- 2 прова и НАТ, sh_, 10:00 , 12-Дек-06 (1)
access-list 3 perm ho 192.168.77.45 no route-map alpharoute-map alpha permit 10 match ip add 3 set ip next-hop 87.244.XXX.209 route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.
- 2 прова и НАТ, visahouse, 14:17 , 12-Дек-06 (2)
добавил, всё что написали. теперь в конфиге такое:access-list 3 permit 192.168.77.45 route-map alpha permit 10 match ip address 3 set ip next-hop 86.62.XXX.193 ! route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ! опять не работает! А вообще можно-ли сделать следующее: всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? >access-list 3 perm ho 192.168.77.45 >no route-map alpha > >route-map alpha permit 10 >match ip add 3 >set ip next-hop 87.244.XXX.209 > >route-map alpha permit 20 >set ip next-hop verify-availability 86.62.XXX.193 10 track 123 >set ip next-hop verify-availability 87.244.XXX.209 20 track 124 > >ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано. >
- 2 прова и НАТ, sh_, 14:29 , 12-Дек-06 (3)
>опять не работает!Я написал не то, что вы вбили в конфиг. >А вообще можно-ли сделать следующее: >всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? Можно. Тот же PBR.
- 2 прова и НАТ, visahouse, 15:00 , 12-Дек-06 (4)
>Я написал не то, что вы вбили в конфиг. так я вбивал чётко, что было написано. Но теперь в конфиге так, как я здесь выкладываю.
- 2 прова и НАТ, sh_, 16:09 , 12-Дек-06 (5)
Я написал route-map alpha permit 10 match ip add 3 set ip next-hop 87.244.XXX.209у тебя написано route-map alpha permit 10 match ip add 3 set ip next-hop 86.62.XXX.193
- 2 прова и НАТ, visahouse, 16:24 , 12-Дек-06 (6)
Через второго прова, пока не могу ничего делать - через него щас, пока я кошку настраиваю, вся контора работает. Поэтому для тестирования указал айпишник первого. и лезу конечно же на него.>Я написал >route-map alpha permit 10 >match ip add 3 >set ip next-hop 87.244.XXX.209 > >у тебя написано > >route-map alpha permit 10 >match ip add 3 >set ip next-hop 86.62.XXX.193
- 2 прова и НАТ, visahouse, 16:33 , 12-Дек-06 (7)
Конфиг текущий:! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SHL ! boot-start-marker boot-end-marker ! no aaa new-model clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ip cef ! ! ! ! ip sla monitor 1 type echo protocol ipIcmpEcho 86.62.XXX.193 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 87.244.XXX.209 ip sla monitor schedule 2 life forever start-time now ! track 123 rtr 1 reachability ! track 124 rtr 2 reachability ! ! interface FastEthernet0/0 description RINET$ETH-WAN$ ip address 86.62.XXX.196 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description BREEZZ$ETH-WAN$ ip address 87.244.XXX.214 255.255.255.248 secondary ip address 87.244.XXX.210 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 description LOCAL ip address 192.168.77.1 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map alpha ! ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.77.45 25 86.62.XXX.196 25 extendable ! access-list 1 remark SDM_ACL Category=1 access-list 1 permit 192.168.77.0 0.0.0.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 192.168.77.0 0.0.0.255 access-list 3 permit 192.168.77.45 ! route-map alpha permit 10 match ip address 3 set ip next-hop 86.62.XXX.193 ! route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ! ! ! ! control-plane ! ! ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 login transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end
- 2 прова и НАТ, Антон, 00:36 , 13-Дек-06 (8)
Привет,по схеме не ясно, где у тебя Cisco. Если между ISP и ISA, тогда "SMTP-траффик почему-то не пробрасывается внутрь" - это значит, что от ISP трафик не попадает на "внешний" интерфейс ISA, и далее не попадает на Exchange. 192.168.77.45 - это "внешний" интерфейс ISA? 25й порт с ISA уходит на Exchange? И еще вопрос, не по теме. У тебя мониторится состояние шлюзов, и они же устанавливаются в качестве next-hop-ов. У тебя шлюзы расположены уже у провайдера? То есть ты по ним реально можешь отследить работоспособность каналов? Спасибо, Антон
- 2 прова и НАТ, visahouse, 08:39 , 13-Дек-06 (9)
шлюзы стоят у провайдера, так что по ним реально (ну как реально, относительно реально) отслеживается работоспособность каналов. по схеме - да кошка расположена между провайдером и Исой. 192.168.77.45 - считаем, что это внешний интерфейс ИСЫ. с ИСЫ всё уходин на Exchange.вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, может в этом дело и есть. вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это.
- 2 прова и НАТ, visahouse, 08:52 , 13-Дек-06 (10)
и при этом подставлялся внутренний IP-адрес, иначе как я понимаю ничего приниматься не будет.
- 2 прова и НАТ, Антон, 09:29 , 13-Дек-06 (11)
- 2 прова и НАТ, visahouse, 10:40 , 13-Дек-06 (12)
- 2 прова и НАТ, Антон, 11:40 , 13-Дек-06 (14)
>А DMZ-то причем? Так ведь тебе же нужно "вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это" - с практической точки зрения можно говорить о том, что ISA у тебя оказвается в DMZ роутера - ты на нее будешь прокидывать весь входящий трафик без разбора. Кстати, я проверил, SDM для "опубликования" "внутреннего" SMTP на "внешнем" интерфейсе роутера пишет вот такое правило ip nat inside source static tcp 192.168.0.2 25 interface FastEthernet0 25 FastEthernet0, естественно, "внешний". И всё работает. У меня вчера ошибка была в том, что "внутренний" хост 192.168.0.2 не знал, как отправить пакеты в Интернет, то есть у него в качестве шлюза по умолчанию был задан не роутер.
- 2 прова и НАТ, sh_, 10:51 , 13-Дек-06 (13)
>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, И не должен...
- 2 прова и НАТ, Антон, 11:41 , 13-Дек-06 (15)
>>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, > >И не должен... А почеу не должен? ACL-то на WAN-ах никакой не задан, судя по конфигу...
- 2 прова и НАТ, visahouse, 15:02 , 13-Дек-06 (16)
не должен, не должен. указал 2 роутера(типа 0.0.0.0) и запинговалсяа smtp заработал после того, как я позвонил провайдеру :-) оказывается эти умные ребята закрыли у себя к нам на вход ВСЁ кроме icmp-пакетов. а я 2 недели мучаюся... правда пока не могу в реале проверить, как будет работать sla-мониторы. в вскр придётся выходить и перетыкать. в понедельник сообщу результат.
- 2 прова и НАТ, Антон, 16:47 , 13-Дек-06 (17)
Вот мне интересно, будет ли у тебя "отказоустойчиво" работать Nat при такой конфигурацииip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload Мой прогноз - нет, т.е. когда у тебя основной интерфейс (канал к провайдеру) FastEthernet0/0 будет неработоспособен, маршруты поменяются, но через FastEthernet0/1 ничего натиться не должно... Я не знаю, как правильно, но я реализовал через Route-map -ы в условиях nat-ов, в каждой из которых налагаю условие на match ip next-hop
- 2 прова и НАТ, visahouse, 16:31 , 17-Дек-06 (18)
да. с нат-ом беда какая-то творится. :-)
- 2 прова и НАТ, visahouse, 08:33 , 18-Дек-06 (19)
Даже когда 2 прова работают и пакет идёт ко второму, то IP натится из первого.
- 2 прова и НАТ, Антон, 12:39 , 18-Дек-06 (20)
Может быть, можно как-то по-другому, иожет быть, даже правильно как-то по-другому, но у меня работающий вариант 1:1 как вот в этом посте http://www.opennet.me/openforum/vsluhforumID6/12229.html у EtherDen: ip classless ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123 ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124 ! ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload ! ip access-list standard locallan permit 192.168.0.0 0.0.0.255 ! ! route-map ISP1-NAT permit 10 match ip address locallan match interface FastEthernet0 ! route-map ISP2-NAT permit 10 match ip address locallan match interface FastEthernet1
- 2 прова и НАТ, visahouse, 17:30 , 18-Дек-06 (21)
сенькую. NAT заработал полностью и правильно.Осталось настроить проход IPSec VPN-a :-) Конфигурация такая ISA1 - Интернет - Cisco1841 - ISA2 Надо чтобы этот IPSec траффик c ISA1 на ISA2 проходил через кошку насквозь, не задерживаясь на ней.
- 2 прова и НАТ, Антон, 18:09 , 18-Дек-06 (22)
- 2 прова и НАТ, visahouse, 15:45 , 19-Дек-06 (23)
Просто на ИСЕ, которая за кошкой, завёл ещё один IP-адрес и на кошке сделал статический проброс всего трафика на него. Всё работает, как ни странно. :-)
|