官网最新动态
官网推荐信息
官网应用教程
社区最新公告
社区最新主题
社区最近热议
nat123检测到你的内网ip端口不通
nat123添加映射后提示“检测到你的内网IP端口不通”是什么问题？
原因：内网本地应用端口没有开启。如网站应用，内网地址端口访问异常。
测试方法：telnet 内网IP 内网端口
如果测试未通过，排查内网应用异常原因。
快速了解相关：
当前活动：
端口映射高级功能：
动态域名解析高级功能：
域名解析高级功能：
远程开机：查看: 7263|回复: 8
内网端口不通-端口映射后提示：NAT123检测到你内网IP端口不通
端口映射后提示：NAT123检测到你内网IP端口不通，从你的电脑也无法访问到此IP端口。请检查是否开启了应用服务端口。&&我换了别的端口始终不行，请教怎么解决这个问题。我映射的是语音视频端口，我把语音视频端口改成原来可以映射通的端口，结果也不行，还是这个提示。
希望能把相应的图片发出来，这样能更好的查看一下原因，图片比如：内网访问服务、NAT123的配置等等。这样才好找到原因。
1.明确内网应用地址端口。
2.核实添加映射时，使用的内网地址端口。
3.先不管提示，看看映射后的应用正常了否。
本帖最后由 123456xmh 于
14:57 编辑
1.明确内网应用地址端口。
2.核实添加映射时，使用的内网地址端口。
3.先不管提示，看看映射后的应用正常 ...
请帮我看看怎么回事
(10.78 KB, 下载次数: 106)
14:46 上传
(14.04 KB, 下载次数: 123)
14:47 上传
(27.62 KB, 下载次数: 142)
14:48 上传
(27.38 KB, 下载次数: 102)
14:57 上传
额，你开你的软件了吗？把软件端口改成你想要的。
额，你开你的软件了吗？把软件端口改成你想要的。
软件语音视频，文件传输，远程协助端口改了也映射不通。
我也是这样
小白表示太高了
关注是否解决了
Powered by
| 网站反馈邮箱：（把#换成@）查看:28341|回复：19
一台内网网站的服务器，通过在防火墙的电信外网口做Nat Server，内网172的网段和192.168.200网段走电信出口，192.168.38.0/24网段通过策略路由走网通出口，防火墙上配置了nat dns-map，目前遇到的问题是走电信出口的网段机器可以正常访问内网网站的域名（Ping域名时返回的是服务器的内网IP地址），走网通出口的网段机器无法访问内网网站域名（Ping域名时返回的是服务器的公网IP地址），怎样解决此问题？
以下是主要的拓扑图和配置
(32.52 KB)
&WLZX-U200-A&dis cu
version 5.20, Release 5116P02
sysname WLZX-U200-A
clock timezone GMT add 08:00:00
undo voice vlan mac-address 00e0-bb00-0000
domain default enable system
router id 172.20.1.1
telnet server enable
acl number 2000
rule 10 permit source 172.20.202.0 0.0.0.255
rule 20 permit source 192.168.200.0 0.0.0.255
acl number 2001
rule 10 permit source 192.168.38.0 0.0.0.255
acl number 3001
rule 10 permit ip source 192.168.38.0 0.0.0.255 destination 192.168.200.168 0
rule 20 permit ip source 192.168.38.0 0.0.0.255 destination 61.190.*.19 0
radius scheme system
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
pki domain default
&&crl check disable
user-group system
#& && && && && &
interface LoopBack0
ip address 172.20.202.9 255.255.255.255
interface GigabitEthernet0/0
port link-mode route
interface GigabitEthernet0/1
port link-mode route
ip address 172.20.203.1 255.255.255.252
ip policy-based-route 1
interface GigabitEthernet0/2
port link-mode route
ip address 172.20.203.254 255.255.255.252
ip policy-based-route 1
interface GigabitEthernet0/4
port link-mode route
nat outbound 2001
ip address 218.104.*.210 255.255.255.248
interface GigabitEthernet0/5
port link-mode route
nat outbound 2000
nat server protocol tcp global 61.190.*.19 www inside 192.168.200.168 www
ip address 61.190.*.18 255.255.255.240
default-route-advertise always
area 0.0.0.0
&&network 172.20.203.0 0.0.0.3
&&network 172.20.203.252 0.0.0.3
&&network 172.20.1.1 0.0.0.0
policy-based-route 1 permit node 5
& &if-match acl 3001
policy-based-route 1 permit node 10
& &if-match acl 2001
& &apply ip-address next-hop 218.104.*.209
ip route-static 0.0.0.0 0.0.0.0 61.190.*.17
ip route-static 0.0.0.0 0.0.0.0 218.104.*.209 preference 100
nat dns-map domain
protocol tcp ip 61.190.*.19 port www
load xml-configuration
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
本帖最后由 sfwang 于
11:17 编辑
H3C技术板块
网通外网接口 nat server
内网接口 nat server protocol tcp global ****
引用:原帖由 zhangnianqing 于
09:13 发表
网通外网接口 nat server
内网接口 nat server protocol tcp global **** 是的！两种方案，但在本案例中我使用的是第一种方案，第二种方案我感觉行不通！
采用第一种方案，在网通的外网接口上添加命令：
nat server protocol tcp global 61.190.*.19 www inside 192.168.200.168 www
为什么必须在网通的外网接口上添加该命令，原理何在?
H3C技术板块
引用:原帖由 sfwang 于
11:22 发表
是的！两种方案，但在本案例中我使用的是第一种方案，第二种方案我感觉行不通！
采用第一种方案，在网通的外网接口上添加命令：
nat server protocol tcp global 61.190.*.19 www inside 192.168.200.168 www
为什么必须在网 ... 问题解决了是吧
原理就和电信NAT server 一样
如果内网用户也使用互联网直接访问服务器 也需要在内网接口 nat outbound&&和nat server
本帖最后由 zhangnianqing 于
16:24 编辑
呵呵~问题本来就解决了，拿上来作为案例与大家分享一下的，网通接口的NAT Server和电信接口的Nat Server不一样的，电信接口的Nat Server是给外网用户访问这个网站用的，而网通接口的Nat Server是给内网网通用户所配置的域名服务器返回DNS请求时用的，这样配置后网通内网用户在Ping&&，否则返回的是公网地址61.190.*.19，造成网通内网用户无法访问内部服务器的公网域名现象。
引用:原帖由 zhangnianqing 于
16:06 发表
问题解决了是吧
原理就和电信NAT server 一样
如果内网用户也使用互联网直接访问服务器 也需要在内网接口 nat outbound&&和nat server 关于第二种方案，在内网接口配置nat outbound&&和nat server ，在本案例中由于内网口配置有策略路由，不知道能否可以实现？因为有策略路由和Nat server处理的先后顺序问题，夜里来测试一下:)
经测试，第二种方案不行，不想再去深究了
助理工程师
loveliness: 还可以这样子吗？在网通的接口下，做电信的地址解析？
高级工程师
这个案例很好的，我刚看到这个案例的时候，还真被搞糊涂了，但是细细想了一下，还是想通了，看来你的DNS是在内网的，你是想让内网的用户访问网通网络，但是让网通的DNS服务器从内网的DNS服务器上找到公司网站的地址，这个例子以前见过，好长时间都没做了，有点生疏了，以后还多交流呀，
你理解的还是有问题哦:lol 再仔细看看上面的分析吧
高级工程师
引用:原帖由 sfwang 于
19:11 发表
你理解的还是有问题哦:lol 再仔细看看上面的分析吧 我个人觉得这样的配置基本有三种
1：内网用户通过不同的外网端口访问不同的运营商网络，需要配置NAT转换，优先级不同的静态路由，策略路由
2：内网用户通过不同的外网端口访问不同的运营商网络，外网用户可以访问内网的某台服务器（这种服务器一般都是DNS服务器，提供域名解析的，或是HTTP服务器），主要是除了配置NAT转化，优先级不同的静态路由。策略路由之外
还有配置NAT SERVER，实现外网用户可以访问内网服务器，从而实现DNS解析，或是访问企业网站的目的
3：还有一种就是内网用户访问内部网站不走电信或网通的线路，直接把内网IP转换成路由器的内网口的IP地址，实现EASY IP，然后通过路由器的内网口做NAT outbound&&static ,直接将公网地址转换成服务器的IP地址，实现内网用户通过内部DNS的解析访问企业网站的目的。
难道除了这三种之外，还有第四种，还望赐教。
本案例中不是探讨对于双出口的情况怎样配置的问题，主要是探讨内网用户访问内网服务器的公网域名问题，本例中的DNS服务器并非在内网中，而是在公网中，要达到的目的是内网用户在访问内网服务器的公网域名时，DNS服务器返回给内网主机的为服务器的内网IP，而不能返回服务器的公网IP地址，重点在于nat dns-map的配置和外网接口下的nat server配置，请参考
高级工程师
引用:原帖由 sfwang 于
19:54 发表
本案例中不是探讨对于双出口的情况怎样配置的问题，主要是探讨内网用户访问内网服务器的公网域名问题，本例中的DNS服务器并非在内网中，而是在公网中，要达到的目的是内网用户在访问内网服务器的公网域名时，DNS服务器返回给内 ... 我想的复杂了，呵呵:lol
高级工程师
ip route-static 0.0.0.0 0.0.0.0 61.190.*.17
ip route-static 0.0.0.0 0.0.0.0 218.104.*.209 preference 100
这样就能双线路了？
外网ping你的联通端口能ping通吗？
防火墙本身就有这样的功能：内网和外网解析返回地址分开，在做nat的时候加上dns参数即可。
想请教一个问题，你电信外网接口就做了一个nat outbound，你内网用户直接访问域名就可以访问到内网服务器吗？这个也涉及到DNS回流问题吧，和网通的应该是一样的；
引用:原帖由 ylky_2000 于
08:52 发表
ip route-static 0.0.0.0 0.0.0.0 61.190.*.17
ip route-static 0.0.0.0 0.0.0.0 218.104.*.209 preference 100
这样就能双线路了？
外网ping你的联通端口能ping通吗？
防火墙本身就有这样的功能：内网和外网解析返回 ... 不是通过两条默认路由做双线的，默认的是走电信出口，联通的是通过策略路由来实现的，之所以加一条去往联通的默认路由（优先级低一点），是为了防止电信的链路断开后，原本走电信的网段还可以走联通出口上网。做NAT的时候加上DNS参数，防火墙默认支持吗？怎么实现的？是H3C的还是什么型号的？针对H3C的防火墙，我目前知道的就是nat dns-map这个功能。
引用:原帖由 lx5725045 于
00:29 发表
想请教一个问题，你电信外网接口就做了一个nat outbound，你内网用户直接访问域名就可以访问到内网服务器吗？这个也涉及到DNS回流问题吧，和网通的应该是一样的； ... 可以的~与网通的原理一样，通过nat dns-map功能实现
高级工程师
你先确认这样做了后，外网ping联通口，看能ping的通？哪怕通过联通的adsl网络去ping也可以。
这个实际上是浮动路由来的。。备用链路而已。
acl number 2001
rule 10 permit source 192.168.38.0 0.0.0.255
acl number 3001
rule 10 permit ip source 192.168.38.0 0.0.0.255 destination 192.168.200.168 0
rule 20 permit ip source 192.168.38.0 0.0.0.255 destination 61.190.*.19 0
policy-based-route 1 permit node 5
& &if-match acl 3001
policy-based-route 1 permit node 10
& &if-match acl 2001
& &apply ip-address next-hop 218.104.*.209
interface GigabitEthernet0/1
port link-mode route
ip address 172.20.203.1 255.255.255.252
ip policy-based-route 1
interface GigabitEthernet0/2
port link-mode route
ip address 172.20.203.254 255.255.255.252
ip policy-based-route 1
ip route-static 0.0.0.0 0.0.0.0 61.190.*.17
ip route-static 0.0.0.0 0.0.0.0 218.104.*.209 preference 100
请仔细看一下配置文件中的以上配置，首先定义两条ACL，2001是为了匹配192.168.38.0/24整个网段，3001是为了匹配192.168.38.0/24网段访问192.168.200.168服务器的流量，然后配置策略路由policy-based-route 1，匹配上ACL 3001时不做动作通过（结果会查找路由表转发），当匹配上2001时更改下一跳至网通的网关，同时将策略路由应用到内网的两个接口上，做了浮动静态路由的目的就是为了做路由备份，正常电信的链路通畅的情况下，从外网Ping联通的接口地址基本上是Ping不通？为什么？来去路径不一致的原因，进来的是走联通，出去的时候走电信，但我们不需要从外网去访问联通的接口地址，内部也没有联通网段映射的服务器。当电信的链路断开后，联通的那条路由生效，此时所有内部网段都会走联通出口，这个时候再Ping联通的接口地址就通了（来去路径一致，都是联通）。