URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22860
[ Назад ]

Исходное сообщение
"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 11-Июл-11 17:40

Доброго времени суток, господа.
Такая ситуация: Есть СISCO 2811 c HWIC-2FE.
Схема подключения:
                   FE 0/0/0    ---
                   (192.168.0.1) |
                   FE 0/0/0.9  ----> Router <---- FE 0/0   ----> ISP
                   (192.168.9.1) |                   (10.8.188.10)
                   FE 0/0/0.11 ---
                   (192.168.11.1)
При попытке пинговать DNS-сервер провайдера с внешнего интерфейса (10.8.188.10) полный облом. Однако с любого внутреннего (192.168.0.1, 192.168.9.1, 192.168.11.1) всё нормально. Не подскажете в чем проблема? Куда рыть?

Содержание

Нет пинга с внешнего интерфейса.,VolanD, 05:53 , 12-Июл-11
Нет пинга с внешнего интерфейса.,OvDP, 06:40 , 12-Июл-11
- Нет пинга с внешнего интерфейса.,Shunt, 08:13 , 12-Июл-11
Нет пинга с внешнего интерфейса.,PulsarBF, 09:41 , 12-Июл-11
Нет пинга с внешнего интерфейса.,PulsarBF, 09:53 , 12-Июл-11
- Нет пинга с внешнего интерфейса.,VolanD, 10:50 , 12-Июл-11
  - Нет пинга с внешнего интерфейса.,PulsarBF, 11:02 , 12-Июл-11
    - Нет пинга с внешнего интерфейса.,VolanD, 11:15 , 12-Июл-11
      - Нет пинга с внешнего интерфейса.,PulsarBF, 13:36 , 12-Июл-11
        
        Нет пинга с внешнего интерфейса.,OvDP, 13:40 , 12-Июл-11
        
        Нет пинга с внешнего интерфейса.,PulsarBF, 14:07 , 12-Июл-11
        
        Нет пинга с внешнего интерфейса.,VolanD, 17:36 , 12-Июл-11
        Нет пинга с внешнего интерфейса.,VolanD, 06:57 , 13-Июл-11
        Нет пинга с внешнего интерфейса.,PulsarBF, 09:32 , 13-Июл-11
        
        Нет пинга с внешнего интерфейса.,OvDP, 09:39 , 13-Июл-11
        
        Нет пинга с внешнего интерфейса.,PulsarBF, 12:44 , 13-Июл-11
        
        Нет пинга с внешнего интерфейса.,OvDP, 12:59 , 13-Июл-11
        
        Нет пинга с внешнего интерфейса.,PulsarBF, 13:43 , 13-Июл-11
        
        Нет пинга с внешнего интерфейса.,VolanD, 12:44 , 13-Июл-11

Сообщения в этом обсуждении

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 12-Июл-11 05:53

>[оверквотинг удален]
>        (192.168.9.1) |
>
>      (10.8.188.10)
>
>        FE 0/0/0.11 ---
>
>        (192.168.11.1)
> При попытке пинговать DNS-сервер провайдера с внешнего интерфейса (10.8.188.10) полный
> облом. Однако с любого внутреннего (192.168.0.1, 192.168.9.1, 192.168.11.1) всё нормально.
> Не подскажете в чем проблема? Куда рыть?
Шлюз провайдера пингуется? ДНС пингуете по имени или по ИП? Трассировка до ДНС совсем не идет или проходит хотя бы шлюз? sh run можете показать?

"Нет пинга с внешнего интерфейса."
Отправлено OvDP , 12-Июл-11 06:40

>[оверквотинг удален]
>        (192.168.9.1) |
>
>      (10.8.188.10)
>
>        FE 0/0/0.11 ---
>
>        (192.168.11.1)
> При попытке пинговать DNS-сервер провайдера с внешнего интерфейса (10.8.188.10) полный
> облом. Однако с любого внутреннего (192.168.0.1, 192.168.9.1, 192.168.11.1) всё нормально.
> Не подскажете в чем проблема? Куда рыть?
Пытаюсь угадать: у вас рутер работает без ната? если так, то 10.8.188.10 адрес транзитной сети, с которой доступ к DNS (и куда либо ещё) не нужен, но возможен после общения с провайдером. :)

"Нет пинга с внешнего интерфейса."
Отправлено Shunt , 12-Июл-11 08:13

>[оверквотинг удален]
>>
>> FE 0/0/0.11 ---
>>
>> (192.168.11.1)
>> При попытке пинговать DNS-сервер провайдера с внешнего интерфейса (10.8.188.10) полный
>> облом. Однако с любого внутреннего (192.168.0.1, 192.168.9.1, 192.168.11.1) всё нормально.
>> Не подскажете в чем проблема? Куда рыть?
> Пытаюсь угадать: у вас рутер работает без ната? если так, то 10.8.188.10
> адрес транзитной сети, с которой доступ к DNS (и куда либо
> ещё) не нужен, но возможен после общения с провайдером. :)
Такая же проблема

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 12-Июл-11 09:41

To VolanD:
>Шлюз провайдера пингуется? ДНС пингуете по имени или по ИП? Трассировка до ДНС совсем >не идет или проходит хотя бы шлюз? sh run можете показать?
Шлюз пингуется с такимиже результатами как и DNS, т.е. если источник во внутрених сетях, всё ок, если источник адрес выданный ISP, то облом.
Понгую по IP, т.к. если нет пинга со внешнего адреса, то и резолвится не получается (это и есть основная проблема) все запросы DNS роутер отправляет с адреса ближайшего с адресату => с 10.8.188.10.
Трассировка аналогично пингу, из моих сетей нормально, с внешнего даже шлюз провайдера не проходит.
Конфиг:
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router_GSZ
!
boot-start-marker
boot system flash c2800nm-adventerprisek9-mz.151-4.M.bin
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
dot11 syslog
ip source-route
!
ip cef
!
ip dhcp excluded-address 192.168.9.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.11.1
ip dhcp excluded-address 192.168.12.1
!
ip dhcp pool Admin
network 192.168.9.0 255.255.255.0
default-router 192.168.9.1
netbios-name-server 192.168.0.14
dns-server 192.168.0.1
!
ip dhcp pool GSZ
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.0.1
!
ip dhcp pool EGAIS
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
dns-server 192.168.0.1
!
ip dhcp pool ECO
network 192.168.12.0 255.255.255.0
default-router 192.168.12.1
dns-server 192.168.0.1
!
ip domain name yourdomain.com
ip name-server 79.173.80.1
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
crypto pki token default removal timeout 0
!
license udi pid CISCO2811 sn ***********
username ******** privilege 15 secret 5 *******************
!
redundancy
!
interface FastEthernet0/0
description AstraOreol
ip address 10.8.188.10 255.255.255.0
ip nat outside
no ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description PeterStar
ip address 109.124.*.194 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload
ip nat inside source route-map PeterStar interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 10.8.188.1
ip route 0.0.0.0 0.0.0.0 109.124.*.193 20
!
logging esm config
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map AstraOreol permit 10
match interface FastEthernet0/0
!
route-map PeterStar permit 10
match interface FastEthernet0/1
!
control-plane
!
mgcp profile default
!
line con 0
login local
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
end

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 12-Июл-11 09:53

To OvDP
>Пытаюсь угадать: у вас рутер работает без ната? если так, то 10.8.188.10 адрес >транзитной сети, с которой доступ к DNS (и куда либо ещё) не нужен, но возможен после >общения с провайдером. :)
NAT вроде как настроен (конфиг см. в предыдущем посте), 10.8.188.0 255.255.255.0 я так понимаю действительно транзитная сеть провайдера (адрес DNS 79.173.80.1). А как тогда получать адреса? И как без NAT'а будут хосты из внутренних сетей наружу ходить?
Пинг на DNS нужен для реализации DNS-proxy на маршрутизаторе, MultyHoming'а и SLA (динамическая смена маршрутов у разных VLAN'ов).

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 12-Июл-11 10:50

> To OvDP
>>Пытаюсь угадать: у вас рутер работает без ната? если так, то 10.8.188.10 адрес >транзитной сети, с которой доступ к DNS (и куда либо ещё) не нужен, но возможен после >общения с провайдером. :)
> NAT вроде как настроен (конфиг см. в предыдущем посте), 10.8.188.0 255.255.255.0 я
> так понимаю действительно транзитная сеть провайдера (адрес DNS 79.173.80.1). А как
> тогда получать адреса? И как без NAT'а будут хосты из внутренних
> сетей наружу ходить?
> Пинг на DNS нужен для реализации DNS-proxy на маршрутизаторе, MultyHoming'а и SLA
> (динамическая смена маршрутов у разных VLAN'ов).
Если нат, то сеть не транзитная, т.е. 192ая -это не сеть провайдера. Может когда вы делаете пинг, то соурс адрес не тот который ожидает увидеть провайдер? Может попробовать руками задать сорс при пинге? Хотя я в это слабо верю, но мало ли что бывает)))
ЗЫ: Еще может помочь debug ip packet (осторожно! из-за большой активности может повесить доступ к роутеру!)

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 12-Июл-11 11:02

> Если нат, то сеть не транзитная, т.е. 192ая -это не сеть провайдера.
> Может когда вы делаете пинг, то соурс адрес не тот который
> ожидает увидеть провайдер? Может попробовать руками задать сорс при пинге? Хотя
> я в это слабо верю, но мало ли что бывает)))
> ЗЫ: Еще может помочь debug ip packet (осторожно! из-за большой активности может
> повесить доступ к роутеру!)
192.168.х.0 - это мои сети, 10.8.188.0 - сеть ISP, 10.8.188.10 - адрес выданный мне ISP, 79.173.80.1 - один из DNS провайдера.
Пинги:
Router_GSZ#ping 79.173.80.1 source 192.168.9.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 79.173.80.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.9.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/12 ms
Debug (1 repeat):
*Jul 12 07:02:41.547: IP: s=192.168.9.1 (local), d=79.173.80.1, len 100, local feature, NAT(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.547: IP: s=192.168.9.1 (local), d=79.173.80.1 (FastEthernet0/0), len 100, sending
*Jul 12 07:02:41.547: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len 100, output feature, Post-routing NAT Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.547: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len 100, output feature, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.547: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len 100, output feature, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.547: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len 100, sending full packet
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, input feature, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, input feature, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, input feature, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, input feature, NAT Outside(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, input feature, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: tableid=0, s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1 (FastEthernet0/0/0.9), routed via RIB
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1 (FastEthernet0/0/0.9), len 100, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1 (FastEthernet0/0/0.9), len 100, output feature, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, rcvd 4
*Jul 12 07:02:41.551: IP: s=79.173.80.1 (FastEthernet0/0), d=192.168.9.1, len 100, stop process pak for forus packet
Router_GSZ#ping 79.173.80.1 source 10.8.188.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 79.173.80.1, timeout is 2 seconds:
Packet sent with a source address of 10.8.188.10
.....
Success rate is 0 percent (0/5)
Debug (1 repeat):
*Jul 12 07:01:40.059: IP: s=10.8.188.10 (local), d=79.173.80.1, len 100, local feature, NAT(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Jul 12 07:01:40.059: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len 100, sending
*Jul 12 07:01:40.059: IP: s=10.8.188.10, d=79.173.80.1, pak 4963D63C consumed in output feature , packet consumed, Post-routing NAT Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE.

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 12-Июл-11 11:15

>[оверквотинг удален]
> .....
> Success rate is 0 percent (0/5)
> Debug (1 repeat):
> *Jul 12 07:01:40.059: IP: s=10.8.188.10 (local), d=79.173.80.1, len 100, local feature,
> NAT(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
> *Jul 12 07:01:40.059: IP: s=10.8.188.10 (local), d=79.173.80.1 (FastEthernet0/0), len
> 100, sending
> *Jul 12 07:01:40.059: IP: s=10.8.188.10, d=79.173.80.1, pak 4963D63C consumed in output
> feature , packet consumed, Post-routing NAT Outside(24), rtype 1, forus FALSE,
> sendself FALSE, mtu 0, fwdchk FALSE.
О_о Странно, попробуйте на время отключить нат на f0/0, скорее всего дело в нем

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 12-Июл-11 13:36

> О_о Странно, попробуйте на время отключить нат на f0/0, скорее всего дело
> в нем
Согласен, странно. Ж-/
После отключения ip nat outside пинг с внешнего адреса пошел, как по ip так и по имени. Но внутренние сети потеряли выход во вне (как и следовало ожидать). Может как-то NAT специально надо настроить? Только как?

"Нет пинга с внешнего интерфейса."
Отправлено OvDP , 12-Июл-11 13:40

>> О_о Странно, попробуйте на время отключить нат на f0/0, скорее всего дело
>> в нем
> Согласен, странно. Ж-/
> После отключения ip nat outside пинг с внешнего адреса пошел, как по
> ip так и по имени. Но внутренние сети потеряли выход во
> вне (как и следовало ожидать). Может как-то NAT специально надо настроить?
> Только как?
оставить nat и по dhcp раздовать внешний dns не вариант?

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 12-Июл-11 14:07

> оставить nat и по dhcp раздовать внешний dns не вариант?
При таком подходе возникаю следующие вопросы:
1. Как организовать раздачу 4 DNS от 2 ISP (по два на каждого)?
2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса т.е. внешнего, а он как раз становится нерабочим)?
Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти пинг, если в качестве источника указать внешний интерфейс? При пинге с внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса и создаётся правило в таблице трасляции.

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 12-Июл-11 17:36

>> оставить nat и по dhcp раздовать внешний dns не вариант?
> При таком подходе возникаю следующие вопросы:
> 1. Как организовать раздачу 4 DNS от 2 ISP (по два на
> каждого)?
> 2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса
> т.е. внешнего, а он как раз становится нерабочим)?
> Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти
> пинг, если в качестве источника указать внешний интерфейс? При пинге с
> внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса
> и создаётся правило в таблице трасляции.
Я бы попробовал включить debug ip nat и пингануть (с включенным натом)... вдруг че-нить выдаст... Мне кажется, что при пинге каким-то образом нат менят сорс ИП...

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 13-Июл-11 06:57

>> оставить nat и по dhcp раздовать внешний dns не вариант?
> При таком подходе возникаю следующие вопросы:
> 1. Как организовать раздачу 4 DNS от 2 ISP (по два на
> каждого)?
> 2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса
> т.е. внешнего, а он как раз становится нерабочим)?
> Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти
> пинг, если в качестве источника указать внешний интерфейс? При пинге с
> внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса
> и создаётся правило в таблице трасляции.
Если совсем ничего не помогает, то ставим ПК вместо провайдера и запускам снифер, дальше смотрим что приходит от вас (если вообще что-то приходит)

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 13-Июл-11 09:32

>Я бы попробовал включить debug ip nat и пингануть (с включенным натом)... вдруг че-нить >выдаст... Мне кажется, что при пинге каким-то образом нат менят сорс ИП...
Вам не кажетется, а так оно и есть. Сам NAT на этом построен при трасляции в заголовке ip-пакета меняются адраса: во вне - источника, из вне - цели. Вот нормалный вывод NAT'а (это удачный пинг с внутреннего интерфейса):
*Jul 13 05:11:57.062: NAT: s=192.168.9.1->10.8.188.10, d=79.173.80.1 [51]
*Jul 13 05:11:57.062: NAT*: s=79.173.80.1, d=10.8.188.10->192.168.9.1 [41933]
*Jul 13 05:11:57.066: NAT: s=192.168.9.1->10.8.188.10, d=79.173.80.1 [52]
*Jul 13 05:11:57.066: NAT*: s=79.173.80.1, d=10.8.188.10->192.168.9.1 [41934]
*Jul 13 05:11:57.066: NAT: s=192.168.9.1->10.8.188.10, d=79.173.80.1 [53]
*Jul 13 05:11:57.066: NAT*: s=79.173.80.1, d=10.8.188.10->192.168.9.1 [41935]
*Jul 13 05:11:57.070: NAT: s=192.168.9.1->10.8.188.10, d=79.173.80.1 [54]
*Jul 13 05:11:57.070: NAT*: s=79.173.80.1, d=10.8.188.10->192.168.9.1 [41936]
>Если совсем ничего не помогает, то ставим ПК вместо провайдера и запускам снифер, >дальше смотрим что приходит от вас (если вообще что-то приходит)
Вот зеультат debug ip nat:
*Jul 13 05:12:55.394: NAT: translation failed (A), dropping packet s=10.8.188.10 d=79.173.80.1.
*Jul 13 05:12:57.394: NAT: translation failed (A), dropping packet s=10.8.188.10 d=79.173.80.1.
*Jul 13 05:12:59.394: NAT: translation failed (A), dropping packet s=10.8.188.10 d=79.173.80.1.
*Jul 13 05:13:01.394: NAT: translation failed (A), dropping packet s=10.8.188.10 d=79.173.80.1.
*Jul 13 05:13:03.394: NAT: translation failed (A), dropping packet s=10.8.188.10 d=79.173.80.1.
Сама циска отбрасывате пакеты, подключение компа на внешний интерфейс ничего не даст. А вот почему происходит отборс пакета? ACL одна и только на доступ к циске по http или через консоль. Да и вообще, зачем циска пытается странслировать внешний адрес? Я думаю надо что-то с настройками NAT'а делать.

"Нет пинга с внешнего интерфейса."
Отправлено OvDP , 13-Июл-11 09:39

попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать каким пакетам можно попадать в нат

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 13-Июл-11 12:44

> попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать
> каким пакетам можно попадать в нат
Спасибо. Именно это и помогло. Был создан ACL:
ip access-list standard Test
permit 192.168.0.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
И добавлено соответсвие этому листу в route-map:
route-map AstraOreol permit 10
match ip address Test
match interface FastEthernet0/0
А теперь вопрос, смысл последней строчки в route-map?

"Нет пинга с внешнего интерфейса."
Отправлено OvDP , 13-Июл-11 12:59

>[оверквотинг удален]
> Спасибо. Именно это и помогло. Был создан ACL:
> ip access-list standard Test
>  permit 192.168.0.0 0.0.0.255
>  permit 192.168.9.0 0.0.0.255
>  permit 192.168.11.0 0.0.0.255
> И добавлено соответсвие этому листу в route-map:
> route-map AstraOreol permit 10
>  match ip address Test
>  match interface FastEthernet0/0
> А теперь вопрос, смысл последней строчки в route-map?
конструкция с мачением интерфейса мне самому не логична, но так решила cisco :)

"Нет пинга с внешнего интерфейса."
Отправлено PulsarBF , 13-Июл-11 13:43

>>[оверквотинг удален]
>> И добавлено соответсвие этому листу в route-map:
>> route-map AstraOreol permit 10
>> match ip address Test
>> match interface FastEthernet0/0
>> А теперь вопрос, смысл последней строчки в route-map?
> конструкция с мачением интерфейса мне самому не логична, но так решила cisco
> :)
Соответствие списку доступа понятно. Соответствие интерфейсу тоже понятно. Но в данном случае указан интерфейс который ведёт к ISP. При том, что с этой строчкой, что без неё, всё работает. Так в чём её сокральный смысл? Я думал что она разрешает всё что придёт на сам FE0/0, вне зависимости от IP-адреса. Видимо ошибался... 8-\

"Нет пинга с внешнего интерфейса."
Отправлено VolanD , 13-Июл-11 12:44

> попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать
> каким пакетам можно попадать в нат
+1
Интересно только почему так то! Там же ясно написано: ip nat outside