forum.opennet.ru - "Трабл с icmp" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Трабл с icmp"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Трабл с icmp"	+/–
Сообщение от patch_ua (ok) on 22-Апр-11, 13:21
Добрый день! Возникла следующая проблема - не могу разобраться с icmp :((( Пинги на 213.108.73.177 никак не доходят, подскажите где ошибка ? На остальные 2-а разрешенных айпи все идет отлично... ! ! aaa authentication login default local aaa authentication ppp default local aaa authorization network default local if-authenticated ! aaa session-id common ip cef ! ! no ip dhcp use vrf connected ! ip dhcp pool VPN-POOL network 10.1.100.0 255.255.255.0 dns-server 10.1.1.250 ! ! ip domain name uc.local ip name-server 10.1.1.250 ip multicast-routing ip inspect name GT ssh ip inspect name GT esmtp ip inspect name GT icmp ip inspect name GT pop3 ip inspect name GT pop3s ip inspect name GT telnet ip inspect name GT dns ip inspect name GT udp ip inspect name GT ftp ip sla monitor 1 type echo protocol ipIcmpEcho 213.108.73.177 timeout 1000 threshold 2 frequency 3 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 89.162.218.161 timeout 1000 threshold 2 frequency 3 ip sla monitor schedule 2 life forever start-time now vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ip mtu adjust ! ! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! archive log config hidekeys ! ! ip ssh version 2 ! track 123 rtr 1 reachability ! track 124 rtr 2 reachability ! ! ! ! ! interface FastEthernet0/0 description Golden ip address 89.162.218.164 255.255.255.248 ip access-group INET-IN in ip nat outside ip inspect GT out ip virtual-reassembly max-fragments 64 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.1 255.255.255.0 ip access-group LAN-IN in ip nat inside no ip virtual-reassembly duplex auto speed auto ! interface BRI0/2/0 description Silver ip address 213.108.73.188 255.255.255.240 ip access-group INET-IN in ip nat outside ip inspect GT out ip virtual-reassembly max-fragments 64 encapsulation hdlc ! interface Virtual-Template1 ip unnumbered FastEthernet0/1 ip nat inside ip virtual-reassembly peer default ip address dhcp-pool VPN-POOL ppp encrypt mppe 128 required ppp authentication ms-chap-v2 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 89.162.218.161 ip route 10.1.1.118 255.255.255.255 89.162.218.161 ip route 172.16.1.119 255.255.255.255 10.1.1.250 ip route 172.16.1.170 255.255.255.255 10.1.1.250 ! ip dns server ! no ip http server no ip http secure-server ip nat translation timeout 43200 ip nat translation tcp-timeout 7200 ip nat inside source list NAT interface FastEthernet0/0 overload ! ip access-list extended INET-IN permit icmp host 89.162.218.161 any permit icmp host 213.108.73.177 any permit icmp host 212.109.50.202 any deny ip any any log ip access-list extended LAN-IN permit tcp host 10.1.1.250 any eq smtp permit tcp any host 195.39.197.125 eq smtp deny tcp any any eq smtp log permit ip any any permit icmp any any ip access-list extended NAT permit ip 10.1.0.0 0.0.255.255 any ip access-list extended TERMINAL permit ip host 10.1.1.118 any deny ip any any log ! no logging trap ! route-map tracking permit 10 set ip next-hop verify-availability 213.108.73.177 10 track 123 set ip next-hop 213.108.73.177 ! route-map tracking permit 20 set ip next-hop verify-availability 89.162.218.161 20 track 124 set ip next-hop 89.162.218.161 ! route-map 111 deny 5 match ip address TERMINAL ! route-map 111 permit 10 match ip address NAT match interface BRI0/2/0 set ip next-hop 213.108.73.177 ! route-map 112 permit 10 match ip address NAT match interface FastEthernet0/0 set ip next-hop 89.162.218.161 ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! end csgate-uc#
Ответить \| Правка \| Cообщить модератору

Оглавление

Трабл с icmp, fantom, 14:09 , 22-Апр-11, (1)

Трабл с icmp, patch_ua, 23:06 , 22-Апр-11, (2)

Трабл с icmp, patch_ua, 19:38 , 26-Апр-11, (3)

Трабл с icmp, fantom, 11:00 , 27-Апр-11, (4)

Трабл с icmp, patch_ua, 14:31 , 29-Апр-11, (5)

Трабл с icmp, fantom, 08:52 , 01-Май-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Трабл с icmp" +/–

Сообщение от fantom (ok) on 22-Апр-11, 14:09

>[оверквотинг удален]
> !
> !
> !
> !
> !
> !
> !
> !
> end
> csgate-uc#
в
ip access-list extended INET-IN
источник и назначение местами перепутали.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Трабл с icmp" +/–

Сообщение от patch_ua (ok) on 22-Апр-11, 23:06

>[оверквотинг удален]
>> !
>> !
>> !
>> !
>> !
>> end
>> csgate-uc#
> в
> ip access-list extended INET-IN
> источник и назначение местами перепутали.
не помогло
ПС пинги на остальные 2-а айпи доходят отлично (89.162... и 212.109...) да правильно по-моему я написал таки.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Трабл с icmp" +/–

Сообщение от patch_ua (ok) on 26-Апр-11, 19:38

up
Не у кого нет никаких идей???

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Трабл с icmp" +/–

Сообщение от fantom (ok) on 27-Апр-11, 11:00

> up
> Не у кого нет никаких идей???
1. Снимаете весть "обвес" c BRI интерфейса и пингаете прямо с кошки, если не пингается - проблема на BRI линке.
2. постепенно навешиваете все что нужно (ACL, NAT и т.д.), смотрите на каком этапе перестанет работать и ковыряете это направление.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Трабл с icmp" +/–

Сообщение от patch_ua (ok) on 29-Апр-11, 14:31

>> up
>> Не у кого нет никаких идей???
> 1. Снимаете весть "обвес" c BRI интерфейса и пингаете прямо с кошки,
> если не пингается - проблема на BRI линке.
> 2. постепенно навешиваете все что нужно (ACL, NAT и т.д.), смотрите на
> каком этапе перестанет работать и ковыряете это направление.
Попробовал все поснимать. В общем как только задаю интерфейсу БРИ айпи и маску пинги перестают ходить на 213.108.73.177
Если интерфейс выключен то все гуд.
Подскажите - какого он не хочет пинговать ???
Current configuration : 5702 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname csgate-uc
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
no logging console
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local if-authenticated
!
aaa session-id common
ip cef
!
!
no ip dhcp use vrf connected
!
ip dhcp pool VPN-POOL
   network 10.1.100.0 255.255.255.0
   dns-server 10.1.1.250
!
!
ip domain name uc.local
ip name-server 10.1.1.250
ip multicast-routing
ip inspect name GT ssh
ip inspect name GT esmtp
ip inspect name GT icmp
ip inspect name GT pop3
ip inspect name GT pop3s
ip inspect name GT telnet
ip inspect name GT dns
ip inspect name GT udp
ip inspect name GT ftp
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
ip mtu adjust
!
!
!
voice-card 0
!
!
!
archive
log config
  hidekeys
!
!
ip ssh version 2
!
!
!
!
!
interface FastEthernet0/0
description Golden
ip address 89.162.218.164 255.255.255.248
ip access-group INET-IN in
ip nat outside
ip inspect GT out
ip virtual-reassembly max-fragments 64
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
ip access-group LAN-IN in
ip nat inside
no ip virtual-reassembly
duplex auto
speed auto
!
interface BRI0/2/0
description Silver
ip address 213.108.73.188 255.255.255.240
encapsulation hdlc
shutdown
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip nat inside
ip virtual-reassembly
peer default ip address dhcp-pool VPN-POOL
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 89.162.218.161
ip route 10.1.1.118 255.255.255.255 89.162.218.161
ip route 172.16.1.119 255.255.255.255 10.1.1.250
ip route 172.16.1.170 255.255.255.255 10.1.1.250
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat translation timeout 43200
ip nat translation tcp-timeout 7200
ip nat inside source list NAT interface FastEthernet0/0 overload
ip nat inside source static tcp 10.1.1.251 20 89.162.218.164 20 extendable
ip nat inside source static tcp 10.1.1.251 21 89.162.218.164 21 extendable
ip nat inside source static tcp 10.1.1.148 1433 89.162.218.164 1433 extendable
ip nat inside source static tcp 10.1.1.250 3389 89.162.218.164 3389 extendable
ip nat inside source static tcp 10.1.1.148 10055 89.162.218.164 10055 extendable
ip nat inside source static tcp 10.1.1.250 10056 89.162.218.164 10056 extendable
ip nat inside source static tcp 10.1.1.241 10057 89.162.218.164 10057 extendable
ip nat inside source static tcp 10.1.1.242 10058 89.162.218.164 10058 extendable
ip nat inside source static tcp 10.1.1.148 15101 89.162.218.164 15101 extendable
ip nat inside source static tcp 10.1.1.148 16100 89.162.218.164 16100 extendable
ip nat inside source static tcp 10.1.1.251 20 213.108.73.188 20 extendable
ip nat inside source static tcp 10.1.1.251 21 213.108.73.188 21 extendable
ip nat inside source static tcp 10.1.1.148 1433 213.108.73.188 1433 extendable
ip nat inside source static tcp 10.1.1.250 3389 213.108.73.188 3389 extendable
ip nat inside source static tcp 10.1.1.148 10055 213.108.73.188 10055 extendable
ip nat inside source static tcp 10.1.1.250 10056 213.108.73.188 10056 extendable
ip nat inside source static tcp 10.1.1.241 10057 213.108.73.188 10057 extendable
ip nat inside source static tcp 10.1.1.242 10058 213.108.73.188 10058 extendable
ip nat inside source static tcp 10.1.1.148 15101 213.108.73.188 15101 extendable
ip nat inside source static tcp 10.1.1.148 16100 213.108.73.188 16100 extendable
!
ip access-list extended INET-IN
permit gre any any
permit tcp any any established
permit tcp any any eq 15101
permit udp any eq ntp any eq ntp
permit udp any eq domain any
permit tcp host 212.109.50.204 any eq 16100
permit tcp host 212.109.50.202 any eq ftp
permit tcp host 212.109.50.202 any eq ftp-data
permit tcp host 212.109.50.205 any eq ftp-data
permit tcp host 212.109.50.205 any eq ftp
permit tcp any any eq 1723
permit tcp host 212.109.50.204 any eq 1433
permit tcp host 212.109.50.203 any eq 22
permit tcp host 212.109.50.203 any eq 3389
permit tcp host 212.109.50.203 any eq 10055
permit tcp host 212.109.50.203 any eq 10056
permit tcp host 212.109.50.203 any eq 10057
permit tcp host 212.109.50.203 any eq 10058
permit icmp host 89.162.218.161 any
permit icmp host 213.108.73.177 any
deny   ip any any log
ip access-list extended LAN-IN
permit tcp host 10.1.1.250 any eq smtp
permit tcp any host 195.39.197.125 eq smtp
deny   tcp any any eq smtp log
permit ip any any
permit icmp any any
ip access-list extended NAT
permit ip 10.1.0.0 0.0.255.255 any
ip access-list extended TERMINAL
permit ip host 10.1.1.118 any
deny   ip any any log
!
no logging trap
!
!
control-plane
!
!
line con 0
session-timeout 35791
logging synchronous
line aux 0
line vty 0 4
session-timeout 35791
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end
csgate-uc#

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Трабл с icmp" +/–

Сообщение от fantom (ok) on 01-Май-11, 08:52

>[оверквотинг удален]
> line aux 0
> line vty 0 4
>  session-timeout 35791
>  logging synchronous
>  transport input telnet ssh
> !
> scheduler max-task-time 5000
> scheduler allocate 20000 1000
> end
> csgate-uc#
Пока bri выключен этот IP пингается через другой интерфейс - по дефаулт гейтвею.
Как только включаете - маршрутизация заворачивет пинг в bri.
Если вы поностью уверены, что bri работает - поинтересуйтесь настройками второй тороны bri интерфейса.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Трабл с icmp"	+/–
Сообщение от fantom (ok) on 22-Апр-11, 14:09
>[оверквотинг удален] > ! > ! > ! > ! > ! > ! > ! > ! > end > csgate-uc# в ip access-list extended INET-IN источник и назначение местами перепутали.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Трабл с icmp"	+/–
	Сообщение от patch_ua (ok) on 22-Апр-11, 23:06
	>[оверквотинг удален] >> ! >> ! >> ! >> ! >> ! >> end >> csgate-uc# > в > ip access-list extended INET-IN > источник и назначение местами перепутали. не помогло ПС пинги на остальные 2-а айпи доходят отлично (89.162... и 212.109...) да правильно по-моему я написал таки.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Трабл с icmp"	+/–
	Сообщение от patch_ua (ok) on 26-Апр-11, 19:38
	up Не у кого нет никаких идей???
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Трабл с icmp"	+/–
	Сообщение от fantom (ok) on 27-Апр-11, 11:00
	> up > Не у кого нет никаких идей??? 1. Снимаете весть "обвес" c BRI интерфейса и пингаете прямо с кошки, если не пингается - проблема на BRI линке. 2. постепенно навешиваете все что нужно (ACL, NAT и т.д.), смотрите на каком этапе перестанет работать и ковыряете это направление.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Трабл с icmp"	+/–
	Сообщение от patch_ua (ok) on 29-Апр-11, 14:31
	>> up >> Не у кого нет никаких идей??? > 1. Снимаете весть "обвес" c BRI интерфейса и пингаете прямо с кошки, > если не пингается - проблема на BRI линке. > 2. постепенно навешиваете все что нужно (ACL, NAT и т.д.), смотрите на > каком этапе перестанет работать и ковыряете это направление. Попробовал все поснимать. В общем как только задаю интерфейсу БРИ айпи и маску пинги перестают ходить на 213.108.73.177 Если интерфейс выключен то все гуд. Подскажите - какого он не хочет пинговать ??? Current configuration : 5702 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname csgate-uc ! boot-start-marker boot-end-marker ! logging buffered 4096 informational no logging console ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default local aaa authorization network default local if-authenticated ! aaa session-id common ip cef ! ! no ip dhcp use vrf connected ! ip dhcp pool VPN-POOL network 10.1.100.0 255.255.255.0 dns-server 10.1.1.250 ! ! ip domain name uc.local ip name-server 10.1.1.250 ip multicast-routing ip inspect name GT ssh ip inspect name GT esmtp ip inspect name GT icmp ip inspect name GT pop3 ip inspect name GT pop3s ip inspect name GT telnet ip inspect name GT dns ip inspect name GT udp ip inspect name GT ftp vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ip mtu adjust ! ! ! voice-card 0 ! ! ! archive log config hidekeys ! ! ip ssh version 2 ! ! ! ! ! interface FastEthernet0/0 description Golden ip address 89.162.218.164 255.255.255.248 ip access-group INET-IN in ip nat outside ip inspect GT out ip virtual-reassembly max-fragments 64 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.1.1.1 255.255.255.0 ip access-group LAN-IN in ip nat inside no ip virtual-reassembly duplex auto speed auto ! interface BRI0/2/0 description Silver ip address 213.108.73.188 255.255.255.240 encapsulation hdlc shutdown ! interface Virtual-Template1 ip unnumbered FastEthernet0/1 ip nat inside ip virtual-reassembly peer default ip address dhcp-pool VPN-POOL ppp encrypt mppe 128 required ppp authentication ms-chap-v2 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 89.162.218.161 ip route 10.1.1.118 255.255.255.255 89.162.218.161 ip route 172.16.1.119 255.255.255.255 10.1.1.250 ip route 172.16.1.170 255.255.255.255 10.1.1.250 ! ip dns server ! no ip http server no ip http secure-server ip nat translation timeout 43200 ip nat translation tcp-timeout 7200 ip nat inside source list NAT interface FastEthernet0/0 overload ip nat inside source static tcp 10.1.1.251 20 89.162.218.164 20 extendable ip nat inside source static tcp 10.1.1.251 21 89.162.218.164 21 extendable ip nat inside source static tcp 10.1.1.148 1433 89.162.218.164 1433 extendable ip nat inside source static tcp 10.1.1.250 3389 89.162.218.164 3389 extendable ip nat inside source static tcp 10.1.1.148 10055 89.162.218.164 10055 extendable ip nat inside source static tcp 10.1.1.250 10056 89.162.218.164 10056 extendable ip nat inside source static tcp 10.1.1.241 10057 89.162.218.164 10057 extendable ip nat inside source static tcp 10.1.1.242 10058 89.162.218.164 10058 extendable ip nat inside source static tcp 10.1.1.148 15101 89.162.218.164 15101 extendable ip nat inside source static tcp 10.1.1.148 16100 89.162.218.164 16100 extendable ip nat inside source static tcp 10.1.1.251 20 213.108.73.188 20 extendable ip nat inside source static tcp 10.1.1.251 21 213.108.73.188 21 extendable ip nat inside source static tcp 10.1.1.148 1433 213.108.73.188 1433 extendable ip nat inside source static tcp 10.1.1.250 3389 213.108.73.188 3389 extendable ip nat inside source static tcp 10.1.1.148 10055 213.108.73.188 10055 extendable ip nat inside source static tcp 10.1.1.250 10056 213.108.73.188 10056 extendable ip nat inside source static tcp 10.1.1.241 10057 213.108.73.188 10057 extendable ip nat inside source static tcp 10.1.1.242 10058 213.108.73.188 10058 extendable ip nat inside source static tcp 10.1.1.148 15101 213.108.73.188 15101 extendable ip nat inside source static tcp 10.1.1.148 16100 213.108.73.188 16100 extendable ! ip access-list extended INET-IN permit gre any any permit tcp any any established permit tcp any any eq 15101 permit udp any eq ntp any eq ntp permit udp any eq domain any permit tcp host 212.109.50.204 any eq 16100 permit tcp host 212.109.50.202 any eq ftp permit tcp host 212.109.50.202 any eq ftp-data permit tcp host 212.109.50.205 any eq ftp-data permit tcp host 212.109.50.205 any eq ftp permit tcp any any eq 1723 permit tcp host 212.109.50.204 any eq 1433 permit tcp host 212.109.50.203 any eq 22 permit tcp host 212.109.50.203 any eq 3389 permit tcp host 212.109.50.203 any eq 10055 permit tcp host 212.109.50.203 any eq 10056 permit tcp host 212.109.50.203 any eq 10057 permit tcp host 212.109.50.203 any eq 10058 permit icmp host 89.162.218.161 any permit icmp host 213.108.73.177 any deny ip any any log ip access-list extended LAN-IN permit tcp host 10.1.1.250 any eq smtp permit tcp any host 195.39.197.125 eq smtp deny tcp any any eq smtp log permit ip any any permit icmp any any ip access-list extended NAT permit ip 10.1.0.0 0.0.255.255 any ip access-list extended TERMINAL permit ip host 10.1.1.118 any deny ip any any log ! no logging trap ! ! control-plane ! ! line con 0 session-timeout 35791 logging synchronous line aux 0 line vty 0 4 session-timeout 35791 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 scheduler allocate 20000 1000 end csgate-uc#
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Трабл с icmp"	+/–
	Сообщение от fantom (ok) on 01-Май-11, 08:52
	>[оверквотинг удален] > line aux 0 > line vty 0 4 > session-timeout 35791 > logging synchronous > transport input telnet ssh > ! > scheduler max-task-time 5000 > scheduler allocate 20000 1000 > end > csgate-uc# Пока bri выключен этот IP пингается через другой интерфейс - по дефаулт гейтвею. Как только включаете - маршрутизация заворачивет пинг в bri. Если вы поностью уверены, что bri работает - поинтересуйтесь настройками второй тороны bri интерфейса.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору