Здравствуйте.
Настраиваю ESR-1000. С оборудованием ELTEX работаю впервые, столкнулся с трудностями в пробросе траффика при помощи NAT.
Из коробки была прошивка 1.4, сразу обновил согласно руководству по обновлению до свежайшей доступной тут https://eltex-co.ru/catalog/service_gateways/esr-1000/
ESR-1000-1.8.2-build2.zip
К слову, вложенное в архив руководство по обновлению от 2015 года, описывает состояние для прошивки 1.6.
esr-1000(config)# do sh ver
Boot version:
1.8.2.2 (date 06/11/2019 time 19:04:13)
SW version:
1.8.2 build 2[0d43083ea] (date 06/11/2019 time 19:00:43)
HW version:
1v7
Задача.
Необходимо для ряда серверов, имеющих только внутренние IP, сделать проброс трафика. Каждому серверу выделен свой белый IP.
Для упрощения задачи и отладки я хочу сначала наладить проброс всего трафика для одного сервера и уже следом разрешить только нужное. Кстати, как? Списками доступа или надо на каждый целевой порт описывать правило в паре зон, или как-то еще?
Сервер 10.2.1.165 с установленным на нем HomeFTP и веб-оболочкой должн быть доступен извне по адресу Х.Х.Х.233 и портам tcp 21 и 4993.
Шлюзом по умолчанию прописан IP 10.2.1.1 порта ESR.
1) Прописал IP на интерфейсы и привязал интерфейсы к зонам безопасности. Интерфейсы в режиме L3.
interface gigabitethernet 1/0/1
description "WAN-ISP"
spanning-tree disable
security-zone untrusted
ip address Х.Х.Х.227/28
exit
interface gigabitethernet 1/0/23
description "DMZ"
security-zone DMZ
ip address 10.2.1.1/24
exit
interface gigabitethernet 1/0/24
description "LAN"
security-zone trusted
ip address 10.62.1.1/24
exit
2) Три зоны безопасности.
security zone trusted
exit
security zone untrusted
exit
security zone DMZ
exit
3) Прописал шлюз по умолчанию.
ip route 0.0.0.0/0 Х.Х.Х.225
4) Описал пары зон. Трафик между зонами ходит исправно. Узлы беспрепятственно общаются друг с другом за исключением трансляции, но об этом далее.
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcp
match destination-port ssh
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 40
action permit
match protocol udp
match destination-port ntp
enable
exit
exit
security zone-pair untrusted self
rule 10
action permit
match protocol icmp
enable
exit
exit
security zone-pair trusted DMZ
rule 10
action permit
enable
exit
exit
security zone-pair DMZ trusted
rule 10
action permit
enable
exit
exit
security zone-pair DMZ self
rule 10
action permit
enable
exit
exit
security zone-pair untrusted DMZ
rule 10
action permit
match destination-address ZULU_local
match destination-nat
enable
exit
exit
security zone-pair DMZ untrusted
rule 10
action permit
enable
exit
exit
5) Трансляция для доступа в интернет исполнена, как было в заводских настройках. Изо всех зон доступ в интернет работает.
nat source
ruleset factory
to zone untrusted
rule 10
description "replace 'source ip' by outgoing interface ip address"
action source-nat interface
enable
exit
exit
exit
Простейший минимум вроде бы выполнен. Пришло время destination NAT.
Делаю, как описано тут https://docs.eltex-co.ru/pages/viewpage.action?pageId=45453848.
И все бестолку.
1) Описал сетевые объекты
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group service ftp
port-range 21
exit
object-group service homeftp_web
port-range 4993
exit
object-group network ZULU_pub
ip address-range Х.Х.Х.233
exit
object-group network ZULU_local
ip address-range 10.2.1.165
exit
Вопрос. Есть ли принципиальная разница в описании объекта object-group network коли речь идет об IP одного узла? Так ip address-range 10.2.1.165 или так ip prefix 10.2.1.165/32 -- вроде бы одно и то же выходит?
2) Описал пулы. Три разных для одного целевого сервера, т.к. не представляю, как правильно.
Вопрос. Если мне надо пробросить портов >1, надо прописать соответствующее количество пулов? Или достаточно описать один пул без указания порта? В каком случае порт в этом месте значим?
nat destination
pool ZULU_target
ip address 10.2.1.165
exit
pool ZULU_ftp
ip address 10.2.1.165
ip port 21
exit
pool ZULU_homeftpweb
ip address 10.2.1.165
ip port 4993
exit
3) Описал набор правил.
По-моему, rule 5 должно быть достаточно, чтобы проходил вообще любой трафик IP. Так ли это? Если нет, то какова логика?
ruleset WAN_2_LAN
from zone untrusted
rule 5
match destination-address ZULU_pub
action destination-nat pool ZULU_target
enable
exit
rule 10
match protocol tcp
match destination-address ZULU_pub
match destination-port homeftp_web
action destination-nat pool ZULU_homeftpweb
enable
exit
rule 20
match protocol tcp
match destination-address ZULU_pub
match destination-port ftp
action destination-nat pool ZULU_homeftpweb
enable
exit
exit
exit
4) Для пропуска трафика к серверу из интернета прописал правило.
Протоколы любые, адреса источников любые.
security zone-pair untrusted DMZ
rule 10
action permit
match destination-address ZULU_local
match destination-nat
enable
exit
Так вот из мира доступа к узлу Х.Х.Х.233 нет. Ни пингов, ни подключений.
Что я делаю не так?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Трудности с destination NAT
Re: Трудности с destination NAT
Возникла догадка и связанные вопросы.
Для трансляции N белых адресов IP к N серверам с внутренними адресами IP обязательно нужно все эти N белых IP прописать на внешнем физическом интерфейсе ESR?
Возможен ли вариант, исключающий привязку N белых IP к физическому внешнему интерфесу ESR и одновременно обеспечивающий доступность N серверов по белым IP? Быть может, есть рабочее решение с proxy-arp на внешнем порту ESR?
Почему спрашиваю. Мне видится, привязка белых IP на физическом интерфейсе ESR не позволит отследить доступность серверов за NAT при помощи пинга. В нашем случае, такая проверка доступности востребована в силу очевидной простоты.
Для трансляции N белых адресов IP к N серверам с внутренними адресами IP обязательно нужно все эти N белых IP прописать на внешнем физическом интерфейсе ESR?
Возможен ли вариант, исключающий привязку N белых IP к физическому внешнему интерфесу ESR и одновременно обеспечивающий доступность N серверов по белым IP? Быть может, есть рабочее решение с proxy-arp на внешнем порту ESR?
Почему спрашиваю. Мне видится, привязка белых IP на физическом интерфейсе ESR не позволит отследить доступность серверов за NAT при помощи пинга. В нашем случае, такая проверка доступности востребована в силу очевидной простоты.
Re: Трудности с destination NAT
Можно и так , и так.
Вот примеры настроек для DNAT:
https://docs.eltex-co.ru/pages/viewpage ... d=45453848
viewtopic.php?f=10&t=9483&p=46716#p46704
Вот примеры настроек для DNAT:
https://docs.eltex-co.ru/pages/viewpage ... d=45453848
viewtopic.php?f=10&t=9483&p=46716#p46704
Re: Трудности с destination NAT
Garri писал(а):Можно и так , и так.
Вот примеры настроек для DNAT:
https://docs.eltex-co.ru/pages/viewpage ... d=45453848
viewtopic.php?f=10&t=9483&p=46716#p46704
Я изначально опирался на указанные ссылки, и там нет ответа на мой вопрос. Нашлось решение другой задачи, тоже необходимой.
Вообще, местные примеры отличаются упрощенностью, когда оконечных узлов-участников по одному. Когда же схема сложнее, в некоторых случаях приходится действовать на ощупь.
Нужное мне решение обеспечивается включением proxy-arp на внешнем интерфейсе с обязательной привязкой списка всех белых IP, которые должны быть транслированы во внутренние адреса узлов.
В таком случае и Destination NAT работает, и доступность расположенных за NAT серверов можно проверять пингом: сервер выключен, -- ответа на пинг нет; сервер работает, -- ответ на пинг есть.
interface gigabitethernet 1/0/1
description "WAN"
security-zone untrusted
ip address 1.2.3.4/24
ip nat proxy-arp WAN_PROXY_ARP_IP_range
exit
Re: Трудности с destination NAT
Всё верно, это рабочий вариант.
Второй вариант как вы описывали в первом посте можно сделать с помощью StaticNAT, в доках есть пример.
Второй вариант как вы описывали в первом посте можно сделать с помощью StaticNAT, в доках есть пример.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей