rakis
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Перезжает часть серверов (из одной сетив другую). Окно 2 часа. Оборудование, которое на эти сервера завязано за это время перенастроить не реально (разбросано по городу).
Задача: настроить проброс группы портов.
Вроде бы и задача не трудная, и решение ее в голову приходит сразу - NAT.
Поставил под эти цели Cisco 1841
192.168.1.0/24 - старая сеть
192.168.2.0/24 - вспомогательная сеть
192.168.3.0/24 - новая сеть.
interface FastEthernet0/0
ip address 192.168.1.9 255.255.255.0
ip nat outside
interface FastEthernet0/1
ip address 192.168.2.90 255.255.255.0
ip nat inside
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.1.1
ip route 192.168.3.0 255.255.255.0 FastEthernet0/1 192.168.2.1
ip nat inside source static tcp 192.168.3.190 443 192.168.1.9 443 extendable
Не работает. точнее работает, но не так как надо.
Смотрю снифером на 192.168.3.190, пакет прилетел, все хорошо. но хост видит адрес клиента и шлет ему ответ напрямую (что я думаю правильно), т.к. знает где сеть клиента. Как результат - клиент получает ответ от 192.168.3.190, вместо ответа от 192.168.1.9. И естественно дропит пакеты, т.к. он их просто не просил.
Заставить сервер посылать пакеты через 1841 и затим натить их слишком энергоемко (между ними 4-5 хопов, + в новой сетке есть и другие сервера)
Пробовал натить клиентов в адреса из 192.168.2.0/24. Картина немного другая - все трансляции проходят, снифер показывает что к нему обращяются из 192.168.2.0/24, видна вроде как нормальная сессия - вопрос-ответ. Но на клиенте сервис все одно кажется не доступным. Ответа нет.
Пока решил проблему просто: поставил freebsd + 3proxy
кусок конфига:
auth none
flush
external $/usr/local/etc/ip1
internal $/usr/local/etc/ip1
udppm 53 192.168.3.11 53
tcppm 53 192.168.3.11 53
external $/usr/local/etc/ip2
internal $/usr/local/etc/ip2
udppm 53 192.168.3.12 53
tcppm 53 192.168.3.12 53
на одной из сетевух подняты алиасы, со старыми адресами серверов. Файлы ip1, ip2 (содержат адреса) необходимы чтобы разделить привязку по алиасам.
Все работает. так как надо.
Внимание вопрос: что я не доделал на маршрутизаторе? 
Вопрос больше для саморазвития, т.к. текущий костыль необходим дней на 7-10.
|
Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 19:44 18-04-2009 | Исправлено: rakis, 19:48 18-04-2009 |
|
