URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20897
[ Назад ]
Исходное сообщение
"NAT cisco 871"
Отправлено vaxer , 18-Апр-10 16:17 
провайдер выдает DHCP из нескольких пулов
а именно
77.37.212.1/22
85.30.192.1/22
95.84.128.1/22
95.84.192.1/22
109.173.28.1/22
как настроить нат в циске чтоб раздавать инет для внутренней локалки (192.168.0.1)
с одним пулом было понятно:
ip nat pool Internet 109.173.28.1 109.173.31.254 netmask 255.255.252.0
а как это сделать с несколькими пулами нигде не нашёл...
подскажите плизз
Содержание
Сообщения в этом обсуждении
"NAT cisco 871"
Отправлено blank , 18-Апр-10 20:53 
>[оверквотинг удален]
>85.30.192.1/22
>95.84.128.1/22
>95.84.192.1/22
>109.173.28.1/22
>как настроить нат в циске чтоб раздавать инет для внутренней локалки (192.168.0.1)
>
>с одним пулом было понятно:
>ip nat pool Internet 109.173.28.1 109.173.31.254 netmask 255.255.252.0
>а как это сделать с несколькими пулами нигде не нашёл...
>подскажите плизз

ip nat inside source route-map <ХХХ> interface <интерфейс> overload
будет натить в адрес интерфейса

"NAT cisco 871"
Отправлено vaxer , 19-Апр-10 09:32 

>ip nat inside source route-map <ХХХ> interface <интерфейс> overload
>будет натить в адрес интерфейса

сделано было вот так
ip nat inside source list 100 interface FastEthernet4 overload
но это для одного пула DHCP работает
что означает <ХХХ> ?? какой роут-мап туда прописывать?

"NAT cisco 871"
Отправлено ShyLion , 19-Апр-10 12:32 
>сделано было вот так
>ip nat inside source list 100 interface FastEthernet4 overload
>но это для одного пула DHCP работает

По идее НАТ должет работать независимо от назначенного в данный момент адреса на интерфейсе.

"NAT cisco 871"
Отправлено vaxer , 19-Апр-10 13:57 
>>сделано было вот так
>>ip nat inside source list 100 interface FastEthernet4 overload
>>но это для одного пула DHCP работает
>
>По идее НАТ должет работать независимо от назначенного в данный момент адреса
>на интерфейсе.

что значит "по идее"?
пров раздает динамически из пула!
вот это справедливо для одного пула
ip nat pool I1 77.37.212.1 77.37.215.254 netmask 255.255.252.0
а как сделать для 5(пяти) пулов не знаю и не нашёл потому и спрашиваю
(диапазоны приводил выше)

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 08:50 
>[оверквотинг удален]
>>По идее НАТ должет работать независимо от назначенного в данный момент адреса
>>на интерфейсе.
>
>что значит "по идее"?
>пров раздает динамически из пула!
>вот это справедливо для одного пула
>ip nat pool I1 77.37.212.1 77.37.215.254 netmask 255.255.252.0
>а как сделать для 5(пяти) пулов не знаю и не нашёл потому
>и спрашиваю
>(диапазоны приводил выше)

что значит "пров раздает" ?
Если ваш интерфейс получает IP по DHCP у провайдера, то конструкция:
ip nat inside source list nat_clients interface Fas4 overload должна работать независимо от того, какой адрес получит интерфейс. О каких пулах вообще идет речь??? По какому праву ты пытаешься использовать ВСЕ адреса из провайдерского пула для своих НАТов?

Или я че-то не понимаю и у тебя какой-то другой случай.

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 10:49 
>что значит "пров раздает" ?

именно это и значит - динамический IP раздается из 5(пяти) пулов
список пулов если ВЫ не заметили - в первом сообщении
>Если ваш интерфейс получает IP по DHCP у провайдера, то конструкция:
>ip nat inside source list nat_clients interface Fas4 overload должна работать независимо
>от того, какой адрес получит интерфейс. О каких пулах вообще идет
>речь??? По какому праву ты пытаешься использовать ВСЕ адреса из провайдерского
>пула для своих НАТов?

по праву того что я клиент провайдера и пров назначает мне адрес (на внешний интерфейс т.е. WAN) именно из этих пулов
>
>Или я че-то не понимаю и у тебя какой-то другой случай.

ВАС не учили родители быть вежливым?
если уж говорить о прове - то вот такие парамеры выдает
109.173.28.1 gateway
DHCP 77.27.128.2
DNS 77.37.251.33
DNS 77.37.255.30
и соответственно пулы
77.37.212.1/22
85.30.192.1/22
95.84.128.1/22
95.84.192.1/22
109.173.28.1/22


"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 11:43 
>ВАС не учили родители быть вежливым?

В сети все равны а форум это дружеское общение. С друзьями и коллегами я общаюсь на ТЫ.
Но если ВАМ так угодно... Никто хамить и не собирался.

>[оверквотинг удален]
>109.173.28.1 gateway
>DHCP 77.27.128.2
>DNS 77.37.251.33
>DNS 77.37.255.30
>и соответственно пулы
>77.37.212.1/22
>85.30.192.1/22
>95.84.128.1/22
>95.84.192.1/22
>109.173.28.1/22

Правайдер выдает вам "один" адрес или "пул" адресов? Не кажется ли вам, что НАТить свои сессии с чужих адресов мягко говоря неправильно? Обратные пакеты извне будут приходить не на ваш маршрутизатор а на маршрутизатор другого пользователя.

Специально, для случаев когда IP интерфейса заранее не известен и используется конструкция:
ip nat inside ... interface Fas4 overload

Тогда для НАТ роутер использует именно тот IP, который в данный момент на интерфейс назначен (вручную или другим способом).

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 11:54 
>Правайдер выдает вам "один" адрес или "пул" адресов?

один динамический из вышеуказанных пяти пулов (это служба поддержки так объяснила)
>Специально, для случаев когда IP интерфейса заранее не известен и используется конструкция:
>
>ip nat inside ... interface Fas4 overload

ip nat pool Internet 109.173.28.1 109.173.31.254 netmask 255.255.252.0
ip nat inside source list 100 interface FastEthernet4 overload
как уже говорил - данная кострукция работала с одним пулом
в 100м листе как понимаете указано куда натить т.е. локалка
>
>Тогда для НАТ роутер использует именно тот IP, который в данный момент
>на интерфейс назначен (вручную или другим способом).

как именно указывать?
прописать на WANe жёстко максимальный адрес из пула, гейт и днс ??
(это при том что гейт и днсы из разных подсетей???)


"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 12:25 
>ip nat pool Internet 109.173.28.1 109.173.31.254 netmask 255.255.252.0

Это вам вообще не нужно, забудьте про эту команду. Она применима только когда вам выдана статическая сетка.

>[оверквотинг удален]
>как уже говорил - данная кострукция работала с одним пулом
>в 100м листе как понимаете указано куда натить т.е. локалка
>>
>>Тогда для НАТ роутер использует именно тот IP, который в данный момент
>>на интерфейс назначен (вручную или другим способом).
>
>как именно указывать?
>прописать на WANe жёстко максимальный адрес из пула, гейт и днс ??
>
>(это при том что гейт и днсы из разных подсетей???)

Насчет ДНС: не парьтесь с провайдерскими, используйте гугловые 8.8.8.8 и 8.8.4.4 - легко запомнить. Если очень хочется провайдерские, то узнайте у них и вбейте, вряд ли они меняются при смене адреса.

Покажите конфиг интерфейса, который в сторону провайдера.

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 12:29 
>Покажите конфиг интерфейса, который в сторону провайдера.

Если это езернет, то такой конфиг:

interface FastEthernet0/0
ip address dhcp
ip nat outside
!
interface FastEthernet0/1
ip address 10.0.0.1 255.255.255.0
ip nat inside
!
ip nat inside source list nat_clients interface FastEthernet0/0 overload
!
!
ip access-list extended nat_clients
permit ip 10.0.0.0 0.0.0.255 any
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip dns server

При получении адреса и дефолтного шлюза, в таблице маршрутизации появится запись:
S*   0.0.0.0/0 [254/0] via х.х.х.х
где х.х.х.х - адрес шлюза провайдера.

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 12:43 
>>Покажите конфиг интерфейса, который в сторону провайдера.

interface FastEthernet4
ip address dhcp
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 13:06 
> ip access-group 101 in

что тут?

> ip access-group 100 in

и тут

>ip route 0.0.0.0 0.0.0.0 FastEthernet4

это убрать, не факт, что у оператора включен proxy-arp
маршрут будет через DHCP получен и установлен с админ дистанцией 254

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 13:23 
>> ip access-group 101 in
>
>что тут?
>
>> ip access-group 100 in
>
>и тут

access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
>>ip route 0.0.0.0 0.0.0.0 FastEthernet4
>
>это убрать, не факт, что у оператора включен proxy-arp
>маршрут будет через DHCP получен и установлен с админ дистанцией 254

(это маршрут по умолчанию)с одним пулом всё работало

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 13:52 
>(это маршрут по умолчанию)с одним пулом всё работало

убрать

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 13:25 
>При получении адреса и дефолтного шлюза, в таблице маршрутизации появится запись:
>S*   0.0.0.0/0 [254/0] via х.х.х.х
>где х.х.х.х - адрес шлюза провайдера.

неа не вышло...
Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     77.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       77.37.212.0/22 is directly connected, FastEthernet4
S       77.37.128.2/32 [254/0] via 77.37.212.1, FastEthernet4
C    192.168.0.0/24 is directly connected, Vlan1
S*   0.0.0.0/0 is directly connected, FastEthernet4


"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 13:51 
>[оверквотинг удален]
>Gateway of last resort is 0.0.0.0 to network 0.0.0.0
>
>     77.0.0.0/8 is variably subnetted, 2 subnets, 2
>masks
>C       77.37.212.0/22 is directly connected, FastEthernet4
>
>S       77.37.128.2/32 [254/0] via 77.37.212.1, FastEthernet4
>
>C    192.168.0.0/24 is directly connected, Vlan1
>S*   0.0.0.0/0 is directly connected, FastEthernet4

я же сказал - статический маршрут 0.0.0.0 0.0.0.0 убрать

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 14:36 
>[оверквотинг удален]
>>     77.0.0.0/8 is variably subnetted, 2 subnets, 2
>>masks
>>C       77.37.212.0/22 is directly connected, FastEthernet4
>>
>>S       77.37.128.2/32 [254/0] via 77.37.212.1, FastEthernet4
>>
>>C    192.168.0.0/24 is directly connected, Vlan1
>>S*   0.0.0.0/0 is directly connected, FastEthernet4
>
>я же сказал - статический маршрут 0.0.0.0 0.0.0.0 убрать

убрал :-)) вот что получилось:
Gateway of last resort is 77.37.212.1 to network 0.0.0.0

     77.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       77.37.212.0/22 is directly connected, FastEthernet4
S       77.37.128.2/32 [254/0] via 77.37.212.1, FastEthernet4
C    192.168.0.0/24 is directly connected, Vlan1
S*   0.0.0.0/0 [254/0] via 77.37.212.1

это при том, что гейт по умолчанию должен быть 109.173.28.1
инет естессно не прыгает....

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 14:45 

>C       77.37.212.0/22 is directly connected, FastEthernet4
>
>S       77.37.128.2/32 [254/0] via 77.37.212.1, FastEthernet4
>
>C    192.168.0.0/24 is directly connected, Vlan1
>S*   0.0.0.0/0 [254/0] via 77.37.212.1
>
>это при том, что гейт по умолчанию должен быть 109.173.28.1
>инет естессно не прыгает....

Как, интересно, гейт по умолчанию "должен быть" в сети, которая напрямую к роутеру не подключена?

Судя по таблице маршрутизации интерфейс получил адрес из сети 77.37.212.0/22
и маршрутизатор по умолчанию 77.37.212.1, что абсолютно логично.

# traceroute 8.8.8.8

# sho ip int Fas4

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 14:47 
и на время решения проблем, аксес-листы лучше отключить, НАТ тоже убрать. Решить сперва проблему доступа в Инет самого роутера, а потом включать доступ из локалки.


"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 15:20 
>и на время решения проблем, аксес-листы лучше отключить, НАТ тоже убрать. Решить
>сперва проблему доступа в Инет самого роутера, а потом включать доступ
>из локалки.

аксес-листы и нат убраны - ничего не изменилось

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 15:46 
>и на время решения проблем, аксес-листы лучше отключить, НАТ тоже убрать. Решить
>сперва проблему доступа в Инет самого роутера, а потом включать доступ
>из локалки.

пардон гугловский днс - увидел
1  *  *  *
  2 mtk-111-lag2-89.msk.ip.ncnet.ru (77.37.254.94) 0 msec 0 msec 0 msec
  3 bgw-2-po4-89.msk.ip.ncnet.ru (77.37.254.93) 4 msec 4 msec 4 msec
  4 msk-ix-gw2.google.com (193.232.246.232) 0 msec 4 msec 0 msec
  5 72.14.239.254 48 msec 40 msec 60 msec
  6 209.85.248.47 40 msec 40 msec 40 msec
  7 72.14.232.221 40 msec 44 msec 40 msec
  8 google-public-dns-a.google.com (8.8.8.8) 40 msec 40 msec 40 msec
но что характерно - в циске прописаны 8.8.8.8 и 8.8.4.4
а в локалку выдает от прова 77.37.251.33 и 77.37.255.30 получается то что прописываемые в циске днсы - побоку?

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 15:01 
># traceroute 8.8.8.8

не могёт найти хост 8.8.8.8 типа отсутствует
sh ip int FastEthernet4
FastEthernet4 is up, line protocol is up
  Internet address is 77.37.212.153/22
  Broadcast address is 255.255.255.255
  Address determined by DHCP
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is 101
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is disabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF Feature Fast switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain outside
  BGP Policy Mapping is disabled
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
пров выдает шлюз по умолчанию из последнего пула (из пяти возможных) - специфика провайдера

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 15:47 
>># traceroute 8.8.8.8
>
>не могёт найти хост 8.8.8.8 типа отсутствует

что конкретно пишет? листинг полный приведите.

>пров выдает шлюз по умолчанию из последнего пула (из пяти возможных) - специфика провайдера

Для каждого из диапазонов - свой шлюз по умолчанию, все совершенно логично.

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 14:48 
вот так выглядит ipconfig /all

        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : смешанный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет

Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1
000Base-T Controller
        Физический адрес. . . . . . . . . : 00-53-F3-4A-3D-F4
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 109.173.31.183
        Маска подсети . . . . . . . . . . : 255.255.252.0
        Основной шлюз . . . . . . . . . . : 109.173.28.1
        DHCP-сервер . . . . . . . . . . . : 77.37.128.2
        DNS-серверы . . . . . . . . . . . : 77.37.251.33
                                            77.37.255.30
        Аренда получена . . . . . . . . . : 20 апреля 2010 г. 14:20:18
        Аренда истекает . . . . . . . . . : 20 апреля 2010 г. 15:20:18

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 15:48 
>вот так выглядит ipconfig /all
>        IP-адрес  . . . . . . . . . . . . : 109.173.31.183
>        Маска подсети . . . . . . . . . . : 255.255.252.0
>        Основной шлюз . . . . . . . . . . : 109.173.28.1

Какая связь с циской?
Для этого хоста DHCP выбрал один пул, для кисы он выбирает другой, ничего особенного.

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 17:23 
>>вот так выглядит ipconfig /all
>>        IP-адрес  . . . . . . . . . . . . : 109.173.31.183
>>        Маска подсети . . . . . . . . . . : 255.255.252.0
>>        Основной шлюз . . . . . . . . . . : 109.173.28.1
>
>Какая связь с циской?
>Для этого хоста DHCP выбрал один пул, для кисы он выбирает другой,
>ничего особенного.

получается аксес-литы не нужны, а нужно только указать куда натить вот так и будет динамику натить?
ip nat inside source list nat_clients interface FastEthernet0/0 overload
!
!
ip access-list extended nat_clients
permit ip 10.0.0.0 0.0.0.255 any
тогда 8.8.8.8 зачем указывать? для самой циски? ведь клиентам в локалке всё равно пробрасывается днс прова

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 17:29 
>тогда 8.8.8.8 зачем указывать? для самой циски? ведь клиентам в локалке всё
>равно пробрасывается днс прова

а зачем клиентам в локалке ДНС прова???
киса может быть ДНС форвардером
клиентам достаточно в качестве ДНС выдать адрес кисы

ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip dns server

ну если не нравятся гугловские ДНС - поставьте провайдерские, хотя я считаю что у гугла как-то поинтересней с надежностью серверов

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 17:36 
>>тогда 8.8.8.8 зачем указывать? для самой циски? ведь клиентам в локалке всё
>>равно пробрасывается днс прова
>
>а зачем клиентам в локалке ДНС прова???

тут ведь на каждый ДНС ресолв у клиента, будет НАТ трансляция, а это доп. нагрузка на проц, память

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 17:45 
>[оверквотинг удален]
>а зачем клиентам в локалке ДНС прова???
>киса может быть ДНС форвардером
>клиентам достаточно в качестве ДНС выдать адрес кисы
>
>ip name-server 8.8.8.8
>ip name-server 8.8.4.4
>ip dns server
>
>ну если не нравятся гугловские ДНС - поставьте провайдерские, хотя я считаю
>что у гугла как-то поинтересней с надежностью серверов

то есть это надо указывать для
ip dhcp pool local_clients ??
счас для локалки вот так
ip dhcp pool local_clients
   import all
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
и соответственно локальные получают днс прова

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 18:23 
>[оверквотинг удален]
>>а зачем клиентам в локалке ДНС прова???
>>киса может быть ДНС форвардером
>>клиентам достаточно в качестве ДНС выдать адрес кисы
>>
>>ip name-server 8.8.8.8
>>ip name-server 8.8.4.4
>>ip dns server
>>
>>ну если не нравятся гугловские ДНС - поставьте провайдерские, хотя я считаю
>>что у гугла как-то поинтересней с надежностью серверов

не совсем понятно что с днс - уже несколько раз писал!
сделал
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip dns server
но в локалку всё равно прописывает днс прова т.е. 77.37.251.33 и 77.37.255.30
как сделать чтоб локальной сетке выдавались гугловские днс?

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 17:31 
>получается аксес-литы не нужны, а нужно только указать куда натить вот так
>и будет динамику натить?

не понял вопроса
если нужно пользователя выпускать в инет, он в nat_clients должен попадать под permit
если только определенный сервис, то соответсвенно надо описать его

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 18:27 
>>получается аксес-литы не нужны, а нужно только указать куда натить вот так
>>и будет динамику натить?
>
>не понял вопроса
>если нужно пользователя выпускать в инет, он в nat_clients должен попадать под
>permit
>если только определенный сервис, то соответсвенно надо описать его

благодарю за содержательные ответы!
в циске наконец начал понимать что к чему (предыдущий конфиг с аксес-листами был изначально заточен под другого прова)
остается вопрос с выдачей в локалку днс гугла - как лучше сделать?

"NAT cisco 871"
Отправлено ShyLion , 21-Апр-10 07:02 
>[оверквотинг удален]
>>
>>не понял вопроса
>>если нужно пользователя выпускать в инет, он в nat_clients должен попадать под
>>permit
>>если только определенный сервис, то соответсвенно надо описать его
>
>благодарю за содержательные ответы!
>в циске наконец начал понимать что к чему (предыдущий конфиг с аксес-листами
>был изначально заточен под другого прова)
>остается вопрос с выдачей в локалку днс гугла - как лучше сделать?

Я лично считаю, что пользователям нужно подобные сервисы предоставлять локально-централизовано, т.е. с собственного серверва или кисы. Как - я выше написал.

В случае проблем с гугловскими, проще один раз поменять на кисе, чем каждому пользователю по отдельности. Это если в локалке DHCP не используется.

"NAT cisco 871"
Отправлено vaxer , 21-Апр-10 10:44 
>>благодарю за содержательные ответы!
>>остается вопрос с выдачей в локалку днс гугла - как лучше сделать?
>
>Я лично считаю, что пользователям нужно подобные сервисы предоставлять локально-централизовано, т.е. с
>собственного серверва или кисы. Как - я выше написал.
>
>В случае проблем с гугловскими, проще один раз поменять на кисе, чем
>каждому пользователю по отдельности. Это если в локалке DHCP не используется.

в локалке как раз dhcp киса раздает, причем по вашему совету прописал на кисе гугловские днс, но локальные клиенты все равно получают днс провайдера (писал уже про это)
а в целом благодарю от души за помощь!

"NAT cisco 871"
Отправлено ShyLion , 21-Апр-10 10:48 
>в локалке как раз dhcp киса раздает, причем по вашему совету прописал
>на кисе гугловские днс, но локальные клиенты все равно получают днс
>провайдера (писал уже про это)

так что мешает в параметрах пула задать адрес кисы в опции ДНСа ?

"NAT cisco 871"
Отправлено vaxer , 21-Апр-10 11:02 
>>в локалке как раз dhcp киса раздает, причем по вашему совету прописал
>>на кисе гугловские днс, но локальные клиенты все равно получают днс
>>провайдера (писал уже про это)
>
>так что мешает в параметрах пула задать адрес кисы в опции ДНСа
>?

ip dhcp pool local_clients
   import all
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
!
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
!
!
!
ip dns server
вот так сделано.
при попытке прописать в дхцп локалки
ip name-server 8.8.8.8
киса все равно пишет днс гугла не под роутером а вот так, как выше
это не правильно?

"NAT cisco 871"
Отправлено Гость , 21-Апр-10 11:31 
>[оверквотинг удален]
>   default-router 192.168.0.1
>   dns-server 192.168.0.1
>!
>!
>ip name-server 8.8.8.8
>ip name-server 8.8.4.4
>!
>!
>!
>ip dns server

должно так быть, прописываешь в пуле


"NAT cisco 871"
Отправлено ShyLion , 21-Апр-10 11:39 
>   import all

добавляет к параметрам пула параметры самой кисы
чтобы не было чудес, это нужно убрать и прописать нужные вам параметры отдельно для пула
подробно все расписано тут:
http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/gui...

"NAT cisco 871"
Отправлено vaxer , 21-Апр-10 12:08 
премного благодарен всем! особенно ShyLion за поддержку!

"NAT cisco 871"
Отправлено vaxer , 20-Апр-10 12:02 
>Правайдер выдает вам "один" адрес или "пул" адресов? Не кажется ли вам,
>что НАТить свои сессии с чужих адресов мягко говоря неправильно? Обратные
>пакеты извне будут приходить не на ваш маршрутизатор а на маршрутизатор
>другого пользователя.

запросы будут приходить на тот самый динамически выделенный IP который присвоен внешнему интерфейсу (WAN) циски
куда еще пакеты могут прийти??

"NAT cisco 871"
Отправлено ShyLion , 20-Апр-10 12:19 
>>Правайдер выдает вам "один" адрес или "пул" адресов? Не кажется ли вам,
>>что НАТить свои сессии с чужих адресов мягко говоря неправильно? Обратные
>>пакеты извне будут приходить не на ваш маршрутизатор а на маршрутизатор
>>другого пользователя.
>
>запросы будут приходить на тот самый динамически выделенный IP который присвоен внешнему
>интерфейсу (WAN) циски
>куда еще пакеты могут прийти??

Еслы вы в пуле указываете несколько адресов, они все используются для НАТа.
Так делают, когда провайдер помимо линковочного адреса выдал еще подсетку, на которую можно вешать сервисы, отдельно по адресам раскидывать пользователей и т.п.

В вашем случае вашему интерфейсу выдается только один адрес и заранее его узнать нельзя.

"NAT cisco 871"
Отправлено GolDi , 19-Апр-10 16:20 
>[оверквотинг удален]
>85.30.192.1/22
>95.84.128.1/22
>95.84.192.1/22
>109.173.28.1/22
>как настроить нат в циске чтоб раздавать инет для внутренней локалки (192.168.0.1)
>
>с одним пулом было понятно:
>ip nat pool Internet 109.173.28.1 109.173.31.254 netmask 255.255.252.0
>а как это сделать с несколькими пулами нигде не нашёл...
>подскажите плизз

Как-то так:

ip nat pool NAT1 a.a.a.a a.a.a.a prefix-length 24
ip nat pool NAT2 b.b.b.b b.b.b.b prefix-length 24
ip nat pool NAT3 c.c.c.c c.c.c.c prefix-length 24
ip nat pool NAT4 d.d.d.d d.d.d.d prefix-length 24
ip nat pool NAT5 e.e.e.e e.e.e.e prefix-length 24

ip nat inside source route-map NAT-MAP1 pool NAT1
ip nat inside source route-map NAT-MAP2 pool NAT2
ip nat inside source route-map NAT-MAP3 pool NAT3
ip nat inside source route-map NAT-MAP4 pool NAT4
ip nat inside source route-map NAT-MAP5 pool NAT5

А потом пишите 5 роутмапов для вашей локалки

"NAT cisco 871"
Отправлено vaxer , 19-Апр-10 16:36 
>[оверквотинг удален]
>ip nat pool NAT4 d.d.d.d d.d.d.d prefix-length 24
>ip nat pool NAT5 e.e.e.e e.e.e.e prefix-length 24
>
>ip nat inside source route-map NAT-MAP1 pool NAT1
>ip nat inside source route-map NAT-MAP2 pool NAT2
>ip nat inside source route-map NAT-MAP3 pool NAT3
>ip nat inside source route-map NAT-MAP4 pool NAT4
>ip nat inside source route-map NAT-MAP5 pool NAT5
>
>А потом пишите 5 роутмапов для вашей локалки

ip nat pool NAT1 min max prefix-length 24
надо понимать что min max это минимальный и максимальный адрес пула?
а маска?
и что обозначат prefix-length?

"NAT cisco 871"
Отправлено GolDi , 19-Апр-10 16:59 
>[оверквотинг удален]
>>ip nat inside source route-map NAT-MAP1 pool NAT1
>>ip nat inside source route-map NAT-MAP2 pool NAT2
>>ip nat inside source route-map NAT-MAP3 pool NAT3
>>ip nat inside source route-map NAT-MAP4 pool NAT4
>>ip nat inside source route-map NAT-MAP5 pool NAT5
>>
>>А потом пишите 5 роутмапов для вашей локалки
>
>ip nat pool NAT1 min max prefix-length 24
>надо понимать что min max это минимальный и максимальный адрес пула?

да
>а маска?
>и что обозначат prefix-length?

это и есть маска

"NAT cisco 871"
Отправлено vaxer , 19-Апр-10 17:34 
>>а маска?
>>и что обозначат prefix-length?
>
>это и есть маска

как высчитывается prefix-length?

"NAT cisco 871"
Отправлено GolDi , 19-Апр-10 17:43 
>>>а маска?
>>>и что обозначат prefix-length?
>>
>>это и есть маска
>
>как высчитывается prefix-length?

это IOS вычисляет, а писать надо маску