ESR-1000 проблемы с настройкой Destination NAT
Добавлено: 05 дек 2019 18:07
Доброго времени суток!
Прошу помощи разобраться с проблемой настройки.
Заранее благодарен за любую помощь.
Конструкция:
(сервер 10.10.10.2) ------ (10.10.10.10 --- ESR-1000 --- 192.168.115.10) ------ (ноут 192.168.115.25)
Цель:
Транслировать по средствам NAT 10.10.10.2 в 192.168.115.10 для доступа с ноута к серверу.
Конфиг:
ESR-1000# sh ver
Boot version:
1.6.2.1 (date 18/06/2019 time 14:09:08)
SW version:
1.8.1 build 4[ca384e8f] (date 11/09/2019 time 10:17:05)
HW version:
1v7
-------------------------------------------------------------------------------------
object-group service HTTP
port-range 80
exit
object-group network OUT
ip address-range 192.168.115.10
exit
-------------------------------------------------------------------------------------
interface gigabitethernet 1/0/3
description "DMZ"
mode hybrid
security-zone DMZ
ip address 10.10.10.10/24
exit
interface gigabitethernet 1/0/4
description "KONTINTENT"
mode hybrid
security-zone KONTINENT
ip address 192.168.115.10/24
ip address 192.168.115.11/24
ip address 192.168.115.12/24
ip address 192.168.115.13/24
exit
-----------------------------------------------------------------
security zone-pair KONTINENT self
rule 10
action permit
enable
exit
exit
security zone-pair KONTINENT DMZ
rule 1
action permit
enable
exit
exit
security zone-pair DMZ self
rule 10
action permit
enable
exit
exit
-----------------------------------------------------------------
nat destination
pool HTTP
ip address 10.10.10.2
ip port 80
exit
ruleset DNAT
from zone KONTINENT
rule 1
match protocol tcp
match destination-address OUT
match destination-port HTTP
action destination-nat pool HTTP
enable
exit
exit
exit
-----------------------------------------------------------------
Пытаюсь с ноута по http ломануться на 192.168.115.10
Пишет "Превышено время ожидания ответа от сайта 192.168.115.10"
По аналогии с http, пытался настроить ftp - результат ровно тот же, доступа нет.
Зеркально настраивал всё в соответствии с мануалом - ну никак не получается.
В таблице появляется вот такой результат:
ESR-1000# sh ip nat t
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
---- --------------------- --------------------- --------------------- --------------------- ---------- ----------
tcp 192.168.115.25:63575 10.10.10.2:80 192.168.115.25:63575 192.168.115.10:80 -- --
tcp 192.168.115.25:63577 10.10.10.2:80 192.168.115.25:63577 192.168.115.10:80 -- --
tcp 192.168.115.25:63576 10.10.10.2:80 192.168.115.25:63576 192.168.115.10:80 -- --
Прошу помощи разобраться с проблемой настройки.
Заранее благодарен за любую помощь.
Конструкция:
(сервер 10.10.10.2) ------ (10.10.10.10 --- ESR-1000 --- 192.168.115.10) ------ (ноут 192.168.115.25)
Цель:
Транслировать по средствам NAT 10.10.10.2 в 192.168.115.10 для доступа с ноута к серверу.
Конфиг:
ESR-1000# sh ver
Boot version:
1.6.2.1 (date 18/06/2019 time 14:09:08)
SW version:
1.8.1 build 4[ca384e8f] (date 11/09/2019 time 10:17:05)
HW version:
1v7
-------------------------------------------------------------------------------------
object-group service HTTP
port-range 80
exit
object-group network OUT
ip address-range 192.168.115.10
exit
-------------------------------------------------------------------------------------
interface gigabitethernet 1/0/3
description "DMZ"
mode hybrid
security-zone DMZ
ip address 10.10.10.10/24
exit
interface gigabitethernet 1/0/4
description "KONTINTENT"
mode hybrid
security-zone KONTINENT
ip address 192.168.115.10/24
ip address 192.168.115.11/24
ip address 192.168.115.12/24
ip address 192.168.115.13/24
exit
-----------------------------------------------------------------
security zone-pair KONTINENT self
rule 10
action permit
enable
exit
exit
security zone-pair KONTINENT DMZ
rule 1
action permit
enable
exit
exit
security zone-pair DMZ self
rule 10
action permit
enable
exit
exit
-----------------------------------------------------------------
nat destination
pool HTTP
ip address 10.10.10.2
ip port 80
exit
ruleset DNAT
from zone KONTINENT
rule 1
match protocol tcp
match destination-address OUT
match destination-port HTTP
action destination-nat pool HTTP
enable
exit
exit
exit
-----------------------------------------------------------------
Пытаюсь с ноута по http ломануться на 192.168.115.10
Пишет "Превышено время ожидания ответа от сайта 192.168.115.10"
По аналогии с http, пытался настроить ftp - результат ровно тот же, доступа нет.
Зеркально настраивал всё в соответствии с мануалом - ну никак не получается.
В таблице появляется вот такой результат:
ESR-1000# sh ip nat t
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
---- --------------------- --------------------- --------------------- --------------------- ---------- ----------
tcp 192.168.115.25:63575 10.10.10.2:80 192.168.115.25:63575 192.168.115.10:80 -- --
tcp 192.168.115.25:63577 10.10.10.2:80 192.168.115.25:63577 192.168.115.10:80 -- --
tcp 192.168.115.25:63576 10.10.10.2:80 192.168.115.25:63576 192.168.115.10:80 -- --