Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:31



Ответить на тему  [ Сообщений: 20 ] 
доступность ресурсов в интернете. ISP DHCP 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
коллеги, есть проблема.
роутер 1841 (1841-advsecurityk9-mz.124-25e), подключен интернет, провайдер раздает адреса динамически.
кусок конфига, относящийся к делу
Код:
interface FastEthernet0/0
 ip address dhcp
 ip access-group 110 in
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable

ip route 0.0.0.0 0.0.0.0 dhcp

access-list 110 deny   ip any 192.168.0.0 0.0.255.255 log
access-list 110 deny   ip any 10.0.0.0 0.255.255.255 log
access-list 110 deny   ip any 172.16.0.0 0.15.255.255 log
access-list 110 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 110 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 110 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 110 permit ip any any

Суть проблемы - с роутера нет доступа ни к одному адресу в интернетах. ICMP тоже не работает. Снаружи назначенный роутеру адрес доступен. При этом клиенты, подключенные в коммутатор и натящиеся в интерфейс fa0/0 интернет имеют. То есть у них проблем с доступом в сеть нет.


04 окт 2018, 15:34
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
попробуйте так поменять
Код:
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0


04 окт 2018, 17:51
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
crash писал(а):
попробуйте так поменять
Код:
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0


абсолютно неполезный совет


04 окт 2018, 18:44
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
от отчаяния и так пробовал - инет вобще пропадает.


05 окт 2018, 09:24
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
ikiliikkuja писал(а):
абсолютно неполезный совет

никто не против получить абсолютно полезный. Ждём-с


05 окт 2018, 10:05
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 191
Пингом доступ смотрели? А если руками указать source interface пингу?


05 окт 2018, 10:11
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
aliotru писал(а):
от отчаяния и так пробовал - инет вобще пропадает.

разумеется, провайдеру нафиг не нужно proxy-arp для вас держать включенным

aliotru писал(а):
нет доступа ни к одному адресу в интернетах

к шлюзу провайдера есть доступ?


05 окт 2018, 12:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
А nat только динамка для клиентов?


05 окт 2018, 14:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
tr33ks писал(а):
Пингом доступ смотрели? А если руками указать source interface пингу?

не имеет значения - с указанием и без указания одна и та же история
ikiliikkuja писал(а):
к шлюзу провайдера есть доступ?

к нему тоже нет непосредственно с роутера. С клиентов в lan доступ есть и до шлюза и до, например, яндекса
Lomax писал(а):
А nat только динамка для клиентов?
не совсем понял вопроса.
но помимо клиентов есть pat до ресурса в локалке.


05 окт 2018, 15:13
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
с pbr все чисто?


05 окт 2018, 15:28
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
да, про pbr этот роутер ничего не знает


05 окт 2018, 15:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
aliotru писал(а):
Lomax писал(а):
А nat только динамка для клиентов?
не совсем понял вопроса.
но помимо клиентов есть pat до ресурса в локалке.


Вспоминаю похожие симптомы как раз из времен 12.4, только наоборот не мог достучатся до внешнего IP снаружи. Помог апгрейд до 12.4T.


05 окт 2018, 16:16
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
попробовал много разных 12,4. И "Т", и без него.
Ситуация не очень то меняется.


08 окт 2018, 11:25
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
покажите более полный конфиг
на эмуляторе его пробовали поднять?


08 окт 2018, 16:33
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
удалены dhcp и line vty. ну и слегка расширен acl110
Код:
version 12.4
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
hostname R1
!
boot-start-marker
boot system flash:c1841-advsecurityk9-mz.124-15.T.bin
boot system flash:c1841-advsecurityk9-mz.124-25e.bin
boot-end-marker
!
logging buffered 51200
!
aaa new-model
!
!
!
!
aaa session-id common
clock timezone MSK 3
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
no ip domain lookup
ip name-server 77.88.8.88
ip name-server 77.88.8.8
login on-failure log
login on-success log
!
multilink bundle-name authenticated
!
!
!
!
archive
 log config
  hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh version 2
!
!
!
!
interface FastEthernet0/0
 ip address dhcp
 ip access-group 110 in
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/0/0
 switchport mode trunk
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan2
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 dhcp
!
!
no ip http server
no ip http secure-server
ip nat inside source list NATVLAN2 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.40 22 interface FastEthernet0/0 3722
!
ip access-list standard NATVLAN2
 permit 192.168.2.0 0.0.0.255
!
access-list 110 deny   53 any any log
access-list 110 deny   55 any any log
access-list 110 deny   77 any any log
access-list 110 deny   pim any any log
access-list 110 deny   135 any any log
access-list 110 deny   139 any any log
access-list 110 deny   138 any any log
access-list 110 deny   udp any any eq 22 log
access-list 110 deny   udp any any eq 135 log
access-list 110 deny   udp any any eq 5632 log
access-list 110 deny   tcp any any eq 1433 log
access-list 110 deny   tcp any any eq 135 log
access-list 110 deny   tcp any any eq 136 log
access-list 110 deny   tcp any any eq 137 log
access-list 110 deny   tcp any any eq 138 log
access-list 110 deny   tcp any any eq 139 log
access-list 110 deny   tcp any any eq 1027 log
access-list 110 deny   tcp any any eq 5631 log
access-list 110 deny   tcp any any eq 5800 log
access-list 110 deny   tcp any any eq 5900 log
access-list 110 deny   tcp any any eq 65301 log
access-list 110 deny   udp any any range netbios-ns netbios-ss log
access-list 110 deny   udp any range netbios-ns netbios-ss any log
access-list 110 deny   tcp any any range 137 139 log
access-list 110 deny   tcp any range 137 139 any log
access-list 110 deny   ip any 192.168.0.0 0.0.255.255 log
access-list 110 deny   ip any 10.0.0.0 0.255.255.255 log
access-list 110 deny   ip any 172.16.0.0 0.15.255.255 log
access-list 110 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 110 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 110 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 110 permit ip any any


сейчас загружен
Код:
boot system flash:c1841-advsecurityk9-mz.124-15.T.bin


на эмуляторе не пробовал. Но на железе с подобным конфигом проблем нет.
Осталось попробовать поменять роутер.


09 окт 2018, 14:51
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
aliotru писал(а):
удалены dhcp и line vty. ну и слегка расширен acl110
на эмуляторе не пробовал. Но на железе с подобным конфигом проблем нет.
Осталось попробовать поменять роутер.


ну есть еще варианты попроще, типа убрать acl?
И у вас 192.168.1.0/24 намеренно исключена из acl для ната? А если добавить?
и, кстати "доступ в инет" с указанием src vlan2 например есть?


09 окт 2018, 15:51
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Какой IP вам провайдер выдает?

И покажите, меня счетчики интересуют
Код:
show ip access-list 110

_________________
@k@ fantik


09 окт 2018, 17:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
коллеги всем спасибо за помощь.
поменял роутер с тем же конфигом нормально работает.
для СiscoGuy
Код:
Extended IP access list 110
    10 deny 53 any any log
    20 deny 55 any any log
    30 deny 77 any any log
    40 deny pim any any log
    50 deny 135 any any log
    60 deny 139 any any log
    70 deny 138 any any log
    80 deny udp any any eq 22 log
    90 deny udp any any eq 135 log
    100 deny udp any any eq 5632 log (2 matches)
    110 deny tcp any any eq 1433 log (91 matches)
    120 deny tcp any any eq 135 log (2 matches)
    130 deny tcp any any eq 136 log
    140 deny tcp any any eq 137 log
    150 deny tcp any any eq 138 log (1 match)
    160 deny tcp any any eq 139 log (14 matches)
    170 deny tcp any any eq 1027 log
    180 deny tcp any any eq 5631 log (1 match)
    190 deny tcp any any eq 5800 log (1 match)
    200 deny tcp any any eq 5900 log (14 matches)
    210 deny tcp any any eq 65301 log
    220 deny udp any any range netbios-ns netbios-ss log (20977 matches)
    230 deny udp any range netbios-ns netbios-ss any log
    240 deny tcp any any range 137 139 log
    250 deny tcp any range 137 139 any log
    260 deny ip any 192.168.0.0 0.0.255.255 log
    270 deny ip any 10.0.0.0 0.255.255.255 log
    280 deny ip any 172.16.0.0 0.15.255.255 log
    290 deny ip 192.168.0.0 0.0.255.255 any log
    300 deny ip 10.0.0.0 0.255.255.255 any log (4 matches)
    310 permit ip any any (1201147 matches)


09 окт 2018, 17:28
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
с тем же софтом?


10 окт 2018, 08:51
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
да, софт 124.25e


10 окт 2018, 10:07
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 20 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB