cisco nat-problem. Kan noen hjelpe?

[lohelle]

Har et lite problem med NAT og Cisco.

 

IP-adresser er fiktive. Det jeg ønsker er å nå en intern server via port forwarding (NAT) fra en DMZ-sone på samme router.

 

Router er Cisco 2620XM. IOS er nyeste Advancedsecurity 12.4T

 

DMZ sone er pubic routed IP's (routed via 212.183.200.2)

 

FastEthernet 0/0.10

ip address 212.183.200.2 255.255.255.192

ip nat outside

 

FastEthernet 0/0.2

ip address 192.168.0.1 255.255.255.0

ip nat inside

 

FastEthernet 0/0.3 (dmz sone)

ip address 212.160.246.67 255.255.255.240

 

ip nat pool overload 212.183.200.2 212.183.200.2 prefix-length 24

ip nat inside source list 150 pool overload overload

ip nat inside source static tcp 192.168.0.1 8080 interface FastEthernet0/0.10 8080

ip nat inside source static tcp 192.168.0.2 8081 interface FastEthernet0/0.10 8081

access-list 150 permit ip 192.168.0.0 0.0.0.255 any

 

---------------

 

En PC i dmz-sonen klarer ikke å aksessere 192.168.0.1 via den primære eksterne IP-en 212.183.200.2. Hvordan kan dette gjøres. (gjelder flere port forwardinger også)

 

Er klar over måter å omgå problemet med DNS og hosts-fil.. Men ønsker å endre NAT oppsett slik at PC-er i andre soner (og eventelt samme sone - NAT loopback altså) kan NAT'es inn igjen i nettet.

 

Forslag til kode som vil gjøre dette mottas med STOR takknemlighet.

Endret 20. august 2007 av lohelle

[lohelle]

*bump*

Det MÅ jo være noen som vet dette.. ?

[VictorOsborn]

Jeg har tenkt litt. En mulig løsning er å lage en nat loopback. Så lage en route map : match traffic med extended acl fra dmz til 192.168...set loopback0. (din nat outside)Så du tvinger trafikken fra DMZ, sette policy fra dmz interface å gå via loopbacken og dermed vil NAT fungere.

Endret 31. august 2007 av Happyone3

[lohelle]

Jeg har tenkt litt. En mulig løsning er å lage en nat loopback. Så lage en route map : set loopback0. Så du tvinger trafikken fra DMZ, sette policy fra dmz interface å gå via loopbacken og dermed vil NAT fungere.

9399214[/snapback]

 

har du noe eksempel på dette?

[VictorOsborn]

skal pcer i dmz sonen oversettes eller skal de bare ha aksess til 192.168 nettet?

[VictorOsborn]

Nat loopback:

int lo0

ip add 212.183.200.2 255.255.255.240

ip nat outside

 

access-list 100 permit ip 212.160.246.64 0.0.0.15 192.168.0.0 0.0.0.255

 

route-map NATLOOP permit 10

match ip address 100

set ip next-hop lo0

 

int fa0/0.3

ip add 212.160.246.67 255.255.255.240

ip policy route-map NATLOOP

ip nat inside

 

Jeg har ikke prøvd, var bare en ide. Du må legge det andre natconfigen mot denne loopbacken. Trafikk fra DMZ mot internett vil ikke bli oversatt tror jeg.

Endret 31. august 2007 av Happyone3

[lohelle]

Nat loopback:

int lo0

ip add 212.183.200.2 255.255.255.240

ip nat outside

 

access-list 100 permit ip 212.160.246.64 0.0.0.15 192.168.0.0 0.0.0.255

 

route-map NATLOOP permit 10

match ip address 100

set ip next-hop lo0

 

int fa0/0.3

ip add 212.160.246.67 255.255.255.240

ip policy route-map NATLOOP

ip nat inside

 

Jeg har ikke prøvd, var bare en ide. Du må  legge det andre natconfigen mot denne loopbacken. Trafikk fra DMZ mot internett vil ikke bli oversatt tror jeg.

9399760[/snapback]

 

Men hva nå med generell internett-trafikk? Nå er jo wan-ip på loopback'en..

[Knopfix]

Prøv å legge til denne kommandoen i tillegg.

Dette skulle til hos meg i en annen setting uten sub interface men ellers likt.

 

ip nat inside source list 150 interface FastEthernet 0.10 overload

Endret 20. september 2007 av Knopfix

[VictorOsborn]

Kanskje litt seint. Men det går an å bruke virtuell NAT hvor man lager ett interface som ikke trenger ip nat outside/inside statement.