https://www.opennet.ru/openforum/vsluhforumID6/22679.html Здравствуйте!<br><br>Для организации резервного канала в Интернет, требуется сделать NAT на одном физическом интерфейсе на Cisco1841 (flash:c1841-ipbasek9-mz.124-24.T2.bin) без использования VLAN. Второй физический интерфейс на 1841 уже занят под основной канал, а VLAN нельзя использовать, так как коммутатор офисной сети их не поддерживает.<br><br>Схема:<br>- Внутренняя сеть: 192.168.20.0/24 &#8211; там располагаются хосты пользователей<br>- Внутренняя промежуточная сеть 192.168.1.0/24, в которой подсеть 192.168.20.0/24 должна прятаться за каким-нибудь IP из 192.168.1.X-подсети .<br>- NAT-router (Cisco 1841)<br>- Интернет-шлюз с LAN=192.168.1.1/24 и выходом в Инет (может быть любой, сейчас MTS-Router c 3G-опцией)<br><br>Делал на основе этого документа: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094430.shtml<br><br>Сделал пример на старой Cisco 2507 &#8211; работает!<br>А подобный конфиг на 1841 почему-то нет.<br><br>Пингую, например, с хоста 192.168.20.121 узел 8.8.8.8<br>Пакет натится и уходит в Инет. Обрат https://www.opennet.ru/openforum/vsluhforumID6/22679.html#6 Mon, 30 May 2011 19:05:31 GMT &gt; IMHO, <br>&gt; А не проще докупить свич с DOT1Q за 30-100$ и не заниматься <br>&gt; поисками workaround?<br>&gt; По корректнее решение будет....<br><br>Свитч конечно же проще будет купить, и в будущем обязательно купят, но из-за сложной бюрократической схемы на это потребуется значительный промежуток времени и согласований. Задача заключается в том, чтобы обеспечить резервирование по 3G уже сейчас, на переходный период. Речь идет не об одном, а о десятке удалённых филиалов.<br> https://www.opennet.ru/openforum/vsluhforumID6/22679.html#5 Mon, 30 May 2011 18:58:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; И ЗАРАБОТАЛО! А почему вы решили, что роли NAT-интерфейсов перепутаны? Там <br>&gt;&gt; же работает PBR, и по логике, все равно где делать inside, <br>&gt;&gt; а где outside. Или я не прав?<br>&gt; Включаем логику. приходит пакет на FastEthernet0/0 вместо того что бы уйти по <br>&gt; дефаулту срабатывает роутмапа которая кидает его на интерфейс-петлю проходя через него <br>&gt; срабатывает НАТ inside далее циска смотрит на пакет и находит ему <br>&gt; подходящий маршрут (в вашем случае дефаул роут) тут срабатывает НАТ outside <br>&gt; - срабатываеть правило НАТ пакет натиться и уходит в мир. Логичнее <br>&gt; всего повесить inside/outside на одном интерфейсе :) но такой функционал (чуток <br>&gt; по другому реализован) есть у Cisco ASA :) <br><br>Николай, но также логично должно работать (и работает!) и следующая схема. Приходит пакет на FE0/0, натится по НАТ inside и редиректится на Loopback, где срабатывает NAT-outside и пакет по дефолтному маршруту уходит в Инет. Все это работает, о чём свидетельствует кусок лога, который я приложил. https://www.opennet.ru/openforum/vsluhforumID6/22679.html#4 Mon, 30 May 2011 16:28:03 GMT IMHO,<br>А не проще докупить свич с DOT1Q за 30-100$ и не заниматься поисками workaround?<br>По корректнее решение будет.... <br><br> https://www.opennet.ru/openforum/vsluhforumID6/22679.html#3 Mon, 30 May 2011 14:36:58 GMT <br>&gt; Спасибо Николай! Я уже и сам дошел до того, чтобы поменять местами <br>&gt; ip nat inside и ip nat outside. Правда методом тыка. :) <br>&gt; И ЗАРАБОТАЛО! А почему вы решили, что роли NAT-интерфейсов перепутаны? Там <br>&gt; же работает PBR, и по логике, все равно где делать inside, <br>&gt; а где outside. Или я не прав?<br><br>Включаем логику. приходит пакет на FastEthernet0/0 вместо того что бы уйти по дефаулту срабатывает роутмапа которая кидает его на интерфейс-петлю проходя через него срабатывает НАТ inside далее циска смотрит на пакет и находит ему подходящий маршрут (в вашем случае дефаул роут) тут срабатывает НАТ outside - срабатываеть правило НАТ пакет натиться и уходит в мир. Логичнее всего повесить inside/outside на одном интерфейсе :) но такой функционал (чуток по другому реализован) есть у Cisco ASA :)<br> https://www.opennet.ru/openforum/vsluhforumID6/22679.html#2 Mon, 30 May 2011 14:00:56 GMT &gt; Как то у вас все построено через ...<br>&gt; Если быть очень внимательным то у вас <br>&gt; ip nat inside и ip nat outside местами перепутаны :) <br>&gt; и уберите ip virtual-reassembly грузит процессор <br><br>Спасибо Николай! Я уже и сам дошел до того, чтобы поменять местами ip nat inside и ip nat outside. Правда методом тыка. :) И ЗАРАБОТАЛО! А почему вы решили, что роли NAT-интерфейсов перепутаны? Там же работает PBR, и по логике, все равно где делать inside, а где outside. Или я не прав?<br><br>В примере &#8470;1 http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094430.shtml именно так все и прописано и вполне работоспособно (Ethernet-ip nat inside, loopback-ip nat outside). <br>Да и сделав подобное на Cisco 2507 у меня все работало нормально.<br><br>А построено все через ж... Согласен! )) Сначала я хотел сделать все без NAT. Но этот MTS-router почему-то не работает корректно, если на стороне LAN-интерфейса обращение идет ещё с какой-нибудь подсети, например с подсети 192.168.20.0/24. Причем маршрут на https://www.opennet.ru/openforum/vsluhforumID6/22679.html#1 Mon, 30 May 2011 10:13:54 GMT Как то у вас все построено через ... <br><br>Если быть очень внимательным то у вас <br>ip nat inside и ip nat outside местами перепутаны :)<br>и уберите ip virtual-reassembly грузит процессор<br>