URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12670
[ Назад ]

Исходное сообщение
"cisco 2800 & asa 5510 проброс порта"
Отправлено metalolom , 03-Фев-07 20:25

Здравствуйте!
Есть роутер 2800 который одним концом смотрит в мир, другим на asa 5510 за которой уже находится сетка юзверей.
Получается НАТ в НАТ, а именно:
от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на 192.168.0.3 (тоже 5510)
и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит на 213.169.*.*
Нужно пробросить порт 3389 на комп юзверя.
как пробрасывать порт на 2800 - я знаю, а вот как его пробросить в данном случае?
Вот конфиг 2800
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 informational
logging console critical
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip source-route
ip tcp synwait-time 10
!
!
ip cef
!
!
no ip bootp server
!
username *****  privilege 15 password 7 ************
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description $ETH-LAN$$FW_OUTSIDE$
ip address 213.169.**.** 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip classless
ip route 0.0.0.0 0.0.0.0 213.169.**.**
!
ip http server
ip http access-class 12
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.0.1 80 213.169.**.** 80 extendable
ip nat outside source static tcp 213.169.**.** 3389 192.168.0.2 3389 extendable
!
logging 213.169.**.**
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.2.0.0 0.0.255.255
access-list 1 permit 192.0.0.0 0.255.255.255
access-list 12 permit 10.2.0.11 log
access-list 12 permit 213.169.**.** log
access-list 12 permit 192.168.0.0 log
access-list 12 permit 192.168.0.3 log
access-list 12 permit 213.169.**.** log
access-list 12 permit 213.169.*.** log
access-list 12 permit 212.109.*.* log
access-list 12 permit 192.0.0.0 log
access-list 12 deny   any
access-list 100 permit ip 10.2.0.0 0.0.255.255 any
access-list 100 permit ip host 213.169.*.* host 10.2.0.1
access-list 100 permit ip host 213.169.*.* host 213.169.*.* log
access-list 100 permit ip host 213.169.*.* any
access-list 100 deny   ip any any
access-list 103 permit tcp host 213.169.*.* eq 3389 any eq 3389
access-list 103 permit tcp any eq 3389 host 213.169.*.* eq 3389 log
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!
^C
!
line con 0
login authentication local_authen
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 12 in
authorization exec local_author
login authentication local_authen
transport input telnet
transport output telnet
!
scheduler allocate 20000 1000
!
end

Что и где надо писать в 5510?

Содержание

cisco 2800 & asa 5510 проброс порта,tashiki, 22:08 , 03-Фев-07
- cisco 2800 & asa 5510 проброс порта,metalolom, 13:45 , 04-Фев-07
  - cisco 2800 & asa 5510 проброс порта,tashiki, 15:51 , 04-Фев-07
    - cisco 2800 & asa 5510 проброс порта,tashiki, 16:29 , 04-Фев-07
      - cisco 2800 & asa 5510 проброс порта,metalolom, 18:37 , 16-Фев-07
        
        cisco 2800 & asa 5510 проброс порта,tashiki, 21:59 , 16-Фев-07
        
        cisco 2800 & asa 5510 проброс порта,metalolom, 13:54 , 22-Фев-07

Сообщения в этом обсуждении

"cisco 2800 & asa 5510 проброс порта"
Отправлено tashiki , 03-Фев-07 22:08

>Здравствуйте!
>Есть роутер 2800 который одним концом смотрит в мир, другим на asa
>5510 за которой уже находится сетка юзверей.
>Получается НАТ в НАТ, а именно:
>
>от юзверя в сетки 10.2.0.0/16 (на 5510) пакет через нат выходит на
>192.168.0.3 (тоже 5510)
>и  идёт на шлюз 192.168.0.1 (уже 2800) опять через нат выходит
>на 213.169.*.*
>
>
>
>Нужно пробросить порт 3389 на комп юзверя.
>как пробрасывать порт на 2800 - я знаю, а вот как его
>пробросить в данном случае?
>Что и где надо писать в 5510?
Как я понимаю ситуация следующая (примерные ип):
10.2.0.2 <-----> 10.2.0.1{5510}192.168.0.3 <------> 192.168.0.1 {2800} 213.169.x.x <--
Вам надо пробросить 213.169.x.x:3389 на 10.2.0.2:3389.
Для этого на 28-ой (оставляем интерфейсы как и было):
interface FastEthernet0/0
ip address 213.169.x.x 255.255.255.252
ip nat outside
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source static tcp 213.169.x.x 3389 10.2.0.2:3389 extendable
Вроде бы все. На 5510 ничего не нужно. Единственное что, ип=10.2.0.2:3389 вам нужно будет исключить из ACL'ов ната. И статик роут на 2800:
ip route 10.2.0.2 255.255.255.255 FastEthernet0/1
Таким образом пакеты с мира с dst=213.169.x.x:3389 будут натиться (точнее PAT'иться) на dst=10.2.0.2:3389, но наоборот)))) (так как outside int у тебя внешний, а инсайд - внутренний - будет source translation). Дальше с 2800 по статик роуту пакеты будут уходить по назначению.
P.S.: это предыдущий топик - http://www.opennet.me/openforum/vsluhforumID6/12649.html

"cisco 2800 & asa 5510 проброс порта"
Отправлено metalolom , 04-Фев-07 13:45

>Единственное что, ип=10.2.0.2:3389 вам
>нужно будет исключить из ACL'ов ната.
Если не сложно,напишите как это лучше реализовать на 5510?

"cisco 2800 & asa 5510 проброс порта"
Отправлено tashiki , 04-Фев-07 15:51

>>Единственное что, ип=10.2.0.2:3389 вам
>>нужно будет исключить из ACL'ов ната.
>
>Если не сложно,напишите как это лучше реализовать на 5510?
Немного ошибся - исключить надо 213.169.x.x:3389. На самом деле при такой схеме на 5510 вообще ничего делать не нужно. У вас настроен PAT на один ип, и есть вероятность, что в overload может попасть порт 213.169.x.x:3389. Например:
Пакет с scr=192.168.3.4:345 может попасть в PAT src=213.169.x.x:3389, что не приемлемо, поскольку вариант src=10.2.0.2:3389->213.169.x.x:3389 должен быть забронирован. Тоесть порт 3389 на 213.169.x.x всегда должен оставаться свободным для вашего static PAT'а. В схеме overload так сделать неудасться (тоесть исключить 213.169.x.x:3389), хотя работать все будет нормально. Проверьте на практике, быть может для static PAT'a IOS этот порт использовать при overload'е не будет ...это интересно.
На PIX'ах такое сделать вполне реально.

"cisco 2800 & asa 5510 проброс порта"
Отправлено tashiki , 04-Фев-07 16:29

Вот рабочий пример:
http://cisco.com/en/US/tech/tk175/tk15/technologies_configur...
ip nat inside source static tcp 10.2.0.2 3389 213.169.x.x 3389 extendable
+ static route
...будет работать

"cisco 2800 & asa 5510 проброс порта"
Отправлено metalolom , 16-Фев-07 18:37

>Вот рабочий пример:
>http://cisco.com/en/US/tech/tk175/tk15/technologies_configur...
>
>ip nat inside source static tcp 10.2.0.2 3389 213.169.x.x 3389 extendable
>
>+ static route
>...будет работать

не работает
Такое ощущение что 5510 просто блокирует этот трафик.

"cisco 2800 & asa 5510 проброс порта"
Отправлено tashiki , 16-Фев-07 21:59

Покажите полностью (или по-сути) конфиг 5510 plz.

"cisco 2800 & asa 5510 проброс порта"
Отправлено metalolom , 22-Фев-07 13:54

>Покажите полностью (или по-сути) конфиг 5510 plz.

Извините за задержу - болел, вот полный конфиг 5510
hostname ciscoasa
enable password *********** encrypted
names
dns-guard
!
interface Ethernet0/0
nameif to_router
security-level 0
ip address 192.168.0.2 255.255.255.0
!
interface Ethernet0/1
nameif to_users
security-level 0
ip address 10.2.0.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd *********** encrypted
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list management_nat0_outbound extended permit ip any 192.168.0.0 255.255.255.240
access-list out2in extended permit ip any any
access-list to_users_access_out extended permit ip any any
access-list to_router_access_out extended permit ip any any
access-list to_router_pnat_outbound remark remoute desctop
access-list to_router_pnat_outbound extended permit tcp interface to_router eq 3389 host 10.2.0.11 eq 3389
pager lines 24
logging enable
logging timestamp
logging asdm informational
mtu management 1500
mtu to_router 1500
mtu to_users 1500
ip local pool vpn_radmin 192.168.0.5-192.168.0.10 mask 255.255.255.0
ip verify reverse-path interface management
ip verify reverse-path interface to_router
ip verify reverse-path interface to_users
asdm image disk0:/asdm506.bin
no asdm history enable
arp timeout 14400
nat-control
global (to_router) 1 192.168.0.3
nat (management) 0 access-list management_nat0_outbound
nat (to_users) 1 10.2.0.0 255.255.0.0
static (to_router,to_users) tcp 10.2.0.11 3389 access-list to_router_pnat_outbound
access-group out2in in interface to_router
access-group to_router_access_out out interface to_router
access-group to_users_access_out out interface to_users
route to_router 0.0.0.0 0.0.0.0 192.168.0.1 2
route to_users 10.2.0.0 255.255.0.0 192.168.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy Radmin internal
group-policy Radmin attributes
dns-server value 213.169.***.***
username ********* password *********** encrypted privilege 15
filter java except 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.0.0 255.255.255.0 to_router
http 10.2.0.2 255.255.255.255 to_router
http 10.2.0.1 255.255.255.255 to_router
http 213.169.***.*** 255.255.255.255 to_router
http 10.2.0.0 255.255.0.0 to_users
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map to_router_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map to_router_map 65535 ipsec-isakmp dynamic to_router_dyn_map
crypto map to_router_map interface to_router
isakmp enable to_router
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
tunnel-group Radmin type ipsec-ra
tunnel-group Radmin general-attributes
address-pool vpn_radmin
default-group-policy Radmin
tunnel-group Radmin ipsec-attributes
pre-shared-key *
telnet 192.168.1.0 255.255.255.0 management
telnet 192.168.0.0 255.255.255.0 to_router
telnet 213.169.***.*** 255.255.255.255 to_router
telnet 10.2.0.0 255.255.0.0 to_users
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
smtp-server 213.169.***.*** 213.169.***.***