https://www.opennet.me/openforum/vsluhforumID6/16037.html Доброго времени суток. Может кто чего подскажет, а то свои идеи кончились...<br>Ситуация такая. В филиале стоит cisco 877 которая устанавливает IPSec с cisco в головном офисе, тем самым соединяя сеть филиала с сетью офиса. Это всё поднято и работает исправно. Теперь захотелось что бы в филиале ходили в internet через свой инет. Пытаюсь поднять на cisco 877 ip nat, но в инет локальная машина не выходит. Такая ситуация описана тут http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml , но настройка по этому манулу не помогает. debug ip nat показывает следующее:<br><br>Apr 15 17:57:50.422: NAT: GRE port: 2216420608 - [1100]<br>Apr 15 17:57:50.542: NAT: GRE port: 2200519640 - [1101]<br>Apr 15 17:57:50.898: NAT: GRE port: 2216420608 - [1103]<br>Apr 15 17:57:50.974: NAT: GRE port: 2216420608 - [1104]<br><br>Собстно это он начинает показывать как только включаю nat и дальше никакие мои действия не меняют этот текст. При этом в статистике ната вообще пусто:<br><br>Total active translations: https://www.opennet.me/openforum/vsluhforumID6/16037.html#17 Thu, 24 Apr 2008 10:31:12 GMT c3825(config)#int t0<br>c3825(config-if)#tunnel mode ipsec ipv4<br>c3825(config-if)#tunnel protection ipsec profile ? <br><br>877(config)#int t0<br>877(config-if)#tunnel mode ipsec ipv4<br>877(config-if)#tunnel protection ipsec profile ? <br><br>Предварительно сделать keyring, <br>профили для isakmp и ipsec.<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#16 Wed, 16 Apr 2008 13:19:18 GMT &gt;почему бы вам не воспользоваться этим: <br>&gt;c3825(config-if)#tunnel protection ipsec ? <br><br>877(config-if)#tunnel protection ipsec ?<br>% Unrecognized command<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#15 Wed, 16 Apr 2008 13:18:06 GMT &gt;Ваша правда. Перевесил на ATM0.1 сетка 172.16.1.0 вышла в мир. огромное Спасибо <br><br>при этом эта строка не изменилась...<br>ip nat inside source list 122 interface Loopback0 overload<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#14 Wed, 16 Apr 2008 12:18:52 GMT &gt;С луппбека поставте на ATM outside. пробовали ? <br><br>Ваша правда. Перевесил на ATM0.1 сетка 172.16.1.0 вышла в мир. огромное Спасибо<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#13 Wed, 16 Apr 2008 11:50:52 GMT &gt;ничего не присоветуете? <br><br>почему бы вам не воспользоваться этим:<br>c3825(config-if)#tunnel protection ipsec ?<br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#12 Wed, 16 Apr 2008 11:46:31 GMT &gt;&gt;А какая сеть должна натиться 172.16 только ? просто у вас несколько <br>&gt;&gt;вланов с разными сетями .. <br>&gt;<br>&gt;Просто уже как только не пробовал. Мне главное что бы хоть что <br>&gt;нить натилось - там за циской стоит сервер на freeBSD на <br>&gt;котором прокси поднят. Так что мне главное что бы хоть какой <br>&gt;нить один IP натился. Сначало пробовал сделать nat для 192.168.15.2 - <br>&gt;не получилось. тогда вставил второую сетевую в сервер и решил физически <br>&gt;уже с другой сетью работать - так родилась 172.16.1.0 сетка <br><br>С луппбека поставте на ATM outside. пробовали ?<br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#11 Wed, 16 Apr 2008 11:39:57 GMT &gt;А какая сеть должна натиться 172.16 только ? просто у вас несколько <br>&gt;вланов с разными сетями .. <br><br>Просто уже как только не пробовал. Мне главное что бы хоть что нить натилось - там за циской стоит сервер на freeBSD на котором прокси поднят. Так что мне главное что бы хоть какой нить один IP натился. Сначало пробовал сделать nat для 192.168.15.2 - не получилось. тогда вставил второую сетевую в сервер и решил физически уже с другой сетью работать - так родилась 172.16.1.0 сетка<br><br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#10 Wed, 16 Apr 2008 11:35:07 GMT &gt;&gt;Может отсюда чего ..может лупбек не так нужен ?? хотя с туннелем <br>&gt;<br>&gt;у меня статический IP адрес. Если лупбек не так, то как по <br>&gt;другому. Просто так получилось настроиться и поднять тунель - так и <br>&gt;осталось ;-) если я обзову интерфейс BVI1, как тут http://forums.whirlpool.net.au/forum-replies.cfm?t=416210&p=2#r29 , <br>&gt;неужели что-то кардинально изменится? <br><br>А какая сеть должна натиться 172.16 только ? просто у вас несколько вланов с разными сетями ..<br> https://www.opennet.me/openforum/vsluhforumID6/16037.html#9 Wed, 16 Apr 2008 11:08:08 GMT &gt;ip route 0.0.0.0 0.0.0.0 82.151.117.193 - вот это ссылка на прова ..так <br>&gt;?? Это следующий хоп ? <br><br>Да - это шлюз филиала по умолчанию. Маска у была 255.255.255.224 - но когда я Лупбеку прописывал такую маску - провайдер громко ругался, что я работаю от всего диапазона IP в итоге пришлось поставить маску 255.255.255.255. маршрут к шлюзу через ATM0.1 у меня уже был прописан<br><br><br>