forum.opennet.ru

Составление сообщения

Исходное сообщение

"cisco 2811+ asa 5510 + DNS сервер"
Отправлено morozz, 11-Ноя-09 18:18

update: все таки приведу конфиг 2811, потому как пробовал сервер ставить минуя ASA 5510 сразу перед 2811 - эффект тот же, все работает кроме DNS.
Тут немного конкретнее объясню чем в первом сообщении: не виден снаружи dns, расположенный на хосте 10.0.1.14. Внутри локаьной сети все работает.
Причем ситуация забавная - при правильном запросе к DNS серверу из интернета nslookup говорит что dns reauest timed out. Если написать заведомо какую нибудь тарабарщину типа uidkkdfj то сервер отвечает что домен не найден. То есть не проходит правильный dns пакет.
Current configuration : 6256 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2811
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 4096 notifications
!
no aaa new-model
!
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
!
!
!
username xxxx privilege 15 password 0 xxxx
!
!
!
archive
log config
hidekeys
!
!
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
!
!
!
interface FastEthernet0/0
description ***To 1 ISP***
ip address 100.100.100.10 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description ***To 2 ISP***
ip address 90.90.90.2 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
description ***To LAN***
ip address 10.0.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map RM_4All_users
duplex auto
speed auto
!
ip local policy route-map RM_local-map
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 100.100.100.11 track 1
no ip http server
no ip http secure-server
!
!
ip nat translation timeout 18000
ip nat translation tcp-timeout 18000
ip nat inside source route-map RM_4NAT1_dyn interface FastEthernet0/0 overload
ip nat inside source route-map RM_4NAT2_dyn interface FastEthernet0/1 overload
ip nat inside source static 10.0.1.14 100.100.100.112 route-map RM_4NAT1 extendable
!
ip access-list extended 1_ping
remark ***Ping packets to 1 router***
permit icmp any host xxx.xxx.xxx.xxx echo
ip access-list extended 1_users_static
remark ***Static users going via 1***
permit ip host 10.0.1.14 any
ip access-list extended Admin
remark ***Users going via 1 and secondary via 2***
permit ip host 10.0.1.10 any
ip access-list extended 2_ping
remark ***Ping packets to 2 router***
permit icmp any host xxx.xxx.xxx.1 echo
ip access-list extended 2_users
permit ip host 10.0.1.101 any
permit ip host 10.0.1.100 any
ip access-list extended 2_users_static
permit ip host 10.0.1.101 any
permit ip host 10.0.1.10 any
permit ip host 10.0.1.100 any
!
ip sla 1
icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/0
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/1
timeout 1000
threshold 2
frequency 3
ip sla schedule 2 life forever start-time now
!
!
!
!
route-map RM_4All_users permit 10
match ip address 2_users
set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 2
set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 1
!
route-map RM_4All_users permit 20
match ip address Admin
set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 1
set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 2
!
route-map RM_4NAT2 permit 10
match ip address 2_users_static
match interface FastEthernet0/1
!
route-map RM_4NAT1 permit 10
match ip address 1_users_static
match interface FastEthernet0/0
!
route-map RM_4NAT2_dyn permit 10
match interface FastEthernet0/1
!
route-map RM_4NAT1_dyn permit 10
match interface FastEthernet0/0
!
route-map RM_local-map permit 10
match ip address 1_ping
set ip next-hop xxx.xxx.xxx.xxx
!
route-map RM_local-map permit 20
match ip address 2_ping
set ip next-hop xxx.xxx.xxx.xxx
!
!
!
!
control-plane
!
!
!
ccm-manager fax protocol cisco
!
mgcp fax t38 ecm
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login local
line vty 5 15
login local
!
scheduler allocate 20000 1000
end

Исходное сообщение
"cisco 2811+ asa 5510 + DNS сервер" Отправлено morozz, 11-Ноя-09 18:18
update: все таки приведу конфиг 2811, потому как пробовал сервер ставить минуя ASA 5510 сразу перед 2811 - эффект тот же, все работает кроме DNS. Тут немного конкретнее объясню чем в первом сообщении: не виден снаружи dns, расположенный на хосте 10.0.1.14. Внутри локаьной сети все работает. Причем ситуация забавная - при правильном запросе к DNS серверу из интернета nslookup говорит что dns reauest timed out. Если написать заведомо какую нибудь тарабарщину типа uidkkdfj то сервер отвечает что домен не найден. То есть не проходит правильный dns пакет. Current configuration : 6256 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 2811 ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 4096 notifications ! no aaa new-model ! ! ! dot11 syslog ip source-route ! ! ip cef ! ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! ! ! username xxxx privilege 15 password 0 xxxx ! ! ! archive log config hidekeys ! ! ! track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! ! ! ! interface FastEthernet0/0 description *To 1 ISP* ip address 100.100.100.10 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description *To 2 ISP* ip address 90.90.90.2 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 description *To LAN* ip address 10.0.1.2 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map RM_4All_users duplex auto speed auto ! ip local policy route-map RM_local-map ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 100.100.100.11 track 1 no ip http server no ip http secure-server ! ! ip nat translation timeout 18000 ip nat translation tcp-timeout 18000 ip nat inside source route-map RM_4NAT1_dyn interface FastEthernet0/0 overload ip nat inside source route-map RM_4NAT2_dyn interface FastEthernet0/1 overload ip nat inside source static 10.0.1.14 100.100.100.112 route-map RM_4NAT1 extendable ! ip access-list extended 1_ping remark *Ping packets to 1 router* permit icmp any host xxx.xxx.xxx.xxx echo ip access-list extended 1_users_static remark *Static users going via 1* permit ip host 10.0.1.14 any ip access-list extended Admin remark *Users going via 1 and secondary via 2* permit ip host 10.0.1.10 any ip access-list extended 2_ping remark *Ping packets to 2 router* permit icmp any host xxx.xxx.xxx.1 echo ip access-list extended 2_users permit ip host 10.0.1.101 any permit ip host 10.0.1.100 any ip access-list extended 2_users_static permit ip host 10.0.1.101 any permit ip host 10.0.1.10 any permit ip host 10.0.1.100 any ! ip sla 1 icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/0 timeout 1000 threshold 2 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/1 timeout 1000 threshold 2 frequency 3 ip sla schedule 2 life forever start-time now ! ! ! ! route-map RM_4All_users permit 10 match ip address 2_users set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 2 set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 1 ! route-map RM_4All_users permit 20 match ip address Admin set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 1 set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 2 ! route-map RM_4NAT2 permit 10 match ip address 2_users_static match interface FastEthernet0/1 ! route-map RM_4NAT1 permit 10 match ip address 1_users_static match interface FastEthernet0/0 ! route-map RM_4NAT2_dyn permit 10 match interface FastEthernet0/1 ! route-map RM_4NAT1_dyn permit 10 match interface FastEthernet0/0 ! route-map RM_local-map permit 10 match ip address 1_ping set ip next-hop xxx.xxx.xxx.xxx ! route-map RM_local-map permit 20 match ip address 2_ping set ip next-hop xxx.xxx.xxx.xxx ! ! ! ! control-plane ! ! ! ccm-manager fax protocol cisco ! mgcp fax t38 ecm ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login local line vty 5 15 login local ! scheduler allocate 20000 1000 end

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> update: все таки приведу конфиг 2811, потому как пробовал сервер ставить  
> минуя ASA 5510 сразу перед 2811 - эффект тот же, все 
> работает кроме DNS.

> Тут немного конкретнее объясню чем в первом сообщении: не виден снаружи dns, 
> расположенный на хосте 10.0.1.14. Внутри локаьной сети все работает.

> Причем ситуация забавная - при правильном запросе к DNS серверу из интернета 
> nslookup говорит что dns reauest timed out. Если написать заведомо какую 
> нибудь тарабарщину типа uidkkdfj то сервер отвечает что домен не найден. 
> То есть не проходит правильный dns пакет.

> Current configuration : 6256 bytes 
> !
> version 12.4 
> service timestamps debug datetime msec 
> service timestamps log datetime msec 
> no service password-encryption 
> !
> hostname 2811 
> !
> boot-start-marker 
> boot-end-marker 
> !
> logging message-counter syslog 
> logging buffered 4096 notifications 
> !
> no aaa new-model 
> !
> !
> !
> dot11 syslog 
> ip source-route 
> !
> !
> ip cef 
> !
> !
> no ip domain lookup 
> no ipv6 cef 
> !
> multilink bundle-name authenticated 
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> !
> voice-card 0 
> !
> !
> !
> username xxxx privilege 15 password 0 xxxx 
> !
> !
> !
> archive 
>  log config 
>   hidekeys 
> !
> !
> !
> track 1 ip sla 1 reachability 
> !
> track 2 ip sla 2 reachability 
> !
> !
> !
> !
> interface FastEthernet0/0 
>  description ***To 1 ISP*** 
>  ip address 100.100.100.10 255.255.255.252 
>  ip nat outside 
>  ip virtual-reassembly 
>  duplex auto 
>  speed auto 
> !
> interface FastEthernet0/1 
>  description ***To 2 ISP*** 
>  ip address 90.90.90.2 255.255.255.252 
>  ip nat outside 
>  ip virtual-reassembly 
>  duplex auto 
>  speed auto 
> !
> interface FastEthernet0/0/0 
>  description ***To LAN*** 
>  ip address 10.0.1.2 255.255.255.0 
>  ip nat inside 
>  ip virtual-reassembly 
>  ip policy route-map RM_4All_users 
>  duplex auto 
>  speed auto 
> !
> ip local policy route-map RM_local-map 
> ip forward-protocol nd 
> ip route 0.0.0.0 0.0.0.0 100.100.100.11 track 1 
> no ip http server 
> no ip http secure-server 
> !
> !
> ip nat translation timeout 18000 
> ip nat translation tcp-timeout 18000 
> ip nat inside source route-map RM_4NAT1_dyn interface FastEthernet0/0 overload 
> ip nat inside source route-map RM_4NAT2_dyn interface FastEthernet0/1 overload 
> ip nat inside source static 10.0.1.14 100.100.100.112 route-map RM_4NAT1 extendable 
> !
> ip access-list extended 1_ping 
>  remark ***Ping packets to 1 router*** 
>  permit icmp any host xxx.xxx.xxx.xxx echo 
> ip access-list extended 1_users_static 
>  remark ***Static users going via 1*** 
>  permit ip host 10.0.1.14 any 
> ip access-list extended Admin 
>  remark ***Users going via 1 and secondary via 2*** 
>  permit ip host 10.0.1.10 any 
> ip access-list extended 2_ping 
>  remark ***Ping packets to 2 router*** 
>  permit icmp any host xxx.xxx.xxx.1 echo 
> ip access-list extended 2_users 
>  permit ip host 10.0.1.101 any 
>  permit ip host 10.0.1.100 any 
> ip access-list extended 2_users_static 
>  permit ip host 10.0.1.101 any 
>  permit ip host 10.0.1.10 any 
>  permit ip host 10.0.1.100 any 
> !
> ip sla 1 
>  icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/0 
>  timeout 1000 
>  threshold 2 
>  frequency 3 
> ip sla schedule 1 life forever start-time now 
> ip sla 2 
>  icmp-echo xxx.xxx.xxx.xxx source-interface FastEthernet0/1 
>  timeout 1000 
>  threshold 2 
>  frequency 3 
> ip sla schedule 2 life forever start-time now 
> !
> !
> !
> !
> route-map RM_4All_users permit 10 
>  match ip address 2_users 
>  set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 2 
>  set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 1 
> !
> route-map RM_4All_users permit 20 
>  match ip address Admin 
>  set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 1 
>  set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 2 
> !
> route-map RM_4NAT2 permit 10 
>  match ip address 2_users_static 
>  match interface FastEthernet0/1 
> !
> route-map RM_4NAT1 permit 10 
>  match ip address 1_users_static 
>  match interface FastEthernet0/0 
> !
> route-map RM_4NAT2_dyn permit 10 
>  match interface FastEthernet0/1 
> !
> route-map RM_4NAT1_dyn permit 10 
>  match interface FastEthernet0/0 
> !
> route-map RM_local-map permit 10 
>  match ip address 1_ping 
>  set ip next-hop xxx.xxx.xxx.xxx 
> !
> route-map RM_local-map permit 20 
>  match ip address 2_ping 
>  set ip next-hop xxx.xxx.xxx.xxx 
> !
> !
> !
> !
> control-plane 
> !
> !
> !
> ccm-manager fax protocol cisco 
> !
> mgcp fax t38 ecm 
> !
> !
> !
> !
> !
> !
> line con 0 
> line aux 0 
> line vty 0 4 
>  login local 
> line vty 5 15 
>  login local 
> !
> scheduler allocate 20000 1000 
> end

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру