Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Cisco NAT mreža 1<->1 mreža, kako?

[es] :: Enterprise Networking :: Cisco NAT mreža 1<->1 mreža, kako?

[ Pregleda: 3266 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

pisac

Član broj: 13046
Poruke: 4578



+3341 Profil

icon Cisco NAT mreža 1<->1 mreža, kako?29.10.2014. u 14:13 - pre 114 meseci
Da li je moguć NAT na cisko ruterima koji bi radio otprilike sledeće: 10.0.X.Y <-> NAT 10.10.X.Y, ali uz zadržavanje istog X,Y broja na obe strane.

Postoje dve mreže 10.0.1.0/24, 10.0.2.0/24 koje su međusobno povezane preko interneta/ipsec-a. Kao bekap su stavljeni cisco ISDN ruteri, ali je namera da se ISDN link podiže samo ako neko namerno zahteva vezu preko ISDN-a. A veza bi se zahtevala tako što što bi neko, kada internet ne radi, sa prvog kompjutera umesto 10.0.2.35 kucao 10.10.2.35, i time bio rutiran na ISDN ruter koji bi podigao link i 10.10.2.35 uputio na 10.0.2.35, a pri tome naravno izvornu adresu prvog kompjutera npr. 10.0.1.1 preveo na 10.10.1.1 kako bi i odgovor drugog kompjutera mogao da se vrati preko tog istog linka/NAT-a.

Ima li teorije?
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?30.10.2014. u 13:27 - pre 114 meseci
Ako ti je bas toliko bitno da ti NAT zadrzava zadnja dva bajta jedini nacin je da dodas staticki NAT za svaku adresu koju koristis - npr.:

ip nat inside source static 10.0.1.1 10.10.1.1
ip nat inside source static 10.0.1.2 10.10.1.2
...
ip nat inside source static 10.0.1.255 10.10.1.255

To ti povecava velicinu konfiguracionog fajla za samo 12 KB. :-)

Mada ne vidim razlog zasto ne bi koristio dinamicki NAT i pool adresa? Jedino prakticno opravdanje ovoga sto si ti napisao bi bio lawful intercept, mada i tu postoje elegantnija resenja, ali ne verujem da ti je to potrebno ovde.
 
Odgovor na temu

pisac

Član broj: 13046
Poruke: 4578



+3341 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?30.10.2014. u 14:02 - pre 114 meseci
Ja sam to uprostio radi lakšeg gutanja ovog primera, ali ne koristim mrežnu masku 24 već 19 tako da bi to bilo mnogo mnogo više posla i kilobajta.

Nego, evo igrajući se sa ruterom došao sam do neke komande koja mi deluje da bi trebala to da radi, ali za sada nisam uspeo da dobijem povratni ping, mada u tcpdumpu na drugoj mreži vidim da zaista pretvara 0 u 10 a ostalo zadržava. Nešto propuštam.


Ruter1:
(eth0) ip nat inside
(dial2) ip nat outside
ip nat inside source static network 10.0.1.0 10.10.1.0 /24 extendable


Ruter2:
(eth0) ip nat inside
(dial1) ip nat outside
ip nat inside source static network 10.0.2.0 10.10.2.0 /24 extendable
 
Odgovor na temu

pisac

Član broj: 13046
Poruke: 4578



+3341 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?30.10.2014. u 22:22 - pre 114 meseci
Da, to je rešenje. Bio sam nešto zabrljao oko dialer interfejsa, ali sada radi kako treba. Inače izbacio sam "extendable" pošto niti znam čemu služi niti mi treba jer radi i bez toga

Oduševio me cisko, mislio sam da je ovo skoro nemoguće napraviti, a u stvari je vrlo lako. Sad razmišljam kako bi ovo isto natovanje napravio u linuxu (iptables)?
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.sbb.rs.



+638 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?31.10.2014. u 07:33 - pre 114 meseci
iptables -t nat -A PREROUTING -s 10.0.1.0 -j SNAT --to-destination 10.10.1.0 ?
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?31.10.2014. u 11:26 - pre 114 meseci
može netfilter(iptables) u Linuxu, ali može i iproute http://linux-ip.net/html/nat-stateless.html
 
Odgovor na temu

pisac

Član broj: 13046
Poruke: 4578



+3341 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?31.10.2014. u 16:49 - pre 114 meseci
Citat:
iptables -t nat -A PREROUTING -s 10.0.1.0 -j SNAT --to-destination 10.10.1.0 ?


Pa da, ali to radi samo za tu navedenu IP adresu. Napravi jednostavno iptables pravilo koje će raditi NAT za celu mrežu kao što radi ono gore za Ciska.

Što se tiče iproute2, u taj deo se ič ne razumem.

Dakle, konkretno zna li neko kako bi izgledala komanda koja bi na linuxu celu mrežu natovala 1-1? Recimo za mrežnu masku /19 na cisku bi to bilo:
Ruter32: ip nat inside source static network 10.0.32.0 10.10.32.0 /19
Ruter64: ip nat inside source static network 10.0.64.0 10.10.64.0 /19

Rezultat? Rezultat je da sa mreže 10.0.32.1-10.0.63.254 možemo pristupiti mreži 10.0.64.1-10.0.95.254 tako što ćemo umesto nule kucati 10, i dobićemo adresu koju tražimo. I obrnuto.
 
Odgovor na temu

niceness
Novi Sad

Član broj: 93992
Poruke: 993



+22 Profil

icon Re: Cisco NAT mreža 1<->1 mreža, kako?01.11.2014. u 00:12 - pre 114 meseci
Za ovo služi iptables NETMAP target. Prihvata samo jednu opciju --to <mreža>/<maska> sa kojom se definiše na koje adrese se mapira.
Za tvoj slučaj bi verovatno trebala dva pravila, jedno u POSTROUTING chain za promenu source adrese na izlazu, a drugo u PREROUTING za ulaz (dst adresa).
Na primer nešto ovako (slično i sa druge strane):

iptables -t nat -I POSTROUTING -s 10.0.32.0/19 -j NETMAP --to 10.10.32.0/19
iptables -t nat -I PREROUTING -d 10.10.32.0/19 -j NETMAP --to 10.0.32.0/19

Jedino bi možda trebalo staviti i src i dst u match (npr. -s 10.0.32.0/19 -d 10.10.64.0/19 u prvom pravilu) i/ili ulazni/izlazni interfejs (npr. -i eth0 i -o eth0) u zavisnosti od ostalih podešavanja ruta, filtera itd.

Čisto da napomenem isto se može postići i na openbsd sa pf, a pogledao sam može li i sa nftables i izgleda za sada ne može. Pošto vidim da se tek sad pojavila persistent opciju za SNAT (biće u kernel 3.18) ni ne čudi.
Inače ip route add nat koji je Mile pomenu ne radi na Linux 2.6 (3.x) kernelima, radilo je samo na 2.4.
 
Odgovor na temu

[es] :: Enterprise Networking :: Cisco NAT mreža 1<->1 mreža, kako?

[ Pregleda: 3266 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.