У меня есть маршрутизатор cisco ios с программным обеспечением ios C1900 (C1900-UNIVERSALK9-M), версия 15.2 (4) M1. И у меня есть настройка Nat с перегрузкой порта (один общедоступный IP). И есть статическое отображение:
ip nat source static tcp 192.168.1.42 7780 interface GigabitEthernet0/0 80
Что отлично работает, если я пытаюсь получить доступ к веб-серверу от другого провайдера. (GE0 / 0 - внешний интерфейс, GE0 / 1 - внутренний интерфейс) Итак, когда трафик идет с GE0 / 0 на GE0 / 1.
Но когда я хочу получить к нему доступ из внутренней сети (GE0 / 1), пакет не попадает на целевой хост. Запись в таблице nat NVI создана для этого соединения, но пакеты не достигают 192.168.1.42:7780. Так возможно ли, что внешний адрес nat будет работать как переадресация порта для внутреннего пула nat?
РЕДАКТИРОВАТЬ: IP-адрес Src находится в локальной подсети, т.е. 192.168.1.100, но я получаю доступ к wan-адресам, т.е. 88.88.88.88, который назначен внешнему интерфейсу WAN GE0 / 0, поэтому трафик проходит через маршрутизатор.
Ключевым моментом было добавить:
no ip redirects
на нат интерфейсах. Это сработало.
Первая проблема, с которой вы столкнетесь, - это пересылка обратного пакета с веб-сервера клиенту. Представьте себе следующий поток:
Source IP 192.168.1.100 Source Port 64000
Destination IP 88.88.88.88 Destination port 7780
Этот пакет попадает в маршрутизатор и изменяется на следующий
Source IP 192.168.1.100 Source Port 64000
Destination IP 192.168.1.42 Destination Port 80
Затем этот пакет отправляется на сервер, который попытается ОТВЕТИТЬ на 192.168.1.100 !! Это обойдет маршрутизатор (уровень 2), поэтому клиент увидит ответный пакет как:
Source IP 192.168.1.42 Source Port 80
Destination IP 192.168.1.100 Source Port 64000
Это проблема - клиент ожидает, что источник будет 88.88.88.88! Это можно решить с помощью маршрута на сервере, заставляющего весь локальный трафик обратно через маршрутизатор, но это повлияет на большой трафик, и я бы не рекомендовал его. Если вы отключите Webeserver от другого интерфейса (или VLAN) на маршрутизаторе, вам будет проще это сделать ...
Какой у вас исходный IP? Если вы получаете доступ к 192.168.1.42 из чего-то в той же подсети, что и сервер, трафик никогда не попадет на маршрутизатор и не получит NAT.
Кроме того, вы можете смешивать здесь свои технологии. Введенная вами команда использует NVI NAT нового стиля и обрабатывает все интерфейсы с включенным NAT как внутренние. Но вы имеете в виду внешние интерфейсы, как если бы вы их определили.
Можете ли вы предоставить нам конфигурацию ваших операторов NAT, списков контроля доступа и интерфейсов?