Новые ответы

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871.,

zerropull, 14-Янв-14, 10:25 [смотреть все]

Добрый день. Имею вот такой конфиг:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HOME
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$BcVd$/5uJyiwQhLo5mAHLHnVOX.
enable password чччччччччччччч
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1121392622
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1121392622
revocation-check none
rsakeypair TP-self-signed-1121392622
!
!
crypto pki certificate chain TP-self-signed-1121392622
certificate self-signed 01
  //сертификат
        quit
no ip routing
no ip cef
!
!
no ip dhcp use vrf connected
!
ip dhcp pool HOME_Network
   network 192.168.254.0 255.255.255.0
   dns-server 192.168.254.1
   default-router 192.168.254.1
!
!
ip inspect name Internet icmp
ip inspect name Internet tcp
ip inspect name Internet udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username admin privilege 15 password 0 ччччччччччччч
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address чччч.чччч.чччч
ip address dhcp
ip access-group 101 in
ip nat outside
ip inspect Internet in
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.254.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip inspect Internet in
ip virtual-reassembly
no ip route-cache
!
ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.254.0 0.0.0.255
access-list 1 deny   any
access-list 100 permit ip 192.168.254.0 0.0.0.255 any
access-list 100 deny   ip any any
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny   ip any any
snmp-server community public RO
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
password lck544m
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Проблема в том, что внутри сети все ходит хорошо, а с маршрутизатора я пингую 8.8.8.8, но с компа входа в инет нет. Не ходят пакеты наружу и все тут. Подскажите пожалуйста, в чем может быть причина.
Заранее благодарю.
P.S. Я на работе, а роутер дома. Если понадобятся какие либо выводы из CLI, то это только вечером, после 8((

Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., rusadmin, 10:33 , 14-Янв-14 (1)
access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., zerropull, 10:35 , 14-Янв-14 (2)
> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал снимать - не помогло(((
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., zerropull, 10:39 , 14-Янв-14 (3)
>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
> снимать - не помогло(((
А вот сейчас в голову пришло. А что если создать еще один ACL:
access-list 2 permit any
Создать второе правило для НАТ:
ip nat outside source list 2 interface Vlan1 overload
И повесить на fa4:
ip access-group 2 out
?????
Ответить | Сообщить модератору
Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., elk_killa, 10:40 , 14-Янв-14 (4)
>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
> снимать - не помогло(((
ip route 0.0.0.0 0.0.0.0 dhcp ?
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., zerropull, 10:47 , 14-Янв-14 (5)
>>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
>> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
>> снимать - не помогло(((
> ip route 0.0.0.0 0.0.0.0 dhcp ?
Простите, я новичек в Цисках. Если это вопрос, пробовал ли я так - нет, не пробовал.
UP! Поковырялся, что за команда. Если я верно понял, что вы хотите сказать, то нет, я не вводил такую команду. А зачем? У меня получается адрес по DHCP и, как я уже сказал, все нормально пингуется, но только с циски. С компьютера нет.
Хотя, скорее всего, я чего то не понимаю.
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., elk_killa, 11:32 , 14-Янв-14 (6)
> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
> сказать, то нет, я не вводил такую команду. А зачем? У
> меня получается адрес по DHCP и, как я уже сказал, все
> нормально пингуется, но только с циски. С компьютера нет.
> Хотя, скорее всего, я чего то не понимаю.
покажите sh ip route с маршрутизатора
Ответить | Сообщить модератору
Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., elk_killa, 11:43 , 14-Янв-14 (7)

> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
> сказать, то нет, я не вводил такую команду. А зачем? У
> меня получается адрес по DHCP и, как я уже сказал, все
> нормально пингуется, но только с циски. С компьютера нет.
> Хотя, скорее всего, я чего то не понимаю.
ёпрст, у вас
no ip routing
поэтому у самого роутера дефолт есть, а клиентов он не форвардит
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., zerropull, 11:56 , 14-Янв-14 (8)
>> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
>> сказать, то нет, я не вводил такую команду. А зачем? У
>> меня получается адрес по DHCP и, как я уже сказал, все
>> нормально пингуется, но только с циски. С компьютера нет.
>> Хотя, скорее всего, я чего то не понимаю.
> ёпрст, у вас
> no ip routing
> поэтому у самого роутера дефолт есть, а клиентов он не форвардит
Буду дома около 8 вечера и скину вывод.

О! Спасибо, что напомнили! Когда я включаю ip routing, у меня прекращается работа внутренней сети. Т.е. по DHCP клиенты перестают получать адреса, а если назначить статику, все равно ничего не пингуется и пакеты не ходят)))
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., ash, 15:28 , 14-Янв-14 (9)
ip inspect Internet in
на
ip inspect Internet out
ip routing обязательно нужен
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., zerropull, 21:40 , 14-Янв-14 (10)
> ip inspect Internet in
> на
> ip inspect Internet out
> ip routing обязательно нужен
Сделал, как Вы мне посоветовали. До этого sh ip route ничего не писал. Теперь так:
Gateway of last resort is 10.41.30.1 to network 0.0.0.0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.41.30.0 is directly connected, FastEthernet4
     192.168.254.0/32 is subnetted, 1 subnets
S       192.168.254.5 [254/0] via 10.41.30.1, FastEthernet4
S*   0.0.0.0/0 [254/0] via 10.41.30.1
Вот правда у меня сейчас ничего не подключено к роутеру (почему то на моем любимом Acer 3830T пропала сетевуха) и мне не совсем понятно, откуда взялся адресс 192.168.254.5.
Блин, и подключить для проверки нечего(((
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., ShyLion, 07:48 , 16-Янв-14 (11)
Ну что за манера ничего не понимая накидать сходу в конфиг всякой хрени и пытаться взлететь?
Нужно всегда идти от простого к сложному.
Сперва тупо сделать чтобы роутер ходил в интернет сам. Не нужно сходу лепить фаервол, аксес листы на интерфейсах, если не знаешь точно как оно работает.
Затем нужно сделать чтоб работала локалка, просто работала, без интернета, чтобы адреса с роутера получали.
Затем можно включить NAT и добиться элементарного хождения локалки в инет.
И уже в саааамом конце, потихоньку, вдумчиво читая cisco.com, включать фаерволы и списки доступа на интерфейсах.
Ну и "no ip routing" - это пять!
Ответить | Сообщить модератору

Не ходят пакеты из внутренней сети наружу (NAT?) Cisco 871., alecx, 14:33 , 16-Янв-14 (12)
>[оверквотинг удален]
> Нужно всегда идти от простого к сложному.
> Сперва тупо сделать чтобы роутер ходил в интернет сам. Не нужно сходу
> лепить фаервол, аксес листы на интерфейсах, если не знаешь точно как
> оно работает.
> Затем нужно сделать чтоб работала локалка, просто работала, без интернета, чтобы адреса
> с роутера получали.
> Затем можно включить NAT и добиться элементарного хождения локалки в инет.
> И уже в саааамом конце, потихоньку, вдумчиво читая cisco.com, включать фаерволы и
> списки доступа на интерфейсах.
> Ну и "no ip routing" - это пять!
+1 и верните ip cef, не издевайтесь над котенком )
Ответить | Сообщить модератору