Привет Всем!
Есть циско 7500 серии настроенна как сервер PPtP есть два интерфейса один внутренний другой внешний.Внешний смотрит в инет.Внутрений-к нему подключаются клиенты по пптп.Как назначить внешний ип внутреннему клиенту?Вот конфиг:
Router#show run
Building configuration...Current configuration : 2172 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service single-slot-reload-enable
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxv$Whxxxxxxxxxxxx
enable password 7xxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
ip subnet-zero
!
!
ip domain name ktn_router
ip name-server xx.xxx.xx.10
ip name-server xx.xxx.xx.10
!
ip cef
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
!
!
!
!
!
!
!
!
!
!
!
!
!
username admin password 7 xxxxxxxxxxxxxxxxxxxxxxxx
!
!
no ip rcmd domain-lookup
!
!
!
!
interface FastEthernet0/0/0
description FOR_CLIENTS
ip address xxx.1.0.1 255.255.255.0 secondary
ip address xxx.0.0.1 255.255.255.0
no ip redirects
ip nat outside
full-duplex
pppoe enable
!
interface FastEthernet0/1/0
description INTERNET
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache cef
half-duplex
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0/0
ip mtu 1492
ip nat inside
autodetect encapsulation ppp
ppp authentication chap pap callin
!
ip nat inside source list 4 interface FastEthernet0/1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.16x
no ip http server
no ip http secure-server
!
!
ip radius source-interface FastEthernet0/1/0
access-list 4 permit 10.100.0.0 0.0.0.255
access-list 4 permit xxx.xxx.x35.0 0.0.0.255
access-list 60 permit xxx.xxx.xxx.16x
!
snmp-server community $sg&hHfL3*gh RW 60
!
!
radius-server configure-nas
radius-server host xxx.xxx.xxx.xx4 auth-port 1812 acct-port 1813 key 7 13544541
radius-server timeout 30
radius-server key 7 101F5B4A
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
Наверное назначать и маршрутизировать... (выделить сеть минимум из 4х адресов - сетевой, цискин, клента и бродкаст)
>Привет Всем!
>Как назначить внешний ип внутреннему клиенту?для pptp соединения ?
или сделать "внешний ip" <=> "внутренний ip"
>>Привет Всем!
>>Как назначить внешний ип внутреннему клиенту?
>
>для pptp соединения ?
>или сделать "внешний ip" <=> "внутренний ip"Совершенно верно ,для pptp соединения назначить внешний ип?
Вообще по радиус сервер назначает внешний ип а вот циско вроде как непускает его во вне ...
не пингуется из вне .... а на циске вроде как пингует его .... access list прописан что еще неоюходимо пожскажите плиз......
>Вообще по радиус сервер назначает внешний ип а вот циско вроде как
>непускает его во вне ...
>не пингуется из вне .... а на циске вроде как пингует его
>.... access list прописан что еще неоюходимо пожскажите плиз......видимо проблема зарыта с приходом пакетов "извне" на циску, роут есть
"извне" ? или же какие адреса выдаются ? список в студию ...
>
>>Вообще по радиус сервер назначает внешний ип а вот циско вроде как
>>непускает его во вне ...
>>не пингуется из вне .... а на циске вроде как пингует его
>>.... access list прописан что еще неоюходимо пожскажите плиз......
>
>видимо проблема зарыта с приходом пакетов "извне" на циску, роут есть
>"извне" ? или же какие адреса выдаются ? список в студию ...
>ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.16x вот единственный роут... ип xxx.xxx.xxx.16x является шлюзом у вышестоящего прова.сотрите конфиг выше.
>[оверквотинг удален]
>>>непускает его во вне ...
>>>не пингуется из вне .... а на циске вроде как пингует его
>>>.... access list прописан что еще неоюходимо пожскажите плиз......
>>
>>видимо проблема зарыта с приходом пакетов "извне" на циску, роут есть
>>"извне" ? или же какие адреса выдаются ? список в студию ...
>>
>
>ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.16x вот единственный роут... ип xxx.xxx.xxx.16x является
>шлюзом у вышестоящего прова.смотрите конфиг выше.Как тогда сделать роут из вне ? ип который выдается 123.333.444.170 шлюз вышестоящего прова 123.333.444.161 .
>[оверквотинг удален]
>>>
>>>видимо проблема зарыта с приходом пакетов "извне" на циску, роут есть
>>>"извне" ? или же какие адреса выдаются ? список в студию ...
>>>
>>
>>ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.16x вот единственный роут... ип xxx.xxx.xxx.16x является
>>шлюзом у вышестоящего прова.смотрите конфиг выше.
>
>Как тогда сделать роут из вне ? ип который выдается 123.333.444.170 шлюз
>вышестоящего прова 123.333.444.161 .Выручите плиз срочно надо проблему решить.....
Ты клиенту адрес как назначешь? из сети которую на тебя маршрутизируют? - откуда взял эти адреса и почему именно их выдаешь?покажи трассировку с клиента во вне.
>Ты клиенту адрес как назначешь? из сети которую на тебя маршрутизируют? -
>откуда взял эти адреса и почему именно их выдаешь?
>
>покажи трассировку с клиента во вне.Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.C:\Users\Home>tracert mail.ru
Трассировка маршрута к mail.ru [217.69.128.41]
с максимальным числом прыжков 30:1 3 ms 2 ms 2 ms 10.0.0.1 - внутренний интерфейс cisco
2 9 ms 8 ms 9 ms xx.xxx.xxx.161 - шлюз вышестоящего оператора
3 14 ms 4 ms 4 ms xx.xxx.x.113
4 7 ms 6 ms 6 ms 91.185.5.237
5 24 ms 19 ms 18 ms clk01.transtelecom.net [217.150.46.138]
6 47 ms 48 ms 49 ms TTK-lgw.Moscow.gldn.net [194.186.0.193]
7 58 ms 48 ms 56 ms cat01.Moscow.gldn.net [194.186.158.110]
8 50 ms 48 ms 48 ms mailru-KK12-1-gw.Moscow.gldn.net [195.239.8.10]9 45 ms 44 ms 46 ms mail.ru [217.69.128.41]
Трассировка завершена.
>[оверквотинг удален]
>ms 49 ms TTK-lgw.Moscow.gldn.net [194.186.0.193]
> 7 58 ms 48
>ms 56 ms cat01.Moscow.gldn.net [194.186.158.110]
> 8 50 ms 48
>ms 48 ms mailru-KK12-1-gw.Moscow.gldn.net [195.239.8.10]
>
> 9 45 ms 44
>ms 46 ms mail.ru [217.69.128.41]
>
>Трассировка завершена.Клиенту назначаю ип по радиусу (lanbilling 1/9),да из сети вышестоящего прова.Почему иммено эти - провайдер который вышестоящий выдал нам пул адрессов,у клиента появилась необходимость во нешнем ип вот поэтомуи назначаем :-)
>[оверквотинг удален]
>ms 49 ms TTK-lgw.Moscow.gldn.net [194.186.0.193]
> 7 58 ms 48
>ms 56 ms cat01.Moscow.gldn.net [194.186.158.110]
> 8 50 ms 48
>ms 48 ms mailru-KK12-1-gw.Moscow.gldn.net [195.239.8.10]
>
> 9 45 ms 44
>ms 46 ms mail.ru [217.69.128.41]
>
>Трассировка завершена.Клиенту назначаю ип по радиусу (lanbilling 1/9),да из сети вышестоящего прова.Почему иммено эти - провайдер который вышестоящий выдал нам пул адрессов,у клиента появилась необходимость во нешнем ип вот поэтомуи назначаем :-)
Хорошо, а с внешним адресом как трасируется?Адрес шлюза клиенту тот же назначаешь?
>Хорошо, а с внешним адресом как трасируется? - откуда из вне?
>
>Адрес шлюза клиенту тот же назначаешь?- да xx.xxx.xxx.161
>>Хорошо, а с внешним адресом как трасируется? - откуда из вне?
>>
>>Адрес шлюза клиенту тот же назначаешь?- да xx.xxx.xxx.161А вот и нет :)
Ты же давал клиенту адрес 10.0.0.1
>C:\Users\Home>tracert mail.ru
>Трассировка маршрута к mail.ru [217.69.128.41]
>с максимальным числом прыжков 30:
> 1 3 ms 2 ms 2 ms 10.0.0.1 - внутренний интерфейс cisco
> 2 9 ms 8 ms 9 ms xx.xxx.xxx.161 - шлюз вышестоящего оператораИ как по твоему клиент будучи подключен к твоему роутеру (10.0.0.1) должен найти с помощью arp шлюз xx.xxx.xxx.161?
Отдавай клиенту шлюз 10.0.0.1 и будет тебе счастье.
Еще лучше если ты своему рутеру даш адрес из тойже сети что и адрес клиентский.Я же правильно понимаю что провайдер отдал тебе сеть и маршрутизирует ее на тебя? или вы proxy-arp хотите?
>[оверквотинг удален]
>
>И как по твоему клиент будучи подключен к твоему роутеру (10.0.0.1) должен
>найти с помощью arp шлюз xx.xxx.xxx.161?
>
>Отдавай клиенту шлюз 10.0.0.1 и будет тебе счастье.
>Еще лучше если ты своему рутеру даш адрес из тойже сети что
>и адрес клиентский.
>
>Я же правильно понимаю что провайдер отдал тебе сеть и маршрутизирует ее
>на тебя? или вы proxy-arp хотите?Ты немного не понял на машине клиента адресс 10.0.0.24 с тойже сети что и внутренний интерфейс циски на сетевухе, а впн-у присваивается XX.xxx.xxx.170 внешний ип ,шлюз по умолчанию xx.xxx.xxx.161 который прописан на cisco.Пробывал 10.0.0.1 непомогает. Короче клиент подключаетя ему выдается ип внешний инет есть у него все вроде бы ок но, начинаешь его пинговать с инета он непингуется .И при выходе с этого компа на сайт 2ip.ru ип показывает внешнего интерфейса циски .Вчем дело?
>Ты немного не понял на машине клиента адресс 10.0.0.24 с тойже
>сети что и внутренний интерфейс циски на сетевухе, а впн-у присваивается
>XX.xxx.xxx.170 внешний ип ,шлюз по умолчанию xx.xxx.xxx.161 который прописан на cisco.Пробывал
>10.0.0.1 непомогает. Короче клиент подключаетя ему выдается ип внешний инет есть
>у него все вроде бы ок но, начинаешь его пинговать с
>инета он непингуется .И при выходе с этого компа на сайт
>2ip.ru ип показывает внешнего интерфейса циски .Вчем дело?Ну как объясняешь так и понимаем...
Как насчет хотябы внимательно читать что тебя спрашивают:?
>Я же правильно понимаю что провайдер отдал тебе сеть и маршрутизирует ее
>на тебя? или вы proxy-arp хотите?
>[оверквотинг удален]
>>10.0.0.1 непомогает. Короче клиент подключаетя ему выдается ип внешний инет есть
>>у него все вроде бы ок но, начинаешь его пинговать с
>>инета он непингуется .И при выходе с этого компа на сайт
>>2ip.ru ип показывает внешнего интерфейса циски .Вчем дело?
>
>Ну как объясняешь так и понимаем...
>
>Как насчет хотябы внимательно читать что тебя спрашивают:?
>>Я же правильно понимаю что провайдер отдал тебе сеть и маршрутизирует ее
>>на тебя? или вы proxy-arp хотите?Пров подключил нас к инету дал ип и все .
Меня терзают смутные сомнения, вы случайно не договорились с провайдером о предоставлении просто адреса, а не сети? - провайдер дает сеть или адрес?
>Меня терзают смутные сомнения, вы случайно не договорились с провайдером о предоставлении
>просто адреса, а не сети? - провайдер дает сеть или адрес?
>Пров просто дал инет канал мы подключены к нему так - у прова наплощадке просто воткнуты в свич а далее до нас оптика - вот и все да и дал просто блок адресов .
>- вот и все да и дал просто блок адресов .
>Что это значит? он маршрутизирует на тебя сеть или тебе просто адреса дали? - спроси хотябы у прова если сам не знаешь.
если просто адреса, то тебе выход один или НАТ или клиента напрямую в инет подключать.
>
>>- вот и все да и дал просто блок адресов .
>>
>
>Что это значит? он маршрутизирует на тебя сеть или тебе просто адреса
>дали? - спроси хотябы у прова если сам не знаешь.
>
>если просто адреса, то тебе выход один или НАТ или клиента напрямую
>в инет подключать.Спросил, нет не маршрутизирует на меня ....Просто адреса...
>
>Спросил, нет не маршрутизирует на меня ....Просто адреса...Ну что ты тогда хочешь? - у тебя только следующие варианты:
1. proxy-arp - не советую
2. NAT - хорошее решение, но грузит рутер
3. включать клиента напрямую в интернет
>
>>
>>Спросил, нет не маршрутизирует на меня ....Просто адреса...
>
>Ну что ты тогда хочешь? - у тебя только следующие варианты:
>1. proxy-arp - не советую
>2. NAT - хорошее решение, но грузит рутер
>3. включать клиента напрямую в интернетПодскажите как Nat поднять на цискоре??? Вы же видели конфиг скажите что прописать еще в конфе чтоб работал клиент . Срочно надо...Ребята помогите плиз...
>[оверквотинг удален]
>>>Спросил, нет не маршрутизирует на меня ....Просто адреса...
>>
>>Ну что ты тогда хочешь? - у тебя только следующие варианты:
>>1. proxy-arp - не советую
>>2. NAT - хорошее решение, но грузит рутер
>>3. включать клиента напрямую в интернет
>
>Подскажите как Nat поднять на цискоре??? Вы же видели конфиг скажите что
>прописать еще в конфе чтоб работал клиент . Срочно надо...Ребята помогите
>плиз...НАТ это пока тема в которой я плаваю - нет у меня ната на циске....
У вас уже описан один нат.
На сколько я знаю статичный нат имеет больший приоритет.
Изходя из этого нужно добавить следующую команду в режиме глобальной конфигурации:
ip nat inside source static адрес_клиента_внутренний адрес_клиента_внешнийНо если не будет работать, можно попробовать изменить акл №4
!
access-list 4 permit 10.100.0.0 0.0.0.255
access-list 4 permit xxx.xxx.x35.0 0.0.0.255добавить в начало (т.е. переписать акт заново) следующую команду:
access-list 4 deny host {адрес_клиента_внутренний}
Еще кое-что почитать можно тут:
http://www.anticisco.ru/pubs/DualISPRouter.pdf
>[оверквотинг удален]
>>прописать еще в конфе чтоб работал клиент . Срочно надо...Ребята помогите
>>плиз...
>
>НАТ это пока тема в которой я плаваю - нет у меня
>ната на циске....
>
>У вас уже описан один нат.
>На сколько я знаю статичный нат имеет больший приоритет.
>Изходя из этого нужно добавить следующую команду в режиме глобальной конфигурации:
>ip nat inside source static адрес_клиента_внутренний адрес_клиента_внешнийip внутренний
>[оверквотинг удален]
>!
>access-list 4 permit 10.100.0.0 0.0.0.255
>access-list 4 permit xxx.xxx.x35.0 0.0.0.255
>
>добавить в начало (т.е. переписать акт заново) следующую команду:
>access-list 4 deny host {адрес_клиента_внутренний}
>
>
>Еще кое-что почитать можно тут:
>http://www.anticisco.ru/pubs/DualISPRouter.pdfip vpn писать или машины..
Вышеописаное решение НАТ выполнимо только при назначении клиенту внутреннего адреса, который в последствии (в строке НАТ) транслируется во внешний.еще забыл, кажется нужно это:
interface FastEthernet0/1/0
ip address {внешний ип клиента и маска} secondary
>Вышеописаное решение НАТ выполнимо только при назначении клиенту внутреннего адреса, который в
>последствии (в строке НАТ) транслируется во внешний.
>
>еще забыл, кажется нужно это:
>interface FastEthernet0/1/0
>ip address {внешний ип клиента и маска} secondaryБольшое спасибо !!! Все работает ,разобрался с меня пиво !!! :-)
>
>Большое спасибо !!! Все работает ,разобрался с меня пиво !!! :-)Хорошо, высылай в Башкирию ;)