Автор |
Сообщение |
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
коллеги, есть проблема. роутер 1841 (1841-advsecurityk9-mz.124-25e), подключен интернет, провайдер раздает адреса динамически. кусок конфига, относящийся к делу Код: interface FastEthernet0/0 ip address dhcp ip access-group 110 in ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable
ip route 0.0.0.0 0.0.0.0 dhcp
access-list 110 deny ip any 192.168.0.0 0.0.255.255 log access-list 110 deny ip any 10.0.0.0 0.255.255.255 log access-list 110 deny ip any 172.16.0.0 0.15.255.255 log access-list 110 deny ip 172.16.0.0 0.15.255.255 any log access-list 110 deny ip 192.168.0.0 0.0.255.255 any log access-list 110 deny ip 10.0.0.0 0.255.255.255 any log access-list 110 permit ip any any
Суть проблемы - с роутера нет доступа ни к одному адресу в интернетах. ICMP тоже не работает. Снаружи назначенный роутеру адрес доступен. При этом клиенты, подключенные в коммутатор и натящиеся в интерфейс fa0/0 интернет имеют. То есть у них проблем с доступом в сеть нет.
|
04 окт 2018, 15:34 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
попробуйте так поменять Код: ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
|
04 окт 2018, 17:51 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
crash писал(а): попробуйте так поменять Код: ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 абсолютно неполезный совет
|
04 окт 2018, 18:44 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
от отчаяния и так пробовал - инет вобще пропадает.
|
05 окт 2018, 09:24 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
ikiliikkuja писал(а): абсолютно неполезный совет никто не против получить абсолютно полезный. Ждём-с
|
05 окт 2018, 10:05 |
|
|
tr33ks
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 191
|
Пингом доступ смотрели? А если руками указать source interface пингу?
|
05 окт 2018, 10:11 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
aliotru писал(а): от отчаяния и так пробовал - инет вобще пропадает. разумеется, провайдеру нафиг не нужно proxy-arp для вас держать включенным aliotru писал(а): нет доступа ни к одному адресу в интернетах к шлюзу провайдера есть доступ?
|
05 окт 2018, 12:16 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
А nat только динамка для клиентов?
|
05 окт 2018, 14:55 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
tr33ks писал(а): Пингом доступ смотрели? А если руками указать source interface пингу? не имеет значения - с указанием и без указания одна и та же история ikiliikkuja писал(а): к шлюзу провайдера есть доступ? к нему тоже нет непосредственно с роутера. С клиентов в lan доступ есть и до шлюза и до, например, яндекса Lomax писал(а): А nat только динамка для клиентов? не совсем понял вопроса. но помимо клиентов есть pat до ресурса в локалке.
|
05 окт 2018, 15:13 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
с pbr все чисто?
|
05 окт 2018, 15:28 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
да, про pbr этот роутер ничего не знает
|
05 окт 2018, 15:55 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
aliotru писал(а): Lomax писал(а): А nat только динамка для клиентов? не совсем понял вопроса. но помимо клиентов есть pat до ресурса в локалке. Вспоминаю похожие симптомы как раз из времен 12.4, только наоборот не мог достучатся до внешнего IP снаружи. Помог апгрейд до 12.4T.
|
05 окт 2018, 16:16 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
попробовал много разных 12,4. И "Т", и без него. Ситуация не очень то меняется.
|
08 окт 2018, 11:25 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
покажите более полный конфиг на эмуляторе его пробовали поднять?
|
08 окт 2018, 16:33 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
удалены dhcp и line vty. ну и слегка расширен acl110 Код: version 12.4 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone no service password-encryption ! hostname R1 ! boot-start-marker boot system flash:c1841-advsecurityk9-mz.124-15.T.bin boot system flash:c1841-advsecurityk9-mz.124-25e.bin boot-end-marker ! logging buffered 51200 ! aaa new-model ! ! ! ! aaa session-id common clock timezone MSK 3 ip cef ! ! no ip dhcp use vrf connected ! ! ! no ip domain lookup ip name-server 77.88.8.88 ip name-server 77.88.8.8 login on-failure log login on-success log ! multilink bundle-name authenticated ! ! ! ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh version 2 ! ! ! ! interface FastEthernet0/0 ip address dhcp ip access-group 110 in ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/0/0 switchport mode trunk ! interface FastEthernet0/0/1 ! interface FastEthernet0/0/2 ! interface FastEthernet0/0/3 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan2 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 dhcp ! ! no ip http server no ip http secure-server ip nat inside source list NATVLAN2 interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.1.40 22 interface FastEthernet0/0 3722 ! ip access-list standard NATVLAN2 permit 192.168.2.0 0.0.0.255 ! access-list 110 deny 53 any any log access-list 110 deny 55 any any log access-list 110 deny 77 any any log access-list 110 deny pim any any log access-list 110 deny 135 any any log access-list 110 deny 139 any any log access-list 110 deny 138 any any log access-list 110 deny udp any any eq 22 log access-list 110 deny udp any any eq 135 log access-list 110 deny udp any any eq 5632 log access-list 110 deny tcp any any eq 1433 log access-list 110 deny tcp any any eq 135 log access-list 110 deny tcp any any eq 136 log access-list 110 deny tcp any any eq 137 log access-list 110 deny tcp any any eq 138 log access-list 110 deny tcp any any eq 139 log access-list 110 deny tcp any any eq 1027 log access-list 110 deny tcp any any eq 5631 log access-list 110 deny tcp any any eq 5800 log access-list 110 deny tcp any any eq 5900 log access-list 110 deny tcp any any eq 65301 log access-list 110 deny udp any any range netbios-ns netbios-ss log access-list 110 deny udp any range netbios-ns netbios-ss any log access-list 110 deny tcp any any range 137 139 log access-list 110 deny tcp any range 137 139 any log access-list 110 deny ip any 192.168.0.0 0.0.255.255 log access-list 110 deny ip any 10.0.0.0 0.255.255.255 log access-list 110 deny ip any 172.16.0.0 0.15.255.255 log access-list 110 deny ip 172.16.0.0 0.15.255.255 any log access-list 110 deny ip 192.168.0.0 0.0.255.255 any log access-list 110 deny ip 10.0.0.0 0.255.255.255 any log access-list 110 permit ip any any сейчас загружен Код: boot system flash:c1841-advsecurityk9-mz.124-15.T.bin на эмуляторе не пробовал. Но на железе с подобным конфигом проблем нет. Осталось попробовать поменять роутер.
|
09 окт 2018, 14:51 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
aliotru писал(а): удалены dhcp и line vty. ну и слегка расширен acl110 на эмуляторе не пробовал. Но на железе с подобным конфигом проблем нет. Осталось попробовать поменять роутер. ну есть еще варианты попроще, типа убрать acl? И у вас 192.168.1.0/24 намеренно исключена из acl для ната? А если добавить? и, кстати "доступ в инет" с указанием src vlan2 например есть?
|
09 окт 2018, 15:51 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Какой IP вам провайдер выдает? И покажите, меня счетчики интересуют Код: show ip access-list 110
_________________ @k@ fantik
|
09 окт 2018, 17:18 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
коллеги всем спасибо за помощь. поменял роутер с тем же конфигом нормально работает. для СiscoGuy Код: Extended IP access list 110 10 deny 53 any any log 20 deny 55 any any log 30 deny 77 any any log 40 deny pim any any log 50 deny 135 any any log 60 deny 139 any any log 70 deny 138 any any log 80 deny udp any any eq 22 log 90 deny udp any any eq 135 log 100 deny udp any any eq 5632 log (2 matches) 110 deny tcp any any eq 1433 log (91 matches) 120 deny tcp any any eq 135 log (2 matches) 130 deny tcp any any eq 136 log 140 deny tcp any any eq 137 log 150 deny tcp any any eq 138 log (1 match) 160 deny tcp any any eq 139 log (14 matches) 170 deny tcp any any eq 1027 log 180 deny tcp any any eq 5631 log (1 match) 190 deny tcp any any eq 5800 log (1 match) 200 deny tcp any any eq 5900 log (14 matches) 210 deny tcp any any eq 65301 log 220 deny udp any any range netbios-ns netbios-ss log (20977 matches) 230 deny udp any range netbios-ns netbios-ss any log 240 deny tcp any any range 137 139 log 250 deny tcp any range 137 139 any log 260 deny ip any 192.168.0.0 0.0.255.255 log 270 deny ip any 10.0.0.0 0.255.255.255 log 280 deny ip any 172.16.0.0 0.15.255.255 log 290 deny ip 192.168.0.0 0.0.255.255 any log 300 deny ip 10.0.0.0 0.255.255.255 any log (4 matches) 310 permit ip any any (1201147 matches)
|
09 окт 2018, 17:28 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
с тем же софтом?
|
10 окт 2018, 08:51 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
да, софт 124.25e
|
10 окт 2018, 10:07 |
|
|