 Проброска реальных адресов через NAT,  artmy, 27-Фев-06, 16:18 [смотреть все]Здравствуйте, уважаемые! Пожалуйста помогите чайнику.
Имеется Cisco 2611. Два интерфейса Ethernet, один Serial.
Serial0/0 подключен к провайдеру на нём работает NAT(ZZ.YY.118.184/29). Один Eternet интерфейс смотрит во внутреннюю частную сеть,(192.168.100.0), второй подключен к почтовому серваку и Web-сервру с реальными IP адресами (ZZ.YY.126.32/29). Требуеться чтобы натилась только частная сеть, а диапазон
ZZ.YY.126.32./29 ходил туда и обратно без изменений.
Вот кусок конфига:interface Ethernet0/0
description Internal Network
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip accounting output-packets
ip nat inside
no ip mroute-cache
full-duplex interface Serial0/0
description Link to Internet
ip address zz.yy.118.186 255.255.255.248
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
ip accounting output-packets
ip nat outside
encapsulation ppp
no ip route-cache
no ip mroute-cache interface Ethernet0/1
description DMZ for web and e-mail services
ip address zz.yy.126.34 255.255.255.248
no ip directed-broadcast
ip accounting output-packets
no ip mroute-cache
full-duplex ip nat inside source route-map NAT interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 zz.yy.118.185 #НА шлюз провайдера
no ip http server access-list 124 deny icmp 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7
access-list 124 deny ip 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7
access-list 124 permit icmp any any
access-list 124 permit ip any any route-map NAT permit 10
match ip address 124 Вопрос, где я дурак? |
- Проброска реальных адресов через NAT, sh_, 18:40 , 27-Фев-06 (1)
А не проще
no access-list 124
access-list 124 perm ip 192.168.100.0 0.0.0.255 anИ что не работает?
- Проброска реальных адресов через NAT, artmy, 12:22 , 28-Фев-06 (2)
>А не проще
>no access-list 124
>access-list 124 perm ip 192.168.100.0 0.0.0.255 an
>
>И что не работает?
Не пингуеться и не видиться порт маршрутки ZZ.YY.126.34 со стороны внешнего ZZ.YY.118.186, а уж ZZ.YY.126.35 - это почтовый сервер и подавно, причем 186 снаружи видиться и пингуеться. Вот это последнее особенно бесит!
- Проброска реальных адресов через NAT, sh_, 13:00 , 28-Фев-06 (3)
А провайдер на тебя маршрутизирует эту сетку?
На всякий случай
interface Serial0/0
ip proxy-arp
- Проброска реальных адресов через NAT, artmy, 09:17 , 02-Мрт-06 (4)
>А провайдер на тебя маршрутизирует эту сетку?
>На всякий случай
>interface Serial0/0
>ip proxy-arp Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на шлюз провайдера за номером 118.185 пакет не проходит и сидит эта ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно. Блин, тихий ужас.
- Проброска реальных адресов через NAT, nbv, 09:50 , 02-Мрт-06 (5)
>>А провайдер на тебя маршрутизирует эту сетку?
>>На всякий случай
>>interface Serial0/0
>>ip proxy-arp
>
>Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны
>почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту
>машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на
>шлюз провайдера за номером 118.185 пакет не проходит и сидит эта
>ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно.
>Блин, тихий ужас. попробуй упростить конфиг - убери ACL и Route-map - они не нужны.
ip nat соответсвенно безусловный
DMZ под него попадать не будет, потому что интерфейс не "ip nat inside"
- Проброска реальных адресов через NAT, artmy, 09:33 , 03-Мрт-06 (6)
>попробуй упростить конфиг - убери ACL и Route-map - они не нужны.
>
>ip nat соответсвенно безусловный
>DMZ под него попадать не будет, потому что интерфейс не "ip nat
>inside"
Как это убрать ACL, а что вместо него? Вот так что-ли
ip nat inside source list InternalACL interface Serial0/0 overload ip access-list standard InternalACL
permit 192.168.100.0 0.0.0.255 Или просто создать пул?
- Проброска реальных адресов через NAT, artmy, 11:18 , 06-Мрт-06 (7)
Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно
interface Ethernet0/0
description Internal Network
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip accounting output-packets
ip nat inside
no ip route-cache
no ip mroute-cache
full-duplex
!
interface Serial0/0
description Link to Internet
ip address zz.yy.118.186 255.255.255.248
ip directed-broadcast
ip accounting output-packets
ip nat outside
encapsulation ppp
peer default ip address zz.yy.118.185
!
interface Ethernet0/1
description DMZ for web and e-mail services
ip address zz.yy.126.34 255.255.255.248
no ip directed-broadcast
ip accounting output-packets
no ip mroute-cache
full-duplex
!
ip nat inside source list 1 interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 zz.yy.118.185
no ip http server
!
logging trap debugging
logging zz.yy.126.35
access-list 1 permit 192.168.100.0 0.0.0.255
- Проброска реальных адресов через NAT, Lacunacoil, 18:54 , 07-Мрт-06 (8)
>Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит
>до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно
>
>
>
>interface Ethernet0/0
> description Internal Network
> ip address 192.168.100.1 255.255.255.0
> no ip directed-broadcast
> ip accounting output-packets
> ip nat inside
> no ip route-cache
> no ip mroute-cache
> full-duplex
>!
>interface Serial0/0
> description Link to Internet
> ip address zz.yy.118.186 255.255.255.248
> ip directed-broadcast
> ip accounting output-packets
> ip nat outside
> encapsulation ppp
> peer default ip address zz.yy.118.185
>!
>interface Ethernet0/1
> description DMZ for web and e-mail services
> ip address zz.yy.126.34 255.255.255.248
> no ip directed-broadcast
> ip accounting output-packets
> no ip mroute-cache
> full-duplex
>!
>ip nat inside source list 1 interface Serial0/0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 zz.yy.118.185
>no ip http server
>!
>logging trap debugging
>logging zz.yy.126.35
>access-list 1 permit 192.168.100.0 0.0.0.255
пакет на дефолт не уходит или не приходит с почтовика ?
- Проброска реальных адресов через NAT, artmy, 14:58 , 09-Мрт-06 (9)
>
>
>пакет на дефолт не уходит или не приходит с почтовика ?
С Solaris'a с аресом ZZ.yy.126.35 даю:
ping ZZ.YY.118.186
ответ alive
даю:
ping ZZ.YY.118.185
no answer
Далее, с маршрутки все IP пингуються
Вот такая байда.
|
Версия для распечатки
