https://opennet.ru/openforum/vsluhforumID6/12553.html Здравствуйте, уважаемые.<br><br> Столкнулся с непонятной ситуевиной. Есть Cisco 871, конфиг следующий:<br><br>version 12.3 <br>no service pad <br>service timestamps debug datetime msec <br>service timestamps log datetime msec <br>no service password-encryption <br>! <br>hostname *********<br>! <br>boot-start-marker <br>boot-end-marker <br>! <br>logging buffered 51200 warnings https://opennet.ru/openforum/vsluhforumID6/12553.html#18 Fri, 26 Oct 2007 04:32:32 GMT &gt;ip nat inside source list NAT_ISP interface FastEthernet4 <br>&gt;ip access-list extended NAT_ISP <br>&gt; permit ip 192.168.0.0 0.0.0.255 any<br><br>Мне помогло !!! Спасибо.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/12553.html#17 Thu, 01 Feb 2007 09:46:34 GMT <br>&gt; Похоже придется переставлять IOS, этого еще не делалалось :( <br>&gt;<br>&gt; Всем спасибо за советы. <br>&gt;<br>&gt; З. Ы.: Сколько работаю, первый раз такой косяк с киской... <br>&gt;Неужели и до них докатилась такая вот "китайственность"? :( Обидно... <br><br>Вы так и не показали sh ver, как делали конфигурацию, и что в логах. Не рано ли сдаетесь?<br> https://opennet.ru/openforum/vsluhforumID6/12553.html#16 Thu, 01 Feb 2007 00:24:29 GMT Здравствуйте, уважаемые.<br><br> Краткий отчет.<br><br>&gt;У меня была подобная проблема, решается просто, для NAT-а нужен extended ACL <br>&gt;<br>&gt;<br>&gt;ip nat inside source list NAT_ISP interface FastEthernet4 <br>&gt;ip access-list extended NAT_ISP <br>&gt; permit ip 192.168.0.0 0.0.0.255 any <br>&gt;! <br><br> И это не помогло :( По прежнему на рабочих станция приходится пользоваться пингером. <br><br> Vlan-ы по рекомендации http://www.opennet.ru/openforum/vsluhforumID6/12060.html на FastEthernet 0-3 прикручиваются, но что-то непонятное происходит с адресами на vlan-ах, с рбочих станций не проходят даже пинги на шлюз.<br><br> Похоже придется переставлять IOS, этого еще не делалалось :( <br><br> Всем спасибо за советы.<br><br> З. Ы.: Сколько работаю, первый раз такой косяк с киской... Неужели и до них докатилась такая вот "китайственность"? :( Обидно... https://opennet.ru/openforum/vsluhforumID6/12553.html#15 Tue, 30 Jan 2007 05:10:23 GMT У меня была подобная проблема, решается просто, для NAT-а нужен extended ACL<br><br>ip nat inside source list NAT_ISP interface FastEthernet4 <br>ip access-list extended NAT_ISP<br> permit ip 192.168.0.0 0.0.0.255 any<br>!<br> https://opennet.ru/openforum/vsluhforumID6/12553.html#14 Fri, 26 Jan 2007 07:55:10 GMT &gt;&gt;&gt;&gt;&gt;ip access-group 100 in <br>&gt;&gt;&gt;&gt;&gt;в этом скорее всего и грабли !!! <br>&gt;&gt;&gt;&gt;&gt;НАДО ip access-group 100 out <br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt;ссш не будет пускать пока не будет включена локальная авторизация <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз <br>&gt;&gt;&gt;&gt;какие сети вы пускаете через нат ?? определитесь <br>&gt;&gt;&gt;&gt;ip subnet zero ., добавте . <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;access-list 101 deny tcp any host 100.100.100.100 eq 22 <br>&gt;&gt;&gt;access-list 101 deny tcp any host 100.100.100.100 eq telnet <br>-list 101 deny tcp any host 100.100.100.100 eq www <br>&gt;&gt;&gt;- здесь вы запретили вам отвечать по www - вы же <br>&gt;&gt;&gt;выходите в мир с этим адресом и все ответы идут на <br>&gt;&gt;&gt;него - или так задумано . <br>&gt;&gt;&gt;access-list 101 permit ip any any <br>&gt;&gt;<br>&gt;&gt;А на интерфейсы не надо добавлять настройкми vlan , по памяти <br>&gt;&gt;непомню уже. <br>&gt;Да и попробуй убрать Vlan 2 <br><br>http://www.opennet.ru/openforum/vsluhforumID6/12060.html вот посмотри<br> https://opennet.ru/openforum/vsluhforumID6/12553.html#13 Fri, 26 Jan 2007 07:30:25 GMT &gt;&gt;&gt;&gt;ip access-group 100 in <br>&gt;&gt;&gt;&gt;в этом скорее всего и грабли !!! <br>&gt;&gt;&gt;&gt;НАДО ip access-group 100 out <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;ссш не будет пускать пока не будет включена локальная авторизация <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз <br>&gt;&gt;&gt;какие сети вы пускаете через нат ?? определитесь <br>&gt;&gt;&gt;ip subnet zero ., добавте . <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;access-list 101 deny tcp any host 100.100.100.100 eq 22 <br>&gt;&gt;access-list 101 deny tcp any host 100.100.100.100 eq telnet <br>&gt;&gt;access-list 101 deny tcp any host 100.100.100.100 eq www <br>&gt;&gt;- здесь вы запретили вам отвечать по www - вы же <br>&gt;&gt;выходите в мир с этим адресом и все ответы идут на <br>&gt;&gt;него - или так задумано . <br>&gt;&gt;access-list 101 permit ip any any <br>&gt;<br>&gt;А на интерфейсы не надо добавлять настройкми vlan , по памяти <br>&gt;непомню уже. <br>Да и попробуй убрать Vlan 2 <br><br> https://opennet.ru/openforum/vsluhforumID6/12553.html#12 Fri, 26 Jan 2007 06:54:25 GMT &gt;&gt;&gt;ip access-group 100 in <br>&gt;&gt;&gt;в этом скорее всего и грабли !!! <br>&gt;&gt;&gt;НАДО ip access-group 100 out <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;ссш не будет пускать пока не будет включена локальная авторизация <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз <br>&gt;&gt;какие сети вы пускаете через нат ?? определитесь <br>&gt;&gt;ip subnet zero ., добавте . <br>&gt;<br>&gt;<br>&gt;access-list 101 deny tcp any host 100.100.100.100 eq 22 <br>&gt;access-list 101 deny tcp any host 100.100.100.100 eq telnet <br>&gt;access-list 101 deny tcp any host 100.100.100.100 eq www <br>&gt;- здесь вы запретили вам отвечать по www - вы же <br>&gt;выходите в мир с этим адресом и все ответы идут на <br>&gt;него - или так задумано . <br>&gt;access-list 101 permit ip any any <br><br>А на интерфейсы не надо добавлять настройкми vlan , по памяти непомню уже.<br> https://opennet.ru/openforum/vsluhforumID6/12553.html#11 Fri, 26 Jan 2007 06:45:35 GMT &gt;&gt;ip access-group 100 in <br>&gt;&gt;в этом скорее всего и грабли !!! <br>&gt;&gt;НАДО ip access-group 100 out <br>&gt;&gt;<br>&gt;&gt;ссш не будет пускать пока не будет включена локальная авторизация <br>&gt;<br>&gt;<br>&gt;access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз <br>&gt;какие сети вы пускаете через нат ?? определитесь <br>&gt;ip subnet zero ., добавте . <br><br><br>access-list 101 deny tcp any host 100.100.100.100 eq 22 <br>access-list 101 deny tcp any host 100.100.100.100 eq telnet <br>access-list 101 deny tcp any host 100.100.100.100 eq www - здесь вы запретили вам отвечать по www - вы же выходите в мир с этим адресом и все ответы идут на него - или так задумано . <br>access-list 101 permit ip any any https://opennet.ru/openforum/vsluhforumID6/12553.html#10 Fri, 26 Jan 2007 06:37:28 GMT &gt;ip access-group 100 in <br>&gt;в этом скорее всего и грабли !!! <br>&gt;НАДО ip access-group 100 out <br>&gt;<br>&gt;ссш не будет пускать пока не будет включена локальная авторизация <br><br><br>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз <br>какие сети вы пускаете через нат ?? определитесь<br>ip subnet zero ., добавте . <br>