форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"NAT на Cisco 2621xm"	+/–
Сообщение от Tiunov Igor (ok) on 25-Апр-11, 16:57
Вопрос есть по Cisco 2621xm Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних ip от провайдера, в которых расположены почта, веб и т.п. в своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NAT на Cisco 2621xm"	+/–
Сообщение от crash (ok) on 26-Апр-11, 07:21
> Вопрос есть по Cisco 2621xm > Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних > ip от провайдера, в которых расположены почта, веб и т.п. в > своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который > бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail > и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)? У провайдера сервера находятся в сети 192.168.10.0/24? И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 09:15
	>> Вопрос есть по Cisco 2621xm >> Есть локальная сеть в подсети 192.168.1.0/24 в своём vlan. Есть подсеть внешних >> ip от провайдера, в которых расположены почта, веб и т.п. в >> своём vlan. Как на устройстве Cisco 2621xm сделать такой NAT, который >> бы закрывал одним внешним ip внутреннюю сеть, но доступ к mail >> и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)? > У провайдера сервера находятся в сети 192.168.10.0/24? > И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24? Простите, описался там. вместо "доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)?" читайте "доступ к mail и web в подсети провайдера был бы по оригинальным адресам (192.168.1.0/24)?" Смысл в том, чтобы локальные адреса не натились при доступе к www и mail. www и mail имеют публичные адреса из подсети выданной провайдером. Cisco смотрит одним концом в локальную сеть, а другим в подсеть провайдера.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "NAT на Cisco 2621xm"	+/–
	Сообщение от Sharky (ok) on 26-Апр-11, 12:11
	>[оверквотинг удален] >>> и web в подсети провайдера был бы по оригинальным адресам (192.168.10.0/24)? >> У провайдера сервера находятся в сети 192.168.10.0/24? >> И провайдер для сети 192.168.10.0/24 прописал маршрут как попасть в сеть 192.168.1.0/24? > Простите, описался там. вместо "доступ к mail и web в подсети провайдера > был бы по оригинальным адресам (192.168.10.0/24)?" читайте "доступ к mail и > web в подсети провайдера был бы по оригинальным адресам (192.168.1.0/24)?" > Смысл в том, чтобы локальные адреса не натились при доступе к www > и mail. www и mail имеют публичные адреса из подсети выданной > провайдером. Cisco смотрит одним концом в локальную сеть, а другим в > подсеть провайдера. Попробуйте так. int <VlanN1> Description LAN ip nat inside ip access-group 101 in int <VlanN2> Description Provider ip nat outside ip nat inside source list 102 interface Vlan2 access-list 101 permit ip any host mail_ip access-list 101 permit ip any host www_ip ................................................ access-list 101 permit <aproval networks or host> any access-list 101 deny ip any any access-list 102 deny ip any host mail_ip access-list 102 deny ip any host www_ip .......................................... access-list 102 permit ip any any
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 12:39
	>[оверквотинг удален] > ip nat inside source list 102 interface Vlan2 > access-list 101 permit ip any host mail_ip > access-list 101 permit ip any host www_ip > ................................................ > access-list 101 permit <aproval networks or host> any > access-list 101 deny ip any any > access-list 102 deny ip any host mail_ip > access-list 102 deny ip any host www_ip > .......................................... > access-list 102 permit ip any any Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это нормальная практика?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "NAT на Cisco 2621xm"	+/–
	Сообщение от lumenous (ok) on 26-Апр-11, 12:47
	>[оверквотинг удален] >> access-list 101 permit ip any host www_ip >> ................................................ >> access-list 101 permit <aproval networks or host> any >> access-list 101 deny ip any any >> access-list 102 deny ip any host mail_ip >> access-list 102 deny ip any host www_ip >> .......................................... >> access-list 102 permit ip any any > Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это > нормальная практика? Да. С помощью акцесс-листов еще много чего делают, за исключением банального закрытия доступа к ресурсам) По сути ACL - это механизм описания объектов, которые будут подвергаться той или иной обработке (NAT, QOS, полисинг и тп и тд).
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "NAT на Cisco 2621xm"	+/–
	Сообщение от Sharky (ok) on 26-Апр-11, 13:26
	>[оверквотинг удален] >> access-list 101 permit ip any host www_ip >> ................................................ >> access-list 101 permit <aproval networks or host> any >> access-list 101 deny ip any any >> access-list 102 deny ip any host mail_ip >> access-list 102 deny ip any host www_ip >> .......................................... >> access-list 102 permit ip any any > Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это > нормальная практика? Все что работает и поддается логическому осмыслению - нормальная практика ;)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 14:05
	>[оверквотинг удален] >>> ................................................ >>> access-list 101 permit <aproval networks or host> any >>> access-list 101 deny ip any any >>> access-list 102 deny ip any host mail_ip >>> access-list 102 deny ip any host www_ip >>> .......................................... >>> access-list 102 permit ip any any >> Спасибо, сделал, работает. Как я понял NAT разруливается с помощью access-list, это >> нормальная практика? > Все что работает и поддается логическому осмыслению - нормальная практика ;) Не совсем так, можно делать как деревенский ремесленник, абы как получается, а можно к делу подойти с научной точки зрения и т.д. Где-то читал такую аналогию "это вы у себя в деревне можете пол литра выпить и по полям херачить на тракторе не разбирая дороги. А в городе чёткие прямые улицы, со своими правилами движения и ограничениями, не соблюдая которых, далеко не уедешь"
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "NAT на Cisco 2621xm"	+/–
Сообщение от Tiunov Igor (ok) on 26-Апр-11, 14:19
> Вопрос есть по Cisco 2621xm Продолжу в этой ветке. На этом же устройстве есть необходимость натить адрес из определённой подсети статически. Что я делаю: Первый вариант: interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.9 encapsulation dot1Q 9 ip address <внешний ip> 255.255.255.240 ip nat outside ! interface FastEthernet0/0.14 encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface Serial0/0 no ip address shutdown no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface Serial0/1 no ip address shutdown no cdp enable ! ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 no ip http server ip classless ip route 0.0.0.0 0.0.0.0 <шлюз провайдера> И второй вариант: interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.9 encapsulation dot1Q 9 ip address <внешний ip> 255.255.255.240 ip nat outside ! interface FastEthernet0/0.14 encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface Serial0/0 no ip address shutdown no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface Serial0/1 no ip address shutdown no cdp enable ! ip nat inside source static 192.168.14.2 <второй внешний ip> no ip http server ip classless ip route 0.0.0.0 0.0.0.0 <шлюз провайдера> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический NAT отказывается работать, а при первом - работает. Какая между ними принципиальная разница?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "NAT на Cisco 2621xm"	+/–
	Сообщение от Sharky (ok) on 26-Апр-11, 15:12
	> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический > NAT отказывается работать, а при первом - работает. Какая между ними > принципиальная разница? Попробуйте ip proxy-arp на interface FastEthernet0/0.9 Но вот это как раз уже плохая практика.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 15:47
	>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >> NAT отказывается работать, а при первом - работает. Какая между ними >> принципиальная разница? > Попробуйте ip proxy-arp на interface FastEthernet0/0.9 > Но вот это как раз уже плохая практика. Я так понимаю при ip proxy-arp второй вариант конфига должен заработать?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "NAT на Cisco 2621xm"	+/–
	Сообщение от Sharky (ok) on 26-Апр-11, 15:52
	>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >>> NAT отказывается работать, а при первом - работает. Какая между ними >>> принципиальная разница? >> Попробуйте ip proxy-arp на interface FastEthernet0/0.9 >> Но вот это как раз уже плохая практика. > Я так понимаю при ip proxy-arp второй вариант конфига должен заработать? Не знаю. Возможно.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 15:59
	>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >> NAT отказывается работать, а при первом - работает. Какая между ними >> принципиальная разница? > Попробуйте ip proxy-arp на interface FastEthernet0/0.9 > Но вот это как раз уже плохая практика. Есть ещё такой момент. Раньше всё это работало по конфигу №1, но с той разницей, что на интерфейсе Fa0/0.9 был адрес из другой внешней подсети, т.к. данная Cisco выступала как пограничный роутер для наших внешних серверов. Вобщем разница была в том, что NAT адрес и внешний адрес Cisco были из разных подсетей и по конфигу №1 всё работало. Как только эти два адреса стали из одной подсети, заработал только второй вариант.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "NAT на Cisco 2621xm"	+/–
	Сообщение от Sharky (ok) on 26-Апр-11, 16:08
	вот тут читайте. http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... так заработало после включения proxy-arp? интересно просто :)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 16:28
	> вот тут читайте. > http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... > так заработало после включения proxy-arp? интересно просто :) Пока не могу проверить, после шести.. Мануал этот уже открыт.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 16:35
	>> вот тут читайте. >> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... >> так заработало после включения proxy-arp? интересно просто :) > Пока не могу проверить, после шести.. Мануал этот уже открыт. Только пока не могу понять, как это повлияет на статический NAT. Есть инструкция по вышеуказанному vpn устройству с десятком портов и протоколом esp, которые должны проходить не подменяясь, как привязать сюда proxy-arp?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 26-Апр-11, 19:50
	>>> вот тут читайте. >>> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... >>> так заработало после включения proxy-arp? интересно просто :) >> Пока не могу проверить, после шести.. Мануал этот уже открыт. > Только пока не могу понять, как это повлияет на статический NAT. Есть > инструкция по вышеуказанному vpn устройству с десятком портов и протоколом esp, > которые должны проходить не подменяясь, как привязать сюда proxy-arp? ip proxy-arp не помогло
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "NAT на Cisco 2621xm"	+/–
	Сообщение от crash (ok) on 27-Апр-11, 06:35
	> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический > NAT отказывается работать, а при первом - работает. Какая между ними > принципиальная разница? А вам точно провайдер дал 2 айпи и вы их можете использоваться?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	18. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 27-Апр-11, 09:10
	>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >> NAT отказывается работать, а при первом - работает. Какая между ними >> принципиальная разница? > А вам точно провайдер дал 2 айпи и вы их можете использоваться? У меня 28 маска, сколько у меня IP?))
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "NAT на Cisco 2621xm"	+/–
	Сообщение от crash (ok) on 27-Апр-11, 13:28
	>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >>> NAT отказывается работать, а при первом - работает. Какая между ними >>> принципиальная разница? >> А вам точно провайдер дал 2 айпи и вы их можете использоваться? > У меня 28 маска, сколько у меня IP?)) В одной месте провайдер выдает подсетку с CIDR /28, но вот айпишник использовать можно только один, который сказал провайдер. Так что ничего смешного не вижу. Но если вы уверены что все ваше, то переговорите с провайдером, почему нет доступа ко второму айпишнику.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 27-Апр-11, 14:03
	>>>> При конфигурации указанной во втором варианте vpn устройство, которому нужен статический >>>> NAT отказывается работать, а при первом - работает. Какая между ними >>>> принципиальная разница? >>> А вам точно провайдер дал 2 айпи и вы их можете использоваться? >> У меня 28 маска, сколько у меня IP?)) > В одной месте провайдер выдает подсетку с CIDR /28, но вот айпишник > использовать можно только один, который сказал провайдер. Так что ничего смешного > не вижу. > Но если вы уверены что все ваше, то переговорите с провайдером, почему > нет доступа ко второму айпишнику. Да я совсем не смеюсь, подсеть полностью в моём ведении, ip проверен доступ к нему из через него есть. Всё таки в чём принципиальное отличие двух строчек: ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 ip nat inside source static 192.168.14.2 <второй внешний ip>
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	21. "NAT на Cisco 2621xm"	+/–
	Сообщение от blank (ok) on 27-Апр-11, 14:44
	> принципиальное отличие двух строчек: > ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 > ip nat inside source static 192.168.14.2 <второй внешний ip> в первом случае натится в ИП интерфейса, во втором во второй ИП и я не понял какой вариант у вас работает? "При конфигурации указанной во втором варианте vpn устройство, которому нужен статический NAT отказывается работать" "Как только эти два адреса стали из одной подсети, заработал только второй вариант."
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	22. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 27-Апр-11, 16:12
	>> принципиальное отличие двух строчек: >> ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 >> ip nat inside source static 192.168.14.2 <второй внешний ip> > в первом случае натится в ИП интерфейса, во втором во второй ИП > и я не понял какой вариант у вас работает? > "При конфигурации указанной во втором варианте vpn устройство, которому нужен статический > NAT отказывается работать" > "Как только эти два адреса стали из одной подсети, заработал только второй > вариант." Рабочий вариант сейчас вот этот: interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.9 encapsulation dot1Q 9 ip address <внешний ip> 255.255.255.240 ip nat outside ! interface FastEthernet0/0.14 encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface FastEthernet0/1 no ip address duplex auto speed auto ! ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 no ip http server ip classless ip route 0.0.0.0 0.0.0.0 <шлюз провайдера> Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не пингуются, в том числе и шлюз ISP, а нат работает, vpn пробрасывается по статическому NAT, связь есть.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	23. "NAT на Cisco 2621xm"	+/–
	Сообщение от blank (ok) on 27-Апр-11, 16:43
	> Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих > случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не > пингуются, в том числе и шлюз ISP, а нат работает, vpn > пробрасывается по статическому NAT, связь есть. а трафик с самой циски через нат не проходит, связи с натом тут нет.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	24. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 27-Апр-11, 16:50
	>> Принципиальное отличие мне бы хотелось понять в самом механизме NAT в этих >> случаях. Например сейчас с самого устройства Cisco 2621xm внешние адреса не >> пингуются, в том числе и шлюз ISP, а нат работает, vpn >> пробрасывается по статическому NAT, связь есть. > а трафик с самой циски через нат не проходит, связи с натом > тут нет. Я бы и не хотел, чтобы с циски трафик шёл через нат, как я понимаю интерфейс уходит во владение NAT и для других целей я его не смогу использовать?
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "NAT на Cisco 2621xm"	+/–
	Сообщение от blank (ok) on 27-Апр-11, 16:55
	> Я бы и не хотел, чтобы с циски трафик шёл через нат, > как я понимаю интерфейс уходит во владение NAT и для других > целей я его не смогу использовать? для каких других? интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не отличается.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	26. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 27-Апр-11, 17:44
	>> Я бы и не хотел, чтобы с циски трафик шёл через нат, >> как я понимаю интерфейс уходит во владение NAT и для других >> целей я его не смогу использовать? > для каких других? > интерфейс с натом ничем (кроме самого ната) от интерфейса без такового не > отличается. У меня задача сейчас состоит в следующем: 1. Сделать nat для внутренней сети состоящей из подсетей 192.168.10.0/24 + 192.168.53.0/24 + ...  одним определённым внешним адресом, скажем IP1 из подсети внешних адресов выданных провайдером. 2. Сделать статический nat для ip-адреса vpn устройства 192.168.14.2 вторым IP2 из подсети внешних адресов выданных провайдером. 3. Настроить маршрутизацию между внутренними подсетями, указанными в пункте 1. При конфигурировании статического ната на Cisco 2621xm возникла проблема, заключающаяся в том, что ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 - Работает ip nat inside source static 192.168.14.2 IP2 - не работает, на интерфейсе Fa0/0.9 при этом IP1. Далее, я создал такой конфиг и мне бы хотелось понять заранее, в чём моя ошибка в конфигурировании статического ната и заработает ли мой конфиг (устройство сейчас задействовано для пункта 2 и ничего более на нём не настроено): ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname GW1 ! boot-start-marker boot system flash:cisco/c2600-is-mz.123-9.bin boot-end-marker ! no logging on enable secret 5 *** enable password 7 *** ! clock timezone Moscow 3 no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model ip subnet-zero no ip cef ! ! ip name-server 192.168.10.101 ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.10.254 255.255.255.0 ip nat inside ! interface FastEthernet0/1 no ip address speed auto full-duplex ! interface FastEthernet0/1.2 encapsulation dot1Q 2 ip address 10.2.246.100 255.255.255.240 ! interface FastEthernet0/1.7 encapsulation dot1Q 7 ip address 192.168.53.245 255.255.255.248 ! interface FastEthernet0/1.9 encapsulation dot1Q 9 ip address IP0 255.255.255.240 ip access-group External in no cdp enable ip nat outside ! interface FastEthernet0/1.14 description To_VPN_BOX encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface Serial0/1 shutdown ! interface Serial0/0 shutdown ! ! ip nat pool Internet IP1 IP1 netmask 255.255.255.240 ip nat inside source list NAT pool Internet overload ip nat inside source static 192.168.14.2 IP2 ! no ip http server ip classless ! ip route 0.0.0.0 0.0.0.0 <ISP GW> ip route 192.168.53.0 255.255.255.0 192.168.53.246 ip route 192.168.51.0 255.255.255.0 192.168.53.246 ip route 192.168.151.0 255.255.255.0 192.168.53.246 ip route 192.168.32.0 255.255.255.0 192.168.53.246 ip route 10.2.14.104 255.255.255.255 10.2.246.97 ip route 10.2.14.95 255.255.255.255 10.2.246.97 ip route 10.2.254.242 255.255.255.255 10.2.246.97 ! ip access-list extended NAT deny 192.168.10.0 0.0.0.255 <ISP net> 0.0.0.15 permit 192.168.10.0 0.0.0.255 any permit 192.168.53.0 0.0.0.255 any ! ip access-list extendet External permit tcp any any established permit icmp any any echo-reply permit udp any eq domain any permit udp any eq ntp any deny ip any any ! logging trap debugging ! ! ! ! ! ! ! line con 0 password 7 *** line aux 0 line vty 0 4 password 7 *** login line vty 5 15 password 7 *** login ! ntp clock-period 17180294 ntp server 192.168.10.101 ! end Привожу конфиг полностью, который работает сейчас: ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname GW1 ! boot-start-marker boot system flash:cisco/c2600-is-mz.123-9.bin boot-end-marker ! no logging on enable secret 5 *** enable password 7 *** ! clock timezone Moscow 3 no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model ip subnet-zero no ip cef ! ! ip name-server 8.8.8.8 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.9 encapsulation dot1Q 9 ip address <IP2> 255.255.255.240 ip nat outside ! interface FastEthernet0/0.14 encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface Serial0/0 no ip address shutdown no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface Serial0/1 no ip address shutdown no cdp enable ! ip nat inside source static 192.168.14.2 interface FastEthernet0/0.9 no ip http server ip classless ip route 0.0.0.0 0.0.0.0 <ISP GW> ! ! logging trap debugging ! ! ! ! ! ! ! line con 0 password 7 *** line aux 0 line vty 0 4 password 7 *** login line vty 5 15 password 7 *** login ! ntp clock-period 17180303 ntp server 192.168.10.101 ! end
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	27. "NAT на Cisco 2621xm"	+/–
	Сообщение от crash (ok) on 28-Апр-11, 05:36
	> ip access-list extendet External >  permit tcp any any established >  permit icmp any any echo-reply >  permit udp any eq domain any >  permit udp any eq ntp any >  deny ip any any с таким листом vpn не заработает.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	28. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 28-Апр-11, 09:36
	>> ip access-list extendet External >>  permit tcp any any established >>  permit icmp any any echo-reply >>  permit udp any eq domain any >>  permit udp any eq ntp any >>  deny ip any any > с таким листом vpn не заработает. Да, я его доработал, сейчас работает вот так (это скорее указание провайдера vpn канала): permit tcp any any established permit icmp any any echo-reply permit udp any eq domain any permit udp any eq ntp any permit udp any eq isakmp host <vpn server1> eq isakmp permit udp host <vpn server1> isakmp any eq isakmp permit udp any eq isakmp host <vpn server2> eq isakmp permit udp host <vpn server2> eq isakmp any eq isakmp permit udp any eq isakmp host <vpn server3> eq isakmp permit udp host <vpn server3> eq isakmp any eq isakmp deny ip any any Но у меня теперь проблема в том, что при ip nat inside source static 192.168.14.2 IP2 перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу натить адреса локальной сети в подсеть провайдера, но т.к. роутинг туда не работает при настроенном статическом NAT, то пакеты туда вообще не попадают, если есть запись в ACL для NAT deny 192.168.10.0 0.0.0.255 <ISP net> 0.0.0.15 Во все остальные сети, в том числе и интернет трафик идёт.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	29. "NAT на Cisco 2621xm"	+/–
	Сообщение от crash (ok) on 29-Апр-11, 05:39
	> Да, я его доработал, сейчас работает вот так (это скорее указание провайдера > vpn канала): >  permit udp any eq isakmp host <vpn server1> eq isakmp >  permit udp host <vpn server1> isakmp any eq isakmp >  permit udp any eq isakmp host <vpn server2> eq isakmp >  permit udp host <vpn server2> eq isakmp any eq isakmp >  permit udp any eq isakmp host <vpn server3> eq isakmp >  permit udp host <vpn server3> eq isakmp any eq isakmp явно здесь 3 строчки лишние > Но у меня теперь проблема в том, что при > ip nat inside source static 192.168.14.2 IP2 > перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу > натить адреса локальной сети в подсеть провайдера, не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если IP2 находится в той же подсети, что и адрес на вашем интерфейсе в сторону провайдера.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	30. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 29-Апр-11, 09:07
	>[оверквотинг удален] >>  permit udp any eq isakmp host <vpn server3> eq isakmp >>  permit udp host <vpn server3> eq isakmp any eq isakmp > явно здесь 3 строчки лишние >> Но у меня теперь проблема в том, что при >> ip nat inside source static 192.168.14.2 IP2 >> перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу >> натить адреса локальной сети в подсеть провайдера, > не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если > IP2 находится в той же подсети, что и адрес на вашем > интерфейсе в сторону провайдера. Самое начало ветки. Вчера всё перебрал аккуратно и нат, который мне нужне был заработал. (it's magic!). Скорее всего затык был в ACL External. А может и гдё-то на свичах у нас. Сейчас работает конфигурация вот эта: ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname GW1 ! boot-start-marker boot system flash:cisco/c2600-is-mz.123-9.bin boot-end-marker ! no logging on enable secret 5 * enable password 7 * ! clock timezone Moscow 3 no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model ip subnet-zero no ip cef ! ! ip name-server 8.8.8.8 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.9 encapsulation dot1Q 9 ip address 1.2.3.114 255.255.255.240 ip access-group External in ip nat outside ! interface FastEthernet0/0.14 encapsulation dot1Q 14 ip address 192.168.14.1 255.255.255.0 ip nat inside ! interface Serial0/0 no ip address shutdown no cdp enable ! interface FastEthernet0/1 ip address 192.168.10.254 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/1 no ip address shutdown no cdp enable ! ip nat pool Internet 1.2.3.115 1.2.3.115 netmask 255.255.255.240 ip nat inside source list NAT pool Internet overload ip nat inside source static 192.168.14.2 1.2.3.116 no ip http server ip classless ip route 0.0.0.0 0.0.0.0 1.2.3.113 - <ISP GW> ! ! ! ip access-list extended External permit tcp any any established permit udp any eq domain any permit udp any eq ntp any permit icmp any any permit udp host <vpn server1> eq isakmp any eq isakmp permit udp host <vpn server2> eq isakmp any eq isakmp permit udp host <vpn server3> eq isakmp any eq isakmp deny   ip any any ip access-list extended NAT deny   ip 192.168.10.0 0.0.0.255 1.2.3.112 0.0.0.15 permit ip 192.168.10.0 0.0.0.255 any logging trap debugging ! ! ! ! ! ! ! line con 0 password 7 *** line aux 0 line vty 0 4 password 7 *** login line vty 5 15 password 7 *** login ! ntp clock-period 17180305 ntp server 192.168.10.101 ! end И статический нат работает и динамический, и из сети 192.168.10.0 траффик ходит не натясь. Есть ещё один глупый вопрос - в ACL External для vpn соединения permit udp host <vpn server1> eq isakmp any eq isakmp any мне нужно заменить адресом, которым натится хост 192.168.14.2, правильно?
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	31. "NAT на Cisco 2621xm"	+/–
	Сообщение от Tiunov Igor (ok) on 29-Апр-11, 09:34
	>[оверквотинг удален] >>  permit udp any eq isakmp host <vpn server3> eq isakmp >>  permit udp host <vpn server3> eq isakmp any eq isakmp > явно здесь 3 строчки лишние >> Но у меня теперь проблема в том, что при >> ip nat inside source static 192.168.14.2 IP2 >> перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу >> натить адреса локальной сети в подсеть провайдера, > не совсем понимаю. Что значит не хотите натить в подсеть провайдера, если > IP2 находится в той же подсети, что и адрес на вашем > интерфейсе в сторону провайдера. оставил вот так: permit udp host <vpn server3> eq isakmp any eq isakmp permit udp host <vpn server2> eq isakmp any eq isakmp permit udp host <vpn server1> isakmp any eq isakmp
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема