CISCO 1841 e twice NAT con port forwarding

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

Ho una rete 10.0.0.0 con un suo gateway 10.0.0.254 e i PC hanno quel gateway.
Dovrei aggiungere un CISCO 1841 con una interfaccia su internet e l'altra sulla rete di cui sopra (ip 10.0.0.41)
come configurare il 1841 per fare port forwarding ai PC evitando che i pacchetti di risposta dai pc vengano inviati al gateway? forse occorre la traslazione anche dell'ip sorgente oltre a quello destinatario da parte del Cisco? I (gateway dei PC non possono essere cambiati nè le configurazioni dei PC). Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao, spiegati meglio.
Vuoi far raggiungere alcuni servizi dalla rete dal nuovo router?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

esatto vorrei arrivare ai servizi che sono nei pc della rete 10.0.0.x tipo SSH, RDP, ecc da internet passando dal CIsco senza toccare la configurazione di rete dei PC (ip fisso e gateway 10.0.0.254)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ok.
Se riesco stasera ti faccio una configurazione di esempio.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Nella interfaccia LAN e WAN

Codice: Seleziona tutto

ip nat enable
nella configurazione global

Codice: Seleziona tutto

ip access-list extended nat-outside
 permit ip any any
ip nat source list nat-outside interface LAN-INTERFACE overload
ip nat source static tcp IP_LOCAL PORT_LOCAL IP_GLOBAL PORT_GLOBAL extendable
In questo modo fai sia il nat dei servizi dalla WAN alla LAN che cambi gli ip esterni nel ip del router (così i PC vedono le connessioni locali e non mandai pacchetti sul gateway).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Sei riuscito a provare?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

ancora no gpenso stasera ti faccio sapere comunque razie in anticipo!
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Ciao hai risolto?
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

ip nat inside source static tcp 10.17.1.45 3389 interface FastEthernet0/0 3345

oppure

ip nat inside source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
ip nat inside source static tcp 10.17.1.45 3389 192.168.0.11 3345 extendable

funzionano per il 10.17.1.45 ma non per il 10.17.1.42 in quanto il primo ha per gateway 10.17.1.41 che è il router cisco lato LAN ma il secondo ha un altro gateway 10.17.1.254 per cui i pacchetti di risposta non ritornano al cisco.
come si fa a far tradurre al cisco anche l'indirizzo sorgente del pacchetto che va dal Cisco al pc? Grazie dell'interessamento
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Te l'ho scritto sopra. Hai provato?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

Con il settaggio che hai detto non funziona...
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Strano. Nel lab funziona tutto

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

Router#show runn
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 $1$nTFK$JkOqJHAzm860MSv/Kon101
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip domain lookup
!
username sandro privilege 15 password 7 06150E2F485C06
!
!
!
interface FastEthernet0/0
ip address 192.168.0.11 255.255.255.0
ip nat enable
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.17.1.41 255.255.255.0
ip nat enable
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
ip http server
ip http authentication local
ip nat source list nat-outside interface FastEthernet0/0 overload
ip nat source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
!
ip access-list extended nat-outside
permit ip any any
!
access-list 100 permit ip any any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end


Non funziona più internet fra l'altro...
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Dalla tua configurazione usi indirizzi pubblici, perciò non ho capito bene cosa vuoi fare.
Ti allego la topologia che io avevo capito.
Topology.png
Il PC_INT usa come gateway ISP, e tutta la rete naviga con ISP.
Alcuni servizi vengono nattati dal p pubblico del ISP2 sulle macchine interne. Alle macchine interne arriva come ip sorgente quello della LAN di R1.

Cosa invece vuoi fare te?

Paolo
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Non cade foglia che l'inconscio non voglia (S.B.)
sivlani78
n00b
Messaggi: 11
Iscritto il: mer 25 ott , 2017 3:46 pm

Hai capito bene solo che R1 quando invia i pacchetti a pc_int glieli manda con ip sorgente di PC-ext (ind globale mi pare si dica) allora pc_int risponde con destinazione tale ip che non essendo della lan viene mandato a ISP che è il gateway per pc_int. mi occorre che R1 quando manda i pacchetti a pc_int sostituisca l'indirizzo sorgente con il suo ip interno e quando gli ritornano i pacchetti da pc_int rimetta nell'ip destinatario l'indirizzo (globale) di pc-ext.
Spero di essermi spiegato. comunque grazie dell'interessamento.
Aggiungo che con ISA server si può fare questa doppia traslazione, basta una spunta sulla regola del NAT e così mi pare in linux e invece un router casalingo tipo USrobotics lo fa di default e non si può cambiare.
Rispondi