Hi All!Коллеги, просто тупик ) не могу победить. Есть Cisco 877 роутер, который использую для организации лок сети для 4 пк. Схема след - инет от прова (ethernet) в портWAN (ethernet4) - далее в порт Ethernet 2 (VLAN 2) воткнут хаб Длинк в него ПК.
Вот конф, роутер не пускает в инет лок клиентов. Роут прописал, что еще нужно прописать?
ip dhcp pool DATA
network 172.16.3.0 255.255.255.0
default-router 172.16.3.1
option 150 ip 192.168.3.1
dns-server 8.8.8.8interface FastEthernet1
shutdowninterface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address x.x.x.x 255.255.255.224
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface Vlan2
description -- FA1-3 LAN --
ip address 172.16.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
router eigrp 999
network 172.16.3.0 0.0.0.255
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.y
акцесс листы и т.д. пока убрал.Локальные ПК пингуют роутер, др друга. но не пингуют внешний мир. внешний адрес роутера пингуется..
не увидел в конфиге вышеaccess-list 102 permit ip 172.16.3.0 0.0.0.255 any
ip nat inside source list 102 interface FastEthernet4 overload
> не увидел в конфиге выше
> access-list 102 permit ip 172.16.3.0 0.0.0.255 any
> ip nat inside source list 102 interface FastEthernet4 overload+1
А eigrp то зачем?
>> не увидел в конфиге выше
>> access-list 102 permit ip 172.16.3.0 0.0.0.255 any
>> ip nat inside source list 102 interface FastEthernet4 overload
> +1
> А eigrp то зачем?да, у меня 100 акцесс лист есть и
ip nat inside source list 100 interface FastEthernet4 overload
eigrp для туннеля, кстати он поднят и функционирует норм.
у Вас в заголовке темы указана 877, а по приведенному конфигу у вас 871
что у Вас там еще есть?
а то как-то сложно лечить по фотографии...
> у Вас в заголовке темы указана 877, а по приведенному конфигу у
> вас 871
> что у Вас там еще есть?
> а то как-то сложно лечить по фотографии...вот полный конф роутера:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login local_auth local
!
!
aaa session-id common
clock timezone pst 3
clock summer-time gmt recurring last Sun Mar 2:00 last Sun Oct 2:00
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.3.2 172.16.3.20
ip dhcp excluded-address 172.16.3.100
!
ip dhcp pool DATA
network 172.16.3.0 255.255.255.0
default-router 172.16.3.1
option 150 ip 192.168.3.1
dns-server 8.8.8.8
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip multicast-routing
ip inspect max-incomplete low 400
ip inspect max-incomplete high 500
ip inspect one-minute low 400
ip inspect one-minute high 500
ip inspect tcp max-incomplete host 50 block-time 0
ip inspect name FIREWALL ftp alert off
ip inspect name FIREWALL rcmd alert off
ip inspect name FIREWALL netshow alert off
ip inspect name FIREWALL realaudio alert off
ip inspect name FIREWALL rtsp alert off
ip inspect name FIREWALL tftp alert off
ip inspect name FIREWALL tcp alert off
ip inspect name FIREWALL udp alert off
ip inspect name FIREWALL vdolive alert off
ip inspect name FIREWALL icmp alert off
ip inspect name FIREWALL http java-list 1 alert on
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxx address 0.0.0.0 255.255.255.0
crypto isakmp keepalive 60 3
!
!
crypto ipsec transform-set xxxxxxx esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile DMVPN
set transform-set xxxxxxxxx
!
!
archive
log config
hidekeys
!
!
!
class-map match-all rt
match ip precedence 5
class-map match-any mgnt
match ip precedence 2
class-map match-all lan-mgnt
match access-group 190
class-map match-all routing
match ip precedence 6
class-map match-all signaling
match ip dscp cs3
!
!
policy-map intersite
class rt
priority percent 33
class signaling
bandwidth remaining percent 10
class routing
bandwidth remaining percent 10
class mgnt
bandwidth remaining percent 10
class class-default
bandwidth remaining percent 70
random-detect
!
!
!
!
interface Loopback1
ip address 10.1.3.1 255.255.255.0
!
interface Tunnel0
bandwidth 1000
ip address 192.168.168.3 255.255.255.0
no ip redirects
ip mtu 1400
ip nat inside
ip nhrp authentication DMVPN_NW
ip nhrp map 192.168.168.1 xxxxxxxxxx
ip nhrp map multicast xxxxxxxxxx
ip nhrp network-id 100000
ip nhrp holdtime 360
ip nhrp nhs 192.168.168.1
ip virtual-reassembly
ip tcp adjust-mss 1360
delay 1000
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key xxxxxxxxxx
tunnel protection ipsec profile DMVPN
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address xxxxxxxxxxxx 255.255.255.224
ip access-group 104 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan2
description -- FA1-3 LAN --
ip address 172.16.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
router eigrp 999
network 10.1.3.0 0.0.0.255
network 172.16.3.0 0.0.0.255
network 192.168.168.0
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 172.16.0.0 255.255.255.0 Tunnel0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface FastEthernet4 overload
!
access-list 100 remark ---local users to ---
access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
access-list 100 permit ip 10.10.10.0 0.0.0.255 any log
!
access-list 104 remark ---Firewall---
access-list 104 remark ---private adresses---
access-list 104 deny ip 10.0.0.0 0.255.255.255 any
access-list 104 deny ip 172.16.0.0 0.15.255.255 any
access-list 104 deny ip 192.168.0.0 0.0.255.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 deny ip host 255.255.255.255 any
access-list 104 deny ip host 0.0.0.0 any
access-list 104 remark ---vpn---
access-list 104 permit gre any host x.x.x.x
access-list 104 permit ahp any host x.x.x.x
access-list 104 permit esp any host x.x.x.x
access-list 104 permit tcp any host x.x.x.x eq 5000
access-list 104 permit udp any host x.x.x.x eq 5000
access-list 104 permit udp any host x.x.x.x eq isakmp
access-list 104 permit udp any host x.x.x.x eq non500-isakmp
access-list 104 remark ---ssh---
access-list 104 permit tcp any host x.x.x.x eq 22
access-list 104 remark ---icmp---
access-list 104 permit icmp any any echo
access-list 104 permit icmp any any echo-reply
access-list 104 permit icmp any any time-exceeded
access-list 104 permit icmp any any unreachable
access-list 104 permit icmp any any packet-too-big
access-list 104 permit icmp any any tracerouteaccess-list 104 remark ---DNS---
access-list 104 permit udp host 8.8.8.8 eq domain anyaccess-list 104 remark ---Deny_Any---
access-list 104 deny tcp any any eq 1720 log
access-list 104 deny tcp any any eq 5060 log
access-list 104 deny tcp any any eq 2000 log
access-list 104 deny tcp any any eq www log
access-list 104 deny tcp any any eq 443 log
access-list 104 deny ip any any log
no cdp run
!
!
!
!
control-plane
!
alias exec shrf show run | tee http://1.1.1.1
alias exec c conf t
!
line con 0
no modem enable
line aux 0
line vty 0 4
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
ntp logging
ntp clock-period 17175028
ntp server 130.88.200.98
ntp server 194.87.0.20
end
>[оверквотинг удален]
> line vty 0 4
> logging synchronous
> transport input telnet ssh
> !
> scheduler max-task-time 5000
> ntp logging
> ntp clock-period 17175028
> ntp server 130.88.200.98
> ntp server 194.87.0.20
> endА трансляция происходит? Че show ip nat transtations показывает?
> вот полный конф роутера:
> !
> interface FastEthernet4
> ip address xxxxxxxxxxxx 255.255.255.224
> ip access-group 104 in
> ip nat outside
> ip virtual-reassembly
> duplex auto
> speed auto104 access list попробуйте на время убрать ...
>> вот полный конф роутера:
>> !
>> interface FastEthernet4
>> ip address xxxxxxxxxxxx 255.255.255.224
>> ip access-group 104 in
>> ip nat outside
>> ip virtual-reassembly
>> duplex auto
>> speed auto
> 104 access list попробуйте на время убрать ...в самом первом посте написал же акцесс листы отключены, имел ввиду именно этот на внешнем интерфейсе.
в том то и дело, что должно быть а не идет ( при этом туннельный работает. маршрут по умолчанию прописан на прова.
да в чем же трабл то..
есть ощущение, что vlan 2 который прописан роутером сети таковым не является.
немного изменил конф, добавил бридж.
bridge irbinterface FastEthernet4
no ip address
ip virtual-reassembly
duplex auto
speed auto
bridge-group 1
!
!
interface BVI1
ip address x.x.x.x 55.255.255.224
ip access-group 104 in
ip nat outside
ip virtual-reassemblyно не помогло все равно.. 104 акцесс лист отключал для чистоты эскперимента. куда покрутить?
> куда покрутить?подергайте cef,
смотрите трансляцию как выше советовали,
и смотрите пролет пакетов любым способом.Далее стандартные процедуры: ребут, апгрейд, workaround, отключать всё по очереди.
Обычный тупой NAT не может не работать на этой циске.
> ip nat inside source list 100 interface FastEthernet4 overload
> !
> access-list 100 remark ---local users to ---
> access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
> access-list 100 permit ip 10.10.10.0 0.0.0.255 any logУберите "log" из acl, и в будущем никуда не вставляйте если реально не нужен.
>> ip nat inside source list 100 interface FastEthernet4 overload
>> !
>> access-list 100 remark ---local users to ---
>> access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
>> access-list 100 permit ip 10.10.10.0 0.0.0.255 any log
> Уберите "log" из acl, и в будущем никуда не вставляйте если реально
> не нужен.log вставил так будет собираться на syslog сервер, есть такой. думаете в это причина?
sh ip nat translations
show ip nat translationPro Inside global Inside local Outside local Outside global
tcp x.x.x.x:59679 172.16.3.24:59679 93.186.224.242:80 93.186.224.242:80
tcp :59681 172.16.3.24:59681 188.127.247.115:3389 188.127.247.115:3389
tcp x.x.x.x:59708 172.16.3.24:59708 93.186.224.242:80 93.186.224.242:80
tcp x.x.x.x:59714 172.16.3.24:59714 93.186.224.240:80 93.186.224.240:80
tcp x.x.x.x:59715 172.16.3.24:59715 93.186.224.240:80 93.186.224.240:80
tcp x.x.x.x:59726 172.16.3.24:59726 87.240.188.250:80 87.240.188.250:80
tcp x.x.x.x:59728 172.16.3.24:59728 188.127.247.115:3389 188.127.247.115:3389
tcp x.x.x.x:59729 172.16.3.24:59729 93.153.161.50:80 93.153.161.50:80
tcp x.x.x.x:59730 172.16.3.24:59730 95.78.227.191:80 95.78.227.191:80
tcp x.x.x.x:59731 172.16.3.24:59731 86.62.83.118:80 86.62.83.118:80
tcp x.x.x.x:59733 172.16.3.24:59733 93.153.161.50:39173 93.153.161.50:39173
tcp x.x.x.x:59734 172.16.3.24:59734 95.78.227.191:2536 95.78.227.191:2536
tcp x.x.x.x:59735 172.16.3.24:59735 86.62.83.118:14400 86.62.83.118:14400
трансляция есть! но все равно инета у ПК нет. Может как то провайдер неразрешать НАТ? Дело в том, что в офисе где инет данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, у каждого клиента свой порт и выделен белый IP. так вот у всех одна маска и один шлюз! и все клиенты одного бизнес центра в одной подсети. бред.
>[оверквотинг удален]
> tcp x.x.x.x:59734 172.16.3.24:59734 95.78.227.191:2536
> 95.78.227.191:2536
> tcp x.x.x.x:59735 172.16.3.24:59735 86.62.83.118:14400
> 86.62.83.118:14400
> трансляция есть! но все равно инета у ПК нет. Может как то
> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
> у каждого клиента свой порт и выделен белый IP. так вот
> у всех одна маска и один шлюз! и все клиенты одного
> бизнес центра в одной подсети. бред.обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.
но ната так и нет. может циска глючит?
>[оверквотинг удален]
>> tcp x.x.x.x:59735 172.16.3.24:59735 86.62.83.118:14400
>> 86.62.83.118:14400
>> трансляция есть! но все равно инета у ПК нет. Может как то
>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>> у каждого клиента свой порт и выделен белый IP. так вот
>> у всех одна маска и один шлюз! и все клиенты одного
>> бизнес центра в одной подсети. бред.
> обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.
> но ната так и нет. может циска глючит?debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может "захлебнуться")
>[оверквотинг удален]
>>> трансляция есть! но все равно инета у ПК нет. Может как то
>>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>>> у каждого клиента свой порт и выделен белый IP. так вот
>>> у всех одна маска и один шлюз! и все клиенты одного
>>> бизнес центра в одной подсети. бред.
>> обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.
>> но ната так и нет. может циска глючит?
> debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может
> "захлебнуться")так дебаг будет идти на syslog server?
>[оверквотинг удален]
>>>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>>>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>>>> у каждого клиента свой порт и выделен белый IP. так вот
>>>> у всех одна маска и один шлюз! и все клиенты одного
>>>> бизнес центра в одной подсети. бред.
>>> обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.
>>> но ната так и нет. может циска глючит?
>> debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может
>> "захлебнуться")
> так дебаг будет идти на syslog server?нашел причину.. мдя )
дебаг отчасти помог, включил его только для 100 акцесс листа. этож extended лист! маска то др.вообщем решил так:
ip nat inside source list 1 interface BVI1 overload
!
access-list 1 remark ---local users to ---
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 permit 10.10.10.0 0.0.0.255