https://www.opennet.ru/openforum/vsluhforumID6/13229.html сменили зюксель, который работал в режиме бриджа, на циску 857w(у которой WAN - адсл порт). Теперь реальный IP назначается на ATM(адсл который) интерфейс и НАТ в этот IP.<br>Но проблема возникал:<br>при назначении ip адреса на ATM интерфейс циски (АДСЛ который), не пингует циска сама себя по этому адресу.<br>А таблице маршрутизации есть подсеть на АТМ интерфейсе.<br>при просмотре арп-таблицы нет записи про этот IP (видимо по этому и не пингует сама себя).<br>так же не пингуется шлюз.<br>в таблице арп-адресов иногда появляется этот шлюз.. Значит пакеты от него приходят на АТМ интерфейс, так почему же он их не принимает и сам ничего послать не может??<br>интерфейс АТМ0 line up, protocol up.<br>sh ATM0 - rx и tx показывает, что байты есть..<br>пробую ping шлюза, который выдал пров - tx байты тикают - ответа ноль.<br><br>sh run не могу показать, так как циска далеко, ездил настраивать..<br>скажу, что в базовом конфиге убрал АСЛ, прописал IP и пробовал различные инкапсуляции..<br>я не цискарь, только начал с ними работать, а эта проблема в https://www.opennet.ru/openforum/vsluhforumID6/13229.html#25 Wed, 30 Apr 2008 08:13:24 GMT http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=25003<br>про днс.<br><br>дальше - я бы посоветовал бы конфигурить не через crypto map, а через tunnel protection. Проще получается с маршрутизацией и пониманием процессов прохождения пакета, имхо.<br><br>!<br>crypto isakmp policy 10<br> encr aes 256<br> authentication pre-share<br>crypto isakmp key КОМБИНАЦИЯ_СИМВОЛОВ address IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ<br>!<br>crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac<br> mode transport<br>!<br>crypto ipsec profile aes-vpn<br> set transform-set aesset<br>!<br>interface Tunnel0<br> description HEAD OFFICE<br> ip address 192.168.3.1 255.255.255.252<br> ip mtu 1400<br> ip tcp adjust-mss 1360<br> tunnel source ВНЕШНИЙ_ИНТЕРФЕЙС(в твоем случае BVI1)<br> tunnel destination IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ<br> tunnel protection ipsec profile aes-vpn<br><br>здесь - использование aes, так как некоторые вызывающие доверие люди проверяли, что aes работает быстрее des'а.<br>КОМБИНАЦИЯ_СИМВОЛОВ - то просто набор символов. Порядка 10 букв разного регистра и цифр хватит. На том ко https://www.opennet.ru/openforum/vsluhforumID6/13229.html#24 Wed, 30 Apr 2008 05:45:11 GMT &gt;ip default-gateway убери, это не то. <br>&gt;на vlan1 IP адрес подсети внутренней пропиши. Этот адрес будет шлюзом для <br>&gt;внутренних компов. <br>&gt;далее НАТ настрой, как я выше где-то писал уже. <br>&gt;<br>&gt;после на компе настрой ДНСы, которые тебе провайдер дает, IP из внутренней <br>&gt;подсети и шлюз - айпишник, настроенный на vlan1 интерфейсе циски. И <br>&gt;должен уже в инет выходить <br><br>ДНС я так настроил, вроде работает<br><br>ip http server<br>ip http secure-server<br>ip nat inside source list 1 interface BVI1 overload<br>ip dns server<br>ip dns spoofing &lt;ip dns сервера&gt;<br><br>но,<br><br>почему-то только с сервера могу ходить в интернет, а с обычных машин (Windows XP) не идет, вроде указываю все верно, шлюз vlan1 указываю, может там службы отключены какие-то? не успел посмотреть просто...<br><br>еще по поводу VPN, моя циска поддерживает только site-ti-site и remote access VPN.<br>site-to-site я сконфигурил, но еще не запустил, вот конфига, посмотри, нет ли косяков где-нибудь? по поводу remote access, есть какая-нибудь инормация как ее конфигурить? https://www.opennet.ru/openforum/vsluhforumID6/13229.html#23 Mon, 21 Apr 2008 11:58:41 GMT ip default-gateway убери, это не то.<br>на vlan1 IP адрес подсети внутренней пропиши. Этот адрес будет шлюзом для внутренних компов.<br>далее НАТ настрой, как я выше где-то писал уже.<br><br>после на компе настрой ДНСы, которые тебе провайдер дает, IP из внутренней подсети и шлюз - айпишник, настроенный на vlan1 интерфейсе циски. И должен уже в инет выходить<br> https://www.opennet.ru/openforum/vsluhforumID6/13229.html#22 Wed, 16 Apr 2008 11:09:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;канал должен поднятсья. Если не поднимается и CD долго моргает, то <br>&gt;&gt;проблема на линии - сплиттер попробовать поставить. <br>&gt;&gt;если второе - значит линк поднялся(горит CD индикация), но не пингуется IP <br>&gt;&gt;шлюз провайдера - значит, скорее всего, у тебя привязка по маку <br>&gt;&gt;и пров просто отбрасывает пакеты с твоего мака - попросить сменить <br>&gt;&gt;привязку. Если привязки нет, то тогда просто спросить провайдера, что за <br>&gt;&gt;фигня. Линк-то поднялся, кошку они видят. <br>&gt;&gt;Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с <br>&gt;&gt;целью найти ip адреса провайдера и посмотреть, какой там мак адрес. <br>&gt;&gt;<br><br>DNSы я так думаю нужно прописать?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/13229.html#21 Wed, 16 Apr 2008 10:22:04 GMT &gt;[оверквотинг удален]<br>&gt;канал должен поднятсья. Если не поднимается и CD долго моргает, то <br>&gt;проблема на линии - сплиттер попробовать поставить. <br>&gt;если второе - значит линк поднялся(горит CD индикация), но не пингуется IP <br>&gt;шлюз провайдера - значит, скорее всего, у тебя привязка по маку <br>&gt;и пров просто отбрасывает пакеты с твоего мака - попросить сменить <br>&gt;привязку. Если привязки нет, то тогда просто спросить провайдера, что за <br>&gt;фигня. Линк-то поднялся, кошку они видят. <br>&gt;Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с <br>&gt;целью найти ip адреса провайдера и посмотреть, какой там мак адрес. <br>&gt;<br><br>заработал наконец!<br>оказца нужно было маршрут прописать 0.0.0.0 0.0.0.0 &lt;gateway&gt;<br>а у меня было up default-gateway &lt;gateway&gt;, но я вчера и тот и другой прописывал, не работала, а сегодня прописал сначало роут, заработал, а потом и gateway сверху, тоже работает, а если роут уберу и оставлю default-gateway не работает...<br><br>теперь у меня вопрос, если не затруднит тебя, подскажи где копать, до https://www.opennet.ru/openforum/vsluhforumID6/13229.html#20 Tue, 15 Apr 2008 09:44:09 GMT ну хорошо.<br>линк CD мигает или горит постоянно на панели индикации циски?<br>если мигает, то проблема в линке.<br>если горит, то линк адсл установлени и должен пинговаться IP адрес шлюза провайдера - это пробовал?<br>в обоих случаях при проблеме - звонить провайдеру.<br>в первом - проверить vpi/vci - правильные ли введены, если правильные, то канал должен поднятсья. Если не поднимается и CD долго моргает, то проблема на линии - сплиттер попробовать поставить.<br>если второе - значит линк поднялся(горит CD индикация), но не пингуется IP шлюз провайдера - значит, скорее всего, у тебя привязка по маку и пров просто отбрасывает пакеты с твоего мака - попросить сменить привязку. Если привязки нет, то тогда просто спросить провайдера, что за фигня. Линк-то поднялся, кошку они видят.<br>Так же, после попытки пинга айпишника шлюза - посмотреть sh arp с целью найти ip адреса провайдера и посмотреть, какой там мак адрес.<br> https://www.opennet.ru/openforum/vsluhforumID6/13229.html#19 Tue, 15 Apr 2008 08:37:13 GMT сегодня сходил, попробовал с такой конфигой, не пошло -<br>здесь ната сейчас нет, я убрал, но с натом тоже пробовал, тоже самое...в принципе он сейчас не нужен, мне бы выйти просто на внешний мир, а дальше было бы проще... <br><br>username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxx<br>!<br>!<br>!<br>bridge irb<br>!<br>!<br>interface ATM0<br> no ip address<br> ip virtual-reassembly<br> no atm ilmi-keepalive<br> pvc 0/67<br> encapsulation aal5snap<br> !<br> dsl operating-mode auto<br> bridge-group 1<br>!<br>interface FastEthernet0<br>!<br>interface FastEthernet1<br>!<br>interface FastEthernet2<br>!<br>interface FastEthernet3<br>!<br>interface Virtual-Dot11Radio0<br> no ip address<br>!<br>interface Vlan1<br> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$<br> ip address 193.1.2.240 255.255.255.0<br> ip virtual-reassembly<br> ip tcp adjust-mss 1452<br>!<br>interface BVI1<br> ip address 123.123.123.123 255.255.255.224<br> ip virtual-reassembly<br>!<br>ip default-gateway 123.123.123.124<br>!<br>ip http server<br>ip http authentication local<br>ip http secure-server<br>ip http timeout-policy https://www.opennet.ru/openforum/vsluhforumID6/13229.html#18 Tue, 15 Apr 2008 07:26:08 GMT &gt;[оверквотинг удален]<br>&gt;я знаю реальные айпишники, а настройки вот: <br>&gt;<br>&gt;pvc 0/67 <br>&gt;ecapsulation aal5snap <br>&gt;<br>&gt; и айпишник 123.123.123.123 это пусть WAN будет, и маска 255.255.255.224, и <br>&gt;у него есть теперь шлюз 123.123.123.124 <br>&gt;<br>&gt;вот в принципе и все, только я не могу понять как прописать <br>&gt;шлюз... <br><br>123.123.123.123 на BVI1 пропиши<br>и маршрут по-умолчанию - ip route 0.0.0.0 0.0.0.0 123.123.123.124<br>на vlan1 внутренние адреса, которые у тебя в локальной сети.<br>после на vlan1 добавь ip nat inside<br>на bvi1 добавь ip nat outside<br>создай аксесс лист:<br>access-list 1 permit 192.168.1.0 255.255.255.0<br>где 192.168.1.0 - это я взял как твою внутреннюю сеть. Подставь свою.<br>и само включение ната<br>ip nat inside source list 12 interface BVI1 overload<br><br>у тебя циска wifi?<br>вывод команды no Virtual-Dot11Radio0 покажи<br><br>далее для чистоты - уберем лишнее из конфига. это я бы сделал в первую очередь<br><br>no ip http server<br>no ip http authentication local<br>no ip http secure-server<br>no ip http timeout-policy idle 60 https://www.opennet.ru/openforum/vsluhforumID6/13229.html#17 Tue, 15 Apr 2008 03:16:44 GMT &gt;Virtual-Dot11Radio0 - это у меня циска с wifi <br>&gt;если у тебя нету wifi - убери этот интерфейс. <br>&gt;далее - зачем тебе модем в режиме бриджа? убирай его и ставь <br>&gt;циску за место него, втыкай телефонный кабель в циску, в адсл <br>&gt;слот. <br>&gt;дальше - какие у тебя настройки выдал провайдер твой. Перечисли все настройки <br>&gt;- соберу конфиг тебе. <br><br>Virtual-Dot11Radio0 - этот вообще не вырубаеться, говрит что в мануальном режиме нельзя конфикурить...<br><br>сегодня узнал, что айпишники которые я присваивал имш это лановские упрова, теперь я знаю реальные айпишники, а настройки вот:<br><br>pvc 0/67<br>ecapsulation aal5snap<br><br> и айпишник 123.123.123.123 это пусть WAN будет, и маска 255.255.255.224, и у него есть теперь шлюз 123.123.123.124<br><br>вот в принципе и все, только я не могу понять как прописать шлюз...<br>