Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 12:10:03
cisco 871 loopback? juhe koos.. |
|
|
Terv
küss järgmine, kuidas seadistada cisco 871-s loopbacki, nii, et kui LAN-st keegi pöördub välise IP peale, mis on forwarditud samas LAN-s olevasse serverisse, siis klient jalaga ei saaks?
Jah seda saab teha mõistlikult DNS-dega kuid lihtsalt sportlikust huvist tahaks teada kuidas see asi NAT loopbackiga käiks
Tnx.
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
06.02.2009 13:37:22
Re: cisco 871 loopback? juhe koos.. |
|
|
ottf kirjutas: |
Terv
Jah seda saab teha mõistlikult DNS-dega kuid lihtsalt sportlikust huvist tahaks teada kuidas see asi NAT loopbackiga käiks
Tnx. |
Selleks peab müür toetama destination-nati tegemist enne ruutingut, siis ka sisevõrgu poolel. Enamus müüre teeb nii souce kui destination nati ainult WAN otsas. Kui seade toetab seda LAN-otsas, siis saab.
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
06.02.2009 13:40:30
Re: cisco 871 loopback? juhe koos.. |
|
|
vaegkuulja kirjutas: |
ottf kirjutas: |
Terv
Jah seda saab teha mõistlikult DNS-dega kuid lihtsalt sportlikust huvist tahaks teada kuidas see asi NAT loopbackiga käiks
Tnx. |
Selleks peab müür toetama destination-nati tegemist enne ruutingut, siis ka sisevõrgu poolel. Enamus müüre teeb nii souce kui destination nati ainult WAN otsas. Kui seade toetab seda LAN-otsas, siis saab. |
Nati & Extended Access-listiga saad...
ip nat inside source list 110 interface "Blaah" overload
access-list 110 remark NAT Inside Source List
access-list 110 permit ip "Source võrk" "Destination võrk"
|
Sel juhul natitakse seda osa vaid juhul, kui access listis antud tingimus on täidetud...
viimati muutis Etz 06.02.2009 13:45:12, muudetud 3 korda |
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 13:42:20
|
|
|
Sellest olen aru saanud, et toetab kuid sealt maalt tekibki segadus, et mida ma kuhu suunama pean jne
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
06.02.2009 14:17:11
|
|
|
ottf kirjutas: |
Sellest olen aru saanud, et toetab kuid sealt maalt tekibki segadus, et mida ma kuhu suunama pean jne |
Oma IP aadresse ja ülejäänud ruuteri konfi tead ju vaid sina ise...
Seega edasi pead nagu ise suht hakkama saama...
Spoiler
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 14:29:24
|
|
|
Põhimõtteliselt siis source võrk on LAN? ja Dest võrk on kah LAN?
Sis dynamic NAT inside -> outside
translate from Vlan1, acl rule mis ülal mainitud.
trsanslate to interface, väline interface, sisemine NAT pool? või Vlan1?
irw... rtfm väga ei aitagi hetkel ilmselt on mõned põhitõed ja teadmised vajaka
|
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
06.02.2009 14:36:45
|
|
|
ottf kirjutas: |
Põhimõtteliselt siis source võrk on LAN? ja Dest võrk on kah LAN?
|
Oleneb ikka mis pidi ühendus jookseb Kui lähed Tallinnast Tartusse, siis source on Tallinn.
Destination nati kutsutakse osades kohtades ka static-natiks ja source-nati hidden-natiks või masqueraadiks, kuna kasutab eraldi porte koos ip ja pordi numbriga tagasipakettide suunamiseks. Aga Cisco seadistus on tõesti peavalu, samu asju saab näiteks CheckPointil või Winroutel teha ainult paari hiireklõpsuga.
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 14:52:42
|
|
|
Ma saan aru.. aga seal ju kogu point ongi? acl rule kui on selline võrk siis on permititud edasi sellisess võrku... mul ongiju vaja, et see loll klots suunaks tagasi lan-i mind kui ma lanist välist ip-d näpin.
oeh... ülemõistuse tegelt
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
06.02.2009 15:09:46
|
|
|
ottf kirjutas: |
Põhimõtteliselt siis source võrk on LAN? ja Dest võrk on kah LAN?
Sis dynamic NAT inside -> outside
translate from Vlan1, acl rule mis ülal mainitud.
trsanslate to interface, väline interface, sisemine NAT pool? või Vlan1?
irw... rtfm väga ei aitagi hetkel ilmselt on mõned põhitõed ja teadmised vajaka |
Otsi Googlest märgusõna on "Cisco IOS Cookbook 2nd Edition"
hea kasulik raamat, sisaldab igasugu häid näpunäiteid...
tegelt võrgu asemel võid ju defineerida võrgust mingile kindlale IP`le nat`i...
ehkki asi läheb vist siis jamaks, kuna see ip asub ilmselt samas subnetis
BTW: Ciscodel on graafiline conffi tool kah olemas, Seda kutsutakse Cisco SDM
vaegkuulja kirjutas: |
ottf kirjutas: |
Põhimõtteliselt siis source võrk on LAN? ja Dest võrk on kah LAN?
|
Oleneb ikka mis pidi ühendus jookseb Kui lähed Tallinnast Tartusse, siis source on Tallinn.
Destination nati kutsutakse osades kohtades ka static-natiks ja source-nati hidden-natiks või masqueraadiks, kuna kasutab eraldi porte koos ip ja pordi numbriga tagasipakettide suunamiseks. Aga Cisco seadistus on tõesti peavalu, samu asju saab näiteks CheckPointil või Winroutel teha ainult paari hiireklõpsuga. |
Juniper oma JunOS`iga on veel ägedam
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 15:12:24
|
|
|
Hetkel ma seda graafilist keskkonda kanningi...
isegi siin on täiesti müsteerium kuubis, üks vanem 871 klots on mul veel kus on hirmus vana SDM... selle graafiline liides nägi nii pornjuhh välja, et isegi FW reeglitest graafilises keskkonnas aru saada võttis ca 30 minta jõllamist....
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 15:21:57
|
|
|
NAT: WARNING: STATIC entry removes NOT from CLI -Traceback= 0x80D7D514 0x80D7316C 0x80C084E0 0x80C0959C 0x80C09630 0x81A42864 0x81A565E8 0x81A56930 0x8148F080 0x8148F1D8 0x81A56A20 0x8036A34C 0x8036D490
Mida see error tähendab? lol.....
google ei näita suurt miskit
lihtsalt owned
|
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
06.02.2009 15:44:52
|
|
|
ottf kirjutas: |
NAT: WARNING: STATIC entry removes NOT from CLI -Traceback= 0x80D7D514 0x80D7316C 0x80C084E0 0x80C0959C 0x80C09630 0x81A42864 0x81A565E8 0x81A56930 0x8148F080 0x8148F1D8 0x81A56A20 0x8036A34C 0x8036D490
Mida see error tähendab? lol.....
google ei näita suurt miskit
lihtsalt owned |
Policyte & route-map`i abiga on võimalik küll...
Cisco.com`is on õpetus kah olemas... (vaata 1 post ülesse)
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
06.02.2009 15:47:01
|
|
|
irrrrrrrrw
|
|
tagasi üles |
|
|
s.p.o.c.k
HV kasutaja
liitunud: 29.11.2002
|
06.02.2009 18:38:40
|
|
|
Selle asja nimi on hairpinning, ehk siis avalik aadress lahendub sisemiseks nii väljastpoolt kui seestpoolt, ehk siis kui interface'ide nimed on sobivalt inside ja outside:
static (inside,outside) avalik_IP kohalik_IP netmask 255.255.255.255
static (inside,inside) avalik_IP kohalik_IP netmask 255.255.255.255
Aga minu mäletamist mööda hakkasid seda toetama alles Cisco ASA seadmed alates IOS 7st. Kunagi sai PIXiga üritatud sama teha, aga tolku polnud miskit. Samas ASAga hakkas kenasti tööle. 871 pole muidugi PIX ja IOS on hoopis teist karva, seega võib ju üritada.
Ja ära sa seda graafilist liidest küll kasuta. PIXidel ja vanematel SOHO-seadmetel, sealhulgas 871-l, on see väga õnnetu. Graafiline liides muutus kasutamiskõlblikuks alles ASAde tulekuga, kui ASDM suutis teha põhimõtteliselt kõike seda, mida CLI. Alla selle oli see liides väga vilets.
_________________ Welcome to Dogville, USA. |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
07.02.2009 00:30:25
|
|
|
s.p.o.c.k kirjutas: |
Selle asja nimi on hairpinning, ehk siis avalik aadress lahendub sisemiseks nii väljastpoolt kui seestpoolt, ehk siis kui interface'ide nimed on sobivalt inside ja outside:
static (inside,outside) avalik_IP kohalik_IP netmask 255.255.255.255
static (inside,inside) avalik_IP kohalik_IP netmask 255.255.255.255
Aga minu mäletamist mööda hakkasid seda toetama alles Cisco ASA seadmed alates IOS 7st. Kunagi sai PIXiga üritatud sama teha, aga tolku polnud miskit. Samas ASAga hakkas kenasti tööle. 871 pole muidugi PIX ja IOS on hoopis teist karva, seega võib ju üritada.
Ja ära sa seda graafilist liidest küll kasuta. PIXidel ja vanematel SOHO-seadmetel, sealhulgas 871-l, on see väga õnnetu. Graafiline liides muutus kasutamiskõlblikuks alles ASAde tulekuga, kui ASDM suutis teha põhimõtteliselt kõike seda, mida CLI. Alla selle oli see liides väga vilets. |
871 ei suppordi seda...
Seal saab asja ajada vaid route-map`i ja policy kaudu...
Samas on see juba puhas CLI teema...
Eks asi sõltu ka natuke IOS`i versioonist ja Bundlest...
EDIT:
Väike uurimustöö Cisco sitel annab tulemuseks, et "hairpinning" on vaid ASA`de featuur...?
Seega 871 puhul on ainus tee "ruutingutega mängimine" ...
EDIT vol2:
Sai siis proovitud, kuna 871`te polnud käepärast siis sai proovitud utiilil = > 2621XM (Soft: c2600-advipservicesk9-mz.123-24a)
Policy & Route map`i abil asi toimib igatahes
Manual, siis mida sai järgitud: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094430.shtml
Ja mis siis sai ka eelnevalt juba postitud siia
|
|
tagasi üles |
|
|
ottf
HV veteran
liitunud: 29.11.2005
|
09.02.2009 18:00:22
|
|
|
NAT: WARNING: STATIC entry removes NOT from CLI -Traceback=
veateade kadus fw updatega.
|
|
tagasi üles |
|
|
|