форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"NAT при прохождении пакетов через 1 интерфейс"		+/–
Сообщение от gagner (ok) on 02-Апр-10, 17:36
Добрый день, многоуважаемый All. Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней прописан адрес из этой сети и дефолт в сторону общего интернет-гейта. поднят крипто-туннель по инету в ядро родной сети. необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. естесственно, закрыв source nat'ом. т.к. туннель сделан крипто-мапом - пакеты входят и выходят в один и тот же интерфейс: приходят по статике на "вражеских" компах, натятся и должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. ip nat enable не работает: если прописать ip nat enable на порту fa4 и ip nat inside source list 101 interface Loopback0 overload access-list 101 permit ip host 192.168.0.5 host 172.21.0.1 то по дебагу нат не отрабатывает вообще если изменить на ip nat source list 101 int lo0, то в дебаге пишется: *Mar  3 10:43:50.935: IP: tableid=0, s=192.168.0.5 (FastEthernet4), d=172.21.0.1 (FastEthernet4), routed via RIB *Mar  3 10:43:50.935: NAT: s=192.168.0.5->10.100.160.1, d=172.21.0.1 [6352] *Mar  3 10:43:50.935: IP: tableid=0, s=10.100.160.1 (FastEthernet4), d=172.21.0.1 (FastEthernet4), routed via RIB *Mar  3 10:43:50.935: IP: s=10.100.160.1 (FastEthernet4), d=172.21.0.1 (FastEthernet4), len 60, rcvd local pkt насколько я понимаю, нат отрабатывает, но пакет в крипто-туннель не уходит (счетчики не растут). при этом пинг с сорсом самого lo0 ходит на ура. я уже даже безуспешно пробовала отправлять трафик на второй лупбэк, привязав к нему PBR и проставив inside|outside - но это скорее от отчаянья. (( есть ли варианты решения данной задачи?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Путанно очень..."		+/–
Сообщение от j_vw on 02-Апр-10, 18:21
Картинку бы нарисовали.... >Добрый день, многоуважаемый All. > >Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней >прописан адрес из этой сети и дефолт в сторону общего интернет-гейта. >поднят крипто-туннель по инету в ядро родной сети. >необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. "Родные" это где? В ядре или за 8xx? > >т.к. туннель сделан крипто-мапом Так у вас тунель до головного офиса или, просто, IPSEC поднят на интерфейсе? > - пакеты входят и выходят в один и >тот же интерфейс: приходят по статике на "вражеских" компах, натятся и >должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. А нат зачем? Не знаю... Если не основываться на кусках ваших решений, то: 1. Поднимаем gre(шифрованный) тунель офис-филиал 2. Пользователи ходят в инет через нат а в офис через интерфейс тунеля. 3. Во вражеской сетке пишется роут на офис через интерфейс 8хх (В офисе роут во вражескую сетку через тунель ) 4. Режем ACL все ненужное...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Путанно очень..."		+/–
	Сообщение от gagner (ok) on 02-Апр-10, 19:46
	Картинка: http://imglink.ru/pictures/02-04-10/6ea3f1f6a3013d089ac9d17f... на "компе" прописан статический рут 172.21.0.1/32 192.168.0.3 рутер с лупбэком 172.21.0.1 ничего не знает о 192.168.0.0/24, зато знает про 10.100.160.0/24. надо связать комп 192.168.0.5 с лупбэком 172.21.0.1
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Путанно очень..."		+/–
	Сообщение от j_vw on 02-Апр-10, 20:22
	>Картинка: >http://imglink.ru/pictures/02-04-10/6ea3f1f6a3013d089ac9d17f... > >на "компе" прописан статический рут 172.21.0.1/32 192.168.0.3 Я, до сих пор не понимаю.... А почему в lo 172.210.1? А не в нужную сеть? >рутер с лупбэком 172.21.0.1 ничего не знает о 192.168.0.0/24, 1. Кто мешает узнать? >надо связать комп 192.168.0.5 с лупбэком 172.21.0.1 Да дались вам эти лупбеки.... Не пойму, зачем? Схема рабочая.... Мой вариант прокатывает..... Что в нем смущает? Распишите на схеме все интерфейсы... И променуйте на схеме роутеры и интерфейсы, чтоб говорить на одном языке. Есть подозрение, что либо, чего то надумываете, либо, информации не хватает... Пока все... Нужно, сначала, с дизайном определиться.... Потом конфиги будем смотреть...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Путанно очень..."		+/–
	Сообщение от gagner (ok) on 02-Апр-10, 20:54
	омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня интересуют лупбэки и странный нат на 1 интерфейсе - значит оно так надо, это часть ТЗ. если глобально, то у меня дуал-сайт ядро и куча маленьких цисочек, которые включены туннелями по инету. зачастую они включены в сеть клиентов, которые пропускают мои железки наружу, закрывая натом. приложения с компов клиента должны стучаться ко мне в ядро через эти цисочки. я не могу принять сетки клиентов - потому что их много и они все зачастую одинаковые и чужеродные... поэтому нужен нат. ранее у меня был DMVPN + динамика по туннелям - я даже как-то писала тут об этом... но всвязи с тем, что мне нужно принять порядка 500 851 цисок не умеющих динамику - я меняю схему на крипто-туннели с реверс-рутами... и в новую схему у меня не укладывается нат. в общем, жизнь намного сложнее собранного стенда. ))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Путанно очень..."		+/–
	Сообщение от j_vw on 02-Апр-10, 21:50
	>омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня >интересуют лупбэки и странный нат на 1 интерфейсе - значит оно >так надо, это часть ТЗ. !!! > но всвязи с тем, что мне нужно принять порядка 500 851 цисок А вот с этого  и нужно было начать .... Сударыня... Поймите правильно.... Вы там корпите над КОММЕРЧЕСКИМ решением... За ДЕНЬГИ... И решаете его не за 10 минут. По мне, блоу-тон, в таком случае, использовать конференции... Более того, изначально, не точно определив условия задачи.... Поймите: 1:  У меня, например, тоже, есть какая то работа...За деньги... 2: Все, что я могу уделить решению вашей задачи - минут 10-15...Бесплатно...Дома...Под-пиво...Чтобы не терять квалификацию...   Повторюсь.... Изначально, я решил вашу задачу... Но, вы меняете условия на-ходу... Я готов помогать людям, которые, по мне, не могут обладать нужной квалификацией... В вашем случае - это не так...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Чего то я вчера злобный был..."		+/–
	Сообщение от j_vw on 03-Апр-10, 08:47
	Прошу прощения... День не очень удачный ;( Даже Блоутон(система подачи водителями световых сигналов) с Моветоном (дурным тоном) cпутал ;) Такая конструкция не прокатит? int Lo 0   ip address 10.100.160.0 255.255.255.0   ip nat out int Lo 1   ip address 10.127.0.1 255.255.255.0   ip nat in int Fa 0   ip address 192.168.0.3 255.255.255.0   ip policy route-map Enemy access-list ex Enemy permit ip 192.168.0.0 0.0.0.255 host 172.21.0.1 route-map Enemy permit 10   match ip address Enemy   set interface Lo1    ip nat inside source list Enemy int Lo 0 overload
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "решение"		+/–
	Сообщение от gagner (ok) on 05-Апр-10, 13:17
	Ваша конструкция не рабочая, т.к. при отправке трафика рут-мапом на lo1 он умрет. Зато она вдохновила меня на подвиги. Получилось нечто корявое... впрочем, как и сама задача. И оно действительно работает! )) interface Loopback0 - не обязателен в общем случае, можно заменить на add-route в натовском пуле. ip address 10.100.160.1 255.255.255.0 ! interface Loopback1 ip address 6.6.6.6 255.255.255.255 ip nat enable ip policy route-map Vyhod !         interface FastEthernet4 description INTERNET ip address 192.168.0.3 255.255.255.0 ip nat enable ip policy route-map Vhod ! ip route 10.100.160.2 255.255.255.255 Loopback1 - без статики обратные пакеты умирают на lo0. в случае add-route это скорее всего не нужно. ip route 172.21.0.1 255.255.255.255 FastEthernet4 - рут-мапа не хватило. ! ip nat pool POOL 10.100.160.2 10.100.160.4 netmask 255.255.255.0 ip nat source list 101 pool POOL overload !         ip access-list extended Vhod permit ip host 192.168.0.5 host 172.21.0.1 permit ip host 172.21.0.1 10.100.160.0 0.0.0.255 - для обратных пакетов ip access-list extended Vyhod permit ip 10.100.160.0 0.0.0.255 host 172.21.0.1 permit ip host 172.21.0.1 10.100.160.0 0.0.0.255 - для обратных пакетов ! access-list 101 permit ip 192.168.0.0 0.0.0.255 host 172.21.0.1 ! ! route-map Vhod permit 10 match ip address Vhod set interface Loopback1 ! route-map Vyhod permit 10 match ip address Vyhod set interface FastEthernet4 Стоит помнить, что нат отрабатывает при прохождении куска "петли" из fa 4 на lo1. Причем не с классическими inside/outside, а именно с enable. Вот как-то так. Иногда когда ломаешь голову над проблемой - глаза "замыливаются" и начинаешь тупить. В такие моменты достаточно идеи или тычка в сторону нужной статьи... ведь я думала в сторону PBR - но зациклилась на next-hop'ах. и одной вашей строчки "set interface" хватило для создания схемы. Спасибо.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "решение"		+/–
	Сообщение от gagner (ok) on 05-Апр-10, 14:54
	подумала и убрала lo1, сделав PBR на lo0 (изначально мне нужен был "чистый" лупбэк под мониторинг/управление), сделала пул из отдельной линковой сеточки (+add-route) - так гораздо короче и красивее. Статика ip route 10.100.160.2 255.255.255.255 Loopback1  действительно не нужна. так же не нужен второй рут-мап Vyhod. и получается совсем красота. ))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема