[megoldva] Cisco 1841 IP NAT probléma!

Hálózatok általános

Sziasztok!

Az a problémám hogy port forwardolnom kellene eme routerben.
A lényeg hogy külső hálózatból a 9090 porton kellene beengedi az adatforgalmat amit át forwardol a belső címre a 22 portra.
A NAT-ot beállítottam: ip nat inside source static tcp 192.168.146.254 22 interface FastEthernet0/0 9090
De sajnos ezután nem tudom elérni a kívánt címet kívülről.

WAN fa0/0
LAN fa0/1

Köszi előre is a segítségeteket.

  • 1818 megtekintés

( pike.killer v | 2015. 08. 14., p – 11:38 )

Acl-t is csinaltal hozza?
Esetleg konfig reszlet?

Közben itt van az ip nat trans

tcp 78.131.7.242:9090 192.168.146.254:22 --- ---

Itt látszik hogy a nat az be van állítva.

Running-configból részletek.

ip nat translation timeout 3600
ip nat inside source list ACL_NAT interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.146.254 22 interface FastEthernet0/0 9090

ACL

ip access-list extended ACL_NAT
deny ip 192.168.146.0 0.0.0.255 192.168.145.0 0.0.0.255
deny ip 192.168.146.0 0.0.0.255 172.20.121.0 0.0.0.127
deny ip 172.20.121.0 0.0.0.127 192.168.146.0 0.0.0.255
permit ip 192.168.146.0 0.0.0.255 any
permit ip 172.20.121.0 0.0.0.127 any

Nincs beállítva a tűzfalazás valamelyik interfészeden?
Mert ICMP "Destination Unreachable - Communication with Destination Host is Administratively Prohibited" üzenet jön vissza, ami utalhat ilyenre is. 


78.131.7.242 > x.x.x.x: ICMP host 78.131.7.242 unreachable - admin prohibited filter, length 36
        IP (tos 0x0, ttl 2, id 55284, offset 0, flags [none], proto TCP (6), length 60)

Vagy esetleg a maga a 192.168.146.254 című eszközöd nem enged csatlakozást.

És még egy biztonsági kérdés:
"A lényeg hogy külső hálózatból a 9090 porton kellene beengedi az adatforgalmat amit át forwardol a belső címre a 22 portra."

Ugye a 192.168.146.254 az nem a szóban forgó 1841-es Fa0/1 interfészének a saját IP-je, hanem egy másik, a LAN-on lévő eszközé?

- A Fa0/0-n van felhúzva ACL, inspection?
- A Fa0/1-en van felhúzva ACL, inspection?
- Ha a fentiek közül valamelyik igen, akkor melyiken, és az ACL-ben TCP/22-t vagy TCP/9090-et adtál meg?
- Ha tegnap működött a TCP/22-n, akkor nézd meg, hogy most is működik-e, ha a külső interfész 9090-et 22-re írod át ideiglenesen.
- Ha nem megy, akkor a NAT-nál cseréld ki az interfészt az interfész IP-jére. (Láttam már olyat, ahol interfész szerint nem ment, csak IP-vel.)
- debug ip nat detailed mond valamit?
- Ha még mindig nem megy, akkor tudsz valami capture-t (pl. tcpdump/WireShark, packet debug) csinálni az elérendő eszközön a kívülről jövő TCP/22-es forgalomra?

Ismét biztonsági kérdés:
A NAT szabály szerint a másik eszközön maradt a 22, csak kívülről fog 9090-nek látszani. Ugye nem lett átírva 9090-re?

+1 a postolt konfig alapjan mennie kell.
Csak a poen kedveert osszeraktam ket darab jatszos csr1000v-n es hibatlanul megy.

Valamilyen packet capture kellene, hogy mi esik be a cel eszkozre. illetve, hogy visszafele van-e route-ja a cel eszkoznek a vilag fele, ahonnan jon a packet.
Nat kifele mukodik-e, szoval ha beesik a cel eszkoz 22-es portjara a csomag, akkor visszatalal-e?

( athila v | 2015. 08. 14., p – 17:07 )

Próbáld meg a nat szabályban a külső (Fa0/0) interfész helyett a publikus IP címedet beállítani.
Simán lehet egy bug az aktuális IOS-ben...

Amúgy meg látni kéne a teljes konfigot, mik vannak az interfészen, ACL-ek stb.