https://m.opennet.dev/openforum/vsluhforumID6/22763.html Hi All!<br><br>Коллеги, просто тупик ) не могу победить. Есть Cisco 877 роутер, который использую для организации лок сети для 4 пк. Схема след - инет от прова (ethernet) в портWAN (ethernet4) - далее в порт Ethernet 2 (VLAN 2) воткнут хаб Длинк в него ПК.<br><br>Вот конф, роутер не пускает в инет лок клиентов. Роут прописал, что еще нужно прописать? <br><br><br><br>ip dhcp pool DATA<br> network 172.16.3.0 255.255.255.0<br> default-router 172.16.3.1 <br> option 150 ip 192.168.3.1 <br> dns-server 8.8.8.8 <br><br>interface FastEthernet1<br>shutdown<br><br>interface FastEthernet1<br> switchport access vlan 2<br>!<br>interface FastEthernet2<br> switchport access vlan 2<br>!<br>interface FastEthernet3<br> switchport access vlan 2<br>!<br>interface FastEthernet4<br> ip address x.x.x.x 255.255.255.224<br> ip nat outside<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br>!<br>!<br>interface Vlan2<br> description -- FA1-3 LAN --<br> ip address 172.16.3.1 255.255.255.0<br> ip nat inside<br> no ip virtual-reassembly<br>!<br>router eigrp 999<br> network 172.16.3.0 0.0.0.255<br> no auto https://m.opennet.dev/openforum/vsluhforumID6/22763.html#16 Mon, 20 Jun 2011 12:39:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; провайдер неразрешать НАТ? Дело в том, что в офисе где инет <br>&gt;&gt;&gt;&gt; данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, <br>&gt;&gt;&gt;&gt; у каждого клиента свой порт и выделен белый IP. так вот <br>&gt;&gt;&gt;&gt; у всех одна маска и один шлюз! и все клиенты одного <br>&gt;&gt;&gt;&gt; бизнес центра в одной подсети. бред.<br>&gt;&gt;&gt; обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.<br>&gt;&gt;&gt; но ната так и нет. может циска глючит?<br>&gt;&gt; debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может <br>&gt;&gt; "захлебнуться") <br>&gt; так дебаг будет идти на syslog server?<br><br>нашел причину.. мдя )<br>дебаг отчасти помог, включил его только для 100 акцесс листа. этож extended лист! маска то др.<br><br>вообщем решил так:<br><br>ip nat inside source list 1 interface BVI1 overload<br>!<br>access-list 1 remark ---local users to ---<br>access-list 1 permit 172.16.3.0 0.0.0.255<br>access-list 1 permit 10.10.10.0 0.0.0.255<br><br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#15 Mon, 20 Jun 2011 12:14:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; трансляция есть! но все равно инета у ПК нет. Может как то <br>&gt;&gt;&gt; провайдер неразрешать НАТ? Дело в том, что в офисе где инет <br>&gt;&gt;&gt; данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, <br>&gt;&gt;&gt; у каждого клиента свой порт и выделен белый IP. так вот <br>&gt;&gt;&gt; у всех одна маска и один шлюз! и все клиенты одного <br>&gt;&gt;&gt; бизнес центра в одной подсети. бред.<br>&gt;&gt; обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.<br>&gt;&gt; но ната так и нет. может циска глючит?<br>&gt; debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может <br>&gt; "захлебнуться") <br><br>так дебаг будет идти на syslog server?<br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#14 Mon, 20 Jun 2011 12:12:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt; tcp x.x.x.x:59735 172.16.3.24:59735 86.62.83.118:14400 <br>&gt;&gt; 86.62.83.118:14400 <br>&gt;&gt; трансляция есть! но все равно инета у ПК нет. Может как то <br>&gt;&gt; провайдер неразрешать НАТ? Дело в том, что в офисе где инет <br>&gt;&gt; данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, <br>&gt;&gt; у каждого клиента свой порт и выделен белый IP. так вот <br>&gt;&gt; у всех одна маска и один шлюз! и все клиенты одного <br>&gt;&gt; бизнес центра в одной подсети. бред.<br>&gt; обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов.<br>&gt; но ната так и нет. может циска глючит?<br><br>debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может "захлебнуться")<br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#13 Mon, 20 Jun 2011 11:36:23 GMT &gt;[оверквотинг удален]<br>&gt; tcp x.x.x.x:59734 172.16.3.24:59734 95.78.227.191:2536 <br>&gt; 95.78.227.191:2536 <br>&gt; tcp x.x.x.x:59735 172.16.3.24:59735 86.62.83.118:14400 <br>&gt; 86.62.83.118:14400 <br>&gt; трансляция есть! но все равно инета у ПК нет. Может как то <br>&gt; провайдер неразрешать НАТ? Дело в том, что в офисе где инет <br>&gt; данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, <br>&gt; у каждого клиента свой порт и выделен белый IP. так вот <br>&gt; у всех одна маска и один шлюз! и все клиенты одного <br>&gt; бизнес центра в одной подсети. бред.<br><br>обьяснили отсутсвие VLAN для каждого клиента неразумным использ IP адресов. <br>но ната так и нет. может циска глючит?<br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#12 Mon, 20 Jun 2011 11:05:09 GMT &gt;&gt; ip nat inside source list 100 interface FastEthernet4 overload <br>&gt;&gt; !<br>&gt;&gt; access-list 100 remark ---local users to --- <br>&gt;&gt; access-list 100 permit ip 172.16.3.0 0.0.0.255 any log <br>&gt;&gt; access-list 100 permit ip 10.10.10.0 0.0.0.255 any log <br>&gt; Уберите "log" из acl, и в будущем никуда не вставляйте если реально <br>&gt; не нужен.<br><br>log вставил так будет собираться на syslog сервер, есть такой. думаете в это причина?<br><br>sh ip nat translations <br><br><br>show ip nat translation<br><br>Pro Inside global Inside local Outside local Outside global<br>tcp x.x.x.x:59679 172.16.3.24:59679 93.186.224.242:80 93.186.224.242:80<br>tcp :59681 172.16.3.24:59681 188.127.247.115:3389 188.127.247.115:3389<br>tcp x.x.x.x:59708 172.16.3.24:59708 93.186.224.242:80 93.186.224.242:80<br>tcp x.x.x.x:59714 172.16.3.24:59714 93.186.224.240:80 93.186.224.240:80<br>tcp x.x.x.x:59715 172.16.3.24:59715 93.186.224.240:80 93.186.224.240:80<br>tcp x.x.x.x:59726 172.16.3.24:59726 https://m.opennet.dev/openforum/vsluhforumID6/22763.html#11 Sun, 19 Jun 2011 17:29:17 GMT &gt; ip nat inside source list 100 interface FastEthernet4 overload <br>&gt; !<br>&gt; access-list 100 remark ---local users to --- <br>&gt; access-list 100 permit ip 172.16.3.0 0.0.0.255 any log <br>&gt; access-list 100 permit ip 10.10.10.0 0.0.0.255 any log <br><br>Уберите "log" из acl, и в будущем никуда не вставляйте если реально не нужен.<br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#10 Fri, 17 Jun 2011 15:01:36 GMT &gt; куда покрутить?<br><br>подергайте cef,<br>смотрите трансляцию как выше советовали,<br>и смотрите пролет пакетов любым способом.<br><br>Далее стандартные процедуры: ребут, апгрейд, workaround, отключать всё по очереди.<br><br>Обычный тупой NAT не может не работать на этой циске.<br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#9 Fri, 17 Jun 2011 14:40:43 GMT да в чем же трабл то..<br>есть ощущение, что vlan 2 который прописан роутером сети таковым не является.<br>немного изменил конф, добавил бридж.<br><br><br>bridge irb<br><br>interface FastEthernet4<br> no ip address<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br> bridge-group 1<br>!<br>!<br>interface BVI1<br> ip address x.x.x.x 55.255.255.224<br> ip access-group 104 in<br> ip nat outside<br> ip virtual-reassembly<br><br>но не помогло все равно.. 104 акцесс лист отключал для чистоты эскперимента. куда покрутить?<br><br> https://m.opennet.dev/openforum/vsluhforumID6/22763.html#8 Fri, 17 Jun 2011 06:12:00 GMT &gt;&gt; вот полный конф роутера: <br>&gt;&gt; !<br>&gt;&gt; interface FastEthernet4 <br>&gt;&gt; ip address xxxxxxxxxxxx 255.255.255.224 <br>&gt;&gt; ip access-group 104 in <br>&gt;&gt; ip nat outside <br>&gt;&gt; ip virtual-reassembly <br>&gt;&gt; duplex auto <br>&gt;&gt; speed auto <br>&gt; 104 access list попробуйте на время убрать ...<br><br>в самом первом посте написал же акцесс листы отключены, имел ввиду именно этот на внешнем интерфейсе.<br>в том то и дело, что должно быть а не идет ( при этом туннельный работает. маршрут по умолчанию прописан на прова.<br>