The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 871, private net, NAT & internet"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco 871, private net, NAT & internet"  
Сообщение от pahan (??) on 23-Янв-07, 11:15 
  Здравствуйте, уважаемые.

  Столкнулся с непонятной ситуевиной. Есть Cisco 871, конфиг следующий:

version 12.3                                                                    
no service pad                                                                  
service timestamps debug datetime msec                                          
service timestamps log datetime msec                                            
no service password-encryption                                                  
!                                                                              
hostname *********
!                                                                              
boot-start-marker                                                              
boot-end-marker                                                                
!                                                                              
logging buffered 51200 warnings                                                
!                                                                              
username ********* privilege 15 secret 5 ************
no aaa new-model                                                                
ip subnet-zero                                                                  
ip cef                                                                          
!                                                                              
!                                                                              
no ip domain lookup                                                            
ip ssh time-out 60                                                              
ip ssh rsa keypair-name SSH_ALL                                                
ip ssh version 2                                                                
no ftp-server write-enable                                                      
!                                                                              
interface FastEthernet0                                                        
no ip address                                                                  
no cdp enable                                                                  
spanning-tree portfast                                                        
!                                                                              
interface FastEthernet1                                                        
no ip address                                                                  
no cdp enable                                                                  
!                                                                              
interface FastEthernet2                                                        
no ip address                                                                  
no cdp enable                                                                  
!                                                                              
interface FastEthernet3                                                        
no ip address                                                                  
no cdp enable                                                                  
!                                                                              
interface FastEthernet4                                                        
description $ES_WAN$                                                          
ip address 100.100.100.100 255.255.255.192                                      
ip access-group 101 in                                                        
ip nat outside                                                                
ip virtual-reassembly                                                          
duplex auto                                                                    
speed auto                                                                    
no cdp enable                                                                  
!                                                                              
interface Vlan1                                                                
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$                              
ip address 192.168.0.1 255.255.255.0                                          
ip access-group 100 in                                                        
ip nat inside                                                                  
ip virtual-reassembly                                                          
ip tcp adjust-mss 1452                                                        
!                                                                              
interface Vlan2                                                                
ip address 192.168.1.1 255.255.255.0                                          
ip virtual-reassembly                                                          
ip tcp adjust-mss 1452                                                        
!                                                                              
ip classless                                                                    
ip route 0.0.0.0 0.0.0.0 100.100.100.100
!                                                                              
ip http server                                                                  
ip http authentication local                                                    
ip http secure-server                                                          
ip http timeout-policy idle 5 life 86400 requests 10000                        
ip nat inside source list 10 interface FastEthernet4 overload                  
!                                                                              
access-list 10 permit 192.168.0.0 0.0.0.255                                    
access-list 100 permit ip host 192.168.0.2 host 192.168.0.1                    
access-list 100 deny   tcp 192.168.0.0 0.0.0.255 any eq 135                    
access-list 100 deny   tcp 192.168.0.0 0.0.0.255 any eq 445                    
access-list 100 permit ip 192.168.0.0 0.0.0.255 any                            
access-list 101 deny   tcp any host 100.100.100.100 eq 22                        
access-list 101 deny   tcp any host 100.100.100.100 eq telnet                    
access-list 101 deny   tcp any host 100.100.100.100 eq www                        
access-list 101 permit ip any any                                              
no cdp run                                                                      
!                                                                              
control-plane                                                                  
!                                                                              
!                                                                              
line con 0                                                                      
login local                                                                    
no modem enable                                                                
transport preferred all                                                        
transport output all                                                          
line aux 0                                                                      
transport preferred all                                                        
transport output all                                                          
line vty 0 4                                                                    
privilege level 15                                                            
login local                                                                    
transport preferred all                                                        
transport input telnet ssh                                                    
transport output all                                                          
!                                                                              
scheduler max-task-time 5000                                                    
end                                                                            

Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать пинги.

2-е. SSH сконфигурен как написано, не дает подключиться, ругается.

3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...

  Заранее спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 871, private net, NAT & internet"  
Сообщение от sh_ email(??) on 23-Янв-07, 11:26 
>3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...

На интерфейсе
sw ac vl XXX

>2-е. SSH сконфигурен как написано, не дает подключиться, ругается.

Как ругается? Что debug выдает?

>При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз

Может в компутере проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 871, private net, NAT & internet"  
Сообщение от kir (??) on 23-Янв-07, 12:16 
>>3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...
>
>На интерфейсе
>sw ac vl XXX
>
>>2-е. SSH сконфигурен как написано, не дает подключиться, ругается.
>
>Как ругается? Что debug выдает?
>
>>При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз
>
>Может в компутере проблема?
Тоже самое на свиче SMC, влан не поднимается пока на интерфейс не придет пакет от компьютера на cisco 3662 с маком.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 871, private net, NAT & internet"  
Сообщение от Val email(??) on 23-Янв-07, 12:21 
А Вас не смущает это:


>!
>interface FastEthernet4
> description $ES_WAN$
> ip address 100.100.100.100 255.255.255.192

в сочетании с этим:

>ip route 0.0.0.0 0.0.0.0 100.100.100.100

Где некст хоп?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 871, private net, NAT & internet"  
Сообщение от Кирилл (??) on 23-Янв-07, 12:46 
>А Вас не смущает это:
>
>
>>!
>>interface FastEthernet4
>> description $ES_WAN$
>> ip address 100.100.100.100 255.255.255.192
>
>в сочетании с этим:
>
>>ip route 0.0.0.0 0.0.0.0 100.100.100.100
>
>Где некст хоп?


Как вообще это работает?????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 871, private net, NAT & internet"  
Сообщение от pahan (??) on 24-Янв-07, 02:49 
>>А Вас не смущает это:
>>>!
>>>interface FastEthernet4
>>> description $ES_WAN$
>>> ip address 100.100.100.100 255.255.255.192
>>
>>в сочетании с этим:
>>
>>>ip route 0.0.0.0 0.0.0.0 100.100.100.100
>>
>>Где некст хоп?
>
>
>Как вообще это работает?????

  Ошибся, извиняюсь.

нормальная строчка

ip route 0.0.0.0 0.0.0.0 100.100.100.99

  Проблема не в этих адресах. Проблема, скорее всего, в НАТ-е.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 871, private net, NAT & internet"  
Сообщение от Val email(??) on 24-Янв-07, 12:55 
>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.

Какой адрес у машины внутренней сети?
Какой дефалт гейтвей на на ней?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco 871, private net, NAT & internet"  
Сообщение от pahan (??) on 25-Янв-07, 04:12 
>>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.
>
>Какой адрес у машины внутренней сети?
>Какой дефалт гейтвей на на ней?

Рабочие станции - win XP, настройка следующая:
адрес: 192.168.0.11
маска: 255.255.255.0
шлюз: 192.168.0.1

Выход на внешний мир пропадает после нескольких минут неактивности станции.

Пока решили проблему установкой программки "Пингер" на каждую винду, с поминутным пингованием шлюза и внешнего адреса. Но это же глюк! Иметь "кошку" под руками, и заниматься таким шаманизмом :(


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco 871, private net, NAT & internet"  
Сообщение от Val email(??) on 25-Янв-07, 20:20 
>>>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.
>>
>>Какой адрес у машины внутренней сети?
>>Какой дефалт гейтвей на на ней?
>
>Рабочие станции - win XP, настройка следующая:
>адрес: 192.168.0.11
>маска: 255.255.255.0
>шлюз: 192.168.0.1
>
>Выход на внешний мир пропадает после нескольких минут неактивности станции.
>
>Пока решили проблему установкой программки "Пингер" на каждую винду, с поминутным пингованием
>шлюза и внешнего адреса. Но это же глюк! Иметь "кошку" под
>руками, и заниматься таким шаманизмом :(

И что, все имеют такой (один) адрес?

Давайте sh ver, и что у Вас на этом фейсе:

>interface FastEthernet0                                                        
>no ip address                                                                  
>no cdp enable                                                                  
>spanning-tree portfast  

?

Конфиг как делали? С очисткой заводской конфигурации? Включите лог, посмотрите, что там творится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 871, private net, NAT & internet"  
Сообщение от mulderua email on 24-Янв-07, 13:10 
ip access-group 100 in              
в этом скорее всего и грабли !!!
НАДО ip access-group 100 out

ссш не будет пускать пока не будет включена локальная авторизация

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco 871, private net, NAT & internet"  
Сообщение от Изгой (??) on 26-Янв-07, 09:37 
>ip access-group 100 in
>в этом скорее всего и грабли !!!
>НАДО ip access-group 100 out
>
>ссш не будет пускать пока не будет включена локальная авторизация


access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
какие сети вы пускаете через нат ?? определитесь
ip subnet zero ., добавте .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco 871, private net, NAT & internet"  
Сообщение от Изгой (??) on 26-Янв-07, 09:45 
>>ip access-group 100 in
>>в этом скорее всего и грабли !!!
>>НАДО ip access-group 100 out
>>
>>ссш не будет пускать пока не будет включена локальная авторизация
>
>
>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>какие сети вы пускаете через нат ?? определитесь
>ip subnet zero ., добавте .


access-list 101 deny   tcp any host 100.100.100.100 eq 22                        
access-list 101 deny   tcp any host 100.100.100.100 eq telnet                    
access-list 101 deny   tcp any host 100.100.100.100 eq www  - здесь вы запретили вам отвечать по www - вы же выходите в мир с этим адресом и все ответы идут на него - или так задумано .                      
access-list 101 permit ip any any          

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Cisco 871, private net, NAT & internet"  
Сообщение от Изгой (??) on 26-Янв-07, 09:54 
>>>ip access-group 100 in
>>>в этом скорее всего и грабли !!!
>>>НАДО ip access-group 100 out
>>>
>>>ссш не будет пускать пока не будет включена локальная авторизация
>>
>>
>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>какие сети вы пускаете через нат ?? определитесь
>>ip subnet zero ., добавте .
>
>
>access-list 101 deny   tcp any host 100.100.100.100 eq 22
>access-list 101 deny   tcp any host 100.100.100.100 eq telnet
>access-list 101 deny   tcp any host 100.100.100.100 eq www  
>- здесь вы запретили вам отвечать по www - вы же
>выходите в мир с этим адресом и все ответы идут на
>него - или так задумано .
>access-list 101 permit ip any any

А на интерфейсы не надо добавлять настройкми vlan  , по памяти непомню уже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Cisco 871, private net, NAT & internet"  
Сообщение от Изгой (??) on 26-Янв-07, 10:30 
>>>>ip access-group 100 in
>>>>в этом скорее всего и грабли !!!
>>>>НАДО ip access-group 100 out
>>>>
>>>>ссш не будет пускать пока не будет включена локальная авторизация
>>>
>>>
>>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>>какие сети вы пускаете через нат ?? определитесь
>>>ip subnet zero ., добавте .
>>
>>
>>access-list 101 deny   tcp any host 100.100.100.100 eq 22
>>access-list 101 deny   tcp any host 100.100.100.100 eq telnet
>>access-list 101 deny   tcp any host 100.100.100.100 eq www  
>>- здесь вы запретили вам отвечать по www - вы же
>>выходите в мир с этим адресом и все ответы идут на
>>него - или так задумано .
>>access-list 101 permit ip any any
>
>А на интерфейсы не надо добавлять настройкми vlan  , по памяти
>непомню уже.
Да и попробуй убрать Vlan 2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco 871, private net, NAT & internet"  
Сообщение от Изгой (??) on 26-Янв-07, 10:55 
>>>>>ip access-group 100 in
>>>>>в этом скорее всего и грабли !!!
>>>>>НАДО ip access-group 100 out
>>>>>
>>>>>ссш не будет пускать пока не будет включена локальная авторизация
>>>>
>>>>
>>>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>>>какие сети вы пускаете через нат ?? определитесь
>>>>ip subnet zero ., добавте .
>>>
>>>
>>>access-list 101 deny   tcp any host 100.100.100.100 eq 22
>>>access-list 101 deny   tcp any host 100.100.100.100 eq telnet
-list 101 deny   tcp any host 100.100.100.100 eq www  
>>>- здесь вы запретили вам отвечать по www - вы же
>>>выходите в мир с этим адресом и все ответы идут на
>>>него - или так задумано .
>>>access-list 101 permit ip any any
>>
>>А на интерфейсы не надо добавлять настройкми vlan  , по памяти
>>непомню уже.
>Да и попробуй убрать Vlan 2

https://www.opennet.ru/openforum/vsluhforumID6/12060.html вот посмотри

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Cisco 871, private net, NAT & internet"  
Сообщение от AiratX email on 30-Янв-07, 08:10 
У меня была подобная проблема, решается просто, для NAT-а нужен extended ACL

ip nat inside source list NAT_ISP interface FastEthernet4
ip access-list extended NAT_ISP
permit ip 192.168.0.0 0.0.0.255 any
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Cisco 871, private net, NAT & internet"  
Сообщение от pahan (??) on 01-Фев-07, 03:24 
  Здравствуйте, уважаемые.

  Краткий отчет.

>У меня была подобная проблема, решается просто, для NAT-а нужен extended ACL
>
>
>ip nat inside source list NAT_ISP interface FastEthernet4
>ip access-list extended NAT_ISP
> permit ip 192.168.0.0 0.0.0.255 any
>!

  И это не помогло :( По прежнему на рабочих станция приходится пользоваться пингером.

  Vlan-ы по рекомендации https://www.opennet.ru/openforum/vsluhforumID6/12060.html на FastEthernet 0-3 прикручиваются, но что-то непонятное происходит с адресами на vlan-ах, с рбочих станций не проходят даже пинги на шлюз.

  Похоже придется переставлять IOS, этого еще не делалалось :(

   Всем спасибо за советы.

  З. Ы.: Сколько работаю, первый раз такой косяк с киской... Неужели и до них докатилась такая вот "китайственность"? :( Обидно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Cisco 871, private net, NAT & internet"  
Сообщение от Val email(??) on 01-Фев-07, 12:46 

>  Похоже придется переставлять IOS, этого еще не делалалось :(
>
>   Всем спасибо за советы.
>
>  З. Ы.: Сколько работаю, первый раз такой косяк с киской...
>Неужели и до них докатилась такая вот "китайственность"? :( Обидно...

Вы так и не показали sh ver, как делали конфигурацию, и что в логах. Не рано ли сдаетесь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Cisco 871, private net, NAT & internet"  
Сообщение от andrey (??) on 26-Окт-07, 08:32 
>ip nat inside source list NAT_ISP interface FastEthernet4
>ip access-list extended NAT_ISP
> permit ip 192.168.0.0 0.0.0.255 any

Мне помогло !!! Спасибо.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру