https://www.opennet.ru/openforum/vsluhforumID6/18275.html Всем привет!<br><br>Прошу помощи в настройке маршрутизатора Cisco 3725. Опыта практически не имею, поэтому прошу помощи в решении следующей проблемы.<br>Есть роутер, который смотрит в инет. Внутренний адрес 192.168.21.1. Есть два сегмента внутри сети: 192.168.21.0/24, 192.168.25.0/24. Между этими двумя сегментами стоит 3725.<br>Проблема в том, что я не знаю, как правильно настроить нат, чтобы из 25 подсети был доступ в Интернет, и из 21й был доступ в 25 (например, по рдп).<br>Конфиг 3725 следующий:<br><br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname Router<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 4096 warnings<br>enable secret 5 $1$U0E4$3K.YBI3D8gTz8QaeWpoQA0<br>enable password 7 060B0E32584B1B<br>!<br>no aaa new-model<br>memory-size iomem 25<br>clock timezone MSK 3<br>clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00<br>ip cef<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>crypto pki trustpoint TP-self-signed-1806277845<br> enrollment selfsi https://www.opennet.ru/openforum/vsluhforumID6/18275.html#4 Thu, 19 Feb 2009 12:21:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;25 подсеть нет. <br>&gt;<br>&gt;Ну да я опечатался, там в одном месте 21.0, а я написал <br>&gt;25.0 <br>&gt;<br>&gt;Вот так делайте: <br>&gt;<br>&gt;no access-list 101 <br>&gt;access-list 101 deny ip 192.168.25.0 0.0.0.255 192.168.21.0 0.0.0.255 <br>&gt;access-list 101 permit ip 192.168.25.0 0.0.0.255 any <br><br>Спасибо! Помогло!<br> https://www.opennet.ru/openforum/vsluhforumID6/18275.html#3 Thu, 19 Feb 2009 11:41:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;ip nat inside source list 101 interface FastEthernet0/1 overload <br>&gt;&gt;<br>&gt;&gt;и сделайте service password-enc, а то в таком виде ваши пароли легко <br>&gt;&gt;расшифровываются... <br>&gt;<br>&gt;trianon, спасибо за ответ. <br>&gt;<br>&gt;Сделал, как вы сказали. К сожалению, проблема сохраняется. Доступа по рдп в <br>&gt;25 подсеть нет. <br><br>Ну да я опечатался, там в одном месте 21.0, а я написал 25.0<br><br>Вот так делайте:<br><br>no access-list 101<br>access-list 101 deny ip 192.168.25.0 0.0.0.255 192.168.21.0 0.0.0.255<br>access-list 101 permit ip 192.168.25.0 0.0.0.255 any <br> https://www.opennet.ru/openforum/vsluhforumID6/18275.html#2 Thu, 19 Feb 2009 09:20:54 GMT &gt;[оверквотинг удален]<br>&gt;no ip nat inside source list 1 interface FastEthernet0/1 overload <br>&gt;no access-list 1 permit 192.168.25.0 0.0.0.255 <br>&gt;<br>&gt;access-list 101 deny ip 192.168.25.0 0.0.0.255 192.168.25.0 0.0.0.255 <br>&gt;access-list 101 permit ip 192.168.25.0 0.0.0.255 any <br>&gt;<br>&gt;ip nat inside source list 101 interface FastEthernet0/1 overload <br>&gt;<br>&gt;и сделайте service password-enc, а то в таком виде ваши пароли легко <br>&gt;расшифровываются... <br><br>trianon, спасибо за ответ.<br><br>Сделал, как вы сказали. К сожалению, проблема сохраняется. Доступа по рдп в 25 подсеть нет. <br> https://www.opennet.ru/openforum/vsluhforumID6/18275.html#1 Thu, 19 Feb 2009 08:35:50 GMT &gt;ip nat inside source list 1 interface FastEthernet0/1 overload <br>&gt;! <br>&gt;logging trap debugging <br>&gt;logging 192.168.25.77 <br>&gt;access-list 1 permit 192.168.25.0 0.0.0.255 <br>&gt;! <br><br>no ip nat inside source list 1 interface FastEthernet0/1 overload <br>no access-list 1 permit 192.168.25.0 0.0.0.255 <br><br>access-list 101 deny ip 192.168.25.0 0.0.0.255 192.168.25.0 0.0.0.255<br>access-list 101 permit ip 192.168.25.0 0.0.0.255 any<br><br>ip nat inside source list 101 interface FastEthernet0/1 overload <br><br>и сделайте service password-enc, а то в таком виде ваши пароли легко расшифровываются...<br>