user-login

Маршрутизаторы Cisco Systems, Inc.

Рекомендованные сообщения

Спасибо большое за свежую прошивочку!

 

Написал сейчас большой пост, но этот форум его съел.

 

Если коротко то, всё поднялось, всё работает. Но совершенно чудовищно я запутался в ассес листах и роутах. С самого маршрутизатора, работае тввообще всё и сетка и интернет, всё замечательно. Но с моей подсети доступ в инет невозможен, не пингуются адреса, а локалка работает нормально...

 

Народ не подскажите, что может быть не так, почему не видно из подсети интернет машины?

 

Ибо с маршрутизатора всё в порядке:

ping ya.ru

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.180.204.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms

 

А с компа из-за маршрутизатора как-то не очень ясно...

 

C:\WINDOWS\Рабочий стол>ping ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Время ожидания запроса истекло.
Ответ от 195.14.62.88: Заданная сеть недоступна.
Время ожидания запроса истекло.
Ответ от 195.14.62.88: Заданная сеть недоступна.

Статистика Ping для 213.180.204.8:
   Пакетов: послано = 4, получено = 2, потеряно = 2 (50% потерь)
Приблизительное время передачи и приема:
   наименьшее = 0мс, наибольшее =  0мс, среднее =  0мс

 

Вот часть моего конфига, я его немного позаимствовал здесь, из нескольких постов выше.

 

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

ip nat inside source list 102 interface Ethernet1 overload

!

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 102 permit ip 10.10.10.0 0.0.0.255 any

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 10.0.0.0 0.0.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

 

Можно конфиг целиком увидеть?

А также вывод:

1. sh ip route

2. sh access-lists 'N'

 

где 'N' все access листы по очереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот мой конфиг, роуты и ассес-листы позаимствовал и чутка подправил (удалил то, что показалось лишним).

 

!

version 12.4

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname MyRouter

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

!

!

clock timezone MSK 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

clock update-calendar

ntp server ntp.mobatime.ru

!

!

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool HOME

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

!

ip ids po max-events 100

no ftp-server write-enable

!

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet0

!

!

interface Ethernet0

description Home local network

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

hold-queue 32 in

!

interface Ethernet1

description Corbina network

no shutdown

ip address dhcp client-id Ethernet1

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip access-group 111 in

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ****

ppp chap password 0 ****

pseudowire 85.21.0.255 10 pw-class class1

!

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

!

ip mroute 172.16.16.0 255.255.255.0 10.233.32.1

ip mroute 85.21.91.0 255.255.255.0 10.233.32.1

ip nat inside source list LAN interface Ethernet0 overload

ip nat inside source list WAN interface Virtual-PPP1 overload

!

ip access-list extended LAN

permit ip 10.10.10.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 10.10.10.0 0.0.0.255 83.102.146.0 0.0.0.231

permit ip 10.10.10.0 0.0.0.255 host 85.21.29.242

permit ip 10.10.10.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 85.21.90.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 host 195.14.50.16

permit ip 10.10.10.0 0.0.0.255 host 195.14.50.26

ip access-list extended WAN

permit ip 10.10.10.0 0.0.0.255 any

!

access-list 2 deny any

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 10.0.0.0 0.0.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

access-list 115 permit ip 10.10.10.0 0.0.0.255 any

!

!

no cdp run

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

transport preferred all

transport output all

stopbits 1

line aux 0

transport preferred all

transport output all

line vty 0 4

access-class 115 in

exec-timeout 120 0

login local

transport preferred all

transport input all

transport output all

!

scheduler max-task-time 5000

end

 

MyRouter#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.201.88.1 to network 0.0.0.0

 

85.0.0.0/8 is variably subnetted, 5 subnets, 2 masks

S 85.21.79.0/24 [1/0] via 10.201.88.1

S 85.21.90.0/24 [1/0] via 10.201.88.1

S 85.21.17.253/32 [1/0] via 10.201.88.1

S 85.21.29.242/32 [1/0] via 10.201.88.1

S 85.21.0.255/32 [1/0] via 10.201.88.1

83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

S 83.102.233.200/32 [254/0] via 10.201.88.1, Ethernet1

S 83.102.146.96/27 [1/0] via 10.201.88.1

10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks

C 10.10.10.0/24 is directly connected, Ethernet0

S 10.0.0.0/8 [1/0] via 10.201.88.1

C 10.201.88.0/21 is directly connected, Ethernet1

89.0.0.0/32 is subnetted, 1 subnets

S 89.179.135.67 [254/0] via 10.201.88.1

195.14.50.0/32 is subnetted, 2 subnets

S 195.14.50.26 [254/0] via 10.201.88.1

S 195.14.50.16 [1/0] via 10.201.88.1

S* 0.0.0.0/0 [254/0] via 10.201.88.1

 

sh access-lists

Standard IP access list 2

10 deny any

Standard IP access list 23

10 permit 10.10.10.0, wildcard bits 0.0.0.255

Extended IP access list 102

10 permit ip 10.10.10.0 0.0.0.255 any (36 matches)

Extended IP access list 111

10 deny tcp any eq 139 any

20 deny udp any eq netbios-ns any eq netbios-ns

30 deny udp any eq netbios-dgm any eq netbios-dgm

40 deny udp any eq netbios-ss any eq netbios-ss

50 deny udp any any range snmp snmptrap

60 deny tcp any any eq 3128

70 deny ip 10.0.0.0 0.0.255.255 any

80 deny ip 127.0.0.0 0.0.0.255 any

90 deny udp any any range 130 140

100 deny tcp any any range 130 140

110 deny tcp any any eq 8080

120 permit ip any any

130 permit udp any any

140 permit gre any any

150 permit tcp any any

160 permit icmp any any

170 permit pcp any any

180 permit esp any any

190 permit igmp any any

200 permit ipinip any any

210 permit nos any any

Extended IP access list 115

10 permit ip 10.10.10.0 0.0.0.255 any

Extended IP access list LAN

10 permit ip 10.10.10.0 0.0.0.255 10.0.0.0 0.255.255.255

20 permit ip 10.10.10.0 0.0.0.255 83.102.146.0 0.0.0.231

30 permit ip 10.10.10.0 0.0.0.255 host 85.21.29.242

40 permit ip 10.10.10.0 0.0.0.255 85.21.79.0 0.0.0.255

50 permit ip 10.10.10.0 0.0.0.255 85.21.90.0 0.0.0.255

60 permit ip 10.10.10.0 0.0.0.255 host 195.14.50.16

70 permit ip 10.10.10.0 0.0.0.255 host 195.14.50.26

Extended IP access list WAN

10 permit ip 10.10.10.0 0.0.0.255 any

Изменено пользователем Элвис

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот мой конфиг, роуты и ассес-листы позаимствовал и чутка подправил (удалил то, что показалось лишним).

 

!

version 12.4

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname MyRouter

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

!

!

clock timezone MSK 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

clock update-calendar

ntp server ntp.mobatime.ru

!

!

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool HOME

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

!

ip ids po max-events 100

no ftp-server write-enable

!

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet0

!

!

interface Ethernet0

description Home local network

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

hold-queue 32 in

!

interface Ethernet1

description Corbina network

no shutdown

ip address dhcp client-id Ethernet1

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip access-group 111 in

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ****

ppp chap password 0 ****

pseudowire 85.21.0.255 10 pw-class class1

!

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

!

ip mroute 172.16.16.0 255.255.255.0 10.233.32.1

ip mroute 85.21.91.0 255.255.255.0 10.233.32.1

ip nat inside source list LAN interface Ethernet0 overload

ip nat inside source list WAN interface Virtual-PPP1 overload

!

ip access-list extended LAN

permit ip 10.10.10.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 10.10.10.0 0.0.0.255 83.102.146.0 0.0.0.231

permit ip 10.10.10.0 0.0.0.255 host 85.21.29.242

permit ip 10.10.10.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 85.21.90.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 host 195.14.50.16

permit ip 10.10.10.0 0.0.0.255 host 195.14.50.26

ip access-list extended WAN

permit ip 10.10.10.0 0.0.0.255 any

!

access-list 2 deny any

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 10.0.0.0 0.0.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

access-list 115 permit ip 10.10.10.0 0.0.0.255 any

!

!

no cdp run

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

transport preferred all

transport output all

stopbits 1

line aux 0

transport preferred all

transport output all

line vty 0 4

access-class 115 in

exec-timeout 120 0

login local

transport preferred all

transport input all

transport output all

!

scheduler max-task-time 5000

end

 

MyRouter#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.201.88.1 to network 0.0.0.0

 

85.0.0.0/8 is variably subnetted, 5 subnets, 2 masks

S 85.21.79.0/24 [1/0] via 10.201.88.1

S 85.21.90.0/24 [1/0] via 10.201.88.1

S 85.21.17.253/32 [1/0] via 10.201.88.1

S 85.21.29.242/32 [1/0] via 10.201.88.1

S 85.21.0.255/32 [1/0] via 10.201.88.1

83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

S 83.102.233.200/32 [254/0] via 10.201.88.1, Ethernet1

S 83.102.146.96/27 [1/0] via 10.201.88.1

10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks

C 10.10.10.0/24 is directly connected, Ethernet0

S 10.0.0.0/8 [1/0] via 10.201.88.1

C 10.201.88.0/21 is directly connected, Ethernet1

89.0.0.0/32 is subnetted, 1 subnets

S 89.179.135.67 [254/0] via 10.201.88.1

195.14.50.0/32 is subnetted, 2 subnets

S 195.14.50.26 [254/0] via 10.201.88.1

S 195.14.50.16 [1/0] via 10.201.88.1

S* 0.0.0.0/0 [254/0] via 10.201.88.1

 

sh access-lists

Standard IP access list 2

10 deny any

Standard IP access list 23

10 permit 10.10.10.0, wildcard bits 0.0.0.255

Extended IP access list 102

10 permit ip 10.10.10.0 0.0.0.255 any (36 matches)

Extended IP access list 111

10 deny tcp any eq 139 any

20 deny udp any eq netbios-ns any eq netbios-ns

30 deny udp any eq netbios-dgm any eq netbios-dgm

40 deny udp any eq netbios-ss any eq netbios-ss

50 deny udp any any range snmp snmptrap

60 deny tcp any any eq 3128

70 deny ip 10.0.0.0 0.0.255.255 any

80 deny ip 127.0.0.0 0.0.0.255 any

90 deny udp any any range 130 140

100 deny tcp any any range 130 140

110 deny tcp any any eq 8080

120 permit ip any any

130 permit udp any any

140 permit gre any any

150 permit tcp any any

160 permit icmp any any

170 permit pcp any any

180 permit esp any any

190 permit igmp any any

200 permit ipinip any any

210 permit nos any any

Extended IP access list 115

10 permit ip 10.10.10.0 0.0.0.255 any

Extended IP access list LAN

10 permit ip 10.10.10.0 0.0.0.255 10.0.0.0 0.255.255.255

20 permit ip 10.10.10.0 0.0.0.255 83.102.146.0 0.0.0.231

30 permit ip 10.10.10.0 0.0.0.255 host 85.21.29.242

40 permit ip 10.10.10.0 0.0.0.255 85.21.79.0 0.0.0.255

50 permit ip 10.10.10.0 0.0.0.255 85.21.90.0 0.0.0.255

60 permit ip 10.10.10.0 0.0.0.255 host 195.14.50.16

70 permit ip 10.10.10.0 0.0.0.255 host 195.14.50.26

Extended IP access list WAN

10 permit ip 10.10.10.0 0.0.0.255 any

 

Я думаю проблема в этом:

ip route 10.0.0.0 255.0.0.0 dhcp

 

Ваша домашняя подсеть попадает в это правило и пакеты уходят в локалку.

Попробуйте сменить Вашу подсеть на что-то отличное от 10.x.x.x

 

Если я ошибаюсь, пусть гуру поправят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот мой конфиг, роуты и ассес-листы позаимствовал и чутка подправил (удалил то, что показалось лишним).

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet0

Должен быть Ethernet1

 

Покажите show ip nat tr при "пинге" яндекса.

Если я ошибаюсь, пусть гуру поправят.
не смертельно Изменено пользователем roug

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Должен быть Ethernet1

Поправил... То же самое, на циске работает, а внутри сети не особо:

C:\WINDOWS\Рабочий стол>ping ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Время ожидания запроса истекло.
Время ожидания запроса истекло.
Ответ от 195.14.62.88: Заданная сеть недоступна.
Ответ от 195.14.62.88: Заданная сеть недоступна.

Статистика Ping для 213.180.204.8:
Пакетов: послано = 4, получено = 2, потеряно = 2 (50% потерь),
Приблизительное время передачи и приема:
наименьшее = 0мс, наибольшее =  0мс, среднее =  0мс

 

Покажите show ip nat tr при "пинге" яндекса.

 

Вот, если правильно понял...

Monaco#ping ya.ru

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.180.204.8, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg

Monaco#ping ya.ru

 

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 213.180.204.8, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/6/8 ms

Monaco#show ip nat tr

Pro Inside global Ilocal Outside global

udp 10.201.94.252:1701 10.10.10.1:1701 85.21.0.255:1701 85.21.0.255:1701

icmp 10.201.94.252:1024 10.10.10.2:1024 89.179.135.67:1024 89.179.135.67:1024

icmp 10.201.94.252:1024 10.10.10.2:1024 213.180.204.8:1024 213.180.204.8:1024

tcp 10.201.94.252:3270 10.10.10.2:3270 78.107.52.68:2371 78.107.52.68:2371

udp 10.201.94.252:3272 10.10.10.2:3272 213.234.192.8:53 213.234.192.8:53

udp 10.201.94.252:3273 10.10.10.2:3273 213.234.192.8:53 213.234.192.8:53

tcp 10.201.94.252:3274 10.10.10.2:3274 66.249.91.147:80 66.249.91.147:80

udp 10.201.94.252:3275 10.10.10.2:3275 213.234.192.8:53 213.234.192.8:53

tcp 10.201.94.252:3276 10.10.10.2:3276 63.245.209.45:80 63.245.209.45:80

tcp 10.201.94.252:3277 10.10.10.2:3277 66.249.91.99:80 66.249.91.99:80

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Поправил... То же самое, на циске работает, а внутри сети не особо:

C:\WINDOWS\Рабочий стол>ping ya.ru

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

Время ожидания запроса истекло.
Время ожидания запроса истекло.
Ответ от 195.14.62.88: Заданная сеть недоступна.
Ответ от 195.14.62.88: Заданная сеть недоступна.

Статистика Ping для 213.180.204.8:
Пакетов: послано = 4, получено = 2, потеряно = 2 (50% потерь),
Приблизительное время передачи и приема:
наименьшее = 0мс, наибольшее =  0мс, среднее =  0мс

 

Вот теперь все ясно.

Уберите из acl LAN 10-ю строку (10 permit ip 10.10.10.0 0.0.0.255 10.0.0.0 0.255.255.255) и будет вам счастья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хмм, ничего не помогло...

 

C:\WINDOWS\Рабочий стол>ping ya.ru

 

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

 

Время ожидания запроса истекло.

Время ожидания запроса истекло.

Время ожидания запроса истекло.

Ответ от 195.14.54.107: Заданная сеть недоступна.

 

Статистика Ping для 213.180.204.8:

Пакетов: послано = 4, получено = 1, потеряно = 3 (75% потерь),

Приблизительное время передачи и приема:

наименьшее = 0мс, наибольшее = 0мс, среднее = 0мс

 

ну да утро вечера мудренее!

 

Всем спасибо, если у кого-нибудь есть какие-нибудь идеи - буду рад подсказанькам!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
хмм, ничего не помогло...

 

C:\WINDOWS\Рабочий стол>ping ya.ru

 

Обмен пакетами с ya.ru [213.180.204.8] по 32 байт:

 

Время ожидания запроса истекло.

Время ожидания запроса истекло.

Время ожидания запроса истекло.

Ответ от 195.14.54.107: Заданная сеть недоступна.

 

Статистика Ping для 213.180.204.8:

Пакетов: послано = 4, получено = 1, потеряно = 3 (75% потерь),

Приблизительное время передачи и приема:

наименьшее = 0мс, наибольшее = 0мс, среднее = 0мс

 

ну да утро вечера мудренее!

 

Всем спасибо, если у кого-нибудь есть какие-нибудь идеи - буду рад подсказанькам!

 

Попробуйте в конфиге добавить:

 

ip multicast-routing

 

или

 

ip routing

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Monaco#show ip nat tr

Pro Inside global Ilocal Outside global

udp 10.201.94.252:1701 10.10.10.1:1701 85.21.0.255:1701 85.21.0.255:1701

М-да, спать надо больше... это я про себя ;)

Вот эту строчку видите? Это значит, что трафик l2tp-сессии попадает в нат чего быть не дожно.

Я бы посоветовал, сначала убрать nat в корбину вообще и посмотреть заработает ли инет. Если да, то нафиг избавится от двух acl и написать нармальный route-map тут весь форум завален конфигами

ip nat inside source route-map local interface FastEthernet1 overload
ip nat inside source route-map public interface Virtual-PPP1 overload
!
route-map public permit 10
match ip address nat
match interface Virtual-PPP1
!
route-map local permit 10
match ip address nat
match interface FastEthernet1
!
ip access-list extended access list nat
10 deny ip any host 85.21.0.255
20 permit ip 10.10.10.0 0.0.0.255 any

Изменено пользователем roug

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего не могу понять.

 

По идее, всё должно работать, т.к. у других людей, примерно такие же конфиги:

Например, http://starwoofy.livejournal.com/88800.html

 

Но мой - не работает, проблема та же, вот текущий:

!

version 12.4

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname MyRouter

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

!

!

clock timezone MSK 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

clock update-calendar

ntp server ntp.mobatime.ru

!

!

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool HOME

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

!

ip ids po max-events 100

no ftp-server write-enable

!

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet1

!

!

interface Ethernet0

description Home local network

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

hold-queue 32 in

!

interface Ethernet1

description Corbina network

no shutdown

ip address dhcp client-id Ethernet1

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ****

ppp chap password 0 ****

pseudowire 85.21.0.255 10 pw-class class1

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

!

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface Ethernet0

!

ip access-list extended access list nat

deny ip any host 85.21.0.255

permit ip 10.10.10.0 0.0.0.255 any

!

access-list 115 permit ip 10.10.10.0 0.0.0.255 any

!

!

no cdp run

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

transport preferred all

transport output all

stopbits 1

line aux 0

transport preferred all

transport output all

line vty 0 4

access-class 115 in

exec-timeout 120 0

login local

transport preferred all

transport input all

transport output all

!

scheduler max-task-time 5000

end

Сижу весь день.

 

Скоро мозг плавится будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ничего не могу понять.

 

По идее, всё должно работать, т.к. у других людей, примерно такие же конфиги:

 

Но мой - не работает, проблема та же, вот текущий:

Сижу весь день.

 

Скоро мозг плавится будет...

Давайте без жертв. :o

В приведенном конфиге нат отсутствует как класс, потому и не работает.

Добавьте:

ip nat inside source route-map local interface Ethernet1 overload
ip nat inside source route-map public interface Virtual-PPP1 overload

и в route-map local поправьте match interface Ethernet1

Изменено пользователем roug

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В приведенном конфиге нат отсутствует как класс, потому и не работает.

 

Добавил...

Нет, ничего не меняется, всё по прежнему...

 

!

version 12.4

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname MyRouter

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

!

!

clock timezone MSK 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

clock update-calendar

ntp server ntp.mobatime.ru

!

!

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool HOME

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

!

ip ids po max-events 100

no ftp-server write-enable

!

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet1

!

!

interface Ethernet0

description Home local network

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

hold-queue 32 in

!

interface Ethernet1

description Corbina network

no shutdown

ip address dhcp client-id Ethernet1

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ****

ppp chap password 0 ****

pseudowire 85.21.0.255 10 pw-class class1

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

!

ip nat inside source route-map local interface Ethernet1 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface Ethernet1

!

ip access-list extended access list nat

deny ip any host 85.21.0.255

permit ip 10.10.10.0 0.0.0.255 any

!

access-list 115 permit ip 10.10.10.0 0.0.0.255 any

!

!

no cdp run

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

transport preferred all

transport output all

stopbits 1

line aux 0

transport preferred all

transport output all

line vty 0 4

access-class 115 in

exec-timeout 120 0

login local

transport preferred all

transport input all

transport output all

!

scheduler max-task-time 5000

end

 

MyRoute#show ip nat tr
Pro Inside global      Inside local       Outside local      Outside global
udp 10.201.94.252:1701 10.10.10.1:1701    85.21.0.255:1701   85.21.0.255:1701
tcp 10.201.94.252:1315 10.10.10.4:1315    78.107.52.67:2371  78.107.52.67:2371

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Добавил...

Нет, ничего не меняется, всё по прежнему...

Теперь добавьте самое главное:

ip access-list extended nat
deny ip any host 85.21.0.255
permit ip 10.10.10.0 0.0.0.255 any

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего не помогает.

 

Да и этот аццес-лист был.

 

!

version 12.4

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Monaco

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

ip subnet-zero

!

!

clock timezone MSK 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

clock update-calendar

ntp server ntp.mobatime.ru

!

!

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool HOME

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

!

ip ids po max-events 100

no ftp-server write-enable

!

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Ethernet1

!

!

interface Ethernet0

description Home local network

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

hold-queue 32 in

!

interface Ethernet1

description Corbina network

no shutdown

ip address dhcp client-id Ethernet1

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Ethernet2

no ip address

shutdown

!

interface FastEthernet1

no ip address

duplex auto

speed auto

!

interface FastEthernet2

no ip address

duplex auto

speed auto

!

interface FastEthernet3

no ip address

duplex auto

speed auto

!

interface FastEthernet4

no ip address

duplex auto

speed auto

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ****

ppp chap password 0 ****

pseudowire 85.21.0.255 10 pw-class class1

!

!

ip classless

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

no ip http server

ip http authentication local

no ip http secure-server

!

!

ip nat inside source route-map local interface Ethernet1 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface Ethernet1

!

ip access-list extended nat

deny ip any host 85.21.0.255

permit ip 10.10.10.0 0.0.0.255 any

!

access-list 115 permit ip 10.10.10.0 0.0.0.255 any

!

!

no cdp run

!

control-plane

!

!

line con 0

exec-timeout 120 0

no modem enable

transport preferred all

transport output all

stopbits 1

line aux 0

transport preferred all

transport output all

line vty 0 4

access-class 115 in

exec-timeout 120 0

login local

transport preferred all

transport input all

transport output all

!

scheduler max-task-time 5000

end

 

P.S. Такое ощущение, что меня скоро забанят за флуд.

Изменено пользователем Элвис

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ничего не помогает.

P.S. Такое ощущение, что меня скоро забанят за флуд.

 

А сохранение текущего конфига и животворящую перезагрузку делали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А сохранение текущего конфига и животворящую перезагрузку делали?

Да, я всегда делаю перезагрузку, а потом по tftp кидаю новый конфиг...

 

Не знаю, буду изучать НАТ на Циско, т.к. сложно, мне, найти ошибку в том, о чем не представляешь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а потом по tftp кидаю новый конфиг...
Есть подозение, что вот тут у вас ошибка и кроется.

Если текущий show running-config показывает то, что вы запостили выше, то достаточно сделать wr mem, а затем reload и никакого конфига по tftp не надо.

 

Не знаю, буду изучать НАТ на Циско, т.к. сложно, мне, найти ошибку в том, о чем не представляешь...
:lol: будет за нами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roug, так с такими мыслями, вы просто ГЕНИЙ!

 

Посмотрел, действительно, были ещё такие строки:

 

ip nat inside source list 102 interface Ethernet1 overload
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any

 

Спасибо огромное за помощь, roug и другим цисководам!!!

 

Я был в шоке, когда понял, что у меня всё работает как надо(вроде бы)!

 

Спасибо!!!

 

P.S. Вот результаты спеед-теста:

373064161.png

Изменено пользователем Элвис

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я был в шоке, когда понял, что у меня всё работает как надо(вроде бы)!

 

А что бы все совсем было здорово на interface Ethernet0 добавьте:

ip tcp adjust-mss 1420

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго всем времени суток.

Есть 1721, c1700-advsecurityk9-mz.124-21. FE0 встроенный, FE1 - FE4 на HWIC висят. Задача - поднять L2TP. Сложность в том, что:

1)

Cisco_1721(config)#interface Virtual-PPP1

----------------------------------------------^

% Invalid input detected at '^' marker.

 

2)

Cisco_1721(config)#l2tp-class corbina

Cisco_1721(config-l2tp-class)#pseudowire-class class1

---------------------------------------^

% Invalid input detected at '^' marker.

 

Cisco_1721(config-l2tp-class)#encapsulation l2tpv2

---------------------------------------^

% Invalid input detected at '^' marker.

 

Cisco_1721(config-l2tp-class)#protocol l2tpv2 corbina

---------------------------------------^

% Invalid input detected at '^' marker.

 

Надеюсь, все ясно без слов. Как поднять L2TP?

Изменено пользователем JDima2002

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Доброго всем времени суток.

....

Надеюсь, все ясно без слов. Как поднять L2TP?

 

Cisco Feature Navigator Надеюсь всё ясно без слов?

Потом спросите у народа нужный ios.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Для 12.4 вообще не нашел... Можете подсказать название? Образ и сам найду.

Какое количество оперативки и размер флеша?

Думается, вам нужен advipservice фичасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Памяти 64мб RAM и 32mb flash. adventerprise пытался ставить - оперативки мало. advipservices не намного компактнее и тоже вряд ли влезет, в требованиях у него 96 / 32. Так какие фичи нужны? L2TP Client Initiated Tunneling есть. Что еще?

Немного офтопик. На 1721 используется стандартная SDRAM? Судя по картинкам, да, но точных данных об этом не нашел. Зато нашел упоминания о комплекте для увеличения памяти от Cisco за пару сотен вечнозеленых. В перспективе на роутер ляжет максимальное число задач с применением максимального количества технологий и протоколов вплоть до VOIP, так что хочется adventerprise поставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Памяти 64мб RAM и 32mb flash. adventerprise пытался ставить - оперативки мало. advipservices не намного компактнее и тоже вряд ли влезет, в требованиях у него 96 / 32. Так какие фичи нужны? L2TP Client Initiated Tunneling есть. Что еще?

Немного офтопик. На 1721 используется стандартная SDRAM? Судя по картинкам, да, но точных данных об этом не нашел. Зато нашел упоминания о комплекте для увеличения памяти от Cisco за пару сотен вечнозеленых. В перспективе на роутер ляжет максимальное число задач с применением максимального количества технологий и протоколов вплоть до VOIP, так что хочется adventerprise поставить.

 

 

По памяти - х.з. Если он у Вас дома стоит - разберите и посмотрите.

По прошивке - вполне хватит AS (Advanced Security) 12.4(15)T, к примеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Памяти 64мб RAM и 32mb flash. adventerprise пытался ставить - оперативки мало. advipservices не намного компактнее и тоже вряд ли влезет, в требованиях у него 96 / 32. Так какие фичи нужны? L2TP Client Initiated Tunneling есть. Что еще?

Немного офтопик. На 1721 используется стандартная SDRAM? Судя по картинкам, да, но точных данных об этом не нашел. Зато нашел упоминания о комплекте для увеличения памяти от Cisco за пару сотен вечнозеленых. В перспективе на роутер ляжет максимальное число задач с применением максимального количества технологий и протоколов вплоть до VOIP, так что хочется adventerprise поставить.

Согласно fn вам нужен c1700-advsecurityk9-mz.124-23.bin под 64 мега и в нем есть необходимые фитчи.

Разберите роутер с фоткайте либо стоящий там модуль, либо его гнездо посмотрим, что там за память.

Если найдёте:

96 - c1700-k9o3sy7-mz.124-15.T8.bin (или c1700-advipservicesk9-mz.124-23.bin)

128 - c1700-bk9no3r2sy7-mz.124-15.T8.bin (или тот, что больше нравится)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

roug, какие именно фичи отсутствуют в моей c1700-advsecurityk9-mz.124-21 и есть в c1700-advsecurityk9-mz.124-23?

Технологические буду трогать только если других вариантов нет. Я - человек неопытный и вряд ли сходу отличу глюк иоса от собственной ошибки.

 

http://tools.cisco.com/support/downloads/g...reeName=Routers - помогите, пожалуйста, скачать. Разрешений самому не хватает.

 

Про память - вскрыл, посмотрел, слот пустует, то есть маркировку памяти посмотреть не могу. Гугл дает только информацию о продаже модулей от cisco.

Изменено пользователем JDima2002

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
roug, какие именно фичи отсутствуют в моей c1700-advsecurityk9-mz.124-21 и есть в c1700-advsecurityk9-mz.124-23?

Технологические буду трогать только если других вариантов нет. Я - человек неопытный и вряд ли сходу отличу глюк иоса от собственной ошибки.

 

http://tools.cisco.com/support/downloads/g...reeName=Routers - помогите, пожалуйста, скачать. Разрешений самому не хватает.

 

Про память - вскрыл, посмотрел, слот пустует, то есть маркировку памяти посмотреть не могу. Гугл дает только информацию о продаже модулей от cisco.

 

Легко. Берите отсюда:

http://www.megaupload.com/?d=2MAWY5QX

 

Есть еще 12.4(15)T IP/ADSL - но я не разбирался о чем она. По памяти подходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас