форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"881, nat и тоннель"	+/–
Сообщение от Hechicero (ok) on 07-Окт-14, 15:24
Прошу помочь советом новичку. есть циска 881, смотрящая в интернет. на ней поднят тоннель до хоста. пинг с неё (циски) в этот самый тоннель успешно ходит. а вот из подсети если идет - то где-то теряется. в интернет идет, а в тоннель не заворачивает Предполагаю, что Вам ответ очевиден. но вот у меня глаз замылился Конфигурация: version 15.2 ! interface Tunnel0 description --=VPN=-- ip address 10.0.0.11 255.255.255.252 tunnel source FastEthernet4 tunnel mode ipsec ipv4 tunnel destination 123.345.67.89 ! interface FastEthernet0 switchport access vlan 2 no ip address ! interface FastEthernet4 description WAN ip address 12.12.12.20 255.255.255.248 duplex auto speed auto ip nat outside ! interface Vlan2 ip address 192.168.0.3 255.255.255.0 ip nat inside ip virtual-reassembly in ! ip forward-protocol nd ip http server ip http authentication local ip http secure-server ! ip nat inside source list NAT interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 12.12.12.2 ip route 192.168.100.0 255.255.255.0 10.0.0.10 ! ip access-list extended NAT permit ip 12.12.12.0 0.0.0.255 any ! Со списками доступа возможно тоже погорячился, т.к. приходится учится и разбираться не как положено, по учебнику, а увы, аврально. Прошу заранее быть милостивыми ко мне.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "881, nat и тоннель"	+/–
Сообщение от crash (ok) on 08-Окт-14, 06:48
> ip access-list extended NAT > permit ip 12.12.12.0 0.0.0.255 any > ! не понятно для чего вам это? А настройки покажите другой стороны? С вашей стороны на 12.12.12.20 сделан проброс белого ip?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "881, nat и тоннель"	+/–
Сообщение от vigogne (ok) on 09-Окт-14, 11:05
>[оверквотинг удален] > ip nat inside source list NAT interface FastEthernet4 overload > ip route 0.0.0.0 0.0.0.0 12.12.12.2 > ip route 192.168.100.0 255.255.255.0 10.0.0.10 > ! > ip access-list extended NAT > permit ip 12.12.12.0 0.0.0.255 any > ! > Со списками доступа возможно тоже погорячился, т.к. приходится учится и разбираться не > как положено, по учебнику, а увы, аврально. > Прошу заранее быть милостивыми ко мне. Проверяйте по списку: 1. Маршрутизация на другой стороне туннеля. 2. Контроль доступа (разрешены ли подключения из других подсетей в файерволах, брендмауэрах) 3. Размер MTU и TCP MSS на концах туннеля Теперь с NAT в ACL NAT должны быть адреса источников, откуда трафик будет транслироваться в адрес внешнего интерфейса. т.е., в Вашем случае правило должно быть: ip access-list extended NAT permit ip 192.168.0.0 0.0.0.255 any И, если нужен NAT пользователям из туннеля, добавьте их подсеть сюда же, и сам туннельный интерфейс пометьте как ip nat inside
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема