Чужой NAT в своей сети

Question

[Алексей]

Доброго времени суток!

Вопрос к бывалым системным администраторам, сетевикам.
Есть три сети. Net1, Net2, Net3.

изображение (лучше качество)
Задача заключается в том, чтобы видеть сервера сети Net3 из Net1 и наоборот.
В Net2 из Net3 при помощи NAT опубликованы pc2 и pc3.
С тестового ПК test сервера pc2 (172.16.0.10) и pc3 (172.16.0.14) работают т.е. пакеты проходят внутри сети Net2.
Из сети Net1 виден роутер, виден тестовый ПК, но pc2 и pc3 не доступны.
Если в сеть Net2 опубликовать через NAT ПК pc1 (например с ip 172.16.0.4), то, естественно pc1 увидит pc2 и pc3.
В качестве роутера служит железка cisco (есть и 1841, есть и 881).

Уважаемые системные администраторы и сетевики!
Подскажите-натолкните на мысль, что можно сделать страшного, чтобы из сети Net1 было видно pc2 и pc3!

Если есть даже догадки и не хочется публиковать — напишите, пожалуйста, в личку.

Comments

[Алексей]

Так же хочу отметить, что в Net2 из Net1 (при банальной команде ping 172.16.0.14) ICMP пакеты попадают, но обратно ответ не отправляется.

[Алексей]

В качестве роутера служит железка cisco (есть и 1841, есть и 881).
Это я имел в виду, что использовать могу и то и то.

Answer 1

[PooFF]

Что прописано шлюзом у компов в Net2? А на вскидку думаю, что конективити из Net1 к pc в Net3 появиться если на подвластном роутере тоже поднять NAT.

Comments

[Алексей]

Прописывался NAT из Net1 в Net2 т.е. динамический пул с адресами диапазона вида 172.16.0.2-172.16.0.9, но это вовсе неудобно т.к. если 20 компьютеров обращается в сеть 172.16.0.0, то попадут лишь 7 из 20… пул же.
Или я вас не правильно понял?

[PooFF]

ip nat overload — все выйдут с одним адресом 172.16.0.1 Либо на другом нате должен быть маршрут в сеть Net1, но, я так понимаю, что с этим натом все сложно, и управлять Вы им не можете.

[Алексей]

Спасибо, PooFF, буду копать.

[Алексей]

Спасибо, получилось всё.

Для цыски конфиг примерно такой:

interface FastEthernet0
switchport access vlan 10

interface FastEthernet1
ip address 192.168.0.211 255.255.255.0
ip nat inside

interface Vlan10
ip address 172.16.0.1 255.255.255.240
ip nat outside
!

access-list 1 permit 192.168.0.0 0.0.63.255
ip nat inside source list 1 interface Vlan10 overload

Т.е. даже к моему пулу можно было overload дописать и всё бы заработало… Надо книг прикупить по cisco… Ещё раз спасибо.

Answer 2

[masterclass]

У вас Net1 и Net2 маршрутизируемые между собой?
Если да, то любой компьютер из Net1 должен видеть адреса 172.16.0.10 и 172.16.0.14.
Когда на NAT прийдут пакеты из Net1 — у них будет source 192.168.0.240.
Соответственно pc2 и pc3 (192.168.33.1 и 192.168.33.2) должны знать про существование сети 192.168.0.0/24. Либо же дефолт должен соответствовать оранжевой стене :)

Также пакеты, уходящие из Net1 в Net3 не должны проходить NAT на роутере между Net1 и Net2.

На схемке очень не хватает адресации пограничных устройств и метода взаимодействия сетей.
Напишите мне на личную почту, если все еще актуально, помогу Вам разобраться с вашей сетью.

Answer 3

[SysCat]

-> В качестве роутера служит железка cisco (есть и 1841, есть и 881).
IPSec туннель.

Comments

[Алексей]

IPSec туннель до чего? До Net3 из Net1 — нет возможности т.к. Net3 мне не подвластна. Это партнёрская сетка и нас туда со своей железкой не пустят. Опубликовали эти 2 IP — и то хорошо.