Хорошо

NAT, помогите разобраться, плиз.

Опубликовано 2021-10-8 16:24:10Последний ответ окт 09, 2021 12:47:16 363 3 6 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день, помогите разобраться, плиз, скилла не хватает. Начинаю только разбираться в этой теме, так что просьба сильно не кидаться тапками.


Роутер AR6120 (V300R019C10SPC300)

Задача проброса портов через роутер на контроллер, находящийся в локальной сети как и с ip-адреса из локальной сети так и внешнего одновременно. (Проброс с внешнего работает, никак не могу победить с внутренних адресов). Подскажите куда копать? 


interface GigabitEthernet0/0/2            

 undo portswitch

 description ISP2

 ip address х.х.х.х 255.255.254.0 //статика от провайдера

 nat server protocol tcp global current-interface 91 inside 192.168.1.50 8080 \\Эта конструкция работает, но только с устройств не подключенных к внутренней сети.

 nat outbound 3002 //ACL 3002 просто разрешает всем устройствам из локалки 192.168.1.0/24 доступ в интернет.



По мануалам, описанным здесь (https://support.huawei.com/enterprise/ru/doc/EDOC1100025884?section=j005) не получается никак. :(


Пробовал в acl прописывать доп правила rule 10 permit tcp source-port eq 91 destination-port eq 8080 и на интерфейсе Gi0/0/2 прописывать уже указание на acl - не работает вообще.

Есть предположение что нужно использовать LoopBack-интерфейс (но имхо скилла по-прежнему не хватает)


И если правильно понимаю на 1 внешний интерфейс можно повесить только 1 правило nat, а если нужно больше 1го порта пробросить? Как то группировать правила?

Спасибо.

  • x

Избранные ответы
mkabanov
MVE Author Опубликовано 2021-10-9 08:20:18
Думаю, что Вам нужно начать со схемы и применимости НАТ, т. к. Вы сейчас решили 2 задачи:
1) Доступ из Интернета к внутреннему ресурсу (Nat server)
2) Выход из локалки в интернет, определенному в 3002 ACL трафику.
Что остается НЕ решенным? (Если нужен "точный" выход в интернет, то "копайте в статический нат)
P. S.
https://forum.huawei.com/enterprise/ru/nat-на-маршрутизаторе-huawei-вся-база-в-одном-месте/thread/754235-100131
Развернуть
  • x

AlarmID
AlarmID Опубликовано 2021-10-11 12:11 (0) (0)
Благодарю буду разбираться.  

Рекомендуемые ответы

Maksim
HCIE MVE Опубликовано 2021-10-9 12:47:16
Одна команда выполняет NAT внутрь, вторая наружу. На интерфейсе должны присутствовать обе

С внутренней сети доступ к контроллеру нужно осуществлять по внутреннему адресу. Можно попробовать на внутреннем интерфейсе настроить еще один нат, на линуксах такое срабатывает, но по мне проще все же по внутреннему
Развернуть
  • x

Все ответы
mkabanov
mkabanov MVE Author Опубликовано 2021-10-9 08:20:18
Думаю, что Вам нужно начать со схемы и применимости НАТ, т. к. Вы сейчас решили 2 задачи:
1) Доступ из Интернета к внутреннему ресурсу (Nat server)
2) Выход из локалки в интернет, определенному в 3002 ACL трафику.
Что остается НЕ решенным? (Если нужен "точный" выход в интернет, то "копайте в статический нат)
P. S.
https://forum.huawei.com/enterprise/ru/nat-на-маршрутизаторе-huawei-вся-база-в-одном-месте/thread/754235-100131
Развернуть
  • x

AlarmID
AlarmID Опубликовано 2021-10-11 12:11 (0) (0)
Благодарю буду разбираться.  
Maksim
Maksim HCIE MVE Опубликовано 2021-10-9 12:47:16
Одна команда выполняет NAT внутрь, вторая наружу. На интерфейсе должны присутствовать обе

С внутренней сети доступ к контроллеру нужно осуществлять по внутреннему адресу. Можно попробовать на внутреннем интерфейсе настроить еще один нат, на линуксах такое срабатывает, но по мне проще все же по внутреннему
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.