cisco+почтовый сервер сделать доступным из внешнего мира

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
udp
рядовой
Сообщения: 20
Зарегистрирован: 2013-06-27 14:43:19

cisco+почтовый сервер сделать доступным из внешнего мира

Непрочитанное сообщение udp » 2016-06-15 17:33:08

Здравствуйте.
Скорее всего такую задачу уже давно решили, но я не могу найти ее в форуме.
Исходные данные: Локальная сеть 10.115.0.0/26 подключена через шлюз 10.115.0.4 и через роутер cisco к интернету. Подключение к Интернету чере pppoe. Имеется постояный IP адрес .
Требуется сделать доступным почтовый сервер, имеющий локальный адрес 10.115.0.11 доступным из Интернета по внешнему IP адресу, чтобы можно было отправлять/получать письма в/из внешнего мира.
схема сети.jpg
схема сети.jpg (12.4 КБ) 10257 просмотров
В сети имеется DNS-сервер, который доступен из Интернета. Попробовал настроить по аналогии почтовый сервер, чтобы и он был доступен из интернета, увы ... не работает.
Прошу подсказать, что делаю неправильно. Конфигурацию роутера прилагаю. Куски не касающиеся вопроса, я выкинул, заменил на "...", чтобы сократить текст.

Код: Выделить всё

Current configuration : 14632 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R2821_Nikolaev
!
boot-start-marker
boot-end-marker
!
logging console alerts
enable secret 5 secret
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local 
aaa authorization network default group radius 
!
...
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.115.1.129
ip dhcp excluded-address 10.115.1.130
!
ip dhcp pool IP_Phones
   network 10.115.1.128 255.255.255.128
   default-router 10.115.1.129 
   option 150 ip 10.11.2.20 10.11.2.21 
!
!
ip name-server 77.88.8.7
ip name-server 77.88.8.3
vpdn enable
!
vpdn-group 3
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 3
!
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
...
!
! 
!
!
!
!
...
!
interface Loopback0
 ip address 192.168.3.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/0
 description Trunk to switch 3560
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.200
 encapsulation dot1Q 200
 ip address 10.115.1.130 255.255.255.128
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status
!
interface GigabitEthernet0/1
 ip address 172.17.15.130 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet0/0/0
 description Internet
 switchport access vlan 223
 spanning-tree portfast
!
interface FastEthernet0/0/1
 switchport access vlan 220
 spanning-tree portfast
!
interface FastEthernet0/0/2
 switchport access vlan 221
 spanning-tree portfast
!
interface FastEthernet0/0/3
 switchport access vlan 222
 spanning-tree portfast
!
interface Virtual-Template1 
 no ip address
 no peer default ip address
!
interface Virtual-Template3 
 ip unnumbered Loopback0
 ip nat inside
 ip virtual-reassembly
 peer default ip address pool PPTP_Pool
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap ms-chap-v2
!
interface Vlan1
 no ip address
!
interface Vlan220
 ip address 10.115.1.9 255.255.255.252
 ip nat outside
 ip nat enable
 ip virtual-reassembly
!
interface Vlan221
 ip address 10.115.1.13 255.255.255.252
!
interface Vlan222
 no ip address
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan223
 ip address 192.168.123.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip flow ingress
 ip flow egress
 ip nat outside
 ip nat enable
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 no ip mroute-cache
 load-interval 30
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp chap hostname логин
 ppp chap password 7 пароль
 ppp pap sent-username логин password 7 пароль
 ppp ipcp dns request
 ppp ipcp route default
 ppp ipcp address accept
!
...
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat pool POOL 192.168.123.2 192.168.123.2 netmask 255.255.255.252 type rotary
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 2 interface Vlan220 overload
ip nat inside source static tcp 10.115.0.7 53 interface Dialer1 53
ip nat inside source static udp 10.115.0.7 53 interface Dialer1 53
ip nat inside source static tcp 10.115.0.11 25 interface Dialer1 25
ip nat inside source static tcp 10.115.0.11 110 interface Dialer1 110
ip nat inside destination list NAT pool POOL
!
ip access-list extended NAT
 permit tcp any host 217.77.223.206 range 54 1722
 permit tcp any host 217.77.223.206 range 1724 65535
 permit udp any host 217.77.223.206 range 1 52
 permit udp any host 217.77.223.206 range 54 65535
 permit icmp any host 217.77.223.206
 permit tcp any host 217.77.223.206 range 1 24
 permit tcp any host 217.77.223.206 range 26 52
ip access-list extended NAT_acl
 deny   ip 10.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255
 permit ip 10.115.0.0 0.0.255.255 any
!
ip radius source-interface GigabitEthernet0/0.200 
access-list 1 permit 192.168.123.2
access-list 2 permit 192.168.3.0 0.0.0.255
access-list 2 permit 192.100.31.0 0.0.0.255
access-list 2 permit 192.100.101.0 0.0.0.255
access-list 101 permit tcp any range 1 24 any
access-list 101 permit tcp any range 26 52 any
access-list 101 permit tcp any range 54 1722 any
access-list 101 permit tcp any range 1724 65535 any
access-list 101 permit udp any range 1 52 any
access-list 101 permit udp any range 54 65535 any
access-list 101 permit icmp any any
...
!
route-map NAT permit 10
 match ip address 101
!
!
!
....
!
control-plane
!
!
!
voice-port 0/1/0
!
voice-port 0/1/1
!
voice-port 0/1/2
!
voice-port 0/1/3
!
!
!
!
line con 0
 password 7 пароль
line aux 0
line vty 0 4
 privilege level 10
 password 7 пароль
 transport input telnet ssh
line vty 5 15
!
scheduler allocate 20000 1000
!
end

R2821_Nikolaev#exit


Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

cisco+почтовый сервер сделать доступным из внешнего мира

Непрочитанное сообщение dekloper » 2016-06-18 15:21:26

похоже у вас на промежуточном шлюзе пакеты теряются..
там тоже должна быть трансляция..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

udp
рядовой
Сообщения: 20
Зарегистрирован: 2013-06-27 14:43:19

cisco+почтовый сервер сделать доступным из внешнего мира

Непрочитанное сообщение udp » 2016-06-21 9:28:12

Да спасибо, недавно до меня это дошло. Буду разбираться.

udp
рядовой
Сообщения: 20
Зарегистрирован: 2013-06-27 14:43:19

cisco+почтовый сервер сделать доступным из внешнего мира

Непрочитанное сообщение udp » 2016-06-23 17:20:32

С пакетами все в порядке. Смотрел с помощью tcpdump. Вопрос вот в чем. Если делают запрос для DNS-сервера, то с маршрутизатора cisco идет запрос на сервер 10.115.0.7, вот правило:

Код: Выделить всё

ip nat inside source static tcp 10.115.0.7 53 interface Dialer1 53
ip nat inside source static udp 10.115.0.7 53 interface Dialer1 53
Для почтового сервера также описаны правила:

Код: Выделить всё

ip nat inside source static tcp 10.115.0.11 25 interface Dialer1 25
ip nat inside source static tcp 10.115.0.11 110 interface Dialer1 110
По аналогии с ДНС сервером внес изменения в правила, исключив 110 и 25 порты:

Код: Выделить всё

ip access-list extended NAT
 permit tcp any host 217.77.223.206 range 1724 65535
 permit udp any host 217.77.223.206 range 1 52
 permit udp any host 217.77.223.206 range 54 65535
 permit icmp any host 217.77.223.206
 permit tcp any host 217.77.223.206 range 1 24
 permit tcp any host 217.77.223.206 range 26 52
 permit tcp any host 217.77.223.206 range 54 pop2
 permit tcp any host 217.77.223.206 range sunrpc 1722
и

Код: Выделить всё

access-list 101 permit tcp any range 1 24 any
access-list 101 permit tcp any range 26 52 any
access-list 101 permit tcp any range 54 pop2 any
access-list 101 permit tcp any range sunrpc 1722 any
access-list 101 permit udp any range 1 52 any
access-list 101 permit udp any range 54 65535 any
access-list 101 permit tcp any range 1724 65535 any
но на промежуточный сервер приходят запросы из Интернета по 110 порту с адреса 192.168.123.2. Пакеты должны идти непосредственно на адрес 10.115.0.11 по аналогии с проходжением трафика для ДНС сервера. Похоже, что в конфигурации маршрутизатора cisco что-то надо менять еще, только пока не понимаю что.