Cisco NAT horquilla

8

Tengo un enrutador Cisco configurado NAT (4 NAT estático y NAT dinámico). Mi problema es que no puedo acceder a los servidores internos utilizando direcciones IP públicas de la red interna.

Yo sé cuál es el problema. Hice mucha búsqueda en Google sobre este problema, y ​​aprendí que la mayoría de los cortafuegos / enrutadores manejan automáticamente esta situación.

En el caso de Cisco, la limitación de NAT es una de las soluciones (no sé si estoy en lo correcto). ¿Cómo puedo hacer eso?.

ingrese la descripción de la imagen aquí

Necesito acceder al servidor usando la dirección IP 202.192.68.235desde mi PC, pero no puedo.

cisco routing router nat sareeshmnair
fuente
¿Puedes publicar un diagrama y configuración de tu enrutador? No hay suficiente información para ayudarlo.
Ron Trunk
editado mi pregunta espero que esto te ayude
sareeshmnair
1
Desafortunadamente, no puede hacer que el enrutador haga lo que quiere. No puede usar la dirección externa para acceder al servidor en la configuración que tiene.
Ron Trunk
¿Necesita usar realmente la dirección IP o puede usar el nombre DNS? Puede modificar su DNS local para devolver la dirección IP local en lugar de la dirección IP pública.
Ron Maupin
1
Cisco "no hace eso". Hay algunos trucos involucrados para que funcione, pero realmente no quieres ir allí. Básicamente, NAT se aplica a los paquetes recibidos en una interfaz; Como el tráfico interno nunca pasa a través de la interfaz "exterior", nunca se traducen. Bajo IOS, las interfaces loopback y el enrutamiento de políticas pueden hacer que suceda, pero es un desastre de configuración y pesadilla de procesamiento.
Ricky Beam

Respuestas:

3

NVI NAT ya fue criado por Aaron D.

Aquí están los bits de configuración relevantes de un ejemplo de trabajo. Se ha realizado en un CISCO881 con IOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Configuración de la interfaz:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

NAT ACL:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Reglas NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

En una palabra:

  1. configure las interfaces relevantes para "ip nat enable" en lugar de "ip nat in / outside", y modifique ligeramente las reglas NAT.
  2. asegúrese de que exista una política de salida de estilo NVI NAT, o el host no podrá conectarse a sí mismo.
  3. deshabilite los redireccionamientos de IP en la interfaz "interna", o la horquilla (al menos no desde el propio host) no funcionará.

Precaución: NVI NAT puede ser MUY exigente para la CPU de los enrutadores de gama baja como la serie 800. Donde mi viejo 881 solía ser capaz de entregar 50-60Mbit / s con NAT clásico, cambiar a NVI causó que el rendimiento cayera a 20-30Mbit / sy la CPU brillara en rojo cuando estaba bajo carga.

Ese también fue el caso cuando la traducción no precisa en realidad no estaba en uso, solo con el tráfico que coincide con la regla NAT saliente "interfaz ... sobrecarga" normal.

Marc 'netztier' Luethi
fuente
0

En un ASA esto es bastante fácil. En un enrutador, creo que puede configurar Nat / NVI para lograr lo que desea.

Pruebe esto: Cisco Router Easy Hairpin NAT

Aaron D
fuente
0

Este es un caso de reenvío de puertos a la misma red. Para tales configuraciones de DMZ, se prefiere la limitación o tener DNS local para resolver dichos servidores internos. Aparte de ellos, hay una solución equivalente para ello.

La solución es tener una regla DNAT para su zona LAN también para que el paquete con la ip de destino 202.192.68.235 del cliente local pueda traducirse a 10.0.6.35 y enrutarse de nuevo a la misma red.

Pero nuevamente, el problema es que el servidor intentará responder directamente al cliente, ya que pertenece a la misma red. Ahora, para que el servidor responda al cliente a través del enrutador, debemos agregar una regla SNAT que haga que la fuente sea el enrutador.

Su regla SNAT debe ser muy específica, de modo que se aplique solo para el tráfico proveniente de la subred local y destinado a 10.0.6.35. Esto resolverá su problema con seguridad.

Para resumir, debe agregar un DNAT y una regla SNAT para la interfaz LAN.

enzima
fuente