URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19970
[ Назад ]

Исходное сообщение
"cisco vpn tunnel, nat, smb (проблема с трансляцией адресов)"
Отправлено georgir , 06-Ноя-09 16:19

Доброго всем времени суток. Некоторое время назад собирал vpn туннель на оборудовании cisco 2821 и cisco 871.
Основная проблема, это доступ к внутренней сети за туннелем на 871, предположительно из-за nat.
Чтоб много не писать, я предложу конфигурации.
Всю полностью смысла выкладывать нет, выделю только проблемные участки. Очень сильно надеюсь на вашу помощь, ибо сам уже не понимаю в чем проблема.
cisco871:
interface Tunnel4
  ip address 192.168.1.14 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  tunnel source Dialer0
  tunnel destination 11.22.7.11
interface Vlan1
  description LAN
  ip address 10.10.2.1 255.255.255.0
  ip nat inside
  ip virtual-reassembly
  ip tcp adjust-mss 1412
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.10.0.0 255.255.255.0 192.168.1.13
ip nat inside source list 100 interface Tunnel4 overload
access-list 100 permit ip 10.10.2.0 0.0.0.255 any
str#traceroute 10.10.0.2
Type escape sequence to abort.
Tracing the route to 10.10.0.2
    1 192.168.1.13 20 msec 20 msec 20 msec
    2 10.10.0.2 16 msec 20 msec 16 msec

Cisco 2821
interface Tunnel4
  ip address 192.168.1.13 255.255.255.252
  tunnel source GigabitEthernet0/1
  tunnel destination 12.55.12.20
interface GigabitEthernet0/1
  ip address 11.22.7.11 255.255.255.252
  ip nat outside
  ip virtual-reassembly
ip route 10.10.2.0 255.255.255.0 192.168.1.14
cisco2821#traceroute 10.10.2.4
Type escape sequence to abort.
Tracing the route to 10.10.2.4
    1 192.168.1.14 16 msec 20 msec 16 msec
    2 192.168.1.14 20 msec 16 msec 16 msec
Как сделать, чтоб трасировка проходила до цели назначения, а не адреса шлюза?

Содержание

А так:,j_vw, 19:57 , 06-Ноя-09
- А так:,georgir, 20:25 , 06-Ноя-09
  - А так:,shadow_alone, 20:31 , 06-Ноя-09
  - Буковку , действительно, забыл...,j_vw, 20:47 , 06-Ноя-09
    - Буковку , действительно, забыл...,georgir, 21:42 , 06-Ноя-09
      - Проверяйте конфиги.....,j_vw, 22:11 , 06-Ноя-09
        
        Проверил, спасибо ;),georgir, 22:17 , 06-Ноя-09
        
        Проверил, спасибо ;),j_vw, 22:24 , 06-Ноя-09

Сообщения в этом обсуждении

"А так:"
Отправлено j_vw , 06-Ноя-09 19:57

>access-list 100 permit ip 10.10.2.0 0.0.0.255 any
заменить на
ip acc ex to_nat
10 deny ip 10.10.2.0 0.0.0.255 10.10.0.0 0.0.0.255
20 permit ip 10.10.2.0 0.0.0.255 any
С обратной стороны, зеркальная первая строчка

"А так:"
Отправлено georgir , 06-Ноя-09 20:25

>>access-list 100 permit ip 10.10.2.0 0.0.0.255 any
>
>заменить на
>ip acc ex to_nat
>10 deny ip 10.10.2.0 0.0.0.255 10.10.0.0 0.0.0.255
>20 permit ip 10.10.2.0 0.0.0.255 any
>
>С обратной стороны, зеркальная первая строчка
А что в данном случае произойдет? Дело в том, что сеть работающая, и случайно положить ее, желания нет ;)
ip acc?
access-list accounting-list accounting-threshold accounting-transits
не совсем понимаю, что изменится в данной сети :(

"А так:"
Отправлено shadow_alone , 06-Ноя-09 20:31

натится не будет нужная сеть - вот что будет

"Буковку , действительно, забыл..."
Отправлено j_vw , 06-Ноя-09 20:47

>А что в данном случае произойдет? Дело в том, что сеть работающая,
>и случайно положить ее, желания нет ;)
А вы не "кладите случайно" ;)
На будущее...
Если удаленно меняете конфиг, есть замечательная команда reload in

Если есть сомнения - экспериментируйте на кошках ;) Динамипс, например :)
>ip acc?
access-list
>не совсем понимаю, что изменится в данной сети :(
Заработает ваша "хотелка" ;)

"Буковку , действительно, забыл..."
Отправлено georgir , 06-Ноя-09 21:42

И действительно, о чудо
tracert
1    <1 мс    <1 мс    <1 мс  10.10.0.1
2     2 ms     2 ms     2 ms  192.168.1.2
3     2 ms     2 ms     2 ms  10.10.10.4
но не все так хорошо:
net view \\10.10.10.4
Системная ошибка 53.
Не найден сетевой путь.

В общем не работает походу протокол smb. Есть ли возможность это исправить?
все остальное (radmin), удаленный доступ, а виндовые расшары никак

"Проверяйте конфиги....."
Отправлено j_vw , 06-Ноя-09 22:11

Все должно работать...
И не пудрите людям мозги....
Откуда, ля, взялся адрес 10.10.10.4 ?
Вы там перековыряли конфиги, как вам хочется, а теперь предлагаете другим угадать, где вы "скорявили"?
1. Как сделать, чтоб у вас все зараюботало - я объяснил.
2. Меняете адресацию - выкладывайте конфиги.
3. САМОЕ ГЛАВНОЕ. НИКОГДА!!! не пытайтесь поменять конфиг на "боевых" железках в пятницу вечером. Поверьте старому админу.... ПРИДЕТСЯ очень рано вставать в понедельник ;)

"Проверил, спасибо ;)"
Отправлено georgir , 06-Ноя-09 22:17

Я удод :)))
Все нормально, заработало. Адрес взялся из-за того, что у меня таких тунелей 11, и я стучался не к тому.
Кстати, неожидал что сегодня хоть кто то ответит, Пятница все таки. А по поводу боевых железок и понедельника, мало того что выходить рано, еще и в удаленный офис за 200км. Спасибо напомнили reload in, reload cancel. Учусь я еще :).
Я еще с работы то не уходил :(
Большое спасибо за помощь. Пойду пить пиво.

"Проверил, спасибо ;)"
Отправлено j_vw , 06-Ноя-09 22:24

>Я удод :)))
Бывает ;)
>Я еще с работы то не уходил :(
Сам дурак ;)
>Большое спасибо за помощь. Пойду пить пиво.
Удачи... ;)