Проброска реальных адресов через NAT, artmy, 27-Фев-06, 16:18 [смотреть все]Здравствуйте, уважаемые! Пожалуйста помогите чайнику. Имеется Cisco 2611. Два интерфейса Ethernet, один Serial. Serial0/0 подключен к провайдеру на нём работает NAT(ZZ.YY.118.184/29). Один Eternet интерфейс смотрит во внутреннюю частную сеть,(192.168.100.0), второй подключен к почтовому серваку и Web-сервру с реальными IP адресами (ZZ.YY.126.32/29). Требуеться чтобы натилась только частная сеть, а диапазон ZZ.YY.126.32./29 ходил туда и обратно без изменений. Вот кусок конфига:interface Ethernet0/0 description Internal Network ip address 192.168.100.1 255.255.255.0 no ip directed-broadcast ip accounting output-packets ip nat inside no ip mroute-cache full-duplex interface Serial0/0 description Link to Internet ip address zz.yy.118.186 255.255.255.248 no ip redirects no ip unreachables no ip directed-broadcast no ip proxy-arp ip accounting output-packets ip nat outside encapsulation ppp no ip route-cache no ip mroute-cache interface Ethernet0/1 description DMZ for web and e-mail services ip address zz.yy.126.34 255.255.255.248 no ip directed-broadcast ip accounting output-packets no ip mroute-cache full-duplex ip nat inside source route-map NAT interface Serial0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 zz.yy.118.185 #НА шлюз провайдера no ip http server access-list 124 deny icmp 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7 access-list 124 deny ip 192.168.100.0 0.0.0.255 zz.yy.126.32 0.0.0.7 access-list 124 permit icmp any any access-list 124 permit ip any any route-map NAT permit 10 match ip address 124 Вопрос, где я дурак? |
- Проброска реальных адресов через NAT, sh_, 18:40 , 27-Фев-06 (1)
А не проще no access-list 124 access-list 124 perm ip 192.168.100.0 0.0.0.255 anИ что не работает?
- Проброска реальных адресов через NAT, artmy, 12:22 , 28-Фев-06 (2)
>А не проще >no access-list 124 >access-list 124 perm ip 192.168.100.0 0.0.0.255 an > >И что не работает? Не пингуеться и не видиться порт маршрутки ZZ.YY.126.34 со стороны внешнего ZZ.YY.118.186, а уж ZZ.YY.126.35 - это почтовый сервер и подавно, причем 186 снаружи видиться и пингуеться. Вот это последнее особенно бесит!
- Проброска реальных адресов через NAT, sh_, 13:00 , 28-Фев-06 (3)
А провайдер на тебя маршрутизирует эту сетку? На всякий случай interface Serial0/0 ip proxy-arp
- Проброска реальных адресов через NAT, artmy, 09:17 , 02-Мрт-06 (4)
>А провайдер на тебя маршрутизирует эту сетку? >На всякий случай >interface Serial0/0 >ip proxy-arp Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на шлюз провайдера за номером 118.185 пакет не проходит и сидит эта ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно. Блин, тихий ужас.
- Проброска реальных адресов через NAT, nbv, 09:50 , 02-Мрт-06 (5)
>>А провайдер на тебя маршрутизирует эту сетку? >>На всякий случай >>interface Serial0/0 >>ip proxy-arp > >Сегодня проверил, маршрутизирует,но хохма ещё теперь в следующем. Теперь пинг со стороны >почтового сервера, который стоит на адресе ZZ.YY.126.35 и подключен к порту >машрутки IP ZZ.YY.126.34, идёт только до Ser0/0(IP ZZ.YY.118.186). Т.е. на >шлюз провайдера за номером 118.185 пакет не проходит и сидит эта >ботва где-то в маршрутке. Хотя с маршрутки все пингуется, правда забавно. >Блин, тихий ужас. попробуй упростить конфиг - убери ACL и Route-map - они не нужны. ip nat соответсвенно безусловный DMZ под него попадать не будет, потому что интерфейс не "ip nat inside"
- Проброска реальных адресов через NAT, artmy, 09:33 , 03-Мрт-06 (6)
>попробуй упростить конфиг - убери ACL и Route-map - они не нужны. > >ip nat соответсвенно безусловный >DMZ под него попадать не будет, потому что интерфейс не "ip nat >inside" Как это убрать ACL, а что вместо него? Вот так что-ли
ip nat inside source list InternalACL interface Serial0/0 overload ip access-list standard InternalACL permit 192.168.100.0 0.0.0.255 Или просто создать пул?
- Проброска реальных адресов через NAT, artmy, 11:18 , 06-Мрт-06 (7)
Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно interface Ethernet0/0 description Internal Network ip address 192.168.100.1 255.255.255.0 no ip directed-broadcast ip accounting output-packets ip nat inside no ip route-cache no ip mroute-cache full-duplex ! interface Serial0/0 description Link to Internet ip address zz.yy.118.186 255.255.255.248 ip directed-broadcast ip accounting output-packets ip nat outside encapsulation ppp peer default ip address zz.yy.118.185 ! interface Ethernet0/1 description DMZ for web and e-mail services ip address zz.yy.126.34 255.255.255.248 no ip directed-broadcast ip accounting output-packets no ip mroute-cache full-duplex ! ip nat inside source list 1 interface Serial0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 zz.yy.118.185 no ip http server ! logging trap debugging logging zz.yy.126.35 access-list 1 permit 192.168.100.0 0.0.0.255
- Проброска реальных адресов через NAT, Lacunacoil, 18:54 , 07-Мрт-06 (8)
>Сделал вот так, всё равно не получаеться, с почтовика пинг не доходит >до шлюза 185, хотя до 186 IP (порт на маршртуке) свободно > > > >interface Ethernet0/0 > description Internal Network > ip address 192.168.100.1 255.255.255.0 > no ip directed-broadcast > ip accounting output-packets > ip nat inside > no ip route-cache > no ip mroute-cache > full-duplex >! >interface Serial0/0 > description Link to Internet > ip address zz.yy.118.186 255.255.255.248 > ip directed-broadcast > ip accounting output-packets > ip nat outside > encapsulation ppp > peer default ip address zz.yy.118.185 >! >interface Ethernet0/1 > description DMZ for web and e-mail services > ip address zz.yy.126.34 255.255.255.248 > no ip directed-broadcast > ip accounting output-packets > no ip mroute-cache > full-duplex >! >ip nat inside source list 1 interface Serial0/0 overload >ip classless >ip route 0.0.0.0 0.0.0.0 zz.yy.118.185 >no ip http server >! >logging trap debugging >logging zz.yy.126.35 >access-list 1 permit 192.168.100.0 0.0.0.255 пакет на дефолт не уходит или не приходит с почтовика ?
- Проброска реальных адресов через NAT, artmy, 14:58 , 09-Мрт-06 (9)
> > >пакет на дефолт не уходит или не приходит с почтовика ? С Solaris'a с аресом ZZ.yy.126.35 даю: ping ZZ.YY.118.186 ответ alive даю: ping ZZ.YY.118.185 no answer Далее, с маршрутки все IP пингуються Вот такая байда.
|