Перейти к содержимому
Калькуляторы

Помогите настроить два NATа на одном интерфейсе CISCO.

Всем привет. Есть CISCO2600

На ней есть внешний интерфейс и к нему прибит NAT:

 

interface FastEthernet0/0.611
 encapsulation dot1Q 611

 ip address ХХ.194.ХХХ.231 255.255.255.
 ip nat outside

 

ip nat inside source list 103 interface FastEthernet0/0.611 overload
ip nat inside source static tcp 192.168.161.31 443 ХХ.194.ХХХ.231 443 extendable

 

access-list 103 permit ip any 192.168.161.0 0.0.0.255
access-list 103 permit ip 192.168.161.0 0.0.0.255 any
access-list 103 permit ip 192.168.20.0 0.0.0.255 host 78.141.179.70
access-list 103 deny   ip any any
 

Подскажите, как не нарушив текущий нат прикрутить еще один (с пробросом диапазона портов), к дополнительному ip адресу, что я повесил на интерфейс:

 

interface FastEthernet0/0.611
 encapsulation dot1Q 611

 ip address ХХ.194.ХХХ.231 255.255.255.0
 ip address ХХ.194.ХХХ.241 255.255.255.0 secondary
 ip nat outside

 

Вообще я хотел сделать вот так:

ip nat inside source list 105 interface FastEthernet0/0.611 overload 
ip nat pool ZINGpool 192.168.161.48 192.168.161.48 netmask 255.255.255.0 type rotary 
ip nat inside destination list 105 pool ZINGpool 
access-list 105 permit tcp any 192.168.161.48 range 8000 10000
access-list 105 permit tcp any 192.168.161.48 range 19350 19360
access-list 105 permit tcp any 192.168.161.48 1935
access-list 105 permit udp any 192.168.161.48 1935
access-list 105 permit tcp any 192.168.161.48 443

 

Но что то мне сомневательно, будет ли такая конструкция работать? Всё таки нат получается прибит на интерфейс, а наверное надо оба переделывать, чтобы были прибиты на ip?

Изменено пользователем SIBAR1T

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно ты меня не поймёшь

Есть нат в порт маскарад

Есть нат в ip srcnat

 

Тебе нужно собрать 2 srcnat

 

Т.к. на порту будет 2 ip и при маскараде направило не будет знать куда натить.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, pingz сказал:

Возможно ты меня не поймёшь

Сто пудоФФ не поймет.

Т.к. нет ничего лучше, чем пример из конфига. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, pingz сказал:

Возможно ты меня не поймёшь

Есть нат в порт маскарад

Есть нат в ip srcnat

 

Тебе нужно собрать 2 srcnat

 

Т.к. на порту будет 2 ip и при маскараде направило не будет знать куда натить.

 

Ну почему же не поймет. порт маскарад, это прямой нат, когда условно в инет ходим из локалки

сурс нат, это когда трафик падает в сорс.

Примеры, умоляю))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно попробовать натить пул на secondary ip на интерфейсе. хотя, не уверен что заведется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@RN3DCX @SIBAR1T  У меня в сети mikrotik и juniper. Увы конфиги кинуть не могу. 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, SIBAR1T сказал:

Вообще я хотел сделать вот так:

ip nat pool ZINGpool 192.168.161.48 192.168.161.48 netmask 255.255.255.0 type rotary 
ip nat inside destination list 105 pool ZINGpool 
access-list 105 permit tcp any 192.168.161.48 range 8000 10000
access-list 105 permit tcp any 192.168.161.48 range 19350 19360
access-list 105 permit tcp any 192.168.161.48 1935
access-list 105 permit udp any 192.168.161.48 1935
access-list 105 permit tcp any 192.168.161.48 443

А как эта конструкция должна работать по вашему?

 

Насчёт ната на секондари адрес - даж не знаю будет ли работать.

Вот кусок конфига что работал:

 

interface GigabitEthernet0/1
 ip address X1.X2.X3.X4 255.255.255.252
 ip nat outside
interface GigabitEthernet0/2.21
 encapsulation dot1Q 21
 ip address Y1.Y2.Y3.1 255.255.255.252
 ip nat inside
interface GigabitEthernet0/2.101
 encapsulation dot1Q 101
 ip address X21.X22.X23.6 255.255.255.248
ip nat pool OFFICE X21.X22.X23.2 X21.X22.X23.2 netmask 255.255.255.248
ip nat inside source route-map NAT interface GigabitEthernet0/1 overload
ip nat inside source route-map NAT-OFFICE pool OFFICE overload
ip nat inside source static tcp Y1.Y2.6.250 64444 X1.X2.X3.X4 64444 extendable
ip nat inside source static tcp Y1.Y2.6.21 64557 X1.X2.X3.X4 64557 extendable
ip nat inside source static tcp Y1.Y2.252.2 22 X21.X22.X23.2 22 extendable
ip nat inside source static tcp Y1.Y2.252.66 1723 X21.X22.X23.2 1723 extendable
ip nat inside source static tcp Y1.Y2.252.66 8000 X21.X22.X23.2 8000 extendable
ip nat inside source static tcp Y1.Y2.252.2 8080 X21.X22.X23.2 8080 extendable
ip nat inside source static tcp Y1.Y2.252.2 80 X21.X22.X23.2 8357 extendable
ip nat inside source static tcp Y1.Y2.252.66 64555 X21.X22.X23.2 64555 extendable 

ip access-list extended NAT
 deny   ip any Y1.Y2.0.0 0.0.255.255
 permit ip Y1.Y2.0.0 0.0.31.255 any
ip access-list extended NAT-OFFICE
 deny   ip any Y1.Y2.0.0 0.0.255.255
 permit ip Y1.Y2.252.0 0.0.0.255 any 

route-map NAT permit 10
 match ip address NAT
!
route-map NAT-OFFICE permit 10
 match ip address NAT-OFFICE
!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 8/27/2018 at 5:48 PM, SIBAR1T said:

ip nat inside source list 103 interface FastEthernet0/0.611 overload
ip nat inside source static tcp 192.168.161.31 443 ХХ.194.ХХХ.231 443 extendable

 

access-list 103 permit ip any 192.168.161.0 0.0.0.255
access-list 103 permit ip 192.168.161.0 0.0.0.255 any
access-list 103 permit ip 192.168.20.0 0.0.0.255 host 78.141.179.70
access-list 103 deny   ip any any

Выделеное жирным - лишнее

 

On 8/27/2018 at 5:48 PM, SIBAR1T said:

interface FastEthernet0/0.611
 encapsulation dot1Q 611

 ip address ХХ.194.ХХХ.231 255.255.255.0
 ip address ХХ.194.ХХХ.241 255.255.255.0 secondary
 ip nat outside

Выделеное жирным - лишнее

 

тупо добавлешь статик натов и все:

 

ip nat inside source static tcp 192.168.xxx PPP ХХ.194.ХХХ.241 PPP extendable
и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.