|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Возможно проблема с натом
Автор |
Сообщение |
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
Схема подключения: <Mikrotik (Access Point)> WAN:192.168.4.253/29====LAN==== f0(vlan1:192.168.4.254/29)<Cisco 871>f4(WAN:PPPoE)=ISP Сам микротик в режиме маршрутизации, т.е имеется сеть 192.168.2.0/24, клиенты подключаясь получают адреса из пула данной сетки. У интерфеса микротика bridge-local адрес 192.168.2.254. Маршруты прописаны. Клиенты микротика пингуют vlan 1 Циски и обратно. Но вот в инте не могут ходить. Трафик в инет проходит только с интерфейсов микротика 192.168.4.253 (WAN) и циски 192.168.4.254 (vlan 1). На самой циске прописано: Код: ip nat inside source list INFO interface Dialer1 overload Extended IP access list INFO 10 permit ip 192.168.0.0 0.0.255.255 any Захватывал трафик на vlan 1, паке ты от клиентов доходят. P.S. Если на микротике включить нат, то все работает. Но я бы хотел чтобы натировалось только на самой циске, один раз, а то получается двойное натирование.
|
05 дек 2017, 00:01 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
А что у нас с маршрутизацией сети 192.168.2.0/24 на Cisco роутере? Хотя пинги вроде идут, если верить вам. Ну тогда возможно, что помогут конфиги
|
05 дек 2017, 06:12 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
то есть то, что невротик у вас в режиме маршрутизации вас не смущает, а то что он будет еще и натить уже плохо? Сделать бридж или нат не позволяют какие то принципы? Мне кажется вы придумываете себе проблему на ровном месте.
|
05 дек 2017, 08:08 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
crash писал(а): А что у нас с маршрутизацией сети 192.168.2.0/24 на Cisco роутере? Хотя пинги вроде идут, если верить вам. Ну тогда возможно, что помогут конфиги Да тут проблем нет, ведь трафик ходит между ними, маршрут прописан: Код: ip route 192.168.2.0 255.255.255.0 192.168.4.253 Пока вручную, потом поднять OSPF хочется. aliotru писал(а): то есть то, что невротик у вас в режиме маршрутизации вас не смущает, а то что он будет еще и натить уже плохо? Сделать бридж или нат не позволяют какие то принципы? Мне кажется вы придумываете себе проблему на ровном месте. Не смущает. Натить он должен был, еслибы напряму был подключен к провайдеру, а так это внутренняя маршрутизация в которой в данной ситуации нет необходимости натить. Если бы я хотел просто одну LAN то тогда бы не парился и как раз сделал просто бы мост. А мне надо несколько внутренних сетей за микротиком. Это не проблема, а задача. Вот в картинке из CPT как примерно выглядит, только в данной ситуации клиент по LAN подключен. Проблем в эмуляторе не наблюдается))) P.S. Информацию по конфигу и ыерсию IOS выложу чуть позже.
Вложения:
test.jpg [ 70.97 КБ | Просмотров: 9565 ]
|
05 дек 2017, 08:39 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
ну если честно, то я не понимаю необходимости двух роутеров друг за другом в локальной сети. Но это уже ваши заботы. вы все таки покажите конфиг с циски. и вот еще - на микротике маршруты как написаны?
|
05 дек 2017, 08:48 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
aliotru писал(а): ну если честно, то я не понимаю необходимости двух роутеров друг за другом в локальной сети. Но это уже ваши заботы. вы все таки покажите конфиг с циски. и вот еще - на микротике маршруты как написаны? Конфиг вечером только смогу, сейчас не наместе. Клинеты получают дефолтовый к микротик естественно, на самом микротике прописан дефолтовый маршрут для всех сетей на 192.168.4.254.
|
05 дек 2017, 08:52 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Покажи правило для NAT на микроте и его таблицу маршрутизации. Скорее всего сетка с циски не попадает в диапазон nat, если делался src-nat.
|
05 дек 2017, 12:23 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
kotofey писал(а): Покажи правило для NAT на микроте и его таблицу маршрутизации. Скорее всего сетка с циски не попадает в диапазон nat, если делался src-nat. Невнимательно читали то, что я писал выше. Нет на микротике NATa и не должно быть. Проблема решена.Но вообще если кому интерсно голову поломать, то ответ выложу, но позже. А пока допинформация. Я не упомянул того факта, что CISCO 871 выступает еще в роле Easy VPN client. Итак имеем:IOS ver:124-24.T3.bin Конфиг:Код: crypto ipsec client ezvpn TESTVPN connect auto group GROUP key CISCO mode client peer xxx.yyy.zzz.fff username cisco password cisco xauth userid mode local ! interface FastEthernet4 description WAN no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 description LAN ip address 192.168.4.254 255.255.255.248 ip nat inside ip virtual-reassembly no autostate crypto ipsec client ezvpn TESTVPN inside ! interface Dialer1 ip address negotiated no ip redirects no ip unreachables ip mtu 1492 ip virtual-reassembly ip nat outside encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname CISCO ppp chap password CISCO ppp ipcp dns request ppp ipcp route default crypto ipsec client ezvpn TESTVPN ! ip route 192.168.2.0 255.255.255.0 192.168.4.253 ! ip nat inside source route-map NAT-GL interface Dialer1 overload ! route-map NAT-GL permit 10 match ip address NAT ! ip access-list extended NAT permit ip 192.168.0 0.0.255.255 any Вот с таким конфигом была проблема описанная в первом посте темы. Т.е. ПК (клиенты микротика из сетки 192.168.2.0) не имели доступа в инет и уж тем более не могли ходить в туннель (Инет и Туннель поднимались без проблем). При этом сеть (клиенты сети) 192.168.4.0/29 имела доступ как в инет, так и в туннель vpn.
|
05 дек 2017, 22:49 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
давайте дальше загадками кидать. Через неделю напишите, что вы еще забыли нам сказать.
|
06 дек 2017, 10:15 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
crash писал(а): давайте дальше загадками кидать. Через неделю напишите, что вы еще забыли нам сказать. Уверяю, все данные полностью предоставил.
|
06 дек 2017, 12:02 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
У Вас схема подключения - дичь редчайшая. Читайте форумы по Микротам, там есть описание как его правильно дружить с Цисками. Два года назад настроил Микрот с двумя сетками (гостевая-Captiv Portal + внутренняя)+ порты для принтеров/ПК/Телефоны (все по разным Vlan) и 1881. Работает нормально.
|
07 дек 2017, 15:56 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
AlexSashkaff писал(а): У Вас схема подключения - дичь редчайшая.
Если вы так думаете, то тогда обоснуйте, что тут дичайшего? А так это просто слова не имеющие никакой ценности, т.к. не подтверждены никакими разумными аргументами. AlexSashkaff писал(а): Читайте форумы по Микротам, там есть описание как его правильно дружить с Цисками. Два года назад настроил Микрот с двумя сетками (гостевая-Captiv Portal + внутренняя)+ порты для принтеров/ПК/Телефоны (все по разным Vlan) и 1881. Работает нормально. Вы топик и нижеследующие сообщения мои читали? Причем тут "как его правильно дружить с Цисками" ? Причем тут VLAN-ны, а так же то, что вы когдато, что то где то настроили? Вам про Фому, а вы про Ерему. Все вами перечисленное не имеет никакого отношения к задаче,а ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе. Я не настраиваю специфическую связь микротика с циской. Тему можно считать закрытой.
|
07 дек 2017, 21:05 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Дык задача для 1 курса Техникума: на Микроте подняли WiFi, прибили сетки к нужным Vlan, транком отправили на 1841. На 1841 разруливаем маршрутизацию и пр. Все. У Вас эпопея, отгадайте где я накосячил, но покажу токо часть конфига...
|
08 дек 2017, 11:07 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
AlexSashkaff писал(а): Дык задача для 1 курса Техникума: на Микроте подняли WiFi, прибили сетки к нужным Vlan, транком отправили на 1841. На 1841 разруливаем маршрутизацию и пр. Все. У Вас эпопея, отгадайте где я накосячил, но покажу токо часть конфига... Конфиг в теме имеется, внимательнее нужно читать. Если бы вы не харахорились, а всетаки посмотрели то, что я писал выше, то обратили бы внимание на следующее: 1. Я не просил совета по физической или логической топологии сети; 2. Из пункта 1 следует что у меня нет необходимости в VLAN; 3. Я уже упомянул, что если бы я хотел, чтобы микротик был в режиме моста, то уже давно так и настроил бы; 4. Помимо прочего я упомянул, что маршрутизатор cisco выступает в роли VPN клиента. 5. Ну и на последок, если бы вы ранее настраивали в режиме VPN клиента cisco, то вы бы нашли проблему (Тут конечно нужно сделать привязку к версии ios, но все же). Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова. Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе."
|
08 дек 2017, 13:17 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
alx писал(а): Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова. Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе." ip route 192.168.2.0 255.255.255.0 Dialer1 Если Вы про это?
|
08 дек 2017, 14:35 |
|
|
alx
Зарегистрирован: 04 дек 2017, 23:41 Сообщения: 9
|
AlexSashkaff писал(а): alx писал(а): Такое ощущение, что вы как раз и сбежали с 1 курса Техникума. По делу ничего не сказали, только пытаетесь указывать, при этом не подтверждая конкретными аргументами свои слова. Процетирую себя из предыдущего поста: "Ваша невнимательность и необоснованные заявления ставят под сомнение вообще вашу компетенцию в данном вопросе." ip route 192.168.2.0 255.255.255.0 Dialer1 Если Вы про это? Зачем вы хотите трафик для приватной сети отправить к провайдеру? Нет, тут проблема не в маршрутизации, а в в создаваемых автоматически acl при поднятии vpn канала. Когда поднимается VPN тунель, то автоматически создаются acl как для интерфейса outside, так и для inside (для сетей непосредственно подключенных к маршрутизатору). Вот отсюда и нужно прыгать. Ведь ПК нахоядтся не в коннект сети для циски.
|
08 дек 2017, 15:40 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Понятно. Рисуйте полную нормальную схему, выкладывайте конфиг и полное ТЗ. Милафон утрачен. Спасибо.
|
08 дек 2017, 16:50 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 57 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|