Cisco ASA. Проброс портов или static NAT

Read the article CISCO ASA PORT FORWARDING EXPLAINED in English

Одна из самых частых проблем, связанных с настройкой Cisco ASA, это так называемый «проброс портов» (port forwarding), а по-научному настройка NAT для того, чтобы дать возможность пользователям из сети интернет заходить на внутренние серверы компании.

Базовые настройки NAT для доступа пользователей и внутренних ресурсов в интернет описаны в статье о базовой настройке Cisco ASA, а сам принцип использования технологии NAT для тех или иных случаев подробно описан в статье «Как использовать NAT». Здесь же будет будут описаны только настройки публикации внутренних ресурсов в сеть интернет.

Для реализации этого необходимо 2 составляющих:

• Настройка Static NAT для нужных адресов и портов;
• Разрешающие правила в списках доступа access-list.

В современных версиях Cisco ASA есть 2 способа реализации Static NAT – 1) через объекты (

object NAT) и 2) вручную/двойной NAT (manual/twice NAT). Эти способы отличаются по логике настройки и синтаксису команд, но оба ведут к одному и тому же. В первом (object NAT) строки, описывающие правило трансляции адресов привязываются к конкретному объекту (имя + ip адрес). Во втором (manual NAT) в отдельной строке с помощью все тех же объектов указываются адреса оригинального пакета (source и destination) и преобразованного. Далее будут приведены настройки для обоих способов, а вы для себя уже решите какой из них подходит больше. А если не получается сделать «проброс портов» одним из способов, то попробуйте другой.

Важно!
Если у вас старое оборудование и версия IOS до 8.3, то пример написания строки для старого синтаксиса приведен в самом конце статьи

Object NAT

Создание объекта для внешнего адреса
object network OBJ_NAT_SERVER_XXX_EXT
host x.x.x.x

Для каждого порта создается отдельный объект с внутренним адресом сервера
object network OBJ_NAT_SERVER_XXX_INT_1433
host 192. 168.1.100
object network OBJ_NAT_SERVER_XXX_INT_1433
nat (inside,outside) static OBJ_NAT_SERVER_XXX_EXT service tcp 1433 1433
Здесь и далее зеленым цветом будут отмечены части кода, отвечающие за внутренние ресурсы, а красным — внешние.
Второй объект для того же самого сервера 192.168.1.100, но с другим именем
object network OBJ_NAT_SERVER_XXX_INT_8080
host 192.168.1.100
object network

OBJ_NAT_SERVER_XXX_INT_8080
nat (inside,outside) static OBJ_NAT_SERVER_XXX_EXT service tcp 8080 8080

Важно!
В зависимости от того, сколько внешних «белых» публичных адресов предоставляет вам провайдер, необходимо корректировать синтаксис команд.

Если провайдер предоставляет только один(!) статический адрес и это адрес внешнего интерфейса устройства, то в командах для NAT необходимо указывать « interface » (подразумевая внешний интерфейс outside)

Если провайдер выдает несколько (!) статических адресов и требуется задействовать один из них НЕ на внешнем интерфейсе, то для этого создается отдельный объект, для которого указывается конкретный адрес.

В случае наличия только одного адреса команда из последнего примера будет выглядеть так:

object network OBJ_NAT_SERVER_XXX_INT_1433
nat (inside,outside) static interface service tcp 1433 1433

Manual/Twice NAT

Создание объекта для внешнего адреса
object network OBJ_NAT_SERVER_XXX_EXT
host x.x.x.x

Создание объекта для внутреннего адреса
object network OBJ_NAT_SERVER_XXX_INT
host 192.168.1.100

Создание объектов для портов и протоколов, которые должны быть видны извне
object service SERVICE_TCP_1433
service tcp source eq 1433
object service SERVICE_TCP_8080
service tcp source eq 8080

Правило трансляции для каждого порта/протокола записывается в отдельной строке
nat (inside,outside) source static

OBJ_NAT_SERVER_XXX_INT OBJ_NAT_SERVER_XXX_EXT service SERVICE_TCP_1433 SERVICE_TCP_1433
nat (inside,outside) source static OBJ_NAT_SERVER_XXX_INT OBJ_NAT_SERVER_XXX_EXT service SERVICE_TCP_8080 SERVICE_TCP_8080
Как уже писалось ранее, если в наличии есть только один «белый» адрес и он уже используется на интерфейсе, то вместо объекта с указанием внешнего адреса, в команде необходимо использовать слово interface.
nat (inside,outside) source static OBJ_NAT_SERVER_XXX_INT interface service SERVICE_TCP_1433 SERVICE_TCP_1433

Проверка

Для проверки текущих настроек используйте команду sh nat detail. она покажет все текущие правила трансляции, в которых будут указаны как внешние адреса, так и внутренние для каждой строки

Команды для старого оборудования (версия Cisco ASA до 8.3)

Правила трансляции записываются построчно – по одной строчке для каждого порта. Обратите внимание, что в начале строки в скобках указана последовательность интерфейсов внутренний/внешний, при этом далее следует указание адресов в обратной последовательности внешний/внутренний. Сами команды выглядят так:

Если необходимо задействовать адрес НЕ на внешнем интерфейсе
static (inside,outside) tcp x.x.x.x 1433 192.168.1.100 1433 netmask 255.255.255.255
Если необходимо задействовать адрес внешнего интерфейса устройства.
static (inside,outside) tcp interface 1433 192.168.1.100 1433 netmask 255.255.255.255

Разрешение доступа в access list

Помимо настроек NAT для Object NAT и Manual NAT необходимо также разрешить доступ для нужных соединений. Для этого в

access list, привязанному ко внешнему интерфейсу, необходимо добавить соответствующие строки. Обратите внимание, что в правилах разрешается доступ с любых адресов (any) ко внутреннему адресу сервера.
access-list ACL_OUTSIDE_IN line 1 extended permit tcp any object OBJ_NAT_SERVER_XXX_INT eq 1433
access-list ACL_OUTSIDE_IN line 2 extended permit tcp any object OBJ_NAT_SERVER_XXX_INT eq 8080

Однако, если у вас старое оборудование и версия ASA старше 8.3, то в списках доступа необходимо указывать внешний адрес.
access-list ACL_OUTSIDE_IN line 1 extended permit tcp any object OBJ_NAT_SERVER_XXX_EXT eq 1433
access-list ACL_OUTSIDE_IN line 2 extended permit tcp any object OBJ_NAT_SERVER_XXX_EXT eq 8080

Важно!

Более подробно о принципах и тонкостях  создания и наполнения списков доступа читайте в статье Cisco ASA. Основы. Доступ в интернет.

Перейти к оглавлению

Cisco проброс портов через NAT

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

[6 июля 2015 | 10 июля 2015 | 15 июля 2015]

Рано или поздно у админа небольшой сети возникает необходимость сделать доступным из сети интернет какой-либо внутренний ресус. Скорей всего у компании будет всего один белый IP-адрес за которым работает NAT и раздаёт интернет во внутренней сети. Собственно про настройку NAT на Cisco я уже писал, а вот проброс портов не обсуждался. И так, рассмотрим схему сети небольшого офиса, в котором используется несколько внутренних серверов до которых необходимо дать доступ из вне локальной сети.

Как видно из схемы, доступ необходимо будет дать к почтовому серверу по портам 110/TCP (POP3 протокол) и 993/TCP (IMAP over SSL протокол), а так же к web-серверу по порту 80/TCP (HTTP). Проброс делается следующими командами:

!входим в конфигурирование
gw-border# conf t

!настраиваем пул адресов DHCP
gw-border# ip nat inside source static tcp 10.1.1.22 25 interface fa4 25
gw-border# ip nat inside source static tcp 10.1.1.22 993 interface fa4 993
gw-border# ip nat inside source static tcp 10.1.1.8 80 interface fa4 80

После этого внешние порты будут проброшены на внутренние. При попытке зайти на внешний IP-адрес по этим портам мы попадаем внутрь сети на указанные сервера. Всё работает отлично.

Но у этого действия есть один серьёзный недостаток. Если в конторе работают WEB-дизайнеры, которые работают над созданием сайтов расположенных в их-же внутренней сети, то они никогда не попадут на эти сервера по внешнему IP-адресу. Они туда смогут попасть только по локальному адресу сервера.

Конечно, проблема данная не актуальна для многих, но если контора пишет сайты и размещает их у себя и хочет удостовериться в доступности сайта по его реальному имени, отдаваемому внешними ДНС серверами, то у них возникнет проблема. Ибо проверить доступность своего сайта по белому ИП-адресу из своей же подсети будет невозможно.

Так же есть возможность на самой циске поднять локальный ДНС который будет внутри сети подменять ИП-адреса, но тут возникает вопрос, какой-же ИП-адрес подсунуть. Если подсунуть ИП-адрес веб-сервера, то перестанет работать почтовый сервер, а если почтовый, то перестанет работать веб-сервер.

Обычное решение в таких случаях — это замена циски на любой роутер от D-Link, они все поддерживают корректную работу с порт-редиректом. И внешние адреса становятся доступные изнутри сети.

Тэги: ИТ, Cisco

Отредактировано:2020-09-10 19:39:42

Решено: Cisco 891/K9 Проброс портов + 2 ISP

Сложилась следующая ситуация:

Соединение с провайдерами я худо-бедно настроил, интернет работает, при падении одного из каналов успешно переключается на другой.

Теперь необходимо пробросить порты на RDP из вне.

Попробовал вот это:

ip nat inside source static tcp 192.168.0.20 3389 xxx.xxx.xxx.xxx 30000 extendable

ip nat inside source static tcp 192.168.0.20 3389 yyy.yyy.yyy.yyy 30000 extendable

Но не работает. Порт не открывается, соединиться с RDP сервером не удается.

Была попытка сделать проброс для telnet на сам роутер, порт открывается, но соединение установить всё равно не удается.

Ниже приведена текущая конфигурация моего роутера.

Подскажите, может что в конфигурации не так и чего не хватает?

Current configuration : 4508 bytes

!

! Last configuration change at 15:17:43 Moscow Mon Dec 9 2013 by user

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

no service dhcp

!

hostname ROUTER

!

boot-start-marker

boot-end-marker

!

!

enable secret 4 XNOSvqa8GUCO4nkkzLJe4fzD82U6AYXfQP76

!

no aaa new-model

!

!

!

!

!

!

ip domain name MYDOMAIN

ip name-server DNS1 ISP1

ip name-server DNS2 ISP1

ip name-server DNS1 ISP2

ip name-server DNS2 ISP2

ip cef

no ipv6 cef

!

!

!

!

!

multilink bundle-name authenticated

!

!

!

!

!

!

!

!

!

username user privilege 15 password 0 mypassword

!

redundancy

!

!

!

track 1 ip sla 1 reachability

!

track 2 ip sla 2 reachability

!

!

!

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

no ip address

!

interface FastEthernet5

no ip address

!

interface FastEthernet6

no ip address

!

interface FastEthernet7

no ip address

!

interface FastEthernet8

description $ETH-WAN$

ip address xxx.xxx.xxx.xxx 255.255.255.252

ip nat outside

ip virtual-reassembly in max-reassemblies 256

duplex auto

speed auto

!

interface GigabitEthernet0

description $ETH-WAN$

ip address yyy.yyy.yyy.yyy 255.255.255.224

ip nat outside

ip virtual-reassembly in max-reassemblies 256

duplex auto

speed auto

!

interface Vlan1

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly in max-reassemblies 256

!

interface Async1

no ip address

encapsulation slip

!

ip http server

ip http authentication local

ip http secure-server

ip forward-protocol nd

!

!

ip dns server

ip nat inside source route-map ISP1 interface GigabitEthernet0 overload

ip nat inside source route-map ISP2 interface FastEthernet8 overload

ip nat inside source static tcp 192.168.0.20 3389 xxx.xxx.xxx.xxx 30000 extendable

ip nat inside source static tcp 192.168.0.20 3389 yyy.yyy.yyy.yyy 30000 extendable

ip route 0.0.0.0 0.0.0.0 GigabitEthernet0 xxx.xxx.xxx.xxx track 1

ip route 0.0.0.0 0.0.0.0 FastEthernet8 yyy.yyy.yyy.yyy 250 track 2

!

ip sla auto discovery

ip sla 1

icmp-echo xxx.xxx.xxx.xxx

ip sla schedule 1 life forever start-time now

ip sla 2

icmp-echo yyy.yyy.yyy.yyy

ip sla schedule 2 life forever start-time now

access-list 10 permit 192.168.0.0 0.0.0.255

!

route-map ISP2 permit 10

match ip address 10

match interface FastEthernet8

!

route-map ISP1 permit 10

match ip address 10

match interface GigabitEthernet0

!

!

!

control-plane

!

!

!

!

mgcp profile default

!

!

!

!

!

!

line con 0

password mypassword

login

line 1

modem InOut

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

login local

transport input telnet ssh

line vty 5 15

login local

transport input all

!

!

end

Как открыть порты на роутере Linksys (Cisco)

В этой инструкции мы будем открывать порты на роутере Linksys. Сделать переадресацию портов не сложно, но разобраться в некоторых нюансах все же придется. Если вы зашли на эту страницу, то уже скорее всего знаете, какой порт (или диапазон портов) и вам нужно открыть, и для какой программы, сервера, игры и т. д.

На любом роутере, не только на Linksys, проброс портов делается для того, что бы пакеты, которые приходят с интернета на определенный порт, были перенаправлены на нужный порт определенного компьютера. Проще говоря, это нужно для того, что бы отдельные программы, игры, серверы могли напрямую принимать пакеты с интернета через роутер.

Мы когда выходим в интернет через роутер, то у нас один внешний IP адрес, который собственно получает сам маршрутизатор. А компьютеры, которые подключаться к роутеру, получают уже локальные IP. Поэтому, при использовании таких программ как DC++, разные торренты, онлайн игры и т. д., нужно открывать порты. Правда, множество программ умеют это делать самостоятельно, с помощью функции UPnP.

Мы же рассмотрим сейчас как все это сделать вручную. В панели управления наши маршрутизатором Linksys. У меня есть Linksys E1200, поэтому, показывать буду на его примере.

Открываем порт в настройках роутера Linksys

Первым делом, нам нужно зайти в веб-конфигуратор нашего маршрутизатора. Достаточно подключиться к роутеру по кабелю, или по Wi-Fi, и в браузере перейти по адресу 192.168.1.1. Более подробная информация по доступу к странице настроек есть в этой инструкции.

Прежде чем приступить к перенаправлению портов, нужно для нашего компьютера зарезервировать статический IP-адрес. Я имею введу компьютер, для которого мы будем настраивать проброс портов. Этот компьютер должен быть подключен к роутеру.

На главной странице настроек, напротив пункта «Настройки DHCP-сервера» нажмите на кнопку «Резервирование DHCP».

Откроется еще одно окно, в котором напротив нашего компьютера нужно поставить галочку, и нажать на кнопку «Добавить клиентов». Наш компьютер появится снизу, в разделе «Клиенты уже зарезервированы». Нам понадобится IP-адрес, который указан в таблице, в поле «Назначить IP-адрес». Запомните его. Это статический адрес, который роутер всегда будет выдавать для этого компьютера.

Нажмите на кнопку «Сохранить настройки».

Переходим к переадресации портов

Перейдите на вкладку «Приложения & Игры». Если нам нужно открыть только один порт, то перейдите на вкладку «Переадресация одного порта». Там есть два варианта.

Есть несколько полей, где можно просто выбрать нужный протокол (telnet, FTP, DNS, TFTP и т. д.), и роутер сам подставит нужные порты. Как внешний, так и внутренний. Нам нужно только задать IP-адрес нашего компьютера (который мы резервировали выше) в поле «Для IP-адреса», и поставить галочку в поле «Включить». Ну и не забудьте сохранить настройки в самом низу, нажав на кнопку «Сохранить настройки».

Если вам нужно задать настройки вручную, то ниже в одном из полей достаточно задать имя приложения (произвольное, для которого вы выполняете настройки), дальше задать внешний и внутренний порт, выбрать проколол TCP, или UDP (можно оба), прописать IP-адрес компьютера, и поставить галочку «Включить».

Сохраняем настройки, и все готово. Смотрите скриншот для примера.

С этим разобрались. Но, часто бывает, когда нужно открыть не один порт, а диапазон портов.

Для этого открываем вкладку «Приложения & Игры» – «Переадресация диапазона портов».

Точно так же задаем название для приложения, выбираем протокол, указываем IP-адрес компьютера для которого настраиваем, и ставим галочку «Включить». Только здесь нам нужно указать уже не внешний и внутренний порт, а начальный и конечный. Смотрим скриншот:

Не забудьте нажать на кнопку «Сохранить настройки» снизу страницы.

Но это еще не все. Нам нужно этот диапазон внешних портов перенаправить на внутренние порты. Для этого откройте вкладку «Переключение диапазона портов».

Там нам нужно снова же указать имя, затем указать диапазон портов который хотим пробросить (которые задавали выше), и указываем диапазон портов на который нужно их перенаправить. Ставим галочку в поле «Включить», и сохраняем настройки.

На этом все. Если что, пишите в комментариях.

Как настроить сервисы трансляции адресов NAT на маршрутизаторе Cisco

Рассмотрим как настроить сервисы трансляции адресов NAT (Network Address Translation) на маршрутизаторе Cisco. Исследуемая топология состоит из маршрутизатора (Cisco 1941 с образом Cisco IOS Release 15.2 IP Base), коммутатора Cisco Catalyst2960 с операционной системой Cisco IOS версии15.0(2) (образ lanbasek9). Допускается использование коммутаторов и маршрутизаторов других моделей, а также других версий операционной системы Cisco IOS. В зависимости от модели устройства и версии Cisco IOS доступные команды и результаты их выполнения могут отличаться от тех, которые показаны в этой статье.

 

Схема топологии следующая:

 

 

Сценарий

По сценарию Интернет-провайдер выдает публичный IP-адрес (и маршрут по умолчанию) компании Example.com по DHCP. Администратору сети компании необходимо настроить трансляцию сетевых адресов из внутренней локальной сети Example-LAN во внешнюю так, чтобы все узлы получали равноценный доступ в Интернет. Сложность заключается в том, что публичный адрес, выданный Интернет-провайдером, может меняться в зависимости от настроек DHCP на стороне провайдера. Поэтому для настройки сервиса трансляции был выбран вариант PAT (NAT overload, NAT с перегрузкой) с использованием выходного интерфейса.

Кроме того, в сети присутствует веб-сервер, который должен быть доступен из публичной сети. Для перенаправления трафика из публичной сети, предназначенного веб-серверу, в статье будет показана настройка проброса портов.

 

Краткие сведения о сервисе NAT

 

Все публичные IPv4-адреса, подключаемые к Интернету, должны быть зарегистрированы у регионального регистратора Интернета (RIR). Организации могут арендовать общедоступные адреса у поставщика услуг. Зарегистрированный владелец общедоступного IP-адреса может назначить этот адрес сетевому устройству.

Теоретически максимально допустимое количество IPv4-адресов составляет 4,3 миллиарда, что жестко ограничивает адресное пространство IPv4. Когда в 1981 году Боб Кан (Bob Kahn) и Винт Серф (Vint Cerf) разработали пакет протоколов TCP/IP, включая IPv4, они не имели представления о том, во что превратится Интернет. В то время персональный компьютер был диковинкой для заинтересованных, а до появления интернет-пространства, «Всемирной паутины» (World Wide Web), оставалось еще более десятка лет.

С распространением персональных компьютеров и наступлением эры интернет-пространства стало очевидно, что 4,3 миллиарда IPv4-адресов будет недостаточно. Долгосрочным решением стало появление протокола IPv6, однако наряду с этим потребовались более быстрые способы устранения проблемы исчерпания адресного пространства. Организация IETF разработала ряд краткосрочных решений, в том числе преобразование (NAT) и частные IPv4-адреса в соответствии с RFC 1918.

Существует несколько видов NAT:

• статический NAT;
• динамический NAT;
• PAT (Port Address Translation), также называемый NAT overload;
• перенаправление (проброс) портов Port Forwarding.

 

Задачи

• Сделать базовые настройки маршрутизатора.
• Настроить PAT.
• Настроить перенаправление (проброс) портов.

 

Базовые настройки маршрутизатора Edge

hostname Edge

no ip domain lookup

line con 0
exec-timeout 0 0
logging synchronous
exit

interface GigabitEthernet0/0
ip address dhcp
no shutdown
exit

interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit

ip dhcp excluded-address 192.168.1.1 192.168.1.10

ip dhcp pool Example-LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 8.8.8.8
exit

 

 

Настройки PAT на маршрутизаторе Edge

access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface GigabitEthernet0/0 overload

interface GigabitEthernet0/0
ip nat outside
exit

interface GigabitEthernet0/1
ip nat inside
exit

 

Настройки перенаправления (проброс) портов на маршрутизаторе Edge

На одном из компьютеров во внутренней сети развернут веб-сервер и ему присвоен статический адрес.

Для того, чтобы http-запросы проходили из внешней сети на веб-сервер, необходимо на маршрутизаторе Edge сделать следующие настройки:

ip nat inside source static tcp 192.168.1.2 80 interface GigabitEthernet0/0 80

 

Спасибо за уделенное время на прочтение статьи о том, как настроить сервисы трансляции адресов NAT на маршрутизаторе Cisco!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ)

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.

Что Вы получите?

• Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
• Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
• Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.

Как проходит обучение?

• Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
• Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
• Если хотите индивидуальный график — обсудим и осуществим.
• Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.

А еще поможем Вам:

• отредактировать резюме;
• подготовиться к техническим интервью;
• подготовиться к конкурсу на понравившуюся вакансию;
• устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.

Опубликовано: 15:00, 10 февраля, 2020.Обновлено: 17:18, 30 октября, 2020.

Больше похожих постов

настройка интерфейсов, NAT с overloading (PAT), проброс порта/адреса – Twistedminds

Имеет место быть следующая топология:

в кошку вставлен HWIC-4ESW, что по сути представляет из себя 4х портовый l2 свич, который одним портом смотрит в локальную сеть. Интерфейс fa0/0 смотрит в интернет.

В режиме глобальной конфигурации включим ускоренную коммутацию пакетов (cef, Cisco Express Forwarding) назначим маски, ip и напишем описание к интерфейсам, а так же пропишем маршрут по умолчанию (next-hop router):

CoreRouter#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CoreRouter(config)#ip cef
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip address 1.1.1.1 255.255.255.0
CoreRouter(config-if)#description TO BIG AND SCARY INTERNET
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip address 192.168.0.254 255.255.255.0
CoreRouter(config-if)#description TO NICE AND COOL LAN
CoreRouter(config-if)#exit
CoreRouter(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2

Теперь настроим простой NAT, обозначив интерфейсы либо как смотрящие в локальную сеть (ip nat inside), либо как смотрящие в WAN (ip nat outside).

для извращенных случаев, когда необходимо, чтобы один и тот же интерфейс был и inside и outside см. ip nat enable и NVI

Затем создадим пул NAT адресов и ACL (более подробно в части 3) для сетей, которым разрешены NAT трансляции.

CoreRouter#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CoreRouter(config)#int fa0/0
CoreRouter(config-if)#ip nat outside
CoreRouter(config-if)#int vlan 1
CoreRouter(config-if)#ip nat inside
CoreRouter(config-if)#exit
! создадим стандартный ACL, разрешающий подсеть для трансляции нат
CoreRouter(config)#access-list 10 permit 192.168.0.0 0.0.0.255
! создадим пул WAN адресов
CoreRouter(config)#ip nat pool WANPOOL 1.1.1.1 1.1.1.1 netmask 255.255.255.0
! и заставим кошку транслировать адреса из разрешенных в ACL сетей в наш пул
CoreRouter(config)# ip nat inside source list 10 pool WANPOOL overload

Проброс порта делается следующим образом:

CoreRouter(config)#ip nat inside source static tcp 192.168.0.2 110 1.1.1.1 110 extendable

а всего адреса (в случае если у вас несколько внешних ip):

CoreRouter(config)#ip nat inside source static 192.168.0.2 1.1.1.1 extendable

вот, собственно и все.

Статистику по NAT можно посмотреть, подав в enable exec команду sh ip nat sta, а активные трансляции – sh ip nat tra.

Сетевой порт, проверка и проброс

После установки файлов Моби-С необходимо настроить сетевой обмен. Самая большая трудность это настройка так называемого проброса портов. Обычно интернет в организациях раздается каким либо оборудованием (модем или роутер), либо отдельным компьютером в роли интернет сервера. Для работы Моби-С требуется осуществить перенаправление данных из интернета на ваш внешний IP адрес по заданному порту — на компьютер где запущена Моби-С. Это перенаправление и называется «проброс порта».

Внешний статический IP адрес — это ваш адрес в сети Интернет, позволяющий идентифицировать ваш компьютер в глобальной сети.

Что такое порт и где его изменить?

Разберем наиболее сложный вариант организации сети. Роутер (модем) подключен интернету, после роутера стоит сервер который, отвечает за раздачу интернета в сеть организации.

 

Настройка на компьютере

После запуска Моби-С серверна компонента открывает порт (для примера мы выбрали порт 1235) и начинает ждать поступления данных. Необходимо  настроить правила, для встроенного брандмауэра либо сторонней программы выполняющей функцию защиты сетевых обменов (фаервол) для работы с этим портом. Фаервол или антивирус может автоматически запретить обмен по не авторизованному порту.  Мы рассмотрим настройки только стандарного брандмауэра для систем Windows XP и Windows 7.

Windows XP

Пуск – Панель управления — Сеть и подключение к интернету – Изменение параметров брандмауэра Windows. Добавляем два правила для порта 1235 для протоколов TCP и UDP порт один и тот же. Названия у правил должны отличаться. Тот же эффект можно получить выполнив две команды, вызвать строку выполнить можно комбинацией клавиш WIN+R, вставить и выполнить по очереди обе команды.

netsh firewall add portopening TCP 1234 «Моби-С TCP 1234»
netsh firewall add portopening UDP 1234 «Моби-С UDP 1234»

Windows 7

Для Windows 7 и 8 Команды имеют немного другой вид. Данную команду (открыть порт для входящих данных) надо выполнять  в консоли запущенной с правами администратора.

netsh advfirewall firewall add rule name=»Моби-С TCP 1234″ protocol=TCP dir=in localport=1234 action=allow
netsh advfirewall firewall add rule name=»Моби-С UDP 1234″ protocol=UDP dir=in localport=1234 action=allow

Настройка на сервере

Если у вас стоит сервер отвечающий за раздачу интернета в офисе, то на нем необходимо настроить перенаправление портов, к сожалению в данной статье мы не можем охватить то множество программ которые могут использоваться на вашем сервере, но называться правила могут port forwarding либо virtual server. Если у вас есть администратор то он разберется с данной задачей.

Настройка роутера

И последний этап, это настройка роутера (модема). На примере трех устройств ASUS RT-N13U, Linksys E4200, TL-MR3020. Как попасть на страницу настроек (админку) каждого из устройств написано в инструкции к устройству.

ASUS RT-N13U

Переходим в админку роутера, ASUS RT-N13U.
Выбрать меню «WAN» и перейти вверху на закладку «Виртуальный сервер».

Добавить два правила (по одному на каждый протокол, TCP и UDP) указать порт и локальный IP адрес компьютера на котором установлена Моби-С. Не забываем нажать применить и перезапустить роутер.
На этом настройка закончена.

Linksys E4200

Переходим в админку роутера, Linksys E4200.
Выбираем пункт «Приложения&Игры».  Далее пункт «Переадресация одного Порта».

Добавляем два правила для порта 1234 (либо ваш порт) в двух полях, далее вбираем протокол TCP и второе аналогичное правило для протокола UDP. Выглядеть это должно приблизительно так. И не забываем ставить, галочки в столбце включено, затем сохранить.

TL-MR3020

Переходим в админку роутера, TL-MR3020.
Выбираем пункт меню «Forwarding»,  далее  подменю «Virtual Servers».

Добавить правило нажав кнопку «Add New» Указать порт 1235, IP адрес компьютера Протокол All статус Enable, не забываем нажать «Save».

Перезапускаем устройство, настройка закончена.

Если все настройки выполнены верно требуется проверка открыт порт или нет.
Для этого запускаем 1C открываем модуль интеграции Моби-С. Переходим на сайт http://ping.eu/port-chk/ либо любой другой обеспечивающий сервис проверки портов на открытость.
Вверху страницы будет ваш внешний IP адрес, если на него кликнуть мышкой то он автоматически попадет в поле IP address or host name: в поле Port number: надо указать порт (внешний) в нашем случае 1235 и нажать кнопку GO.

Если все после проверки появится надпись open то все настройки выполнены верно и можно приступать к настройке мобильной части.

 

Настройка перенаправления портов / запуска портов / NAT на маршрутизаторах серии RV34x

Настройка перенаправления портов / запуска портов / NAT на маршрутизаторах серии RV34x

Цель

Объясните цель переадресации портов и запуска портов и предоставьте инструкции по настройке этих функций на ваш маршрутизатор серии RV34x.

• Сравнение перенаправления портов и запуска портов
• Настройка переадресации портов и запуска портов
• Настройка трансляции сетевых адресов (NAT)

Применимые устройства

Версия программного обеспечения

Сравнение перенаправления портов и запуска портов

Эти функции позволяют некоторым пользователям Интернета иметь доступ к определенным ресурсам в вашей сети, одновременно защищая ресурсы, которые вы хотите сохранить в тайне.Некоторые примеры использования: хостинг веб-серверов / серверов электронной почты, сигнализация и камеры видеонаблюдения (для отправки видео на внешний компьютер). Переадресация портов открывает порты в ответ на входящий трафик для указанной службы.

Список этих портов и их описание настраиваются при вводе информации в Service Management. раздел мастера настройки. Когда вы их настраиваете, вы не можете использовать один и тот же номер порта для обоих портов. пересылка и запуск порта.

Перенаправление портов

Переадресация портов — это технология, которая обеспечивает общий доступ к службам на сетевых устройствах в локальной сети. Сеть (LAN) путем открытия определенного порта для службы в ответ на входящий трафик. Это гарантирует, что пакеты имеют четкий путь к предполагаемому месту назначения, что позволяет увеличить скорость загрузки и снизить задержка. Это установлено для одного компьютера в вашей сети. Вам необходимо добавить IP-адрес конкретного компьютера и это не может измениться.

Это статическая операция, которая открывает определенный диапазон портов, который вы выбираете, и не изменяется. Это может повышают риск безопасности, поскольку настроенные порты всегда открыты.

Представьте, что на этом порту всегда открыта дверь для того устройства, которое ему было назначено.

Запуск порта

Запуск порта аналогичен переадресации порта, но немного более безопасен. Разница в том, что порт триггера не всегда открыт для этого конкретного трафика.После того, как ресурс в вашей локальной сети отправит исходящий трафик через триггерный порт, маршрутизатор прослушивает входящий трафик через указанный порт или диапазон портов. Активированные порты закрывается, когда нет активности, что повышает безопасность. Еще одно преимущество состоит в том, что на более чем одном компьютере ваша сеть может получить доступ к этому порту в разное время. Следовательно, вам не нужно знать IP-адрес компьютер, который запустит его заранее, он сделает это автоматически.

Представьте, что вы даете кому-то пропуск, но там есть швейцар, который проверяет ваш пропуск каждый раз, когда вы входите, и затем закрывает дверь, пока не появится следующий человек с пропуском.

Настройка переадресации портов и запуска портов

Перенаправление портов

Чтобы настроить переадресацию портов, выполните следующие действия:

Шаг 1. Войдите в утилиту веб-конфигурации. Введите IP-адрес маршрутизатора в строку поиска / адреса. Браузер может выдать предупреждение о том, что веб-сайт не является надежным. Перейти на сайт. Для получения дополнительных указаний с этот шаг, нажмите здесь.

Введите имя пользователя и пароль для маршрутизатора и нажмите Журнал I n .Имя пользователя по умолчанию и пароль — cisco.

Шаг 2. В главном меню слева Щелкните Брандмауэр> Перенаправление портов

В таблице переадресации портов щелкните Добавить или выберите строку и щелкните Изменить , чтобы настроить следующий:

Внешняя служба	Выберите внешнюю службу из раскрывающегося списка.(Если услуги нет в списке, вы можете добавить или измените список, следуя инструкциям в разделе «Управление услугами».)
Внутренняя служба	Выберите внутреннюю службу из раскрывающегося списка. (Если услуги нет в списке, вы можете добавить или измените список, следуя инструкциям в разделе «Управление услугами».)
Внутренний IP-адрес	Введите внутренние IP-адреса сервера.
Интерфейсы	Выберите интерфейс из раскрывающегося списка, чтобы применить переадресацию портов.
Статус	Включение или отключение правила переадресации портов.

Например, компания размещает веб-сервер (с внутренним IP-адресом 192.0.2.1) в своей локальной сети. Порт может быть включено правило пересылки для HTTP-трафика. Это позволит запросы из Интернета в этот сеть.Компания устанавливает номер порта 80 (HTTP) для перенаправления на IP-адрес 192.0.2.1, затем все HTTP запросы от внешних пользователей будут перенаправлены на 192.0.2.1. Он настроен для этого конкретного устройства в сеть.

Шаг 3. Щелкните Управление услугами

В таблице услуг щелкните Добавить или выберите строку и щелкните Изменить и настройте следующее:

• Имя приложения — Название службы или приложения
• Протокол — обязательный протокол.См. Документацию к службе, на которой размещается
.
• Начало порта / Тип ICMP / IP-протокол — Диапазон номеров портов, зарезервированных для этой службы
• Конец порта — Последний номер порта, зарезервированного для этой службы

Шаг 4. Щелкните Применить

Запуск порта

Чтобы настроить запуск порта, выполните следующие действия:

Шаг 1. Войдите в утилиту веб-конфигурации . В главном меню слева щелкните Брандмауэр > Запуск порта

Шаг 2. Чтобы добавить или отредактировать службу в таблицу запуска портов, настройте следующие параметры:

Название приложения	Введите название приложения.
Триггерная служба	Выберите услугу из раскрывающегося списка.(Если службы нет в списке, вы можете добавить или изменить список, следуя инструкциям в разделе Управление услугами.)
Входящая служба	Выберите услугу из раскрывающегося списка. (Если службы нет в списке, вы можете добавить или изменить список, следуя инструкциям в разделе «Управление услугами».)
Интерфейсы	Выберите интерфейс из раскрывающегося списка.
Статус	Включение или отключение правила запуска порта.

Щелкните Добавить (или выберите строку и щелкните Изменить ) и введите следующую информацию:

Шаг 3.Щелкните Управление службами , чтобы добавить или отредактировать запись в списке служб.

В таблице услуг щелкните Добавить или Изменить и настройте следующее:

• Имя приложения — Название службы или приложения
• Протокол — обязательный протокол. См. Документацию к службе, на которой размещается
.
• Начало порта / Тип ICMP / IP-протокол — Диапазон номеров портов, зарезервированных для этой службы
• Конец порта — Последний номер порта, зарезервированного для этой службы

Шаг 4.Нажмите Применить

Преобразование сетевых адресов

Трансляция сетевых адресов (NAT) позволяет частным IP-сетям с незарегистрированными IP-адресами подключаться к публичная сеть. Это обычно настраиваемый протокол в большинстве сетей. NAT переводит частные IP-адреса внутренней сети на общедоступные IP-адреса до того, как пакеты будут перенаправлены в общедоступную сеть. Это позволяет большое количество хостов во внутренней сети для доступа в Интернет через ограниченное количество общедоступных IP-адресов адреса.Это также помогает защитить частные IP-адреса от любых злонамеренных атак или обнаружений, поскольку частные IP-адреса скрыты.

Чтобы настроить NAT, выполните следующие действия.

Шаг 1. Щелкните Firewall > Преобразование сетевых адресов

Шаг 2. В таблице NAT отметьте Включить NAT для каждого применимого интерфейса в списке, чтобы включить

Шаг 3. Нажмите Применить

Вы успешно настроили переадресацию портов, запуск портов и NAT.

Другие ресурсы

• Для настройки статического NAT щелкните здесь
• Чтобы получить ответы на многие вопросы о маршрутизаторах, включая серию RV3xx, нажмите здесь.
• Чтобы получить ответы на часто задаваемые вопросы о серии RV34x, нажмите здесь
• Для получения дополнительной информации о RV345 и RV345P щелкните здесь
• Для получения дополнительной информации о настройке управления службами в серии RV34x щелкните здесь

Маршрутизаторы Cisco

— перенаправление портов

КБ ID 0000533

Задача

Если у вас есть сервер или хост, который вы хотите сделать общедоступным, и у вас есть только один общедоступный IP-адрес, тогда вам потребуется перенаправление портов.

Решение

Допущения

1. У вас есть общедоступный IP-адрес за пределами вашего маршрутизатора.

2. Вы выполняете NAT со своего внутреннего диапазона IP-адресов на внешний IP-адрес.

Чтобы убедиться

1. Выполните следующую команду:

PetesRouter # show run | включить ip nat внутри

Вы должны увидеть строку, например,

ip nat внутри списка источников 101 интерфейс Dialer0 перегрузка

2. Это означает, что весь трафик, к которому применяется список доступа 101, преобразуется в Dialer0 (это ADSL-маршрутизатор и это внешний интерфейс).Чтобы узнать, какой трафик находится в списке доступа 101, введите следующую команду:

PetesRouter # show run | включить список доступа 101

Вы должны увидеть строку, например,

список доступа 101 разрешение ip 10.10.0.0 0.0.255.255 любой

3. Это означает разрешение (применение этого ACL) ко всему трафику с 10.10.0.0/16 куда угодно. Таким образом, он настроен на NAT для всего трафика из внутренней сети во внешнюю сеть.

4. Наконец, чтобы узнать, какой IP у вашего Dialer0, введите следующую команду:

PetesRouter # показать краткое описание интерфейса IP | исключить неназначенный

Вы должны увидеть что-то вроде этого

Теперь мы знаем весь трафик с 10.10.0.0 / 24 (Весь внутренний трафик) будет преобразован NAT в 123.123.123.123

Настройка перенаправления портов

В этом случае я перенаправляю порт TCP 443 (HTTPS) и порт TCP 25 (SMTP) на внутренний сервер (10.10.0.1).

1. Сначала настройте статические трансляции NAT.

 PetesRouter # ip nat inside source static tcp 10.10.0.1 443 123.123.123.123 443 расширяемый
PetesRouter # ip nat inside source static tcp 10.10.0.1 25 123.123.123.123 расширяемый
ИЛИ Если вы используете общедоступный DHCP-адрес

PetesRouter # ip nat внутри исходного статического tcp 10.10.0.1 443 интерфейс Dialer0 443
PetesRouter # ip nat inside source static tcp 10.10.0.1 25 interface Dialer0 25 

2. Во-вторых, остановите преобразование этого трафика в NATTED со всем остальным.

 PetesRouter # access-list 101 deny tcp host 10.10.0.1 eq 443 any
PetesRouter # access-list 101 deny tcp host 10.10.0.1 eq 25 any 

3. Сохраните изменения с помощью «copy run start», затем нажмите Enter, чтобы получить доступ к имени по умолчанию для начальной конфигурации:

.

 PetesRouter # copy run start
Имя файла назначения [конфигурация запуска]?
Конфигурация здания...
[OK]
PetesRouter # 

Настроить переадресацию портов и ограничить ее IP-адресом или сетью

Для таких вещей, как HTTPS и SMTP, вы можете захотеть, чтобы они были доступны из любого места, но вы можете заблокировать доступ для чего-то вроде RDP (TCP-порт 3389), если это так, вам необходимо сделать следующее.

1. Создайте новый ACL, который разрешает трафик от вас, но запрещает его от всех остальных (не забудьте поставить в конце разрешение allow).

 PetesRouter # список доступа 199 разрешить хост tcp 234.234.234.234 хост 123.123.123.123 экв 3389
PetesRouter # access-list 199 deny tcp any host 123.123.123.123 eq 3389
PetesRouter # access-list 199 разрешить ip любой любой 

Примечание : Чтобы сеть могла заменить первую строку на,

PetesRouter # access-list 199 allow tcp 234.234.234.232 0.0.0.7 host 123.123.123.123 eq 3389

Примечание : Маршрутизаторы Cisco используют инвертированные маски, поэтому 234.234.234.232 0.0.0.7 равно 234.234.234.232 255.255.255.248 (или / 29)

2.Затем (как в примере выше) создайте статическую трансляцию NAT.

PetesRouter # ip nat inside source static tcp 10.10.0.1 3389 123.123.123.123 3389 расширяемый

3. Затем (как в примере выше) исключите этот трафик из списка контроля доступа NAT по умолчанию.

PetesRouter # access-list 101 deny tcp host 10.10.0.1 eq 3389 any

4. Наконец, примените ACL, который вы создали для входящих подключений на интерфейсе Dialer0.

 PetesRouter # настроить терминал
Введите команды конфигурации, по одной в каждой строке.Закончите CNTL / Z.
PetesRouter (config) # интерфейс Dialer0
PetesRouter (config-if) #ip access-group 199 в
PetesRouter (config-if) # выход
PetesRouter # 

5. Сохраните изменения с помощью «copy run start», затем нажмите Enter, чтобы получить доступ к имени по умолчанию для начальной конфигурации:

.

 PetesRouter # copy run start
Имя файла назначения [конфигурация запуска]?
Конфигурация здания ...
[OK]
PetesRouter # 

Статьи по теме, ссылки, источники или внешние ссылки

Перенаправление портов Cisco PIX / ASA

Перенаправление портов в маршрутизаторе Cisco

Вы абсолютно можете выполнять преобразование сетевых адресов на 2900.

У Cisco есть общедоступный документ здесь: http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digital-subscriber-line-xdsl/asymmetric-digital-subscriber- line-adsl / 12905-827spat.html

Я не уверен, что вы будете делать с пересылкой 5000 и 6000 в сеть, но я полагаю, что это их дело. Однако было бы полезно, если бы мы знали, чего они пытаются достичь.

Я никогда не использовал графический интерфейс для настройки маршрутизатора IOS. Я предлагаю использовать CLI.Команда:

  роутер #sh ip int br
  

перечислит ваши интерфейсы и поможет определить, что внутри, а что снаружи.

Отредактируйте свой внутренний интерфейс, добавив строку ip nat внутри

  маршрутизатор #conf t
маршрутизатор (конфигурация) #int gi0 / 1
router (config-if) #ip nat внутри
маршрутизатор (config-if) #
  

Сделайте то же самое с внешним интерфейсом, но убедитесь, что вы сообщили маршрутизатору, что это внешний интерфейс NAT.

  роутер (config-if) #int gi0 / 0
router (config-if) #ip nat снаружи
router (config-if) #end
маршрутизатор (конфигурация) #
  

Сообщите маршрутизатору, что вы хотите NAT со списком доступа

  router (config) #ip nat inside source list 101 interface gi0 / 0 overload (перегрузка интерфейса gi0 / 0).
  

Создайте список доступа.Если вы хотите указать порт, необходим расширенный список доступа.

  router (config) #ip access-list extended 101
router (config-ext-nacl) # разрешить tcp any eq 6000 host 1.2.3.4 eq 6000
  

РЕДАКТИРОВАТЬ

Я буду использовать 1.2.3.4 в качестве общедоступного IP-адреса сервера на интернет-стороне маршрутизатора. Убедитесь, что вы определили IP-адрес биометрического устройства … В приведенном выше примере я поставил «любой», но это всего лишь пример. Я предпочитаю не использовать «любой», если это вообще возможно.

Если TCP:

  router #permit tcp host 172.16.32.250 eq 5000 host 1.2.3.4 eq 5000
маршрутизатор # разрешить хост tcp 172.16.32.250 eq 6000 host 1.2.3.4 eq 6000
  

Если UDP:

  router #permit udp host 172.16.32.250 eq 5000 host 1.2.3.4 eq 5000
маршрутизатор # разрешить хост udp 172.16.32.250 eq 6000 host 1.2.3.4 eq 6000
  

КОНЕЦ РЕДАКТИРОВАНИЯ

После разрешения вы можете указать протокол (TCP, UDP, ICMP, ESP и т. Д.) Или все, что есть с IP.Вы можете использовать хост и IP или IP-адрес + маску подсети.

  маршрутизатор (config-if) #end
router #copy run start
  

Cisco ECP3940ADL Router Port Forwarding Guide

Маршрутизаторы Cisco ECP3940ADL включают в себя очень простой межсетевой экран, который помогает защитить вашу домашнюю сеть от нежелательного доступа из Интернета. Поскольку этот брандмауэр блокирует входящие соединения, вам может потребоваться , чтобы открыть через него порт для определенных игр и приложений. Этот процесс открытия порта часто называют портом и переадресацией , поскольку вы перенаправляете порт из Интернета в свою домашнюю сеть.

Базовый процесс открытия порта:

1. Установите статический IP-адрес на вашем компьютере или устройстве, на которое вы хотите перенаправить порт.
2. Войдите в свой маршрутизатор Cisco ECP3940ADL.
3. Перейдите в раздел переадресации портов.
   • Щелкните ссылку Приложения и игры .
   • Нажмите Переадресация диапазона портов .
4. Создайте запись переадресации порта .

Хотя сначала эти шаги могут показаться сложными, мы проведем вас через каждый шаг для вашего маршрутизатора Cisco ECP3940ADL.

Мы думаем, что переадресация порта должна быть простой. Вот почему мы создали Сетевые утилиты. Наше программное обеспечение делает все, что вам нужно для перенаправления порта.

Начать сейчас!

Когда вы используете сетевые утилиты, ваш порт перенаправляется прямо сейчас!

Шаг 1

Важно настроить статический IP-адрес на устройстве, на которое вы перенаправляете порт. Это гарантирует, что ваши порты останутся открытыми даже после перезагрузки устройства.

После настройки статического IP-адреса на ваших устройствах вам необходимо войти в свой маршрутизатор.

Шаг 2

Теперь мы собираемся войти в ваш маршрутизатор Cisco ECP3940ADL. У вашего маршрутизатора есть веб-интерфейс, поэтому вы войдете в него с помощью веб-браузера. Это может быть Chrome, Firefox, Internet Explorer или Edge. Обычно не имеет значения, какой браузер вы решите использовать.

Откройте веб-браузер и найдите адресную строку . Должно получиться примерно так:

Адресная строка браузера

Выше показан пример того, как выглядит адресная строка веб-браузера.Найдите адресную строку в вашем маршрутизаторе и введите IP-адрес вашего маршрутизатора.

IP-адрес Cisco ECP3940ADL по умолчанию: 192.168.0.1

После ввода IP-адреса вашего роутера вы можете просто нажать Enter. Если все пойдет хорошо, вы увидите следующий экран:

Снимок экрана входа в систему Cisco ECP3940ADL.

Вы должны увидеть окно с запросом вашего имени пользователя и пароля.

• Имя пользователя маршрутизатора Cisco ECP3940ADL по умолчанию: неизвестно
• Пароль маршрутизатора Cisco ECP3940ADL по умолчанию: неизвестно

Введите свое имя пользователя и пароль, а затем нажмите кнопку Login , чтобы войти в свой маршрутизатор Cisco ECP3940ADL.

Имена пользователей и пароли Cisco

Если ваше имя пользователя и пароль не работают, посетите нашу страницу Пароли маршрутизатора Cisco по умолчанию .

Если вы по-прежнему не можете войти в свой маршрутизатор, потому что вы забыли имя пользователя и пароль маршрутизатора Cisco ECP3940ADL, воспользуйтесь нашим руководством Как сбросить пароль маршрутизатора , чтобы вернуть маршрутизатор Cisco ECP3940ADL к заводским настройкам.

Шаг 3

Теперь нам нужно найти в вашем роутере секцию переадресации портов .Вот как это сделать. Начиная с первой страницы в вашем роутере:

Снимок экрана быстрой настройки Cisco ECP3940ADL.

Щелкните ссылку Applications & Gaming в верхней части страницы.

Теперь вы должны увидеть новое меню. В этом новом меню нажмите Переадресация диапазона портов .

Снимок экрана переадресации диапазона портов Cisco ECP3940ADL.

Шаг 4

Вот порты для пересылки для Xbox Live :

• Порты TCP: 3074
• UDP-порты: 3074

Если вы ищете порты для другого приложения, вы можете найти его по:

Если вы перенаправляете диапазон портов, вам необходимо ввести наименьший номер диапазона в поля External Start Port и Internal Start Port , а наибольший номер диапазона — в поля External End Port и . Коробки с внутренним портом .Если вы перенаправляете только один порт, вы можете ввести тот же номер порта в поля External Start Port , External End Port , Internal Start Port и Internal End Port .

Введите IP-адрес, на который вы перенаправляете порты, в поле Internal IP Address . Это либо IP-адрес компьютера, либо IP-адрес другого устройства в вашей сети.

Используйте раскрывающийся список Протокол для выбора типа протокола перенаправляемых портов.

Поставьте галочку в поле Включить .

Когда вы закончите, нажмите Сохранить в нижней части экрана, чтобы сохранить изменения.

Проверьте, открыты ли ваши порты

Теперь, когда вы перенаправили порты на Cisco ECP3940ADL, вы должны проверить, правильно ли перенаправлены ваши порты.

Чтобы проверить, правильно ли перенаправлен ваш порт, вы можете использовать наш инструмент Network Utilities , который включает бесплатную программу проверки открытых портов.Наш инструмент проверки открытых портов — единственный инструмент онлайн-проверки портов с гарантированными результатами .

Скриншоты для маршрутизатора Cisco ECP3940ADL

У нас также есть самая большая в Интернете коллекция из снимков экрана маршрутизатора .

Как настроить переадресацию портов на Cisco ASA

В этой статье объясняется, как настроить переадресацию портов на Cisco ASA и функции преобразования внешних сетевых адресов (NAT) в версии 9 программного обеспечения адаптивного устройства безопасности (ASA).x и выше с использованием интерфейса командной строки.

Как настроить переадресацию портов на Cisco ASA

Знание того, как настроить переадресацию портов на Cisco ASA, помогает во многих сценариях, когда требуется доступ к внутренним системам, таким как CCTV, или даже к какой-либо системе для администрирования через общедоступное облако. Следует соблюдать осторожность при реализации перенаправления портов через общедоступное облако во внутренние системы. VPN всегда является безопасным способом, но если вам действительно нужно настроить переадресацию портов на Cisco ASA для системы видеонаблюдения, которая необходима в общедоступном домене, эта статья, несомненно, пригодится.

Как настроить переадресацию портов на Cisco ASA LAB

Предварительные требования Настройка области DNS и DHCP для частной сети

!
адрес dhcpd 192.168.1.100-192.168.1.200 частная сеть
dhcpd dns 213.120.234.22 213.120.234.34 интерфейс частная сеть
dhcpd включить частную сеть
!
 

Шаг 1 Настройка внутри сети

!
интерфейс GigabitEthernet1 / 1
 описание "Внутренний сетевой интерфейс LAN"
 nameif частная сеть
 
  Шаг 2  Настройка внешней сети 
 
!
интерфейс GigabitEthernet1 / 8
 имяесли снаружи
 уровень безопасности 0
 IP-адрес 213.200.44.1 255.255.255.252
!
 
  Настройка преобразования сетевых адресов 
nat (частная сеть, внешняя) динамический интерфейс
 
  Шаг 3  Настройка объектов сетевого адреса
объектная сеть LAN-AP
хост 192.168.1.100

объектная сеть LAN-LTP
хост 192.168.1.102
 
  Шаг 4  Настройка перенаправления портов
объектная сеть LAN-AP
nat (частная сеть, внешняя) служба статического интерфейса tcp www 8080

объектная сеть LAN-LTP
 nat (частная сеть, внешняя) служба статического интерфейса tcp 3389 8090
 
  Шаг 5  Настройка списка доступа
список доступа входящее расширенное разрешение tcp любой объект LAN-AP eq www
список доступа входящее расширенное разрешение tcp любой объект LAN-LTP eq 3389
 
  Шаг 7  Применить список доступа к интерфейсу
входящая группа доступа во внешнем интерфейсе
 
  Шаг 7  Тестовый список доступа
вход пакетного трассировщика внутри tcp 192.168.0.100 80 213.200.44.1 80
вход трассировщика пакетов внутри tcp 192.168.0.102 3389 213.200.44.1 8090
 
 Вам также может понравиться: 
 Как настроить NAT на Cisco и VyOS
 Cisco имеет обширный ресурс по теме: 
 Другие приложения переадресации портов
 

Безопасные шаги для перенаправления портов Cisco DPC3941B

Переадресация портов не работает на Cisco DPC3941B?

Вы пытались согнуть колени, но по-прежнему сталкиваетесь с проблемой переадресации портов на Cisco DPC3941B? Что ж, есть причина, по мнению Мудрецов: «Противоположность сети не работает».Итак, для того, чтобы заставить его работать, требуется несколько проб и ошибок. Здесь давайте рассмотрим типичные проблемы и проблемы с переадресацией портов на маршрутизаторе Cisco DPC3941B и способы их устранения.

1. Вы можете использовать более одного маршрутизатора

Чаще всего ваш компьютер подключается к домашнему маршрутизатору (Cisco DPC3941B), который затем подключается к маршрутизатору вашего интернет-провайдера перед подключением к Интернету (переадресация портов через 2 маршрутизатора).Чтобы узнать это, войдите в свой маршрутизатор Cisco DPC3941B и проверьте IP-адрес на странице состояния. Если он не совпадает с вашим внешним IP-адресом (должен помочь быстрый поиск в Google по запросу «what is my IP»), то ваш Cisco DPC3941B не является маршрутизатором с выходом в Интернет. В этом случае вам может потребоваться войти в первый маршрутизатор и включить DMZ для IP-адреса второго маршрутизатора (Cisco DPC3941B).

2. Включили ли вы статический IP-адрес на своих устройствах, которые запрашивают переадресацию порта, на маршрутизаторе Cisco DPC3941B

Да, здесь мы повторяем шаг, который мы знаем, но вы уверены, что это необходимо.Если ваш IP-адрес меняется каждый раз, когда вы перезагружаете компьютер / консоль, это означает, что настройки сети по-прежнему настроены динамически. Выполните шаг 1 в этом руководстве, перезагрузите устройство и убедитесь, что IP-адрес не изменился. Теперь ты в порядке. (В некоторых случаях, хотя статический IP-адрес включен правильно, для правильного повторного использования IP-адреса может потребоваться перезагрузка. Что ж, перезагрузка действительно работает) Конечно, переадресация портов работает без статического IP-адреса, но как только вы выключите устройство, вы можете потерять IP-адрес и не будете получать входящий трафик от маршрутизатора Cisco DPC3941B.

3.Убедитесь, что вы ввели правильный IP-адрес при переадресации портов в Cisco DPC3941B

Войдите в раздел переадресации портов вашего маршрутизатора Cisco DPC3941B и убедитесь, что введенный IP-адрес правильный. Сначала выясните, какое конечное устройство будет использовать этот порт (XBOX / PS3 / PS4 / ПК / IP-камера), и введите IP-адрес этого устройства.
Примечание. Если ваш маршрутизатор Cisco DPC3941B сообщает, что вам нужно выбрать имя компьютера из раскрывающегося списка для правила переадресации портов вместо IP-адреса, убедитесь, что нет повторяющихся имен компьютеров и вы выбрали правильный.

4. Проверьте поле Внешние IP-адреса в правиле переадресации портов маршрутизатора Cisco DPC3941B

.

Проверьте, есть ли у маршрутизатора Cisco DPC3941B поле под названием «Внешний IP-адрес» в разделе переадресации портов. Убедитесь, что вы ввели «0.0.0.0» в поля «Внешний IP-адрес».
Внешние IP-адреса не вводятся, если вы не ограничиваете доступ с определенных адресов WAN.Вы также не должны вводить IP-адреса LAN или свой собственный общедоступный IP-адрес.

5. дважды проверьте / измените настройки брандмауэра Cisco DPC3941B

В наш век кибербезопасность имеет первостепенное значение. Некоторые разработчики маршрутизаторов производят маршрутизаторы с большим количеством встроенных межсетевых экранов. Хотя это определенно положительный момент, некоторые из этих параметров могут ограничивать входящие соединения, даже если на маршрутизаторе Cisco DPC3941B установлено правило переадресации портов.К счастью, нас, программистов, очень мало. Маршрутизаторы содержат отличную информацию на странице справки, и быстрый взгляд должен сказать вам, какие настройки необходимо изменить / отключить. Обычно вы можете просто установить минимальные настройки брандмауэра на маршрутизаторе Cisco DPC3941B. И не волнуйтесь, ваш компьютер по-прежнему будет под защитой.

6. Проверьте настройки брандмауэра ПК, разрешающие входящий трафик порта от маршрутизатора Cisco DPC3941B

Ваш брандмауэр / антивирус Windows / Mac / Linux может блокировать соединения.
Вам нужно только одно приложение для защиты от вирусов и брандмауэра. Убедитесь, что вы включили брандмауэр Windows и что никакой другой брандмауэр не установлен. Затем попробуйте добавить порты в приложение брандмауэра, а не только в программу, которая будет их использовать.
Если вы используете стороннее антивирусное решение, проверьте, есть ли у него встроенный брандмауэр как часть антивирусного решения. Быстрый взгляд на домашнюю страницу приложений должен дать вам ключ к разгадке.

7.Использование одного и того же порта в разных правилах переадресации портов маршрутизатора Cisco DPC3941B

Порт

— это дверной проем вашей домашней сети, который может быть перенаправлен только на один компьютер / IP-адрес одновременно. Убедитесь, что вы не ввели один и тот же порт в несколько правил переадресации на маршрутизаторе Cisco DPC3941B.

8. Включена ли DMZ на вашем маршрутизаторе Cisco DPC3941B?

DMZ — это правило «открыть все порты». На большинстве маршрутизаторов это правило просто отменяет правила переадресации портов.Вы можете отключить DMZ и попробовать еще раз.

9. Перезагрузите Cisco DPC3941B после добавления правил переадресации портов

Некоторые маршрутизаторы, как и большинство приложений, требуют перезагрузки после применения или изменения настроек. Простая настройка в обычном цикле включения / выключения (почему я пытаюсь произвести на вас впечатление? Отключите шнур питания и вставьте его обратно — это все, что я говорю) помогает с большинством проблем.

10.Вы сделали полный сброс маршрутизатора Cisco DPC3941B?

Восстановление заводских настроек — это простой способ удалить ненужные модификации, обновления и сбросить пользовательские настройки на маршрутизаторе Cisco DPC3941B. Сброс Cisco DPC3941B вернет его в исходное состояние, как при покупке. А теперь давайте попробуем еще раз

11. Все перепробовали, но не повезло? Пора посетить выставочный зал.

И последнее, но не менее важное: ваш маршрутизатор Cisco DPC3941B может быть неисправен.Хотя это редкость в сегодняшнюю эпоху «удовлетворенности клиентов», это все же возможно. Были случаи, когда отдельные единицы оборудования или целый ряд моделей имели ошибки в прошивке (программисты тоже люди). Вашим первым шагом будет поиск обновления прошивки, в котором, вероятно, будет исправлена ​​ошибка. Если это не помогает или нет доступных обновлений, вы заслужили право ворваться в офис вашего дилера и запросить, нет, спрос на новую модель!

Сеть

с Ehsan | Cisco SD-WAN NAT — ЧАСТЬ II

В этой статье я хочу обсудить функцию NAT SD-WAN.

Облачный маршрутизатор vEdge может играть роль NAT. он может выполнять настройку как на транспортной стороне (VPN 0), так и на стороне обслуживания (например, VPN 1).

Если мы развернем NAT на транспортной стороне, функциональность NAT позволит трафику с локального хоста перемещаться непосредственно в Интернет. Мы можем сделать переадресацию портов.

Программа NAT выполняет преобразование адресов и портов.

Программное обеспечение Cisco SD-WAN nat поддерживает 64 000 потоков nat.

В этом сценарии я хочу выполнить « ПЕРЕАДРЕСАЦИЯ ПОРТА » на транспортной стороне.

Для достижения этой цели нам нужно сделать три важных шага.

• Включите NAT на интерфейсе, который обращен к общедоступному Интернету в VPN 0 (в нашем сценарии это ge0 / 1).

• Настроить переадресацию портов.

• Прямой трафик из сервисной VPN, такой как VPN 1, в Интернет (общедоступный), поэтому нам нужен маршрут к VPN 0.

На последнем этапе нам нужно выполнить проверку в vmanage.

Давайте займемся конфигурацией

В моем сценарии я использую vManage для настройки Парижского сайта.

Сначала заходим в меню «шаблоны».

Первый шаг — включить NAT на VPN0.

В разделе «Интерфейс» мы настраиваем функцию NAT.

Второй шаг — настроить «ПЕРЕАДРЕСАЦИЯ ПОРТОВ» в интерфейсе, обращенном к общедоступному Интернету.

Примечание. Если вы хотите настроить порт NAT, вы должны использовать STATIC NAT.

А вот и конфигурация переадресации портов.