Можно ли использовать Cisco router в качестве proxy через NAT?

Question

[RazorBlade]

Добрый день коллеги!
Есть некий внешний сервис, на котором стоит ограничение доступа по IP, включая мой рабочий внешний IP (Cisco 2911). Соответственно из рабочей сети я могу получить доступ к этому внешнему сервису. Можно ли как-то настроить на Cisco NAT outside-outside, чтобы при подключении, например из дома, я подключался к IP рабочей cisco, а она уже натила меня на внешний сервис со своего IP? Но я так понимаю, что при NAT трансляции Cisco пересылает source IP (домашний) и соответственно внешний сервис отправляет ответный пакет напрямую на source ip (домашний), а не cisco и tcp сессия не устанавливается. То есть нужен NAT с полной подменой source ip, как это делает proxy.
upd: добавил картинку для понимания

Answer 1

[ТыжСисАдмин]

Эээ.. не понял куда чего и как вы пытаетесь натить :)

Вообще
HOME -> VPN -> WORK
1. disable def gw
2. route add -net $SITE_IP gw $VPN

Comments

[RazorBlade]

про VPN знаю, пока не хочется его городить ради одного сервиса.

[ТыжСисАдмин]

RazorBlade: тогда чертите схему соединения, я честно говоря не понял как вы пытаетесь это провернуть - конкретно как вы свой трафик заварачиваете на рабочую циску :)

[RazorBlade]

Добавил картинку в тему. Подключаюсь с домашнего компа на адрес 1.1.1.1:8080 дальше идет nat на внешний сервер 2.2.2.2:8080
Прописано правило ip nat source static tcp 2.2.2.2 8080 1.1.1.1 8080 extendable

[Ринат Гарипов]

RazorBlade +1 за VPN

Answer 2

[Макс]

суть NAT - преобразование адреса (Network Address Translation). Так что к серверу уйдет адрес Вашей циски.

Comments

[RazorBlade]

Все верно, только в случае static nat, в заголовках пакета будет указан в том числе и изначальный source IP, и видимо сервер отвечает именного на него, в обход cisco.
В моем примере пробовал следующую конфигурации
ip nat source static tcp %externa_service_IP% 8080 %cisco_external_ip% 8080 extendable
при этом на внешнем интерфейсе включен NVI NAT - ip nat enable

Answer 3

[Alexander]

Как раз наоборот натится source IP, а destanation остается неизменным и при его резолве из RIB он должен указывать на интерфейс на котором прописано ip nat outside.
Если включен nat nvi, то метить интерфейсы не надо, но так как 2.2.2.2 у вас не directly connected, то и натить на него не будет

На вскидку вот такое решение:
Между хостом и роутером поднимается IP-IP туннель.
На хосте :ip route [ip сервиса] [ip tunnel0]
На роутере:
Tunnel0 nat inside
L3-to-ISP nat outside
ip nat inside source [ваш ip] [L3-to-ISP] overload

Comments

[RazorBlade]

Внешний сервис не под моим контролем, поэтому ничего там править не могу и что-то там делать по моему запросу так же не будут.
Насчет directly connected, не соглашусь - трансляции создаются, однако по вышеуказанной причине, посмотреть какие то логи на внешнем хосте я не могу.

[Alexander]

А где я написал что нужно на внешнем сервисе что-то делать? Трансляция конечно создастся вы же команду ввели. Но работать не будеть, по выше указанным мной причинам. Понятия nat outside-outside нет, когда вы задаете nat nvi, то просто указываете что на что должно натиться. И максимум на что вы можете обратиться при вашей реализации это IP из подсети вашего External interface, но никак не внешний IP

[RazorBlade]

С хостом тоже нет смысла заморачиваться, т.к. хочется получать доступ с разных устройств, в том числе с телефона.
В общем я понял, что с натом ничего не выйдет. Буду делать какую-нибудь проксю.
Всем спасибо за ответы.