[kraver1388]

Добрый день,возникла проблема с портами.

По 80 и 443 на 192.168.241.2 доступ есть.

По остальным портам доступа нет.

Куда копать?

 

 

ip nat inside source static tcp 192.168.241.2 80 213.33.162.14 80 extendable

ip nat inside source static tcp 192.168.241.2 443 213.33.162.14 443 extendable

ip nat inside source static udp 192.168.241.3 1719 213.33.162.14 1719 extendable

ip nat inside source static tcp 192.168.241.3 1720 213.33.162.14 1720 extendable

ip nat inside source static tcp 192.168.241.3 2776 213.33.162.14 2776 extendable

ip nat inside source static udp 192.168.241.3 2776 213.33.162.14 2776 extendable

ip nat inside source static tcp 192.168.241.3 2777 213.33.162.14 2777 extendable

ip nat inside source static udp 192.168.241.3 2777 213.33.162.14 2777 extendable

ip nat inside source static tcp 192.168.241.3 3089 213.33.162.14 3089 extendable

ip nat inside source static udp 192.168.241.3 3089 213.33.162.14 3089 extendable

ip nat inside source static udp 192.168.241.3 3478 213.33.162.14 3478 extendable

ip nat inside source static tcp 192.168.241.2 7070 213.33.162.14 7070 extendable

ip nat inside source static udp 192.168.241.2 10000 213.33.162.14 10000 extendable

[VolanD666]

А вы уверены что на этих портах трафик слушается?

[stepashka]

213.33.162.14 - это ip-адрес из пула или интерфейс самого маршрутизатора?

[kapydan]

а можно более подробный конфиг выложить? может там что-то лишнее настроено, или наоборот недонастроено. и как проверяли, что нет доступа?

[kraver1388]

а можно более подробный конфиг выложить? может там что-то лишнее настроено, или наоборот недонастроено. и как проверяли, что нет доступа?

 

interface GigabitEthernet0/0

ip address 192.168.2.1 255.255.255.252

ip nat inside

ip virtual-reassembly in

ip policy route-map ISP

duplex auto

speed auto

!

interface GigabitEthernet0/1

description INTERNET

ip address 87.229.218.198 255.255.255.252

no ip redirects

no ip proxy-arp

ip nat outside

ip virtual-reassembly in

ip verify unicast reverse-path

duplex auto

speed auto

no cdp enable

!

interface GigabitEthernet0/2

ip address 213.33.162.14 255.255.255.252

ip nat outside

no ip virtual-reassembly in

duplex auto

speed auto

no cdp enable

 

ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotary

ip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary

ip nat inside source list NAT interface GigabitEthernet0/1 overload

ip nat inside source static tcp 10.1.1.4 25 87.229.218.198 25 extendable

ip nat inside source static tcp 10.1.9.15 7612 87.229.218.198 80 extendable

ip nat inside source static tcp 10.1.1.4 443 87.229.218.198 443 extendable

ip nat inside source static udp 10.1.9.15 500 87.229.218.198 500 extendable

ip nat inside source static tcp 10.1.1.4 587 87.229.218.198 587 extendable

ip nat inside source static tcp 10.1.1.4 995 87.229.218.198 995 extendable

ip nat inside source static tcp 10.1.1.6 1723 87.229.218.198 1723 extendable

ip nat inside source static udp 10.1.9.15 4500 87.229.218.198 4500 extendable

ip nat inside source static tcp 10.1.9.15 7612 87.229.218.198 7612 extendable

ip nat inside source static tcp 192.168.241.2 80 213.33.162.14 80 extendable

ip nat inside source static tcp 192.168.241.2 443 213.33.162.14 443 extendable

ip nat inside source static udp 192.168.241.3 1719 213.33.162.14 1719 extendable

ip nat inside source static tcp 192.168.241.3 1720 213.33.162.14 1720 extendable

ip nat inside source static tcp 192.168.241.3 2776 213.33.162.14 2776 extendable

ip nat inside source static udp 192.168.241.3 2776 213.33.162.14 2776 extendable

ip nat inside source static tcp 192.168.241.3 2777 213.33.162.14 2777 extendable

ip nat inside source static udp 192.168.241.3 2777 213.33.162.14 2777 extendable

ip nat inside source static tcp 192.168.241.3 3089 213.33.162.14 3089 extendable

ip nat inside source static udp 192.168.241.3 3089 213.33.162.14 3089 extendable

ip nat inside source static udp 192.168.241.3 3478 213.33.162.14 3478 extendable

ip nat inside source static tcp 192.168.241.2 7070 213.33.162.14 7070 extendable

ip nat inside source static udp 192.168.241.2 10000 213.33.162.14 10000 extendable

ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL

ip nat inside destination list 103 pool SCOPIA_PF_POOL

ip route 0.0.0.0 0.0.0.0 87.229.218.197

ip route 0.0.0.0 0.0.0.0 213.33.162.13

!

ip access-list extended FIREWALL

permit tcp any any

permit udp any any

ip access-list extended NAT

permit ip any any

!

logging host 192.168.254.254

logging host 10.1.254.254

!

route-map ISP permit 10

match ip address 110

set ip next-hop 213.33.162.13

!

route-map ISP permit 20

match ip address 111

set ip next-hop 87.229.218.197

!

!

access-list 10 permit any

access-list 102 permit udp any any range 10000 65535

access-list 103 permit udp any any range 4000 5000

access-list 103 permit tcp any any range 4000 5000

access-list 110 permit ip host 192.168.241.2 any

access-list 110 permit ip host 192.168.241.3 any

access-list 111 permit ip 192.168.0.0 0.0.255.255 any

access-list 111 permit ip 10.0.0.0 0.255.255.255 any

 

 

Как то так.

 

BORDER#show access-list

Standard IP access list 10

10 permit any (2643 matches)

Extended IP access list 102

10 permit udp any any range 10000 65535

Extended IP access list 103

10 permit udp any any range 4000 5000

20 permit tcp any any range 4000 5000 (5686 matches)

Extended IP access list 110

10 permit ip host 192.168.241.2 any (1785 matches)

20 permit ip host 192.168.241.3 any

Extended IP access list 111

10 permit ip 192.168.0.0 0.0.255.255 any (21298843 matches)

20 permit ip 10.0.0.0 0.255.255.255 any (1598317 matches)

Extended IP access list FIREWALL

10 permit tcp any any

20 permit udp any any

Extended IP access list NAT

10 permit ip any any (1371611 matches)

[DRiVen]

Где

ip nat inside source list NAT interface GigabitEthernet0/2 overload

если вы по 213.33.162.14 хотите достучаться?

[kraver1388]

Где

ip nat inside source list NAT interface GigabitEthernet0/2 overload

если вы по 213.33.162.14 хотите достучаться?

 

И даже с наличием этой команды ничего не изменилось,открыт только 443 порт,хотя на соседнем интерфейсе все в порядке,я больше склоняюсь к корявым аксес листам.

[kapydan]

был подобный случай. как решали:

1) в ацл разрешили все - permit all. вначлае вроде бы помогло, но потом проблема вернулась.

2) правили ацл прям походу проблемы. помогало, но на время.

3) когда все задолбало (а проблемы проявлялись почти полгода) обновили иос - проблема была решена.

 

пробовал такой путь решения проблемы?

[kraver1388]

был подобный случай. как решали:

1) в ацл разрешили все - permit all. вначлае вроде бы помогло, но потом проблема вернулась.

2) правили ацл прям походу проблемы. помогало, но на время.

3) когда все задолбало (а проблемы проявлялись почти полгода) обновили иос - проблема была решена.

 

пробовал такой путь решения проблемы?

Не,руки никак не доходят плотно посидеть за железкой,за наводку спасибо,попробую иос обновить.Отпишу результат.

[kapydan]

ну там маза была вначале не в обновлении иоса, а именно в разрешении всего в ацл. и смотришь что происходит. если все работает - добавляешь ограничивающие строчки по одной, все применяешь по ходу исправления и смотришь что работает/не работает. если способо не помого - попробуй иос обновить. у нас многие проблемы решались таким образом - обновлением иоса, или просто перезаливкой того же.

только конфиг в блокнотик сохрани и на тфтп сервер.

[kraver88]

ну там маза была вначале не в обновлении иоса, а именно в разрешении всего в ацл. и смотришь что происходит. если все работает - добавляешь ограничивающие строчки по одной, все применяешь по ходу исправления и смотришь что работает/не работает. если способо не помого - попробуй иос обновить. у нас многие проблемы решались таким образом - обновлением иоса, или просто перезаливкой того же.

только конфиг в блокнотик сохрани и на тфтп сервер.

Так и поступлю,если меня на тряпки не порвут))Железка в работе 24 часа в сутки.

[kapydan]

она работает как граничный роутер в конторе?

[kraver88]

она работает как граничный роутер в конторе?

Да

[DRiVen]

ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotary

ip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary

...

ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL

ip nat inside destination list 103 pool SCOPIA_PF_POOL

...

access-list 102 permit udp any any range 10000 65535 - все порты в трансляциях (кроме 10000) ниже

access-list 103 permit udp any any range 4000 5000 - все порты в трансляциях ниже

access-list 103 permit tcp any any range 4000 5000 - все порты в трансляциях ниже

И какой иной результат вы хотите получить, если зарезали все порты, на которые проброс пишете? (и зачем их так порезали - непонятно)

 

udp 192.168.241.3 1719 213.33.162.14 1719 extendable

tcp 192.168.241.3 1720 213.33.162.14 1720 extendable

...

udp 192.168.241.3 3478 213.33.162.14 3478 extendable

?

Edited April 14, 2016 by DRiVen

[kraver88]

ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotary

ip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary

...

ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL

ip nat inside destination list 103 pool SCOPIA_PF_POOL

...

access-list 102 permit udp any any range 10000 65535 - все порты в трансляциях (кроме 10000) ниже

access-list 103 permit udp any any range 4000 500 - все порты в трансляциях ниже

access-list 103 permit tcp any any range 4000 5000 - все порты в трансляциях ниже

И какой иной результат вы хотите получить, если зарезали все порты, на которые проброс пишете? (и зачем их так порезали - непонятно)

 

udp 192.168.241.3 1719 213.33.162.14 1719 extendable

tcp 192.168.241.3 1720 213.33.162.14 1720 extendable

...

udp 192.168.241.3 3478 213.33.162.14 3478 extendable

?

Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать.

[kapydan]

странно, что интегратор поставил один роутер. ои=ни все любят делать по фен-шую, те ставят пару - один active, другой standby.

[DRiVen]

Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать.

Понятно, знакомая ситуация.

 

access-list 102 permit ip any any
access-list 103 permit ip any any

потом, если паранойя припрет, поменяете.

Edited April 14, 2016 by DRiVen

[kraver1388]

странно, что интегратор поставил один роутер. ои=ни все любят делать по фен-шую, те ставят пару - один active, другой standby.

Уже наверно active-active в моде) Денег было мало,а так бы поставили)

 

Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать.

Понятно, знакомая ситуация.

 

access-list 102 permit ip any any
access-list 103 permit ip any any

потом, если паранойя припрет, поменяете.

Спасибо,попробую,отпишу.

[kapydan]

ну, как грица скупой плотит дважды. так же и тут. в защиту интеграторов могу сказать, что частенько людей перекидывают с проекта на проект только так. "мол, тут делать почти нечего - а там тааааакой проект. а, ты не знаешь ничего? ничего страшного, разберетесь походу". сам сталкивался с таким, больше полугода занимаеся такой же хней - из серии all-in-one.

[kraver1388]

ну, как грица скупой плотит дважды. так же и тут. в защиту интеграторов могу сказать, что частенько людей перекидывают с проекта на проект только так. "мол, тут делать почти нечего - а там тааааакой проект. а, ты не знаешь ничего? ничего страшного, разберетесь походу". сам сталкивался с таким, больше полугода занимаеся такой же хней - из серии all-in-one.

Да я их и не обвиняю,каждому своё,кому то сдавать проект быстрее,кому то эксплуатировать это потом.

[kapydan]

ну, что тут могу сказать. когда я принимал работу (был представителем заказчика, так скать) - я совал нос везде без зазрения совести (железо, конфиги, маркировка). спрашивал по полной что-зачем-почему. потому что, потом спросят с меня - а пачиму ничаво не работает??? кто-то же принимал от вас или была проверка неделя-месяц, или договор с ними на тп?

про приемку работ в опсосах. в первый раз мало что принимают. обычно замечания - это норма. хотя бы 1 мелкое, но должно быть.

[kraver1388]

ну, что тут могу сказать. когда я принимал работу (был представителем заказчика, так скать) - я совал нос везде без зазрения совести (железо, конфиги, маркировка). спрашивал по полной что-зачем-почему. потому что, потом спросят с меня - а пачиму ничаво не работает??? кто-то же принимал от вас или была проверка неделя-месяц, или договор с ними на тп?

про приемку работ в опсосах. в первый раз мало что принимают. обычно замечания - это норма. хотя бы 1 мелкое, но должно быть.

Про приемку в гос.конторах.Всем на все насрать.Лишь бы в сроки уложить,а то наругают сверху.

Тем более в этом проекте циска шла считай бонусом,главная цель была видеоконференцсвязь.

А в опсосах люди на этом деньги зарабатывают,там другой уровень требований.

[kraver88]

Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать.

Понятно, знакомая ситуация.

 

access-list 102 permit ip any any
access-list 103 permit ip any any

потом, если паранойя припрет, поменяете.

Заработало,спасибо. На выходные зачищу аксес листы нормально.