https://www.opennet.dev/openforum/vsluhforumID6/22860.html Доброго времени суток, господа.<br>Такая ситуация: Есть СISCO 2811 c HWIC-2FE.<br>Схема подключения: <br> FE 0/0/0 ---<br> (192.168.0.1) &#124;<br> FE 0/0/0.9 ----&gt; Router &lt;---- FE 0/0 ----&gt; ISP<br> (192.168.9.1) &#124; (10.8.188.10)<br> FE 0/0/0.11 ---<br> (192.168.11.1)<br><br>При попытке пинговать DNS-сервер провайдера с внешнего интерфейса (10.8.188.10) полный облом. Однако с любого внутреннего (192.168.0.1, 192.168.9.1, 192.168.11.1) всё нормально. Не подскажете в чем проблема? Куда рыть?<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#19 Wed, 13 Jul 2011 09:43:19 GMT &gt;&gt;[оверквотинг удален] <br>&gt;&gt; И добавлено соответсвие этому листу в route-map: <br>&gt;&gt; route-map AstraOreol permit 10 <br>&gt;&gt; match ip address Test <br>&gt;&gt; match interface FastEthernet0/0 <br>&gt;&gt; А теперь вопрос, смысл последней строчки в route-map?<br>&gt; конструкция с мачением интерфейса мне самому не логична, но так решила cisco <br>&gt; :) <br><br>Соответствие списку доступа понятно. Соответствие интерфейсу тоже понятно. Но в данном случае указан интерфейс который ведёт к ISP. При том, что с этой строчкой, что без неё, всё работает. Так в чём её сокральный смысл? Я думал что она разрешает всё что придёт на сам FE0/0, вне зависимости от IP-адреса. Видимо ошибался... 8-\<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#18 Wed, 13 Jul 2011 08:59:23 GMT &gt;[оверквотинг удален]<br>&gt; Спасибо. Именно это и помогло. Был создан ACL: <br>&gt; ip access-list standard Test <br>&gt; permit 192.168.0.0 0.0.0.255 <br>&gt; permit 192.168.9.0 0.0.0.255 <br>&gt; permit 192.168.11.0 0.0.0.255 <br>&gt; И добавлено соответсвие этому листу в route-map: <br>&gt; route-map AstraOreol permit 10 <br>&gt; match ip address Test <br>&gt; match interface FastEthernet0/0 <br>&gt; А теперь вопрос, смысл последней строчки в route-map?<br><br>конструкция с мачением интерфейса мне самому не логична, но так решила cisco :)<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#17 Wed, 13 Jul 2011 08:44:46 GMT &gt; попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать <br>&gt; каким пакетам можно попадать в нат <br><br>+1 <br><br>Интересно только почему так то! Там же ясно написано: ip nat outside<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#16 Wed, 13 Jul 2011 08:44:18 GMT &gt; попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать <br>&gt; каким пакетам можно попадать в нат <br><br>Спасибо. Именно это и помогло. Был создан ACL:<br><br>ip access-list standard Test<br> permit 192.168.0.0 0.0.0.255<br> permit 192.168.9.0 0.0.0.255<br> permit 192.168.11.0 0.0.0.255<br><br>И добавлено соответсвие этому листу в route-map:<br><br>route-map AstraOreol permit 10<br> match ip address Test<br> match interface FastEthernet0/0<br><br>А теперь вопрос, смысл последней строчки в route-map?<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#15 Wed, 13 Jul 2011 05:39:20 GMT попробуйте в роутмап добавить асл с сорсами внутренних сетей, чтобы чётко указать каким пакетам можно попадать в нат<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#14 Wed, 13 Jul 2011 05:32:42 GMT &gt;Я бы попробовал включить debug ip nat и пингануть (с включенным натом)... вдруг че-нить &gt;выдаст... Мне кажется, что при пинге каким-то образом нат менят сорс ИП...<br><br>Вам не кажетется, а так оно и есть. Сам NAT на этом построен при трасляции в заголовке ip-пакета меняются адраса: во вне - источника, из вне - цели. Вот нормалный вывод NAT'а (это удачный пинг с внутреннего интерфейса):<br>*Jul 13 05:11:57.062: NAT: s=192.168.9.1-&gt;10.8.188.10, d=79.173.80.1 [51]<br>*Jul 13 05:11:57.062: NAT*: s=79.173.80.1, d=10.8.188.10-&gt;192.168.9.1 [41933]<br>*Jul 13 05:11:57.066: NAT: s=192.168.9.1-&gt;10.8.188.10, d=79.173.80.1 [52]<br>*Jul 13 05:11:57.066: NAT*: s=79.173.80.1, d=10.8.188.10-&gt;192.168.9.1 [41934]<br>*Jul 13 05:11:57.066: NAT: s=192.168.9.1-&gt;10.8.188.10, d=79.173.80.1 [53]<br>*Jul 13 05:11:57.066: NAT*: s=79.173.80.1, d=10.8.188.10-&gt;192.168.9.1 [41935]<br>*Jul 13 05:11:57.070: NAT: s=192.168.9.1-&gt;10.8.188.10, d=79.173.80.1 [54]<br>*Jul 13 05:11:57.070: NAT*: s=79.173.80.1, d=10.8.188.10-&gt;192.168.9.1 [41936]<br><br>&gt;Если совсем ничег https://www.opennet.dev/openforum/vsluhforumID6/22860.html#13 Wed, 13 Jul 2011 02:57:19 GMT &gt;&gt; оставить nat и по dhcp раздовать внешний dns не вариант?<br>&gt; При таком подходе возникаю следующие вопросы: <br>&gt; 1. Как организовать раздачу 4 DNS от 2 ISP (по два на <br>&gt; каждого)?<br>&gt; 2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса <br>&gt; т.е. внешнего, а он как раз становится нерабочим)?<br>&gt; Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти <br>&gt; пинг, если в качестве источника указать внешний интерфейс? При пинге с <br>&gt; внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса <br>&gt; и создаётся правило в таблице трасляции.<br><br>Если совсем ничего не помогает, то ставим ПК вместо провайдера и запускам снифер, дальше смотрим что приходит от вас (если вообще что-то приходит)<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#12 Tue, 12 Jul 2011 13:36:12 GMT &gt;&gt; оставить nat и по dhcp раздовать внешний dns не вариант?<br>&gt; При таком подходе возникаю следующие вопросы: <br>&gt; 1. Как организовать раздачу 4 DNS от 2 ISP (по два на <br>&gt; каждого)?<br>&gt; 2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса <br>&gt; т.е. внешнего, а он как раз становится нерабочим)?<br>&gt; Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти <br>&gt; пинг, если в качестве источника указать внешний интерфейс? При пинге с <br>&gt; внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса <br>&gt; и создаётся правило в таблице трасляции.<br><br>Я бы попробовал включить debug ip nat и пингануть (с включенным натом)... вдруг че-нить выдаст... Мне кажется, что при пинге каким-то образом нат менят сорс ИП...<br> https://www.opennet.dev/openforum/vsluhforumID6/22860.html#11 Tue, 12 Jul 2011 10:07:21 GMT &gt; оставить nat и по dhcp раздовать внешний dns не вариант?<br><br>При таком подходе возникаю следующие вопросы:<br>1. Как организовать раздачу 4 DNS от 2 ISP (по два на каждого)?<br>2. Будет ли работать SLA (пинг идет с ближайшего к адресату интерфейса т.е. внешнего, а он как раз становится нерабочим)?<br><br>Да и вообще, не находите странным, почему при включённом NAT'е перестаёт идти пинг, если в качестве источника указать внешний интерфейс? При пинге с внутренних интерфейсов после NAT'а ICMP-пакет всё равно отправляется с внешнего адреса и создаётся правило в таблице трасляции.<br><br>