Hairpinning NAT NAT

8

Eu tenho um NAT de roteador Cisco configurado (4 estático e dinâmico). Meu problema é que não consigo acessar servidores internos usando endereços IP públicos da rede interna.

Eu sei qual é o problema. Pesquisei bastante no Google sobre esse problema e aprendi que a maioria dos firewalls / roteadores lidam com essa situação automaticamente.

No caso da Cisco, o hairpinning NAT é uma das soluções (não sei se estou correto). Como eu posso fazer isso?.

insira a descrição da imagem aqui

preciso acessar o servidor usando o endereço IP 202.192.68.235do meu PC, mas não consigo.

cisco routing router nat sareeshmnair
fonte
Você pode postar um diagrama e configuração do seu roteador? Não há informações suficientes para ajudá-lo.
Ron Trunk
editou minha pergunta. Espero que isso ajude você
sareeshmnair
11
Infelizmente, você não pode fazer o roteador fazer o que deseja. Você não pode usar o endereço externo para acessar o servidor na configuração que possui.
Ron Trunk
Você realmente precisa usar o endereço IP ou pode usar o nome DNS? Você pode modificar o DNS local para retornar o endereço IP local em vez do endereço IP público.
Ron Maupin
11
Cisco "não faz isso". Existem alguns hacks envolvidos para fazê-lo funcionar, mas você realmente não deseja ir para lá. Basicamente, o NAT se aplica aos pacotes recebidos em uma interface; como o tráfego interno nunca passa pela interface "externa", eles nunca são traduzidos. No IOS, as interfaces de loopback e o roteamento de políticas podem fazer isso acontecer, mas é uma bagunça na configuração e um pesadelo no processamento.
Ricky feixe

Respostas:

3

O NAT da NVI já foi criado por Aaron D.

Aqui estão os bits de configuração relevantes de um exemplo de trabalho. Foi feito em um CISCO881 com IOS 15.4 (3) M6a

Outside network: 172.19.31.0 /24   on  FastEthernet4
Inside network:  172.19.140.0 /23  on VLAN141/SVI141
exposed host:    172.19.141.24
external port:   2222
internal port:   22

Configuração da interface:

interface FastEthernet4
 ip address 172.19.31.2 255.255.255.0
 ip nat enable

interface Vlan141
 ip address 172.19.140.1 255.255.254.0
 !
 ! hairpinning did not work until ip redirects were disabled
 !
 no ip redirects
 ip nat enable

ACL NAT:

ip access-list standard ACLv4_SUBNET141
 permit 172.19.140.0 0.0.1.255

Regras NAT:

ip nat source static tcp 172.19.141.24 22 interface FastEthernet4 2222
ip nat source list ACLv4_SUBNET141 interface FastEthernet4 overload

Em poucas palavras:

  1. defina as interfaces relevantes como "ip nat enable" em vez de "ip nat in / outside" e modifique ligeiramente as regras do NAT.
  2. verifique se há uma política de saída no estilo NAT da NVI, ou o host flexível não será capaz de conectar a saída ou o grampo a ele próprio.
  3. desabilite os redirecionamentos de IP na interface "interna" ou o hairpinning (pelo menos não do próprio host) não funcionará.

Cuidado: O NVI NAT pode ser MUITO desgastante na CPU de roteadores low-end como a série 800. Onde meu antigo 881 costumava fornecer 50-60Mbit / s com NAT clássico, a mudança para NVI fazia com que a taxa de transferência caísse para 20-30Mbit / s e faria com que a CPU ficasse vermelha quando sob carga.

Esse também foi o caso quando a tradução a ser bloqueada não estava realmente em uso, apenas com o tráfego correspondente à regra NAT de saída "interface ... sobrecarga" normal.

Marc 'netztier' Luethi
fonte
0

Em um ASA, isso é bastante fácil. Em um roteador, acho que você pode configurar o Nat / NVI para alcançar o que deseja.

Tente isto: Cisco Router Easy Hairpin NAT

Aaron D
fonte
0

Este é um caso de encaminhamento de porta para a mesma rede. Para essas configurações da DMZ, é preferível usar hairpinning ou ter DNS local para resolver esses servidores internos. Além deles, existe uma solução equivalente para isso.

A solução é ter a regra DNAT para sua zona LAN também, para que o pacote com destino ip 202.192.68.235 do cliente local possa ser convertido para 10.0.6.35 e roteado de volta para a mesma rede pelo roteador.

Mas, novamente, o problema é que o servidor tentará responder diretamente ao cliente, pois ele pertence à mesma rede. Agora, para fazer o servidor responder ao cliente via roteador , precisamos adicionar uma regra SNAT que tornaria a fonte como roteador.

Sua regra SNAT deve ser muito específica, de forma que se aplique apenas ao tráfego proveniente da sub-rede local e destinado à 10.0.6.35. Isso resolverá o seu problema com certeza.

Para resumir, você deve adicionar uma regra DNAT e uma regra SNAT para a interface da LAN.

enzima
fonte