если честно не понимаю, что надо и что за "от провайдера", от провайдера инет же приходит 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	20.07.2016, 10:52	5
	Сообщение от Rann interface GigabitEthernet0/1 и interface GigabitEthernet0/0.100 - дает один и тот-же провайдер как так может быть это же физически разные интерфейсы у вас локальная сеть и интернет физически на одном порту висят ? 0

@Rann 0 / 0 / 0 Регистрация: 19.07.2016 Сообщений: 10
	20.07.2016, 11:10 [ТС]	6
	Сообщение от corlovito как так может быть это же физически разные интерфейсы у вас локальная сеть и интернет физически на одном порту висят ? Провайдер один, приходит через свитч =) 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	20.07.2016, 11:19	7
	чето у меня голова заболела, тогда давайте лучше графическую схему 1

@Rann 0 / 0 / 0 Регистрация: 19.07.2016 Сообщений: 10
	20.07.2016, 16:15 [ТС]	8
	Вот так получается. Миниатюры 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	20.07.2016, 17:18	9
	Не по теме: а с какой целью такие извращения ? или что курили когда это делали советовал бы для начала переделать интерфейсы по нормальному 0

@Rann 0 / 0 / 0 Регистрация: 19.07.2016 Сообщений: 10
	20.07.2016, 17:49 [ТС]	10
	не могу ответить кто и что курил, это наследство, связанно это видимо с тем что от прова еще пара /24 приходит через тот же канал на на роутер соседний. Я так понимаю нат не получится настроить для интерфейса 222.222.222.0/24?? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	20.07.2016, 17:51	11
	после проделанных настроек в таблице нат что нибудь есть ? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	21.07.2016, 11:06	13
	правила не добавились, у вас в конфиге один ип адрес указан в примере правил ната показываете другой так сложно поймать причину 0

	21.07.2016, 11:54