Добрый день. Имею вот такой конфиг:!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HOME
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$BcVd$/5uJyiwQhLo5mAHLHnVOX.
enable password чччччччччччччч
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1121392622
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1121392622
revocation-check none
rsakeypair TP-self-signed-1121392622
!
!
crypto pki certificate chain TP-self-signed-1121392622
certificate self-signed 01
//сертификат
quit
no ip routing
no ip cef
!
!
no ip dhcp use vrf connected
!
ip dhcp pool HOME_Network
network 192.168.254.0 255.255.255.0
dns-server 192.168.254.1
default-router 192.168.254.1
!
!
ip inspect name Internet icmp
ip inspect name Internet tcp
ip inspect name Internet udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username admin privilege 15 password 0 ччччччччччччч
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address чччч.чччч.чччч
ip address dhcp
ip access-group 101 in
ip nat outside
ip inspect Internet in
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.254.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip inspect Internet in
ip virtual-reassembly
no ip route-cache
!
ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.254.0 0.0.0.255
access-list 1 deny any
access-list 100 permit ip 192.168.254.0 0.0.0.255 any
access-list 100 deny ip any any
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip any any
snmp-server community public RO
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
password lck544m
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Проблема в том, что внутри сети все ходит хорошо, а с маршрутизатора я пингую 8.8.8.8, но с компа входа в инет нет. Не ходят пакеты наружу и все тут. Подскажите пожалуйста, в чем может быть причина.Заранее благодарю.
P.S. Я на работе, а роутер дома. Если понадобятся какие либо выводы из CLI, то это только вечером, после 8((
access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал снимать - не помогло(((
>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
> снимать - не помогло(((А вот сейчас в голову пришло. А что если создать еще один ACL:
access-list 2 permit anyСоздать второе правило для НАТ:
ip nat outside source list 2 interface Vlan1 overloadИ повесить на fa4:
ip access-group 2 out?????
>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
> снимать - не помогло(((ip route 0.0.0.0 0.0.0.0 dhcp ?
>>> access-list с FastEthernet4 снимите и попробуйте снова. Пинги с самого маршрутизатора ходят?
>> Да, с самого маршрутизатора ходят и внутрь и во вне. Акцесс-листы пробовал
>> снимать - не помогло(((
> ip route 0.0.0.0 0.0.0.0 dhcp ?Простите, я новичек в Цисках. Если это вопрос, пробовал ли я так - нет, не пробовал.
UP! Поковырялся, что за команда. Если я верно понял, что вы хотите сказать, то нет, я не вводил такую команду. А зачем? У меня получается адрес по DHCP и, как я уже сказал, все нормально пингуется, но только с циски. С компьютера нет.
Хотя, скорее всего, я чего то не понимаю.
> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
> сказать, то нет, я не вводил такую команду. А зачем? У
> меня получается адрес по DHCP и, как я уже сказал, все
> нормально пингуется, но только с циски. С компьютера нет.
> Хотя, скорее всего, я чего то не понимаю.покажите sh ip route с маршрутизатора
> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
> сказать, то нет, я не вводил такую команду. А зачем? У
> меня получается адрес по DHCP и, как я уже сказал, все
> нормально пингуется, но только с циски. С компьютера нет.
> Хотя, скорее всего, я чего то не понимаю.ёпрст, у вас
no ip routing
поэтому у самого роутера дефолт есть, а клиентов он не форвардит
>> UP! Поковырялся, что за команда. Если я верно понял, что вы хотите
>> сказать, то нет, я не вводил такую команду. А зачем? У
>> меня получается адрес по DHCP и, как я уже сказал, все
>> нормально пингуется, но только с циски. С компьютера нет.
>> Хотя, скорее всего, я чего то не понимаю.
> ёпрст, у вас
> no ip routing
> поэтому у самого роутера дефолт есть, а клиентов он не форвардитБуду дома около 8 вечера и скину вывод.
О! Спасибо, что напомнили! Когда я включаю ip routing, у меня прекращается работа внутренней сети. Т.е. по DHCP клиенты перестают получать адреса, а если назначить статику, все равно ничего не пингуется и пакеты не ходят)))
ip inspect Internet in
на
ip inspect Internet outip routing обязательно нужен
> ip inspect Internet in
> на
> ip inspect Internet out
> ip routing обязательно нуженСделал, как Вы мне посоветовали. До этого sh ip route ничего не писал. Теперь так:
Gateway of last resort is 10.41.30.1 to network 0.0.0.010.0.0.0/24 is subnetted, 1 subnets
C 10.41.30.0 is directly connected, FastEthernet4
192.168.254.0/32 is subnetted, 1 subnets
S 192.168.254.5 [254/0] via 10.41.30.1, FastEthernet4
S* 0.0.0.0/0 [254/0] via 10.41.30.1Вот правда у меня сейчас ничего не подключено к роутеру (почему то на моем любимом Acer 3830T пропала сетевуха) и мне не совсем понятно, откуда взялся адресс 192.168.254.5.
Блин, и подключить для проверки нечего(((
Ну что за манера ничего не понимая накидать сходу в конфиг всякой хрени и пытаться взлететь?
Нужно всегда идти от простого к сложному.
Сперва тупо сделать чтобы роутер ходил в интернет сам. Не нужно сходу лепить фаервол, аксес листы на интерфейсах, если не знаешь точно как оно работает.
Затем нужно сделать чтоб работала локалка, просто работала, без интернета, чтобы адреса с роутера получали.
Затем можно включить NAT и добиться элементарного хождения локалки в инет.
И уже в саааамом конце, потихоньку, вдумчиво читая cisco.com, включать фаерволы и списки доступа на интерфейсах.
Ну и "no ip routing" - это пять!
>[оверквотинг удален]
> Нужно всегда идти от простого к сложному.
> Сперва тупо сделать чтобы роутер ходил в интернет сам. Не нужно сходу
> лепить фаервол, аксес листы на интерфейсах, если не знаешь точно как
> оно работает.
> Затем нужно сделать чтоб работала локалка, просто работала, без интернета, чтобы адреса
> с роутера получали.
> Затем можно включить NAT и добиться элементарного хождения локалки в инет.
> И уже в саааамом конце, потихоньку, вдумчиво читая cisco.com, включать фаерволы и
> списки доступа на интерфейсах.
> Ну и "no ip routing" - это пять!+1 и верните ip cef, не издевайтесь над котенком )