Новые ответы

Не работает маршрутизация для клиентов,

star117, 02-Апр-14, 13:13 [смотреть все]

Сразу скажу что тема шире чем в заголовке.
Есть Cisco3825, на ней 3 субинтерфейса к провайдерам. Есть своя AS(PA). Успешно настроено BGP-соседство с 2 провайдерами по fullview.
Тут бы жить и радоваться, но вот с клиентского компьютера маршрутизация в Инет не идёт, хотя с роутера - без вопросов.
Клиентская маршрутизация настроена через PBR, ранее без AS, работала без нареканий.
Главный вопрос - что не так настроено? Вот конфиг:
!
! Last configuration change at 15:49:57 NOVST Wed Apr 2 2014 by xxxx
! NVRAM config last updated at 15:49:59 NOVST Wed Apr 2 2014 by xxxx
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
!
aaa session-id common
clock calendar-valid
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxxx.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login on-failure log
login on-success log
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
voice-card 0
!
!
!
username xxxx privilege 15 secret 5 qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
archive
log config
!
!
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.40
description notmy_AS
encapsulation dot1Q 40
ip address 40.40.40.14 255.255.252.0
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.55
description ISP1
encapsulation dot1Q 55
ip address 55.55.55.146 255.255.255.252 secondary
ip address 55.55.55.162 255.255.255.252
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.60
description ISP2
encapsulation dot1Q 60
ip address 60.60.60.70 255.255.255.252
no ip redirects
no ip unreachables
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.77
description ISP3
encapsulation dot1Q 77
ip address 77.77.77.147 255.255.255.0
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.12.120 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/1.25
description AS_DMZ
encapsulation dot1Q 25
ip address 25.25.25..1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no cdp enable
!
router bgp 65432
bgp router-id 25.25.25.1
bgp log-neighbor-changes
neighbor 55.55.55.145 remote-as 64321
neighbor 55.55.55.145 description ISP1_fullview
neighbor 55.55.55.161 remote-as 64321
neighbor 55.55.55.161 description ISP1
neighbor 60.60.60.69 remote-as 62109
neighbor 60.60.60.69 description ISP2
!
address-family ipv4
  neighbor 55.55.55.145 activate
  neighbor 55.55.55.145 next-hop-self
  neighbor 55.55.55.145 soft-reconfiguration inbound
  neighbor 55.55.55.145 prefix-list BGP_ADVERT out
  neighbor 55.55.55.161 activate
  neighbor 55.55.55.161 next-hop-self
  neighbor 55.55.55.161 soft-reconfiguration inbound
  neighbor 55.55.55.161 prefix-list BGP_ADVERT out
  neighbor 60.60.60.69 activate
  neighbor 60.60.60.69 next-hop-self
  neighbor 60.60.60.69 soft-reconfiguration inbound
  neighbor 60.60.60.69 prefix-list BGP_ADVERT out
  no auto-summary
  no synchronization
  network 25.25.25.0 mask 255.255.255.0
exit-address-family
!
ip local pool VPN_POOL 10.11.12.101 10.11.12.110
ip forward-protocol nd
ip route 10.11.12.0 255.255.255.0 Null0
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/1.25 overload
!
ip access-list extended LAN_TO_INET
permit ip 10.11.12.0 0.0.0.255 any
ip access-list extended port22dis
deny   tcp any host 25.25.25.1 eq 22
deny   tcp any host 40.40.40.14 eq 22
deny   tcp any host 55.55.55.162 eq 22
deny   tcp any host 60.60.60.70 eq 22
deny   tcp any host 77.77.77.147 eq 22
permit ip any any
!
!
ip prefix-list BGP_ADVERT seq 10 permit 25.25.25.0/24
ip radius source-interface GigabitEthernet0/1.1
logging trap debugging
logging 10.11.12.127
!
!
!
!
route-map OURNET_TO_INTERNET permit 10
match ip address LAN_TO_INET
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
transport input ssh
scheduler allocate 20000 1000
end

Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Virtual77, 17:50 , 02-Апр-14 (1)
>[оверквотинг удален]
> !
> line con 0
> line aux 0
> line vty 0 4
>  exec-timeout 20 0
>  privilege level 15
>  logging synchronous
>  transport input ssh
> scheduler allocate 20000 1000
> end
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/1.25 overload
это точно правильно прописано?
какой-то заплёт с натированием, посмотри тут:
http://www.cisco.com/c/en/us/support/docs/ip/network-address...

Ответить | Сообщить модератору
Не работает маршрутизация для клиентов, Apple, 13:25 , 03-Апр-14 (2)
А для чего у вас используется этот маршрут?
ip route 10.11.12.0 255.255.255.0 Null0
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 19:46 , 03-Апр-14 (3)
> А для чего у вас используется этот маршрут?
> ip route 10.11.12.0 255.255.255.0 Null0
Хороший вопрос.
Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа так надо для работы с АС.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, ShyLion, 06:41 , 04-Апр-14 (4)
>> А для чего у вас используется этот маршрут?
>> ip route 10.11.12.0 255.255.255.0 Null0
> Хороший вопрос.
> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
> так надо для работы с АС.
Вы по BGP приватную сеть анонсите?
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, ShyLion, 06:44 , 04-Апр-14 (5)
>>> А для чего у вас используется этот маршрут?
>>> ip route 10.11.12.0 255.255.255.0 Null0
>> Хороший вопрос.
>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>> так надо для работы с АС.
> Вы по BGP приватную сеть анонсите?
а, у вас приватный AS.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 07:35 , 04-Апр-14 (7)
>>>> А для чего у вас используется этот маршрут?
>>>> ip route 10.11.12.0 255.255.255.0 Null0
>>> Хороший вопрос.
>>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>>> так надо для работы с АС.
>> Вы по BGP приватную сеть анонсите?
> а, у вас приватный AS.
Нет, AS у на не приватная.
Просто IP и ASN изменены перед публикацией на форуме.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, ShyLion, 07:58 , 04-Апр-14 (9)
>>>>> А для чего у вас используется этот маршрут?
>>>>> ip route 10.11.12.0 255.255.255.0 Null0
>>>> Хороший вопрос.
>>>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>>>> так надо для работы с АС.
>>> Вы по BGP приватную сеть анонсите?
>> а, у вас приватный AS.
> Нет, AS у на не приватная.
> Просто IP и ASN изменены перед публикацией на форуме.
Понятно. В следующий раз меняй так, чтоб было понятно что не приватное. типа 123.123.123.0 и 123456. :)
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, ShyLion, 06:52 , 04-Апр-14 (6)
https://www.opennet.ru/openforum/vsluhforumID6/1295.html#7
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 07:36 , 04-Апр-14 (8)
> https://www.opennet.ru/openforum/vsluhforumID6/1295.html#7
Эта тема также создана мной. Тот же вопрос, заданный по-другому.
Ответы пока не помогают.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Денис, 12:28 , 05-Апр-14 (10)
> Клиентская маршрутизация настроена через PBR
в приведённом конфиге PBR нет. Или я не так понял вашу топологию.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 13:17 , 05-Апр-14 (11)
>> Клиентская маршрутизация настроена через PBR
> в приведённом конфиге PBR нет. Или я не так понял вашу топологию.
Возможно я сам неправильно понимаю PBR?
Я понял PBR так: прописано правило для NAT (ip nat inside ...) в котором указан нужный мне route-map.
Раньше, когда было просто подключение к 2 провайдерам PBR работал. В route-map'е были правила типа match ip ... set next-hop default ... и разный трафик ходил через разных провайдеров.
Моё понимание неверно?
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Денис, 19:15 , 05-Апр-14 (12)
>>> Клиентская маршрутизация настроена через PBR
>> в приведённом конфиге PBR нет. Или я не так понял вашу топологию.
> Возможно я сам неправильно понимаю PBR?
> Я понял PBR так: прописано правило для NAT (ip nat inside ...)
> в котором указан нужный мне route-map.
это просто использование route-map применительно к NAT.
> Раньше, когда было просто подключение к 2 провайдерам PBR работал. В route-map'е
> были правила типа match ip ... set next-hop default ... и
> разный трафик ходил через разных провайдеров.
> Моё понимание неверно?
Просто написать route map ещё недостаточно. Сама PBR активируется командой "ip policy", прописанной на интерфейсе. В приведённом конфиге её нет. Потому я и говорю, что в конфиге из вашего изначального сообщения PBR нет.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Денис, 19:38 , 05-Апр-14 (13)
попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:
route-map OURNET_TO_INTERNET permit 10
match ip address LAN_TO_INET
set interface GigabitEthernet0/1.25
Interface GigabitEthernet0/1.25
ip policy OURNET_TO_INTERNET
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Денис, 20:29 , 05-Апр-14 (14)
> попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:
> route-map OURNET_TO_INTERNET permit 10
> match ip address LAN_TO_INET
> set interface GigabitEthernet0/1.25
или лучше set ip next-hop <IP-АдресОператора>
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 15:13 , 06-Апр-14 (15)
>> попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:
>> route-map OURNET_TO_INTERNET permit 10
>> match ip address LAN_TO_INET
>> set interface GigabitEthernet0/1.25
> или лучше set ip next-hop <IP-АдресОператора>
Спасибо, Денис! Посты прям в тему.
С последним только не получится. У меня поднят BGP+AS, то есть предсказать через какого провайдера должен пойти трафик я не могу.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, Денис, 15:59 , 06-Апр-14 (16)
> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
> через какого провайдера должен пойти трафик я не могу.
тогда попробуйте следующее:
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload
ну и не забывайте про "show ip nat translation" и прочие полезные команды
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 18:38 , 06-Апр-14 (17)
>> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
>> через какого провайдера должен пойти трафик я не могу.
> тогда попробуйте следующее:
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload
> ну и не забывайте про "show ip nat translation" и прочие полезные
> команды
Спасибо, буду пробовать :)
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, star117, 06:15 , 07-Апр-14 (18)
>>> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
>>> через какого провайдера должен пойти трафик я не могу.
>> тогда попробуйте следующее:
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload
>> ну и не забывайте про "show ip nat translation" и прочие полезные
>> команды
> Спасибо, буду пробовать :)
Не работает. Правило ip nat ... overload может быть только одно.
Ответить | Сообщить модератору
Не работает маршрутизация для клиентов, ShyLion, 08:11 , 08-Апр-14 (20)
> Спасибо, буду пробовать :)
Не парься, тебе это не нужно.
Ответить | Сообщить модератору

Не работает маршрутизация для клиентов, ShyLion, 08:09 , 08-Апр-14 (19)
Камрад. Ему это не надо. Ему не надо натить с адресов-линков с провайдерами. У него свой PI блок. Как что сделать я уже отписал в другой теме, через пулы.
Ответить | Сообщить модератору