Всем привет!Имею циско 871 и 2 провайдера.
1ый провайдер: белый ИП, отличная скорость, дешевый, но нет внутренних ресурсов.
2ой провайдер: серый ИП (есть белый, но не используеться), скорость в мир не акти, дорогой, но есть бесплатные внутренние ресурсы.Настраиваю циску как шлюз, так чтобы в инет мог ходить через 1го прова, а интру со 2го.
Все получаеться, но только с компов из моей подсети, те кто в одном свитче со мной (2 пров.), а те кто с другой подсети, не могут даже пинговать циску.Сеть 2го прова: 10.0.0.0/8
Помогите, кто сможет, большое спасибо!!!
Вот конфиг:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password 7 ********
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-2936622101
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2936622101
revocation-check none
rsakeypair TP-self-signed-2936622101
!
!
crypto pki certificate chain TP-self-signed-2936622101
certificate self-signed 01
3082024F ...........................
.........
.........
.........
quit
dot11 syslog
ip cef table adjacency-prefix validate
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip domain name yourdomain.com
!
!
!
!
no spanning-tree vlan 1
vtp mode transparent
username admin privilege 15 password 7 ********
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
no shutdown
switchport access vlan 1
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description INET
ip address 94.0.0.85 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description LAN
ip address 10.200.7.250 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip default-gateway 10.200.7.1
ip forward-protocol nd
ip route 10.0.0.0 255.0.0.0 FastEthernet4
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool INET 94.0.0.85 94.0.0.85 netmask 255.255.255.240
ip nat inside source list 1 pool INET overload
!
access-list 1 permit any
no cdp run
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 1 in
privilege level 15
transport input ssh
!
scheduler max-task-time 5000
end
>[оверквотинг удален]
>line con 0
> no modem enable
>line aux 0
>line vty 0 4
> access-class 1 in
> privilege level 15
> transport input ssh
>!
>scheduler max-task-time 5000
>endА как второй провайдер подключен? он я так понимаю в циску не заходит?
можно схемку поподробнее плиз
>А как второй провайдер подключен? он я так понимаю в циску не
>заходит?
>можно схемку поподробнее плиз1ый в FastEthernet4 (WAN порт по умолчанию).
2ой в FastEthernet0.
к FastEthernet0 соответственно привязан Vlan1.
>>А как второй провайдер подключен? он я так понимаю в циску не
>>заходит?
>>можно схемку поподробнее плиз
>
>1ый в FastEthernet4 (WAN порт по умолчанию).
>2ой в FastEthernet0.
>к FastEthernet0 соответственно привязан Vlan1.вот оно как.
Скажи еще какая у тебя в локалке адресация сети?
Я так понимаю адресация твоей локалки должна совпадать с адресацией сети второго прова и никакого НАТ для него не нужно, это так?У тебя:
interface Vlan1
description LAN
ip address 10.200.7.250 255.255.255.0то есть сеть 10.200.7.0/24
а клиентам ты выдаеш:
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
этот диапозон не входит в 10.200.7.0/24
что за роутер 10.10.10.1 ? это шлюз прова?Можно все таки подробнее все это изложить, иначе я из конфига непойму адресацию локалки и прова.
После настройки адресаци тебе нужно, будет запретить в акцесс листе для ната идущие из твоей сети до второго прова пакеты, для этого используй extended акцесс листы а не standard
и думаю вот это убрать нужно:
ip route 10.0.0.0 255.0.0.0 FastEthernet4
В общем нужно поподробней описания схемы адресации, и физического соединения сети
Постораемси помоч
>[оверквотинг удален]
> Я так понимаю адресация твоей локалки должна совпадать с адресацией сети
>второго прова и никакого НАТ для него не нужно, это так?
>
>
> У тебя:
> interface Vlan1
> description LAN
> ip address 10.200.7.250 255.255.255.0
>
> то есть сеть 10.200.7.0/24у меня да, я сам и циска нахожусь в сети 10.200.7.0/24
и все пользователи этой сети видят циску
но есть и другие пользователи, подключенные тоже ко второму прову, но у них
другая сетка,например 10.108.1.0/24 или 10.104.31.0/24>а клиентам ты выдаеш:
> ip dhcp pool sdm-pool
> import all
> network 10.10.10.0 255.255.255.248
> default-router 10.10.10.1
>этот диапозон не входит в 10.200.7.0/24
> что за роутер 10.10.10.1 ? это шлюз прова?тут я ни чо не писал, это по дефолту в циске написано, я ни кому айпишники не выдаю, просто не затер, оно ведь не работает.
>Можно все таки подробнее все это изложить, иначе я из конфига непойму
>адресацию локалки и прова.
>В общем нужно поподробней описания схемы адресации, и физического соединения сети
>Постораемси помочСписибо большое за быстрые ответы.
вот http://kemit.su/image.png ссылка на схему, как смог так нарисовал.т.е. подсети
10.200.7.0/24
10.108.1.0/24
10.104.31.0/24
находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя шлюзы меняют на 10.200.7.250 и у них все должно пахать, но пока только 10.200.7.0/24 подсеть видит этот шлюз.
>[оверквотинг удален]
>
>т.е. подсети
>10.200.7.0/24
>10.108.1.0/24
>10.104.31.0/24
>находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
>
>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>пока только 10.200.7.0/24 подсеть видит этот шлюз.заведите все сети на данный маршрутизатор ...
у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи адреса с разных сеток вашей локалки.
ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не загнеться конечно ...
>[оверквотинг удален]
>>
>>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>>пока только 10.200.7.0/24 подсеть видит этот шлюз.
>
>заведите все сети на данный маршрутизатор ...
>у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи
>адреса с разных сеток вашей локалки.
>ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не
>загнеться конечно ...тоже вариант, если пров не порежет тэги влановские
>заведите все сети на данный маршрутизатор ...
>у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи
>адреса с разных сеток вашей локалки.
>ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не
>загнеться конечно ...не вариант, допустим ИП из свитча сети 10.104.31.0/8 не будет работать на свитче в сети 10.200.7.0/8
провайдер не даст.
у прова тоже свои вланы.
Я понимаю что еслибы вообще разные подсети друг друга не видели, так ведь видят....
>[оверквотинг удален]
>
>т.е. подсети
>10.200.7.0/24
>10.108.1.0/24
>10.104.31.0/24
>находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
>
>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>пока только 10.200.7.0/24 подсеть видит этот шлюз.тогда вам нужно узнать шлюз провайдера который соединяет все эти подсети (он должен быть из 10.200.7.0/24)
и направить маршруты на этот шлюз:
роуты:
no ip route 10.0.0.0 255.0.0.0 FastEthernet4
ip route 10.108.1.0 255.255.255.0 IP-gate-PROV
ip route 10.104.31.0 255.255.255.0 IP-gate-PROVАкцесс лист для нат (только для твоей подсети):
no access-list 1 permit any
no ip nat inside source list 1 pool INET overloadaccess-list 101 deny ip 10.200.7.0 0.0.0.255 10.108.1.0 0.0.0.255
access-list 101 deny ip 10.200.7.0 0.0.0.255 10.104.31.0 0.0.0.255
access-list 101 permit ip 10.200.7.0 0.0.0.255 any
ip nat inside source list 101 pool INET overload
А на шлюзах в других частях города если тоже cisco:
ip route 10.200.7.0 255.255.255.0 IP-gate2-PROV
>тогда вам нужно узнать шлюз провайдера который соединяет все эти подсети (он
>должен быть из 10.200.7.0/24)
>и направить маршруты на этот шлюз:
>
>
>роуты:
> no ip route 10.0.0.0 255.0.0.0 FastEthernet4
> ip route 10.108.1.0 255.255.255.0 IP-gate-PROV
> ip route 10.104.31.0 255.255.255.0 IP-gate-PROVне вижу в этом смысла, так как мне надо направлять на моего прова где хорошая скорость в мир и низкая цена.
> no access-list 1 permit any
> no ip nat inside source list 1 pool INET overload
>
>
> access-list 101 deny ip 10.200.7.0 0.0.0.255 10.108.1.0 0.0.0.255
> access-list 101 deny ip 10.200.7.0 0.0.0.255 10.104.31.0 0.0.0.255
> access-list 101 permit ip 10.200.7.0 0.0.0.255 any
>
> ip nat inside source list 101 pool INET overload
>с этим скорее всего соглашусь, но опять же только для моей подсетки :(
>А на шлюзах в других частях города если тоже cisco:
> ip route 10.200.7.0 255.255.255.0 IP-gate2-PROVмоего оборудования там нет, а к провайдеровскому доступа нет :)
Спасибо ОГРОМНОЕ всем за помощь!!!
Жду еще предложений...
>Жду еще предложений...Значит так. Покупаете сетевую карту за 150 рублей и втыкаете в неё второго провайдера, а в первую сетевую карту втыкаете первого провайдера. И никакая циска не нужна. Пропишите просто на компе пару маршрутов.
Если у вас несколько сетевых устройств, то да, маршрутизатор понадобится. Насколько я помню в 871-ой циске VLAN-ов на свиче нет, поэтому наши возможности ограничены. Лучше всего обоих провайдеров через коммутатор воткнуть во внешний интерфейс циски Fa4, и назначить на Fa4 2 ip-адреса. Соответственно внутренний коммутатор с четырьмя портами и завязанным на них интерфейсом Vlan1 можно использовать для внутренних нужд.
Вот обрывки конфига, которые относятся ко всему вышесказанному:
interface fa4
ip address 94.0.0.85 255.255.255.240
ip address 10.200.7.250 255.255.255.0 secondary
ip nat outsideinterface vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
! тут ваша приватная сеть, адресацию можете выбирать, какая вам нравится, я взял сеть 192.168.0.0/24ip route 0.0.0.0 0.0.0.0 94.0.0.81
! 94.0.0.81 предположительно шлюз вашего первого провайдера, какой он в точности, я не знаю
ip route 10.0.0.0 255.0.0.0 10.200.7.1Ну и конечно надо сделать NAT, даже 2 NAT'а, для Интернета и внутренних ресурсов.
ip nat pool INET 94.0.0.85 94.0.0.85 netmask 255.255.255.240
ip nat inside source list 100 pool INET overload
access-list 100 deny ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any anyip nat pool LOCAL 10.200.7.250 10.200.7.250 netmask 255.255.255.0
ip nat inside source list 101 pool LOCAL overload
access-list 101 permit ip any 10.0.0.0 0.255.255.255
К сожалению, сам я такой изврат с двумя натами ни разу не делал, поэтому не гарантирую, что так заработает :). Возможно, придётся с Route-map'ами позаморачиваться.
Обязательно на внешний интерфейс надо повесить access-list, вида deny any any, чтобы вашим интернетом люди из локальных сетей типа 10.200.7.0/24 не пользовались.
access-list 110 deny ip any any
interface Fa4
ip access-group 110 in
Втыкать и ваш компьютер, и всю локальную сеть в один и тот же внутренний интерфейс (vlan1) я не советую, потому что любой человек из локальной сети сможет, зная ваш адрес, пользоваться вашим интернетом. Конечно можно ограничить доступ acces-list'ом, но опять же, ip-адрес можно подделать (если вы выключите свой компьютер, то любой может пользоваться вашим ip-адресом). Хотя если интернет безлимитный, то такая схема не особо страшна. Всегда можно будет без потерь всё исправить, если будут означенные проблемы, то есть на бабки не попадёте. Правда для этого нужно, чтобы ваш второй провайдер давал вам адресов столько, сколько нужно (из сети 10.200.7.0/24), по крайней мере 2 - для циски и для компьютера.
>Значит так. Покупаете сетевую карту за 150 рублей и втыкаете в неё
>.....
>.....Пробовал на FreeBSD, пришел к тому же что только одна подсеть может лазить...
Буду теперь все это переваривать.
Думаю что тема пока не закрыта.
О результатах отпишу позже.
Всем спасибо!
>Насколько я помню в 871-ой циске VLAN-ов на свиче нет, поэтому наши возможности
>ограничены.В старой прошивке да, а в новой "c870-advsecurityk9-mz.124-15.T6" это исправлено.
Потому думаю должно работать все так.
>[оверквотинг удален]
>Настраиваю циску как шлюз, так чтобы в инет мог ходить через 1го
>прова, а интру со 2го.
>Все получаеться, но только с компов из моей подсети, те кто в
>одном свитче со мной (2 пров.), а те кто с другой
>подсети, не могут даже пинговать циску.
>
>Сеть 2го прова: 10.0.0.0/8
>
>Помогите, кто сможет, большое спасибо!!!
>Ага, значит хождение всех кого ни попадя из локальной сети в ваш Интренет является целью, а не нежелательным последствием :). Тут я однако не сразу понял.
В этом случае на интерфейс Fa4 вешаем провайдера 1, а на интерфейс Vlan1 всех от провайдера 2. Поскольку шлюз может быть только из той же сети, что и компьютер, то напрямую шлюзом циска сможет быть только для сети 10.200.7.0. Если у вас нет доступа к маршрутизаторам второго провайдера (а только во власти этих маршрутизаторов будет перенаправлять пакеты из сетей 10.108.1.0/24 и 10.104.31.0/24 на вашу циску), то остаётся только вариант поднимать L2TP, PPTP или Easy VPN сервер на вашей циске и чтобы все желающие к нему покдлючались.Конфиг будет примерно таким:
interface Fa4
ip address 94.0.0.85 255.255.255.240
ip nat ouside
interface Vlan1
ip address 10.200.7.250 255.255.255.0
ip nat insideip route 0.0.0.0 0.0.0.0 94.0.0.81
ip route 10.0.0.0 255.0.0.0 10.200.7.1ip nat inside source list 1 interface fa4 overload
access-list 1 permit 10.0.0.0 0.255.255.255
Как делать PPTP сервер, не пишу, так как сам его никогда не делал. Про Easy VPN серверу могу проконсультировать, это если выбор таки падёт на него.
>[оверквотинг удален]
>interface Vlan1
> ip address 10.200.7.250 255.255.255.0
> ip nat inside
>
>ip route 0.0.0.0 0.0.0.0 94.0.0.81
>ip route 10.0.0.0 255.0.0.0 10.200.7.1
>
>ip nat inside source list 1 interface fa4 overload
>
>access-list 1 permit 10.0.0.0 0.255.255.255Ну да, все так и есть...
>Как делать PPTP сервер, не пишу, так как сам его никогда не
>делал. Про Easy VPN серверу могу проконсультировать, это если выбор таки
>падёт на него.А тут что первое, что второе мне темный лес, ни когда не делал, даже не знаю теперь, ограничиться тем что есть или идти до конца, но повторюсь что темный лес...
Попробуйте поговорить с провайдером, может он согласиться замаршрутизировать ваши сетки.
Что ему стоит прописать маршруты, помоему не слишком проблемно, но зато никаких VPN городить не нужно будет. Хотя помоему, если пров маршруты не пропишет то вы и vpn не соедините, так как маршрутизаторы доступны не будут, если только через интернет, но он у второго прова вы говорите дорогой и медленный.А если извратиться и попробовать на интерфейсах цисковских для второго прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в других частях города и шлюзом для других частей города указать твой 10.200.7.250, тогда они типа будут в одной сети.
Вообще мне кажется поговорить с провом в любом случае стоит на тему объединения твоих сетей.
>[оверквотинг удален]
>не будут, если только через интернет, но он у второго прова
>вы говорите дорогой и медленный.
>
> А если извратиться и попробовать на интерфейсах цисковских для второго
>прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в
>других частях города и шлюзом для других частей города указать твой
>10.200.7.250, тогда они типа будут в одной сети.
>
> Вообще мне кажется поговорить с провом в любом случае стоит на
>тему объединения твоих сетей.Тут как раз не стоит провайдеру знать про это. Так как я буду его лишать денег, чтоб его абоненты шли в мир не через него (пров2) а его конкурента (пров1).
>[оверквотинг удален]
>>прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в
>>других частях города и шлюзом для других частей города указать твой
>>10.200.7.250, тогда они типа будут в одной сети.
>>
>> Вообще мне кажется поговорить с провом в любом случае стоит на
>>тему объединения твоих сетей.
>
>Тут как раз не стоит провайдеру знать про это. Так как я
>буду его лишать денег, чтоб его абоненты шли в мир не
>через него (пров2) а его конкурента (пров1).:-)
Тогда пробуй маску сети менять на интерфейсах для второго прова на 255.0.0.0 (если сетки забриджованы внутри прова, то мож прокатит), хотя из твоего рисунка-схемы видно что у прова, направленных на тебя интерфейсах маска 255.255.255.0, если это так, то невижу больше выхода. Мож кто что посоветует еще дельное?
>Тогда пробуй маску сети менять на интерфейсах для второго прова на 255.0.0.0
>(если сетки забриджованы внутри прова, то мож прокатит), хотя из твоего
>рисунка-схемы видно что у прова, направленных на тебя интерфейсах маска 255.255.255.0,
>если это так, то невижу больше выхода. Мож кто что посоветует
>еще дельное?А в чём проблема PPTP-сервер поднять? Не думаю, что это сложно. При этом на компы не надо будет ставить никакого дополнительного программного обеспечения, так как винда изначально умеет быть PPTP-клиентом. Многие провайдеры этим пользуются и раздают Интернет через PPTP.
Если компов очень уж много и неохота на всех них настраивать подключение, то можно в каждую из удалённых сетей поставить по маршрутизатору и поднять простейший GRE-туннель с вашей 871-ой циской.Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :) Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров сети и с маской /21, и /20, и даже /16.
>[оверквотинг удален]
>так как винда изначально умеет быть PPTP-клиентом. Многие провайдеры этим пользуются
>и раздают Интернет через PPTP.
>Если компов очень уж много и неохота на всех них настраивать подключение,
>то можно в каждую из удалённых сетей поставить по маршрутизатору и
>поднять простейший GRE-туннель с вашей 871-ой циской.
>
>Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :)
>Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и
>проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров
>сети и с маской /21, и /20, и даже /16.Так а как ты подцепишся по PPtP по внутренней сетке прова №2 ? только через инет, а он как говорилось:
"2ой провайдер: серый ИП (есть белый, но не используеться), скорость в мир не акти, дорогой"
Да и смысл тогда раздавать инет от первого прова, если он пойдет как инет второго + инет первого
>
> Так а как ты подцепишся по PPtP по внутренней сетке прова
>№2 ? только через инет, а он как говорилось:
> "2ой провайдер: серый ИП (есть белый, но не используеться),
>скорость в мир не акти, дорогой"
>Да и смысл тогда раздавать инет от первого прова, если он пойдет
>как инет второго + инет первогоЗачем через Интернет? Через внутреннюю сеть второго провайдера. Я так понимаю, из сетей
10.104.31.0/24 и 10.108.1.0/24 есть доступ к адресу 10.200.7.250. Просто сети разные, поэтому надо поднимать туннель, чтобы не зависеть от маршрутизаторов второго провайдера и их настройки.
О, вот вам ещё вариант - proxy-server, если конечно ваша циска его поддерживает. Но с этим связан определённый гемор, так как придётся этот прокси-сервер настраивать в каждом приложении, которое хочет интернет (интернет эксплорер, icq и пр.)
http://darksid.blog.ru/8203475.html
А вот хорошая ссылочка, как делать PPTP-сервер, сам только что по этому примеру сделал. Работает.
В вашем случае будет примерно так:username pptp password FFFFFFFFFFFFFFFFFF#Создаём локального пользователя для авторизации
vpdn enable#Включаем virtual private dialup network
!
vpdn-group 1#Создаём группу
accept-dialin#Указываем что будет входящее подключение
protocol pptp#Типа протокол
virtual-template 1#С каким шаблоном ассоциировать группу
interface Virtual-Template1#Создаём шаблон
ip address 192.168.10.1 255.255.255.0#Создаём виртуальную сеть, в которой будут крутиться все ваши PPTP-клиенты
ip nat inside#это чтобы интернет им раздавать
no keepalive
peer default ip address pool pptp_pool#Из какого пула выдавать адреса для этого подключения
ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
!
ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов
>[оверквотинг удален]
> ip nat inside#это чтобы интернет им раздавать
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресовХорошо, спасибо еще раз, буду пробовать седня.
>[оверквотинг удален]
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация >только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов
>Хорошо, спасибо еще раз, буду пробовать седня.
Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
А из других, даже пинга нет.
Меня смущает такой момент...пишу...
ip default-gateway 10.200.7.1
это шлюз для этой сетки.
вообще работает ли это, когда прописываешь?
такое ощущение что нет.
>[оверквотинг удален]
>Хорошо, спасибо еще раз, буду пробовать седня.
>
>
>Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
>А из других, даже пинга нет.
>Меня смущает такой момент...пишу...
>ip default-gateway 10.200.7.1
>это шлюз для этой сетки.
>вообще работает ли это, когда прописываешь?
>такое ощущение что нет.ip route 0.0.0.0 0.0.0.0 10.200.7.1
>
>Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
>А из других, даже пинга нет.
>Меня смущает такой момент...пишу...
>ip default-gateway 10.200.7.1
>это шлюз для этой сетки.
>вообще работает ли это, когда прописываешь?
>такое ощущение что нет.Default gateway у тебя же шлюз первого провайдера для выхода в Интернет. Для доступа к сетям второго провайдера пропиши:
ip route 10.0.0.0 255.0.0.0 10.200.7.12 шлюза по умолчанию, боюсь, иметь не получится :)
>Default gateway у тебя же шлюз первого провайдера для выхода в Интернет.
>Для доступа к сетям второго провайдера пропиши:
>ip route 10.0.0.0 255.0.0.0 10.200.7.1
>
>2 шлюза по умолчанию, боюсь, иметь не получится :)понятно, 2 не получиться. Попробую так сделать, но чот кажеться что ip route не поможет.
и вообще можно ли на влан прописать шлюз или в общем на циску. Ведь придеться на нее выходить, даже из сети 10.0.0.0./8
>[оверквотинг удален]
> ip nat inside#это чтобы интернет им раздавать
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресовВсе получилось, работает!!!
Пинг проходит и соответственно подключение по VPN тоже, из других подсетей.
Спасибо всем ОГРОМНОЕ, особое спасибо vnn!!!
Тема закрыта!!!
>Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :)
>Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и
>проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров
>сети и с маской /21, и /20, и даже /16.сетка прова разделена на вланы, так проще искать злоумышленников и тп, и тех кто вирусует.
это для того чтобы не весь город падал, а дом или два.
может я повторяюсь, но тем не менее..
вопрос 1-й
пингуется ли циска (10.200.7.250) из других подсетей, а она должна пинговаться
вопрос 2-й
что является шлюзом для компов, подключенных к маршрутизатору, который стоит рядом с циской
вопрос 3-й -риторический )
для компов из других сетей шлюзом по умолчанию являются соответствующие роутеры
вопрос 4-й
интернет от второго прова идет через один маршрутизатор или с каждого машрутизатора прямой доступ в нет
>может я повторяюсь, но тем не менее..
>вопрос 1-й
>пингуется ли циска (10.200.7.250) из других подсетей, а она должна пинговатьсянет не пингуется
>вопрос 2-й
>что является шлюзом для компов, подключенных к маршрутизатору, который стоит рядом с
>цискойшлюзом в каждой сети служит адрес сети с "1" на конце (10.200.0.0/24 - 10.200.0.1)
>вопрос 3-й -риторический )
>для компов из других сетей шлюзом по умолчанию являются соответствующие роутерыответ в вопросе 2
>вопрос 4-й
>интернет от второго прова идет через один маршрутизатор или с каждого машрутизатора
>прямой доступ в неткаждый в конечном итоге завязывается на узле, в каждом доме стоит свой.