URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7035
[ Назад ]

Исходное сообщение
"NAT через TUNNEL"
Отправлено OVDP , 19-Янв-05 12:45

тупиковая ситуация: есть киска с конфигом:
---------------------------------
interface FastEthernet0/0
ip nat outside
ip address xx.xx.xx.100 255.255.255.0
!
interface Group-Async0
ip address negotiated
ip nat inside
peer default ip address pool MODEMPOOL
!
ip local pool MODEMPOOL 10.0.0.1 10.0.0.16
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1 (гейт через промежуточную киску)
!
access-list 1 permit 10.0.0.0 0.0.0.255
---------------------------------
C киски можно пинговать хосты через дефолт гейт. C компа подключенного к
Group-Async0 можно пинговать хосты через дефолт гейт. Трансляция работает
замечательно.
Добавляем тунель до другой киски.
---------------------------------
interface Tunnel0
ip address yy.yy.yy.138 255.255.255.252
ip nat outside
tunnel source xx.xx.xx.100
tunnel destination yy.yy.yy.1
tunnel key 12345678
!
interface FastEthernet0/0
ip address xx.xx.xx.100 255.255.255.0
!
interface Group-Async0
ip address negotiated
ip nat inside
peer default ip address pool MODEMPOOL
!
ip local pool MODEMPOOL 10.0.0.1 10.0.0.16
ip nat inside source list 1 interface Tunnel0 overload
ip route 0.0.0.0 0.0.0.0 yy.yy.yy.137
ip route yy.yy.yy.1 255.255.255.255 xx.xx.xx.1 (гейт через промежуточную
киску)
!
access-list 1 permit 10.0.0.0 0.0.0.255
---------------------------------
C киски можно пинговать хосты через дефолт гейт (туннель). C компа
подключенного к Group-Async0 НЕЛЬЗЯ пинговать хосты через дефолт гейт.
Трансляция НЕ работает. Помогите разобраться пожалуйста, что не так и чего
не хватает.

Содержание

NAT через TUNNEL,sh_, 13:05 , 19-Янв-05
- NAT через TUNNEL,OVDP, 14:07 , 19-Янв-05
  - NAT через TUNNEL,sh_, 14:27 , 19-Янв-05
  - NAT через TUNNEL,ВОЛКА, 20:06 , 19-Янв-05
    - NAT через TUNNEL,sh_, 21:58 , 19-Янв-05
      - NAT через TUNNEL,ВОЛКА, 22:34 , 19-Янв-05

Сообщения в этом обсуждении

"NAT через TUNNEL"
Отправлено sh_ , 19-Янв-05 13:05

>C киски можно пинговать хосты через дефолт гейт (туннель).
А ты уверен, что через туннель идет? Покажи sh int tun0

"NAT через TUNNEL"
Отправлено OVDP , 19-Янв-05 14:07

>>C киски можно пинговать хосты через дефолт гейт (туннель).
>
>А ты уверен, что через туннель идет? Покажи sh int tun0
очепятался немного, дело в том что необходимо что бы адрес подмены был как у FastEthernet0/0, так как тот конец нунеля адекватно реагирует на трафик с адресом данного интерфейсаи и только. В этом случае с компа подключенного к Group-Async0 пингуются всё что директ коннектед (например адреса хостов подключенных к FastEthernet0/0 и даже локальный адрес тунеля пингуется yy.yy.yy.138) а дальше (напр удаленный конец тунеля) нет. такое впечатление что через тунель не хочет идти, хотя дефолт гейт...странно, разве на NAT маршрутизация не применима?
так что текущая конфигурация ниже (хотя не факт что правильная :)
--------------------------
interface Tunnel0
ip address yy.yy.yy.138 255.255.255.252
tunnel source xx.xx.xx.100
tunnel destination yy.yy.yy.1
tunnel key 123456789
!
interface FastEthernet0/0
ip nat outside
ip address xx.xx.xx.100 255.255.255.0
!
interface Group-Async0
ip address negotiated
ip nat inside
peer default ip address pool MODEMPOOL
!
ip local pool MODEMPOOL 10.0.0.1 10.0.0.16
ip nat inside source list 1 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 yy.yy.yy.137
ip route yy.yy.yy.1 255.255.255.255 xx.xx.xx.1 (гейт через промежуточную
киску)
!
access-list 1 permit 10.0.0.0 0.0.0.255
--------------------------
то что пингуется через тунель из киски:
Tracing the route to rambler.ru (81.19.66.50)
  1 yy.yy.yy.137 353 msec 329 msec 360 msec
  2 далее не важно как...
сам тунель:
Tunnel0 is up, line protocol is up
  Hardware is Tunnel
  Internet address is yy.yy.yy.138/30
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source xx.xx.xx.100, destination yy.yy.yy.1
  Tunnel protocol/transport GRE/IP, key 123456789, sequencing disabled
  Checksumming of packets disabled,  fast tunneling enabled
  Last input 00:00:02, output 00:00:02, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1445 packets input, 1146288 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3164 packets output, 261000 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

"NAT через TUNNEL"
Отправлено sh_ , 19-Янв-05 14:27

Может так?
ip nat pool np xx.xx.xx.100 xx.xx.xx.100 255.255.255.0
ip nat inside source list 1 pool np overload
int fast0/0
no ip nat outside
int tun 0
ip nat outside

"NAT через TUNNEL"
Отправлено ВОЛКА , 19-Янв-05 20:06

так нельзя делать....

"NAT через TUNNEL"
Отправлено sh_ , 19-Янв-05 21:58

Ну вот... :(
В ту сторону пакеты будут натиться и проходить через туннель. Обратно они через туннель не пойдут, а соответственно outside адрес в inside преобразовываться не будет. Я правильно понимаю, почему так делать нельзя?

"NAT через TUNNEL"
Отправлено ВОЛКА , 19-Янв-05 22:34

правильно... туда через туннель, обратно напрямую...
ассиметричный раутинг возникает.
можно конечно попробовать на tunnel и ethernet интерфесах сказать ip nat outside
на внутреннем ip nat inside