 cisco 1841, 2 x провайдера и 2 x FTP сервера,  tohha, 07-Мрт-10, 18:20 [смотреть все]Есть cisco 1841 + HWIC-1FE.
Надо настроить, чтобы можно было подключаться к FTP серверам с двух разных провайдеров. С одного провайдера к 192.168.1.12, со второго к 192.168.1.139Есть 2 проблемы:
1) когда прописано
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.139
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.161
то вообще не пингуются IP с FastEthernet0/0/0
если оставить только ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0 yyy.yyy.yyy.161 то пингуются все внешние IP-шники
совершенно не понимаю почему это происходит ;o( 2) оставляю только ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.161
работает подключение FTP в пассивном режиме к IP: xxx.xxx.xxx.xxx
а к IP: yyy.yyy.yyy.yyy не работает. Конкретнее, не устанавливается DATA соединение. пробовал прописывать
ip nat pool ftp-passive 192.168.1.12 192.168.1.12 netmask 255.255.255.0 type rotary
ip nat inside destination list ftp-passive pool ftp-passive
ip access-list extended ftp-passive
permit udp any host yyy.yyy.yyy.yyy range 1024 65535 но безрезультатно ;o( На самом деле, мне бы хотя бы с первой проблемой разобраться. Может после этого прийдет понимание второй проблемы.
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gate
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-3265806284
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265806284
revocation-check none
rsakeypair TP-self-signed-3265806284
!
!
dot11 syslog
ip cef
!
!
!
!
ip domain name xxxxxxx
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
!
multilink bundle-name authenticated
!
!
username toha privilege 15 secret 5 xxxxxxxx
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address xxx.xxx.xxx.xxx 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.1.29 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map ISP
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address yyy.yyy.yyy.yyy 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 xxx.xxx.xxx.139
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0 yyy.yyy.yyy.161
!
!
ip nat inside source route-map NAT-ISP-1 interface FastEthernet0/0 overload
ip nat inside source route-map NAT-ISP-2 interface FastEthernet0/0/0 overload
!
ip nat inside source static tcp 192.168.1.12 20 FastEthernet0/0/0 20
ip nat inside source static tcp 192.168.1.12 21 FastEthernet0/0/0 21
!
ip nat inside source static tcp 192.168.1.139 20 interface FastEthernet0/0 20
ip nat inside source static tcp 192.168.1.139 21 interface FastEthernet0/0 21
!
access-list 100 permit ip any any
!
access-list 103 deny ip 192.168.1.12 0.0.0.255 any
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
!
access-list 104 permit ip host 192.168.1.12 any
! route-map ISP permit 10
match ip address 103
set ip next-hop xxx.xxx.xxx.137
!
route-map ISP permit 20
match ip address 104
set ip next-hop yyy.yyy.yyy.161
!
route-map NAT-ISP-1 permit 1
match ip address 103
!
route-map NAT-ISP-2 permit 1
match ip address 104
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
transport input ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
|
- cisco 1841, 2 x провайдера и 2 x FTP сервера, tohha, 18:45 , 07-Мрт-10 (1)
первую проблему решил.
Надо было добавить match interface в route-maproute-map ISP permit 10
match ip address 103
match interface FastEthernet 0/0
set ip next-hop xxx.xxx.xxx.137
!
route-map ISP permit 20
match ip address 104
match interface FastEthernet 0/0/0
set ip next-hop yyy.yyy.yyy.161
- опять не работает ;o(, tohha, 19:59 , 07-Мрт-10 (2)
Проблема все таки не решена. После reload опять не пашет.
- опять не работает ;o(, Gbyte, 20:29 , 07-Мрт-10 (3)
Как у тебя кто-то будет ходить на фтп сервера, когда у тебя в ЛАНе таже адресация?Если в вопросе ты ничего не напутал, то нужно:
1. на каждом хосте который идет на фтп-сервер прописать маршрут до конкретного сервера через 1841.
2. попробуй на 1841 прописать маршруты до фтп тоже:
* ip route 192.168.1.X 255.255.255.255 ISP1
* ip route 192.168.1.Y 255.255.255.255 ISP2
- опять не работает ;o(, tohha, 21:06 , 07-Мрт-10 (4)
Что значит в "в лане та же адресация"?
У меня LAN: 192.168.1.0/24
там же стоят FTP сервера: 192.168.1.12 и 192.168.1.139
мне необходимо до них достучаться извне.>[оверквотинг удален]
>
>Как у тебя кто-то будет ходить на фтп сервера, когда у тебя
>в ЛАНе таже адресация?
>
>Если в вопросе ты ничего не напутал, то нужно:
>1. на каждом хосте который идет на фтп-сервер прописать маршрут до конкретного
>сервера через 1841.
>2. попробуй на 1841 прописать маршруты до фтп тоже:
> * ip route 192.168.1.X 255.255.255.255 ISP1
> * ip route 192.168.1.Y 255.255.255.255 ISP2
- cisco 1841, 2 x провайдера и 2 x FTP сервера, tohha, 22:14 , 07-Мрт-10 (6)
В общем, проблема остается даже если натить все:
ip nat inside source static 192.168.1.12 yyy.yyy.yyy.yyyСамое интересное, что для FastEthernet 0/0 достаточно конструкции:
ip nat inside source static tcp 192.168.1.139 20 FastEthernet0/0/0 20
ip nat inside source static tcp 192.168.1.139 21 FastEthernet0/0/0 21
и все, FTP пассивный пашет А вот для FastEthernet 0/0/0 (HWIC-1FE) даже ip nat inside source static 192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o( Я уж не знаю на что грешить.
На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже 3 дня убил и головой об лед.
Неужели никто не сталкивался с подобным?
- cisco 1841, 2 x провайдера и 2 x FTP сервера, Gbyte, 22:17 , 07-Мрт-10 (7)
>[оверквотинг удален]
>ip nat inside source static tcp 192.168.1.139 21 FastEthernet0/0/0 21
>и все, FTP пассивный пашет
>
>А вот для FastEthernet 0/0/0 (HWIC-1FE) даже ip nat inside source static
>192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o(
>
>Я уж не знаю на что грешить.
>На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже
>3 дня убил и головой об лед.
>Неужели никто не сталкивался с подобным? 1. Посмотри в сторону ip inspect
2. ты же хочешь чтобы к твоим фтп-серверам снаружи цеплялись? тогда надо ip nat outside же делать..
- cisco 1841, 2 x провайдера и 2 x FTP сервера, tohha, 22:30 , 07-Мрт-10 (8)
ip inspect смотрел настраивал, не помогает
а с outside что-то не понял. Мне надо пробросить порты внутрь свое сетки. какой же это outside, когда это ip nat inside!>[оверквотинг удален]
>>192.168.1.12 yyy.yyy.yyy.yyy не пашет. DATA упорно не проходит ;o(
>>
>>Я уж не знаю на что грешить.
>>На UNIX подобную конструкцию собрал бы за 30 минут. На циске уже
>>3 дня убил и головой об лед.
>>Неужели никто не сталкивался с подобным?
>
>1. Посмотри в сторону ip inspect
>2. ты же хочешь чтобы к твоим фтп-серверам снаружи цеплялись? тогда надо
>ip nat outside же делать..
- cisco 1841, 2 x провайдера и 2 x FTP сервера, Gbyte, 04:21 , 08-Мрт-10 (9)
- cisco 1841, 2 x провайдера и 2 x FTP сервера, Николай, 18:25 , 10-Мрт-10 (10)
>>ip nat outside же делать.. не делай ip nat outside - схема редкая и извращенная фактически ты выбрасываешь в ЛАН внешний ВАН IP адрес из пула заданного для внуттренней сети. Вот мой рабочий пример заточи под себя interface GigabitEthernet0/0.250
encapsulation dot1Q 250
ip address 172.16.250.1 255.255.255.192
ip nat inside
no ip virtual-reassembly
ip policy route-map INER-map
no cdp enable
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.548
encapsulation dot1Q 548
ip address 212.xxx.xxx.222 255.255.255.248
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1.2586
encapsulation dot1Q 2586
ip address 88.xxx.xxx.222 255.255.255.240
ip nat outside
ip virtual-reassembly
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 212.xxx.xxx.217
!
ip nat inside source static 172.16.250.2 88.xxx.xxx.221 extendable
ip nat inside source static 172.16.250.3 212.xxx.xxx.222 extendable
! ip access-list extended INET-acl
remark Interest traffic IPSEC
permit ip 172.16.250.0 0.0.0.15 any
!
!
!
route-map INER-map permit 10
match ip address INET-acl
set ip next-hop 88.81.253.209
|
Версия для распечатки
