создание топика, блога
Записная книжка сисадмина → NAT и permit ip any any в ACL
Если вы потратили много времени в поисках причины, почему маршрутизатор cisco недоступен из сети Интернет при попытке входа на внешний адрес маршрутизатора по протоколам telnet либо ssh, возможно, эта заметка вам поможет.
Необходимые условия:
— с хоста клиента на внешний интерфейс маршрутизатора ICMP пакеты проходят:
C:\>ping 95.190.25.254
Обмен пакетами с 95.190.25.254 по 32 байт:
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
— с хоста клиента доступ по telnet на внешний интерфейс маршрутизатора не работает, при том, что ACL для доступа на line VTY настроен корректно и протокол разрешен:
C:\>telnet 95.190.25.254
Подключение к 95.190.25.254… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения
— если между сетями организован VPN-туннель, доступ по telnet на серый адрес интерфейса VLAN1 маршрутизатора возможен
— на внешнем адресе маршрутизатора включен NAT:
ip nat inside source list 120 interface Dialer0 overload
— в ACL присутствует строка permit ip any any:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (13 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (64 matches)
30 permit ip any any (23 matches)
— IOS версии 12.4(24)T5 и младше (указаны версии, на которых это все проверялось):
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(24)T5,
RELEASE SOFTWARE (fc3)
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T, R
ELEASE SOFTWARE (fc1)
-применение команды rotary не помогает
Собственно, интерфейс VLAN1:
interface Vlan1
ip address 172.16.15.1 255.255.255.0
ip nat inside
Лечится это довольно легко: необходимо уточнить ACL для NAT:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (16 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (127 matches)
30 permit ip 172.16.15.0 0.0.0.255 any
Необходимые условия:
— с хоста клиента на внешний интерфейс маршрутизатора ICMP пакеты проходят:
C:\>ping 95.190.25.254
Обмен пакетами с 95.190.25.254 по 32 байт:
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
— с хоста клиента доступ по telnet на внешний интерфейс маршрутизатора не работает, при том, что ACL для доступа на line VTY настроен корректно и протокол разрешен:
C:\>telnet 95.190.25.254
Подключение к 95.190.25.254… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения
— если между сетями организован VPN-туннель, доступ по telnet на серый адрес интерфейса VLAN1 маршрутизатора возможен
— на внешнем адресе маршрутизатора включен NAT:
ip nat inside source list 120 interface Dialer0 overload
— в ACL присутствует строка permit ip any any:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (13 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (64 matches)
30 permit ip any any (23 matches)
— IOS версии 12.4(24)T5 и младше (указаны версии, на которых это все проверялось):
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(24)T5,
RELEASE SOFTWARE (fc3)
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T, R
ELEASE SOFTWARE (fc1)
-применение команды rotary не помогает
Собственно, интерфейс VLAN1:
interface Vlan1
ip address 172.16.15.1 255.255.255.0
ip nat inside
Лечится это довольно легко: необходимо уточнить ACL для NAT:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (16 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (127 matches)
30 permit ip 172.16.15.0 0.0.0.255 any
1 комментарий