The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

NAT, sidsoft (ok), 26-Мрт-13, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


5. "NAT"  +/
Сообщение от McS555 (ok), 29-Мрт-13, 11:01 

> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы
> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный
> туннель?
> Сама CISCO данный IP-адрес пингует, маршрут имеется:
> ip route 1.1.1.1 255.255.255.255 Tunnel2

ну а если нат банально настроить на тунельном интерфейсе?

Правила на адресс 1,1,1,1

В других уже существующих списках, наоборот

deny LAN на 1,1,1,1 -  и все у тебя будет "валить" от адресса 92.168.199.2

Ответить | Правка | Наверх | Cообщить модератору

6. "NAT"  +/
Сообщение от sidsoft (ok), 29-Мрт-13, 20:16 
>> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы
>> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный
>> туннель?
>> Сама CISCO данный IP-адрес пингует, маршрут имеется:
>> ip route 1.1.1.1 255.255.255.255 Tunnel2
> ну а если нат банально настроить на тунельном интерфейсе?
> Правила на адресс 1,1,1,1
> В других уже существующих списках, наоборот
> deny LAN на 1,1,1,1 -  и все у тебя будет "валить"
> от адресса 92.168.199.2

Не уж то СВЕТ В КОНЦЕ ТОНЕЛЯ?!
Пожалуйста продолжите мысль...
Я уже все перепробовал... Пожалуйста если не сложно вам будет, "набросайте" кусочек конфигурации... Честно говоря уже сам не знаю за что хвататься, и с чего начать... банально "замылились" наверное глаза что не вижу очевидных решений и "не слышу" можно сказать ПРЯМЫХ НАМЕКОВ на решения прямо в мозг...
Пожалуйста, очень прошу Вас, набросайте... Спасибо...

Ответить | Правка | Наверх | Cообщить модератору

9. "NAT"  +/
Сообщение от McS555 (ok), 31-Мрт-13, 11:43 
>[оверквотинг удален]
>> deny LAN на 1,1,1,1 -  и все у тебя будет "валить"
>> от адресса 92.168.199.2
> Не уж то СВЕТ В КОНЦЕ ТОНЕЛЯ?!
> Пожалуйста продолжите мысль...
> Я уже все перепробовал... Пожалуйста если не сложно вам будет, "набросайте" кусочек
> конфигурации... Честно говоря уже сам не знаю за что хвататься, и
> с чего начать... банально "замылились" наверное глаза что не вижу очевидных
> решений и "не слышу" можно сказать ПРЯМЫХ НАМЕКОВ на решения прямо
> в мозг...
> Пожалуйста, очень прошу Вас, набросайте... Спасибо...

Как то так

interface Tunnel2
ip nat outside
!
ip access-list extended ACL_NAT
deny 192.168.1.0 0.0.0.255 host 1.1.1.1
!
ip nat inside source list NAT interface  Tunnel2 overload
!
ip access-list extended NAT
permit 192.168.1.0 0.0.0.255 host 1.1.1.1
!

Правда я не совсем полностью твой конфиг "догнал" (ты и не весь его и выложил)
Зачем делать пул если у тебя только по одному адресу идет??
-- 20.20.20.20 20.20.20.20 --
--10.10.10.10 10.10.10.10  --
--  30.30.30.30 30.30.30.30  --

Ответить | Правка | Наверх | Cообщить модератору

11. "NAT"  +/
Сообщение от sidsoftemail (ok), 01-Апр-13, 13:44 
>[оверквотинг удален]
> !
> ip access-list extended NAT
> permit 192.168.1.0 0.0.0.255 host 1.1.1.1
> !
> Правда я не совсем полностью твой конфиг "догнал" (ты и не весь
> его и выложил)
> Зачем делать пул если у тебя только по одному адресу идет??
> -- 20.20.20.20 20.20.20.20 --
> --10.10.10.10 10.10.10.10  --
> --  30.30.30.30 30.30.30.30  --

Спасибо тебе огромное McS555!
Только благодаря тебе я действительно увидел СВЕТ!
Ты привел строки, я им последовал... странно что icmp echo не проходит с "локалки" (ЛВС IP: 192.168.20.0/24), с самой CISCO icmp echo (проще говоря PING-и) проходят на хост 1.1.1.1 а вот при пингах с ЛВС с двух хостов (192.168.20.65 и 192.168.20.200) нет... странно, а по команде

CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:7363 192.168.20.65:7363 1.1.1.1:7363 1.1.1.1:7363
icmp 192.168.199.2:11098 192.168.20.200:11098 1.1.1.1:11098 1.1.1.1:8
CISCO-881#
видно что вроде как трнасляция есть... а icmp echo нет
Пинги с самой CISCO:
CISCO-881#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
CISCO-881#

Текущий КОНФИГ:
CISCO-881#show config
Using 13648 out of 262136 bytes
!
! Last configuration change at 14:41:44 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname CISCO-881
!
boot-start-marker
boot-end-marker
!
!
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa session-id common
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
!
no ip bootp server
ip domain name ххххх.ru
ip name-server 192.168.20.1
ip name-server 192.168.20.8
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
license udi pid CISCO881
!
!
archive
log config
  hidekeys
!
no spanning-tree vlan 1
no spanning-tree vlan 2
no spanning-tree vlan 3
no spanning-tree vlan 4
username root privilege 15 password 7
username derek password 7
!
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
track 300 ip sla 300 reachability
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ***** address 50.50.50.50
!
!
crypto ipsec transform-set ANKS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set ANKS
!
interface Tunnel1
description TS
bandwidth 10000
ip address 192.168.10.2 255.255.255.252
ip mtu 1468
tunnel source Vlan2
tunnel destination xx.xx.xx.xx
!
interface Tunnel2
description PRIVATE-SERVICE
ip address 192.168.199.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
tunnel source Vlan3
tunnel destination 50.50.50.50
tunnel protection ipsec profile IPSEC
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
!
interface FastEthernet2
switchport access vlan 3
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
peer default ip address pool vpnclient
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2 pap
!
interface Vlan1
description LAN
ip address 192.168.20.230 255.255.255.0
ip address 192.168.30.1 255.255.255.0 secondary
ip nat inside
ip virtual-reassembly in max-reassemblies 64
ip tcp adjust-mss 1452
!
interface Vlan2
description TELECOM1
ip address 10.10.10.10 255.255.255.0
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
interface Vlan3
description TELECOM2
ip address 20.20.20.20 255.255.255.252
ip mtu 1492
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
ip local policy route-map RMAP
ip local pool vpnclient 192.168.30.2 192.168.30.50
ip forward-protocol nd
no ip http server
no ip http secure-server
ip flow-export version 5
ip flow-export destination 192.168.20.242 5678
!
ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0
ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.252
ip nat inside source list PRIVATE-SERVICE_NAT interface Tunnel2 overload
ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload
ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload
ip route 0.0.0.0 0.0.0.0 10.10.10.9 10 track 100
ip route 0.0.0.0 0.0.0.0 20.20.20.19 20 track 200
ip route 1.1.1.1 255.255.255.255 Tunnel2
!
ip access-list extended ACL_NAT
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1
ip access-list extended ACL_SLA_TELECOM1
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM2
permit ip 20.20.20.0 0.0.0.255 any
ip access-list extended PRIVATE-SERVICE_NAT
permit ip 192.168.20.0 0.0.0.255 host 1.1.1.1
!
ip sla 100
icmp-echo 8.8.8.8 source-ip 10.10.10.10
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 8.8.8.8 source-ip 20.20.20.20
frequency 5
ip sla schedule 200 life forever start-time now
access-list 23 permit 192.168.20.65
access-list 23 permit 192.168.20.200
no cdp run
!
route-map RMAP permit 10
match ip address ACL_SLA_TELECOM1
set ip next-hop 10.10.10.254
!
route-map RMAP permit 20
match ip address ACL_SLA_TELECOM2
set ip next-hop 20.20.20.19
!
route-map TELECOM1_NAT permit 100
match ip address ACL_NAT
match interface Vlan2
!
route-map TELECOM2_NAT permit 100
match ip address ACL_NAT
match interface Vlan3
!
snmp-server community public RO
snmp-server community private RW
!
!
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
!
end

Ответить | Правка | Наверх | Cообщить модератору

12. "NAT"  +/
Сообщение от McS555 (ok), 01-Апр-13, 15:13 
>[оверквотинг удален]
> icmp 192.168.199.2:11098 192.168.20.200:11098 1.1.1.1:11098 1.1.1.1:8
> CISCO-881#
> видно что вроде как трнасляция есть... а icmp echo нет
> Пинги с самой CISCO:
> CISCO-881#ping 1.1.1.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
> CISCO-881#

CISCO-881#ping 1.1.1.1 sourse 192.168.20.230

есть пинг? И попробуй с ПК не пинговать , а например telnet ( на какой там открытый порт, если  есть..)

Ответить | Правка | Наверх | Cообщить модератору

13. "NAT"  +/
Сообщение от McS555 (ok), 01-Апр-13, 15:22 
ОО!

Заметил

ip access-list extended ACL_NAT
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1

дожно быть

ip access-list extended ACL_NAT
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any


conf ter
ip access-list extended ACL_NAT
5 deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1

Ответить | Правка | Наверх | Cообщить модератору

14. "NAT"  +/
Сообщение от sidsoftemail (ok), 01-Апр-13, 15:29 
>[оверквотинг удален]
>> Пинги с самой CISCO:
>> CISCO-881#ping 1.1.1.1
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
>> !!!!!
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
>> CISCO-881#
> CISCO-881#ping 1.1.1.1 sourse 192.168.20.230
> есть пинг? И попробуй с ПК не пинговать , а например telnet
> ( на какой там открытый порт, если  есть..)

с самой CISCO PING-и есть...

CISCO-881#ping 1.1.1.1 source 192.168.20.230
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.20.230
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms
CISCO-881#

с ПК-шки:

telnet 1.1.1.1 80
Подключение к 1.1.1.1... Не удалось открыть подключение к этому узлу, на порт 80: Сбой подключения

В это время я дал команду на CISCO:

CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:512    192.168.20.229:512   1.1.1.1:512      1.1.1.1:512
tcp 192.168.199.2:3521    192.168.20.229:3521  1.1.1.1:80       1.1.1.1:80
CISCO-881#

Но соединения не произошло :(
ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "NAT"  +/
Сообщение от McS555 (ok), 01-Апр-13, 15:38 

> Но соединения не произошло :(
> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(

скайп есть?

Ответить | Правка | Наверх | Cообщить модератору

16. "NAT"  +/
Сообщение от sidsoftemail (ok), 01-Апр-13, 15:40 

>> Но соединения не произошло :(
>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
> скайп есть?

скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
Могу написать в ЛС

Ответить | Правка | Наверх | Cообщить модератору

17. "NAT"  +/
Сообщение от McS555 (ok), 01-Апр-13, 15:46 
>>> Но соединения не произошло :(
>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>> скайп есть?
> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
> Могу написать в ЛС

давай

Ответить | Правка | Наверх | Cообщить модератору

18. "NAT"  +/
Сообщение от McS555 (ok), 01-Апр-13, 15:48 
>>>> Но соединения не произошло :(
>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>> скайп есть?
>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>> Могу написать в ЛС

давай , я правда не вижу ЛС.

Можешь емейл написать, потом удалишь


Ответить | Правка | Наверх | Cообщить модератору

19. "NAT"  +/
Сообщение от sidsoftemail (ok), 01-Апр-13, 15:53 
>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
>  давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь

Я вам пишу на ICQ, у меня короткий номер

Ответить | Правка | Наверх | Cообщить модератору

20. "NAT"  +/
Сообщение от sidsoft (ok), 11-Апр-13, 09:05 
>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
>  давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь

СПАСИБО, Очень сильно выручил и помог! ОГРОМОЕ спасибо McS555 !!!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру