https://opennet.me/openforum/vsluhforumID6/20240.html просьба помочь разобраться!<br>есть cisco 871<br>на локальных интерфейсах - dhcp 192.168.0.1 192.168.0.254<br>wan получает от провайдера по dhcp<br>надо раздать инет в локалку и настроить VPN на внутренний адрес 192.168.0.6<br>R1#sh ver<br>Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T10, RELEASE SOFTWARE (fc3)<br>R1#sh run<br>Building configuration...<br><br>Current configuration : 3988 bytes<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname R1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 51200 warnings<br>logging console critical<br>enable secret 5 $1vbnxfgkhfkghfghfGHFHFGH2I3k0<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authorization exec default local<br>!<br>!<br>aaa session-id common<br>!<br>crypto pki trustpoint TP-self-signed-345753246<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-345753246<br> revocation-check none https://opennet.me/openforum/vsluhforumID6/20240.html#5 Sun, 07 Feb 2010 15:30:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;неясность всёже остается - как применяются ACL и как раздается dhcp внутри?? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;(не всегда работает) <br>&gt;&gt;<br>&gt;&gt;и молчанье в ответ.... либо нет никого в форуме перед НГ либо <br>&gt;&gt;никто не отвечает... <br>&gt;<br>&gt;все настолько "крутые" и умные, что не считают нужным ответить... жаль форум <br>&gt;неплохой.... всем удачи... <br><br>неее не крутые! а просто невоспитанные! ну не дали им в детстве папа с мамой нужного воспитания... а некоторые так и вообще сироты... откудаж взяться воспитанности? нетути её!!!<br> https://opennet.me/openforum/vsluhforumID6/20240.html#4 Sat, 09 Jan 2010 09:19:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;no ip nat inside source list 10 pool Internet overload <br>&gt;&gt;и <br>&gt;&gt;no access-list 10 permit 192.168.5.0 0.0.0.255 <br>&gt;&gt;<br>&gt;&gt;неясность всёже остается - как применяются ACL и как раздается dhcp внутри?? <br>&gt;&gt;<br>&gt;&gt;(не всегда работает) <br>&gt;<br>&gt;и молчанье в ответ.... либо нет никого в форуме перед НГ либо <br>&gt;никто не отвечает... <br><br>все настолько "крутые" и умные, что не считают нужным ответить... жаль форум неплохой.... всем удачи...<br> https://opennet.me/openforum/vsluhforumID6/20240.html#3 Mon, 28 Dec 2009 04:41:22 GMT &gt;[оверквотинг удален]<br>&gt;(не раздает адреса внутренней сети) <br>&gt;<br>&gt;в общем сейчас исключил: <br>&gt;no ip nat inside source list 10 pool Internet overload <br>&gt;и <br>&gt;no access-list 10 permit 192.168.5.0 0.0.0.255 <br>&gt;<br>&gt;неясность всёже остается - как применяются ACL и как раздается dhcp внутри?? <br>&gt;<br>&gt;(не всегда работает) <br><br>и молчанье в ответ.... либо нет никого в форуме перед НГ либо никто не отвечает...<br> https://opennet.me/openforum/vsluhforumID6/20240.html#2 Tue, 22 Dec 2009 12:27:31 GMT &gt;Я не понял главного. А зачем вам собственно изменять access-list 10? Я <br>&gt;бы его просто удалил :)Он у вас задействован в правиле ip <br>&gt;nat, которое никогда работать не будет. Работает же правило ip nat <br>&gt;inside source list 100 interface FastEthernet4 overload, в котором access-list 100 <br>&gt;соответствует вашей внутренней сети. <br>&gt;А если вы и в access-list 10 прописываете внутреннюю сеть, то ваши <br>&gt;2 правила nat начинают пересекаться, и циска по каким-то ей одной <br>&gt;ведомым соображениям выбирает первое правило. Интернет у вас естественно перестаёт работать, <br>&gt;так как циска берёт первый адрес из пула - 79.165.80.1 - <br>&gt;а у вас снаружи в этот момент видимо другой адрес. <br><br>тогда к чему применять<br>ip nat pool Internet 79.165.80.1 79.165.95.254 netmask 255.255.240.0<br>?? <br>ведь из этого пула пров выдает айпишник (он и будет внешним у меня на WANe)<br><br>и еще - при применении правила к ACL 101 перестает работать dhcp (не раздает адреса внутренней сети)<br><br>в общем сейчас исключил:<br>no ip nat inside source list 10 poo https://opennet.me/openforum/vsluhforumID6/20240.html#1 Tue, 22 Dec 2009 08:01:08 GMT Я не понял главного. А зачем вам собственно изменять access-list 10? Я бы его просто удалил :)Он у вас задействован в правиле ip nat, которое никогда работать не будет. Работает же правило ip nat inside source list 100 interface FastEthernet4 overload, в котором access-list 100 соответствует вашей внутренней сети.<br>А если вы и в access-list 10 прописываете внутреннюю сеть, то ваши 2 правила nat начинают пересекаться, и циска по каким-то ей одной ведомым соображениям выбирает первое правило. Интернет у вас естественно перестаёт работать, так как циска берёт первый адрес из пула - 79.165.80.1 - а у вас снаружи в этот момент видимо другой адрес.<br>