Cisco NAT-Haarnadel

8

Ich habe einen Cisco-Router konfiguriert NAT (4 statische NAT und dynamische NAT). Mein Problem ist, dass ich mit öffentlichen IP-Adressen aus dem internen Netzwerk nicht auf interne Server zugreifen kann.

Ich weiß, wo das Problem liegt. Ich habe viel bei Google nach diesem Problem gesucht und festgestellt, dass die meisten Firewall / Router diese Situation automatisch behandeln.

Im Fall von Cisco ist NAT-Haarnadel die Lösung (ich weiß nicht, ob ich richtig bin). Wie kann ich das machen?.

Geben Sie hier die Bildbeschreibung ein

Ich muss über die IP-Adresse 202.192.68.235von meinem PC auf den Server zugreifen , kann dies aber nicht.

Sareeshmnair
quelle
Können Sie ein Diagramm und eine Konfiguration Ihres Routers veröffentlichen? Es gibt nicht genügend Informationen, um Ihnen zu helfen.
Ron Trunk
habe meine Frage bearbeitet. hoffe, dies wird u
sareeshmnair
1
Leider können Sie den Router nicht dazu bringen, das zu tun, was Sie wollen. Sie können die externe Adresse nicht verwenden, um in der Konfiguration, die Sie haben, zum Server zu gelangen.
Ron Trunk
Müssen Sie tatsächlich die IP-Adresse verwenden oder können Sie den DNS-Namen verwenden? Sie können Ihr lokales DNS so ändern, dass die lokale IP-Adresse anstelle der öffentlichen IP-Adresse zurückgegeben wird.
Ron Maupin
1
Cisco "macht das nicht". Es gibt einige Hacks, damit es funktioniert, aber Sie wollen wirklich nicht dorthin gehen. Grundsätzlich gilt NAT für Pakete, die auf einer Schnittstelle empfangen werden. Da interner Datenverkehr niemals über die "externe" Schnittstelle geleitet wird, werden sie niemals übersetzt. Unter IOS können Loopback-Schnittstellen und Richtlinien-Routing dies ermöglichen, aber es ist ein Alptraum für die Konfiguration und die Verarbeitung.
Ricky Beam

Antworten:

3

NVI NATs wurden bereits von Aaron D. angesprochen.

Hier sind die relevanten Konfigurationsbits eines Arbeitsbeispiels. Es wurde auf einem CISCO881 mit IOS 15.4 (3) M6a durchgeführt

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Schnittstellenkonfiguration:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

NAT ACL:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

NAT-Regeln:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

In einer Nussschale:

  1. Stellen Sie die relevanten Schnittstellen auf "ip nat enable" anstelle von "ip nat in / external" ein und ändern Sie die NAT-Regeln geringfügig.
  2. Stellen Sie sicher, dass eine ausgehende Richtlinie im NVI-NAT-Stil vorhanden ist. Andernfalls kann der haarspinnende Host keine Verbindung zu ausgehenden Daten oder Haarnadeln herstellen.
  3. Deaktivieren Sie IP-Weiterleitungen auf der "Innen" -Schnittstelle, oder das Haarnadeln (zumindest nicht vom Host selbst) funktioniert nicht.

Achtung: NVI NAT kann die CPU von Low-End-Routern wie der 800er-Serie SEHR belasten. Wo mein alter 881 früher mit klassischem NAT 50-60 Mbit / s liefern konnte, sank der Durchsatz bei Umstellung auf NVI auf 20-30 Mbit / s und die CPU leuchtete unter Last rot.

Dies war auch der Fall, wenn die zu haarsträubende Übersetzung nicht tatsächlich verwendet wurde, sondern nur mit Datenverkehr, der der normalen ausgehenden NAT-Regel "Schnittstelle ... Überlastung" entspricht.

Marc 'netztier' Luethi
quelle
0

Auf einem ASA ist das ziemlich einfach. Ich denke, Sie können Nat / NVI auf einem Router so einrichten, dass Sie das erreichen, was Sie wollen.

Versuchen Sie Folgendes: Cisco Router Easy Hairpin NAT

Aaron D.
quelle
0

Dies ist ein Fall der Portweiterleitung an dasselbe Netzwerk. Für solche DMZ-Setups wird Hairpinning bevorzugt oder es muss lokales DNS für solche internen Server aufgelöst werden. Abgesehen von ihnen gibt es eine gleichwertige Lösung dafür.

Die Lösung besteht darin, eine DNAT-Regel für Ihre LAN-Zone zu haben, damit das Paket mit der Ziel-IP 202.192.68.235 vom lokalen Client in 10.0.6.35 übersetzt und vom Router an dasselbe Netzwerk zurückgeleitet werden kann.

Das Problem ist jedoch erneut, dass der Server versucht, direkt auf den Client zu antworten , da er zum selben Netzwerk gehört. Damit der Server dem Client über den Router antwortet, müssen wir eine SNAT-Regel hinzufügen , die die Quelle zum Router macht.

Ihre SNAT-Regel sollte sehr spezifisch sein, sodass sie nur für Datenverkehr gilt, der aus dem lokalen Subnetz stammt und für 10.0.6.35 bestimmt ist. Dies wird Ihr Problem sicher lösen.

Zusammenfassend müssen Sie eine DNAT- und eine SNAT-Regel für die LAN-Schnittstelle hinzufügen.

Enzym
quelle