Настройка NAT

NAT (Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса из частных в публичные и наоборот.

На Edge Gateway возможно настроить как source NAT (подмена адреса источника), так и destination NAT (подмена адреса получателя) правила.

Для добавления нового NAT правила необходимо:

1) Открыть консоль управления Cloud Director. Войти в систему, используя учетную запись с правами администратора организации. Перейти в раздел Networking   

2) Перейти в раздел Edge Gateways:

3) Выбрать нужный Edge Gateway, после чего нажать кнопку Services:

4) В открывшемся окне перейти на вкладку NAT:

Добавление SNAT правила

 SNAT правило преобразует исходный IP-адрес пакетов, отправленных из сети VDC организации, во внешнюю сеть или в сеть VDC другой организации.

По умолчанию после создания организации в настройках Edge Gateway уже присутствует одно SNAT правило. Данное SNAT правило обеспечивает доступ виртуальных машин в интернет.

Для добавление нового SNAT необходимо:

  1. нажать кнопку «+SNAT RULE»

  1. В открывшемся окне необходимо заполнить следующие поля:

Applied on – выбрать из выпадающего списка внешнюю сеть, подключенную к Edge Gateway.

Original Source IP/Range - адрес виртуальной машины или адрес внутренней сети, которой необходимо предоставить доступ в интернет через NAT.

Translated Source IP/Range - внешний ip-адрес Edge Gateway.

Enabled – переключатель, включающий и выключающий правило.

Нажать кнопку KEEP.

  1. Для применения и сохранения настроек необходимо нажать кнопку Save Changes:

Добавление DNAT правила

 DNAT преобразует IP-адрес и, при необходимости, порт пакетов, полученных сетью VDC организации, поступающих из внешней сети или из сети VDC другой организации.

Для добавление нового DNAT необходимо:

  1. нажать кнопку «+DNAT RULE»

 

  1. В открывшемся окне необходимо заполнить следующие поля:

Applied on – выбрать из выпадающего списка внешнюю сеть, подключенную к Edge Gateway.

Original IP/Range - внешний ip-адрес Edge Gateway, можно узнать из SNAT правила.

Protocol - выбрать необходимый протокол (TCP/UDP/ICMP/Any).

Original Port - порт для внешнего ip-адреса Edge Gateway.

Translated IP/Range - локальный ip-адрес виртуальной машины.

Translated Port - порт для локального ip-адреса виртуальной машины.

Enabled - переключатель, включающий и выключающий правило.

Нажать кнопку KEEP.

 

  1. Для применения и сохранения настроек необходимо нажать кнопку Save Changes:

 

 Добавление DNAT для RDP и SSH подключений

В качестве примера рассмотрим правила проброса порта для подключения к виртуальной машине по протоколам RDP и SSH.

Примечание: В целях безопасности при пробросе портов для таких служб как SSH, TELNET, RDP рекомендуем использовать нестандартные внешние порты. Либо настроить фильтрацию доступа в Firewall.

  1. Пример правила DNAT для подключения по протоколу RDP (локальный IP 192.168.0.45), который будет доступен по IP 80.69.186.68 + порт 58421:

  1. Пример правила DNAT для подключения по протоколу SSH (локальный IP 192.168.0.46), который будет доступен по IP 80.69.186.68 + порт 19988:

Нестандартный внешний порт для RDP (SSH) не гарантирует 100% защиту от взлома по этому протоколу, но отсеет большую часть ботов, сканирующих только стандартные порты и их вариации.

Hairpin NAT

Использование Hairpin NAT может пригодиться в случае, когда, находясь внутри одной локальной сети, требуется обратиться к локальному ресурсу с использованием его внешнего IP-адреса.

Рассмотрим пример обращения рабочей станции к web-серверу по внешнему ip-адресу, при этом рабочая станция и web-сервер находятся за одним NAT. Трафик между рабочей станцией и web-сервером будет проходить через Edge Gateway.

 

По умолчанию для доступа к web-серверу на интерфейсе Edge Gateway c внешним ip-адресом настроено два правила:

SNAT – для доступа в интернет с виртуальных машин;

DNAT – для доступа к web-серверу из интернета.

Без настройки Hairpin NAT соединение по внешнему ip-адресу между локальными хостами и web-сервером не установится.

Необходимо добавить еще два правила, применяемые (Applied on) к локальному (внутреннему) интерфейсу Edge Gateway:

После добавление дополнительных NAT правил будет получена следующая схема обмена пакетами между виртуальными машины, находящихся в одной локальной сети:

  1. Рабочая станция оправляет пакет со своего локального ip-адреса 192.168.0.45 (source ip) на внешний ip-адрес 80.69.186.68 Edge Gateway (destination ip).
  2. Edge Gateway заменяет в пакете адрес источника (source ip) 192.168.0.45 на свой локальный адрес 192.168.0.1, а адрес назначения (destination ip) с 80.69.186.68 на локальный адрес web-сервера 192.168.0.46.
  3. web-сервер, получив запрос от Edge Gateway с адреса 192.168.0.1, отправляет ответ в его сторону 192.168.0.1.
  4. Edge Gateway, получив ответ от web-сервера, меняет адрес источника и адрес назначения (source ip и destination ip) на изначальные, а рабочая станция получает правильный ответный пакет.

Пример дополнительного SNAT правила: 


 

Пример дополнительного DNAT правила:

 

Для обоих дополнительных правил (SNAT и DNAT) в графе Applied on необходимо из выпадающего списка выбрать локальный (внутренний) интерфейс Edge Gateway. В данном примере его имя DEMO NET01.

Консультация Настройка NAT

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку

Создание шаблона ВМ для установки ОС IaaS OpenNebula

Описание страницы параметров шаблона и переченя шаблонов

Настройка статической маршрутизации

Для настройки статических маршрутов перейдите в Routing -> Static Routes

Организация связности с другими площадками в IaaS OpenNebula

Если необходимо организовать сетевую связность с другими площадками или облаками, необходимо настроить зашифрованный туннель

Настройки подключения на примере Thunderbird

Так как c октября 2020 года Microsoft снимает с поддержки Outlook 2010, и не у всех пользователей есть возможность приобрести более современное программное обеспечение, то можем порекомендовать к использованию бесплатные почтовые клиенты по типу Mozilla Thunderbird, на примере которого рассмотрим базовые настройки по подключению.

Подключение сетевых USB устройств в виртуальной инфраструктуре

Для подключения USB устройств в виртуальной инфраструктуре необходимо установить клиент SEH UTN manager. Рассмотрим установку клиента на примере Windows

Поиск, диагностика и устранение проблем работы модуля ADSync v5.1