URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20836
[ Назад ]

Исходное сообщение
"из одной подсети на волю"

Отправлено SeaWalker , 07-Апр-10 14:34 
как всегда я туп до невозможности.
прошу совета:
есть две додсети, 192.168.2.0 и 192.168.3.0, сидят за разными цисками
между ними проброшен туннель

interface Tunnel101
description Sclad
ip unnumbered Vlan200
no ip proxy-arp
ip mtu 1476
tunnel source 192.168.xxx.1
tunnel destination 192.168.yyy.3

в результате обе подсети себя прекрасно видят, пингуются и все такое
но, из 192.168.3.x я никак не могу вылезти вовне, используя первую сеть
в первой сети

int fa 0/1
ip address 2xx.xxx.xxx.xxx 255.255.255.248
ip nat outside
ip route 0.0.0.0 0.0.0.0 (next hop прова)
ip route 192.168.3.0 255.255.255.0 tunnel 101

подскажите куда ломиться



Содержание

Сообщения в этом обсуждении
"из одной подсети на волю"
Отправлено Gbyte , 07-Апр-10 14:49 
ничего не понятно, нужна схема как все соединено и куда в инет пройти.

еще сразу на обоих рутерах:
#sho cdp neib
#sho ip int br
#sho ip route
#sho ip proto


"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 15:16 
>ничего не понятно, нужна схема как все соединено и куда в инет
>пройти.
>
>еще сразу на обоих рутерах:
>#sho cdp neib
>#sho ip int br
>#sho ip route
>#sho ip proto

Это на складе

Router#sho cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID

Router#sho ip int br
Interface                  IP-Address      OK? Method Status                Prot
ocol
FastEthernet0              unassigned      YES unset  up                    up

FastEthernet1              unassigned      YES unset  up                    down

FastEthernet2              unassigned      YES unset  up                    down

FastEthernet3              unassigned      YES unset  up                    down

FastEthernet4              192.168.xxx.xxx   YES NVRAM  up                    up

NVI0                       192.168.xxx.xxx   YES unset  up                    up

SSLVPN-VIF0                unassigned      NO  unset  up                    up

Tunnel101                  192.168.3.1     YES TFTP   up                    up

Vlan1                      unassigned      YES NVRAM  up                    down

Vlan200                    192.168.3.1     YES NVRAM  up                    up


Router#sho ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.131.1 to network 0.0.0.0

C    192.168.xxx.0/24 is directly connected, FastEthernet4
     1xx.xxx.xxx.0/32 is subnetted, 1 subnets
S       1xx.xxx.xxx.xxx is directly connected, Tunnel101
C    192.168.3.0/24 is directly connected, Vlan200
     2xx.xxx.xxx.0/32 is subnetted, 1 subnets
S       2xx.xxx.xxx.xxx is directly connected, Tunnel101
S    192.168.2.0/24 is directly connected, Tunnel101
S*   0.0.0.0/0 [1/0] via 192.168.xxx.xxx

Router#sho ip proto



"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 15:23 
>ничего не понятно, нужна схема как все соединено и куда в инет
>пройти.
>
>еще сразу на обоих рутерах:
>#sho cdp neib
>#sho ip int br
>#sho ip route
>#sho ip proto

на моей
eka2811#sho cdp nei
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
office2960       Fas 0/1/0          166         S I       WS-C2960-4Gig 0/2
cisco2811          Fas 0/0            157        R S I      2811      Fas 0/1
cisco2811          Fas 0/1            157        R S I      2811      Fas 0/0

eka2811#sho ip int br
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            192.168.xxx.xxx   YES manual up                    up  
FastEthernet0/1            2xx.xxx.xxx.xxx  YES NVRAM  up                    up  
FastEthernet0/1/0          unassigned      YES unset  up                    up  
FastEthernet0/1/1          unassigned      YES unset  up                    up  
FastEthernet0/1/2          unassigned      YES unset  up                    down
FastEthernet0/1/3          unassigned      YES unset  up                    down
Vlan1                      unassigned      YES NVRAM  up                    up  
Vlan20                     unassigned      YES NVRAM  up                    down
Vlan200                    192.168.2.1     YES NVRAM  up                    up  
NVI0                       unassigned      YES unset  up                    up  
Tunnel101                  192.168.2.1     YES TFTP   up                    up  
Tunnel102                  192.168.2.1     YES TFTP   up                    up  
Tunnel1032                 unassigned      YES NVRAM  up                    down

eka2811#sho ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 217.119.86.129 to network 0.0.0.0

     192.168.xxx.0/25 is subnetted, 1 subnets
S       192.168.xxx.0 is directly connected, Tunnel102
     2xx.xxx.xxx.0/29 is subnetted, 1 subnets
C       2xx.xxx.xxx.xxx is directly connected, FastEthernet0/1
S    192.168.xxx.0/24 [1/0] via 192.168.xxx.2
S    192.168.3.0/24 is directly connected, Tunnel101
C    192.168.2.0/24 is directly connected, Vlan200
C    192.168.xxx.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [1/0] via 2xx.xxx.xxx.xxx
O    192.168.2.0/18 is a summary, 6d20h, Null0
O    192.168.2.0/16 is a summary, 6d07h, Null0

eka2811#sho ip proto
Routing Protocol is "ospf 102"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is 71
  Router ID 192.168.xxx.xxx
  It is an autonomous system boundary router
  Redistributing External Routes from,
    ospf 506, includes subnets in redistribution
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Address Summarization:
  Maximum path: 4
  Routing for Networks:
    192.168.xxx.0 0.0.0.255 area 0
  Routing Information Sources:
    Gateway         Distance      Last Update
    (this router)        110      6d07h
  Distance: (default is 110)

Routing Protocol is "ospf 506"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 10.16.40.12
  It is an autonomous system boundary router
  Redistributing External Routes from,
    static, includes subnets in redistribution
    ospf 102, includes subnets in redistribution
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Address Summarization:
  Maximum path: 4
  Routing for Networks:
    10.16.40.0 0.0.0.255 area 6
    192.168.0.0 0.0.255.255 area 6
  Routing Information Sources:
    Gateway         Distance      Last Update
    (this router)        110      6d20h
  Distance: (default is 110)


"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 15:27 
>ничего не понятно, нужна схема как все соединено и куда в инет
>пройти.

из подсети 192.168.3.0 бежит через туннель на 192.168.2.1
а оттуда по идее должно убегать на fa0/1 с IP 2xx.xxx.xxx.xxx


"из одной подсети на волю"
Отправлено Gbyte , 07-Апр-10 15:37 
>>ничего не понятно, нужна схема как все соединено и куда в инет
>>пройти.
>
>из подсети 192.168.3.0 бежит через туннель на 192.168.2.1
>а оттуда по идее должно убегать на fa0/1 с IP 2xx.xxx.xxx.xxx

как маршрутеры у тебя так связаны? они хоть друг друга пингуют?

еще на складе у тебя:
Gateway of last resort is 192.168.131.1 to network 0.0.0.0


"из одной подсети на волю"
Отправлено Тимофей , 07-Апр-10 15:21 
первое маршуртизация есть между цисками ??
если нету то надо на 3.х нарисовать дефолт гейт в сторону 2.х

"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 15:25 
>первое маршуртизация есть между цисками ??
>если нету то надо на 3.х нарисовать дефолт гейт в сторону 2.х
>

между цисками все есть
на второй
ip route 192.168.2.0 tun 101

на первой
ip route 192.168.3.0 tun 101

все робит


"из одной подсети на волю"
Отправлено Тимофей , 07-Апр-10 15:47 
кстати что за странный маршрут ??
Gateway of last resort is 192.168.131.1 to network 0.0.0.0
192.168.131.1 это что ?

"из одной подсети на волю"
Отправлено Gbyte , 07-Апр-10 15:53 
>кстати что за странный маршрут ??
>Gateway of last resort is 192.168.131.1 to network 0.0.0.0
>192.168.131.1 это что ?

незапутывайте человека - у него ВПН же не просто так, а через вражескую сеть...


"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 16:23 
>>кстати что за странный маршрут ??
>>Gateway of last resort is 192.168.131.1 to network 0.0.0.0
>>192.168.131.1 это что ?
>
>незапутывайте человека - у него ВПН же не просто так, а через
>вражескую сеть...

да - 192,168,131,1 это вражеская сеть

сетки друг друга пингуют


"из одной подсети на волю"
Отправлено Тимофей , 07-Апр-10 16:41 
если 192.168.131.1 вражеская сеть то зачем на неё у вас дефолтный маршрут

"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 17:07 
>если 192.168.131.1 вражеская сеть то зачем на неё у вас дефолтный маршрут
>

хех, убираю ip route 0.0.0.0 0.0.0.0 192.168.131.1
ставлю ip route 0.0.0.0 0.0.0.0 tun 101
пропадает связь со складом


"из одной подсети на волю"
Отправлено Тимофей , 07-Апр-10 17:17 
>>если 192.168.131.1 вражеская сеть то зачем на неё у вас дефолтный маршрут
>>
>
>хех, убираю ip route 0.0.0.0 0.0.0.0 192.168.131.1
>ставлю ip route 0.0.0.0 0.0.0.0 tun 101
>пропадает связь со складом

всё логично потому что у вас нету скорее всего маршрута до удалённого маршрутизатора т.е. до внешней ноги туннеля.
ситуация сейчас у вас такая ваши сетки пингуются потому что на них есть маршруты в таблице, а тех маршрутов которых нету, он начинает искать по дефолту т.е. за 192.168.131.1 а должен искать через туннель и дальше. Соответственно дефолт должен смотреть в туннель, а статикой должны рассказать как искать через вражескую ваш тунель.


"из одной подсети на волю"
Отправлено SeaWalker , 07-Апр-10 17:56 
>[оверквотинг удален]
>>ставлю ip route 0.0.0.0 0.0.0.0 tun 101
>>пропадает связь со складом
>
>всё логично потому что у вас нету скорее всего маршрута до удалённого
>маршрутизатора т.е. до внешней ноги туннеля.
>ситуация сейчас у вас такая ваши сетки пингуются потому что на них
>есть маршруты в таблице, а тех маршрутов которых нету, он начинает
>искать по дефолту т.е. за 192.168.131.1 а должен искать через туннель
>и дальше. Соответственно дефолт должен смотреть в туннель, а статикой должны
>рассказать как искать через вражескую ваш тунель.

так как туннель без иповый
то предлагаешь
ip def-gat 192.168.1.1 - где 192,168,1,1 другой конец туннеля?


"из одной подсети на волю"
Отправлено GByte , 07-Апр-10 19:21 

>
>так как туннель без иповый
>то предлагаешь
>ip def-gat 192.168.1.1 - где 192,168,1,1 другой конец туннеля?

Нифига - если ты сейчас гейт поменяешь, всеравно у тебя связь пропадет - рутеры не будут видеть друг друга.

Нужно:

_СХЕМА СЕТИ с указанием всех ип-адресов, виланов и протоколов маршрутизации_ - у тебя там уже такой огрод что без бутылки и схемы на закуску не разберешь..

сделай traceroute {на внешние адреса рутеров с друг друга}


"из одной подсети на волю"
Отправлено SeaWalker , 08-Апр-10 07:41 
>[оверквотинг удален]
>Нифига - если ты сейчас гейт поменяешь, всеравно у тебя связь пропадет
>- рутеры не будут видеть друг друга.
>
>Нужно:
>
>_СХЕМА СЕТИ с указанием всех ип-адресов, виланов и протоколов маршрутизации_ - у
>тебя там уже такой огрод что без бутылки и схемы на
>закуску не разберешь..
>
>сделай traceroute {на внешние адреса рутеров с друг друга}

от меня на склад

eka2811#trace 192.168.131.3

Type escape sequence to abort.
Tracing the route to 192.168.131.3

  1 192.168.168.2 16 msec 12 msec 16 msec
  2  *  *  *
  3  *  *  *
  4  *  *  *
  5  *  *  *
  6  *  *  *
  7  *  *
    192.168.131.3 36 msec

со склада на меня
Router#tracer 192.168.168.1

Type escape sequence to abort.
Tracing the route to 192.168.168.1

  1 192.168.131.1 0 msec 4 msec 4 msec
  2 10.111.0.1 20 msec 68 msec 16 msec
  3 192.168.168.1 36 msec 32 msec *



"из одной подсети на волю"
Отправлено Gbyte , 08-Апр-10 08:05 
посмотрел схему.

есть решение, но мне кажется не очень изящное:

на 192.168.131.3 прописываешь:
1. маршрут на 192.168.168.1 через 192.168.131.1
2. дефолт гейтом 192.168.168.1

теперь у тебя все побежало через тунель.


"из одной подсети на волю"
Отправлено SeaWalker , 08-Апр-10 09:21 
>посмотрел схему.
>
>есть решение, но мне кажется не очень изящное:
>
>на 192.168.131.3 прописываешь:
>1. маршрут на 192.168.168.1 через 192.168.131.1
>2. дефолт гейтом 192.168.168.1
>
>теперь у тебя все побежало через тунель.

имеешь в виду склад?
ip route 192.168.168.1 255.255.255.255 192.168.131.1
ip def-gate 192.168.168.1


"из одной подсети на волю"
Отправлено Тимофей , 08-Апр-10 09:31 
сделайте sho run с обоих маршрутизаторов и сюда выкладывайте только ip не трите


"из одной подсети на волю"
Отправлено Gbyte , 08-Апр-10 09:35 
>
>имеешь в виду склад?

Да, именно.

вместо этого
>ip def-gate 192.168.168.1

лучше это:
ip route 0.0.0.0 0.0.0.0 192.168.131.1

sho run сюда не надо, можешь Тимофею на почту скинуть - не засоряйте форум ;)


"из одной подсети на волю"
Отправлено SeaWalker , 08-Апр-10 09:41 
>вместо этого
>>ip def-gate 192.168.168.1
>
>лучше это:
>ip route 0.0.0.0 0.0.0.0 192.168.131.1
>

это и было


"из одной подсети на волю"
Отправлено Gbyte , 08-Апр-10 10:20 
>>вместо этого
>>>ip def-gate 192.168.168.1
>>
>>лучше это:
>>ip route 0.0.0.0 0.0.0.0 192.168.131.1
>>
>
>это и было

извини :) опечатка :)

имел ввиду:
ip route 0.0.0.0 0.0.0.0 192.168.168.1


"из одной подсети на волю"
Отправлено SeaWalker , 08-Апр-10 13:38 
>[оверквотинг удален]
>>>лучше это:
>>>ip route 0.0.0.0 0.0.0.0 192.168.131.1
>>>
>>
>>это и было
>
>извини :) опечатка :)
>
>имел ввиду:
>ip route 0.0.0.0 0.0.0.0 192.168.168.1

все, всем спасибо:
решилось таким образом:
на складе убрали лишние наты и всякую байду и весь трафик на туннель
в офисе туннель как inside и добро на выход в инет (добро итак было, но ОЧЕНЬ много лишнего:) )