Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
vas_t@ukr.net
Зарегистрирован: 12.05.2007 Сообщения: 3
|
Добавлено: Сб Май 12 2007 16:51 Заголовок сообщения: Проблема маршрутизации |
|
|
Всем доброго вмремени суток.
Есть внутрення сеть 192.168.33.0/24, опорная сеть провайдера 172.20.17.0/24, и внутрення сеть провайдера 10.0.0.0/24 маршрутизируемая провайдером через 172.20.17.1, также есть маршрутизатор сиська один интерфейс ф0/0 - внутрення сеть, ф0/1 опорная сеть провайдера. Подключение к интернету осуществляеццо по туннелю IP-IP, на маршрутезаторе интерфейс tunnel0.
Проблема состоит в следующем: Доступ из локальной сети 192.168.33.0 в инет организован через НАТ на туннель, причем при этом нет доступа в сеть 10.0.0.0 из 192.168.33.0.(( Как сделать так чтобы юеры из 192.168.33.0 могли ходить как в сеть 10.0.0.0 так и в интернет через туннель.
Конфиг роутера:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxx
!
aaa new-model
!
aaa session-id common
!
resource policy
!
ip cef
ip cef accounting non-recursive
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.33.1 192.168.33.20
ip dhcp excluded-address 192.168.33.254
ip dhcp ping packets 5
ip dhcp ping timeout 150
!
ip dhcp pool CLIENT
import all
network 192.168.33.0 255.255.255.0
default-router 192.168.33.254
dns-server х.х.248.4
lease 2
!
interface Tunnel0
ip address х.х.250.38 255.255.255.252
ip mtu 1500
ip nat outside
ip virtual-reassembly
tunnel source 172.20.17.32
tunnel destination 172.16.69.1
tunnel mode ipip
!
interface FastEthernet0/0
ip address 192.168.33.254 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
hold-queue 32 in
!
interface FastEthernet0/1
ip address 172.20.17.32 255.255.255.0
no ip unreachables
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 х.х.250.37
ip route 10.0.0.0 255.0.0.0 172.20.17.1
ip route 172.16.69.0 255.255.255.0 172.20.17.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 102 interface Tunnel0 overload
!
access-list 49 permit 192.168.33.1
access-list 102 permit ip 192.168.33.0 0.0.0.255 any
!
control-plane
!
line con 0
password 7 xxxxxxx
line aux 0
line vty 0 4
access-class 49 in
exec-timeout 120 0
password 7 xxxxxxxx
transport input ssh
!
scheduler allocate 20000 1000
end
2. Еще проблемка подскажите плиз... не работет DHCP - не раздает адреса во внутренней сети, в чем может быть проблема?
За ранне блогадарен. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Май 12 2007 21:17 Заголовок сообщения: |
|
|
А какие адреса для общения с сетью 10.0.0.0 вы хотите использовать?
Родные или замаскированные под NAT?
Вы уверены что другая сторона туннеля (другой роутер) будет корректно пропускать трафик? Вы об этом с админом договорились уже? |
|
Вернуться к началу |
|
|
vas_t@ukr.net
Зарегистрирован: 12.05.2007 Сообщения: 3
|
Добавлено: Сб Май 12 2007 23:58 Заголовок сообщения: |
|
|
and3008 писал(а): | А какие адреса для общения с сетью 10.0.0.0 вы хотите использовать?
Родные или замаскированные под NAT?
Вы уверены что другая сторона туннеля (другой роутер) будет корректно пропускать трафик? Вы об этом с админом договорились уже? |
Для выхода на 10.0.0.0 как и в интернет использовать НАТ.(В целях обучения, если не трудно опишите пожайлуста пример как организовать маршрутизацию в сеть 10.0.0.0 с родными внутренними и в интернет через НАТ.)
Туннель используется только для выхода в интернет. В сеть 10.0.0.0 доступ идет через провайдерсикй роутер 172,20,17,1 |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Май 14 2007 01:12 Заголовок сообщения: |
|
|
Чтобы общаться с 10.0.0.0 с родными адресами надо вместо этого:
access-list 102 permit ip 192.168.33.0 0.0.0.255 any
сделать так:
access-list 102 deny ip 192.168.33.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit ip 192.168.33.0 0.0.0.255 any
т.е. явно запретить трансляцию адресов для нужного направления.
Только не забудьте про интерфейс interface FastEthernet0/0
Там такой же ACL стоит. Надо бы сделать другой номер, иначе работать не будет.
Общее правило - не делайте одинаковые ACL-листы для разных интерфейсов и сервисов. Это убережет вас от непонятных глюков.
По поводу прохождения трафика д0 10.0.0.0 общайтесь с владельцем роутера 172.20.17.1
Там могут стоять фильтры, которые вы обойти не сможете. |
|
Вернуться к началу |
|
|
vas_t@ukr.net
Зарегистрирован: 12.05.2007 Сообщения: 3
|
Добавлено: Пн Май 14 2007 08:48 Заголовок сообщения: |
|
|
Попробовал на НАТ поставь аксас-лист описаный выше вами (сделал его отдельным номером и повесил на НАТ)- ничего не помогло - пинги из сити 192 в 10-ю не проходят.
Если трасировать маршрут на 10,0,0,1 с роутера при включенмо НАТе, пакеты нормально идут через 172,20,17,1 -й шлюз и все пингуется.
Если трасировать с машины из сети 192 тот же самый маршрут при включенном НАТе то пакеты застряют на моем роутере 192,168,33,254 и дальше глухо.
Если выключить НАТ - картина остаеццо тойже самой, из 192-й 10-я сеть не пингуется. Хотя с роутера все гут, как при включенном НАТе так и при выключенном. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Май 14 2007 23:43 Заголовок сообщения: |
|
|
Я уже говорил, общайтесь с владельцем роутера 172.20.17.1 |
|
Вернуться к началу |
|
|
|