forum.opennet.ru - "2 прова и НАТ" (23)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"2 прова и НАТ"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"2 прова и НАТ"
Сообщение от visahouse (ok) on 12-Дек-06, 09:48
Не пинайте сильно ногами. :-) Топология следующая: весь трафик, кроме почты ISP1 <--------------------------->\| \|<---->DMZ - Тут стоит Exchange \|ISA-сервер\| ISP2 <--------------------------->\| \|<---->LAN почта(SMTP), внутрь и наружу + резервный канал В итоге SMTP-траффик почему-то не пробрасывается внутрь. Где ошибка никак понять не могу. Конфигурация CISCO 1841: Building configuration... Current configuration : 4158 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SHL ! boot-start-marker boot-end-marker ! logging buffered 52000 debugging enable secret 5 $1$YDvK$6JACCW0yeAtqM8Qj.6LgH. ! no aaa new-model clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ip cef ! ! ! ! ip name-server 195.54.192.33 ip name-server 195.54.192.39 ip name-server 87.244.8.7 ip sla monitor 1 type echo protocol ipIcmpEcho 86.62.XXX.193 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 87.144.XXX.209 ip sla monitor schedule 2 life forever start-time now ! ! crypto pki trustpoint TP-self-signed-1039381438 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1039381438 revocation-check none rsakeypair TP-self-signed-1039381438 ! ! crypto pki certificate chain TP-self-signed-1039381438 certificate self-signed 01 3082023B 308201A4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31303339 33383134 3338301E 170D3036 31323131 31323331 35395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 30333933 38313433 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100CC32 B4B7286F F9B99691 93B7124C DBEEC18D ADD55AD0 6B2183AC B59C231C 58F20501 E6751D01 C9A5AF9C E00AE7F4 4031C3F1 1CDCBD83 43A361EA 6BD750E1 9794337F C4D50693 A55007F2 1DE1A28F 0020EFC6 6565C26D 537FB4BF CAD1B506 006A838E 28D37600 854AED08 B86E5AF6 FFA59791 C231BBA7 FDFCCDC5 609C6F06 1EDB0203 010001A3 63306130 0F060355 1D130101 FF040530 030101FF 300E0603 551D1104 07300582 0353484C 301F0603 551D2304 18301680 1464F807 E2A02441 978B0B42 704F98C2 1F30F6FA 7B301D06 03551D0E 04160414 64F807E2 A0244197 8B0B4270 4F98C21F 30F6FA7B 300D0609 2A864886 F70D0101 04050003 8181002E 746B7D38 79610446 1CC8D1F1 3E5DD6C6 A9B3FD1C 110C3E2F 2ED0CBF9 0AAD7FDD 19F38F5E A1A588FD 5CA57D89 17ACF8DD CD49CD59 D7E3CF6D 14C2454D 7BE26DB5 999CE5C0 C45EE269 D03D8AE5 D87FA575 8E817817 36928DEE 43993402 08E34495 7E279522 73E2A27B D493B1ED 90448D56 53829351 2099DF21 91967F85 088215 quit username dsa privilege 15 view root secret 5 $4$Ii6r$phfHeQ21R3HjrkdVYzhKi/ username psj privilege 15 view root secret 5 $4$uyHK$ujtYfQRKL8fjfFSWMxGMW. username esr privilege 15 view root secret 5 $4$6Pe3$KH4S9JwR653kfa8wE8IOU. ! ! track 123 rtr 1 reachability ! track 124 rtr 2 reachability ! ! ! ! interface FastEthernet0/0 description RINET ip address 86.62.XXX.196 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description BREEZZ ip address 87.244.XXX.214 255.255.255.248 secondary ip address 87.244.XXX.210 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 description LOCAL ip address 192.168.77.1 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map alpha ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.77.45 25 87.244.XXX.210 25 extendable ! access-list 1 remark SDM_ACL Category=1 access-list 1 permit 192.168.77.0 0.0.0.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 192.168.77.0 0.0.0.255 route-map alpha permit 10 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.144.XXX.209 20 track 124 ! ! ! control-plane ! ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

2 прова и НАТ, sh_, 10:00 , 12-Дек-06, (1)

2 прова и НАТ, visahouse, 14:17 , 12-Дек-06, (2)

2 прова и НАТ, sh_, 14:29 , 12-Дек-06, (3)

2 прова и НАТ, visahouse, 15:00 , 12-Дек-06, (4)

2 прова и НАТ, sh_, 16:09 , 12-Дек-06, (5)

2 прова и НАТ, visahouse, 16:24 , 12-Дек-06, (6)

2 прова и НАТ, visahouse, 16:33 , 12-Дек-06, (7)

2 прова и НАТ, Антон, 00:36 , 13-Дек-06, (8)

2 прова и НАТ, visahouse, 08:39 , 13-Дек-06, (9)

2 прова и НАТ, visahouse, 08:52 , 13-Дек-06, (10)

2 прова и НАТ, Антон, 09:29 , 13-Дек-06, (11)

2 прова и НАТ, visahouse, 10:40 , 13-Дек-06, (12)

2 прова и НАТ, Антон, 11:40 , 13-Дек-06, (14)

2 прова и НАТ, sh_, 10:51 , 13-Дек-06, (13)

2 прова и НАТ, Антон, 11:41 , 13-Дек-06, (15)

2 прова и НАТ, visahouse, 15:02 , 13-Дек-06, (16)

2 прова и НАТ, Антон, 16:47 , 13-Дек-06, (17)

2 прова и НАТ, visahouse, 16:31 , 17-Дек-06, (18)

2 прова и НАТ, visahouse, 08:33 , 18-Дек-06, (19)

2 прова и НАТ, Антон, 12:39 , 18-Дек-06, (20)

2 прова и НАТ, visahouse, 17:30 , 18-Дек-06, (21)

2 прова и НАТ, Антон, 18:09 , 18-Дек-06, (22)

2 прова и НАТ, visahouse, 15:45 , 19-Дек-06, (23)

Сообщения по теме [Сортировка по времени, UBB]

1. "2 прова и НАТ"

Сообщение от sh_ (??) on 12-Дек-06, 10:00

access-list 3 perm ho 192.168.77.45
no route-map alpha
route-map alpha permit 10
match ip add 3
set ip next-hop 87.244.XXX.209
route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124
ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "2 прова и НАТ"

Сообщение от visahouse (ok) on 12-Дек-06, 14:17

добавил, всё что написали.
теперь в конфиге такое:
access-list 3 permit 192.168.77.45
route-map alpha permit 10
match ip address 3
set ip next-hop 86.62.XXX.193
!
route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124
!
опять не работает!
А вообще можно-ли сделать следующее:
всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера?
>access-list 3 perm ho 192.168.77.45
>no route-map alpha
>
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 87.244.XXX.209
>
>route-map alpha permit 20
>set ip next-hop verify-availability 86.62.XXX.193 10 track 123
>set ip next-hop verify-availability 87.244.XXX.209 20 track 124
>
>ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "2 прова и НАТ"

Сообщение от sh_ (??) on 12-Дек-06, 14:29

>опять не работает!
Я написал не то, что вы вбили в конфиг.
>А вообще можно-ли сделать следующее:
>всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера?
Можно. Тот же PBR.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "2 прова и НАТ"

Сообщение от visahouse (ok) on 12-Дек-06, 15:00

>Я написал не то, что вы вбили в конфиг.
так я вбивал чётко, что было написано.
Но теперь в конфиге так, как я здесь выкладываю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "2 прова и НАТ"

Сообщение от sh_ (??) on 12-Дек-06, 16:09

Я написал
route-map alpha permit 10
match ip add 3
set ip next-hop 87.244.XXX.209
у тебя написано
route-map alpha permit 10
match ip add 3
set ip next-hop 86.62.XXX.193

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "2 прова и НАТ"

Сообщение от visahouse (ok) on 12-Дек-06, 16:24

Через второго прова, пока не могу ничего делать - через него щас, пока я кошку настраиваю, вся контора работает.
Поэтому для тестирования указал айпишник первого. и лезу конечно же на него.
>Я написал
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 87.244.XXX.209
>
>у тебя написано
>
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 86.62.XXX.193

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "2 прова и НАТ"

Сообщение от visahouse (ok) on 12-Дек-06, 16:33

Конфиг текущий:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SHL
!
boot-start-marker
boot-end-marker
!
no aaa new-model
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
!
!
ip sla monitor 1
type echo protocol ipIcmpEcho 86.62.XXX.193
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 87.244.XXX.209
ip sla monitor schedule 2 life forever start-time now
!
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability
!
!
interface FastEthernet0/0
description RINET$ETH-WAN$
ip address 86.62.XXX.196 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description BREEZZ$ETH-WAN$
ip address 87.244.XXX.214 255.255.255.248 secondary
ip address 87.244.XXX.210 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
description LOCAL
ip address 192.168.77.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map alpha
!
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.77.45 25 86.62.XXX.196 25 extendable
!
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 192.168.77.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.77.0 0.0.0.255
access-list 3 permit 192.168.77.45
!
route-map alpha permit 10
match ip address 3
set ip next-hop 86.62.XXX.193
!
route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124
!
!
!
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "2 прова и НАТ"

Сообщение от Антон (??) on 13-Дек-06, 00:36

Привет,
по схеме не ясно, где у тебя Cisco. Если между ISP и ISA, тогда "SMTP-траффик почему-то не пробрасывается внутрь" - это значит, что от ISP трафик не попадает на "внешний" интерфейс ISA, и далее не попадает на Exchange.
192.168.77.45 - это "внешний" интерфейс ISA? 25й порт с ISA уходит на Exchange?
И еще вопрос, не по теме. У тебя мониторится состояние шлюзов, и они же устанавливаются в качестве next-hop-ов. У тебя шлюзы расположены уже у провайдера? То есть ты по ним реально можешь отследить работоспособность каналов?
Спасибо,
Антон

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "2 прова и НАТ"

Сообщение от visahouse (ok) on 13-Дек-06, 08:39

шлюзы стоят у провайдера, так что по ним реально (ну как реально, относительно реально) отслеживается работоспособность каналов.
по схеме - да кошка расположена между провайдером и Исой.
192.168.77.45 - считаем, что это внешний интерфейс ИСЫ. с ИСЫ всё уходин на Exchange.
вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, может в этом дело и есть.
вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "2 прова и НАТ"

Сообщение от visahouse (ok) on 13-Дек-06, 08:52

и при этом подставлялся внутренний IP-адрес, иначе как я понимаю ничего приниматься не будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "2 прова и НАТ"

Сообщение от Антон (??) on 13-Дек-06, 09:29

Я собственно вчера пытался смоделировать твою ситуацию и понять, почему же собственно твоя конфигурация не работает. Понять не получилось :))))
Вот здесь лежат руководства по конфигурации IOS 12.4
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/index.htm
Вот конкретно здесь описан NAT
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hiad_c/ch20/index.htm
Там должен быть раздел типа "DMZ"...
Если справишься - пиши как.
Спасибо,
Антон

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "2 прова и НАТ"

Сообщение от visahouse (ok) on 13-Дек-06, 10:40

А DMZ-то причем?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "2 прова и НАТ"

Сообщение от Антон (??) on 13-Дек-06, 11:40

>А DMZ-то причем?
Так ведь тебе же нужно "вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это" - с практической точки зрения можно говорить о том, что ISA у тебя оказвается в DMZ роутера - ты на нее будешь прокидывать весь входящий трафик без разбора.
Кстати, я проверил, SDM для "опубликования" "внутреннего" SMTP на "внешнем" интерфейсе роутера пишет вот такое правило
ip nat inside source static tcp 192.168.0.2 25 interface FastEthernet0 25
FastEthernet0, естественно, "внешний".
И всё работает. У меня вчера ошибка была в том, что "внутренний" хост 192.168.0.2 не знал, как отправить пакеты в Интернет, то есть у него в качестве шлюза по умолчанию был задан не роутер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "2 прова и НАТ"

Сообщение от sh_ (??) on 13-Дек-06, 10:51

>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется,
И не должен...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "2 прова и НАТ"

Сообщение от Антон (??) on 13-Дек-06, 11:41

>>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется,
>
>И не должен...

А почеу не должен? ACL-то на WAN-ах никакой не задан, судя по конфигу...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "2 прова и НАТ"

Сообщение от visahouse (ok) on 13-Дек-06, 15:02

не должен, не должен.
указал 2 роутера(типа 0.0.0.0) и запинговался
а smtp заработал после того, как я позвонил провайдеру :-)
оказывается эти умные ребята закрыли у себя к нам на вход ВСЁ кроме icmp-пакетов.
а я 2 недели мучаюся...
правда пока не могу в реале проверить, как будет работать sla-мониторы.
в вскр придётся выходить и перетыкать.
в понедельник сообщу результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "2 прова и НАТ"

Сообщение от Антон (??) on 13-Дек-06, 16:47

Вот мне интересно, будет ли у тебя "отказоустойчиво" работать Nat при такой конфигурации
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/1 overload
Мой прогноз - нет, т.е. когда у тебя основной интерфейс (канал к провайдеру) FastEthernet0/0 будет неработоспособен, маршруты поменяются, но через FastEthernet0/1 ничего натиться не должно...
Я не знаю, как правильно, но я реализовал через Route-map -ы в условиях nat-ов, в каждой из которых налагаю условие на match ip next-hop

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "2 прова и НАТ"

Сообщение от visahouse (ok) on 17-Дек-06, 16:31

да. с нат-ом беда какая-то творится. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "2 прова и НАТ"

Сообщение от visahouse (ok) on 18-Дек-06, 08:33

Даже когда 2 прова работают и пакет идёт ко второму, то IP натится из первого.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "2 прова и НАТ"

Сообщение от Антон (??) on 18-Дек-06, 12:39

Может быть, можно как-то по-другому, иожет быть, даже правильно как-то по-другому, но у меня работающий вариант 1:1 как вот в этом посте
http://www.opennet.me/openforum/vsluhforumID6/12229.html
у EtherDen:
ip classless
ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123
ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124
!
ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload
!
ip access-list standard locallan
permit 192.168.0.0 0.0.0.255
!
!
route-map ISP1-NAT permit 10
match ip address locallan
match interface FastEthernet0
!
route-map ISP2-NAT permit 10
match ip address locallan
match interface FastEthernet1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "2 прова и НАТ"

Сообщение от visahouse (ok) on 18-Дек-06, 17:30

сенькую.
NAT заработал полностью и правильно.
Осталось настроить проход IPSec VPN-a :-)
Конфигурация такая
ISA1 - Интернет - Cisco1841 - ISA2
Надо чтобы этот IPSec траффик c ISA1 на ISA2 проходил через кошку насквозь, не задерживаясь на ней.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "2 прова и НАТ"

Сообщение от Антон (??) on 18-Дек-06, 18:09

Неизбежно возникнут трудности собственно с организацией IPSec VPN с одной ISA-ой, находящейся за NAT-ом. Принципиально пиры должны поддерживать функционал типа "NAT traversal".
Я этой темой плотно не занимался, но вот есть ссылка
http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080455c72.html
Спасибо,
Антон

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "2 прова и НАТ"

Сообщение от visahouse (ok) on 19-Дек-06, 15:45

Просто на ИСЕ, которая за кошкой, завёл ещё один IP-адрес и на кошке сделал статический проброс всего трафика на него.
Всё работает, как ни странно. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2 прова и НАТ"
Сообщение от sh_ (??) on 12-Дек-06, 10:00
access-list 3 perm ho 192.168.77.45 no route-map alpha route-map alpha permit 10 match ip add 3 set ip next-hop 87.244.XXX.209 route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 12-Дек-06, 14:17
	добавил, всё что написали. теперь в конфиге такое: access-list 3 permit 192.168.77.45 route-map alpha permit 10 match ip address 3 set ip next-hop 86.62.XXX.193 ! route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ! опять не работает! А вообще можно-ли сделать следующее: всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? >access-list 3 perm ho 192.168.77.45 >no route-map alpha > >route-map alpha permit 10 >match ip add 3 >set ip next-hop 87.244.XXX.209 > >route-map alpha permit 20 >set ip next-hop verify-availability 86.62.XXX.193 10 track 123 >set ip next-hop verify-availability 87.244.XXX.209 20 track 124 > >ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано. >
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "2 прова и НАТ"
	Сообщение от sh_ (??) on 12-Дек-06, 14:29
	>опять не работает! Я написал не то, что вы вбили в конфиг. >А вообще можно-ли сделать следующее: >всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? Можно. Тот же PBR.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 12-Дек-06, 15:00
	>Я написал не то, что вы вбили в конфиг. так я вбивал чётко, что было написано. Но теперь в конфиге так, как я здесь выкладываю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "2 прова и НАТ"
	Сообщение от sh_ (??) on 12-Дек-06, 16:09
	Я написал route-map alpha permit 10 match ip add 3 set ip next-hop 87.244.XXX.209 у тебя написано route-map alpha permit 10 match ip add 3 set ip next-hop 86.62.XXX.193
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 12-Дек-06, 16:24
	Через второго прова, пока не могу ничего делать - через него щас, пока я кошку настраиваю, вся контора работает. Поэтому для тестирования указал айпишник первого. и лезу конечно же на него. >Я написал >route-map alpha permit 10 >match ip add 3 >set ip next-hop 87.244.XXX.209 > >у тебя написано > >route-map alpha permit 10 >match ip add 3 >set ip next-hop 86.62.XXX.193
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 12-Дек-06, 16:33
	Конфиг текущий: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SHL ! boot-start-marker boot-end-marker ! no aaa new-model clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ip cef ! ! ! ! ip sla monitor 1 type echo protocol ipIcmpEcho 86.62.XXX.193 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 87.244.XXX.209 ip sla monitor schedule 2 life forever start-time now ! track 123 rtr 1 reachability ! track 124 rtr 2 reachability ! ! interface FastEthernet0/0 description RINET$ETH-WAN$ ip address 86.62.XXX.196 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description BREEZZ$ETH-WAN$ ip address 87.244.XXX.214 255.255.255.248 secondary ip address 87.244.XXX.210 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 description LOCAL ip address 192.168.77.1 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map alpha ! ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.77.45 25 86.62.XXX.196 25 extendable ! access-list 1 remark SDM_ACL Category=1 access-list 1 permit 192.168.77.0 0.0.0.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 192.168.77.0 0.0.0.255 access-list 3 permit 192.168.77.45 ! route-map alpha permit 10 match ip address 3 set ip next-hop 86.62.XXX.193 ! route-map alpha permit 20 set ip next-hop verify-availability 86.62.XXX.193 10 track 123 set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ! ! ! ! control-plane ! ! ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 login transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

8. "2 прова и НАТ"
Сообщение от Антон (??) on 13-Дек-06, 00:36
Привет, по схеме не ясно, где у тебя Cisco. Если между ISP и ISA, тогда "SMTP-траффик почему-то не пробрасывается внутрь" - это значит, что от ISP трафик не попадает на "внешний" интерфейс ISA, и далее не попадает на Exchange. 192.168.77.45 - это "внешний" интерфейс ISA? 25й порт с ISA уходит на Exchange? И еще вопрос, не по теме. У тебя мониторится состояние шлюзов, и они же устанавливаются в качестве next-hop-ов. У тебя шлюзы расположены уже у провайдера? То есть ты по ним реально можешь отследить работоспособность каналов? Спасибо, Антон
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 13-Дек-06, 08:39
	шлюзы стоят у провайдера, так что по ним реально (ну как реально, относительно реально) отслеживается работоспособность каналов. по схеме - да кошка расположена между провайдером и Исой. 192.168.77.45 - считаем, что это внешний интерфейс ИСЫ. с ИСЫ всё уходин на Exchange. вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, может в этом дело и есть. вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 13-Дек-06, 08:52
	и при этом подставлялся внутренний IP-адрес, иначе как я понимаю ничего приниматься не будет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "2 прова и НАТ"
	Сообщение от Антон (??) on 13-Дек-06, 09:29
	Я собственно вчера пытался смоделировать твою ситуацию и понять, почему же собственно твоя конфигурация не работает. Понять не получилось :)))) Вот здесь лежат руководства по конфигурации IOS 12.4 http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/index.htm Вот конкретно здесь описан NAT http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hiad_c/ch20/index.htm Там должен быть раздел типа "DMZ"... Если справишься - пиши как. Спасибо, Антон
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 13-Дек-06, 10:40
	А DMZ-то причем?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "2 прова и НАТ"
	Сообщение от Антон (??) on 13-Дек-06, 11:40
	>А DMZ-то причем? Так ведь тебе же нужно "вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это" - с практической точки зрения можно говорить о том, что ISA у тебя оказвается в DMZ роутера - ты на нее будешь прокидывать весь входящий трафик без разбора. Кстати, я проверил, SDM для "опубликования" "внутреннего" SMTP на "внешнем" интерфейсе роутера пишет вот такое правило ip nat inside source static tcp 192.168.0.2 25 interface FastEthernet0 25 FastEthernet0, естественно, "внешний". И всё работает. У меня вчера ошибка была в том, что "внутренний" хост 192.168.0.2 не знал, как отправить пакеты в Интернет, то есть у него в качестве шлюза по умолчанию был задан не роутер.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "2 прова и НАТ"
	Сообщение от sh_ (??) on 13-Дек-06, 10:51
	>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, И не должен...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "2 прова и НАТ"
	Сообщение от Антон (??) on 13-Дек-06, 11:41
	>>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, > >И не должен... А почеу не должен? ACL-то на WAN-ах никакой не задан, судя по конфигу...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 13-Дек-06, 15:02
	не должен, не должен. указал 2 роутера(типа 0.0.0.0) и запинговался а smtp заработал после того, как я позвонил провайдеру :-) оказывается эти умные ребята закрыли у себя к нам на вход ВСЁ кроме icmp-пакетов. а я 2 недели мучаюся... правда пока не могу в реале проверить, как будет работать sla-мониторы. в вскр придётся выходить и перетыкать. в понедельник сообщу результат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "2 прова и НАТ"
	Сообщение от Антон (??) on 13-Дек-06, 16:47
	Вот мне интересно, будет ли у тебя "отказоустойчиво" работать Nat при такой конфигурации ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload Мой прогноз - нет, т.е. когда у тебя основной интерфейс (канал к провайдеру) FastEthernet0/0 будет неработоспособен, маршруты поменяются, но через FastEthernet0/1 ничего натиться не должно... Я не знаю, как правильно, но я реализовал через Route-map -ы в условиях nat-ов, в каждой из которых налагаю условие на match ip next-hop
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 17-Дек-06, 16:31
	да. с нат-ом беда какая-то творится. :-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 18-Дек-06, 08:33
	Даже когда 2 прова работают и пакет идёт ко второму, то IP натится из первого.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "2 прова и НАТ"
	Сообщение от Антон (??) on 18-Дек-06, 12:39
	Может быть, можно как-то по-другому, иожет быть, даже правильно как-то по-другому, но у меня работающий вариант 1:1 как вот в этом посте http://www.opennet.me/openforum/vsluhforumID6/12229.html у EtherDen: ip classless ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123 ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124 ! ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload ! ip access-list standard locallan permit 192.168.0.0 0.0.0.255 ! ! route-map ISP1-NAT permit 10 match ip address locallan match interface FastEthernet0 ! route-map ISP2-NAT permit 10 match ip address locallan match interface FastEthernet1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 18-Дек-06, 17:30
	сенькую. NAT заработал полностью и правильно. Осталось настроить проход IPSec VPN-a :-) Конфигурация такая ISA1 - Интернет - Cisco1841 - ISA2 Надо чтобы этот IPSec траффик c ISA1 на ISA2 проходил через кошку насквозь, не задерживаясь на ней.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "2 прова и НАТ"
	Сообщение от Антон (??) on 18-Дек-06, 18:09
	Неизбежно возникнут трудности собственно с организацией IPSec VPN с одной ISA-ой, находящейся за NAT-ом. Принципиально пиры должны поддерживать функционал типа "NAT traversal". Я этой темой плотно не занимался, но вот есть ссылка http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080455c72.html Спасибо, Антон
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "2 прова и НАТ"
	Сообщение от visahouse (ok) on 19-Дек-06, 15:45
	Просто на ИСЕ, которая за кошкой, завёл ещё один IP-адрес и на кошке сделал статический проброс всего трафика на него. Всё работает, как ни странно. :-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]