URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1147
[ Назад ]
Исходное сообщение
"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 21:05 
Админ в отпуске,а меня озадачили срочно сделать: cisco 2800 настроен для доступа в инет. Потребовалось прописать маршрут к приватной сети(10.35.40.x), админы той сети утверждают что все настроили, прописал "ip route 10.35.40.0  255.255.255.0 белый_адрес_их_cisco". Из своей сети 10.2.5.X/24 в интернет выхожу,а ихнюю сеть 10... не вижу. Из своей внутренней сети tracert дальше своей циски не бьет. Выдержка из нашей циски
interface GigabitEthernet0/0
ip address x.x.x.x 255.255.255.248
ip nat outside

interface GigabitEthernet0/1
ip address 10.2.5.3 255.255.255.248
ip nat inside

ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 10.35.40.0 255.255.255.0 y.y.y.y

ip nat inside source list NAT interface GigabitEthernet0/0 overload

ip access-list extended NAT
permit icmp any any
permit ip 10.2.5.0 0.0.0.7 any
  
Что не так?

Содержание
Сообщения в этом обсуждении
"cisco 2800 доступ в приватную сеть"
Отправлено Merridius , 18-Дек-13 21:17 
>[оверквотинг удален]
>  ip address 10.2.5.3 255.255.255.248
>  ip nat inside
> ip forward-protocol nd
> ip route 0.0.0.0 0.0.0.0 x.x.x.x
> ip route 10.35.40.0 255.255.255.0 y.y.y.y
> ip nat inside source list NAT interface GigabitEthernet0/0 overload
> ip access-list extended NAT
> permit icmp any any
>  permit ip 10.2.5.0 0.0.0.7 any
> Что не так?

Как минимум, то что приватные адреса не маршрутизируются через интернет.
Топологию нарисуйте, гадать не хочется.

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 21:25 
>[оверквотинг удален]
>> ip forward-protocol nd
>> ip route 0.0.0.0 0.0.0.0 x.x.x.x
>> ip route 10.35.40.0 255.255.255.0 y.y.y.y
>> ip nat inside source list NAT interface GigabitEthernet0/0 overload
>> ip access-list extended NAT
>> permit icmp any any
>>  permit ip 10.2.5.0 0.0.0.7 any
>> Что не так?
> Как минимум, то что приватные адреса не маршрутизируются через интернет.
> Топологию нарисуйте, гадать не хочется.

сеть 10.2.5.0(255.255.255.248) <->  10.2.5.3Маршрутизатор мой x.x.x.x  <->  интернет <-> y.y.y.yМарш.их10.35.40.1   сеть 10.35.40.0(255.255.255.0)  

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 21:28 
Так вродеж нат поднят.


"cisco 2800 доступ в приватную сеть"
Отправлено jabbson , 18-Дек-13 21:59 
> Так вродеж нат поднят.

Нат транслирует Ваш приватный адрес в публичный.

При этом Ваш пакет, проходя через роутер меняет source. Destination (не всегда, но чаще всего) остается тем же. И вот этот пакет вышел из вашего роутера и направился дальше - к Вашему isp. isp его получил и должен смаршрутизировать на основании destination, используя свою таблицу маршрутизации. Адрес, как уже сказал коллега свыше - приватный. isp его не только не сможет обработать, более того - сразу уничтожит, еще на подходе)

Для решения проблемы могут использоваться разные техники - туннели, vpnы, сервисы, предоставляемые провайдером и т.д.

Если удаленная сторона сказала, что все настроено - уточните у них, что именно настроено, от этого отталкивать будет проще всего.

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 22:16 
Извините не подскажите что нибудь, вся эта хрень нужна для аппаратных VPN стоящих в приватных сетях
у них соответственно и адреса приватные, есть ли какая возможность чтоб они друг друга видели, но без построения еще одной vpn.  


"cisco 2800 доступ в приватную сеть"
Отправлено jabbson , 18-Дек-13 22:29 
> Извините не подскажите что нибудь, вся эта хрень нужна для аппаратных VPN
> стоящих в приватных сетях
> у них соответственно и адреса приватные, есть ли какая возможность чтоб они
> друг друга видели, но без построения еще одной vpn.

Как будет происходить коммуникация?
Любой из адрес из Вашей 5.0 будет обращаться на любой адрес в их 40.0? Или один на Вашей стороне и один на их стороне?

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 22:35 
> Как будет происходить коммуникация?
> Любой из адрес из Вашей 5.0 будет обращаться на любой адрес в
> их 40.0? Или один на Вашей стороне и один на их
> стороне?

один в один адрес (весь диапазон адресов сети в общем не нужен)

"cisco 2800 доступ в приватную сеть"
Отправлено jabbson , 18-Дек-13 22:37 
>> Как будет происходить коммуникация?
>> Любой из адрес из Вашей 5.0 будет обращаться на любой адрес в
>> их 40.0? Или один на Вашей стороне и один на их
>> стороне?
> один в один адрес (весь диапазон адресов сети в общем не нужен)

Что по портам? Тоже один? Или множество?

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 22:39 
> Что по портам? Тоже один? Или множество?

несколько

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 22:53 
Вы имеете в виду   ip nat inside source static tcp внутренний порт внешний порт extendable


"cisco 2800 доступ в приватную сеть"
Отправлено jabbson , 18-Дек-13 22:57 
> Вы имеете в виду   ip nat inside source static tcp
> внутренний порт внешний порт extendable

Возможно) А Вы против такого поворота событий?

"cisco 2800 доступ в приватную сеть"
Отправлено bob , 18-Дек-13 23:01 
> Возможно) А Вы против такого поворота событий?

Да нет, Вы правы, это наиболее безболезненный способ. Просто общение с той стороной ...
Типа "У нас все работает"

"cisco 2800 доступ в приватную сеть"
Отправлено jabbson , 18-Дек-13 23:51 
>> Возможно) А Вы против такого поворота событий?
> Да нет, Вы правы, это наиболее безболезненный способ. Просто общение с той
> стороной ...
> Типа "У нас все работает"

скажите, что у Вас тоже нормальком все)
или попросите их конфиг - глянем, что у них там работает)