OpenForum RSS: Пакеты из VLANa проходят мимо правил NATa https://ssl.opennet.dev/openforum/vsluhforumID6/17012.html Здравствуйте.<br><br>Есть такая схема: есть два маршрутизатора 2821(Офис А) и 2801(Офис Б). Задача - настроить между лок.сетями за ними VPN канал и выпустить юзеров из Офиса Б в инет через Офис А. (Между офисами оптика, выделенный канал прова).<br><br>К офису А подходит два оптических линка, один интернет, другой - выделенный канал до офиса Б. На 2821 установлена плата расширения на 4 switch порта. Так как на эти порты айпи не навешаешь, пришлось сперва его заворачивать в VLAN и уже с ним делать тунель.<br><br>Добился работы тунеля между офисами. Все прозрачно, все работает. Обмен данными между офисами идет. Но не могу выпустить офис Б в инет. Проверил тспдампом на шлюзе за 2821 - туда проходят пакеты из сети Б не натированные, соответственно шлюз не знает куда ответить. В sh ip nat translations * только айпи сетки А, сеть Б туда почему то не попадает. В debug ip nat тоже тишина.<br><br>Между маршрутизаторами локальная сеть 10.10.10.0/30, 10.10.10.1 - 2821, 10.10.10.2 - 2801<br><br>Прошу посмотреть что делаю не так:<br><br>Конфиг 28 Пакеты из VLANa проходят мимо правил NATa (gagaba) https://ssl.opennet.dev/openforum/vsluhforumID6/17012.html#2 Tue, 26 Aug 2008 09:08:13 GMT УРА! Проблема решена! Все оказалось просто!<br><br>Я прописывал ip nat inside на интерфейсе Vlan2, а надо было прописывать на Tunnel1!!<br>Как понимаю, пакеты из него грубо говоря "не выходили" и сразу шли на внешний интерфейс.<br><br>interface Tunnel1 <br> description VLAN(Fed) <br> ip unnumbered Vlan2 <br> ip nat inside &lt;---------- ДОБАВИЛ<br> tunnel source Vlan2 <br> tunnel destination 10.10.10.2 <br> tunnel checksum <br> crypto map tunnelmap <br>! <br>interface FastEthernet0/3/0 <br> description VLAN <br> switchport access vlan 2 <br> no cdp enable <br> crypto map tunnelmap <br>! <br>interface Vlan2 <br> ip address 10.10.10.1 255.255.255.252 <br> ip nat inside &lt;-------- УБРАЛ<br> no ip virtual-reassembly <br> crypto map tunnelmap <br>! <br><br>Пустяк это или нет, но я на этом очень много времени потерял. Благо на мысль натолкнули, хоть и случайно :)<br><br><br><br>По поводу crypto map tunnelmap<br>я брал пример из 'Cisco IOS in a Nutshell' <br>&gt;interface Tunnel1<br>&gt;ip unnumbered Serial0<br>&gt;tunnel source Serial0<br>&gt;tunnel destination 192.168.2.1<br>&gt;tunnel checksum<br>&gt;! A Пакеты из VLANa проходят мимо правил NATa (vorch) https://ssl.opennet.dev/openforum/vsluhforumID6/17012.html#1 Tue, 26 Aug 2008 07:55:36 GMT Очень хотелось бы увидеть конфиг Cisco 2801 (Офис Б).<br>Уберите crypto map tunnelmap с интерфеса Tunnel1, я понимаю что он там все равно не работает, потому что внутри тоннеля GRE не ходит, поскольку GRE - это сам тоннель, но смотрится нехорошо. <br>Где вы ловили тспдампом пакеты? Натится должны только пакеты, имеющие дестинейшн вне локальных сетей. Возможно кое-что пряснится, когда приведете конфиг офиса Б.<br>