The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco 1841, 2 x провайдера и 2 x FTP сервера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от tohha (ok) on 07-Мрт-10, 18:20 
Есть cisco 1841 + HWIC-1FE.
Надо настроить, чтобы можно было подключаться к FTP серверам с двух разных провайдеров. С одного провайдера к 192.168.1.12, со второго к 192.168.1.139

Есть 2 проблемы:
1) когда прописано
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.139
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.161
то вообще не пингуются IP с FastEthernet0/0/0
если оставить только  ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0 yyy.yyy.yyy.161 то пингуются все внешние IP-шники
совершенно не понимаю почему это происходит ;o(

2) оставляю только ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.161
работает подключение FTP в пассивном режиме к IP: xxx.xxx.xxx.xxx
а к IP: yyy.yyy.yyy.yyy не работает. Конкретнее, не устанавливается DATA соединение.

пробовал прописывать
ip nat pool ftp-passive 192.168.1.12 192.168.1.12 netmask 255.255.255.0 type rotary
ip nat inside destination list ftp-passive pool ftp-passive
ip access-list extended ftp-passive
permit udp any host yyy.yyy.yyy.yyy range 1024 65535

но безрезультатно ;o(

На самом деле, мне бы хотя бы с первой проблемой разобраться. Может после этого прийдет понимание второй проблемы.


!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gate
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-3265806284
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265806284
revocation-check none
rsakeypair TP-self-signed-3265806284
!
!

dot11 syslog
ip cef
!
!
!
!
ip domain name xxxxxxx
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
multilink bundle-name authenticated
!
!
username toha privilege 15 secret 5 xxxxxxxx
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address xxx.xxx.xxx.xxx 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.1.29 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map ISP
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address yyy.yyy.yyy.yyy 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 xxx.xxx.xxx.139
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0 yyy.yyy.yyy.161
!
!
ip nat inside source route-map NAT-ISP-1 interface FastEthernet0/0 overload
ip nat inside source route-map NAT-ISP-2 interface FastEthernet0/0/0 overload
!
ip nat inside source static tcp 192.168.1.12 20 FastEthernet0/0/0 20
ip nat inside source static tcp 192.168.1.12 21 FastEthernet0/0/0 21
!
ip nat inside source static tcp 192.168.1.139 20 interface FastEthernet0/0 20
ip nat inside source static tcp 192.168.1.139 21 interface FastEthernet0/0 21
!
access-list 100 permit ip any any
!
access-list 103 deny ip 192.168.1.12 0.0.0.255 any
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
!
access-list 104 permit ip host 192.168.1.12 any
!

route-map ISP permit 10
match ip address 103
set ip next-hop xxx.xxx.xxx.137
!
route-map ISP permit 20
match ip address 104
set ip next-hop yyy.yyy.yyy.161
!
route-map NAT-ISP-1 permit 1
match ip address 103
!
route-map NAT-ISP-2 permit 1
match ip address 104
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
transport input ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от tohha (ok) on 07-Мрт-10, 18:45 
первую проблему решил.
Надо было  добавить match interface в route-map

route-map ISP permit 10
match ip address 103
match interface FastEthernet 0/0
set ip next-hop xxx.xxx.xxx.137
!
route-map ISP permit 20
match ip address 104
match interface FastEthernet 0/0/0
set ip next-hop yyy.yyy.yyy.161

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "опять не работает ;o("  +/
Сообщение от tohha (ok) on 07-Мрт-10, 19:59 
Проблема все таки не решена. После reload опять не пашет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "опять не работает ;o("  +/
Сообщение от Gbyte email(ok) on 07-Мрт-10, 20:29 

Как у тебя кто-то будет ходить на фтп сервера, когда у тебя в ЛАНе таже адресация?

Если в вопросе ты ничего не напутал, то нужно:
1. на каждом хосте который идет на фтп-сервер прописать маршрут до конкретного сервера через 1841.
2. попробуй на 1841 прописать маршруты до фтп тоже:
    * ip route 192.168.1.X 255.255.255.255 ISP1
    * ip route 192.168.1.Y 255.255.255.255 ISP2

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "опять не работает ;o("  +/
Сообщение от tohha (ok) on 07-Мрт-10, 21:06 
Что значит в "в лане та же адресация"?
У меня LAN: 192.168.1.0/24
там же стоят FTP сервера: 192.168.1.12 и 192.168.1.139
мне необходимо до них достучаться извне.

>[оверквотинг удален]
>
>Как у тебя кто-то будет ходить на фтп сервера, когда у тебя
>в ЛАНе таже адресация?
>
>Если в вопросе ты ничего не напутал, то нужно:
>1. на каждом хосте который идет на фтп-сервер прописать маршрут до конкретного
>сервера через 1841.
>2. попробуй на 1841 прописать маршруты до фтп тоже:
>    * ip route 192.168.1.X 255.255.255.255 ISP1
>    * ip route 192.168.1.Y 255.255.255.255 ISP2

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "опять не работает ;o("  +/
Сообщение от Gbyte email(ok) on 07-Мрт-10, 21:51 
извини, нетак понял :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от tohha (ok) on 07-Мрт-10, 22:14 
В общем, проблема остается даже если натить все:
ip nat inside source static 192.168.1.12 yyy.yyy.yyy.yyy

Самое интересное, что для FastEthernet 0/0 достаточно конструкции:
ip nat inside source static tcp 192.168.1.139 20 FastEthernet0/0/0 20
ip nat inside source static tcp 192.168.1.139 21 FastEthernet0/0/0 21
и все, FTP пассивный пашет

А вот для FastEthernet 0/0/0 (HWIC-1FE) даже ip nat inside source static 192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o(

Я уж не знаю на что грешить.
На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже 3 дня убил и головой об лед.
Неужели никто не сталкивался с подобным?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от Gbyte email(ok) on 07-Мрт-10, 22:17 
>[оверквотинг удален]
>ip nat inside source static tcp 192.168.1.139 21 FastEthernet0/0/0 21
>и все, FTP пассивный пашет
>
>А вот для FastEthernet 0/0/0 (HWIC-1FE) даже ip nat inside source static
>192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o(
>
>Я уж не знаю на что грешить.
>На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже
>3 дня убил и головой об лед.
>Неужели никто не сталкивался с подобным?

1. Посмотри в сторону ip inspect
2. ты же хочешь чтобы к твоим фтп-серверам снаружи цеплялись? тогда надо ip nat outside же делать..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от tohha (ok) on 07-Мрт-10, 22:30 
ip inspect смотрел настраивал, не помогает
а с outside что-то не понял. Мне надо пробросить порты внутрь свое сетки. какой же это outside, когда это ip nat inside!

>[оверквотинг удален]
>>192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o(
>>
>>Я уж не знаю на что грешить.
>>На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже
>>3 дня убил и головой об лед.
>>Неужели никто не сталкивался с подобным?
>
>1. Посмотри в сторону ip inspect
>2. ты же хочешь чтобы к твоим фтп-серверам снаружи цеплялись? тогда надо
>ip nat outside же делать..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от Gbyte email(ok) on 08-Мрт-10, 04:21 
>ip inspect смотрел настраивал, не помогает
>а с outside что-то не понял. Мне надо пробросить порты внутрь свое
>сетки. какой же это outside, когда это ip nat inside!

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_con...


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "cisco 1841, 2 x провайдера и 2 x FTP сервера"  +/
Сообщение от Николай (??) on 10-Мрт-10, 18:25 
>>ip nat outside же делать..

не делай ip nat outside - схема редкая и извращенная фактически ты выбрасываешь в ЛАН внешний ВАН IP адрес из пула заданного для внуттренней сети.

Вот мой рабочий пример заточи под себя

interface GigabitEthernet0/0.250
encapsulation dot1Q 250
ip address 172.16.250.1 255.255.255.192
ip nat inside
no ip virtual-reassembly
ip policy route-map INER-map
no cdp enable
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.548
encapsulation dot1Q 548
ip address 212.xxx.xxx.222 255.255.255.248
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1.2586
encapsulation dot1Q 2586
ip address 88.xxx.xxx.222 255.255.255.240
ip nat outside
ip virtual-reassembly
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 212.xxx.xxx.217
!
ip nat inside source static 172.16.250.2 88.xxx.xxx.221 extendable
ip nat inside source static 172.16.250.3 212.xxx.xxx.222 extendable
!

ip access-list extended INET-acl
remark Interest traffic IPSEC
permit ip 172.16.250.0 0.0.0.15 any
!
!
!
route-map INER-map permit 10
match ip address INET-acl
set ip next-hop 88.81.253.209

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру