The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FWSM - Не работает NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение [ Отслеживать ]

"FWSM - Не работает NAT"  +/
Сообщение от Evgeniy email(??) on 07-Июн-12, 17:45 
Доброе время суток!
Второй день бьюсь над проблемой и никак не могу победить. Суть вопроса:
Имеется:

Mod Ports Card Type                              Model              
--- ----- -------------------------------------- ------------------
  1    4  CEF720 4 port 10-Gigabit Ethernet      WS-X6704-10GE      
  2   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX    
  3   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX    
  4   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX    
  5    2  Supervisor Engine 720 (Active)         WS-SUP720-3BXL    
  7   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX    
  8    6  Firewall Module                        WS-SVC-FWM-1      
  9    6  Firewall Module                        WS-SVC-FWM-1      


upgrade fpd auto
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
service counters max age 5
service unsupported-transceiver
!
hostname Data_main
!
boot-start-marker
boot system bootflash:s72033-adventerprisek9-mz.122-33.SXH5.bin
boot-end-marker

ip subnet-zero
no ip source-route

ip cef accounting per-prefix
ip flow-cache timeout active 2
ip name-server 8.8.8.8
vtp domain curtinR4
vtp mode transparent
mls ip slb purge global
mls netflow interface
mls flow ip interface-full
no mls flow ipv6
mls qos
mls cef error action reset


redundancy
keepalive-enable
mode sso
main-cpu
  auto-sync running-config
spanning-tree mode pvst
spanning-tree extend system-id
diagnostic bootup level minimal
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
no errdisable detect cause gbic-invalid
fabric timer 15
!
vlan internal allocation policy ascending
vlan access-log ratelimit 2000
!

vlan 1000
name office

vlan 3000
name test_firewall

interface GigabitEthernet4/4
description --# int with real ip
switchport
switchport access vlan 1000
switchport trunk allowed vlan 1000
switchport mode access


interface GigabitEthernet4/48
description --# int to clients
switchport
switchport access vlan 3000
switchport mode access

interface Vlan1000
ip address 93.xxx.xxx.193 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache

interface Vlan3000
no ip address


Про файрвол написано:
firewall multiple-vlan-interfaces
firewall module 8 vlan-group 2,
firewall vlan-group 2  1000,3000

Вроде как все правильно.

Заходим на  FWSM:

sh run
FWSM Version 3.1(4)
!
hostname FWSM
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1000
nameif outside
security-level 0
ip address 93.ххх.ххх.200 255.255.255.192
!
interface Vlan3000
nameif inside
security-level 100
ip address 192.168.100.2 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list Local_Net extended permit ip 192.168.100.0 255.255.255.0 any
access-list my_net extended permit ip 192.168.0.0 255.255.255.0 any
pager lines 24
logging enable
logging buffer-size 1048576
logging buffered informational
logging history informational
mtu outside 1500
mtu inside 1500
no failover
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400
global (outside) 333 93.157.8.201 netmask 255.255.255.255
nat (inside) 333 access-list my_net outside
route outside 0.0.0.0 0.0.0.0 93.157.8.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect smtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:914df07a05ef57ebcffab2808ae15e25
: end

И при всем при этом пинги не ходят. То есть я подключаю компьютер на прямую в 48 порт. Пингую 192.168.100.2 - пингуется прекрасно, но не далее. Я понимаю, что тут где-то всего лишь вопрос кривых рук...
Задача: Нужно, чтоб клиенты из сети 192.168.100.0/24 ходили в мир.

Подскажите, где я не прав?

Заранее благодарен!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FWSM - Не работает NAT"  +/
Сообщение от BJ (ok) on 07-Июн-12, 20:21 
У вас на 1000-х вланах маски разные
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "FWSM - Не работает NAT"  +/
Сообщение от Ranger99 (??) on 07-Июн-12, 22:23 
> У вас на 1000-х вланах маски разные

Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет отличается от адресации локальной сети (VLAN 3000).


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "FWSM - Не работает NAT"  +/
Сообщение от BJ (ok) on 08-Июн-12, 10:07 
> Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет
> отличается от адресации локальной сети (VLAN 3000).

Шерлок, дело о непроходящем нате раскрыто ! :)


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "FWSM - Не работает NAT"  +/
Сообщение от Evgeniy email(??) on 08-Июн-12, 12:34 
>> Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет
>> отличается от адресации локальной сети (VLAN 3000).
> Шерлок, дело о непроходящем нате раскрыто ! :)

Все пофиксил. Все равно - БОЛТ на 18. Как и было.
Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса.

Вот что в дебагах:

FWSM# ICMP echo request (len 32 id 256 seq 11) 192.168.100.100 > 192.168.100.2
ICMP echo reply (len 32 id 256 seq 11) 192.168.100.2 > 192.168.100.100
ICMP echo request (len 32 id 256 seq 12) 192.168.100.100 > 192.168.100.2
ICMP echo reply (len 32 id 256 seq 12) 192.168.100.2 > 192.168.100.100
ICMP echo request (len 32 id 256 seq 13) 192.168.100.100 > 192.168.100.2
ICMP echo reply (len 32 id 256 seq 13) 192.168.100.2 > 192.168.100.100
ICMP echo request (len 32 id 256 seq 14) 192.168.100.100 > 192.168.100.2
ICMP echo reply (len 32 id 256 seq 14) 192.168.100.2 > 192.168.100.100

Заметте, у меня на 48 порту каталиста даже айпишник не стоит. Раньше стоял 100.1 - та же самая ситуация была... С самого каталиста:


Data_main#ping 93.ххх.ххх.200

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.ххх.ххх.200, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Data_main#

Вот так вот. То есть весь затык именно в самом модуле... А что там не так - ума не приложу. Уже все, что можно было найти и почитать на эту тему - прочитал. Так что проблема остается открытой.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "FWSM - Не работает NAT"  +/
Сообщение от Falcon3310 email(ok) on 08-Июн-12, 12:49 
Это Evgeniy. То же самое пытался с такими же настройками делать на АСА 5520 - результат тот же. Уверен, что в конфигах упущена СУЩАЯ мелочь, которой я либо не знаю, либо не заметил... :-(
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "FWSM - Не работает NAT"  +/
Сообщение от Николай_kv (ok) on 08-Июн-12, 17:03 
> Это Evgeniy. То же самое пытался с такими же настройками делать на
> АСА 5520 - результат тот же. Уверен, что в конфигах упущена
> СУЩАЯ мелочь, которой я либо не знаю, либо не заметил... :-(

народ а чего packet-tracer om не пользуетесь, отличная веСч.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "FWSM - Не работает NAT"  +/
Сообщение от BJ (ok) on 08-Июн-12, 17:20 
> Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в
> Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса.

Ну так и пропишите на интерфейс:
global (outside) 333 interface


И как просит Николай покажите трейс:
packet-tracer input inside icmp 192.168.100.100 0 4 8.8.8.8

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "FWSM - Не работает NAT"  +/
Сообщение от crash (ok) on 09-Июн-12, 06:57 
> Все пофиксил. Все равно - БОЛТ на 18. Как и было.
> Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в
> Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса.

а почему в нате указан адрес 93.ххх.ххх.201?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру