我们有一台思科ASA 5510,它位于我们的边缘,充当光纤连接的PPPoE端点。 光纤连接带有一个静态IP,通过PPPoE分配,由ASA接收。 所有的工作正常,NAT工作,从内部的路由出站连接正确地通过光纤等。 随后,我们从同一个ISP那里订购了第二批IP地址(/ 28),他们已经完成了他们的工作。 不幸的是,我无法获得任何stream量通过新分配的IP。 从我读过的所有东西都不需要任何特别的configuration,以便能够使用这些新的IP,如果我创buildNAT / ACL规则,我应该能够接受新的范围内的传入连接,但是看起来他们根本没有击中ASA。 数据包filter显示NAT / ACL正确设置。 我已经读过,第二个子网应该在它们的末端路由,以便它通过现有的/ 30,但是ISP不能设置它。 他们build议新的网关的网关是范围内的第一个可用的地址。 我在ASA上创build了一个静态路由,通过第一个可用的路由这个networking,希望这是问题,但它没有解决问题。 这听起来类似于这个问题 – 思科ASA:如何路由PPPoE分配的子网? – 然而,我们是第二个子网,而不是一个子网。 ISP已经提出完全抛弃现有的/ 30,只使用/ 28(如果解决了这个问题就没有问题,我们现在还没有使用现有的/ 30)。 从本质上讲,使用PPPoE的ASA可以在一个接口上pipe理多个子网,而我只是错过了一些令人难以置信的明显的东西,或者这是ASA不支持的东西,我需要一个在它前面的路由器?
拥有需要SSH访问的服务器的专用networking。 由于这些实例位于私有子网中,因此无法通过SSH直接访问它们,并需要公共的Bastion主机才能访问。 Workstation -> via SSH -> Bastion -> via SSH Forwarding -> private subnet instnce 我们使用NAT主机作为专用networking的公共网关。 User -> via HTTP -> NAT -> via private networking -> private subnet instance 将Bastion和NAT主机分开保存有什么好处? 结合他们有什么好处?
我有一台2台设备,一台思科ASA,另一台设备。 思科和其他设备都具有IPsec隧道,但位于不同的位置。 我需要确保其他设备的源端口在NAT时不是UDP-500,因为这是与Cisco IPsec服务相同的端口,所以我们看到一个问题,即发送给其他设备的回复数据包击中了ASA。 根据思科的NAT常见问题( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html ),它保留了端口在默认情况下根据“Q.在configurationPAT(过载)时,每个内部全局IP地址可以创build的最大转换数是多less? 问题:如何强制所有PAT映射使用> 1024以上的源端口? 或者,我如何强制ASA忽略来自特定IP地址的IPsec数据包,并将它们视为正常的NAT数据包,并将它们转发回内部设备? 在Linux的iptables我会用这样的:iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT – 对源xxxx:1024-30000
我们使用VPN将远程办公室连接到我们的主办公室,而远程办公室的机器需要将端口22暴露在外部互联网上。 并发症: 主办公室有一个固定的IP地址。 远程办公室有一个浮动的IP地址。 远程办公室位于我们无法控制的路由器后面。 来自远程办公室的所有stream量都需要通过主办公室的VPN。 主办公室和远程办公室都有DrayTek Vigor2925系列路由器,具有最新的固件。 远程办公室的Draytek上游的路由器是一个廉价的黑匣子,没有DDNS或VPNfunction,或任何看起来有用的东西。 事情的工作: 我们已经能够通过拨号VPN将远程办公室连接到我们的networking。 如果这样,我们可以从主办公室连接到目标机器。 我们可以使用路由器的端口转发设置将连接固定的IP地址转发给总公司的一台机器。 我们可以从固定IP地址转发到远程办公室的一台机器。 我的理解,从DrayTek的文档和其他地方,NAT是不兼容的IPSec隧道,特别是身份validation头,但它应该是可以build立一个VPN使用L2TP和IPSec封装,如果两个设备支持NAT-T,路由器支持 。 所以:我们设置了远程办公室,使用“带有IPsec策略的L2TP”,closures身份validation头,设置主办公室路由器将端口转发到目标机器,并使用telnet接口检查vpn -passthrough已closures,但我们仍无法连接。 另外,如果我们可以读取远程办公室的浮动IP地址,我们可以使用dynamicDNS解决scheme。 但是,我们不控制远程办公室上游的路由器,而是通过办公室的VPN转发所有stream量:远程办公室中的所有机器都认为其面向公众的IP地址是属于总部的固定地址。 我们几乎要购买Raspberry Pi来插入上游路由器,并使用它来运行wget s icanhazip.com的cron作业。 所以…我在路由器configuration中错过了一个步骤吗? 或者有没有一种从VPN内部读取IP地址的方法?
我有一个访问规则和NAT规则,可以在安全设备软件版本8.0上正常工作 规则如下: 但是,我在安全设备软件版本8.4上运行的ASA上执行相同的规则工作时遇到了问题。 我知道configuration已经改变了,我想我应该为ath-security创build一个networking对象,同时定义我的访问和NAT规则,但是我没有在ASA上configuration任何东西,我的头很小。 我把它设置如下: 我在这里做错了什么? CORP-OUTSIDE和NM-OUTSIDE应该是不同的; 这是两个不同的ASA。 XXXX-OUTSIDE是每个设备的外部IP地址的networking对象。 CORP-OUTSIDE是在8.0软件的ASA上, NM-OUTSIDE是在ASA上的8.4软件 show running-config在ASA上使用8.0软件返回以下内容: 静态(内部,外部)tcp接口www LVMSecurity www netmask 255.255.255.255 show running-config用8.3软件在ASA上返回以下内容: 对象networkingAthertonSecurity-2.123 nat(内部,外部)静态接口服务tcp www www 使用ASDM数据包跟踪工具,我在8.3 ASA上得到以下错误: 信息:(sp-security-failed)Slowpath安全检查失败
我有一个这样的networking: ADSL VLAN 2 VLAN 3 ——[Modem]———-[firewall]———-[intranet PC] | | VLAN 4 \————-[DMZ server] 我想设置端口转发,将DMZ中的Web服务器暴露给Internet。 IP是: 调制解调器:192.168.0.1 防火墙eth0.2:192.168.0.126 防火墙eth0.3:192.168.1.1 防火墙eth0.4:192.168.2.1 PC:192.168.1.2 服务器:192.168.2.2 我打开调制解调器上的端口80和443,并将它们转发到防火墙(192.168.0.126)。 我在防火墙的iptables中有这些规则: NAT: -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A PREROUTING -d 192.168.0.126/32 -p tcp -m multiport –dports 80,443 \ -j DNAT –to-destination 192.168.2.2 -A PREROUTING -d […]
我在windows azure(NAT)中使用此命令,将所有请求redirect到其他IP的另一台服务器 iptables -t nat -A PREROUTING -i eth0 -d 10.240.154.15 -j DNAT –to-destination 192.188.47.63 ¿可以做到这一点与亚马逊ec2? 谢谢。
我有一个FortiGate 310B的WAN端口,来自ISP的/ 27公共IP池。 WAN端口configuration了主IP 1.1.1.1/27 我想在内部端口提供一个公共IP地址的服务器。 但是这个公共IP将在内部区域的设备上被configuration(就像它被桥接一样)。 [INTERNET] – [FG PORT1 WAN 1.1.1.1] – [FG PORT2 INTERNAL] – [某些服务器1.1.1.2] WAN接口是NAT,内部端口有一些私有IP子网。 如何才能做到这一点? 编辑: 整个子网1.1.1.1/27被转发到terminal在FortiGate的WAN Port1上的IP 1.1.1.1。 我的ISP网关是1.1.1.3。 LAN 172.16.xx使用IP 1.1.1.1(正在工作)进行NAT。 见图(红圈是我试图达到的):
我的networking看起来像这样: ISP cable — ISP modem/router (2 in 1) \ \— my router — wifi connection — computer 1 \———– cable connection —- computer 2 在两台电脑上,我每隔5秒运行一次: ping -U -c 1 -w 1 google.com 在计算机1上每15分钟一次,每14点30分,29点30分,44点30分,59点30分。 无论何时我重新启动路由器。 就像有一些cron设置。 但每一个现有的连接工作:wget,networking游戏或无线电在失败之前开始正常工作。 但ping,在浏览器中加载新的页面停止一分钟。 当我平8.8.8.8所以这可能不是关于DNS的情况下也是如此。 每次问题需要30-60秒。 ping去isp调制解调器(192.168.0.1),但不是进一步。 其他电脑工作没有任何问题。 当我连接电脑2到我的路由器它有相同的症状。 我知道:这是双NAT。 但是究竟是什么呢? 如果我不能诊断是不可能修复的。 我无法桥接调制解调器和路由器或使用PPPoE(ISP的限制)。 我尝试了DMZ – 同样的结果。 之前,与ISP模式(而不是调制解调器/路由器)没有这样的问题。 目前我没有调制解调器来诊断,如果我的路由器坏了(但我怀疑它)。 有任何想法吗? 我怎么诊断什么? 编辑:万一它很重要: […]
我有以下的基础设施: 互联网[81.xxx之外]路由器[在192.168.1.1内] | [networking192.168.1.0/24] | 邮件服务器[192.168.1.2] 在路由器(DD-WRT)与iptables。 我有NAT启用,因为我想我的邮件服务器响应外部IP。 我有以下设置: iptables -t nat -I PREROUTING -d 81.xxx -j DNAT –to 192.168.1.2 iptables -t nat -I POSTROUTING -s 192.168.1.2 -j SNAT –to 81.xxx iptables -I FORWARD -d 192.168.1.2 -p tcp –dport 25 -j ACCEPT 与其他一些开放的端口以及。 但是,当邮件到达邮件服务器后缀时,显示以下消息: postfix/smtpd[6964]: connect from unknown[192.168.1.1] 所有来自外部的邮件似乎都与IP地址内的路由器通信。 我错过了什么,以便显示原始IP地址,而不是IP内的路由器?