forum.opennet.ru - "NAT через TUNNEL" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NAT через TUNNEL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NAT через TUNNEL"
Сообщение от OVDP (ok) on 19-Янв-05, 12:45 (MSK)
тупиковая ситуация: есть киска с конфигом: --------------------------------- interface FastEthernet0/0 ip nat outside ip address xx.xx.xx.100 255.255.255.0 ! interface Group-Async0 ip address negotiated ip nat inside peer default ip address pool MODEMPOOL ! ip local pool MODEMPOOL 10.0.0.1 10.0.0.16 ip nat inside source list 1 interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1 (гейт через промежуточную киску) ! access-list 1 permit 10.0.0.0 0.0.0.255 --------------------------------- C киски можно пинговать хосты через дефолт гейт. C компа подключенного к Group-Async0 можно пинговать хосты через дефолт гейт. Трансляция работает замечательно. Добавляем тунель до другой киски. --------------------------------- interface Tunnel0 ip address yy.yy.yy.138 255.255.255.252 ip nat outside tunnel source xx.xx.xx.100 tunnel destination yy.yy.yy.1 tunnel key 12345678 ! interface FastEthernet0/0 ip address xx.xx.xx.100 255.255.255.0 ! interface Group-Async0 ip address negotiated ip nat inside peer default ip address pool MODEMPOOL ! ip local pool MODEMPOOL 10.0.0.1 10.0.0.16 ip nat inside source list 1 interface Tunnel0 overload ip route 0.0.0.0 0.0.0.0 yy.yy.yy.137 ip route yy.yy.yy.1 255.255.255.255 xx.xx.xx.1 (гейт через промежуточную киску) ! access-list 1 permit 10.0.0.0 0.0.0.255 --------------------------------- C киски можно пинговать хосты через дефолт гейт (туннель). C компа подключенного к Group-Async0 НЕЛЬЗЯ пинговать хосты через дефолт гейт. Трансляция НЕ работает. Помогите разобраться пожалуйста, что не так и чего не хватает.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NAT через TUNNEL, sh_, 13:05 , 19-Янв-05, (1)
- NAT через TUNNEL, OVDP, 14:07 , 19-Янв-05, (2)
  - NAT через TUNNEL, sh_, 14:27 , 19-Янв-05, (3)
  - NAT через TUNNEL, ВОЛКА, 20:06 , 19-Янв-05, (4)
    - NAT через TUNNEL, sh_, 21:58 , 19-Янв-05, (5)
      - NAT через TUNNEL, ВОЛКА, 22:34 , 19-Янв-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT через TUNNEL"

Сообщение от sh_ (??) on 19-Янв-05, 13:05  (MSK)

>C киски можно пинговать хосты через дефолт гейт (туннель).
А ты уверен, что через туннель идет? Покажи sh int tun0

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NAT через TUNNEL"

Сообщение от OVDP (??) on 19-Янв-05, 14:07  (MSK)

>>C киски можно пинговать хосты через дефолт гейт (туннель).
>
>А ты уверен, что через туннель идет? Покажи sh int tun0
очепятался немного, дело в том что необходимо что бы адрес подмены был как у FastEthernet0/0, так как тот конец нунеля адекватно реагирует на трафик с адресом данного интерфейсаи и только. В этом случае с компа подключенного к Group-Async0 пингуются всё что директ коннектед (например адреса хостов подключенных к FastEthernet0/0 и даже локальный адрес тунеля пингуется yy.yy.yy.138) а дальше (напр удаленный конец тунеля) нет. такое впечатление что через тунель не хочет идти, хотя дефолт гейт...странно, разве на NAT маршрутизация не применима?
так что текущая конфигурация ниже (хотя не факт что правильная :)
--------------------------
interface Tunnel0
ip address yy.yy.yy.138 255.255.255.252
tunnel source xx.xx.xx.100
tunnel destination yy.yy.yy.1
tunnel key 123456789
!
interface FastEthernet0/0
ip nat outside
ip address xx.xx.xx.100 255.255.255.0
!
interface Group-Async0
ip address negotiated
ip nat inside
peer default ip address pool MODEMPOOL
!
ip local pool MODEMPOOL 10.0.0.1 10.0.0.16
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 yy.yy.yy.137
ip route yy.yy.yy.1 255.255.255.255 xx.xx.xx.1 (гейт через промежуточную
киску)
!
access-list 1 permit 10.0.0.0 0.0.0.255
--------------------------
то что пингуется через тунель из киски:
Tracing the route to rambler.ru (81.19.66.50)
  1 yy.yy.yy.137 353 msec 329 msec 360 msec
  2 далее не важно как...
сам тунель:
Tunnel0 is up, line protocol is up
  Hardware is Tunnel
  Internet address is yy.yy.yy.138/30
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source xx.xx.xx.100, destination yy.yy.yy.1
  Tunnel protocol/transport GRE/IP, key 123456789, sequencing disabled
  Checksumming of packets disabled,  fast tunneling enabled
  Last input 00:00:02, output 00:00:02, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1445 packets input, 1146288 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3164 packets output, 261000 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NAT через TUNNEL"

Сообщение от sh_ (??) on 19-Янв-05, 14:27  (MSK)

Может так?
ip nat pool np xx.xx.xx.100 xx.xx.xx.100 255.255.255.0
ip nat inside source list 1 pool np overload
int fast0/0
no ip nat outside
int tun 0
ip nat outside

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NAT через TUNNEL"

Сообщение от ВОЛКА on 19-Янв-05, 20:06  (MSK)

так нельзя делать....

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NAT через TUNNEL"

Сообщение от sh_ (??) on 19-Янв-05, 21:58  (MSK)

Ну вот... :(
В ту сторону пакеты будут натиться и проходить через туннель. Обратно они через туннель не пойдут, а соответственно outside адрес в inside преобразовываться не будет. Я правильно понимаю, почему так делать нельзя?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NAT через TUNNEL"

Сообщение от ВОЛКА on 19-Янв-05, 22:34  (MSK)

правильно... туда через туннель, обратно напрямую...
ассиметричный раутинг возникает.
можно конечно попробовать на tunnel и ethernet интерфесах сказать ip nat outside
на внутреннем ip nat inside

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT через TUNNEL"
Сообщение от sh_ (??) on 19-Янв-05, 13:05 (MSK)
>C киски можно пинговать хосты через дефолт гейт (туннель). А ты уверен, что через туннель идет? Покажи sh int tun0
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "NAT через TUNNEL"
	Сообщение от OVDP (??) on 19-Янв-05, 14:07 (MSK)
	>>C киски можно пинговать хосты через дефолт гейт (туннель). > >А ты уверен, что через туннель идет? Покажи sh int tun0 очепятался немного, дело в том что необходимо что бы адрес подмены был как у FastEthernet0/0, так как тот конец нунеля адекватно реагирует на трафик с адресом данного интерфейсаи и только. В этом случае с компа подключенного к Group-Async0 пингуются всё что директ коннектед (например адреса хостов подключенных к FastEthernet0/0 и даже локальный адрес тунеля пингуется yy.yy.yy.138) а дальше (напр удаленный конец тунеля) нет. такое впечатление что через тунель не хочет идти, хотя дефолт гейт...странно, разве на NAT маршрутизация не применима? так что текущая конфигурация ниже (хотя не факт что правильная :) -------------------------- interface Tunnel0 ip address yy.yy.yy.138 255.255.255.252 tunnel source xx.xx.xx.100 tunnel destination yy.yy.yy.1 tunnel key 123456789 ! interface FastEthernet0/0 ip nat outside ip address xx.xx.xx.100 255.255.255.0 ! interface Group-Async0 ip address negotiated ip nat inside peer default ip address pool MODEMPOOL ! ip local pool MODEMPOOL 10.0.0.1 10.0.0.16 ip nat inside source list 1 interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 yy.yy.yy.137 ip route yy.yy.yy.1 255.255.255.255 xx.xx.xx.1 (гейт через промежуточную киску) ! access-list 1 permit 10.0.0.0 0.0.0.255 -------------------------- то что пингуется через тунель из киски: Tracing the route to rambler.ru (81.19.66.50) 1 yy.yy.yy.137 353 msec 329 msec 360 msec 2 далее не важно как... сам тунель: Tunnel0 is up, line protocol is up Hardware is Tunnel Internet address is yy.yy.yy.138/30 MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source xx.xx.xx.100, destination yy.yy.yy.1 Tunnel protocol/transport GRE/IP, key 123456789, sequencing disabled Checksumming of packets disabled, fast tunneling enabled Last input 00:00:02, output 00:00:02, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 1445 packets input, 1146288 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 3164 packets output, 261000 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "NAT через TUNNEL"
	Сообщение от sh_ (??) on 19-Янв-05, 14:27 (MSK)
	Может так? ip nat pool np xx.xx.xx.100 xx.xx.xx.100 255.255.255.0 ip nat inside source list 1 pool np overload int fast0/0 no ip nat outside int tun 0 ip nat outside
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "NAT через TUNNEL"
	Сообщение от ВОЛКА on 19-Янв-05, 20:06 (MSK)
	так нельзя делать....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "NAT через TUNNEL"
	Сообщение от sh_ (??) on 19-Янв-05, 21:58 (MSK)
	Ну вот... :( В ту сторону пакеты будут натиться и проходить через туннель. Обратно они через туннель не пойдут, а соответственно outside адрес в inside преобразовываться не будет. Я правильно понимаю, почему так делать нельзя?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "NAT через TUNNEL"
	Сообщение от ВОЛКА on 19-Янв-05, 22:34 (MSK)
	правильно... туда через туннель, обратно напрямую... ассиметричный раутинг возникает. можно конечно попробовать на tunnel и ethernet интерфесах сказать ip nat outside на внутреннем ip nat inside
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх