https://opennet.ru/openforum/vsluhforumID6/20807.html Добрый день, многоуважаемый All. <br><br>Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней прописан адрес из этой сети и дефолт в сторону общего интернет-гейта. поднят крипто-туннель по инету в ядро родной сети. <br>необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. естесственно, закрыв source nat'ом. <br><br>т.к. туннель сделан крипто-мапом - пакеты входят и выходят в один и тот же интерфейс: приходят по статике на "вражеских" компах, натятся и должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. ip nat enable не работает:<br><br>если прописать ip nat enable на порту fa4 и<br>ip nat inside source list 101 interface Loopback0 overload<br>access-list 101 permit ip host 192.168.0.5 host 172.21.0.1<br><br>то по дебагу нат не отрабатывает вообще<br><br>если изменить на ip nat source list 101 int lo0, то в дебаге пишется:<br>*Mar 3 10:43:50.935: IP: tableid=0, s=192.168.0.5 (FastEthernet4), d=172.21.0.1 (FastEthernet4), routed via RIB<br>*Mar 3 10:43:50.935: NAT: s=19 https://opennet.ru/openforum/vsluhforumID6/20807.html#8 Mon, 05 Apr 2010 10:54:55 GMT подумала и убрала lo1, сделав PBR на lo0 (изначально мне нужен был "чистый" лупбэк под мониторинг/управление), сделала пул из отдельной линковой сеточки (+add-route) - так гораздо короче и красивее. Статика ip route 10.100.160.2 255.255.255.255 Loopback1 действительно не нужна. <br><br>так же не нужен второй рут-мап Vyhod. и получается совсем красота. )) <br> https://opennet.ru/openforum/vsluhforumID6/20807.html#7 Mon, 05 Apr 2010 09:17:07 GMT Ваша конструкция не рабочая, т.к. при отправке трафика рут-мапом на lo1 он умрет. Зато она вдохновила меня на подвиги. <br><br>Получилось нечто корявое... впрочем, как и сама задача. И оно действительно работает! )) <br><br>interface Loopback0 - не обязателен в общем случае, можно заменить на add-route в натовском пуле.<br> ip address 10.100.160.1 255.255.255.0<br>!<br>interface Loopback1<br> ip address 6.6.6.6 255.255.255.255<br> ip nat enable<br> ip policy route-map Vyhod<br>! <br>interface FastEthernet4<br> description INTERNET<br> ip address 192.168.0.3 255.255.255.0<br> ip nat enable<br> ip policy route-map Vhod<br>!<br>ip route 10.100.160.2 255.255.255.255 Loopback1 - без статики обратные пакеты умирают на lo0. в случае add-route это скорее всего не нужно. <br>ip route 172.21.0.1 255.255.255.255 FastEthernet4 - рут-мапа не хватило.<br>!<br>ip nat pool POOL 10.100.160.2 10.100.160.4 netmask 255.255.255.0<br>ip nat source list 101 pool POOL overload<br>! <br>ip access-list extended Vhod<br> permit ip host 192.168.0.5 host 172.21.0.1<br> per https://opennet.ru/openforum/vsluhforumID6/20807.html#6 Sat, 03 Apr 2010 04:47:00 GMT Прошу прощения...<br>День не очень удачный ;( <br>Даже Блоутон(система подачи водителями световых сигналов) с Моветоном (дурным тоном) cпутал ;) <br> <br>Такая конструкция не прокатит?<br><br>int Lo 0<br> ip address 10.100.160.0 255.255.255.0<br> ip nat out <br> <br>int Lo 1<br> ip address 10.127.0.1 255.255.255.0<br> ip nat in<br><br>int Fa 0<br> ip address 192.168.0.3 255.255.255.0 <br> ip policy route-map Enemy<br><br><br>access-list ex Enemy<br> permit ip 192.168.0.0 0.0.0.255 host 172.21.0.1<br> <br><br>route-map Enemy permit 10<br> match ip address Enemy<br> set interface Lo1<br> <br>ip nat inside source list Enemy int Lo 0 overload <br> https://opennet.ru/openforum/vsluhforumID6/20807.html#5 Fri, 02 Apr 2010 17:50:42 GMT &gt;омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня <br>&gt;интересуют лупбэки и странный нат на 1 интерфейсе - значит оно <br>&gt;так надо, это часть ТЗ. <br><br>!!!<br><br>&gt; но всвязи с тем, что мне нужно принять порядка 500 851 цисок <br><br>А вот с этого и нужно было начать ....<br><br>Сударыня... Поймите правильно....<br>Вы там корпите над КОММЕРЧЕСКИМ решением... За ДЕНЬГИ...<br>И решаете его не за 10 минут.<br>По мне, блоу-тон, в таком случае, использовать конференции...<br>Более того, изначально, не точно определив условия задачи....<br><br>Поймите:<br>1: У меня, например, тоже, есть какая то работа...За деньги...<br>2: Все, что я могу уделить решению вашей задачи - минут 10-15...Бесплатно...Дома...Под-пиво...Чтобы не терять квалификацию... <br><br>Повторюсь....<br>Изначально, я решил вашу задачу...<br>Но, вы меняете условия на-ходу...<br>Я готов помогать людям, которые, по мне, не могут обладать нужной квалификацией...<br>В вашем случае - это не так...<br> https://opennet.ru/openforum/vsluhforumID6/20807.html#4 Fri, 02 Apr 2010 16:54:59 GMT омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня интересуют лупбэки и странный нат на 1 интерфейсе - значит оно так надо, это часть ТЗ. <br><br><br>если глобально, то у меня дуал-сайт ядро и куча маленьких цисочек, которые включены туннелями по инету. зачастую они включены в сеть клиентов, которые пропускают мои железки наружу, закрывая натом. приложения с компов клиента должны стучаться ко мне в ядро через эти цисочки. я не могу принять сетки клиентов - потому что их много и они все зачастую одинаковые и чужеродные... поэтому нужен нат. <br>ранее у меня был DMVPN + динамика по туннелям - я даже как-то писала тут об этом... но всвязи с тем, что мне нужно принять порядка 500 851 цисок не умеющих динамику - я меняю схему на крипто-туннели с реверс-рутами... и в новую схему у меня не укладывается нат. в общем, жизнь намного сложнее собранного стенда. )) <br> https://opennet.ru/openforum/vsluhforumID6/20807.html#3 Fri, 02 Apr 2010 16:22:59 GMT &gt;Картинка: <br>&gt;http://imglink.ru/pictures/02-04-10/6ea3f1f6a3013d089ac9d17f1df5d0b6.jpg <br>&gt;<br>&gt;на "компе" прописан статический рут 172.21.0.1/32 192.168.0.3 <br><br>Я, до сих пор не понимаю....<br>А почему в lo 172.210.1? А не в нужную сеть?<br><br>&gt;рутер с лупбэком 172.21.0.1 ничего не знает о 192.168.0.0/24,<br><br>1. Кто мешает узнать?<br><br>&gt;надо связать комп 192.168.0.5 с лупбэком 172.21.0.1 <br><br>Да дались вам эти лупбеки....<br>Не пойму, зачем?<br><br>Схема рабочая....<br>Мой вариант прокатывает.....<br>Что в нем смущает?<br><br>Распишите на схеме все интерфейсы...<br>И променуйте на схеме роутеры и интерфейсы, чтоб говорить на одном языке.<br>Есть подозрение, что либо, чего то надумываете, либо, информации не хватает...<br>Пока все...<br>Нужно, сначала, с дизайном определиться....<br>Потом конфиги будем смотреть...<br> https://opennet.ru/openforum/vsluhforumID6/20807.html#2 Fri, 02 Apr 2010 15:46:17 GMT Картинка:<br>http://imglink.ru/pictures/02-04-10/6ea3f1f6a3013d089ac9d17f1df5d0b6.jpg<br><br>на "компе" прописан статический рут 172.21.0.1/32 192.168.0.3<br>рутер с лупбэком 172.21.0.1 ничего не знает о 192.168.0.0/24, зато знает про 10.100.160.0/24. <br>надо связать комп 192.168.0.5 с лупбэком 172.21.0.1<br><br> https://opennet.ru/openforum/vsluhforumID6/20807.html#1 Fri, 02 Apr 2010 14:21:46 GMT Картинку бы нарисовали....<br><br>&gt;Добрый день, многоуважаемый All. <br>&gt;<br>&gt;Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней <br>&gt;прописан адрес из этой сети и дефолт в сторону общего интернет-гейта. <br>&gt;поднят крипто-туннель по инету в ядро родной сети. <br>&gt;необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. <br><br>"Родные" это где? В ядре или за 8xx? <br><br>&gt;<br>&gt;т.к. туннель сделан крипто-мапом<br><br>Так у вас тунель до головного офиса или, просто, IPSEC поднят на интерфейсе?<br><br>&gt; - пакеты входят и выходят в один и <br>&gt;тот же интерфейс: приходят по статике на "вражеских" компах, натятся и <br>&gt;должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. <br><br>А нат зачем?<br><br>Не знаю... Если не основываться на кусках ваших решений, то:<br>1. Поднимаем gre(шифрованный) тунель офис-филиал<br>2. Пользователи ходят в инет через нат а в офис через интерфейс тунеля.<br>3. Во вражеской сетке пишется роут на офис через интерфейс 8хх (В офисе роут во вражескую сетку через тунель )<br>4.