URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21382
[ Назад ]

Исходное сообщение
"1841 часть вторая, или прозрачные сетки."

Отправлено Firestorm1 , 27-Июл-10 23:01 
Доброго времени суток уважаемый %Username%!

В продолжение прошлой темы - возникла задача:

Нужно, чтоб компы из одной сетки (10.10.10.0/24) видели, а точнее могли подконектицца по удаленному рабочему столу к серверу в другой сетке (192.168.0.0/24)

Схема сети:
http://lh3.ggpht.com/_18PWjdcjv08/TE8mJY_OrFI/AAAAAAAAEdg/CZ...


На "Асусе" прописал маршрут:
Destination Subnet Address  |  Destination Netmask  |  Default Gateway

192.168.0.0                    255.255.255.0           10.10.10.1

Пинг с админской машины (10.10.10.11) выдает:

Обмен пакетами с 192.168.0.11 по с 32 байтами данных:
Ответ от 10.10.10.10: Заданная сеть недоступна.


ЗЫ при добавлении ip route 192.168.0.0 255.255.255.0 10.10.10.1 к существующему в конфиге (ip route 0.0.0.0 0.0.0.0 10.10.10.1) пацыэнт всеравно остается мёртв :)
Заранее большое спасибо!

Как я понимаю, я опять туплю с конфигом:

Using 2690 out of 196600 bytes
!
! Last configuration change at 21:22:33 Ukraine Tue Jul 27 2010 by ---
! NVRAM config last updated at 21:22:35 Ukraine Tue Jul 27 2010 by ---
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ---
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Bni2$th57gdnhc3If2cwMlhQMt/
enable password 7 06300A264D5D
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.0.1 192.168.0.10
!
ip dhcp pool LAN
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
!
!
no ip bootp server
ip domain name ---
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
username --- privilege 15 secret 5 $1$Sj77$YgT0MhHp1r1X.2XtpL79s.
archive
log config
  logging enable
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface FastEthernet0/0
description === Internet ===
ip address 10.10.10.10 255.255.255.0
ip access-group FIREWALL in
ip verify unicast reverse-path
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet0/1
description ===LAN===
ip address 192.168.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.10.1
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list extended FIREWALL
permit tcp any any eq 22
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
!
snmp-server community public RO
!
!
!
control-plane
!
!
banner motd ^C"---"^C
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17179252
ntp update-calendar
ntp server 193.193.193.113
end


Содержание

Сообщения в этом обсуждении
"1841 часть вторая, или прозрачные сетки."
Отправлено ДорогойДрук , 27-Июл-10 23:17 
>На "Асусе" прописал маршрут:
>Destination Subnet Address  |  Destination Netmask  |  Default
>Gateway
>
>192.168.0.0            255.255.255.0       10.10.10.1

какбы шлюз исходя из картинки должен быть 10.10.10.10


"1841 часть вторая, или прозрачные сетки."
Отправлено ДорогойДрук , 27-Июл-10 23:18 
А учитывая, что 10.10.10.10 и 10.10.10.11 находятся в одной подсети, то маршрут надо прописывать не на асусе, а на админской тачке

"1841 часть вторая, или прозрачные сетки."
Отправлено Firestorm1 , 27-Июл-10 23:36 
>А учитывая, что 10.10.10.10 и 10.10.10.11 находятся в одной подсети, то маршрут
>надо прописывать не на асусе, а на админской тачке

Не пойму зачем - ответ при пинге идет от 10.10.10.10 (1841) о том, что сеть недоступна.

Сейчас, конечно попробую, но имхо не в этом дело.

ЗЫ маршрут я прописал на Асусе, потому что кромен админской тачки в 10.10.10.0/24 есть еще куча пользователей - не бегать же всем прописывать роут...


"1841 часть вторая, или прозрачные сетки."
Отправлено Firestorm1 , 27-Июл-10 23:45 
>[оверквотинг удален]
>>надо прописывать не на асусе, а на админской тачке
>
>Не пойму зачем - ответ при пинге идет от 10.10.10.10 (1841) о
>том, что сеть недоступна.
>
>Сейчас, конечно попробую, но имхо не в этом дело.
>
>ЗЫ маршрут я прописал на Асусе, потому что кромен админской тачки в
>10.10.10.0/24 есть еще куча пользователей - не бегать же всем прописывать
>роут...

Таже брага:

На Асусе удаляю маршрут.
На Админской машине добавляю route ADD 192.168.0.0 MASK 255.255.255.0 10.10.10.10

Тоже самое:
C:\Windows\system32>ping 192.168.0.11

Обмен пакетами с 192.168.0.11 по с 32 байтами данных:
Ответ от 10.10.10.10: Заданная сеть недоступна.


"1841 часть вторая, или прозрачные сетки."
Отправлено ДорогойДрук , 27-Июл-10 23:48 
А почему на циске настроен нат, вместо роутинга?


"1841 часть вторая, или прозрачные сетки."
Отправлено ДорогойДрук , 27-Июл-10 23:49 
>А почему на циске настроен нат, вместо роутинга?

Через нат, очевидно, с внешней 10 сети во внутреннюю 192 доступа не будет


"1841 часть вторая, или прозрачные сетки."
Отправлено Firestorm1 , 28-Июл-10 00:00 
>>А почему на циске настроен нат, вместо роутинга?
>
>Через нат, очевидно, с внешней 10 сети во внутреннюю 192 доступа не
>будет

Если я правильно понимаю:

ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any

разрешает доступ ко всей 192.168.0.0 снаружи?


"1841 часть вторая, или прозрачные сетки."
Отправлено ДорогойДрук , 28-Июл-10 00:26 
НАТ пропускает только в одну сторону
делайте роутинг, проще будет.



"1841 часть вторая, или прозрачные сетки."
Отправлено Firestorm1 , 27-Июл-10 23:32 
>>На "Асусе" прописал маршрут:
>>Destination Subnet Address  |  Destination Netmask  |  Default
>>Gateway
>>
>>192.168.0.0            255.255.255.0       10.10.10.1
>
>какбы шлюз исходя из картинки должен быть 10.10.10.10

Премного извиняюсь за дезинформацию - на Асусе прописан шлюз 10.10.10.10


"1841 часть вторая, или прозрачные сетки."
Отправлено Ranger99 , 28-Июл-10 00:03 
>Пинг с админской машины (10.10.10.11) выдает:
>Обмен пакетами с 192.168.0.11 по с 32 байтами данных:
>Ответ от 10.10.10.10: Заданная сеть недоступна.

Что абсолютно естественно при таком ACL на циске:

>ip access-list extended FIREWALL
> permit tcp any any eq 22

Как только это исправите, всплывет другая проблема - Вы пытаетесь снаружи (из сети 10.10.10.0/24) попасть во внутреннюю сеть 192.168.0.0/24, находящуюся за PATом, чего текущий конфиг не позволит. Можно пойти через port-forwarding:
1) ip nat inside source static tcp 192.168.0.150 3389 interface FastEthernet0/0 3389
(вместо 192.168.0.150 поставьте адрес своего сервера с RDP)
2) открыть доступ в ACL "FIREWALL"
permit tcp 10.10.10.0 0.0.0.255 host 10.10.10.10 eq 3389
3) коннектитесь по RDP к 10.10.10.10


"1841 часть вторая, или прозрачные сетки."
Отправлено Firestorm1 , 28-Июл-10 01:01 
Ranger99, большое спасибо! Всё заработало!

Если кому будет интересно, вылаживаю конфиг с работающей брагой! Еще раз спасибо Ranger99!


!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Sec-Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Bni2$th57gdnhc3If2cwMlhQMt/
enable password 7 06300A264D5D
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.0.1 192.168.0.10
!
ip dhcp pool LAN
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
!
!
no ip bootp server
ip domain name ---
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
username --- privilege 15 secret 5 $1$Sj77$YgT0MhHp1r1X.2XtpL79s.
archive
log config
  logging enable
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface FastEthernet0/0
description === Internet ===
ip address 10.10.10.10 255.255.255.0
ip verify unicast reverse-path
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet0/1
description ===LAN===
ip address 192.168.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.10.1
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source list NAT interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.0.11 3389 interface FastEthernet0/0 3389
!
ip access-list extended FIREWALL
permit tcp any any eq 22
permit tcp 10.10.10.0 0.0.0.255 host 10.10.10.10 eq 3389 login finger
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
!
snmp-server community public RO
!
!
!
control-plane
!
!
banner motd ^C"---C
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178787
ntp update-calendar
ntp server 193.193.193.113
end

Sec-Router#