форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"cisco 881 не корректно работает NAT."	+/–
Сообщение от WinkillerS (ok) on 15-Окт-13, 21:55
Имеется cisco 881. Задача классическая. Поднять pptp-туннель (он будет основным шлюзом), при этом часть пакетов направить мимо туннеля. Конфиг таков: no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname Router ! boot-start-marker boot-end-marker ! ! enable secret ! aaa new-model ! ! ! ! ! ! ! aaa session-id common memory-size iomem 10 ! ! ! ! ! ! ! ! ! ! ip dhcp pool Local import all network 192.168.4.0 255.255.255.0 default-router 192.168.4.1 dns-server 192.168.248.21 192.168.4.1 ! ! ! ip name-server 192.168.248.21 ip name-server 192.168.1.1 ip multicast-routing ip inspect WAAS flush-timeout 10 ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group 1 request-dialin   protocol pptp   rotary-group 1 initiate-to ip 10.190.108.200 ! license udi pid CISCO881-K9 sn ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 10.200.6.33 255.255.252.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Vlan1 ip address 192.168.4.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Dialer1 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 ppp pfc local request ppp pfc remote apply ppp pap sent-username 11111 password 0 22222 ! ip forward-protocol nd ip http server no ip http secure-server ! ip nat inside source list Inet interface Dialer1 overload ip nat inside source list Loc interface FastEthernet4 overload ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.0.0.0 255.0.0.0 10.200.4.1 ip route 10.190.108.200 255.255.255.255 10.200.4.1 ip route 10.193.0.0 255.255.0.0 Dialer1 ip route 10.224.0.0 255.255.0.0 Dialer1 ip route 10.227.0.0 255.255.0.0 Dialer1 ip route 10.228.0.0 255.255.0.0 Dialer1 ip route 10.229.0.0 255.255.0.0 Dialer1 ip route 192.168.100.0 255.255.255.0 Dialer1 ip route 192.168.245.38 255.255.255.255 10.200.4.1 ip route 192.168.248.21 255.255.255.255 10.200.4.1 ! ip access-list extended Inet permit ip 192.168.4.0 0.0.0.255 any permit ip 192.168.4.0 0.0.0.255 10.193.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.224.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.227.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.228.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.229.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 192.168.100.0 0.0.0.255 ip access-list extended Loc permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.255.255.255 permit ip 192.168.4.0 0.0.0.255 host 192.168.245.38 permit ip 192.168.4.0 0.0.0.255 host 192.168.248.21 ! dialer-list 1 protocol ip permit ! ! ! ! ! line con 0 line aux 0 line vty 0 4 logging synchronous transport input telnet ! ! end Тунель успешно поднимается. С самой циски все пингуется как надо, но... Проблема вот в чем. По sh ip nat st видно, что по листу Inet совпадения есть, а по Loc ни одного, т.е. NAT работает только по одному списку. Это же показывает и проверка с рабочей станции - через туннель пинг есть, а мимо него нет. Есть и еще одна проблема. Пинговаться то все пингуется, и даже если использовать гугл-dns имена резолвятся, но браузер отвечает, что соединение сброшено. В итоге максимум, что я могу наблюдать - это пинг. Пробовал крутить mtu - не помогло, хотя может не те значения подбирал. С другой стороны туннеля стоит cisco 2811, могу выложить конфиг и с нее. Однако с другим роутером (китайский noname) все работает, поэтому вряд ли проблема с серверной частью.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "cisco 881 не корректно работает NAT."	+/–
Сообщение от Merridius (ok) on 15-Окт-13, 22:36
> ip route 10.193.0.0 255.255.0.0 Dialer1 > ip route 10.224.0.0 255.255.0.0 Dialer1 > ip route 10.227.0.0 255.255.0.0 Dialer1 > ip route 10.228.0.0 255.255.0.0 Dialer1 > ip route 10.229.0.0 255.255.0.0 Dialer1 > ip route 192.168.100.0 255.255.255.0 Dialer1 Вот эти роуты вам зачем? У вас же дефолт в ту сторону есть. Nat вам надо переделать через Route-map.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "cisco 881 не корректно работает NAT."	+/–
	Сообщение от WinkillerS (ok) on 15-Окт-13, 23:24
	>> ip route 10.193.0.0 255.255.0.0 Dialer1 >> ip route 10.224.0.0 255.255.0.0 Dialer1 >> ip route 10.227.0.0 255.255.0.0 Dialer1 >> ip route 10.228.0.0 255.255.0.0 Dialer1 >> ip route 10.229.0.0 255.255.0.0 Dialer1 >> ip route 192.168.100.0 255.255.255.0 Dialer1 > Вот эти роуты вам зачем? У вас же дефолт в ту сторону > есть. > Nat вам надо переделать через Route-map. Потому что 10.0.0.0 идет через fa4, а эти должны идти через туннель, кроме 192.168.100.0 он действительно не нужен, случайно затесался из другого конфига, но сути не меняет. Попробую переделать NAT по вашему совету.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "cisco 881 не корректно работает NAT."	+/–
	Сообщение от WinkillerS (ok) on 16-Окт-13, 02:31
	Собственно переделал, однако моих знаний для этого, вероятно, не хватает. Получилось следующее: вместо ip nat inside source list Inet interface Dialer1 overload ip nat inside source list Loc interface FastEthernet4 overload ! ip access-list extended Inet permit ip 192.168.4.0 0.0.0.255 any permit ip 192.168.4.0 0.0.0.255 10.193.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.224.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.227.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.228.0.0 0.0.255.255 permit ip 192.168.4.0 0.0.0.255 10.229.0.0 0.0.255.255 ! ip access-list extended Loc permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.255.255.255 permit ip 192.168.4.0 0.0.0.255 host 192.168.245.38 permit ip 192.168.4.0 0.0.0.255 host 192.168.248.21 появилось следующее: ip nat inside source static 192.168.4.1 172.30.0.2 route-map Inet ip nat inside source static 192.168.4.1 10.200.6.33 route-map Loc ! access-list 100 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 100 permit ip 192.168.4.0 0.0.0.255 host 192.168.245.38 access-list 100 permit ip 192.168.4.0 0.0.0.255 host 192.168.248.21 ! access-list 101 permit ip 192.168.4.0 0.0.0.255 10.193.0.0 0.0.255.255 access-list 101 permit ip 192.168.4.0 0.0.0.255 10.224.0.0 0.0.255.255 access-list 101 permit ip 192.168.4.0 0.0.0.255 10.227.0.0 0.0.255.255 access-list 101 permit ip 192.168.4.0 0.0.0.255 10.228.0.0 0.0.255.255 access-list 101 permit ip 192.168.4.0 0.0.0.255 10.229.0.0 0.0.255.255 access-list 101 permit ip 192.168.4.0 0.0.0.255 any ! route-map Inet permit 10 match ip address 101 set ip next-hop 10.200.4.1 ! route-map Loc permit 10 match ip address 100 set ip next-hop 172.30.0.1 Вероятно где-то я все же накосячил, т.к. после этого не работает ничего. Из sh ip access-lists видно, что пакеты приходят и правильно обрабатываются, а вот в sh route-map глухо. И, кстати, правильно ли я понял, что при всем при этом статические маршруты никуда не деваются из конфига?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "cisco 881 не корректно работает NAT."	+/–
	Сообщение от WinkillerS (ok) on 16-Окт-13, 20:03
	Всем спасибо, вопрос решен. Если кому интересно. Убрал route-map, на основе последних access-list-ов сделал обычный динамический NAT, т.е. ip nat inside source list 101 interface Dialer1 overload ip nat inside source list 100 interface FastEthernet4 overload А по поводу сброса соединения в браузере, как и ожидалось, достаточно было поставить ip tcp adjust-mss 1400 на dialer1.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема