цыска не пингуется... разминка для ума)

diakon2 · Непрочитанное сообщение **diakon2** » 2014-02-05 13:50:39

всем день добрый.

проблема просто непонятнейшая... на эмуитаторе RT все работает как надо, никаких проблем нету, конфиги грубо говоря одни и теже. ну разве что в реальной сети больше пользовательских вланов.

итак имеем
1) провайдер нам выдает аксесный порт, с реальным ип адресом и маской 0 на конце.
2) в локалке 10 вланов( по одному на каждый отдел\кабинет) и имеет ип адреса 192.168.х.0 где Х от 10 до 20
3) нету никаких аксес листов, вообще никаких ограничений, по крайней мере я их не настраивал, возможно они работают по умолчанию но в конфиге ничего нет.
4) сеть построена таким образом потому что раньше небыло цысок и все клиенты были воткнуты в неуправляемый свич после шлюза. сейчас шлюз на сервере выполняет роль PPTP сервера для подключения из удаленных офисов. хотелосьбы перенести pptp сервер на цыску, но тут меня ждал облом.
5) сеть работает, все пользователи сети ходят в интернет, получают доступ в серверам - file, AD, 1C
6) на цыске настроен нат для всех подсетей пользователей
7) на сетевом интерфейсе шлюза смотрящем в сторону цыски настроен ип адрес 192.168.0.1
на цыске 192.168.0.252
на ноутбуке подключеном к неуправляемому длинку - 192.168.0.135

а теперь о проблеме.... это просто эпик.
1) я могу пропинговать циску (192.168.0.252)только с никсовых виртуалок находящихся на ESXI (192.168.0.1 и 192.168.0.211)
2) я не могу пропинговать цыску с виндовых виртуалок, хотя она отлично пингуется с никсовых... бред какойто, все виртуалки используют один и тотже физический интерфейс, на обоих одни и теже настройки, в свойствах адаптера в esxi сервере видны все компьютеры и они вроде как виртуально подключаются к одному свичу. я даже проверил, взял одну виртуалку, установил туда фрю - все пингуется, установил виндовс - не пингуется. виртуалку никак не менял и не изменял.
3) самое бредовое на мой взгляд - я не могу пропинговать цыску с ноута(192.168.0.135) на котором установлена виндовс.... и вы не поверите я могу пропинговать цыску со второго ноута, который я подключил вместо первого с темже ип адресом но с фрей вместо винды... вот такая вот загогулина

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

diakon2 · Непрочитанное сообщение **diakon2** » 2014-02-05 14:21:28

теперь о траблшутинге и о предпринятых действиях

1) я запустил wireshark на ноуте который подключен к неуправляемогу свичу и попробовал пропинговать цыску. чуть позже скину лог с шарка, пока могу сказать что он ругался на неправильную чексумму в отправляемом пакете, она там вроде вся из нулей а должно быть чото другое ( так шакр сказал, выделив полоску красным)
2) почемуто я не мог подключиться к цыске извне по телнету\ссш. я почитал и люди писали что нат(пат) использует уже 22 и 23 порт для трансляции адресов, но это не так, я посмотрел таблицу сессий и там нету ни одной с 22 и 23 портом.
3) я прокинул порт внутрь циски(ip nat inside source static tcp 192.168.0.252 23 192.168.0.252 23 extendable) и только после этого смог на нее заходить телнетом. и вы не поверите, даже с виндовых машин, которые не могут ее пропинговать я смог зайти по телнету.
4) даже если я не могу пропинговать циску с виндовых машин, мак адрес в командной строке отображается корректно (arp -a)

что хотелосьбы сделать
1) ну пинговать циску мне конечно не надо сейчас, но нужно будет пинговать ее с инета, в том числе и с виндовых машин, посему надо понять почему так происходит
2) мне нужно перенести впн сервер с esxi сервера на циску. я настроил впн сервер на внешнем интерфейсе но подключиться к нему с ноута не смог, видимо по тойже причине почему он не пингуется и без проброса порта не давал подключаться по телнету
3) хотелосьбы все это настроить так чтобы работало в текущей схеме сети, чтобы при переносе внешнего ип с сервера на циску все сразуже заработало.

если нужна какая информация, пишите, все предоставлю.

ну и как положено - выкладываю немного подчищеный конфиг(выпилил саб интерфесы которые все настраивались по одному образцу)
[spoil]
[spoiler]

Код: Выделить всё

R1-main_router#sh runn
Building configuration...

Current configuration : 12579 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1-main_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$p.qK$0KGFaGHTey8uziMY5JCEl1
enable password df12nc12
!
no aaa new-model
!
dot11 syslog
no ip source-route
!
!
ip cef
ip dhcp excluded-address 192.168.10.1 192.168.10.10
ip dhcp excluded-address 192.168.10.50 192.168.10.254
ip dhcp excluded-address 192.168.12.1 192.168.12.10
ip dhcp excluded-address 192.168.12.50 192.168.12.254
!
ip dhcp pool IT
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1 
   dns-server 192.168.10.1 
!
ip dhcp pool Ohrana
   network 192.168.12.0 255.255.255.0
   default-router 192.168.12.1 
   dns-server 192.168.12.1 
!
!
no ip bootp server
ip domain name r1.amtek
ip host S1 172.16.0.2
ip host S2 172.16.0.3
ip host S3 172.16.0.4
ip host S4 172.16.0.5
ip host R1 172.16.0.1
ip host wifi_stupenkov 192.168.100.2
ip host wifi_old_smet 192.168.23.250
ip host wifi_Yakovleva 192.168.108.250
ip host wifi_Snab 192.168.16.250
ip host wifi_IT 192.168.10.250
ip host wifi_Ohrana 192.168.12.2
ip name-server 192.168.0.1
ip name-server 8.8.8.8
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
vpdn enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
!         
archive
 log config
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
policy-map 2M
 class class-default
    police 2097000 524288 conform-action transmit  exceed-action drop  violate-action drop 
!
!
!
!
!
interface GigabitEthernet0/0
 description uplink from esxi-gw
 ip address 192.168.0.252 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
!
interface GigabitEthernet0/1
 description downlink to s1_main_switch
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.8
 description Ventil
 encapsulation dot1Q 8
 ip address 192.168.8.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
!
------------------------------------------вырезал кучу однотипных саб интерфейсов, во всех меняется только предпоследний октет ип адреса
interface GigabitEthernet0/1.251
 description Avalon-1c
 encapsulation dot1Q 251
 ip address 192.168.251.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.0.1
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.0.252 23 192.168.0.252 23 extendable
!
ip access-list extended NAT
 permit ip any any
!
snmp-server community private RO
!
!
!
!
control-plane
!
!
!
ccm-manager fax protocol cisco
!
mgcp fax t38 ecm
!
!
!
!
banner login ^C


          _______  _        _______  _______  _______  _______ 
|\     /|(  ____ \( \      (  ____ \(  ___  )(       )(  ____ \
| )   ( || (    \/| (      | (    \/| (   ) || () () || (    \/
| | _ | || (__    | |      | |      | |   | || || || || (__    
| |( )| ||  __)   | |      | |      | |   | || |(_)| ||  __)   
| || || || (      | |      | |      | |   | || |   | || (      
| () () || (____/\| (____/\| (____/\| (___) || )   ( || (____/\
(_______)(_______/(_______/(_______/(_______)|/     \|(_______/


^C
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 privilege level 15
 password df12nc12
 login
 transport input telnet
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end

R1-main_router#

[/spoiler]
[/spoil]

diakon2 · Непрочитанное сообщение **diakon2** » 2014-02-05 14:28:06

забыл упомянуть. у меня 3 таких случая. первый дома, второй на работе, третий у знакомого на работе.

и везде все одно и тоже. скорее всего так как я настраивал везде все одинаково.

lap · Непрочитанное сообщение **lap** » 2014-02-05 23:42:23

Попробуйте в листе для нату описать более подробно сети.

и включите сервис пасворд енкрипшн

gumeniuc

ну а с 2811 можете всё пинговать ?

diakon2 · Непрочитанное сообщение **diakon2** » 2014-02-06 17:23:03

да, c 2811 пигуется вообще все. проблема(с win не пинги идут а с nix почемуто идут) решилась вот таким образом

Код: Выделить всё

interface GigabitEthernet0/0  (который в сторону неуправляемого длинка и сервера)
 ip access-group FIREWALL in
 ip access-group FIREWALL out

ip access-list extended FIREWALL
 permit icmp any any
 permit ip any any
 permit tcp any host 192.168.0.252 eq 1723
 permit gre any host 192.168.0.252

ip nat inside source static tcp 192.168.0.252 22 192.168.0.252 22 extendable

с паролями тоже разобрался...

gumeniuc

вообще странный какой-то у Вас ACL. Второго правила будет достаточно.

forum.lissyara.su

цыска не пингуется... разминка для ума)

цыска не пингуется... разминка для ума)

Услуги хостинговой компании Host-Food.ru

Re: цыска не пингуется... разминка для ума)

Re: цыска не пингуется... разминка для ума)

Re: цыска не пингуется... разминка для ума)

Re: цыска не пингуется... разминка для ума)

Re: цыска не пингуется... разминка для ума)

Re: цыска не пингуется... разминка для ума)