Доступность IP сервера позади NAT

[Yapi]

Сетевые Гуру, взываю!

Можно ли победить следующую проблему:

1. есть сервер с сервисами по адресу 192.168.1.1. у него установлен gateway 192.168.1.254.
2. сервер наодится позади NAT. Внешний адрес NAT (видимый из Инета) UUU.XXX.YYY.ZZ1.
3. NAT перенаправляет абсолютно весь трафик со своего публичного интерфейса UUU.XXX.YYY.ZZ1 на внутренний адрес сервера 192.168.1.1 и наоборот. все порты и все протоколы. просто всё. Всё работает как надо.
4. Проблема: с самого сервера невозможно подсоединиться к нему-же но по внешнему интерфейсу (UUU.XXX.YYY.ZZ1). По внутреннему всё в порядке (192.168.1.1), по внешнему никак - таймаут.

Те кто создал такую конфигурацию делают умный вид и утверждают что так должно быть (но глаза бегают). Нужно иметь возможность серверу подсоединяться к самому себе по публичному адресу (UUU.XXX.YYY.ZZ1). Это можно поправить?

[nikulina]

да, так и должно быть. Поскольку на самом сервере внешний IP не поднят, то при попытке коннекта на внешний адрес на default gw уйдет пакет с source IP 192.168.1.1 и destination IP UUU.XXX.YYY.ZZ1.

Обычно маршрутизатор натит только то, что приходит в него через внешний интерфейс. Но даже если обучить его натить пакеты, приходящие с внутреннего интерфейса, то обратно на сервер пакет пойдет с оригинальным source и с измененным destination IP 192.168.1.1.
А разнатить ответные пакеты будет некому, потому что сервер пакеты на собственный адрес 192.168.1.1 через маршрутизатор пропускать не будет, он их пришлёт самому себе. В результате ответов от UUU.XXX.YYY.ZZ1 никогда не придёт, и попытка соединения отвалится по таймауту.

как с этим бороться - непонятно. можно попробовать поднять на сервере внешний IP/32. специально для себя, любимого, но не очевидно, что при этом больше нет подводных камней, кроме /32

[nikulina]

хотя.. оказывается, правильно настроенный нат может такое сотворить сам.
для этого он должен у пакетов, приходящих на внешний IP с внутреннего интерфейса, менять не только destination на IP сервера, но и source на собственный. тогда ответные пакеты попадут в маршрутизатор, и он сможет их разнатить и послать обратно на сервер.

[Yapi]

Цитата:

Сообщение от nikulina

хотя.. оказывается, правильно настроенный нат может такое сотворить сам.
для этого он должен у пакетов, приходящих на внешний IP с внутреннего интерфейса, менять не только destination на IP сервера, но и source на собственный. тогда ответные пакеты попадут в маршрутизатор, и он сможет их разнатить и послать обратно на сервер.

Спасибо. А какие "волшебные" ключевые слова нужно сказать эскулапам что-бы они правильно настроили их хвалёный циско? То есть какая фича отвечает за такое умное поведение?

[nikulina]

а, так это циско? так сходу не скажу..
все-таки проще и быстрее поднять на той машине внешний IP

[Yapi]

Цитата:

Сообщение от nikulina

а, так это циско? так сходу не скажу..
все-таки проще и быстрее поднять на той машине внешний IP

Между сервером и НАТ еще файрволл в bridge mode висит Если не найду ключевых слов, то подниму внешний айпишник.

Yapi добавил 22.07.2008 в 23:03
О! Кажись ключевое слово "Inside to Inside NAT - NAT Virtual Interface Support".

[nikulina]

ага, судя по описанию, это то, что надо

[Chief]

Цитата:

Сообщение от Yapi

Спасибо. А какие "волшебные" ключевые слова нужно сказать эскулапам что-бы они правильно настроили их хвалёный циско? То есть какая фича отвечает за такое умное поведение?

Циску так настроить не получится (без поднятого внешнего IP). Я помнится дооолго мучился несколько лет назад, после чего обратился к гуру, который сказал шо низзя.

Шо характерно мой линксис это делает без напряга, а вот цицка не может. И где справедливость?

[Ludwig]

Yapi, кто-то должен был задать этот глупый вопрос, и это буду я: а зачем это надо?

[Yapi]

Цитата:

Сообщение от Chief

Циску так настроить не получится (без поднятого внешнего IP). Я помнится дооолго мучился несколько лет назад, после чего обратился к гуру, который сказал шо низзя.

В ссылке что я привёл настраивается именно Циска, но не всякая, да.

Цитата:

Сообщение от Chief

Шо характерно мой линксис это делает без напряга, а вот цицка не может. И где справедливость?

Просто на всякий случай, а как это делается в Линксисе? Чёта я у себя такого не видел...

[nikulina]

Цитата:

Сообщение от Yapi

Просто на всякий случай, а как это делается в Линксисе? Чёта я у себя такого не видел...

а в линксисе оно так само от рождения, похоже.

[Yapi]

Цитата:

Сообщение от Ludwig

Yapi, кто-то должен был задать этот глупый вопрос, и это буду я: а зачем это надо?

У нас новые хостеры, а у них "горе от ума". Горю как-то помогают ссылки на официальные документы (RFC) и конкретные инструкции (ходи сюда, делай так). PTR запись DNS мы у них уже выбили, выбьем и Inside to Inside NAT

ЗЫ: При всём при этом они пожалуй лучшее что могут купить деньги small business компании в этой стране. Страшно жить...

[rojer]

а если повесить на внутренний сервак внешний IP uuu.xxx.yyy.zzz в кач-ве алиаса?
тогда он сам себя узнавать начнёт по этому айпи, а гейту это не помешает, т.к. с таких сорсом никаких исходящих с сервера переть не должно.
ы?

[nikulina]

Цитата:

Сообщение от rojer

а если повесить на внутренний сервак внешний IP uuu.xxx.yyy.zzz в кач-ве алиаса?
тогда он сам себя узнавать начнёт по этому айпи, а гейту это не помешает, т.к. с таких сорсом никаких исходящих с сервера переть не должно.
ы?

Цитата:

Сообщение от nikulina

можно попробовать поднять на сервере внешний IP/32. специально для себя, любимого, но не очевидно, что при этом больше нет подводных камней, кроме /32

[rojer]

сорри, читал по диагонали
имхо всё должно взъебстись. /32 - это никакая не проблема, когда дальше себя любимого ходить не надо.