- NAT,
 eek, 20:40 , 26-Мрт-13 (1)
- NAT, sidsoft, 06:58 , 28-Мрт-13 (2)
> VRF В моём случае не возможно применить... #vrf ?
Unrecognized command
- NAT, crash, 08:27 , 28-Мрт-13 (4)
- NAT, sidsoft, 21:14 , 29-Мрт-13 (8)
> а в удаленной сети то знают о вашей сетки и маршрутизируют в
> туннель?Знают что я хожу только через туннель, точнее через IP-адрес 192.168.199.2, больше ничего они знать не хотят :( ... вот и приходится "выкручиваться"
- NAT, McS555, 11:01 , 29-Мрт-13 (5)
- NAT, sidsoft, 20:16 , 29-Мрт-13 (6)
>> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы
>> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный
>> туннель?
>> Сама CISCO данный IP-адрес пингует, маршрут имеется:
>> ip route 1.1.1.1 255.255.255.255 Tunnel2
> ну а если нат банально настроить на тунельном интерфейсе?
> Правила на адресс 1,1,1,1
> В других уже существующих списках, наоборот
> deny LAN на 1,1,1,1 - и все у тебя будет "валить"
> от адресса 92.168.199.2 Не уж то СВЕТ В КОНЦЕ ТОНЕЛЯ?!
Пожалуйста продолжите мысль...
Я уже все перепробовал... Пожалуйста если не сложно вам будет, "набросайте" кусочек конфигурации... Честно говоря уже сам не знаю за что хвататься, и с чего начать... банально "замылились" наверное глаза что не вижу очевидных решений и "не слышу" можно сказать ПРЯМЫХ НАМЕКОВ на решения прямо в мозг...
Пожалуйста, очень прошу Вас, набросайте... Спасибо...
- NAT, McS555, 11:43 , 31-Мрт-13 (9)
- NAT, sidsoft, 13:44 , 01-Апр-13 (11)
>[оверквотинг удален]
> !
> ip access-list extended NAT
> permit 192.168.1.0 0.0.0.255 host 1.1.1.1
> !
> Правда я не совсем полностью твой конфиг "догнал" (ты и не весь
> его и выложил)
> Зачем делать пул если у тебя только по одному адресу идет??
> -- 20.20.20.20 20.20.20.20 --
> --10.10.10.10 10.10.10.10 --
> -- 30.30.30.30 30.30.30.30 -- Спасибо тебе огромное McS555!
Только благодаря тебе я действительно увидел СВЕТ!
Ты привел строки, я им последовал... странно что icmp echo не проходит с "локалки" (ЛВС IP: 192.168.20.0/24), с самой CISCO icmp echo (проще говоря PING-и) проходят на хост 1.1.1.1 а вот при пингах с ЛВС с двух хостов (192.168.20.65 и 192.168.20.200) нет... странно, а по команде CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:7363 192.168.20.65:7363 1.1.1.1:7363 1.1.1.1:7363
icmp 192.168.199.2:11098 192.168.20.200:11098 1.1.1.1:11098 1.1.1.1:8
CISCO-881#
видно что вроде как трнасляция есть... а icmp echo нет
Пинги с самой CISCO:
CISCO-881#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
CISCO-881# Текущий КОНФИГ:
CISCO-881#show config
Using 13648 out of 262136 bytes
!
! Last configuration change at 14:41:44 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname CISCO-881
!
boot-start-marker
boot-end-marker
!
!
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa session-id common
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
!
no ip bootp server
ip domain name ххххх.ru
ip name-server 192.168.20.1
ip name-server 192.168.20.8
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
license udi pid CISCO881
!
!
archive
log config
hidekeys
!
no spanning-tree vlan 1
no spanning-tree vlan 2
no spanning-tree vlan 3
no spanning-tree vlan 4
username root privilege 15 password 7
username derek password 7
!
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
track 300 ip sla 300 reachability
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ***** address 50.50.50.50
!
!
crypto ipsec transform-set ANKS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set ANKS
!
interface Tunnel1
description TS
bandwidth 10000
ip address 192.168.10.2 255.255.255.252
ip mtu 1468
tunnel source Vlan2
tunnel destination xx.xx.xx.xx
!
interface Tunnel2
description PRIVATE-SERVICE
ip address 192.168.199.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
tunnel source Vlan3
tunnel destination 50.50.50.50
tunnel protection ipsec profile IPSEC
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
!
interface FastEthernet2
switchport access vlan 3
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
peer default ip address pool vpnclient
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2 pap
!
interface Vlan1
description LAN
ip address 192.168.20.230 255.255.255.0
ip address 192.168.30.1 255.255.255.0 secondary
ip nat inside
ip virtual-reassembly in max-reassemblies 64
ip tcp adjust-mss 1452
!
interface Vlan2
description TELECOM1
ip address 10.10.10.10 255.255.255.0
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
interface Vlan3
description TELECOM2
ip address 20.20.20.20 255.255.255.252
ip mtu 1492
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
ip local policy route-map RMAP
ip local pool vpnclient 192.168.30.2 192.168.30.50
ip forward-protocol nd
no ip http server
no ip http secure-server
ip flow-export version 5
ip flow-export destination 192.168.20.242 5678
!
ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0
ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.252
ip nat inside source list PRIVATE-SERVICE_NAT interface Tunnel2 overload
ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload
ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload
ip route 0.0.0.0 0.0.0.0 10.10.10.9 10 track 100
ip route 0.0.0.0 0.0.0.0 20.20.20.19 20 track 200
ip route 1.1.1.1 255.255.255.255 Tunnel2
!
ip access-list extended ACL_NAT
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any
deny ip host 192.168.20.0 0.0.0.255 1.1.1.1
ip access-list extended ACL_SLA_TELECOM1
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM2
permit ip 20.20.20.0 0.0.0.255 any
ip access-list extended PRIVATE-SERVICE_NAT
permit ip 192.168.20.0 0.0.0.255 host 1.1.1.1
!
ip sla 100
icmp-echo 8.8.8.8 source-ip 10.10.10.10
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 8.8.8.8 source-ip 20.20.20.20
frequency 5
ip sla schedule 200 life forever start-time now
access-list 23 permit 192.168.20.65
access-list 23 permit 192.168.20.200
no cdp run
!
route-map RMAP permit 10
match ip address ACL_SLA_TELECOM1
set ip next-hop 10.10.10.254
!
route-map RMAP permit 20
match ip address ACL_SLA_TELECOM2
set ip next-hop 20.20.20.19
!
route-map TELECOM1_NAT permit 100
match ip address ACL_NAT
match interface Vlan2
!
route-map TELECOM2_NAT permit 100
match ip address ACL_NAT
match interface Vlan3
!
snmp-server community public RO
snmp-server community private RW
!
!
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
!
end
- NAT, McS555, 15:13 , 01-Апр-13 (12)
- NAT, McS555, 15:22 , 01-Апр-13 (13)
- NAT, sidsoft, 15:29 , 01-Апр-13 (14)
>[оверквотинг удален]
>> Пинги с самой CISCO:
>> CISCO-881#ping 1.1.1.1
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
>> !!!!!
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
>> CISCO-881#
> CISCO-881#ping 1.1.1.1 sourse 192.168.20.230
> есть пинг? И попробуй с ПК не пинговать , а например telnet
> ( на какой там открытый порт, если есть..) с самой CISCO PING-и есть... CISCO-881#ping 1.1.1.1 source 192.168.20.230
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.20.230
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms
CISCO-881# с ПК-шки: telnet 1.1.1.1 80
Подключение к 1.1.1.1... Не удалось открыть подключение к этому узлу, на порт 80: Сбой подключения В это время я дал команду на CISCO: CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:512 192.168.20.229:512 1.1.1.1:512 1.1.1.1:512
tcp 192.168.199.2:3521 192.168.20.229:3521 1.1.1.1:80 1.1.1.1:80
CISCO-881# Но соединения не произошло :(
ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
- NAT, McS555, 15:38 , 01-Апр-13 (15)
- NAT, sidsoft, 15:40 , 01-Апр-13 (16)
>> Но соединения не произошло :(
>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
> скайп есть?скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
Могу написать в ЛС
- NAT, McS555, 15:46 , 01-Апр-13 (17)
- NAT, McS555, 15:48 , 01-Апр-13 (18)
- NAT, sidsoft, 15:53 , 01-Апр-13 (19)
>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
> давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь Я вам пишу на ICQ, у меня короткий номер
- NAT, sidsoft, 09:05 , 11-Апр-13 (20)
>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
> давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь СПАСИБО, Очень сильно выручил и помог! ОГРОМОЕ спасибо McS555 !!!
|
Версия для распечатки
NAT, 
