Épingle à cheveux Cisco NAT

J'ai un routeur Cisco configuré NAT (4 NAT statique et NAT dynamique). Mon problème est que je ne peux pas accéder aux serveurs internes en utilisant des adresses IP publiques à partir du réseau interne.

Je sais quel est le problème. J'ai fait beaucoup de recherches sur Google à propos de ce problème, et j'ai appris que la plupart des pare-feu / routeurs gèrent automatiquement cette situation.

Dans le cas de Cisco, l'épingle à cheveux NAT est l'une des solutions (je ne sais pas si j'ai raison). Comment puis je faire ça?.

j'ai besoin d'accéder au serveur en utilisant l'adresse IP 202.192.68.235de mon PC, mais je ne peux pas.

— sareeshmnair
source

Pouvez-vous publier un schéma et la configuration de votre routeur? Il n'y a pas assez d'informations pour vous aider.

— Ron Trunk

édité ma question. j'espère que cela aidera u

— sareeshmnair

Malheureusement, vous ne pouvez pas faire faire au routeur ce que vous voulez. Vous ne pouvez pas utiliser l'adresse externe pour accéder au serveur dans la configuration que vous avez.

— Ron Trunk

Avez-vous besoin d'utiliser réellement l'adresse IP ou pouvez-vous utiliser le nom DNS? Vous pouvez modifier votre DNS local pour renvoyer l'adresse IP locale au lieu de l'adresse IP publique.

— Ron Maupin

Cisco "ne fait pas cela". Il y a des hacks impliqués pour le faire fonctionner, mais vous ne voulez vraiment pas y aller. Fondamentalement, le NAT s'applique aux paquets reçus sur une interface; comme le trafic interne ne passe jamais par l'interface "extérieure", ils ne sont jamais traduits. Sous IOS, les interfaces de bouclage et le routage de stratégie peuvent y arriver, mais c'est un gâchis de configuration et un cauchemar de traitement.

— Ricky Beam

Réponses:

Les NAT NVI ont déjà été évoqués par Aaron D.

Voici les bits de configuration pertinents d'un exemple de travail. Cela a été fait sur un CISCO881 avec IOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Configuration de l'interface:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

ACL NAT:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Règles NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

En un mot:

définissez les interfaces appropriées sur "ip nat enable" au lieu de "ip nat in / outside", et modifiez légèrement les règles NAT.
assurez-vous qu'il existe une politique sortante de style NAT NVI, sinon l'hôte épinglable ne pourra pas se connecter à lui-même ou en épingle à cheveux.
désactivez les redirections IP sur l'interface "à l'intérieur", ou l'épingle à cheveux (du moins pas à partir de l'hôte lui-même) ne fonctionnera pas.

Attention: NVI NAT peut être TRÈS pénible sur le CPU des routeurs bas de gamme comme la série 800. Là où mon ancien 881 était capable de fournir 50-60Mbit / s avec le NAT classique, le passage à NVI a fait chuter le débit à 20-30Mbit / s et aurait le CPU rougeoyant lorsqu'il était sous charge.

C'était également le cas lorsque la traduction à épingler n'était pas réellement utilisée, juste avec un trafic correspondant à la règle NAT sortante "interface ... surcharge" normale.

— Marc 'netztier' Luethi
source

Sur un ASA, c'est assez facile. Sur un routeur, je pense que vous pouvez configurer Nat / NVI pour obtenir ce que vous voulez.

Essayez ceci: Cisco Router Easy Hairpin NAT

— Aaron D
source

Il s'agit d'un transfert de port vers le même réseau. Pour de telles configurations DMZ, l'épingle à cheveux est préférée ou avoir un DNS local à résoudre pour ces serveurs internes. En dehors d'eux, il existe une solution équivalente.

La solution est d'avoir également une règle DNAT pour votre zone LAN afin que le paquet avec la destination ip 202.192.68.235 du client local puisse être traduit en 10.0.6.35 et redirigé vers le même réseau par le routeur.

Mais encore une fois, le problème est que le serveur essaiera de répondre directement au client car il appartient au même réseau. Maintenant, pour que le serveur réponde au client via un routeur, nous devons ajouter une règle SNAT qui ferait de la source un routeur.

Votre règle SNAT doit être très spécifique de sorte qu'elle s'applique uniquement au trafic provenant du sous-réseau local et destiné à 10.0.6.35. Cela résoudra votre problème à coup sûr.

Pour résumer, vous devez ajouter un DNAT et une règle SNAT pour l'interface LAN.

— enzyme
source