URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 640
[ Назад ]

Исходное сообщение
"NAT"
Отправлено sidsoft , 26-Мрт-13 13:19

Здравствуйте Уважаемые.
Есть CISCO 881 и три провайдера:
interface Vlan2
description TELECOM1
ip address 10.10.10.10 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
interface FastEthernet4 <- ЭТО WAN Интерфейс
description TELECOM2
ip address 20.20.20.20 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
duplex auto
speed auto
interface Vlan3
description TELECOM3
ip address 30.30.30.30 255.255.255.0
ip nat outside
ip virtual-reassembly in max-reassemblies 64
Выхожу в Интернет только по одному из "ЖИВЫХ" провайдеров отслеживая каналы на "живость":
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
track 300 ip sla 300 reachability
!
ip sla 100
icmp-echo 8.8.8.8 source-ip 10.10.10.10
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 8.8.8.8 source-ip 20.20.20.20
frequency 5
ip sla schedule 200 life forever start-time now
соответственно есть "правила":
ip local policy route-map RMAP
ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.0
ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0
ip nat pool TELECOM3Pool 30.30.30.30 30.30.30.30 netmask 255.255.255.0
ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload
ip nat inside source route-map TELECOM3-NAT pool TELECOM3Pool overload
ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload
ip route 0.0.0.0 0.0.0.0 10.10.10.10 10 track 100
ip route 0.0.0.0 0.0.0.0 20.20.20.20 20 track 200
ip route 0.0.0.0 0.0.0.0 30.30.30.30 30 track 300
и "листы":
ip access-list extended ACL_SLA_TELECOM1
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM3
permit ip 30.30.30.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM2
permit ip 20.20.20.0 0.0.0.255 any
и "карты":
route-map RMAP permit 10
match ip address ACL_SLA_TELECOM2
set ip next-hop 20.20.20.9
!
route-map RMAP permit 20
match ip address ACL_SLA_TELECOM1
set ip next-hop 10.10.10.9
!
route-map RMAP permit 30
match ip address ACL_SLA_TELECOM3
set ip next-hop 30.30.30.9
!
route-map TELECOM3_NAT permit 100
match ip address ACL_NAT
match interface Vlan3
!
route-map TELECOM2_NAT permit 100
match ip address ACL_NAT
match interface FastEthernet4
!
route-map TELECOM1_NAT permit 100
match ip address ACL_NAT
match interface Vlan2
Все работает, тут появилась задача, через TELECOM3 настроить Туннель, что бы получать "авторизованный" сервис, авторизация по тунельному ключу и по пиринговому IP-адресу:
Вот туннель + настройка ключа:
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key **** address 50.50.50.50
!
crypto ipsec transform-set ANKS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set ANKS
!
interface Tunnel2
description PRIVATE-SERVICE
ip address 192.168.199.2 255.255.255.252
tunnel source 30.30.30.30
tunnel destination 50.50.50.50
tunnel protection ipsec profile IPSEC
ЗА 192.168.199.Х имеется IP-адрес 1.1.1.1 который пингуется только с тунельного(пирингового) IP-адреса 192.168.199.2
ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный туннель?
Сама CISCO данный IP-адрес пингует, маршрут имеется:
ip route 1.1.1.1 255.255.255.255 Tunnel2
СПАСИБО ВСЕМ ОТВЕТИВШИМ!

Содержание

NAT,eek, 20:40 , 26-Мрт-13
- NAT,sidsoft, 06:58 , 28-Мрт-13
  - NAT,elk_killa, 08:15 , 28-Мрт-13
    - NAT,sidsoft, 21:12 , 29-Мрт-13
  - NAT,sTALK_specTrum, 12:03 , 01-Апр-13
NAT,crash, 08:27 , 28-Мрт-13
- NAT,sidsoft, 21:14 , 29-Мрт-13
NAT,McS555, 11:01 , 29-Мрт-13
- NAT,sidsoft, 20:16 , 29-Мрт-13
  - NAT,McS555, 11:43 , 31-Мрт-13
    - NAT,sidsoft, 13:44 , 01-Апр-13
      - NAT,McS555, 15:13 , 01-Апр-13
        
        NAT,McS555, 15:22 , 01-Апр-13
        NAT,sidsoft, 15:29 , 01-Апр-13
        
        NAT,McS555, 15:38 , 01-Апр-13
        
        NAT,sidsoft, 15:40 , 01-Апр-13
        
        NAT,McS555, 15:46 , 01-Апр-13
        
        NAT,McS555, 15:48 , 01-Апр-13
        
        NAT,sidsoft, 15:53 , 01-Апр-13
        NAT,sidsoft, 09:05 , 11-Апр-13

Сообщения в этом обсуждении

"NAT"
Отправлено eek , 26-Мрт-13 20:40

VRF

"NAT"
Отправлено sidsoft , 28-Мрт-13 06:58

> VRF
В моём случае не возможно применить...
#vrf ?
Unrecognized command

"NAT"
Отправлено elk_killa , 28-Мрт-13 08:15

>> VRF
> В моём случае не возможно применить...
> #vrf ?
> Unrecognized command
попробуйте в режиме конфигурации
ну и лицензия наверное нужна advipservices

"NAT"
Отправлено sidsoft , 29-Мрт-13 21:12

>>> VRF
>> В моём случае не возможно применить...
>> #vrf ?
>> Unrecognized command
> попробуйте в режиме конфигурации
> ну и лицензия наверное нужна advipservices
Именно в режиме конфигурации и пробовал... не та лицензия...

"NAT"
Отправлено sTALK_specTrum , 01-Апр-13 12:03

>> VRF
> В моём случае не возможно применить...
> #vrf ?
> Unrecognized command
ip vrf ;)

"NAT"
Отправлено crash , 28-Мрт-13 08:27

а в удаленной сети то знают о вашей сетки и маршрутизируют в туннель?

"NAT"
Отправлено sidsoft , 29-Мрт-13 21:14

> а в удаленной сети то знают о вашей сетки и маршрутизируют в
> туннель?
Знают что я хожу только через туннель, точнее через IP-адрес 192.168.199.2, больше ничего они знать не хотят :( ... вот и приходится "выкручиваться"

"NAT"
Отправлено McS555 , 29-Мрт-13 11:01

> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы
> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный
> туннель?
> Сама CISCO данный IP-адрес пингует, маршрут имеется:
> ip route 1.1.1.1 255.255.255.255 Tunnel2
ну а если нат банально настроить на тунельном интерфейсе?
Правила на адресс 1,1,1,1
В других уже существующих списках, наоборот
deny LAN на 1,1,1,1 - и все у тебя будет "валить" от адресса 92.168.199.2

"NAT"
Отправлено sidsoft , 29-Мрт-13 20:16

>> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы
>> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный
>> туннель?
>> Сама CISCO данный IP-адрес пингует, маршрут имеется:
>> ip route 1.1.1.1 255.255.255.255 Tunnel2
> ну а если нат банально настроить на тунельном интерфейсе?
> Правила на адресс 1,1,1,1
> В других уже существующих списках, наоборот
> deny LAN на 1,1,1,1 - и все у тебя будет "валить"
> от адресса 92.168.199.2
Не уж то СВЕТ В КОНЦЕ ТОНЕЛЯ?!
Пожалуйста продолжите мысль...
Я уже все перепробовал... Пожалуйста если не сложно вам будет, "набросайте" кусочек конфигурации... Честно говоря уже сам не знаю за что хвататься, и с чего начать... банально "замылились" наверное глаза что не вижу очевидных решений и "не слышу" можно сказать ПРЯМЫХ НАМЕКОВ на решения прямо в мозг...
Пожалуйста, очень прошу Вас, набросайте... Спасибо...

"NAT"
Отправлено McS555 , 31-Мрт-13 11:43

>[оверквотинг удален]
>> deny LAN на 1,1,1,1 -  и все у тебя будет "валить"
>> от адресса 92.168.199.2
> Не уж то СВЕТ В КОНЦЕ ТОНЕЛЯ?!
> Пожалуйста продолжите мысль...
> Я уже все перепробовал... Пожалуйста если не сложно вам будет, "набросайте" кусочек
> конфигурации... Честно говоря уже сам не знаю за что хвататься, и
> с чего начать... банально "замылились" наверное глаза что не вижу очевидных
> решений и "не слышу" можно сказать ПРЯМЫХ НАМЕКОВ на решения прямо
> в мозг...
> Пожалуйста, очень прошу Вас, набросайте... Спасибо...
Как то так
interface Tunnel2
ip nat outside
!
ip access-list extended ACL_NAT
deny 192.168.1.0 0.0.0.255 host 1.1.1.1
!
ip nat inside source list NAT interface  Tunnel2 overload
!
ip access-list extended NAT
permit 192.168.1.0 0.0.0.255 host 1.1.1.1
!
Правда я не совсем полностью твой конфиг "догнал" (ты и не весь его и выложил)
Зачем делать пул если у тебя только по одному адресу идет??
-- 20.20.20.20 20.20.20.20 --
--10.10.10.10 10.10.10.10  --
--  30.30.30.30 30.30.30.30  --

"NAT"
Отправлено sidsoft , 01-Апр-13 13:44

>[оверквотинг удален]
> !
> ip access-list extended NAT
> permit 192.168.1.0 0.0.0.255 host 1.1.1.1
> !
> Правда я не совсем полностью твой конфиг "догнал" (ты и не весь
> его и выложил)
> Зачем делать пул если у тебя только по одному адресу идет??
> -- 20.20.20.20 20.20.20.20 --
> --10.10.10.10 10.10.10.10  --
> --  30.30.30.30 30.30.30.30  --
Спасибо тебе огромное McS555!
Только благодаря тебе я действительно увидел СВЕТ!
Ты привел строки, я им последовал... странно что icmp echo не проходит с "локалки" (ЛВС IP: 192.168.20.0/24), с самой CISCO icmp echo (проще говоря PING-и) проходят на хост 1.1.1.1 а вот при пингах с ЛВС с двух хостов (192.168.20.65 и 192.168.20.200) нет... странно, а по команде
CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:7363 192.168.20.65:7363 1.1.1.1:7363 1.1.1.1:7363
icmp 192.168.199.2:11098 192.168.20.200:11098 1.1.1.1:11098 1.1.1.1:8
CISCO-881#
видно что вроде как трнасляция есть... а icmp echo нет
Пинги с самой CISCO:
CISCO-881#ping 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
CISCO-881#
Текущий КОНФИГ:
CISCO-881#show config
Using 13648 out of 262136 bytes
!
! Last configuration change at 14:41:44 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
! NVRAM config last updated at 14:41:45 UTC Sun Mar 31 2013 by root
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname CISCO-881
!
boot-start-marker
boot-end-marker
!
!
enable secret 5
enable password 7
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network default local
!
aaa session-id common
memory-size iomem 10
crypto pki token default removal timeout 0
!
!
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
!
no ip bootp server
ip domain name ххххх.ru
ip name-server 192.168.20.1
ip name-server 192.168.20.8
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
license udi pid CISCO881
!
!
archive
log config
  hidekeys
!
no spanning-tree vlan 1
no spanning-tree vlan 2
no spanning-tree vlan 3
no spanning-tree vlan 4
username root privilege 15 password 7
username derek password 7
!
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
track 300 ip sla 300 reachability
!
!
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ***** address 50.50.50.50
!
!
crypto ipsec transform-set ANKS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set ANKS
!
interface Tunnel1
description TS
bandwidth 10000
ip address 192.168.10.2 255.255.255.252
ip mtu 1468
tunnel source Vlan2
tunnel destination xx.xx.xx.xx
!
interface Tunnel2
description PRIVATE-SERVICE
ip address 192.168.199.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
tunnel source Vlan3
tunnel destination 50.50.50.50
tunnel protection ipsec profile IPSEC
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
!
interface FastEthernet2
switchport access vlan 3
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
peer default ip address pool vpnclient
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2 pap
!
interface Vlan1
description LAN
ip address 192.168.20.230 255.255.255.0
ip address 192.168.30.1 255.255.255.0 secondary
ip nat inside
ip virtual-reassembly in max-reassemblies 64
ip tcp adjust-mss 1452
!
interface Vlan2
description TELECOM1
ip address 10.10.10.10 255.255.255.0
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
interface Vlan3
description TELECOM2
ip address 20.20.20.20 255.255.255.252
ip mtu 1492
ip nat outside
ip virtual-reassembly in max-reassemblies 64
!
ip local policy route-map RMAP
ip local pool vpnclient 192.168.30.2 192.168.30.50
ip forward-protocol nd
no ip http server
no ip http secure-server
ip flow-export version 5
ip flow-export destination 192.168.20.242 5678
!
ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0
ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.252
ip nat inside source list PRIVATE-SERVICE_NAT interface Tunnel2 overload
ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload
ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload
ip route 0.0.0.0 0.0.0.0 10.10.10.9 10 track 100
ip route 0.0.0.0 0.0.0.0 20.20.20.19 20 track 200
ip route 1.1.1.1 255.255.255.255 Tunnel2
!
ip access-list extended ACL_NAT
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1
ip access-list extended ACL_SLA_TELECOM1
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM2
permit ip 20.20.20.0 0.0.0.255 any
ip access-list extended PRIVATE-SERVICE_NAT
permit ip 192.168.20.0 0.0.0.255 host 1.1.1.1
!
ip sla 100
icmp-echo 8.8.8.8 source-ip 10.10.10.10
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 8.8.8.8 source-ip 20.20.20.20
frequency 5
ip sla schedule 200 life forever start-time now
access-list 23 permit 192.168.20.65
access-list 23 permit 192.168.20.200
no cdp run
!
route-map RMAP permit 10
match ip address ACL_SLA_TELECOM1
set ip next-hop 10.10.10.254
!
route-map RMAP permit 20
match ip address ACL_SLA_TELECOM2
set ip next-hop 20.20.20.19
!
route-map TELECOM1_NAT permit 100
match ip address ACL_NAT
match interface Vlan2
!
route-map TELECOM2_NAT permit 100
match ip address ACL_NAT
match interface Vlan3
!
snmp-server community public RO
snmp-server community private RW
!
!
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
!
end

"NAT"
Отправлено McS555 , 01-Апр-13 15:13

>[оверквотинг удален]
> icmp 192.168.199.2:11098 192.168.20.200:11098 1.1.1.1:11098 1.1.1.1:8
> CISCO-881#
> видно что вроде как трнасляция есть... а icmp echo нет
> Пинги с самой CISCO:
> CISCO-881#ping 1.1.1.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
> CISCO-881#
CISCO-881#ping 1.1.1.1 sourse 192.168.20.230
есть пинг? И попробуй с ПК не пинговать , а например telnet ( на какой там открытый порт, если есть..)

"NAT"
Отправлено McS555 , 01-Апр-13 15:22

ОО!
Заметил
ip access-list extended ACL_NAT
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1
дожно быть
ip access-list extended ACL_NAT
deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1
permit ip host 192.168.20.65 any
permit ip host 192.168.20.200 any

conf ter
ip access-list extended ACL_NAT
5 deny   ip host 192.168.20.0 0.0.0.255 1.1.1.1

"NAT"
Отправлено sidsoft , 01-Апр-13 15:29

>[оверквотинг удален]
>> Пинги с самой CISCO:
>> CISCO-881#ping 1.1.1.1
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
>> !!!!!
>> Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/28 ms
>> CISCO-881#
> CISCO-881#ping 1.1.1.1 sourse 192.168.20.230
> есть пинг? И попробуй с ПК не пинговать , а например telnet
> ( на какой там открытый порт, если  есть..)
с самой CISCO PING-и есть...
CISCO-881#ping 1.1.1.1 source 192.168.20.230
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.20.230
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms
CISCO-881#
с ПК-шки:
telnet 1.1.1.1 80
Подключение к 1.1.1.1... Не удалось открыть подключение к этому узлу, на порт 80: Сбой подключения
В это время я дал команду на CISCO:
CISCO-881#show ip nat translations | include 1.1.1.1
icmp 192.168.199.2:512    192.168.20.229:512   1.1.1.1:512      1.1.1.1:512
tcp 192.168.199.2:3521    192.168.20.229:3521  1.1.1.1:80       1.1.1.1:80
CISCO-881#
Но соединения не произошло :(
ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(

"NAT"
Отправлено McS555 , 01-Апр-13 15:38

> Но соединения не произошло :(
> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
скайп есть?

"NAT"
Отправлено sidsoft , 01-Апр-13 15:40

>> Но соединения не произошло :(
>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
> скайп есть?
скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
Могу написать в ЛС

"NAT"
Отправлено McS555 , 01-Апр-13 15:46

>>> Но соединения не произошло :(
>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>> скайп есть?
> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
> Могу написать в ЛС
давай

"NAT"
Отправлено McS555 , 01-Апр-13 15:48

>>>> Но соединения не произошло :(
>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>> скайп есть?
>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>> Могу написать в ЛС
давай , я правда не вижу ЛС.
Можешь емейл написать, потом удалишь

"NAT"
Отправлено sidsoft , 01-Апр-13 15:53

>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
> давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь
Я вам пишу на ICQ, у меня короткий номер

"NAT"
Отправлено sidsoft , 11-Апр-13 09:05

>>>>> Но соединения не произошло :(
>>>>> ПОЖАЛУЙСТА помогите... что только не делал, не идет НАТ :(
>>>> скайп есть?
>>> скайпа нет :( плохо у нас с этим.... не разрешают... есть ICQ
>>> Могу написать в ЛС
> давай , я правда не вижу ЛС.
> Можешь емейл написать, потом удалишь
СПАСИБО, Очень сильно выручил и помог! ОГРОМОЕ спасибо McS555 !!!