Нат не натит...

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Нат не натит...

Непрочитанное сообщение Div » 2009-06-18 10:50:10

Необходимо чтобы все ИП адреса входящие с модемов Group-Async натились на входе (inside) в реальный адрес...
Вот есть такой кофиг

Код: Выделить всё

!
interface FastEthernet3/0.84
 encapsulation dot1Q 84
 ip address 195.ххх.ууу.29 255.255.255.0
 ip virtual-reassembly
 no cdp enable
 crypto map EXT_map
!
interface Group-Async1
 ip unnumbered FastEthernet3/0.84
 ip nat inside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer in-band
 dialer idle-timeout 3600 either
 dialer-group 1
 async mode dedicated
 peer default ip address pool dialin
 ppp authentication chap callin PPP_AUTH
 group-range 65 94
 crypto map EXT_map
!
ip local pool dialin 10.0.0.1 10.0.0.30 
!
ip nat pool dilain_nat 195.ххх.ууу.19 195.ххх.ууу.19 prefix-length 24
ip nat inside source list 100 pool dialin_nat overload
!
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
!
Так при
sh ip nat trans
- пусто, а при
sh ip nat stat
Показывается

Код: Выделить всё

Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Inside interfaces:
  Async65, Async66, Async67, Async68, Async69, Async70, Async71, Async72
  Async73, Async74, Async75, Async76, Async77, Async78, Async79, Async80
  Async81, Async82, Async83, Async84, Async85, Async86, Async87, Async88
  Async89, Async90, Async91, Async92, Async93, Async94, Group-Async1
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 8] access-list 100 pool dialin_nat refcount 0
Queued Packets: 0
Т.е. нат вааще не показывается... Где я ошибся? и почему таблица ната вааще не показывается?
С уважением Сергей

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Нат не натит...

Непрочитанное сообщение ---nebo--- » 2009-06-18 11:16:12

Добавьте в interface FastEthernet3/0.84

Код: Выделить всё

ip nat outside
...участки под застройку в живописном месте Интернет

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-18 11:27:06

А смысл? у меня адресов для outside нет... зачем? если на входе (inside) натится в реальный адрес и далее идет по маршруту по умолчанию...
С уважением Сергей

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Нат не натит...

Непрочитанное сообщение ---nebo--- » 2009-06-18 11:51:42

на маршрутике два интерфейса :
1-й смотрит (грубо говоря) в локальную сеть
2-й смотрит в нет

для работы ната(with PAT Overload в вашем случае) на цисках нужно
1) определить АЦЛ (что вы сделали)
2) определить пул адресов (сделали)
3) связать пул, ацл и тип ната
4) прописать на внутренним интерфейсе R(if-config)#ip nat inside
5) прописать на внешнем интерфейсе R(if-config)#ip nat outside

сделайте, если не поличится - напишите и дальше думать :smile:
...участки под застройку в живописном месте Интернет

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-18 12:58:42

Сделал... :) У меня на других, а их несколько..., субинтерфейсах, VPN IPSec тунели легли.... :( Наверное не все так просто.... У них у всех аннамберед ИП общего интерфейса Fa3/0...
С уважением Сергей

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-19 12:06:15

Так можно или нет поднять нат аутсайд на суб интерфейсе??? У меня тунели на других суб интерфейсах отрываются , если я нат аутсайд на одном из них, не относящимся к випин тунелю, делаю...
С уважением Сергей

detx
сержант
Сообщения: 245
Зарегистрирован: 2009-02-24 11:12:57
Откуда: Нижний Новгород

Re: Нат не натит...

Непрочитанное сообщение detx » 2009-06-19 13:04:28

Div писал(а):Так можно или нет поднять нат аутсайд на суб интерфейсе??? У меня тунели на других суб интерфейсах отрываются , если я нат аутсайд на одном из них, не относящимся к випин тунелю, делаю...
А почему бы нет ))

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-19 13:36:29

Так я же и говорю, что при конфиге как в начале и взведении на суб интерфейсе, относящемуся к Group-Async (ip nat inside), ip nat outside, у меня легли ipsec тунели на других суб интерфейсах... почему???
С уважением Сергей

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-23 12:27:46

Так, с натом разобрался - натит... Теперь другая бяка, с установкой на

Код: Выделить всё

!
interface FastEthernet3/0.84
 encapsulation dot1Q 84
 ip address 195.ххх.ууу.29 255.255.255.0
 ip virtual-reassembly
 no cdp enable
 crypto map EXT_map
!
ip nat outside
перестают работать все тунели которые цепляются на разные суб.интерфейсы и на этот в том числе...
Почему???
Ведь должно натится все, что попадает под этот аксес-лист

Код: Выделить всё

access-list 100 permit ip 10.0.0.0 0.0.0.255 any
А это конкретно тока сетка с префиксом 24 :(
up
С уважением Сергей

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-06-29 14:03:55

up
С уважением Сергей

bekhterev
рядовой
Сообщения: 24
Зарегистрирован: 2009-03-09 19:23:49

Re: Нат не натит...

Непрочитанное сообщение bekhterev » 2009-07-18 0:45:09

Конкретно для начала в

Код: Выделить всё

interface FastEthernet3/0.84
 encapsulation dot1Q 84
 ip address 195.ххх.ууу.29 255.255.255.0
 ip virtual-reassembly
 no cdp enable
 crypto map EXT_map
!
Всавь

Код: Выделить всё

ipnat outside
Да и нафига тебе extend acl? создай простой:

Код: Выделить всё

access-list 10 permit 10.0.0.0 0.0.0.255
Покажи что у тебя в:

Код: Выделить всё

 crypto map EXT_map
Что делаю, то и пишу
http://behterev.su/

Div
сержант
Сообщения: 168
Зарегистрирован: 2007-11-19 10:36:57

Re: Нат не натит...

Непрочитанное сообщение Div » 2009-07-29 6:21:10

Вы предыдущий сообщение читали?...

Код: Выделить всё

ip nat outside
как тока ставлю, так все туннели и падают... В этом весь и вопрос...
Про екстендед аксес лист... А есть большая разница???
Про crypto map EXT_map - там много всего, выйду из отпуска продолжим разговор
С уважением Сергей