Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 01:27



Ответить на тему  [ Сообщений: 17 ] 
Возможно проблема с натом 
Автор Сообщение

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
Схема подключения: <Mikrotik (Access Point)> WAN:192.168.4.253/29====LAN==== f0(vlan1:192.168.4.254/29)<Cisco 871>f4(WAN:PPPoE)=ISP
Сам микротик в режиме маршрутизации, т.е имеется сеть 192.168.2.0/24, клиенты подключаясь получают адреса из пула данной сетки. У интерфеса микротика bridge-local адрес 192.168.2.254. Маршруты прописаны.
Клиенты микротика пингуют vlan 1 Циски и обратно. Но вот в инте не могут ходить. Трафик в инет проходит только с интерфейсов микротика 192.168.4.253 (WAN) и циски 192.168.4.254 (vlan 1).
На самой циске прописано:
Код:
ip nat inside source list INFO interface Dialer1 overload
Extended IP access list INFO
    10 permit ip 192.168.0.0 0.0.255.255 any

Захватывал трафик на vlan 1, паке ты от клиентов доходят.

P.S. Если на микротике включить нат, то все работает. Но я бы хотел чтобы натировалось только на самой циске, один раз, а то получается двойное натирование.


05 дек 2017, 00:01
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
А что у нас с маршрутизацией сети 192.168.2.0/24 на Cisco роутере? Хотя пинги вроде идут, если верить вам. Ну тогда возможно, что помогут конфиги


05 дек 2017, 06:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
то есть то, что невротик у вас в режиме маршрутизации вас не смущает, а то что он будет еще и натить уже плохо? Сделать бридж или нат не позволяют какие то принципы?
Мне кажется вы придумываете себе проблему на ровном месте.


05 дек 2017, 08:08
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
crash писал(а):
А что у нас с маршрутизацией сети 192.168.2.0/24 на Cisco роутере? Хотя пинги вроде идут, если верить вам. Ну тогда возможно, что помогут конфиги

Да тут проблем нет, ведь трафик ходит между ними, маршрут прописан:
Код:
ip route 192.168.2.0 255.255.255.0 192.168.4.253

Пока вручную, потом поднять OSPF хочется.

aliotru писал(а):
то есть то, что невротик у вас в режиме маршрутизации вас не смущает, а то что он будет еще и натить уже плохо? Сделать бридж или нат не позволяют какие то принципы?
Мне кажется вы придумываете себе проблему на ровном месте.

Не смущает. Натить он должен был, еслибы напряму был подключен к провайдеру, а так это внутренняя маршрутизация в которой в данной ситуации нет необходимости натить.
Если бы я хотел просто одну LAN то тогда бы не парился и как раз сделал просто бы мост. А мне надо несколько внутренних сетей за микротиком.
Это не проблема, а задача.
Вот в картинке из CPT как примерно выглядит, только в данной ситуации клиент по LAN подключен. Проблем в эмуляторе не наблюдается)))

P.S. Информацию по конфигу и ыерсию IOS выложу чуть позже.


Вложения:
test.jpg
test.jpg [ 70.97 КБ | Просмотров: 9566 ]
05 дек 2017, 08:39
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
ну если честно, то я не понимаю необходимости двух роутеров друг за другом в локальной сети. Но это уже ваши заботы.
вы все таки покажите конфиг с циски. и вот еще - на микротике маршруты как написаны?


05 дек 2017, 08:48
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
aliotru писал(а):
ну если честно, то я не понимаю необходимости двух роутеров друг за другом в локальной сети. Но это уже ваши заботы.
вы все таки покажите конфиг с циски. и вот еще - на микротике маршруты как написаны?

Конфиг вечером только смогу, сейчас не наместе.
Клинеты получают дефолтовый к микротик естественно, на самом микротике прописан дефолтовый маршрут для всех сетей на 192.168.4.254.


05 дек 2017, 08:52
Профиль

Зарегистрирован: 07 июл 2016, 18:00
Сообщения: 61
Покажи правило для NAT на микроте и его таблицу маршрутизации.
Скорее всего сетка с циски не попадает в диапазон nat, если делался src-nat.


05 дек 2017, 12:23
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
kotofey писал(а):
Покажи правило для NAT на микроте и его таблицу маршрутизации.
Скорее всего сетка с циски не попадает в диапазон nat, если делался src-nat.


Невнимательно читали то, что я писал выше. Нет на микротике NATa и не должно быть.
Проблема решена.

Но вообще если кому интерсно голову поломать, то ответ выложу, но позже. А пока допинформация. Я не упомянул того факта, что CISCO 871 выступает еще в роле Easy VPN client.

Итак имеем:
IOS ver:124-24.T3.bin

Конфиг:

Код:
crypto ipsec client ezvpn TESTVPN
 connect auto
 group GROUP key CISCO
 mode client
 peer xxx.yyy.zzz.fff
 username cisco password cisco
 xauth userid mode local
!
interface FastEthernet4
 description WAN
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 description LAN
 ip address 192.168.4.254 255.255.255.248
 ip nat inside
 ip virtual-reassembly
 no autostate
 crypto ipsec client ezvpn TESTVPN inside
!
interface Dialer1
 ip address negotiated
 no ip redirects
 no ip unreachables
 ip mtu 1492
 ip virtual-reassembly
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname CISCO
 ppp chap password CISCO
 ppp ipcp dns request
 ppp ipcp route default
 crypto ipsec client ezvpn TESTVPN
!
ip route 192.168.2.0 255.255.255.0 192.168.4.253
!
ip nat inside source route-map NAT-GL interface Dialer1 overload
!
route-map NAT-GL permit 10
 match ip address NAT
!
ip access-list extended NAT
 permit ip 192.168.0 0.0.255.255 any


Вот с таким конфигом была проблема описанная в первом посте темы.
Т.е. ПК (клиенты микротика из сетки 192.168.2.0) не имели доступа в инет и уж тем более не могли ходить в туннель (Инет и Туннель поднимались без проблем). При этом сеть (клиенты сети) 192.168.4.0/29 имела доступ как в инет, так и в туннель vpn.


05 дек 2017, 22:49
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
давайте дальше загадками кидать. Через неделю напишите, что вы еще забыли нам сказать.


06 дек 2017, 10:15
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
crash писал(а):
давайте дальше загадками кидать. Через неделю напишите, что вы еще забыли нам сказать.

Уверяю, все данные полностью предоставил.


06 дек 2017, 12:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
У Вас схема подключения - дичь редчайшая.
Читайте форумы по Микротам, там есть описание как его правильно дружить с Цисками.
Два года назад настроил Микрот с двумя сетками (гостевая-Captiv Portal + внутренняя)+ порты для принтеров/ПК/Телефоны (все по разным Vlan) и 1881.
Работает нормально.


07 дек 2017, 15:56
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
AlexSashkaff писал(а):
У Вас схема подключения - дичь редчайшая.

Если вы так думаете, то тогда обоснуйте, что тут дичайшего?
А так это просто слова не имеющие никакой ценности, т.к. не подтверждены никакими разумными аргументами.

AlexSashkaff писал(а):
Читайте форумы по Микротам, там есть описание как его правильно дружить с Цисками.
Два года назад настроил Микрот с двумя сетками (гостевая-Captiv Portal + внутренняя)+ порты для принтеров/ПК/Телефоны (все по разным Vlan) и 1881.
Работает нормально.

Вы топик и нижеследующие сообщения мои читали? Причем тут "как его правильно дружить с Цисками" ?
Причем тут VLAN-ны, а так же то, что вы когдато, что то где то настроили?
Вам про Фому, а вы про Ерему.

Все вами перечисленное не имеет никакого отношения к задаче,а ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе. Я не настраиваю специфическую связь микротика с циской.

Тему можно считать закрытой.


07 дек 2017, 21:05
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Дык задача для 1 курса Техникума:
на Микроте подняли WiFi, прибили сетки к нужным Vlan, транком отправили на 1841.
На 1841 разруливаем маршрутизацию и пр.
Все.
У Вас эпопея, отгадайте где я накосячил, но покажу токо часть конфига... :)


08 дек 2017, 11:07
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
AlexSashkaff писал(а):
Дык задача для 1 курса Техникума:
на Микроте подняли WiFi, прибили сетки к нужным Vlan, транком отправили на 1841.
На 1841 разруливаем маршрутизацию и пр.
Все.
У Вас эпопея, отгадайте где я накосячил, но покажу токо часть конфига... :)

Конфиг в теме имеется, внимательнее нужно читать.
Если бы вы не харахорились, а всетаки посмотрели то, что я писал выше, то обратили бы внимание на следующее:
1. Я не просил совета по физической или логической топологии сети;
2. Из пункта 1 следует что у меня нет необходимости в VLAN;
3. Я уже упомянул, что если бы я хотел, чтобы микротик был в режиме моста, то уже давно так и настроил бы;
4. Помимо прочего я упомянул, что маршрутизатор cisco выступает в роли VPN клиента.
5. Ну и на последок, если бы вы ранее настраивали в режиме VPN клиента cisco, то вы бы нашли проблему (Тут конечно нужно сделать привязку к версии ios, но все же).

Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова.
Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе."


08 дек 2017, 13:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
alx писал(а):
Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова.
Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе."

ip route 192.168.2.0 255.255.255.0 Dialer1 Если Вы про это?


08 дек 2017, 14:35
Профиль

Зарегистрирован: 04 дек 2017, 23:41
Сообщения: 9
AlexSashkaff писал(а):
alx писал(а):
Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова.
Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе."

ip route 192.168.2.0 255.255.255.0 Dialer1 Если Вы про это?

Зачем вы хотите трафик для приватной сети отправить к провайдеру?

Нет, тут проблема не в маршрутизации, а в в создаваемых автоматически acl при поднятии vpn канала.
Когда поднимается VPN тунель, то автоматически создаются acl как для интерфейса outside, так и для inside (для сетей непосредственно подключенных к маршрутизатору).
Вот отсюда и нужно прыгать. Ведь ПК нахоядтся не в коннект сети для циски.


08 дек 2017, 15:40
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Понятно.
Рисуйте полную нормальную схему, выкладывайте конфиг и полное ТЗ.
Милафон утрачен.
Спасибо.


08 дек 2017, 16:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 45


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB