SIBAR1T Posted August 27, 2018 (edited) · Report post Всем привет. Есть CISCO2600 На ней есть внешний интерфейс и к нему прибит NAT: interface FastEthernet0/0.611 encapsulation dot1Q 611 ip address ХХ.194.ХХХ.231 255.255.255. ip nat outside ip nat inside source list 103 interface FastEthernet0/0.611 overload ip nat inside source static tcp 192.168.161.31 443 ХХ.194.ХХХ.231 443 extendable access-list 103 permit ip any 192.168.161.0 0.0.0.255 access-list 103 permit ip 192.168.161.0 0.0.0.255 any access-list 103 permit ip 192.168.20.0 0.0.0.255 host 78.141.179.70 access-list 103 deny ip any any Подскажите, как не нарушив текущий нат прикрутить еще один (с пробросом диапазона портов), к дополнительному ip адресу, что я повесил на интерфейс: interface FastEthernet0/0.611 encapsulation dot1Q 611 ip address ХХ.194.ХХХ.231 255.255.255.0 ip address ХХ.194.ХХХ.241 255.255.255.0 secondary ip nat outside Вообще я хотел сделать вот так: ip nat inside source list 105 interface FastEthernet0/0.611 overload ip nat pool ZINGpool 192.168.161.48 192.168.161.48 netmask 255.255.255.0 type rotary ip nat inside destination list 105 pool ZINGpool access-list 105 permit tcp any 192.168.161.48 range 8000 10000 access-list 105 permit tcp any 192.168.161.48 range 19350 19360 access-list 105 permit tcp any 192.168.161.48 1935 access-list 105 permit udp any 192.168.161.48 1935 access-list 105 permit tcp any 192.168.161.48 443 Но что то мне сомневательно, будет ли такая конструкция работать? Всё таки нат получается прибит на интерфейс, а наверное надо оба переделывать, чтобы были прибиты на ip? Edited August 27, 2018 by SIBAR1T Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 27, 2018 · Report post Вот тема, как раз ваш случай Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 27, 2018 · Report post Возможно ты меня не поймёшь Есть нат в порт маскарад Есть нат в ip srcnat Тебе нужно собрать 2 srcnat Т.к. на порту будет 2 ip и при маскараде направило не будет знать куда натить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted August 27, 2018 · Report post 27 минут назад, pingz сказал: Возможно ты меня не поймёшь Сто пудоФФ не поймет. Т.к. нет ничего лучше, чем пример из конфига. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SIBAR1T Posted August 27, 2018 · Report post 32 минуты назад, pingz сказал: Возможно ты меня не поймёшь Есть нат в порт маскарад Есть нат в ip srcnat Тебе нужно собрать 2 srcnat Т.к. на порту будет 2 ip и при маскараде направило не будет знать куда натить. Ну почему же не поймет. порт маскарад, это прямой нат, когда условно в инет ходим из локалки сурс нат, это когда трафик падает в сорс. Примеры, умоляю)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted August 27, 2018 · Report post можно попробовать натить пул на secondary ip на интерфейсе. хотя, не уверен что заведется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted August 28, 2018 · Report post @RN3DCX @SIBAR1T У меня в сети mikrotik и juniper. Увы конфиги кинуть не могу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted August 28, 2018 · Report post 19 часов назад, SIBAR1T сказал: Вообще я хотел сделать вот так: ip nat pool ZINGpool 192.168.161.48 192.168.161.48 netmask 255.255.255.0 type rotary ip nat inside destination list 105 pool ZINGpool access-list 105 permit tcp any 192.168.161.48 range 8000 10000 access-list 105 permit tcp any 192.168.161.48 range 19350 19360 access-list 105 permit tcp any 192.168.161.48 1935 access-list 105 permit udp any 192.168.161.48 1935 access-list 105 permit tcp any 192.168.161.48 443 А как эта конструкция должна работать по вашему? Насчёт ната на секондари адрес - даж не знаю будет ли работать. Вот кусок конфига что работал: interface GigabitEthernet0/1 ip address X1.X2.X3.X4 255.255.255.252 ip nat outside interface GigabitEthernet0/2.21 encapsulation dot1Q 21 ip address Y1.Y2.Y3.1 255.255.255.252 ip nat inside interface GigabitEthernet0/2.101 encapsulation dot1Q 101 ip address X21.X22.X23.6 255.255.255.248 ip nat pool OFFICE X21.X22.X23.2 X21.X22.X23.2 netmask 255.255.255.248 ip nat inside source route-map NAT interface GigabitEthernet0/1 overload ip nat inside source route-map NAT-OFFICE pool OFFICE overload ip nat inside source static tcp Y1.Y2.6.250 64444 X1.X2.X3.X4 64444 extendable ip nat inside source static tcp Y1.Y2.6.21 64557 X1.X2.X3.X4 64557 extendable ip nat inside source static tcp Y1.Y2.252.2 22 X21.X22.X23.2 22 extendable ip nat inside source static tcp Y1.Y2.252.66 1723 X21.X22.X23.2 1723 extendable ip nat inside source static tcp Y1.Y2.252.66 8000 X21.X22.X23.2 8000 extendable ip nat inside source static tcp Y1.Y2.252.2 8080 X21.X22.X23.2 8080 extendable ip nat inside source static tcp Y1.Y2.252.2 80 X21.X22.X23.2 8357 extendable ip nat inside source static tcp Y1.Y2.252.66 64555 X21.X22.X23.2 64555 extendable ip access-list extended NAT deny ip any Y1.Y2.0.0 0.0.255.255 permit ip Y1.Y2.0.0 0.0.31.255 any ip access-list extended NAT-OFFICE deny ip any Y1.Y2.0.0 0.0.255.255 permit ip Y1.Y2.252.0 0.0.0.255 any route-map NAT permit 10 match ip address NAT ! route-map NAT-OFFICE permit 10 match ip address NAT-OFFICE ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 29, 2018 · Report post On 8/27/2018 at 5:48 PM, SIBAR1T said: ip nat inside source list 103 interface FastEthernet0/0.611 overload ip nat inside source static tcp 192.168.161.31 443 ХХ.194.ХХХ.231 443 extendable access-list 103 permit ip any 192.168.161.0 0.0.0.255 access-list 103 permit ip 192.168.161.0 0.0.0.255 any access-list 103 permit ip 192.168.20.0 0.0.0.255 host 78.141.179.70 access-list 103 deny ip any any Выделеное жирным - лишнее On 8/27/2018 at 5:48 PM, SIBAR1T said: interface FastEthernet0/0.611 encapsulation dot1Q 611 ip address ХХ.194.ХХХ.231 255.255.255.0 ip address ХХ.194.ХХХ.241 255.255.255.0 secondary ip nat outside Выделеное жирным - лишнее тупо добавлешь статик натов и все: ip nat inside source static tcp 192.168.xxx PPP ХХ.194.ХХХ.241 PPP extendable и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SIBAR1T Posted August 29, 2018 · Report post Спасибо, ушел думать) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...