Есть локальная сеть 192.168.0.0/24.
Маршрутизатор по умолчанию 192.168.0.1, на нем NAT (W2003, ISA2004) и через него доступ в Интернет.На адресе 192.168.0.254 маршрутизатор Cisco 1841.
У него на внешнем интерфейсе адрес 10.254.224.1 и далее оптика до другого провайдерского маршрутизатора 10.254.224.2.
За провайдерским маршрутизатором организовано два VPN тунеля в разные организации (1 и 2).
Как и что меня не касается – это для нас черный ящик.
Известно одно: в организации 1 сеть 172.0.0.0/24, а в организации 2 куча подсетей 10.x.0.0/24
Для работы с организацией 1 нам выдали подсеть 10.244.0.0/24, а для работы с организацией 2 – 10.224.0.0/24
(т.е. пакеты с source-addres из сети 10.224.0.0/24 отправляются маршрутизатором провайдера в тунель к 10.x.0.0/24, а из сети 10.244.0.0/24 в тунель к 172.0.0.0/24, ну а все остальные никуда).Из сетей удаленных сетей 10.x.0.0/24 и 172.0.0.0/24 необходимо видеть часть хостов в нашей сетке 192.168.0.х под статическими адресами.
Причем желательно обеспечить прохождение всех протоколов как в LAN, т.к. там и RPC (MAPI MAIL) и общение домен контроллеров и DNS и прости господи NET USE используется.
Но без последнего требования жить сможем, обойдемся и TCP если по другому никак...
В локалке 192.168.0.0/24 я так понимаю кому надо нужно помимо дефаултового маршрута на 192.168.0.1 прописать статические маршруты для сетей 10. и 172. на Cisco (192.168.0.254).
А вот как настроить Cisco в этом случае подскажите подробно пожалуйста, если вообще возможна такая работа ?
Немного с Cisco IOS знаком, как конфигурацию руками поправить знаю, но не настролько чтобы понимать как там настраивать NAT на одном интерфейсе в разные подсети, если конечно я правильно понял что тут надо NAT использовать...
А я что то запрещенное спросил или это так сложно что никто не знает как настроить ?
Посмотри на cisco.far.ru NAT и 2 провайдера
А зачем НАТ нужен? для доступа в итнтрнет понятно, а на cisco зачем?
>А зачем НАТ нужен? для доступа в итнтрнет понятно, а на cisco
>зачем?
Может просто прописать статические маршруты? как-то так
ip route 10.0.0.0 255.0.0.0 10.254.224.2
ip route 172.0.0.0 255.255.255.0 10.254.224.2
>>А зачем НАТ нужен? для доступа в итнтрнет понятно, а на cisco
>>зачем?
>Может просто прописать статические маршруты? как-то так
>ip route 10.0.0.0 255.0.0.0 10.254.224.2
>ip route 172.0.0.0 255.255.255.0 10.254.224.2Да это то понятно, маршрутизация так и прописана.
Но нужен NAT всвязи с тем, что в тунелях прова включена проверка source-address - собственно по нему пров и определяет в какой тунель какой трафик пихать.
И если у меня трафик идет от 192.168.0.х через обычную маршрутизацию, то он никуда и не проходит...
Начинает работать только если у компа 192.168.0.х также прописать адрес из сети 10.224.0.х или 10.244.0.х (смотря с какой удаленкой вязаться, или оба сразу если с обоими). И более того приходится писать маршрут для трафика в сеть 172.x.x.x указывать роутер 10.244.0.1, а для трафика в 10.x.x.x - 10.244.0.1, и это несмотря на то, что это один и тот же интерфейс одной и той же Cisco...
Но ведь тогда получается что всем компам в сети 192.168.0.х которым нужно общаться с удаленными сетями или с которыми нужно общаться из удаленных сетей нужно также еще присвоить адреса из подсеток 10.224.0.х и 10.244.0.х. Что собственно сейчас и сделано, только очень уж это "кузяво" получается. Ладно бы это только сервера были, а то там еще и пользователи, вообщем счет уже на десятки пошел и настраивать всем статическую адресацию, да еще по три адреса на интерфейс очень неудобно.А нужно чтобы у всех были просто адреса 192.168.0.х + пара стат маршрутов на циску и циска в зависимости от того куда идут пакеты автоматом меняла 192.168. на 10.244. или 10.224. - благо везде имеем сетки класса C.
Я так понимаю это и есть NAT, только мне нужно не первый свободный адрес брать для трансляции, а простое строгое соотвествие адресов 192.168.0.1 -> 10.224.0.1 или 10.244.0.1 в зависимости от маршрута, ну и так для всех 254 адресов.Или я чего то не то придумываю ?
>Посмотри на cisco.far.ru NAT и 2 провайдера
Посмотрел, но не совсем мой случай. Там два канала на двух интерфейсах к прову.
Каждый пров также как и у меня роутит только свою подсетку.
И надо обеспечить чисто выход в инет для каждой из подсеток предоставляемых провом по своему каналу, а если один падает то по другому.У меня все компы внутренние принадлежат сразу и ко всем сетям предоставленным всеми провайдерами (для простоты их 2, но их больше на самом деле).
Все провайдеры подключены к одному интерфейсу и все провы роутят только те подсетки,что они предоставили. Никакой балансировки мне не надо, надо только чтобы трафик правильно маршрутизировался в зависимости от destination-address и при этом чтобы в пакетах source-address был для каждого прова из той сетки, что он предоставил для нас.
Мне нужен не выход в инет, а двухсторонняя связь со всеми сетками, причем во всех сетках есть хосты адреса которых не должны менятся.
>Есть локальная сеть 192.168.0.0/24.
>Маршрутизатор по умолчанию 192.168.0.1, на нем NAT (W2003, ISA2004) и через него
>доступ в Интернет.
>
>На адресе 192.168.0.254 маршрутизатор Cisco 1841.
>У него на внешнем интерфейсе адрес 10.254.224.1 и далее оптика до другого
>провайдерского маршрутизатора 10.254.224.2.
>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco 1841?
Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA так настроили?
>>Есть локальная сеть 192.168.0.0/24.
>>Маршрутизатор по умолчанию 192.168.0.1, на нем NAT (W2003, ISA2004) и через него
>>доступ в Интернет.
>>
>>На адресе 192.168.0.254 маршрутизатор Cisco 1841.
>>У него на внешнем интерфейсе адрес 10.254.224.1 и далее оптика до другого
>>провайдерского маршрутизатора 10.254.224.2.
>>
>
>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco
>1841?
>Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA
>так настроили?Т.е. как ?
Я же написал прописаны статические маршруты на всех клиентах и серверах которым надо:
route -p add 10.0.0.0 mask 255.0.0.0 10.224.0.1
route -p add 172.0.0.0 mask 255.0.0.0 10.244.0.1
>
>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco
>1841?
>Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA
>так настроили?Так я же написал: прописаны статические маршруты на всех клиентах и серверах которым надо общатся с удаленноыми сетями:
route -p add 10.0.0.0 mask 255.0.0.0 10.224.0.1
route -p add 172.0.0.0 mask 255.0.0.0 10.244.0.1
>>
>>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco
>>1841?
>>Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA
>>так настроили?
>
>Так я же написал: прописаны статические маршруты на всех клиентах и серверах
>которым надо общатся с удаленноыми сетями:
>
>route -p add 10.0.0.0 mask 255.0.0.0 10.224.0.1
>route -p add 172.0.0.0 mask 255.0.0.0 10.244.0.1сдается мне что такой маршрут на рабочих станциях не будет работать. 10.244.0.1 из другой подсети, те пакеты удут на шлюз по умолчанию, а надо на cisco
Может вот так попробовать
route -p add 10.0.0.0 mask 255.0.0.0 192.168.0.254
route -p add 172.0.0.0 mask 255.0.0.0 192.168.0.254
>>>
>>>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco
>>>1841?
>>>Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA
>>>так настроили?
>>
>>Так я же написал: прописаны статические маршруты на всех клиентах и серверах
>>которым надо общатся с удаленноыми сетями:
>>
>>route -p add 10.0.0.0 mask 255.0.0.0 10.224.0.1
>>route -p add 172.0.0.0 mask 255.0.0.0 10.244.0.1
>
>сдается мне что такой маршрут на рабочих станциях не будет работать. 10.244.0.1
>из другой подсети, те пакеты удут на шлюз по умолчанию, а
>надо на cisco
>
>Может вот так попробовать
>route -p add 10.0.0.0 mask 255.0.0.0 192.168.0.254
>route -p add 172.0.0.0 mask 255.0.0.0 192.168.0.254Сделайте команду tracert, посмотрите как пакеты у вас идут
>>>
>>>А как хосты из сети 192.168.0.0/24 изнают о вашем роутере 192.168.0.254 Cisco
>>>1841?
>>>Если по умолчанию у вас все пакеты отправляются на 192.168.0.1? Вы ISA
>>>так настроили?
>>
>>Так я же написал: прописаны статические маршруты на всех клиентах и серверах
>>которым надо общатся с удаленноыми сетями:
>>
>>route -p add 10.0.0.0 mask 255.0.0.0 10.224.0.1
>>route -p add 172.0.0.0 mask 255.0.0.0 10.244.0.1
>
>сдается мне что такой маршрут на рабочих станциях не будет работать. 10.244.0.1
>из другой подсети, те пакеты удут на шлюз по умолчанию, а
>надо на cisco
>
>Может вот так попробовать
>route -p add 10.0.0.0 mask 255.0.0.0 192.168.0.254
>route -p add 172.0.0.0 mask 255.0.0.0 192.168.0.254Вы не поняли.
Именно такой маршрут сейчас и работает :)
А то что вы предлагаете как раз не работает, т.к. ключевые слова в моем постe - "проверка source-address в каналах провайдера".
И для клиентов 10.244.0.1 это адрес не из другой сети.
У 192.168.0.2, прописаны сейчас на том же интерфейсе дополнительные адреса 10.224.0.2 и 10.244.0.2.
Т.е. он общаясь с сетью 172.0.0.х выглядит как 10.244.0.2 и маршрутизируется через 10.244.0.1.Вот пример (запущено на машине 192.168.0.12 (она же 10.224.0.12):
tracert 10.11.1.254
Трассировка маршрута к 10.11.1.254 с максимальным числом прыжков 301 1 ms <1 мс <1 мс 10.224.0.1
2 2 ms 2 ms 2 ms 10.254.224.2
3 7 ms 8 ms 9 ms 10.11.1.254
>Вы не поняли.>У 192.168.0.2, прописаны сейчас на том же интерфейсе дополнительные адреса 10.224.0.2 и
>10.244.0.2.Как же я пойму если вы раньше не писали что у вас на рабочих станциях по 3 адресса на интерфейсе.
> Для работы с организацией 1 нам выдали подсеть 10.244.0.0/24, а для работы с организацией 2 – 10.224.0.0/24
Одна и таже сеть?
То ли вы не правильно поняли сами свою задачу / провайдара. Или не правильно описываете. А зачем по 3 адреса на интерфейсе?Если tracert прошел, то что тогда не работает?
>>Вы не поняли.
>
>>У 192.168.0.2, прописаны сейчас на том же интерфейсе дополнительные адреса 10.224.0.2 и
>>10.244.0.2.
>
>Как же я пойму если вы раньше не писали что у вас
>на рабочих станциях по 3 адресса на интерфейсе.
>
>> Для работы с организацией 1 нам выдали подсеть 10.244.0.0/24, а для работы с организацией 2 – 10.224.0.0/24
>
>Одна и таже сеть?
>То ли вы не правильно поняли сами свою задачу / провайдара. Или
>не правильно описываете. А зачем по 3 адреса на интерфейсе?
>
>Если tracert прошел, то что тогда не работает?Я вроде подробно же все описал в первом сообщении в посте ...
Попробую еще раз, может что то не так написал.
У меня сеть 192.168.0.х
И через одну Cisco два канала до удаленных сетей. Причем от Cisco то канал один. А вот дальше уже за провайдерским маршрутизатором он делится на VPN каналы к разным организациям.
В одной организации сказали мы будем маршрутизировать для Вас траффик на сеть 10.224.0.0/24, а в другой точно также сказали, что на сеть 10.224.0.0/24.
Ни про какую сеть 192.168.0.х они не знают и знать не хотят.Если у меня машина в сети 192.168. то чтобы попасть в одну организацию ей надо "притворится", что она как будто бы из сети 10.224., а чтобы попасть в другую, соотвественно, что она из сети 10.244.
Иначе конечные маршрутизаторы этих организаций просто не примут трафик.
По-моему это и должен делать NAT.
Чего непонятного тут ?На внешнем интерфейсе Cisco у меня адрес для связи с вышестоящим маршрутизатором провайдера, а на внутреннем адреса из тех сеток, что маршрутизируют для нас удаленные организации, т.е. 10.224.0.1 и 10.244.0.1.
Собственно адрес из сети 192.168.0.х мне на внутреннем интерфейсе Cisco сейчас вообще не нужен (хоть он там и есть) - он не работает.
Cisco просто на внутреннем интерфейсе принимет пакеты с адресов машин из сетей 10.224.0.х и 10.244.0.х и просто маршрутизирует их дальше наверх и все работает.
Но я то не хочу как раз заводить у себя еще и подсети 10.224. и 10.244. прописывая по три IP на каждый хост, мне надо сохранить свою 192.168 и настроить NAT так, чтобы для одной удаленной организации моя сеть выглядела как 10.224., а для другой как 10.244.
По моему более понятнее я не смогу задачу разжевать :(
>В одной организации сказали мы будем маршрутизировать для Вас траффик на сеть
>10.224.0.0/24, а в другой точно также сказали, что на сеть 10.224.0.0/24.
>Сорри, здесь конечно просто описка: сети разные 10.224.0.0/24 и 10.244.0.0/24