сменили зюксель, который работал в режиме бриджа, на циску 857w(у которой WAN - адсл порт). Теперь реальный IP назначается на ATM(адсл который) интерфейс и НАТ в этот IP.
Но проблема возникал:
при назначении ip адреса на ATM интерфейс циски (АДСЛ который), не пингует циска сама себя по этому адресу.
А таблице маршрутизации есть подсеть на АТМ интерфейсе.
при просмотре арп-таблицы нет записи про этот IP (видимо по этому и не пингует сама себя).
так же не пингуется шлюз.
в таблице арп-адресов иногда появляется этот шлюз.. Значит пакеты от него приходят на АТМ интерфейс, так почему же он их не принимает и сам ничего послать не может??
интерфейс АТМ0 line up, protocol up.
sh ATM0 - rx и tx показывает, что байты есть..
пробую ping шлюза, который выдал пров - tx байты тикают - ответа ноль.sh run не могу показать, так как циска далеко, ездил настраивать..
скажу, что в базовом конфиге убрал АСЛ, прописал IP и пробовал различные инкапсуляции..
я не цискарь, только начал с ними работать, а эта проблема в тупик поставила меня окончательно.. Что я не так делаю? Что не так понял?
Заранее спасибо за помощь!!
Без конфига конечно сложно. Мне кажется надо в первую очередь смотреть фаервол, и списки поступа. Кстати какой тип инкапсуляции на стороне провайдера?
>Без конфига конечно сложно. Мне кажется надо в первую очередь смотреть фаервол,
>и списки поступа. Кстати какой тип инкапсуляции на стороне провайдера?пров не говорит инкапсуляцию :) какие инкапсуляции на территории РФ наиболее популярны у провов?
ACL удалены..
>>Без конфига конечно сложно. Мне кажется надо в первую очередь смотреть фаервол,
>>и списки поступа. Кстати какой тип инкапсуляции на стороне провайдера?
>
>пров не говорит инкапсуляцию :) какие инкапсуляции на территории РФ наиболее популярны
>у провов?
>ACL удалены..В основном PPPoE, AAL5Snap, EnetEncap. Как вы настраивали роутер не зная инкапсуляции? Что за пров?
>>>Без конфига конечно сложно. Мне кажется надо в первую очередь смотреть фаервол,
>>>и списки поступа. Кстати какой тип инкапсуляции на стороне провайдера?
>>
>>пров не говорит инкапсуляцию :) какие инкапсуляции на территории РФ наиболее популярны
>>у провов?
>>ACL удалены..
>
>В основном PPPoE, AAL5Snap, EnetEncap. Как вы настраивали роутер не зная инкапсуляции?
>Что за пров?
так и настраивал.. перебирал варианты :)
один пров - enginet - www.enginet.ru
другой - ЮТК.
Техподдержка не вменяемая, на вопрос об инкапсуляции говорит только "да мы вам статику выдали, нет никакой инкапсуляции".
а AAL5MUX ip не встречался вам?
>>>>Без конфига конечно сложно. Мне кажется надо в первую очередь смотреть фаервол,
>>>>и списки поступа. Кстати какой тип инкапсуляции на стороне провайдера?
>>>
>>>пров не говорит инкапсуляцию :) какие инкапсуляции на территории РФ наиболее популярны
>>>у провов?
>>>ACL удалены..
>>
>>В основном PPPoE, AAL5Snap, EnetEncap. Как вы настраивали роутер не зная инкапсуляции?
>>Что за пров?
>
>
>так и настраивал.. перебирал варианты :)
>один пров - enginet - www.enginet.ru
>другой - ЮТК.
>Техподдержка не вменяемая, на вопрос об инкапсуляции говорит только "да мы вам
>статику выдали, нет никакой инкапсуляции".
>а AAL5MUX ip не встречался вам?
Нет, с AAL5MUX не работал. Если у Вас нет пинга от Циски до шлюэа прова, можно сделать вывод что канал не поднимается, наиболее вероятной причиной этого может быть неверный тип инкапсуляции. По опыту для настройки АДСЛя необходимо минимум знать инкапсуляцию (если РРРоЕ то шлюза прова не будет, пакеты будут роутится на внешний интерфейс, но зато необходимо будет знать логин и пароль для подключения), VCI, VPI, если не РРРоЕ то - шлюз прова и маску сети. Это минимум.
>Нет, с AAL5MUX не работал. Если у Вас нет пинга от Циски
>до шлюэа прова, можно сделать вывод что канал не поднимается, наиболее
>вероятной причиной этого может быть неверный тип инкапсуляции. По опыту для
>настройки АДСЛя необходимо минимум знать инкапсуляцию (если РРРоЕ то шлюза прова
>не будет, пакеты будут роутится на внешний интерфейс, но зато необходимо
>будет знать логин и пароль для подключения), VCI, VPI, если не
>РРРоЕ то - шлюз прова и маску сети. Это минимум.
Третий день мучаю прова, чтобы он сказал инкапсуляцию. Молчит, партизан :)
В принципе, это я тоже понимаю, раньше в одном месте стояло pppoe подключение, IP выдавался, всё работало, после пров сказал прописывать реальные ипы - и тут перестало.Волнует вопрос - почему, когда на 857 циске прописываю IP адрес, он не пингуется, хотя line up, protocol up. Должен ли этот адрес быть в арп таблице(sh arp)? В таблице маршрутизации этот IP появляется. Себя на отказ не хочет пинговать..
Я с цисками недавно, дебажить не приходилось, но методы дебага цисковские мне непонятны оказались.. tcpdump бы :)
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_conf...а что скажите по поводу этой доки? если по ней настроить, а статический адрес прописать на bvi1 интерфейс, который сбриджован с atm0 интерфейсом. Побежит ли трафик к прову? :) сам себя пинговать-то он точно будет, пробовал настраивать - в arp таблице появляется запись о реальном IP. Но ехать далеко, чтобы тестить :) что скажите? какие будут комментарии?
>http://www.cisco.com/en/US/tech/tk175/tk15/technologies_conf...
>
>а что скажите по поводу этой доки? если по ней настроить, а
>статический адрес прописать на bvi1 интерфейс, который сбриджован с atm0 интерфейсом.
>Побежит ли трафик к прову? :) сам себя пинговать-то он точно
>будет, пробовал настраивать - в arp таблице появляется запись о реальном
>IP. Но ехать далеко, чтобы тестить :) что скажите? какие будут
>комментарии?Опыта настройки по такому варианту у меня нет. Я бы на вашем месте попытался добиться от провайдера настроек.
Вот рабочий конфиг без PPPoE c энкапсуляцией aal5snap, VPI - 1 , VCI - 50interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description *** WAN ***
mtu 1500
ip address <IP> <MASK>
no ip redirects
no ip unreachables
no ip virtual-reassembly
no snmp trap link-status
pvc 1/50
encapsulation aal5snap
!Конфиг для МТУ (не стрим). На других провах VPI,VCI могут отличатся. Энкапсуляция aal5snap самая помулярная.
>Вот рабочий конфиг без PPPoE c энкапсуляцией aal5snap, VPI - 1 ,
>VCI - 50
>
>interface ATM0
> no ip address
> no atm ilmi-keepalive
> dsl operating-mode auto
>!
>interface ATM0.1 point-to-point
> description *** WAN ***
> mtu 1500
> ip address <IP> <MASK>
> no ip redirects
> no ip unreachables
> no ip virtual-reassembly
> no snmp trap link-status
> pvc 1/50
> encapsulation aal5snap
> !
>
>Конфиг для МТУ (не стрим). На других провах VPI,VCI могут отличатся. Энкапсуляция
>aal5snap самая помулярная.вот именно такое у меня не работало, мучался я долго.
нужно было создавать vbi - бриджевой интерфейс виртуальный, и к нему бриджевать atm0.1.
Но сегодня свершилось! :) смотря в ту доку вот мой конфиг:Building configuration...
Current configuration : 3671 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.39.1
!
ip dhcp pool sdm-pool1
import all
network 192.168.39.0 255.255.255.0
dns-server xxxxxxxxx xxxxxxxxxx
default-router 192.168.39.1
!
!
ip cef
ip domain name peresvet.ru
ip name-server xxxxxxxxxxxxx
ip name-server xxxxxxxxxxxxx
!
username xxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
bridge irb
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.39.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BVI1
mac-address 0000.0ccf.f5c8
ip address xxxxxxxxxxxxx 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxxxxxxxxxxxxx
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source list 1 interface BVI1 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.39.0 0.0.0.255
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Всем спасибо за ответы!!!
а какой mac-address нужно присваивать bvi интерфейсу?
и после настройки у меня не просыпаются интервейс atm и bvi, no shutdown не помогает...router1#sh ip int brief
Interface IP-Address OK? Method Status Prot
ocol
FastEthernet0 unassigned YES unset up upFastEthernet1 unassigned YES unset up down
FastEthernet2 unassigned YES unset up down
FastEthernet3 unassigned YES unset up down
ATM0 unassigned YES NVRAM initializing down
Vlan1 192.168.0.1 YES NVRAM up up
NVI0 unassigned NO unset up up
Dialer0 unassigned YES NVRAM up up
BVI1 xxx.xxx.xxx.x YES NVRAM down down
>а какой mac-address нужно присваивать bvi интерфейсу?
>и после настройки у меня не просыпаются интервейс atm и bvi, no
>shutdown не помогает...конфиг покажи
>>а какой mac-address нужно присваивать bvi интерфейсу?
>>и после настройки у меня не просыпаются интервейс atm и bvi, no
>>shutdown не помогает...
>
>конфиг покажиинтерфейсы поднялись когда я подключил к каналу, но я так и не смог выйти на внешний мир...вот конфиг
!
!
!
bridge irb
!
!
interface ATM0
no ip address
ip virtuasl-reassembly
no atm ilmi-keepalive
pvc 0/33
encapsulation aal5snap
!
dsl operation-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.0.1 255.255.255.0
ip virtuasl-reassembly
ip tcp adjust-mss 1452
!
interfase BVI1
mac-address 001d.alb8.f478
ip address (арендуемый адрес)
ip virtuasl-reassembly
!
ip route 0.0.0.0 0.0.0.0 BVI1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
no cdp run
!
bridge 1 protocol ieee
bridge 1 route ip
!
еще только что узнал что PVC у провайдера другой, из-за этого может быть?и mac-address интерфейсу BVI1 я случайный залепил...какой нужно присваивать на самом деле?
спасибо заранее!
>[оверквотинг удален]
>!
>
>
>еще только что узнал что PVC у провайдера другой, из-за этого может
>быть?
>
>и mac-address интерфейсу BVI1 я случайный залепил...какой нужно присваивать на самом деле?
>
>
>спасибо заранее!pvc 0/33 - эти данные должен выдавать провайдер! спроси у него это.
мак на bvi нужен, если у тебя была привязка к мак адресу у прова.
у меня длинк стоял и, чтобы не звонить прову, чтобы поменял на новый цисковский, я взял мак адрес с длинка и вписал на циску на bvi, так быстрее для меня было.
ip route 0.0.0.0 0.0.0.0 BVI1
тут точно так надо? провайдер вообще какие настройки дал?
>
>pvc 0/33 - эти данные должен выдавать провайдер! спроси у него это.
>
>мак на bvi нужен, если у тебя была привязка к мак адресу
>у прова.
>у меня длинк стоял и, чтобы не звонить прову, чтобы поменял на
>новый цисковский, я взял мак адрес с длинка и вписал на
>циску на bvi, так быстрее для меня было.
>ip route 0.0.0.0 0.0.0.0 BVI1
>тут точно так надо? провайдер вообще какие настройки дал?у меня стоит обычный дсл-овский модем микронет, он настроен как мост, если адрес модема допустим 87.264.234.35, то адрес интерфейса компьютера, куда прицеплен модем 87.264.234.36, привязки на мак-адрес там нет, а на счет ip route 0.0.0.0 0.0.0.0 bvi1 это я у тебя скопировал, зачем он вообще нужен я не знаю...
сегодня собираюсь еще раз попробывать выйти через него вот с такой кофигой, убрал все что можно было...и еще один момент, когда предыдущий раз подключал, примерно с такой же конфигой, у меня появился интерфейс interface Virtual-Dot11Radio0 зачем он,откуда, я не понял...
username xxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
bridge irb
!
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 0/67
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Dot11Radio0
no ip address
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 193.1.2.240 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BVI1
ip address 89.237.246.33 255.255.255.252
ip virtual-reassembly
!
no ip route
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Virtual-Dot11Radio0 - это у меня циска с wifi
если у тебя нету wifi - убери этот интерфейс.
далее - зачем тебе модем в режиме бриджа? убирай его и ставь циску за место него, втыкай телефонный кабель в циску, в адсл слот.
дальше - какие у тебя настройки выдал провайдер твой. Перечисли все настройки - соберу конфиг тебе.
>Virtual-Dot11Radio0 - это у меня циска с wifi
>если у тебя нету wifi - убери этот интерфейс.
>далее - зачем тебе модем в режиме бриджа? убирай его и ставь
>циску за место него, втыкай телефонный кабель в циску, в адсл
>слот.
>дальше - какие у тебя настройки выдал провайдер твой. Перечисли все настройки
>- соберу конфиг тебе.Virtual-Dot11Radio0 - этот вообще не вырубаеться, говрит что в мануальном режиме нельзя конфикурить...
сегодня узнал, что айпишники которые я присваивал имш это лановские упрова, теперь я знаю реальные айпишники, а настройки вот:
pvc 0/67
ecapsulation aal5snapи айпишник 123.123.123.123 это пусть WAN будет, и маска 255.255.255.224, и у него есть теперь шлюз 123.123.123.124
вот в принципе и все, только я не могу понять как прописать шлюз...
>[оверквотинг удален]
>я знаю реальные айпишники, а настройки вот:
>
>pvc 0/67
>ecapsulation aal5snap
>
> и айпишник 123.123.123.123 это пусть WAN будет, и маска 255.255.255.224, и
>у него есть теперь шлюз 123.123.123.124
>
>вот в принципе и все, только я не могу понять как прописать
>шлюз...123.123.123.123 на BVI1 пропиши
и маршрут по-умолчанию - ip route 0.0.0.0 0.0.0.0 123.123.123.124
на vlan1 внутренние адреса, которые у тебя в локальной сети.
после на vlan1 добавь ip nat inside
на bvi1 добавь ip nat outside
создай аксесс лист:
access-list 1 permit 192.168.1.0 255.255.255.0
где 192.168.1.0 - это я взял как твою внутреннюю сеть. Подставь свою.
и само включение ната
ip nat inside source list 12 interface BVI1 overloadу тебя циска wifi?
вывод команды no Virtual-Dot11Radio0 покажидалее для чистоты - уберем лишнее из конфига. это я бы сделал в первую очередь
no ip http server
no ip http authentication local
no ip http secure-server
no ip http timeout-policy idle 60 life 86400 requests 10000это мы выключим веб-интерфейс. Это циска, её настраивают с командной строки. Веб-интерфейс создает много мусора.
line vty 0 4
no access-class 23 inтакого аксесс листа у нас нет, поэтому уберем ограничение по нему на коннект по ссш и телнету к циске.
interface Vlan1
no description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$этот дескрипшн создает веб-конфигурилка(SDM) для себя. Для человека это кажется бредом - зачем оно нам?
с остальным пока все ок
сегодня сходил, попробовал с такой конфигой, не пошло -
здесь ната сейчас нет, я убрал, но с натом тоже пробовал, тоже самое...в принципе он сейчас не нужен, мне бы выйти просто на внешний мир, а дальше было бы проще...username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
bridge irb
!
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 0/67
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Dot11Radio0
no ip address
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 193.1.2.240 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BVI1
ip address 123.123.123.123 255.255.255.224
ip virtual-reassembly
!
ip default-gateway 123.123.123.124
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 1 permit 193.1.2.0 0.0.0.255
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
вот, сейчас прописал, как ты продиктовал, но не думаю что заработает... разницы я почти не вижу, могу нат тут прописать, но нат же сейчас роли не играет?
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
bridge irb
!
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 0/67
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Dot11Radio0
no ip address
!
interface Vlan1
ip address 193.1.2.240 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BVI1
ip address 123.123.123.123 255.255.255.224
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 123.123.123.124
!
no ip http server
no ip http secure-server
!
access-list 1 permit 193.1.2.0 0.0.0.255
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
а вот что выдает команда :router(config)#no int virtual-dot11radio0
% Manual configuration of a Virtual-Dot11Radio interface is not allowed.
ну хорошо.
линк CD мигает или горит постоянно на панели индикации циски?
если мигает, то проблема в линке.
если горит, то линк адсл установлени и должен пинговаться IP адрес шлюза провайдера - это пробовал?
в обоих случаях при проблеме - звонить провайдеру.
в первом - проверить vpi/vci - правильные ли введены, если правильные, то канал должен поднятсья. Если не поднимается и CD долго моргает, то проблема на линии - сплиттер попробовать поставить.
если второе - значит линк поднялся(горит CD индикация), но не пингуется IP шлюз провайдера - значит, скорее всего, у тебя привязка по маку и пров просто отбрасывает пакеты с твоего мака - попросить сменить привязку. Если привязки нет, то тогда просто спросить провайдера, что за фигня. Линк-то поднялся, кошку они видят.
Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с целью найти ip адреса провайдера и посмотреть, какой там мак адрес.
>[оверквотинг удален]
>канал должен поднятсья. Если не поднимается и CD долго моргает, то
>проблема на линии - сплиттер попробовать поставить.
>если второе - значит линк поднялся(горит CD индикация), но не пингуется IP
>шлюз провайдера - значит, скорее всего, у тебя привязка по маку
>и пров просто отбрасывает пакеты с твоего мака - попросить сменить
>привязку. Если привязки нет, то тогда просто спросить провайдера, что за
>фигня. Линк-то поднялся, кошку они видят.
>Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с
>целью найти ip адреса провайдера и посмотреть, какой там мак адрес.
>заработал наконец!
оказца нужно было маршрут прописать 0.0.0.0 0.0.0.0 <gateway>
а у меня было up default-gateway <gateway>, но я вчера и тот и другой прописывал, не работала, а сегодня прописал сначало роут, заработал, а потом и gateway сверху, тоже работает, а если роут уберу и оставлю default-gateway не работает...теперь у меня вопрос, если не затруднит тебя, подскажи где копать, допустим хочу через него выйти в инет, т. е. загрузить какую-нибуть страничку...где капать?
пинг с роутера идет хоть куда, прописываю шлюз на компе адреса vlan1, не может ничего найти...спасибо.
>[оверквотинг удален]
>>канал должен поднятсья. Если не поднимается и CD долго моргает, то
>>проблема на линии - сплиттер попробовать поставить.
>>если второе - значит линк поднялся(горит CD индикация), но не пингуется IP
>>шлюз провайдера - значит, скорее всего, у тебя привязка по маку
>>и пров просто отбрасывает пакеты с твоего мака - попросить сменить
>>привязку. Если привязки нет, то тогда просто спросить провайдера, что за
>>фигня. Линк-то поднялся, кошку они видят.
>>Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с
>>целью найти ip адреса провайдера и посмотреть, какой там мак адрес.
>>DNSы я так думаю нужно прописать?
ip default-gateway убери, это не то.
на vlan1 IP адрес подсети внутренней пропиши. Этот адрес будет шлюзом для внутренних компов.
далее НАТ настрой, как я выше где-то писал уже.после на компе настрой ДНСы, которые тебе провайдер дает, IP из внутренней подсети и шлюз - айпишник, настроенный на vlan1 интерфейсе циски. И должен уже в инет выходить
>ip default-gateway убери, это не то.
>на vlan1 IP адрес подсети внутренней пропиши. Этот адрес будет шлюзом для
>внутренних компов.
>далее НАТ настрой, как я выше где-то писал уже.
>
>после на компе настрой ДНСы, которые тебе провайдер дает, IP из внутренней
>подсети и шлюз - айпишник, настроенный на vlan1 интерфейсе циски. И
>должен уже в инет выходитьДНС я так настроил, вроде работает
ip http server
ip http secure-server
ip nat inside source list 1 interface BVI1 overload
ip dns server
ip dns spoofing <ip dns сервера>но,
почему-то только с сервера могу ходить в интернет, а с обычных машин (Windows XP) не идет, вроде указываю все верно, шлюз vlan1 указываю, может там службы отключены какие-то? не успел посмотреть просто...
еще по поводу VPN, моя циска поддерживает только site-ti-site и remote access VPN.
site-to-site я сконфигурил, но еще не запустил, вот конфига, посмотри, нет ли косяков где-нибудь? по поводу remote access, есть какая-нибудь инормация как ее конфигурить?username admin privilege 15 secret 5 ххххххххххххххххххххххххххххххх
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 480
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set to_head esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer ххх.ххх.ххх.140
set transform-set to_head
match address 101
!
bridge irb
!
!
interface Tunnel0
ip address 192.168.3.1 255.255.255.0
tunnel source BVI1
tunnel destination ххх.ххх.ххх.57
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 0/67
encapsulation aal5snap
!
dsl operating-mode auto
bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Dot11Radio0
no ip address
!
interface Vlan1
ip address 193.1.2.240 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BVI1
ip address ххх.ххх.ххх.140 255.255.255.224
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip route 0.0.0.0 0.0.0.0 <gateway>
ip route 192.1.1.0 255.255.255.0 192.168.3.2
!
ip http server
ip http secure-server
ip nat inside source list 1 interface BVI1 overload
ip dns server
ip dns spoofing 213.145.129.20
!
access-list 1 permit 193.1.2.0 0.0.0.255
access-list 101 permit gre host ххх.ххх.ххх.140 host ххх.ххх.ххх.57
access-list 103 permit gre host ххх.ххх.ххх.57 host ххх.ххх.ххх.140
access-list 103 permit esp host ххх.ххх.ххх.57 host ххх.ххх.ххх.140
access-list 103 permit udp host ххх.ххх.ххх.57 eq isakmp host ххх.ххх.ххх.140
access-list 103 deny ip any any log
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
про днс.дальше - я бы посоветовал бы конфигурить не через crypto map, а через tunnel protection. Проще получается с маршрутизацией и пониманием процессов прохождения пакета, имхо.
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
crypto isakmp key КОМБИНАЦИЯ_СИМВОЛОВ address IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile aes-vpn
set transform-set aesset
!
interface Tunnel0
description HEAD OFFICE
ip address 192.168.3.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source ВНЕШНИЙ_ИНТЕРФЕЙС(в твоем случае BVI1)
tunnel destination IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ
tunnel protection ipsec profile aes-vpnздесь - использование aes, так как некоторые вызывающие доверие люди проверяли, что aes работает быстрее des'а.
КОМБИНАЦИЯ_СИМВОЛОВ - то просто набор символов. Порядка 10 букв разного регистра и цифр хватит. На том конце ключ должен быть таким же.
ip mtu и ip tcp adjust-mss - на всякий случай избавляемся от мучений с MTU и туннелем с шифрацией. Объяснять, извини, долго, да и сам не сильный знаток :) но помогает.
ip address 192.168.3.1 255.255.255.252 - это значит, что на том конце будет 192.168.3.2 255.255.255.252. Маска такая - потомучто тунельная и в туннельной подсети может существовать только 2 адреса. Как-то так.
дальше - ты все ставишь реальный IP на vlan1 и зачем-то НАТ делаешь:
interface Vlan1
ip address 193.1.2.240 255.255.255.0
ip nat insideВидимо, у тебя в сети реальные IP исторически сложившиеся издавних времен, бывало такое, читал, но не встречал лично.
для теста с ДНС - я бы вырубил
ip dns server
ip dns spoofing 213.145.129.20и попробовал бы на клиенте прописать ДНС серв провайдера и проверить инет на клиенте