hi All,Сразу скажу, что я не админ и с cisco имею дело первый раз. Прошу сильно не пинать, если что ....
Имеется в наличии такой девайс:
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.5(3)M2, RELEASE SOFTWARE (fc1)Роутер подключен к интернету через 3g модем со статическим ip.
Настроен vl1 с адресом 10.10.10.1 (Сеть 10.10.10.0/24).
Так же настроен "easy vpn"К fa1 порту подключено устройство (контроллер). Устройство имеет статический ip 10.10.10.5
Пробовал 2 варианта доступа к контроллеру (10.10.10.5):
1. "проброс порта" с внешнего статического ip на ip устройства. подключиться к устройству не получилось, хотя при этом sh nat trans показывает, что "входящий" запрос пришел и правильно "смэппился"2. подключение через easy vpn. При этом vl1 (10.10.10.1) - пингуется, а контроллер (10.10.10.5) - нет
Если нужна какая-то доп. информация - предоставлю.
Заранее благодарен, если кто-то сможет помочь.
а контроллер из локальной сети то виден? доступен?
> а контроллер из локальной сети то виден? доступен?Да, само-собой. Из "роутерного" терминала контроллер и пингуется, и телнетом к нему можно подключиться.
acl листы смотреть надо
> acl листы смотреть надоsh ip access-lists
Standard IP access list 23
10 permit 10.10.10.0, wildcard bits 0.0.0.127
20 permit any (1041 matches)
Extended IP access list 110
10 permit ip 10.10.10.0 0.0.0.255 any
Extended IP access list nat-list
10 permit ip object-group local_lan_subnets any
20 deny ip any any
>> acl листы смотреть надо
> sh ip access-lists
> Standard IP access list 23
> 10 permit 10.10.10.0, wildcard bits 0.0.0.127
> 20 permit any (1041 matches)
> Extended IP access list 110
> 10 permit ip 10.10.10.0 0.0.0.255 any
> Extended IP access list nat-list
> 10 permit ip object-group local_lan_subnets any
> 20 deny ip any any- Штурман, приборы!
- 58
- Что 58?
- А что приборы?!Куда эти ACL назначены и как?
> Куда эти ACL назначены и как?crypto isakmp client configuration group ********-GROUP
key *************
dns 10.10.10.10
wins 10.10.10.20
pool VPN-POOL
acl 110
include-local-lan........
ip local pool VPN-POOL 192.168.0.20 192.168.0.21
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000............
line vty 0 4
access-class 23 in
privilege level 15
login authentication local_access
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh.............
ip dns server
ip nat inside source list nat-list interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
Таблица роутинга до кучи:S* 0.0.0.0/0 is directly connected, Dialer1
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.10.0/24 is directly connected, Vlan1
L 10.10.10.1/32 is directly connected, Vlan1
XX.0.0.0/32 is subnetted, 1 subnets
C XX.YY.15.141 is directly connected, Dialer1
58? Приборы?
> 58? Приборы?Да покажи уже полный конфиг :)
пароли убери для реальный IP замени на x.x.x.x
>> acl листы смотреть надо
> sh ip access-lists
> Standard IP access list 23
> 10 permit 10.10.10.0, wildcard bits 0.0.0.127
> 20 permit any (1041 matches)
> Extended IP access list 110
> 10 permit ip 10.10.10.0 0.0.0.255 anyА чего не указать вместо any правильную сеть?
> Extended IP access list nat-list
> 10 permit ip object-group local_lan_subnets any
> 20 deny ip any anyа здесь исключить из nat трафик, который в vpn уходит
шлюз на контроллере настроен? какой?
на самом контроллере нет ограничения по тому, с каких IP на него можно заходить?
> шлюз на контроллере настроен? какой?10.10.10.1
> на самом контроллере нет ограничения по тому, с каких IP на него
> можно заходить?нет