forum.opennet.ru - "Помогите выпустить наружу пользователей через Cisco" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите выпустить наружу пользователей через Cisco"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите выпустить наружу пользователей через Cisco"	+/–
Сообщение от Максим (??) on 05-Дек-13, 06:11
Здравствуйте. Большая просьба к вам. Не получается дать доступ пользователям в интернет через Cisco из-за нехватки знаний. Пробовал разные варианты с помощью различных статей, но либо не работает, либо приходится звонить в филиал и просить перезапустить Cisco, так как теряется связь VPN. Вот конфиг: ip dhcp pool LAN network 192.168.4.0 255.255.255.0 default-router 192.168.4.1 dns-server 192.168.1.3 192.168.1.5 lease 60 ! ! ip domain name office.ru ip name-server 192.168.1.3 ip name-server 212.122.1.2 ip ssh version 1 ! crypto pki token default removal timeout 0 ! ! username admin secret 5 ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto ipsec profile cisco set security-association lifetime seconds 120 set transform-set strong ! ! ! ! ! interface Tunnel0 ip address 192.168.111.2 255.255.255.0 no ip redirects ip mtu 1440 ip nhrp authentication cisco123 ip nhrp map multicast dynamic ip nhrp map 192.168.111.1 ip nhrp map multicast ip nhrp network-id 1 ip nhrp nhs 192.168.111.1 ip nhrp cache non-authoritative tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 0 tunnel protection ipsec profile cisco ! interface Tunnel2 ip address 192.168.112.2 255.255.255.0 no ip redirects ip mtu 1427 ip nhrp authentication hello ip nhrp map ip nhrp map multicast ip nhrp network-id 2 ip nhrp holdtime 10 ip nhrp nhs 192.168.112.1 ip nhrp cache non-authoritative ip tcp adjust-mss 1380 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 key ip ospf network broadcast ip ospf cost 5 ip ospf hello-interval 2 ip ospf dead-interval 6 ip ospf priority 0 ip ospf 200 area 2 tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 2 ! interface FastEthernet0 description WAN ip address 188.113.171.33 255.255.255.0 ip access-group 100 in ip access-group OUT_WAN out no ip redirects ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.4.1 255.255.255.0 ip nat outside no ip virtual-reassembly ! router eigrp 90 network 192.168.4.0 network 192.168.111.0 auto-summary ! router ospf 200 log-adjacency-changes area 2 nssa no-summary area 2 default-cost 10 network 192.168.4.1 0.0.0.0 area 2 network 192.168.112.2 0.0.0.0 area 2 ! ip route 0.0.0.0 0.0.0.0 188.113.171.1 ! ! no ip http server no ip http secure-server ip nat inside source route-map nonat interface FastEthernet0 overload ! access-list 23 permit 192.168.0.0 0.0.0.255 access-list 23 permit 192.168.0.0 0.0.255.255 access-list 23 permit any access-list 100 permit tcp any host 188.113.171.33 eq 22 access-list 100 permit udp any any eq isakmp access-list 100 permit udp any any eq non500-isakmp access-list 100 permit esp any any access-list 100 permit gre any any access-list 100 permit udp any any eq bootpc access-list 100 deny ip any any access-list 110 permit ip 192.168.4.0 0.0.0.255 any ! ! ! route-map nonat permit 10 match ip address 110 ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 access-class 23 in exec-timeout 60 0 password 7 logging synchronous transport input ssh transport output none ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end sa# Прошу подсказать какие дописать нужные строки?
Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите выпустить наружу пользователей через Cisco, ogiss, 10:00 , 05-Дек-13, (1)

Помогите выпустить наружу пользователей через Cisco, fantom, 10:41 , 05-Дек-13, (2)

Помогите выпустить наружу пользователей через Cisco, VolanD, 12:09 , 05-Дек-13, (3)

Помогите выпустить наружу пользователей через Cisco, fantom, 18:36 , 16-Дек-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите выпустить наружу пользователей через Cisco" +/–

Сообщение от ogiss on 05-Дек-13, 10:00

> interface Vlan1
>  ip address 192.168.4.1 255.255.255.0
>  ip nat outside  - заменить на "ip nat inside"
>  no ip virtual-reassembly

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите выпустить наружу пользователей через Cisco" +/–

Сообщение от fantom (??) on 05-Дек-13, 10:41

>> interface Vlan1
>>  ip address 192.168.4.1 255.255.255.0
>>  ip nat outside  - заменить на "ip nat inside"
>>  no ip virtual-reassembly
Чтобы не просить перегрузить кого-то в филиале, перед началом экспериментов
reload in 10 (ребут через 10 минут)
Если неудачно - через 10 минут сама ребутнется, если удачно
reload cancel - отмена ребута.
теперь по порядку:
1. Конфиг неполный, ACL OUT_WAN отсутствует, если ACL в конфиге нет, то считается, что это deny any...
2. access-list 100 deny   ip any any   скорее всего у вас все лочит.
3. прикольное имя для роутмапа - nonat для nat.... это чтобы враги не догоадались?
итого:
переформировать ACL 100
создать нужный ACL OUT_WAN
помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде в IOS-ах 15 серии можно но на 100% не уверен.), его можно только полностью переделать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите выпустить наружу пользователей через Cisco" +/–

Сообщение от VolanD (ok) on 05-Дек-13, 12:09

> помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде
> в IOS-ах 15 серии можно но на 100% не уверен.), его
> можно только полностью переделать.
Мона:
ip access-list st 23
и т.д.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Помогите выпустить наружу пользователей через Cisco" +/–

Сообщение от fantom (??) on 16-Дек-13, 18:36

>> помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде
>> в IOS-ах 15 серии можно но на 100% не уверен.), его
>> можно только полностью переделать.
> Мона:
> ip access-list st 23
> и т.д.
Спасибо, век живи....

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите выпустить наружу пользователей через Cisco"	+/–
Сообщение от ogiss on 05-Дек-13, 10:00
> interface Vlan1 > ip address 192.168.4.1 255.255.255.0 > ip nat outside - заменить на "ip nat inside" > no ip virtual-reassembly
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Помогите выпустить наружу пользователей через Cisco"	+/–
	Сообщение от fantom (??) on 05-Дек-13, 10:41
	>> interface Vlan1 >> ip address 192.168.4.1 255.255.255.0 >> ip nat outside - заменить на "ip nat inside" >> no ip virtual-reassembly Чтобы не просить перегрузить кого-то в филиале, перед началом экспериментов reload in 10 (ребут через 10 минут) Если неудачно - через 10 минут сама ребутнется, если удачно reload cancel - отмена ребута. теперь по порядку: 1. Конфиг неполный, ACL OUT_WAN отсутствует, если ACL в конфиге нет, то считается, что это deny any... 2. access-list 100 deny ip any any скорее всего у вас все лочит. 3. прикольное имя для роутмапа - nonat для nat.... это чтобы враги не догоадались? итого: переформировать ACL 100 создать нужный ACL OUT_WAN помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде в IOS-ах 15 серии можно но на 100% не уверен.), его можно только полностью переделать.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Помогите выпустить наружу пользователей через Cisco"	+/–
	Сообщение от VolanD (ok) on 05-Дек-13, 12:09
	> помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде > в IOS-ах 15 серии можно но на 100% не уверен.), его > можно только полностью переделать. Мона: ip access-list st 23 и т.д.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Помогите выпустить наружу пользователей через Cisco"	+/–
	Сообщение от fantom (??) on 16-Дек-13, 18:36
	>> помним про то, что из нумерованного ACL нельзя убить одну строчку (вроде >> в IOS-ах 15 серии можно но на 100% не уверен.), его >> можно только полностью переделать. > Мона: > ip access-list st 23 > и т.д. Спасибо, век живи....
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору