Доброго весеннего дня!)
Есть циска, есть подключенные компы. С компов в инет пакеты не ходят, с циски всё пингуется и она сама из интернета тоже. Ниже прилагаю конфиг и надеюсь, что кто-нибудь поможет :)
----
no aaa new-model
!
resource policy
!
clock timezone Moscow 4
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name yourdomain.com
ip name-server 91.197.11.10
ip name-server 8.8.8.8
ip ssh time-out 60
ip ssh authentication-retries 2
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description UPLINK from ****
ip address 91.197.*.150 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description VLAN1 192.168.70.0/24
ip address 192.168.70.1 255.255.255.0
ip access-group 1 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 91.197.*.120
!
no ip http server
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet4 overload
ip dns server
!
logging trap debugging
access-list 1 permit 192.168.70.0 0.0.0.255
no cdp run
!
control-plane
-----
Самое удивительное, что раньше этот конфиг работал, а сейчас перестал.
Заранее большое спасибо!
С циски, если поставить сорсом vlan1 пинг идет?
> С циски, если поставить сорсом vlan1 пинг идет?VolanD, пожалуйста подскажите, как его поставить сорсом/источником? И что пинговать?
Простите, но в цисках не сильно силен.
> С циски, если поставить сорсом vlan1 пинг идет?ping ya.ru source vlan1 - вы это имеете ввиду?
>> С циски, если поставить сорсом vlan1 пинг идет?
> ping ya.ru source vlan1 - вы это имеете ввиду?ping 8.8.8.8 sou 192.168.70.1
>>> С циски, если поставить сорсом vlan1 пинг идет?
>> ping ya.ru source vlan1 - вы это имеете ввиду?
> ping 8.8.8.8 sou 192.168.70.1Пингается:
ping ya.ru source 192.168.70.1
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/12 ms
>>>> С циски, если поставить сорсом vlan1 пинг идет?
>>> ping ya.ru source vlan1 - вы это имеете ввиду?
>> ping 8.8.8.8 sou 192.168.70.1
> Пингается:
> ping ya.ru source 192.168.70.1
> Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/12 msЗначит НАТ отрабатывает. Компьютеры точно в этой же подсети: 192.168.70.1 ? Компьютеры шлюз пингуют? Трассировка где останавливается? nslookup с ПК? Если на ПК ДНСом 8ки поставить?
>>>>> С циски, если поставить сорсом vlan1 пинг идет?
>>>> ping ya.ru source vlan1 - вы это имеете ввиду?
>>> ping 8.8.8.8 sou 192.168.70.1
>> Пингается:
>> ping ya.ru source 192.168.70.1
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/12 ms
> Значит НАТ отрабатывает. Компьютеры точно в этой же подсети: 192.168.70.1 ? Компьютеры
> шлюз пингуют? Трассировка где останавливается? nslookup с ПК? Если на ПК
> ДНСом 8ки поставить?sh ip nat tra
sh ip nat sta
> sh ip nat tra
> sh ip nat stavld-cisco#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
tcp 91.197.10.150:49362 192.168.70.93:49362 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49364 192.168.70.93:49364 213.180.204.55:443 213.180.204.55:443
Pro Inside global Inside local Outside local Outside global
tcp 91.197.10.150:49387 192.168.70.93:49387 78.47.117.227:443 78.47.117.227:443
tcp 91.197.10.150:3335 192.168.70.130:3389 --- ---
tcp 91.197.10.150:3333 192.168.70.133:3389 --- ---
___
vld-cisco#sh ip nat sta
Total active translations: 64 (2 static, 62 dynamic; 64 extended)
Outside interfaces:
FastEthernet4
Inside interfaces:
Vlan1
Hits: 5487 Misses: 137
CEF Translated packets: 5432, CEF Punted packets: 335
Expired translations: 163
Dynamic mappings:
-- Inside Source
[Id: 2] access-list nat_clients interface FastEthernet4 refcount 62
Queued Packets: 0
>>>>> С циски, если поставить сорсом vlan1 пинг идет?
>>>> ping ya.ru source vlan1 - вы это имеете ввиду?
>>> ping 8.8.8.8 sou 192.168.70.1
>> Пингается:
>> ping ya.ru source 192.168.70.1
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/12 ms
> Значит НАТ отрабатывает. Компьютеры точно в этой же подсети: 192.168.70.1 ? Компьютеры
> шлюз пингуют? Трассировка где останавливается? nslookup с ПК? Если на ПК
> ДНСом 8ки поставить?Абсолютно точно, в этой же сети, например ип .70.220, маска .0, шлюз .70.1
Шлюз не пингуется. Трейс проваливается сразу. ДНС гугла, да.
>[оверквотинг удален]
> ip dns server
> !
> logging trap debugging
> access-list 1 permit 192.168.70.0 0.0.0.255
> no cdp run
> !
> control-plane
> -----
> Самое удивительное, что раньше этот конфиг работал, а сейчас перестал.
> Заранее большое спасибо!1. Убрать ip access-group 1 in. В вашем случае бесполезная строчка.
2. sh ip nat tran
3. tracert 8.8.8.8 с какого-нибудь компа в локалке. Достаточно первых 3-5 хопов, не нужно вываливать полную трассу.
4. Попробуйте переделать NAT с interface overload на ip pool.
5. На всякий случай посмотрите дебаг ната. Что там вообще с NAT происходит.
>[оверквотинг удален]
>> !
>> logging trap debugging
>> access-list 1 permit 192.168.70.0 0.0.0.255
>> no cdp run
>> !
>> control-plane
>> -----
>> Самое удивительное, что раньше этот конфиг работал, а сейчас перестал.
>> Заранее большое спасибо!
> 1. Убрать ip access-group 1 in. В вашем случае бесполезная строчка.убрал.
> 2. sh ip nat tranговорит:
Pro Inside global Inside local Outside local Outside global
tcp 91.197.10.150:49362 192.168.70.93:49362 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49364 192.168.70.93:49364 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49365 192.168.70.93:49365 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49366 192.168.70.93:49366 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49367 192.168.70.93:49367 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49368 192.168.70.93:49368 213.180.204.55:443 213.180.204.55:443
tcp 91.197.10.150:49373 192.168.70.93:49373 93.158.134.25:443 93.158.134.25:443
tcp 91.197.10.150:49375 192.168.70.93:49375 62.76.100.4:443 62.76.100.4:443
и еще строчки есть..
> 3. tracert 8.8.8.8 с какого-нибудь компа в локалке. Достаточно первых 3-5 хопов,
> не нужно вываливать полную трассу.трейса нет, пинга до циски тоже нет.
> 4. Попробуйте переделать NAT с interface overload на ip pool.Не понял, а как полностью команда?
vld-cisco(config)#$de source list nat_clients interface fastEthernet 4 ?
overload Overload an address translation
reversible Allow out->in traffic
vrf Specify vrf
<cr>
> 5. На всякий случай посмотрите дебаг ната. Что там вообще с NAT
> происходит.как это сделать?
конфиг сейчас такой, http://www.opennet.me/openforum/vsluhforumID6/1638.html#10
> ip nat inside source list 1 interface FastEthernet4 overload
> access-list 1 permit 192.168.70.0 0.0.0.255попробуй аксес-лист на extended поменять:
ip nat inside source list nat_clients interface FastEthernet4 overload
!
ip access-list extended nat_clients
deny ip any 10.0.0.0 0.255.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 169.254.0.0 0.0.255.255
permit ip 192.168.70.0 0.0.0.255 any
!> ip dns server
Не используй DNS на кисе, оно там сделано "для галочки" и работает кое-как
кстати, пинги с компов по имени делаешь или по IP? а то может DNS не работает а не НАТ?
> Самое удивительное, что раньше этот конфиг работал, а сейчас перестал.
Это тут на форуме любимое выражение
>> ip nat inside source list 1 interface FastEthernet4 overload
>> access-list 1 permit 192.168.70.0 0.0.0.255
> попробуй аксес-лист на extended поменять:попробовал, получилось так:
no aaa new-model
!
resource policy
!
clock timezone Moscow 4
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name yourdomain.com
ip name-server 91.197.11.10
ip name-server 8.8.8.8
ip ssh time-out 60
ip ssh authentication-retries 2
!
<...>
interface FastEthernet4
description UPLINK from **
ip address 91.197.*.150 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description VLAN1 192.168.70.0/24
ip address 192.168.70.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 91.197.*.120
!
no ip http server
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list nat_clients interface FastEthernet4 overload
!
ip access-list extended nat_clients
permit ip 192.168.70.0 0.0.0.255 any
!
logging trap debugging
no cdp run
!
control-plane
НО! С компов за циской пинг до 192.168.70.1 нет, трейс и тем более.
С циски инет пингуется и пинг сурс 192.168.70.1 тоже проходит.>> ip dns server
убрал
> кстати, пинги с компов по имени делаешь или по IP? а то
> может DNS не работает а не НАТ?и так, и так - не проходит, на компах днс провайдерский и гугла.
Между компами и циской что стоит?
> Между компами и циской что стоит?И какая модель циски???
судя по выводу sh ip nat tra нат у вас работает....Убираете НАТ и ACL на обоих интерфейсах (и fast4 и vlan1), и с компа внутри сети пангаете 192.168.70.1 и 91.197.10.150
Если пингаются оба - будем ехать дальше, если не пингается один из них - пишете какой....
Кстати - шлюз точно на компах прописан????и arp -a - МАС для 192.168.70.1 совпадает с MAC-ом циски????
>> Между компами и циской что стоит?
> И какая модель циски???
> судя по выводу sh ip nat tra нат у вас работает....
> Убираете НАТ и ACL на обоих интерфейсах (и fast4 и vlan1), и
> с компа внутри сети пангаете 192.168.70.1 и 91.197.10.150
> Если пингаются оба - будем ехать дальше, если не пингается один из
> них - пишете какой....
> Кстати - шлюз точно на компах прописан????
> и arp -a - МАС для 192.168.70.1 совпадает с MAC-ом циски????Трансляции же создаются, значит АРП и маршрутизация отрабатывает.
>> Между компами и циской что стоит?
> И какая модель циски???
> судя по выводу sh ip nat tra нат у вас работает....
> Убираете НАТ и ACL на обоих интерфейсах (и fast4 и vlan1),нат убрал, правильно(?):
interface FastEthernet4
description UPLINK from GPInternet
ip address 91.197.10.150 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description VLAN1 192.168.70.0/24
ip address 192.168.70.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452а ацл убирать, вот этот, вы имеете ввиду(?):
ip nat inside source list nat_clients interface FastEthernet4 overload
!
ip access-list extended nat_clients
permit ip 192.168.70.0 0.0.0.255 any
!> с компа внутри сети пангаете 192.168.70.1 и 91.197.10.150
наты убрал, ацл остался висеть
ничего из этого не пинаегтся> Если пингаются оба - будем ехать дальше, если не пингается один из
> них - пишете какой....
> Кстати - шлюз точно на компах прописан????конечно, прописан:
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family
Физический адрес. . . . . . . . . : 60-A4-4C-AF-71-30
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.70.220(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.70.1
DNS-серверы. . . . . . . . . . . : 8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен> и arp -a - МАС для 192.168.70.1 совпадает с MAC-ом циски????
арпа не видно, только маки соседних компов:
C:\Users\tolyanich>arp -aИнтерфейс: 192.168.70.220 --- 0xb
адрес в Интернете Физический адрес Тип
192.168.70.4 00-21-91-f2-1a-ed динамический
192.168.70.108 60-a4-4c-ae-93-39 динамический
192.168.70.125 90-2b-34-58-20-eb динамический
192.168.70.130 00-30-48-f7-2c-db динамический
192.168.70.255 ff-ff-ff-ff-ff-ff статический
>[оверквотинг удален]
> 192.168.70.4
> 00-21-91-f2-1a-ed динамический
> 192.168.70.108 60-a4-4c-ae-93-39
> динамический
> 192.168.70.125 90-2b-34-58-20-eb
> динамический
> 192.168.70.130 00-30-48-f7-2c-db
> динамический
> 192.168.70.255 ff-ff-ff-ff-ff-ff
> статическийНу так вот вам и ответ ;)
КАКАЯ МОДЕЛЬ ЦИСКИ!!!!!!
Вполне возможно что вам на фаст0-3 надо
switchport
switchport mode access
switchport access vlan 1добавить.
>[оверквотинг удален]
>> динамический
>> 192.168.70.255 ff-ff-ff-ff-ff-ff
>> статический
> Ну так вот вам и ответ ;)
> КАКАЯ МОДЕЛЬ ЦИСКИ!!!!!!
> Вполне возможно что вам на фаст0-3 надо
> switchport
> switchport mode access
> switchport access vlan 1
> добавить.cisco871
вы меня будете, наверно, пинать ногами, но тут снизу посоветовали напрямую воткнуться в порт циски комп и таким образом циска запинговалась, инета нет, но это видимо потому что снесли НАТы?
>[оверквотинг удален]
>> динамический
>> 192.168.70.255 ff-ff-ff-ff-ff-ff
>> статический
> Ну так вот вам и ответ ;)
> КАКАЯ МОДЕЛЬ ЦИСКИ!!!!!!
> Вполне возможно что вам на фаст0-3 надо
> switchport
> switchport mode access
> switchport access vlan 1
> добавить.АРПа нет, вероятно потому что трафика не шло. По идее те порты по дефолту в 1ом влане, но жестко выставить акцесс, это стоит канеш.
> Между компами и циской что стоит?dgs1224t
но он с НЕ циской нормально работает :)
>> Между компами и циской что стоит?
> dgs1224t
> но он с НЕ циской нормально работает :)Если комп напрямую воткнуть в циску, в свичевый порт?
>>> Между компами и циской что стоит?
>> dgs1224t
>> но он с НЕ циской нормально работает :)
> Если комп напрямую воткнуть в циску, в свичевый порт?надо попробовать...
>>>> Между компами и циской что стоит?
>>> dgs1224t
>>> но он с НЕ циской нормально работает :)
>> Если комп напрямую воткнуть в циску, в свичевый порт?
> надо попробовать...циска запинговалась! не понял!!? что это значит, тогда?
>>>>> Между компами и циской что стоит?
>>>> dgs1224t
>>>> но он с НЕ циской нормально работает :)
>>> Если комп напрямую воткнуть в циску, в свичевый порт?
>> надо попробовать...
> циска запинговалась! не понял!!? что это значит, тогда?Верните НАТ обратно не вынимая компа из циски и разбирайтесь с настройками длинка %)
>>>>> Между компами и циской что стоит?
>>>> dgs1224t
>>>> но он с НЕ циской нормально работает :)
>>> Если комп напрямую воткнуть в циску, в свичевый порт?
>> надо попробовать...
> циска запинговалась! не понял!!? что это значит, тогда?Значит смотрите настройки коммутатора
Канеш скорее всего бред, а пров не может по ttl трафик резать?Поправка:
Увидел что циска не пингуется :(
> Канеш скорее всего бред, а пров не может по ttl трафик резать?
> Поправка:
> Увидел что циска не пингуется :(может быть у вас проблема с самим оборудованием? не пробовали обратиться к поставщику???
>> Канеш скорее всего бред, а пров не может по ttl трафик резать?
>> Поправка:
>> Увидел что циска не пингуется :(
> может быть у вас проблема с самим оборудованием? не пробовали обратиться к
> поставщику???а что поставщик? вы думаете поставщиком волнуют проблемы, которые возникают у их клиентов??