URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 3978
[ Назад ]

Исходное сообщение
"HEEELP !!! НЕ МОГУ  получить доступ из инета"

Отправлено serty , 05-Окт-03 21:50 
HEEELP !!! НЕ МОГУ  получить доступ из инета.
Ногами не бить так как читал все факи статьи и т.п., пробовал сделать все, с чем ток не играл и с ACL и с NAT.
Хрен выходит. Точнее входит ;)
С циски могу пингануть всех. С инета не могу зайти даже телнетом (на циску зайти могу).
Где моя ошибка что надо добавить /убрать.
Нужно. Сделать вот что :
[internet]--------[CISCO 801]-----[WWW]-------[FTP]
                                                                   \
                                                                    [MAIL]                          
адрес в Интернет у циски – 195.94.ХХХ.ХХХ
адрес в Локалку  у циски –  192.168.4.1
адрес в Локалке у WWW –  192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.1
он же и роутер для локалки все это на (2K AS)
адрес в Локалке у FTP     - 192.168.1.51
адрес в Локалке у MAIL  - 192.168.3.51

Вот конфиг:
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ********
!
enable secret 5 $1$/TAN$VhMFmmxI9LFFf1/xDeExa.
!
username psktak password 7 ********
!
ip subnet-zero
no ip source-route
!
isdn switch-type basic-net3
!
interface Ethernet0
ip address 192.168.4.1 255.255.255.0
ip access-group 121 in
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
ppp multilink
!
interface Dialer1
description ISP
ip address negotiated
ip access-group 121 in
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer string ******** class DialClass
dialer string ******** class DialClass
dialer hold-queue 10
dialer load-threshold 10 either
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname mseika
ppp chap password 7 ********
ppp pap sent-username ******** password 7 ********
ppp multilink
!
ip nat inside source list 18 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.1 80 195.94.xxx.xxx 80 extendable
ip nat inside source static tcp 192.168.3.51 25 195.94.xxx.xxx 25 extendable
ip nat inside source static tcp 192.168.1.51 21 195.94.xxx.xxx 21 extendable
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
map-class dialer DialClass
access-list 18 permit 192.168.4.0 0.0.0.255
access-list 121 deny   udp any eq netbios-dgm any
access-list 121 deny   udp any eq netbios-ns any
access-list 121 deny   udp any eq netbios-ss any
access-list 121 deny   tcp any eq 137 any
access-list 121 deny   tcp any eq 138 any
access-list 121 deny   tcp any eq 139 any
access-list 121 permit ip any any time-range TIME
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
!
no rcapi server
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end



Содержание

Сообщения в этом обсуждении
"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ersh , 06-Окт-03 11:30 
>HEEELP !!! НЕ МОГУ  получить доступ из инета.
>Ногами не бить так как читал все факи статьи и т.п., пробовал
>сделать все, с чем ток не играл и с ACL и
>с NAT.
>Хрен выходит. Точнее входит ;)
>С циски могу пингануть всех. С инета не могу зайти даже телнетом
>(на циску зайти могу).
>Где моя ошибка что надо добавить /убрать.
>Нужно. Сделать вот что :
>[internet]--------[CISCO 801]-----[WWW]-------[FTP]
>            
>          
>А если попробовать так:
ip nat outside source static tcp 195.94.xxx.xxx 80 192.168.1.1 80
          
>          
>          
>          
>\
>            
>          
>          
>          
>          
>          
> [MAIL]
>адрес в Интернет у циски – 195.94.ХХХ.ХХХ
>адрес в Локалку  у циски –  192.168.4.1
>адрес в Локалке у WWW –  192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.1
>он же и роутер для локалки все это на (2K AS)
>адрес в Локалке у FTP     - 192.168.1.51
>адрес в Локалке у MAIL  - 192.168.3.51
>
>Вот конфиг:
>!
>version 12.1
>no service pad
>service timestamps debug uptime
>service timestamps log uptime
>service password-encryption
>!
>hostname ********
>!
>enable secret 5 $1$/TAN$VhMFmmxI9LFFf1/xDeExa.
>!
>username psktak password 7 ********
>!
>ip subnet-zero
>no ip source-route
>!
>isdn switch-type basic-net3
>!
>interface Ethernet0
> ip address 192.168.4.1 255.255.255.0
> ip access-group 121 in
> no ip proxy-arp
> ip nat inside
>!
>interface BRI0
> no ip address
> encapsulation ppp
> dialer pool-member 1
> isdn switch-type basic-net3
> ppp authentication chap pap callin
> ppp multilink
>!
>interface Dialer1
> description ISP
> ip address negotiated
> ip access-group 121 in
> no ip proxy-arp
> ip nat outside
> encapsulation ppp
> no ip split-horizon
> dialer remote-name Cisco1
> dialer pool 1
> dialer idle-timeout 300
> dialer string ******** class DialClass
> dialer string ******** class DialClass
> dialer hold-queue 10
> dialer load-threshold 10 either
> dialer-group 1
> ppp authentication chap pap callin
> ppp chap hostname mseika
> ppp chap password 7 ********
> ppp pap sent-username ******** password 7 ********
> ppp multilink
>!
>ip nat inside source list 18 interface Dialer1 overload
>ip nat inside source static tcp 192.168.1.1 80 195.94.xxx.xxx 80 extendable
>ip nat inside source static tcp 192.168.3.51 25 195.94.xxx.xxx 25 extendable
>ip nat inside source static tcp 192.168.1.51 21 195.94.xxx.xxx 21 extendable
>no ip http server
>ip classless
>ip route 0.0.0.0 0.0.0.0 Dialer1
>!
>map-class dialer DialClass
>access-list 18 permit 192.168.4.0 0.0.0.255
>access-list 121 deny   udp any eq netbios-dgm any
>access-list 121 deny   udp any eq netbios-ns any
>access-list 121 deny   udp any eq netbios-ss any
>access-list 121 deny   tcp any eq 137 any
>access-list 121 deny   tcp any eq 138 any
>access-list 121 deny   tcp any eq 139 any
>access-list 121 permit ip any any time-range TIME
>dialer-list 1 protocol ip permit
>!
>line con 0
> exec-timeout 120 0
> transport input none
> stopbits 1
>line vty 0 4
> exec-timeout 0 0
> login local
>!
>no rcapi server
>!
>!
>time-range TIME
> periodic daily 0:00 to 23:59
>!
>end



"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 06-Окт-03 13:43 
>>А если попробовать так:
>ip nat outside source static tcp 195.94.xxx.xxx 80 192.168.1.1 80

:( не выходит


"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ersh , 07-Окт-03 10:08 
>>>А если попробовать так:
>>ip nat outside source static tcp 195.94.xxx.xxx 80 192.168.1.1 80
>
>:( не выходит
Сорри, не прав.
Другой вариант. Выданный диапазон IP-адресов разбивается на 2 подсети.
IP-адрес из первой подсети навешивается на внешний интерфейс роутера. IP-адрес из 2-й подсети - на внутренний как secondary ip-address. На внешних серваках - IP-адреса из 2-й подсети(в дополнение к имеющимся частным IP-адресам). И попросить провайдера, чтобы прописал статический маршрут во 2-ю подсеть через IP-address внешнего интерфейса.



"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено Roger , 07-Окт-03 13:43 
Попробуй сделать
debug ip packet 121

"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено Alex , 06-Окт-03 11:33 
адрес в Локалку  у циски –  192.168.4.1 !!!
адрес в Локалке у WWW –  192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.1 !!!
адресса  у www и cisco  одинаковые ???

"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 06-Окт-03 12:16 
> адресса  у www и cisco  одинаковые ???
Ошибся сорри надо читать так:
адрес в Локалке у WWW –  192.168.1.1,192.168.2.1,192.168.3.1,192.168.4.2



"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ВОЛКА , 06-Окт-03 14:20 
э... убери списки доступа с Dialer

посмотри sh int d0
какой ip у этого интерфейса? пингуется ли он из инета?


"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 07-Окт-03 16:36 
>посмотри sh int d0
Dialer1 is up, line protocol is up
  Hardware is Unknown
  Description: ISP
  Internet address is 195.94.xxx.xxx/32
  MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 3/255, rxload 7/255
  Encapsulation PPP, loopback not set
  DTR is pulsed for 1 seconds on reset
  Time to interface disconnect:  idle 00:04:58
  Interface is bound to BRI0:1
  Interface is bound to BRI0:2
  LCP Open, multilink Open
  Listen: CDPCP
  Open: IPCP
  Last input 00:00:01, output never, output hang never
  Last clearing of "show interface" counters 1d03h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops)
     Conversations  0/16/16 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
  5 minute input rate 4000 bits/sec, 2 packets/sec
  5 minute output rate 2000 bits/sec, 2 packets/sec
     173413 packets input, 46800113 bytes
     140204 packets output, 10338979 bytes
Bound to:
BRI0:1 is up, line protocol is up
  Hardware is BRI with S/T interface
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 7/255, rxload 7/255
  Encapsulation PPP, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Dialer1 (Encapsulation PPP)
  LCP Open, multilink Open
  Last input 00:00:01, output 00:00:01, output hang never
  Last clearing of "show interface" counters never
  Queueing strategy: fifo
  Output queue 0/40, 0 drops; input queue 0/75, 0 drops
  5 minute input rate 2000 bits/sec, 2 packets/sec
  5 minute output rate 2000 bits/sec, 2 packets/sec
     169249 packets input, 31073194 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     1 input errors, 0 CRC, 1 frame, 0 overrun, 0 ignored, 0 abort
     128274 packets output, 9705289 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
     1 carrier transitions
Bound to:
BRI0:2 is up, line protocol is up
  Hardware is BRI with S/T interface
  MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec,
     reliability 255/255, txload 3/255, rxload 19/255
  Encapsulation PPP, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Dialer1 (Encapsulation PPP)
  LCP Open, multilink Open
  Last input 00:00:02, output 00:00:02, output hang never
  Last clearing of "show interface" counters never
  Queueing strategy: fifo
  Output queue 0/40, 0 drops; input queue 0/75, 0 drops
  5 minute input rate 5000 bits/sec, 3 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
     45788 packets input, 16572174 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     31235 packets output, 3006894 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
     239 carrier transitions

>какой ip у этого интерфейса? пингуется ли он из инета?
Internet address is 195.94.xxx.xxx/32  
Да пингуется.



"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ВОЛКА , 07-Окт-03 17:50 
а что???
можете ты на этот адрес зайти телнетом?

"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 08-Окт-03 13:41 
>а что???
>можете ты на этот адрес зайти телнетом?
да :) можем :) с нета на телнет а может я дам доступ ????


"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ВОЛКА , 08-Окт-03 13:44 
ничего не понял...

"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 10-Окт-03 09:54 
>ничего не понял...

на внешний цисковский адрес могу зайти телнетом.


"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ВОЛКА , 10-Окт-03 11:40 
а чего хотел то? :))

"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено serty , 10-Окт-03 12:40 
>а чего хотел то? :))
хочу открыть доступ из инета на WWW MAIL FTP.
Помоги плз ;) может я дам Логин / Пароль и ип ?? попробуй плз телнетом глянуть конфиг.



"HEEELP !!! НЕ МОГУ  получить доступ из инета"
Отправлено ВОЛКА , 10-Окт-03 12:50 
э... ну давай...