Tornante Cisco NAT

Ho un router Cisco configurato NAT (4 NAT statico e NAT dinamico). Il mio problema è che non riesco ad accedere ai server interni utilizzando gli indirizzi IP pubblici dalla rete interna.

So qual è il problema. Ho fatto molte ricerche su Google su questo problema e ho appreso che la maggior parte dei firewall / router gestisce automaticamente questa situazione.

Nel caso di Cisco, NAT hairpinning è una delle soluzioni (non so se ho ragione). Come lo posso fare?.

ho bisogno di accedere al server usando l'indirizzo IP 202.192.68.235dal mio PC, ma non posso.

NVI NAT è già stato allevato da Aaron D.

Ecco i bit di configurazione rilevanti di un esempio funzionante. È stato fatto su un CISCO881 con IOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Configurazione dell'interfaccia:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

ACL NAT:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Regole NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

In breve:

1. impostare le interfacce pertinenti su "ip nat enable" anziché su "ip nat in / outside" e modificare leggermente le regole NAT.
2. assicurarsi che esista una politica in uscita in stile NAT NVI, o che l'host hairpinnable non sia in grado di connettersi in uscita o tornante a se stesso.
3. disabilita i reindirizzamenti ip sull'interfaccia "interna" o il tornante (almeno non dall'host stesso) non funzionerà.

Attenzione: NVI NAT può tassare MOLTO sulla CPU di router di fascia bassa come la serie 800. Laddove il mio vecchio 881 era in grado di fornire 50-60 Mbit / s con NAT classico, il passaggio a NVI ha portato il throughput a 20-30 Mbit / se la CPU si illuminava di rosso quando era sotto carico.

Questo è stato anche il caso in cui la traduzione da definire non era effettivamente in uso, solo con il traffico corrispondente alla normale regola NAT in uscita "interfaccia ... sovraccarico".

Su un ASA questo è abbastanza facile. Su un router, penso che tu possa configurare Nat / NVI per ottenere quello che vuoi.

Prova questo: Cisco Router Easy Hairpin NAT

Questo è un caso di port forwarding sulla stessa rete. Per tali configurazioni di DMZ, si preferisce il hairpinning o il DNS locale da risolvere per tali server interni. Oltre a loro c'è una soluzione equivalente per questo.

La soluzione consiste nell'avere la regola DNAT per la propria zona LAN in modo che il pacchetto con destinazione ip 202.192.68.235 dal client locale possa essere tradotto in 10.0.6.35 e reindirizzato alla stessa rete dal router.

Ma ancora una volta il problema è che il server proverà a rispondere direttamente al client poiché appartiene alla stessa rete. Ora per fare in modo che il server risponda al client tramite router, dobbiamo aggiungere una regola SNAT che renderebbe l'origine come router.

La tua regola SNAT dovrebbe essere molto specifica in modo tale da applicarsi solo al traffico proveniente dalla sottorete locale e destinata al 10.0.6.35. Questo risolverà sicuramente il tuo problema.

Per riassumere devi aggiungere una DNAT e una regola SNAT per l'interfaccia LAN.