Есть модем зюхел p-660, который подключается к инету и на выходе DCHP раздает адреса автоматом от 192.168.0.2
Есть сеть 192.168.1.Х. В сети Cisco soho 91 (адрес 192.168.1.22).Идея такая: пользователь через cisco vpn client подключается к циске 192.168.1.22 (к WAN порту которой подключен модем) и получает доступ в инет.
Вопрос как это сделать??? Гугли, но смог настроить только подключение vpn из сети.
Уточню. Помогите, пожалуйста, как реализовать следующую схему:Сеть 192.168.1.Х
-LAN1-192.168.1.2-> циска -WAN-192.168.0.2->
-LAN-> adsl zyxel p-660 (192.168.0.1) -> инетЕсли я подключаю адсл модем к компу и в настройках сети задаю
IP 192.168.0.2 маска 255.255.255.0 шлюз 192.168.0.1, то инет работает.
Как настроить маршруты чтобы инет работал на машинах из сети через циску?Заранее спасибо.
А зачем так усложнили и почему остановились на реализации именно цоско ВПН клиента.
> А зачем так усложнили и почему остановились на реализации именно цоско ВПН
> клиента.Хочу избавится от компа-прокси сервера, а других вариантов не придумал. Как сделать чтобы без проксика на компе юзера и сетка работала и инет одновременно? Я не знаю :( Если кто подскажет - буду очень благодарен.
Конфиг (чувствую нужно прописать маршруты, но не знаю как):
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
no logging buffered
enable secret 5 ******
enable password 7 ******
!
username Router password 7 ******
username cisco password 7 ******aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network hw-client-groupname local
aaa session-id common
ip subnet-zero
ip name-server 192.168.0.1
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group hw-client-groupname
key 0 hw-client-password
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
interface Ethernet0
description LAN
ip address 192.168.2.72 255.255.255.0
no cdp enable
crypto map dynmap
!
interface Ethernet1
ip address 198.168.0.33 255.255.255.0
duplex auto
no cdp enable
!
ip local pool dynpool 192.168.0.5 192.168.0.6
ip classless
ip http server
no ip http secure-server
!
no cdp run
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
length 0
!
scheduler max-task-time 5000
!
end
>> А зачем так усложнили и почему остановились на реализации именно цоско ВПН
>> клиента.
> Хочу избавится от компа-прокси сервера, а других вариантов не придумал. Как сделать
> чтобы без проксика на компе юзера и сетка работала и инет
> одновременно? Я не знаю :( Если кто подскажет - буду очень
> благодарен.
> Конфиг (чувствую нужно прописать маршруты, но не знаю как):1. Для этого не надо строить ВПН (и даже если построите ВПН) надо испльзовать НАТ
2. …А лет через триста, — когда подрастешь, — я женю тебя на своей дочке! (с) Когда настроишь НАТ и появиться желание давать лЮдям доступ можно поднять урезанный прокси на самой циске.Думаю картина понятная на одной стороне сеть на второй инет между ними НАТ.
Далее дабы не делать двойной НАТ - у тебя он будет между LAN-->nat<--WAN-->nat<--ISP
модем переведи в режим бриджа и прийми интернет непосредственно на Cisco.План действий - настрой НАТ, переведи модем в бридж переделай WAN на Cisco и иди пить пиво для начала этого жостаточно :)
>[оверквотинг удален]
> 2. …А лет через триста, — когда подрастешь, — я женю тебя
> на своей дочке! (с) Когда настроишь НАТ и появиться желание давать
> лЮдям доступ можно поднять урезанный прокси на самой циске.
> Думаю картина понятная на одной стороне сеть на второй инет между ними
> НАТ.
> Далее дабы не делать двойной НАТ - у тебя он будет между
> LAN-->nat<--WAN-->nat<--ISP
> модем переведи в режим бриджа и прийми интернет непосредственно на Cisco.
> План действий - настрой НАТ, переведи модем в бридж переделай WAN на
> Cisco и иди пить пиво для начала этого жостаточно :)Спасибо.
Начнем:
Модем в мост перевел, как WAN на циске настроить? Где почитать?
Что такое "урезанный проксик на циске"?
>[оверквотинг удален]
>> НАТ.
>> Далее дабы не делать двойной НАТ - у тебя он будет между
>> LAN-->nat<--WAN-->nat<--ISP
>> модем переведи в режим бриджа и прийми интернет непосредственно на Cisco.
>> План действий - настрой НАТ, переведи модем в бридж переделай WAN на
>> Cisco и иди пить пиво для начала этого жостаточно :)
> Спасибо.
> Начнем:
> Модем в мост перевел, как WAN на циске настроить? Где почитать?
> Что такое "урезанный проксик на циске"?на WAN проту пропиши
pppoe enable group global
pppoe-client dial-pool-number 1маршрутизация
ip route 0.0.0.0 0.0.0.0 Dialer0настройки диалер интерфейса
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username #USERNAME# password 0 #PASSOWRD#На сегодня я думаю хватит. Пиво тоже мне?
Спасибо. Если все настрою, то с меня будет настоящее пиво ;)
> Спасибо. Если все настрою, то с меня будет настоящее пиво ;)Я за язык не тянул - надеюсь ты понимаешь границы СНГ :)
>> Спасибо. Если все настрою, то с меня будет настоящее пиво ;)
> Я за язык не тянул - надеюсь ты понимаешь границы СНГ :);) я всегда отвечаю за свои слова, даже в нете...
ОК. Настроил, сейчас конфиг такой. Как проверить инет?
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
aaa session-id common
ip subnet-zero
!
!
interface Ethernet0
ip address 192.168.10.72 255.255.255.0
ip nat inside
no cdp enable
!
interface Ethernet1
no ip address
no ip mroute-cache
duplex auto
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname LOGIN
ppp chap password 7 PAS
ppp ipcp dns accept
!ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
no cdp run
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
length 0
!
scheduler max-task-time 5000
!
endp.s. Моя циска еще не понимает ip virtual-reassembly, но я думаю он не критичен...
Инет проверил - работает, но для этого в настройках сети нужно прописать циску шлюзом + не получает от провайдера почему-то ДНС сервера, приходится в настройках сетевых подключений прописывать ДНС 8.8.8.8.Как сделать чтобы все работало как проксик, т.е. прописывать циску не шлюзом, а проксиком в IE???
> Как сделать чтобы все работало как проксик, т.е. прописывать циску не шлюзом,
> а проксиком в IE???А зачем вам это?
>> Как сделать чтобы все работало как проксик, т.е. прописывать циску не шлюзом,
>> а проксиком в IE???
> А зачем вам это?,
В сети есть другой шлюз, и менять его никто не даст. Я, в силу своих знаний, другого не придумал. если есть другие варианты - предложите, буду очень благодарен.
схема с прописыванием циско в качестве прокси не будет работать. Т.н. эффект "прокси" это когда вы с браузера набираете сайт жмете энтер, а в броузере выскакиваеть окно авторизации, где вы вводите логин пароль и пользуетесь интренетом. но механизмы реализации сего - иные.
> схема с прописыванием циско в качестве прокси не будет работать. Т.н. эффект
> "прокси" это когда вы с браузера набираете сайт жмете энтер, а
> в броузере выскакиваеть окно авторизации, где вы вводите логин пароль и
> пользуетесь интренетом. но механизмы реализации сего - иные.Эффект прокси, это когда все запросы браузер отправляет на прокси сервер, а он уже в зависимости от HTTP запроса отдает Вам страницу. Авторизация тут совсем необязательна.
Автору: А почему нельзя поменять основной шлюз? Можно сделать батник, который переключает шлюз с обычного на альтернативный и наоборот.
Шлюз не трогаем.
Можно сделать чтобы уиска работала как проксик?
Никакие авторизации не нужны. Нужно раздать инет, но не прописывать эту циску в настройказ сети как шлюз... Что можно еще придумать?
Сдается мне тут что-то с пробросом портов завязано?
> Сдается мне тут что-то с пробросом портов завязано?А куда Вы собираетесь пробрасывать? Ну вот пошли Вы на гугл, соответственно проброс должен быть на его ИП.
> Шлюз не трогаем.
> Можно сделать чтобы уиска работала как проксик?
> Никакие авторизации не нужны. Нужно раздать инет, но не прописывать эту циску
> в настройказ сети как шлюз... Что можно еще придумать?Если в таблицу вписать два дефолта и у основного ухудшить метрику, такой вариант тоже не подойдет?
А если цирку прописать как прокси, а в ней настроить пробега на происки в нете?
> А если цирку прописать как прокси, а в ней настроить пробега на
> происки в нете?А почему просто внешний не прописать?
> А почему просто внешний не прописать?потому, что другой шлюз не имеет выхода в инет!
Идея такая Есть проксик в инете IP.ХХ.ХХ.ХХ 3128
В настройках инета (в IE) ставим Циску порт 3128
В циске делаем проброс портов Циска_IP:3128 -> IP.XX.XX.XX:3128Как настроить ip nat?