Доброго времени суток. Может кто чего подскажет, а то свои идеи кончились...
Ситуация такая. В филиале стоит cisco 877 которая устанавливает IPSec с cisco в головном офисе, тем самым соединяя сеть филиала с сетью офиса. Это всё поднято и работает исправно. Теперь захотелось что бы в филиале ходили в internet через свой инет. Пытаюсь поднять на cisco 877 ip nat, но в инет локальная машина не выходит. Такая ситуация описана тут http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... , но настройка по этому манулу не помогает. debug ip nat показывает следующее:

Apr 15 17:57:50.422: NAT: GRE port: 2216420608 - [1100]
Apr 15 17:57:50.542: NAT: GRE port: 2200519640 - [1101]
Apr 15 17:57:50.898: NAT: GRE port: 2216420608 - [1103]
Apr 15 17:57:50.974: NAT: GRE port: 2216420608 - [1104]

Собстно это он начинает показывать как только включаю nat и дальше никакие мои действия не меняют этот текст. При этом в статистике ната вообще пусто:

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
  Loopback0
Inside interfaces:
  Vlan11
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 122 interface Loopback0 refcount 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

• Не получается nat при поднятом IPSec,CrAzOiD, 00:33 , 16-Апр-08
  • Не получается nat при поднятом IPSec,RomA, 09:54 , 16-Апр-08
    • Не получается nat при поднятом IPSec,RomA, 14:25 , 16-Апр-08
      • Не получается nat при поднятом IPSec,Изгой, 14:40 , 16-Апр-08
        • Не получается nat при поднятом IPSec,RomA, 14:47 , 16-Апр-08
          • Не получается nat при поднятом IPSec,Изгой, 14:54 , 16-Апр-08
            • Не получается nat при поднятом IPSec,Изгой, 14:58 , 16-Апр-08
              • Не получается nat при поднятом IPSec,RomA, 15:08 , 16-Апр-08
            • Не получается nat при поднятом IPSec,RomA, 15:02 , 16-Апр-08
              • Не получается nat при поднятом IPSec,Изгой, 15:35 , 16-Апр-08
                • Не получается nat при поднятом IPSec,RomA, 15:39 , 16-Апр-08
                  • Не получается nat при поднятом IPSec,Изгой, 15:46 , 16-Апр-08
                    • Не получается nat при поднятом IPSec,RomA, 16:18 , 16-Апр-08
                      • Не получается nat при поднятом IPSec,RomA, 17:18 , 16-Апр-08
      • Не получается nat при поднятом IPSec,CrAzOiD, 15:50 , 16-Апр-08
        • Не получается nat при поднятом IPSec,RomA, 17:19 , 16-Апр-08
          • Не получается nat при поднятом IPSec,stitch636, 14:31 , 24-Апр-08

>[оверквотинг удален]
>  Vlan11
>Hits: 0  Misses: 0
>CEF Translated packets: 0, CEF Punted packets: 0
>Expired translations: 0
>Dynamic mappings:
>-- Inside Source
>[Id: 1] access-list 122 interface Loopback0 refcount 0
>Appl doors: 0
>Normal doors: 0
>Queued Packets: 0

без конфигов получается сплошная телепатия...

>без конфигов получается сплошная телепатия...

Конфиг cisco 877 малость урезаный (IP адрес компа который должен ходить в инет 172.16.1.2):

crypto isakmp policy 10
authentication pre-share
crypto isakmp key keypass address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 5
!
!
crypto ipsec transform-set mySet esp-3des esp-sha-hmac
!
crypto ipsec profile myProfile
set security-association lifetime seconds 120
set transform-set mySet
!
!
crypto map myvpn 10 ipsec-isakmp
set peer 83.XX.XXX.1
set transform-set mySet
match address 101
!
archive
log config
  hidekeys
!
!
!
!
!
interface Loopback0
ip address 82.XX.XXX.2 255.255.255.255
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
interface Tunnel0
ip unnumbered Loopback0
!
interface Tunnel1
ip address 10.XX.XXX.3 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication keypass
ip nhrp map multicast dynamic
ip nhrp map multicast 83.XX.XXX.2
ip nhrp map 10.XX.XXX.1 83.XX.XXX.1
ip nhrp network-id 2
ip nhrp nhs 10.XX.XXX.1
ip nhrp nhs 83.XX.XXX.1
tunnel source ATM0.1
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile myProfile
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip unnumbered Loopback0
atm route-bridged ip
pvc 0/35
  encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 11
!
interface FastEthernet2
switchport access vlan 12
!
interface FastEthernet3
switchport access vlan 13
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.1.1 255.255.255.252
ip nat inside
ip virtual-reassembly
!
interface Vlan11
ip address 192.168.15.1 255.255.255.0
!
interface Vlan12
ip address 10.201.107.1 255.255.255.0
!
interface Vlan13
ip address 10.201.207.1 255.255.255.0
!
router eigrp 90
network 10.200.254.0 0.0.0.255
network 10.201.107.0 0.0.0.255
network 10.201.207.0 0.0.0.255
network 192.168.15.0
auto-summary
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 82.151.117.193
ip route 10.200.100.0 255.255.255.0 10.XX.XXX.1
ip route 82.XX.XXX.XXX 255.255.255.255 ATM0.1
!
!
ip nat inside source list 122 interface Loopback0 overload
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 122 deny   ip 172.16.1.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 122 permit ip 172.16.1.0 0.0.0.255 any
no cdp run

ничего не присоветуете?

>ничего не присоветуете?

Прописаны маршруты правильно ??
Опишите все маршруты написанные вами в конфиге ..

>Прописаны маршруты правильно ??
>Опишите все маршруты написанные вами в конфиге ..

в части маршрутов это полный конфиг cisco - я только шапку удалил и всё, а так конфиг полностью актуальный. Всё сто связано с моими локалками и тунелями - оно отлично работает - филиал видит офис, и наоборот - тут всё работает. Не удаётся только добиться того, что бы с филиала выйти в инет через свою циску. Сейчас им приходится идти по каналу до офиса и там выходитьь в инет через сервер офиса.

>>Прописаны маршруты правильно ??
>>Опишите все маршруты написанные вами в конфиге ..
>
>в части маршрутов это полный конфиг cisco - я только шапку удалил
>и всё, а так конфиг полностью актуальный. Всё сто связано с
>моими локалками и тунелями - оно отлично работает - филиал видит
>офис, и наоборот - тут всё работает. Не удаётся только добиться
>того, что бы с филиала выйти в инет через свою циску.
>Сейчас им приходится идти по каналу до офиса и там выходитьь
>в инет через сервер офиса.

interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly (default)
!
interface ATM0
no ip address
ip nat outside
ip virtual-reassembly
no atm ilmi-keepalive
pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer0
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap
!
ip classless (default)
!
ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 0.0.0.255
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
ip route 10.10.25.2 0.255.255.255 dialer 0
Может отсюда чего ..может лупбек не так нужен ?? хотя с туннелем

ip route 0.0.0.0 0.0.0.0 82.151.117.193 - вот это ссылка на прова ..так ?? Это следующий хоп ?

>ip route 0.0.0.0 0.0.0.0 82.151.117.193 - вот это ссылка на прова ..так
>?? Это следующий хоп ?

Да - это шлюз филиала по умолчанию. Маска у была 255.255.255.224 - но когда я Лупбеку прописывал такую маску - провайдер громко ругался, что я работаю от всего диапазона IP в итоге пришлось поставить маску 255.255.255.255. маршрут к шлюзу через ATM0.1 у меня уже был прописан

>Может отсюда чего ..может лупбек не так нужен ?? хотя с туннелем

у меня статический IP адрес. Если лупбек не так, то как по другому. Просто так получилось настроиться и поднять тунель - так и осталось ;-) если я обзову интерфейс BVI1, как тут http://forums.whirlpool.net.au/forum-replies.cfm?t=416210&p=... , неужели что-то кардинально изменится?

>>Может отсюда чего ..может лупбек не так нужен ?? хотя с туннелем
>
>у меня статический IP адрес. Если лупбек не так, то как по
>другому. Просто так получилось настроиться и поднять тунель - так и
>осталось ;-) если я обзову интерфейс BVI1, как тут http://forums.whirlpool.net.au/forum-replies.cfm?t=416210&p=... ,
>неужели что-то кардинально изменится?

А какая сеть должна натиться 172.16 только ? просто у вас несколько вланов с разными сетями ..

>А какая сеть должна натиться 172.16 только ? просто у вас несколько
>вланов с разными сетями ..

Просто уже как только не пробовал. Мне главное что бы хоть что нить натилось - там за циской стоит сервер на freeBSD на котором прокси поднят. Так что мне главное что бы хоть какой нить один IP натился. Сначало пробовал сделать nat для 192.168.15.2 - не получилось. тогда вставил второую сетевую в сервер и решил физически уже с другой сетью работать - так родилась 172.16.1.0 сетка

>>А какая сеть должна натиться 172.16 только ? просто у вас несколько
>>вланов с разными сетями ..
>
>Просто уже как только не пробовал. Мне главное что бы хоть что
>нить натилось - там за циской стоит сервер на freeBSD на
>котором прокси поднят. Так что мне главное что бы хоть какой
>нить один IP натился. Сначало пробовал сделать nat для 192.168.15.2 -
>не получилось. тогда вставил второую сетевую в сервер и решил физически
>уже с другой сетью работать - так родилась 172.16.1.0 сетка

С луппбека поставте на ATM outside. пробовали ?

>С луппбека поставте на ATM outside. пробовали ?

Ваша правда. Перевесил на ATM0.1 сетка 172.16.1.0 вышла в мир. огромное Спасибо

>Ваша правда. Перевесил на ATM0.1 сетка 172.16.1.0 вышла в мир. огромное Спасибо

при этом эта строка не изменилась...
ip nat inside source list 122 interface Loopback0 overload

>ничего не присоветуете?

почему бы вам не воспользоваться этим:
c3825(config-if)#tunnel protection ipsec ?

>почему бы вам не воспользоваться этим:
>c3825(config-if)#tunnel protection ipsec ?

877(config-if)#tunnel protection ipsec ?
% Unrecognized command

c3825(config)#int t0
c3825(config-if)#tunnel mode ipsec ipv4
c3825(config-if)#tunnel protection ipsec profile ?

877(config)#int t0
877(config-if)#tunnel mode ipsec ipv4
877(config-if)#tunnel protection ipsec profile ?

Предварительно сделать keyring,
профили для isakmp и ipsec.