Ho una rete 10.0.0.0 con un suo gateway 10.0.0.254 e i PC hanno quel gateway.
Dovrei aggiungere un CISCO 1841 con una interfaccia su internet e l'altra sulla rete di cui sopra (ip 10.0.0.41)
come configurare il 1841 per fare port forwarding ai PC evitando che i pacchetti di risposta dai pc vengano inviati al gateway? forse occorre la traslazione anche dell'ip sorgente oltre a quello destinatario da parte del Cisco? I (gateway dei PC non possono essere cambiati nè le configurazioni dei PC). Grazie
CISCO 1841 e twice NAT con port forwarding
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao, spiegati meglio.
Vuoi far raggiungere alcuni servizi dalla rete dal nuovo router?
Paolo
Vuoi far raggiungere alcuni servizi dalla rete dal nuovo router?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ok.
Se riesco stasera ti faccio una configurazione di esempio.
Paolo
Se riesco stasera ti faccio una configurazione di esempio.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Nella interfaccia LAN e WAN nella configurazione global
In questo modo fai sia il nat dei servizi dalla WAN alla LAN che cambi gli ip esterni nel ip del router (così i PC vedono le connessioni locali e non mandai pacchetti sul gateway).
Paolo
Nella interfaccia LAN e WAN
Codice: Seleziona tutto
ip nat enable
Codice: Seleziona tutto
ip access-list extended nat-outside
permit ip any any
ip nat source list nat-outside interface LAN-INTERFACE overload
ip nat source static tcp IP_LOCAL PORT_LOCAL IP_GLOBAL PORT_GLOBAL extendable
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Sei riuscito a provare?
Paolo
Sei riuscito a provare?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 11
- Iscritto il: mer 25 ott , 2017 3:46 pm
ip nat inside source static tcp 10.17.1.45 3389 interface FastEthernet0/0 3345
oppure
ip nat inside source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
ip nat inside source static tcp 10.17.1.45 3389 192.168.0.11 3345 extendable
funzionano per il 10.17.1.45 ma non per il 10.17.1.42 in quanto il primo ha per gateway 10.17.1.41 che è il router cisco lato LAN ma il secondo ha un altro gateway 10.17.1.254 per cui i pacchetti di risposta non ritornano al cisco.
come si fa a far tradurre al cisco anche l'indirizzo sorgente del pacchetto che va dal Cisco al pc? Grazie dell'interessamento
oppure
ip nat inside source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
ip nat inside source static tcp 10.17.1.45 3389 192.168.0.11 3345 extendable
funzionano per il 10.17.1.45 ma non per il 10.17.1.42 in quanto il primo ha per gateway 10.17.1.41 che è il router cisco lato LAN ma il secondo ha un altro gateway 10.17.1.254 per cui i pacchetti di risposta non ritornano al cisco.
come si fa a far tradurre al cisco anche l'indirizzo sorgente del pacchetto che va dal Cisco al pc? Grazie dell'interessamento
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Te l'ho scritto sopra. Hai provato?
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Strano. Nel lab funziona tutto
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 11
- Iscritto il: mer 25 ott , 2017 3:46 pm
Router#show runn
Building configuration...
Current configuration : 1132 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 $1$nTFK$JkOqJHAzm860MSv/Kon101
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip domain lookup
!
username sandro privilege 15 password 7 06150E2F485C06
!
!
!
interface FastEthernet0/0
ip address 192.168.0.11 255.255.255.0
ip nat enable
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.17.1.41 255.255.255.0
ip nat enable
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
ip http server
ip http authentication local
ip nat source list nat-outside interface FastEthernet0/0 overload
ip nat source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
!
ip access-list extended nat-outside
permit ip any any
!
access-list 100 permit ip any any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Non funziona più internet fra l'altro...
Building configuration...
Current configuration : 1132 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 $1$nTFK$JkOqJHAzm860MSv/Kon101
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip domain lookup
!
username sandro privilege 15 password 7 06150E2F485C06
!
!
!
interface FastEthernet0/0
ip address 192.168.0.11 255.255.255.0
ip nat enable
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.17.1.41 255.255.255.0
ip nat enable
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
ip http server
ip http authentication local
ip nat source list nat-outside interface FastEthernet0/0 overload
ip nat source static tcp 10.17.1.42 3389 192.168.0.11 3342 extendable
!
ip access-list extended nat-outside
permit ip any any
!
access-list 100 permit ip any any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Non funziona più internet fra l'altro...
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Dalla tua configurazione usi indirizzi pubblici, perciò non ho capito bene cosa vuoi fare.
Ti allego la topologia che io avevo capito. Il PC_INT usa come gateway ISP, e tutta la rete naviga con ISP.
Alcuni servizi vengono nattati dal p pubblico del ISP2 sulle macchine interne. Alle macchine interne arriva come ip sorgente quello della LAN di R1.
Cosa invece vuoi fare te?
Paolo
Ti allego la topologia che io avevo capito. Il PC_INT usa come gateway ISP, e tutta la rete naviga con ISP.
Alcuni servizi vengono nattati dal p pubblico del ISP2 sulle macchine interne. Alle macchine interne arriva come ip sorgente quello della LAN di R1.
Cosa invece vuoi fare te?
Paolo
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 11
- Iscritto il: mer 25 ott , 2017 3:46 pm
Hai capito bene solo che R1 quando invia i pacchetti a pc_int glieli manda con ip sorgente di PC-ext (ind globale mi pare si dica) allora pc_int risponde con destinazione tale ip che non essendo della lan viene mandato a ISP che è il gateway per pc_int. mi occorre che R1 quando manda i pacchetti a pc_int sostituisca l'indirizzo sorgente con il suo ip interno e quando gli ritornano i pacchetti da pc_int rimetta nell'ip destinatario l'indirizzo (globale) di pc-ext.
Spero di essermi spiegato. comunque grazie dell'interessamento.
Aggiungo che con ISA server si può fare questa doppia traslazione, basta una spunta sulla regola del NAT e così mi pare in linux e invece un router casalingo tipo USrobotics lo fa di default e non si può cambiare.
Spero di essermi spiegato. comunque grazie dell'interessamento.
Aggiungo che con ISA server si può fare questa doppia traslazione, basta una spunta sulla regola del NAT e così mi pare in linux e invece un router casalingo tipo USrobotics lo fa di default e non si può cambiare.