вопрос по нату на маршрутизаторе

[-=Shadow=-]

Здравствуйте.

Есть вопрос по настройке НАТа на маршрутизаторе.

Есть три офиса. В головном офисе стоит маршрутизатор cisco серии 3500. Его рулит провайдер. Он обеспечивает выход в инет, также данный роутер является шлюзами двух локальных подсеток (два офиса). Возникла необходимость подключить к сети третий офис. Это было сделано с помощью двух новых роутеров 2851. Теперь третий офис видит (локальная сеть работает) сети первых двух офисов, но не может выйти в интернет, через головной офис.

Схема такая.

R0 - LAN: 10.20.30.0/23 , внешка 84.xxx.xx.xxx (циска провайдера в головном офисе)
R1 - LAN: 10.20.31.251, WAN: 192.168.10.1 (новая циска в головном офисе)
R2 - LAN: 10.20.29.251, WAN: 192.168.10.2 (новая циска в удаленном третьем офисе)

Между R1 и R2 настроен канал связи. Нужно, чтобы из сети R2, через R0 можно было выйти в инет.
На R1 default gateway стоит роутер R0.
Цепочка такая R2->R1>R0. Пробовал поднимать NAT на R1, но циска R0 все равно рубит пакеты наружу.

трасерт из сети 10.20.29.0 (R2), показывает:

tracing route to ya.ru [213.180.204.8]

Код: Выделить всё

over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  10.20.29.251 (LAN R2)
  2     1 ms    <1 ms    <1 ms  192.168.10.1 (WAN R1)
  3     2 ms     1 ms     1 ms  xx.xxx.xx.xxx (циска прова)
  4     *        *        *     Request timed out.
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.

#sh ver

Код: Выделить всё

Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(23),
 RELEASE SOFTWARE (fc1)
[skip]
Cisco 2851 (revision 53.50) with 249856K/12288K bytes of memory.
Processor board ID FCZ12017237
2 Gigabit Ethernet interfaces
1 Virtual Private Network (VPN) Module

#sh running-config (с циски R1 головного офиса)

Код: Выделить всё

[skip]
interface GigabitEthernet0/0
 ip address 10.20.31.251 255.255.254.0
 no ip proxy-arp
 ip nat outside
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.10.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
 duplex auto
 speed auto

 ip nat inside source list 1 interface GigabitEthernet0/0 overload
 
 access-list 1 permit 192.168.10.0 0.0.0.255
[skip]

Что еще необходимо настроить, чтобы обеспечить выход в интернет сети 29 (R2) ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dirty.Eager]

R1 - LAN: 10.20.31.251, WAN: 192.168.10.1 (новая циска в головном офисе)

Какой же это WAN, если 192.168.10.1 на том интерфейсе, который ip nat inside?

R2 - LAN: 10.20.29.251, WAN: 192.168.10.2 (новая циска в удаленном третьем офисе)

А подсеть 10.20.29.0 где расположена?
Дай конфиги с R2.

[-=Shadow=-]

R1 - LAN: 10.20.31.251, WAN: 192.168.10.1 (новая циска в головном офисе)

Какой же это WAN, если 192.168.10.1 на том интерфейсе, который ip nat inside?

R2 - LAN: 10.20.29.251, WAN: 192.168.10.2 (новая циска в удаленном третьем офисе)

А подсеть 10.20.29.0 где расположена?
Дай конфиги с R2.

Подсеть 10.20.29.0 расположена в третьем офисе.

Вот кусок конфига с циски R2

Код: Выделить всё

#sh conf
interface GigabitEthernet0/0
 description $ETH-LAN$
 ip address 10.20.29.251 255.255.255.0
 ip access-group 101 in
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 description $ETH-WAN$
 ip address 192.168.10.2 255.255.255.0
 duplex auto
 speed auto
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.20.31.251
ip route 10.20.29.0 255.255.255.0 10.20.31.251 permanent
ip route 10.20.30.0 255.255.254.0 192.168.10.1 permanent
ip route 192.168.10.0 255.255.255.0 192.168.10.1 permanent

на время тестирования Acl на ней отключил


на R1

Код: Выделить всё

interface GigabitEthernet0/0
 ip address 10.20.31.251 255.255.254.0
 ip access-group 101 in
 ip nat outside
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.20.31.254 permanent
ip route 10.20.29.0 255.255.255.0 192.168.10.2 permanent
ip route 192.168.10.0 255.255.255.0 192.168.10.2 permanent
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
 
access-list 1 permit 192.168.10.0 0.0.0.255

[Dirty.Eager]

Подсеть 10.20.29.0 расположена в третьем офисе.

Теперь понятно, почему нет доступа в инет. Эта подсеть у тебя нигде не натится. Ни на R0, ни на R1, ни на R2.
Возможно несколько вариантов:
=== Вариант 1
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R0 натить 10.20.29.0/24 в адрес 84.xxx.xx.xxx (добавить)
3) На R1 ничего не натить (убрать нат, который есть)
4) На R2 ничего не натить.
плюсы: R1 и R2 не занимаются ненужными натами
минусы: требуется перенастройка R0 со стороны, видимо, провайдера.

=== Вариант 2
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить 10.20.29.0/24 в адрес 10.20.31.251 (добавить строчку в access-list 1)
3) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251 (почти как оно и есть, это только для доступа самого R2 в инет)
4) На R2 ничего не натить.
плюсы: не нужно трогать R0
минусы: более заморочено, чем вариант 1

=== Вариант 3
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251
3) На R2 натить подсеть 10.20.29.0/24 в адрес 192.168.10.2
Плюсов не вижу, зато можно как следует поизгаляться над маршрутизаторами
Подсчет трафика на внутренние хосты, например, будет максимально затруднен.

[-=Shadow=-]

Подсеть 10.20.29.0 расположена в третьем офисе.

Теперь понятно, почему нет доступа в инет. Эта подсеть у тебя нигде не натится. Ни на R0, ни на R1, ни на R2.
Возможно несколько вариантов:
=== Вариант 1
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R0 натить 10.20.29.0/24 в адрес 84.xxx.xx.xxx (добавить)
3) На R1 ничего не натить (убрать нат, который есть)
4) На R2 ничего не натить.
плюсы: R1 и R2 не занимаются ненужными натами
минусы: требуется перенастройка R0 со стороны, видимо, провайдера.

=== Вариант 2
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить 10.20.29.0/24 в адрес 10.20.31.251 (добавить строчку в access-list 1)
3) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251 (почти как оно и есть, это только для доступа самого R2 в инет)
4) На R2 ничего не натить.
плюсы: не нужно трогать R0
минусы: более заморочено, чем вариант 1

=== Вариант 3
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251
3) На R2 натить подсеть 10.20.29.0/24 в адрес 192.168.10.2
Плюсов не вижу, зато можно как следует поизгаляться над маршрутизаторами
Подсчет трафика на внутренние хосты, например, будет максимально затруднен.

Спасибо большое за подсказку! Попробую вариант 2. Первый вариант сложнее с точки зрения того, что нужно долбить провайдера.
Сделаю нат, отпишусь как результат.

[-=Shadow=-]

Подсеть 10.20.29.0 расположена в третьем офисе.

Теперь понятно, почему нет доступа в инет. Эта подсеть у тебя нигде не натится. Ни на R0, ни на R1, ни на R2.
Возможно несколько вариантов:
=== Вариант 1
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R0 натить 10.20.29.0/24 в адрес 84.xxx.xx.xxx (добавить)
3) На R1 ничего не натить (убрать нат, который есть)
4) На R2 ничего не натить.
плюсы: R1 и R2 не занимаются ненужными натами
минусы: требуется перенастройка R0 со стороны, видимо, провайдера.

=== Вариант 2
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить 10.20.29.0/24 в адрес 10.20.31.251 (добавить строчку в access-list 1)
3) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251 (почти как оно и есть, это только для доступа самого R2 в инет)
4) На R2 ничего не натить.
плюсы: не нужно трогать R0
минусы: более заморочено, чем вариант 1

=== Вариант 3
1) На R0 натить 10.20.30.0/23 в адрес 84.xxx.xx.xxx (как оно и есть)
2) На R1 натить хост 192.168.10.2 в адрес 10.20.31.251
3) На R2 натить подсеть 10.20.29.0/24 в адрес 192.168.10.2
Плюсов не вижу, зато можно как следует поизгаляться над маршрутизаторами
Подсчет трафика на внутренние хосты, например, будет максимально затруднен.

Сделал так. На R1 добавил access-list

Код: Выделить всё

interface GigabitEthernet0/0
 ip address 10.20.31.251 255.255.254.0
 ip access-group 101 in
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.10.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.20.31.254 permanent
ip route 10.20.29.0 255.255.255.0 192.168.10.2 permanent
ip route 192.168.10.0 255.255.255.0 192.168.10.2 permanent
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
!
access-list 1 permit 10.20.29.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255

пинг с машины в сети 10.20.31.0

Код: Выделить всё

C:\Documents and Settings\Администратор>ping 10.20.29.251

Обмен пакетами с 10.20.29.251 по с 32 байт данных:

Ответ от 10.20.31.251: число байт=32 время=3мс TTL=254
Ответ от 10.20.31.251: число байт=32 время=3мс TTL=254
Ответ от 10.20.31.251: число байт=32 время=2мс TTL=254
Ответ от 10.20.31.251: число байт=32 время=1мс TTL=254

Статистика Ping для 10.20.29.251:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 3 мсек, Среднее = 2 мсек

C:\Documents and Settings\Администратор>

пинг с юниксовой машины сети 10.20.31.0

Код: Выделить всё

# ping 10.20.29.251
PING 10.20.29.251 (10.20.29.251): 56 data bytes
36 bytes from 84.xxx.xx.xxx: Redirect Host(New addr: 10.20.31.251)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 f63f   0 0000  3f  01 3352 10.20.31.245  10.20.29.251

64 bytes from 10.20.31.251: icmp_seq=0 ttl=254 time=3.684 ms
36 bytes from 84.xxx.xx.xxx: Redirect Host(New addr: 10.20.31.251)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 f644   0 0000  3f  01 334d 10.20.31.245  10.20.29.251

[skip]
--- 10.20.29.251 ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 3.684/41.852/154.039/64.774 ms

Доступ к машине 10.20.29.60 пропал. Это тестовая машина в удаленном офисе. Я на нее заходил через Radmin и смотрел как пинги идут наружу.
Доступ по телнету к циске R2 10.20.29.251 тоже пропал. Выкрутился, зайдя сначала на циску R1 10.20.31.251, а с нее уже на R2. Попинговал с нее интернет, теперь пакеты уходят наружу.

[mak_v_]

оффтоп, но помоему мне знаком фаффтор темы ?

[-=Shadow=-]

оффтоп, но помоему мне знаком фаффтор темы ?

Нет. Никогда не был на Украине.

[-=Shadow=-]

Проверил работу NAT. В общем, нат работает, в интернет удаленых пользователей пускает. Единственное, в таком виде транслируется все адреса в локальной сети, а не только адрес циски

[zingel]

вланы юзать?

[-=Shadow=-]

вланы юзать?

Пока нет. Судя по всему, надо прописать что-то типа, nonat для пакетов внутренней сети. Правда, пока фиг знает как.

[zingel]

Код: Выделить всё

ip nat inside source static <внутренние> route-map nonat 

скорее всего

[Dirty.Eager]

вланы юзать?

Пока нет. Судя по всему, надо прописать что-то типа, nonat для пакетов внутренней сети. Правда, пока фиг знает как.

Ну так, а acces-list'ы тогда зачем?

Код: Выделить всё

ip nat inside source list 120 interface GigabitEthernet0/0 overload
!
access-list 120 deny ip 10.20.29.0 0.0.0.255 10.20.30.0 0.1.255
access-list 120 deny ip host 192.168.10.2 10.20.30.0 0.1.255
access-list 120 permit ip 10.20.29.0 0.0.0.255 any
access-list 120 permit ip host 192.168.10.2 any

Вот так, например.

[-=Shadow=-]

вланы юзать?

Пока нет. Судя по всему, надо прописать что-то типа, nonat для пакетов внутренней сети. Правда, пока фиг знает как.

Ну так, а acces-list'ы тогда зачем?

Код: Выделить всё

ip nat inside source list 120 interface GigabitEthernet0/0 overload
!
access-list 120 deny ip 10.20.29.0 0.0.0.255 10.20.30.0 0.1.255
access-list 120 deny ip host 192.168.10.2 10.20.30.0 0.1.255
access-list 120 permit ip 10.20.29.0 0.0.0.255 any
access-list 120 permit ip host 192.168.10.2 any

Вот так, например.

Код: Выделить всё

access-list 120 deny ip 10.20.29.0 0.0.0.255 10.20.30.0 [b]0.1.255[/b]
% Incomplete command

Точно так? Маска четыре октета

[Dirty.Eager]

вланы юзать?

Пока нет. Судя по всему, надо прописать что-то типа, nonat для пакетов внутренней сети. Правда, пока фиг знает как.

Ну так, а acces-list'ы тогда зачем?

Код: Выделить всё

ip nat inside source list 120 interface GigabitEthernet0/0 overload
!
access-list 120 deny ip 10.20.29.0 0.0.0.255 10.20.30.0 0.1.255
access-list 120 deny ip host 192.168.10.2 10.20.30.0 0.1.255
access-list 120 permit ip 10.20.29.0 0.0.0.255 any
access-list 120 permit ip host 192.168.10.2 any

Вот так, например.

Код: Выделить всё

access-list 120 deny ip 10.20.29.0 0.0.0.255 10.20.30.0 [b]0.1.255[/b]
% Incomplete command

Точно так? Маска четыре октета

Нет, конечно, я ошбися. Должно быть не 0.1.255 , а 0.0.1.255.
Это, кстати, не маска, а wildcard.