День добрый!В общем следующая ситуация, есть циска, подключается к интернету через спутниковый модем. У модема 2 адреса, один который шлюз для интернета второй сервисный. Хотелось бы иметь возможность через циску получать доступ к настройка модема, чтоб при желании считывать на нём уровень сигнала, и не ехать для этого в тьмутаракань или не звонить пользователям тудаже. В общем вот конфиг:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router41
!
boot-start-marker
boot system flash c880data-universalk9-mz.124-24.T5.bin
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable secret 5 $1$O5rP$5UIjce61auefUmtHBWVJ21
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
crypto pki trustpoint tti
revocation-check crl
!
crypto pki trustpoint TP-self-signed-2306235111
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2306235111
revocation-check none
rsakeypair TP-self-signed-2306235111
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-2306235111
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32333036 32333531 3131301E 170D3132 30323131 30383033
31385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 33303632
33353131 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E1B9 CF32E026 E2AEF5AC F8FAAC84 A8C0E444 E348C076 AE71D365 D0B7A809
EC5FF94E F768EE6B 5CB55D6D B4CFCB3B 3AFB2B95 18047DCF 7D866320 49090BBD
733AA01D 19F81BD6 A0B37A97 1ABA53F2 74F952C6 0ABCA144 7CC8DFA1 E0041EC9
1821A136 C4D7C97E 578B4CA9 1D62665B F9DE13A0 B9413DA5 88EC504A 59B69DF5
56510203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11526F75 74657234 312E7066 7367672E 7275301F 0603551D
23041830 1680149F F0884E7E FAAB9A32 4ADD1C75 FDDBB0A5 C3457B30 1D060355
1D0E0416 04149FF0 884E7EFA AB9A324A DD1C75FD DBB0A5C3 457B300D 06092A86
4886F70D 01010405 00038181 00DC5890 5196E48C E687DBCF E8C2D434 2133B21A
268E90A2 821A95C6 BE69EDBC 39A21F11 6FE2739D 52BB7286 1FD156A4 3B79408C
A7877042 048880DA 7A9BB4BF 66FD2F06 DB632A69 612A9EDD 9A0B135E BF477410
0B84BE1F EC53E812 298559D8 C1DEBB4D 834EF2B5 D2CA37C1 171776C1 CE5910FE
513E552D 68F84F7B 3CF6CDAA 51
quit
ip source-route
ip dhcp excluded-address 192.168.41.1
!
ip dhcp pool ccp-pool
import all
network 192.168.41.0 255.255.255.0
default-router 192.168.41.1
lease 0 2
!
!
ip cef
no ip domain lookup
ip domain name pfsgg.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 195.191.131.248
ip ddns update method ccp_ddns1
DDNS both
!
ip ddns update method ccp_ddns2
DDNS both
!
no ipv6 cef
!
!
!
!
username ***** privilege 15 secret 5 ******
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key 9xSfn0n41 address 195.191.131.247
crypto isakmp key m0tr72gghu41s3 address 80.84.114.180
!
!
crypto ipsec transform-set VPNMonitoringSite esp-des esp-md5-hmac
crypto ipsec transform-set VPNSGG esp-des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to80.84.114.180
set peer 80.84.114.180
set transform-set VPNMonitoringSite
match address 100
crypto map SDM_CMAP_1 2 ipsec-isakmp
description Tunnel to195.191.131.247
set peer 195.191.131.247
set transform-set VPNSGG
match address 102
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$ETH-WAN$
ip ddns update ccp_ddns2
ip address 10.224.89.182 255.255.255.0 secondary
ip address 46.31.0.58 255.255.255.252
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$
ip address 192.168.41.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 46.31.0.57 254
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.41.0 0.0.0.255
access-list 100 remark CCP_ACL Category=4
access-list 100 remark SDM_ACL Category=20
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.41.0 0.0.0.255 192.168.77.0 0.0.0.255
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.41.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 remark CCP_ACL Category=18
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.41.0 0.0.0.255 192.168.0.0 0.0.1.255
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 89.149.195.122
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 195.191.131.251
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 195.191.131.250
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 195.191.131.248
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 195.191.131.247
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 88.205.248.102
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 10.224.89.181
access-list 101 permit ip 192.168.41.0 0.0.0.255 host 46.31.0.57
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.41.0 0.0.0.255 192.168.77.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.41.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.41.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny ip 192.168.41.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 deny ip 192.168.41.0 0.0.0.255 any log
access-list 102 remark CCP_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 192.168.41.0 0.0.0.255 192.168.0.0 0.0.1.255
no cdp run!
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
exec-timeout 60 0
logging synchronous
login local
no modem enable
history size 100
line aux 0
line vty 0 4
exec-timeout 60 0
logging synchronous
login local
length 0
history size 100
transport input all
!
scheduler max-task-time 5000
end
____________________________
У модема 2 IP:
1) 46.31.0.57 - шлюз для интернета
2) 10.224.89.181 - непосредственно сервисный
Прописал второй IP как Secondary для FastEthernet4.
Но дальше при пинге с самой циски вижу следующее:Router41#ping 10.224.89.181
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.224.89.181, timeout is 2 seconds:
.U...
Success rate is 0 percent (0/5)НЕ ПИНГУЕТСЯ!!!
_____________________
Сделал Трассировку:
Router41#traceroute 10.224.89.181Type escape sequence to abort.
Tracing the route to 10.224.89.1811 46.31.0.57 0 msec 4 msec 0 msec
2 192.168.124.7 804 msec 696 msec 800 msec
3 192.168.124.1 768 msec 676 msec 672 msec
4 192.168.251.1 740 msec 640 msec 720 msec
5 91.102.200.57 656 msec 644 msec 624 msec
6 * * *
7 * * *
8 * !H *Понял что циска почему то пытается найти мой сервисный адрес за шлюзом, и теперь я не понимаю, в каком месте я дурак,2 адреса на интерфейсе, значит если адрес к которому надо получить доступ находится в одной из сетей этих адресов то к шлюзу то лезть не надо, однако она шлёт через шлюз. Попытался поменять ИП местами взял сделал адрес интернета секондари а тот который сервисный основным, запинговался сервисный ИП модема, однако отвалился тырнет. Может ктото расскажет что я делаю не так?
>[оверквотинг удален]
> 7 * * *
> 8 * !H *
> Понял что циска почему то пытается найти мой сервисный адрес за шлюзом,
> и теперь я не понимаю, в каком месте я дурак,2 адреса
> на интерфейсе, значит если адрес к которому надо получить доступ находится
> в одной из сетей этих адресов то к шлюзу то лезть
> не надо, однако она шлёт через шлюз. Попытался поменять ИП местами
> взял сделал адрес интернета секондари а тот который сервисный основным, запинговался
> сервисный ИП модема, однако отвалился тырнет. Может ктото расскажет что я
> делаю не так?А предоставьте таблицу маршрутизации...
Router41#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 46.31.0.57 to network 0.0.0.0
C 192.168.41.0/24 is directly connected, Vlan1
10.0.0.0/30 is subnetted, 1 subnets
C 10.224.89.180 is directly connected, FastEthernet4
46.0.0.0/30 is subnetted, 1 subnets
C 46.31.0.56 is directly connected, FastEthernet4
S* 0.0.0.0/0 [254/0] via 46.31.0.57
Сделайте пул для ната из данной подсети 10.224.89.182 255.255.255.0 и добавьте еще одно правило для НАТ трансляции (не забудте трафик в аксес листе описать)
Сделал следующее:
access-list 177 permit ip 192.168.41.0 0.0.0.255 host 10.224.89.181
ip nat inside source list 177 pool ServiceSat
ip nat pool ServiceSat 10.224.89.182 10.224.89.182 netmask 255.255.255.252С компьютера который за VLAом пинговаться начал, только перестали данные через тунель идти, VPN поднимается, а пинги доходят только шлюзов. И также не ясно как теперь 10.224.89.181 через тунель отмаршрутизировать.
Разобрался, сам дурак)
Забыл закрыть тунели через нат)access-list 177 deny ip 192.168.41.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 177 deny ip 192.168.41.0 0.0.0.255 192.168.77.0 0.0.0.255
access-list 177 deny ip 192.168.41.0 0.0.0.255 192.168.0.0 0.0.1.255
access-list 177 permit ip 192.168.41.0 0.0.0.255 host 10.224.89.181
ip nat inside source list 177 pool ServiceSat
ip nat pool ServiceSat 10.224.89.182 10.224.89.182 netmask 255.255.255.252
Теперь осталось понять как этот ип через тунель промаршрутизировать, чтоб его из сети которая в офисе видно было)
Ага не угодал, как только начинаю пинговать 10.224.89.181 с компа который за VLA'ом, то он тут жу отклеивается от тунеля(
Вот блин, гдеже я косячу?(((1)Пингую 192.168.41.2 с компа который в офисе(192.168.0.30), пинг идёт
2)Потом на компе который за циской(192.168.41.2) пингую 10.224.89.181
И с офисом пинг прекращается!(
Ребутнул циску опять с офисом есть пинг.