https://www.opennet.ru/openforum/vsluhforumID6/1429.html День добрый!<br>Есть Cisco 3825, с настроенной AS и DMZ. Некоторые сервисы вынесенные в DMZ до последних пор были доступны из локальной сети, теперь - нет.<br>Вопрос - что такое могло произойти? <br>Конфигурация маршрутизатора не менялась...<br>Симптомы: снаружи сервисы из DMZ доступны - всё работает, из локальной сети ping не работает, tracert - может выдавать искомый сервис на 2 хопе, может на 8-м.<br>DMZ имеет адреса из AS.<br><br>Прошу помощи, может кто-то сталкивался с подобной проблемой?<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#9 Sat, 02 Aug 2014 16:54:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; чтобы пакеты бегали из LAN в DMZ и обратно?<br>&gt;&gt; Заранее спасибо <br>&gt; Рад помочь.<br>&gt; ACL LAN_TO_INET связан именно с NAT: <br>&gt; ip nat inside source list LAN_TO_INET pool NATPOOL overload <br>&gt; Запретив в ACL доступ из 10.x.x.0/24 в 92.x.x.0/26 вы именно запрещаете NAT <br>&gt; из LAN в AS_DMZ.<br>&gt; Можно было удалить ip nat outside из под AS_DMZ интерфейса, эффект был <br>&gt; бы тот же самый, но это зависит от конкретной цели и <br>&gt; задачи.<br><br>Понял, спасибо.<br>Удачи<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#8 Sat, 02 Aug 2014 12:13:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt; deny ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63 <br>&gt;&gt; permit ip 10.x.x.0 0.0.0.255 any <br>&gt; Спасибо kd - заработало!<br>&gt; У меня к тебе 2 вопроса. Сам я небольшой спец по Cisco, <br>&gt; поэтому: <br>&gt; 1. Почему запрет на прохождение пакетов в ACL дал эффект прохождения пакетов <br>&gt; в моей ситуации?<br>&gt; 2. NAT не нужен, но я не совсем понимаю как сделать иначе, <br>&gt; чтобы пакеты бегали из LAN в DMZ и обратно?<br>&gt; Заранее спасибо <br><br>Рад помочь.<br>ACL LAN_TO_INET связан именно с NAT:<br>ip nat inside source list LAN_TO_INET pool NATPOOL overload<br><br>Запретив в ACL доступ из 10.x.x.0/24 в 92.x.x.0/26 вы именно запрещаете NAT из LAN в AS_DMZ.<br>Можно было удалить ip nat outside из под AS_DMZ интерфейса, эффект был бы тот же самый, но это зависит от конкретной цели и задачи.<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#7 Sat, 02 Aug 2014 07:15:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Сделаите ACL для НАТ-а так.<br>&gt;&gt; ip access-list extended LAN_TO_INET <br>&gt;&gt; deny ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt;&gt; deny ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192 <br>&gt;&gt; permit ip 10.x.x.0 0.0.0.255 any <br>&gt; имею ввиду: <br>&gt; ip access-list extended LAN_TO_INET <br>&gt; deny ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt; deny ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63 <br>&gt; permit ip 10.x.x.0 0.0.0.255 any <br><br>Спасибо kd - заработало!<br>У меня к тебе 2 вопроса. Сам я небольшой спец по Cisco, поэтому:<br>1. Почему запрет на прохождение пакетов в ACL дал эффект прохождения пакетов в моей ситуации?<br>2. NAT не нужен, но я не совсем понимаю как сделать иначе, чтобы пакеты бегали из LAN в DMZ и обратно?<br><br>Заранее спасибо<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#6 Fri, 01 Aug 2014 11:34:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?<br>&gt;&gt;&gt; У вас еще access-list port22dis отсутствует в конфиге...<br>&gt;&gt; Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).<br>&gt;&gt; access-list port22dis в конфиге присутствует.<br>&gt; Зачем NAT-ит из LAN в AS_DMZ?<br>&gt; Сделаите ACL для НАТ-а так.<br>&gt; ip access-list extended LAN_TO_INET <br>&gt; deny ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt; deny ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192 <br>&gt; permit ip 10.x.x.0 0.0.0.255 any <br><br>имею ввиду:<br>ip access-list extended LAN_TO_INET<br>deny ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255<br>deny ip 10.x.x.0 0.0.0.255 92.x.x.0 0.0.0.63<br>permit ip 10.x.x.0 0.0.0.255 any<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#5 Fri, 01 Aug 2014 08:33:31 GMT &gt;&gt;&gt;&gt;interface GigabitEthernet0/0.25 <br>&gt;&gt;&gt;&gt;description AS_DMZ <br>&gt;&gt;&gt;&gt;encapsulation dot1Q 25 <br>&gt;&gt;&gt;&gt;ip address 10.90.90.111 255.255.0.0 secondary <br>&gt;&gt;&gt;&gt;ip address 92.x.x.1 255.255.255.192 <br>&gt;&gt;&gt;&gt;ip access-group port22dis in <br>&gt;&gt; Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?<br>&gt;&gt; У вас еще access-list port22dis отсутствует в конфиге...<br>&gt; Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).<br>&gt; access-list port22dis в конфиге присутствует.<br><br>Зачем NAT-ит из LAN в AS_DMZ?<br><br>Сделаите ACL для НАТ-а так.<br><br>ip access-list extended LAN_TO_INET<br>deny ip 10.x.x.0 0.0.0.255 192.168.10.0 0.0.0.255<br>deny ip 10.x.x.0 0.0.0.255 92.x.x.1 255.255.255.192<br>permit ip 10.x.x.0 0.0.0.255 any<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#4 Fri, 01 Aug 2014 01:47:24 GMT &gt;&gt;&gt;interface GigabitEthernet0/0.25 <br>&gt;&gt;&gt;description AS_DMZ <br>&gt;&gt;&gt;encapsulation dot1Q 25 <br>&gt;&gt;&gt;ip address 10.90.90.111 255.255.0.0 secondary <br>&gt;&gt;&gt;ip address 92.x.x.1 255.255.255.192 <br>&gt;&gt;&gt;ip access-group port22dis in <br>&gt; Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?<br>&gt; У вас еще access-list port22dis отсутствует в конфиге...<br><br>Нет. Пытаюсь попасть из 10.x.x.0/24(LAN) в 92.x.x.0/26(AS).<br>access-list port22dis в конфиге присутствует.<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#3 Thu, 31 Jul 2014 06:01:06 GMT &gt;&gt;interface GigabitEthernet0/0.25<br>&gt;&gt;description AS_DMZ<br>&gt;&gt;encapsulation dot1Q 25<br>&gt;&gt;ip address 10.90.90.111 255.255.0.0 secondary<br>&gt;&gt;ip address 92.x.x.1 255.255.255.192<br>&gt;&gt;ip access-group port22dis in<br><br>Из какой в какую сеть попасть пытаетесь? часом не в 10.90.0.0/16?<br>У вас еще access-list port22dis отсутствует в конфиге...<br> https://www.opennet.ru/openforum/vsluhforumID6/1429.html#2 Thu, 31 Jul 2014 05:41:00 GMT Конфиг прилагаю, а лог... что именно нужно отобразить?<br><br><br>!<br>! Last configuration change at 12:40:21 NOVST Wed Jul 30 2014 by star<br>! NVRAM config last updated at 12:40:38 NOVST Wed Jul 30 2014 by star<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>!<br>hostname main-gw<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging message-counter syslog<br>!<br>aaa new-model<br>!<br>!<br>aaa group server radius XXXX<br> server-private 10.x.x.11 auth-port 1812 acct-port 1813 key 7 ghghghghghghghghgghghgh<br>!<br>aaa authentication login default local<br>aaa authentication ppp default group XXXX<br>aaa authorization exec default local <br>aaa authorization network pptp group XXXX <br>!<br>!<br>aaa session-id common<br>clock timezone NOVST 7<br>clock calendar-valid<br>!<br>dot11 syslog<br>ip source-route<br>ip cef<br>!<br>!<br>!<br>!<br>ip domain name xxxx.ru<br>ip name-server 8.8.8.8<br>ip name-server 8.8.4.4<br>login on-failure log<br>login on-success log<br>no ipv6 cef<br>!<br>multi https://www.opennet.ru/openforum/vsluhforumID6/1429.html#1 Thu, 31 Jul 2014 05:01:59 GMT &gt;[оверквотинг удален]<br>&gt; Есть Cisco 3825, с настроенной AS и DMZ. Некоторые сервисы вынесенные в <br>&gt; DMZ до последних пор были доступны из локальной сети, теперь - <br>&gt; нет.<br>&gt; Вопрос - что такое могло произойти?<br>&gt; Конфигурация маршрутизатора не менялась...<br>&gt; Симптомы: снаружи сервисы из DMZ доступны - всё работает, из локальной сети <br>&gt; ping не работает, tracert - может выдавать искомый сервис на 2 <br>&gt; хопе, может на 8-м.<br>&gt; DMZ имеет адреса из AS.<br>&gt; Прошу помощи, может кто-то сталкивался с подобной проблемой?<br><br>Конфиги? Логи?<br>Отпускной период ныче...<br>