The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Несколько подетей на CISCO 2811 в интернет"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от eserden (ok) on 09-Май-13, 00:26 
Доброго времени суток! прошу помощи.
Есть Cisco 2811 c 2 интерфейсами. FA 0/0  с локальным адресом 10.3.14.1 и FA 0/1 c внешним адресом от провайдера
Появилась задача создать еще одну подсеть для доступа в интернет. но без доступа к сети 10.3.14.0

Пробовал: прописывал на CISCO sub интерфейс:
interface FA 0/0.2
description LAN
encapsulation dot1Q 1 native
ip address 10.100.0.1 255.255.255.0

Но получаю проблему в SDM из FireWaal пропадает интерфейс FA 0/0 т.е. не возможно управлять access list повешеным на нем из SDM.

И Как сделать NAT еще на 1 интерфейс?

прописывал просто второй ip на FA 0/0
прописываем на CISCO secondary адрес:
interface FA 0/0
description LAN
ip address 10.100.0.1 255.255.255.0 secondary
Запрещаю в фаеволе доступ с 10.100.0.0/24 на 10.3.14.0/24 кроме 10.3.14.1 и 10.3.14.5 (там живет DNS сервер)
все как бы хорошо но как заставитьустройства из этой подсети ходить в интернет

Заранее благодарен за  помощь!
P.S. сильно не пинайте Cisco вижу впервые.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Несколько подетей на CISCO 2811 в интернет"  –1 +/
Сообщение от Mr. Mistoffelees email on 09-Май-13, 19:27 
Привет,

>  P.S. сильно не пинайте Cisco вижу впервые.

Кошки не кусаются, они просто гуляют сами по себе :-)

Найдите ACL, который отвечает за NAT. В нем прописаны те внутренние адреса, которые проходят NAT. Добавьте в него еще одну строчку с новой подсетью.

WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от eserden (ok) on 10-Май-13, 01:33 
> Привет,
>>  P.S. сильно не пинайте Cisco вижу впервые.
> Кошки не кусаются, они просто гуляют сами по себе :-)
> Найдите ACL, который отвечает за NAT. В нем прописаны те внутренние адреса,
> которые проходят NAT. Добавьте в него еще одну строчку с новой
> подсетью.
> WWell,

Спасибо
ip nat inside source list 150 interface FastEthernet0/1 overload
единственная строчка отвечающая за NAT но list 150 больше нигде не прописан.. поэтому куда дописать еще одну строку я не предсталяю

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от Andrey (??) on 10-Май-13, 10:33 
>>>  P.S. сильно не пинайте Cisco вижу впервые.

Черт побери! Должна-же быть хоть какая-то преемственность знаний! Кто-то до вас это оборудование уже настраивал. Кто-то вам передавал рабочую конфигурацию.
Попробуйте спросить того, кто это настраивал до вас.
Если этот человек не идет на контакт - показывайте [почти] весь sh run здесь. Может быть сообща подскажем что вам нужно сделать, чтобы было счастье, а гадать что у вас в конфиге - дело неблагодарное.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от Mr. Mistoffelees email on 10-Май-13, 11:28 
Привет,

> ip nat inside source list 150 interface FastEthernet0/1 overload
>  единственная строчка отвечающая за NAT но list 150 больше нигде не
> прописан.. поэтому куда дописать еще одну строку я не предсталяю

list 150 и говорит о том, что в ACL под номером 150 прописаны те адреса, которые имеют право на NAT. Допишите в нем вашу новую подсеть. На консоли это выгладит примерно так:

conf t
ip access-list 150
permit ip 10.100.0.0 0.0.0.255 any


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от eserden (ok) on 10-Май-13, 15:12 
> Привет,
>> ip nat inside source list 150 interface FastEthernet0/1 overload
>>  единственная строчка отвечающая за NAT но list 150 больше нигде не
>> прописан.. поэтому куда дописать еще одну строку я не предсталяю
> list 150 и говорит о том, что в ACL под номером 150
> прописаны те адреса, которые имеют право на NAT. Допишите в нем
> вашу новую подсеть. На консоли это выгладит примерно так:
> conf t
> ip access-list 150
> permit ip 10.100.0.0 0.0.0.255 any

Вот кусок моего конфига с АСL :
И тут не смог найти никакого упоминания о ACL 150
Building configuration...

Current configuration : 18947 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cisco-2811
!
boot-start-marker
boot system flash:c2800nm-advsecurityk9-mz.124-25f.bin
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone PCTime 2
no ip source-route
!
!
ip cef
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
no ip bootp server
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ES_LAN$$FW_INSIDE$$ETH-LAN$
ip address 10.100.0.1 255.255.255.0 secondary
ip address 10.3.14.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $FW_OUTSIDE$$ES_WAN$$ETH-WAN$
ip address 91.210.118.ххх 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip inspect DEFAULT100 out
ip flow ingress
ip flow egress
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 91.210.118.ххх
!
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 150 interface FastEthernet0/1 overload
ip nat inside source static tcp 10.3.14.17 1280 91.210.118.ххх 1280 extendable
ip nat inside source static tcp 10.3.14.17 5000 91.210.118.ххх 5000 extendable
!
logging trap debugging
access-list 1 permit 10.3.14.5
access-list 1 permit 10.3.14.8
access-list 1 remark Auto generated by SDM Management Access feature
access-list 1 permit 10.3.14.9
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 10.3.14.31
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip host 10.100.0.0 host 10.3.14.1
access-list 100 permit ip 10.100.0.0 0.0.0.255 any
access-list 100 permit ip host 10.3.14.240 any
access-list 100 permit ip host 10.3.14.83 any
access-list 100 permit ip host 10.3.14.121 any
access-list 100 permit ip host 10.3.14.19 any
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq telnet
access-list 100 permit tcp host 10.3.14.9 host 10.3.14.1 eq telnet
access-list 100 permit tcp host 10.3.14.5 host 10.3.14.1 eq telnet
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq telnet
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.9 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.5 host 10.3.14.1 eq 22
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.164.229.52
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.193.198.52
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.153.71
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.152.72
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.152.74
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.153.68
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.153.69
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 193.19.153.70
access-list 100 permit ip 10.3.14.0 0.0.0.255 173.194.44.0 0.0.0.255
access-list 100 permit ip 10.3.14.0 0.0.0.255 173.194.70.0 0.0.0.255
access-list 100 permit ip 10.3.14.0 0.0.0.255 173.194.35.0 0.0.0.255
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 62.149.26.52
access-list 100 permit ip 10.3.14.0 0.0.0.255 host 212.158.160.120
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.9 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.5 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.9 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.5 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.9 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.5 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq cmd
access-list 100 deny   tcp any host 10.3.14.1 eq telnet
access-list 100 deny   tcp any host 10.3.14.1 eq 22
access-list 100 deny   tcp any host 10.3.14.1 eq www
access-list 100 deny   tcp any host 10.3.14.1 eq 443
access-list 100 deny   tcp any host 10.3.14.1 eq cmd
access-list 100 deny   udp any host 10.3.14.1 eq snmp
access-list 100 permit ip host 10.3.14.42 any
access-list 100 permit ip host 10.3.14.189 any
access-list 100 permit ip host 10.3.14.251 any
access-list 100 permit ip host 10.3.14.4 any
access-list 100 permit ip host 10.3.14.250 any
access-list 100 permit icmp any host 10.1.10.5
access-list 100 remark post-rule1(ip)
access-list 100 remark post-rule1(icpm)
access-list 100 remark post-rule1(icpm)
access-list 100 remark Internet Acces
access-list 100 permit ip host 10.3.14.31 any
access-list 100 permit ip any host 195.138.217.177
access-list 100 permit ip host 10.3.14.30 any
access-list 100 permit ip host 10.3.14.156 any
access-list 100 permit ip host 10.3.14.6 any
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1
access-list 100 permit ip any host 195.149.70.27
access-list 100 permit ip any host 212.1.66.227
access-list 100 permit ip any host 80.190.143.234
access-list 100 permit ip any host 80.190.143.232
access-list 100 permit ip any host 62.146.66.182
access-list 100 permit ip any host 94.178.223.228
access-list 100 permit ip any host 212.68.165.26
access-list 100 permit ip any host 195.64.225.13
access-list 100 permit ip any host 195.78.68.17
access-list 100 permit ip any host 193.17.46.21
access-list 100 permit ip any host 193.193.198.42
access-list 100 permit ip any host 193.193.198.41
access-list 100 permit ip any host 193.193.198.61
access-list 100 permit ip any host 193.29.204.6
access-list 100 permit ip any host 193.29.204.11
access-list 100 permit ip any host 193.29.204.7
access-list 100 permit ip any host 193.193.198.40
access-list 100 permit ip any host 194.88.206.104
access-list 100 permit ip any host 195.3.158.41
access-list 100 permit ip any host 80.91.187.254
access-list 100 permit ip any host 89.209.13.98
access-list 100 permit ip any host 91.205.17.93
access-list 100 permit ip any host 77.222.150.146
access-list 100 permit ip any host 195.93.204.10
access-list 100 permit ip any host 195.93.204.12
access-list 100 permit ip any host 195.93.204.9
access-list 100 permit ip any host 212.82.216.42
access-list 100 permit ip host 10.3.14.213 any
access-list 100 permit ip host 10.3.14.200 any
access-list 100 permit ip host 10.3.14.195 any
access-list 100 permit ip host 10.3.14.170 any
access-list 100 permit ip host 10.3.14.59 any
access-list 100 permit ip host 10.3.14.49 any
access-list 100 permit ip host 10.3.14.56 any
access-list 100 permit ip host 10.3.14.57 any
access-list 100 permit ip host 10.3.14.45 any
access-list 100 permit ip host 10.3.14.18 any
access-list 100 permit ip host 10.3.14.16 any
access-list 100 permit ip host 10.3.14.15 any
access-list 100 permit ip host 10.3.14.14 any
access-list 100 permit ip host 10.3.14.13 any
access-list 100 permit ip host 10.3.14.12 any
access-list 100 permit ip host 10.3.14.11 any
access-list 100 permit ip host 10.3.14.10 any
access-list 100 permit ip host 10.3.14.9 any
access-list 100 permit ip host 10.3.14.8 any
access-list 100 permit ip host 10.3.14.119 any
access-list 100 permit ip host 10.3.14.5 any
access-list 100 permit ip host 10.3.14.3 any
access-list 100 permit ip host 10.3.14.2 any
access-list 100 permit ip host 10.3.14.1 any
access-list 100 permit ip host 10.3.14.97 any
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip host 10.3.14.232 any
access-list 100 deny   ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit gre any any
access-list 101 deny ip 10.3.14.0 0.0.0.255 any
access-list 101 permit icmp any host 192.168.0.2 echo-reply
access-list 101 permit icmp any host 192.168.0.2 time-exceeded
access-list 101 permit icmp any host 192.168.0.2 unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip any any
access-list 102 remark Auto generated by SDM Management Access feature
access-list 102 remark SDM_ACL Category=1
access-list 102 permit ip host 10.3.14.31 any
access-list 102 permit ip host 10.3.14.9 any
access-list 102 permit ip host 10.3.14.5 any
access-list 102 permit ip host 10.3.14.8 any
access-list 103 remark Auto generated by SDM Management Access feature
access-list 103 remark SDM_ACL Category=1
access-list 103 permit ip host 10.3.14.31 any
access-list 103 permit ip host 10.3.14.9 any
access-list 103 permit ip host 10.3.14.5 any
access-list 103 permit ip host 10.3.14.8 any
no cdp run
!
!
control-plane
!
!
banner exec ^CCCC
% Password expiration warning.
-----------------------------------------------------------------------

-----------------------------------------------------------------------

!
line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 102 in
transport input telnet ssh
line vty 5 15
access-class 103 in
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от McS555 email(ok) on 13-Май-13, 11:37 
счас без 150 листа инет есть???
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от eserden (ok) on 13-Май-13, 23:01 
> счас без 150 листа инет есть???

как ни странно да


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от eserden (ok) on 13-Май-13, 23:04 
Решил все сбросить и переделать
Все работает до подключения easy vpn. как только подключается vpn вторая подсеть отваливается..
Подскажи че в чем может быть проблема.
Описание всего что сделал:

Вот так работает:

Код:

Building configuration...

Current configuration : 7800 bytes
!
! Last configuration change at 17:54:18 UTC Mon May 13 2013 by admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-2811
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

ip name-server 91.210.XXX.XXX
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-423590207
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-423590207
revocation-check none
rsakeypair TP-self-signed-423590207
!
!
crypto pki certificate chain TP-self-signed-423590207
certificate self-signed 01
  30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34323335 39303230 37301E17 0D313330 35313231 36353434
  395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 33353930
  32303730 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  B3EE357F FB510CF1 1D7FF3F1 FE067DE7 A6704F9A A397C406 E464AD9F 397DD629
  3649C003 90071657 9675F37F DEADC8DA 8BA53F6F 457CD4DC 64AFF8C3 C61A8B68
  7A210659 EE9BFC21 855F3C08 A254EF9C F6245D24 16BD0C5D FE7AF2F9 38FCDE2C
  BACE933B 045E883B 9B75B03F 6723E5BB C30392ED F9E9F68E 813427B4 A483CCAF
  02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
  23041830 168014FA 2A546D2E 452ED49D 74F086E0 54368FF6 D01D2330 1D060355
  1D0E0416 0414FA2A 546D2E45 2ED49D74 F086E054 368FF6D0 1D23300D 06092A86
  4886F70D 01010505 00038181 000F149F 9ED9ACAB A6985552 12E4190A 468C11B9
  F9B2303A 81F9EBAA 90FFF413 812D45CF 6BE042BB 87738D12 0A4B1FC1 911759E3
  8169D7DF DEE3695C 5822005B F848629E E900892C 7CCF2392 A769C860 B1B03990
  F03FF26B 78CEE11C 500837A7 17F34643 2F9BB9E2 E6222658 EB5575A9 1DAC6F11
  6F27D735 39E361E4 DB79BA88 81
     quit
!
!
license udi pid CISCO2811 sn FCZ122172S7
username ******
username *****
username ****
!
redundancy
!
!
!

!
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.139.1 255.255.255.0 secondary
ip address 10.3.14.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 91.210.XXX.XXX 255.255.255.252
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list nat-inet interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 91.210.XXX.XXX
!
ip access-list extended nat-inet
permit ip 192.168.139.0 0.0.0.255 any
permit ip 10.3.14.0 0.0.0.255 any
!
access-list 23 permit 10.3.14.8
access-list 23 remark SDM_ACL Category=16
access-list 23 permit 10.3.14.31
access-list 100 remark Auto generated by SDM Management Access feature
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 22
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq www
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 443
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq cmd
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq cmd
access-list 100 deny   tcp any host 10.3.14.1 eq telnet
access-list 100 deny   tcp any host 10.3.14.1 eq 22
access-list 100 deny   tcp any host 10.3.14.1 eq www
access-list 100 deny   tcp any host 10.3.14.1 eq 443
access-list 100 deny   tcp any host 10.3.14.1 eq cmd
access-list 100 deny   udp any host 10.3.14.1 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip host 10.3.14.31 any
access-list 101 permit ip host 10.3.14.8 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 permit ip host 10.3.14.31 any
access-list 102 permit ip host 10.3.14.8 any

!
!
!
!
!
control-plane
!
!
banner exec ^CCC
% Password expiration warning.
-----------------------------------------------------------------------
  

  
username <myuser> privilege 15 secret 0 <mypassword>
  
Replace <myuser> and <mypassword> with the username and password you want to
use.
  
-----------------------------------------------------------------------
^C
banner login ^CCC
-----------------------------------------------------------------------

-----------------------------------------------------------------------
^C
!
line con 0
login local
line aux 0
line vty 0 4
access-class 101 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 102 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end


Но стоит добавить easy vpn как пинги из дополнительной подсети (192.168.139.0/24) пропадают но в основной (10.3.14.0/24) все работает

Код:

Building configuration...

Current configuration : 7903 bytes
!
! Last configuration change at 17:54:18 UTC Mon May 13 2013 by admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-2811
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

ip name-server 91.210.XXX.XXX
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-423590207
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-423590207
revocation-check none
rsakeypair TP-self-signed-423590207
!
!
crypto pki certificate chain TP-self-signed-423590207
certificate self-signed 01
  30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34323335 39303230 37301E17 0D313330 35313231 36353434
  395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 33353930
  32303730 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  B3EE357F FB510CF1 1D7FF3F1 FE067DE7 A6704F9A A397C406 E464AD9F 397DD629
  3649C003 90071657 9675F37F DEADC8DA 8BA53F6F 457CD4DC 64AFF8C3 C61A8B68
  7A210659 EE9BFC21 855F3C08 A254EF9C F6245D24 16BD0C5D FE7AF2F9 38FCDE2C
  BACE933B 045E883B 9B75B03F 6723E5BB C30392ED F9E9F68E 813427B4 A483CCAF
  02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
  23041830 168014FA 2A546D2E 452ED49D 74F086E0 54368FF6 D01D2330 1D060355
  1D0E0416 0414FA2A 546D2E45 2ED49D74 F086E054 368FF6D0 1D23300D 06092A86
  4886F70D 01010505 00038181 000F149F 9ED9ACAB A6985552 12E4190A 468C11B9
  F9B2303A 81F9EBAA 90FFF413 812D45CF 6BE042BB 87738D12 0A4B1FC1 911759E3
  8169D7DF DEE3695C 5822005B F848629E E900892C 7CCF2392 A769C860 B1B03990
  F03FF26B 78CEE11C 500837A7 17F34643 2F9BB9E2 E6222658 EB5575A9 1DAC6F11
  6F27D735 39E361E4 DB79BA88 81
     quit
!
!
license udi pid CISCO2811 sn FCZ122172S7
username ******
username *****
username ****
!
redundancy
!
!
!
!
!
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group *** key 6 *****
mode network-plus
peer 89.XXX.XXX.34
peer 89.XXX.XXX.35
username **** password 6 *****
xauth userid mode local
!
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.139.1 255.255.255.0 secondary
ip address 10.3.14.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 91.210.XXX.XXX 255.255.255.252
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
ip forward-protocol nd
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list nat-inet interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 91.210.XXX.XXX
!
ip access-list extended nat-inet
permit ip 192.168.139.0 0.0.0.255 any
permit ip 10.3.14.0 0.0.0.255 any
!
access-list 23 permit 10.3.14.8
access-list 23 remark SDM_ACL Category=16
access-list 23 permit 10.3.14.31
access-list 100 remark Auto generated by SDM Management Access feature
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 22
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq www
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 443
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq cmd
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq cmd
access-list 100 deny   tcp any host 10.3.14.1 eq telnet
access-list 100 deny   tcp any host 10.3.14.1 eq 22
access-list 100 deny   tcp any host 10.3.14.1 eq www
access-list 100 deny   tcp any host 10.3.14.1 eq 443
access-list 100 deny   tcp any host 10.3.14.1 eq cmd
access-list 100 deny   udp any host 10.3.14.1 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip host 10.3.14.31 any
access-list 101 permit ip host 10.3.14.8 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 permit ip host 10.3.14.31 any
access-list 102 permit ip host 10.3.14.8 any

!
!
!
!
!
control-plane
!
!
banner exec ^CCC
% Password expiration warning.
-----------------------------------------------------------------------
  

  
username <myuser> privilege 15 secret 0 <mypassword>
  
Replace <myuser> and <mypassword> with the username and password you want to
use.
  
-----------------------------------------------------------------------
^C
banner login ^CCC
-----------------------------------------------------------------------

-----------------------------------------------------------------------
^C
!
line con 0
login local
line aux 0
line vty 0 4
access-class 101 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 102 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end

Отключаешь VPN
Просто удаляю привязку к выходному интерфейсу

Код:
conf t
fa 0/1
non crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1

Vpn Отваливается вторая подсеть начинает работать
вставляю эту строку обратно vpn подымается вторая подсеть отпадает из инета.

Никогда не думал ччто столько времени заберет задача "Организовать некоторым людям доступ в Интернет но без доступа к нашей локалке"

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Несколько подетей на CISCO 2811 в интернет"  +/
Сообщение от бен Бецалель on 16-Май-13, 16:27 

> Никогда не думал ччто столько времени заберет задача "Организовать некоторым людям доступ
> в Интернет но без доступа к нашей локалке"

да никаких проблем у этих некоторых людей не составит получить доступ к вашей локалке...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру