» Настройка Cisco оборудования

mxtvbk

Цитата:

В итоге файлы русификации не нужны?

в принципе нет , только при условии что версия выше 8.6 - можете выложить
еще раз спасибо

Есть такой вопросик - есть АДСЛ модем , воткнут в роутер цисковский, интерфейс для модема на циске 192,168,1,254, самого модема 192,168,1,1 - на можеме основной шлюз прописал 192,168,1,254 но со своей локалки так и не могу зайти на модем на прямую
Если я правильно понимаю - надо подшаманить циску, только что именно???

access-list на роутере CISCO есть? Нат включен? И что у вас шлюзом на модеме прописано? Вы уверены?

адрес компа 10,31,4,11
локальный адрес циски 10,31,4,1
Шлюз для компа 10,31,4,1
Локальные адреса менять нельзя

MagistrAnatol На модеме должен быть прописан дефолт шлюз через циску (192.168.1.254). Тогда зайдешь без проблем.
Если шлюза нет, тогда подключай модем непосредственно к компу, настраивай адрес 192.168.1.2, пиши на модеме шлюз, цепляй его опять на циску.
Либо если модем поддерживает режим командной строки, коннектись телнетом с циски и настраивай шлюз.

MagistrAnatol
А интернет как подключен? И что за модемом находится? Просто мне непонятно до конца кто для кого является шлюзом.

vlary
в том то и дело, что на модеме шлюз прописан 192.168.1.254 и ничего, я конечно перепроверю
onetosx
схема в принципе стандартная - циска 0 фейсом воткнута в локалку, на 1 фейс подключен АДСЛ модем в режиме бриджа.
Дозванивается interface Dialer1



Добавлено:
vlary
у меня была похожая ситуация когда стоял Cerio Control и я не мог достучаться до модема - пришлось запросы на 192.168.1.1(модем) в Cerio Control переадресовывать на адрес сетевой к которой подлючен модем

MagistrAnatol
решение простое - прописать сеть 10.31.4.0 на модеме, шлюзом указать адрес cisco 192.168.1.254. больше ничего делать не нужно

Тогда что на первом интерфейсе прописано? Есть адрес из сети модема?

onetosx
interface FastEthernet0/0 - локалка
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1 - для модема
description Link-to-ADSL-Internet-modem
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
Фейс модема
interface Dialer1
mtu 1492
ip ddns update hostname ....dyndns.org
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username ...@dsl.ukrtel.net password 0 12345678
!

Добавлено:
mxtvbk

Цитата:

решение простое

не помогло

Добавлено:
я вернул на модеме на 192,168,1,1
вторичным добавил 10,31,4,254
сейчас втыкаю дополнительно шнурок в модем, у меня 4 порта, и пока так работаю - но не прикольно

Полагаю, у вас весь трафик из локальной сети пуляется в НАТ.
Попробуйте создать роут-мап типа

route-map MODEM permit 10
match ip address 101
set interface FastEthernet0/1

access-list 101 permit ip 10.31.4.0 255.255.255.0 192.168.1.0 255.255.255.0

и применить его на интрефейс

interface FastEthernet0/0
ip policy route-map MODEM

Покажите правила трансляции.



Добавлено:
и access-list для ната

onetosx
вот вся конфа

Код:

!
! Last configuration change at 08:50:13 KYIV Tue Feb 26 2013
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c1841br
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone KYIV 2
clock summer-time KYIV recurring last Sun Mar 2:00 last Sun Oct 3:00
clock calendar-valid
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool wifi_dhcp
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 10.31.4.10
lease 30
!
!
no ip domain lookup
ip domain name .....mk.ua
ip host members.dyndns.org .....
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method dyndns
HTTP
add
remove
system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
interval minimum 28 0 0 0
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-261599588
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-261599588
revocation-check none
rsakeypair TP-self-signed-261599588
!
!
crypto pki certificate chain TP-self-signed-261599588
certificate self-signed 02
...
quit
username fishbone privilege 15 secret 5 ..
username jafar privilege 15 secret 5 ..
username antarey privilege 15 secret 5 ..
username antareyvpn password 0 ..
username kretvpn password 0 ...
!
!
!
!
!
bba-group pppoe global
!
!
interface Tunnel0
bandwidth 1024
ip address ..... 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
ip nhrp authentication nhrp
ip nhrp map 192.168... 21...
ip nhrp map multicast 21...
ip nhrp network-id 1
ip nhrp nhs 192.168.202.1
ip nhrp registration no-unique
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1
description Link-to-ADSL-Internet-modem
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer1
mtu 1492
ip ddns update hostname ....dyndns.org
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username ...@dsl.ukrtel.net password 0 12345678
!
router eigrp 1
redistribute connected
network 192.168.202.0
distribute-list 25 out
distribute-list 24 in
no auto-summary
!
ip local pool vpn_pool 10.31.4.200 10.31.4.230
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 150 interface Dialer1 overload
ip nat inside source list 170 interface Dialer1 overload
ip nat inside source static tcp 10.31.4.11 9966 interface Dialer1 9966
ip nat inside source static tcp 10.31.4.11 5651 interface Dialer1 5651
ip nat inside source static tcp 10.31.4.12 26666 interface Dialer1 26666
ip nat inside source static tcp 10.31.4.11 16666 interface Dialer1 16666
ip nat inside source static tcp 10.31.4.10 5655 interface Dialer1 5655
ip nat inside source static tcp 10.31.4.10 5670 interface Dialer1 5670
!
access-list 23 permit 192.168.72.24
access-list 23 permit 213.227.248.68
access-list 23 permit 10.31.0.0 0.0.0.255
access-list 23 permit 10.31.4.0 0.0.0.255
access-list 23 permit 217.77.210.200 0.0.0.7
access-list 23 permit 192.168.202.0 0.0.0.255
access-list 24 permit 192.168.0.0 0.0.255.255
access-list 24 permit 10.31.0.0 0.0.255.255
access-list 25 permit 192.168.202.3
access-list 25 permit 192.168.107.0 0.0.0.255
access-list 25 permit 10.31.4.0 0.0.0.255
access-list 70 permit 192.168.107.1
access-list 70 permit 192.168.107.10
access-list 70 permit 192.168.107.12
access-list 150 permit ip 192.168.1.0 0.0.0.255 any
access-list 150 deny ip 192.168.1.0 0.0.0.255 10.31.4.0 0.0.0.255
access-list 150 deny ip 10.31.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 170 permit ip host 10.31.4.11 any
access-list 170 permit ip host 10.31.4.12 any
access-list 170 permit ip host 10.31.4.10 any
access-list 170 permit ip host 10.31.4.14 any
access-list 170 permit ip host 10.31.4.18 any
access-list 170 permit ip host 10.31.4.5 any
access-list 170 permit ip host 10.31.4.201 any
access-list 170 permit ip host 10.31.4.2 any
snmp-server community public RO 23
snmp-server location Bratskoe-MKGAZ
snmp-server contact hostmater@mkgaz.mk.ua
!
!
!
control-plane
!
!
banner login ^C
-----------------------------------------------------------------------

        Welcom to ....

-----------------------------------------------------------------------
^C
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178460
ntp master 3
ntp server 192.43.224.18
ntp server 62.149.0.30 prefer
end

Цитата:

interface FastEthernet0/1
 description Link-to-ADSL-Internet-modem
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1

Это зачем ?

чехарда с 150-м и 170-м ACL. Вы все пихаете в НАТ.


Попробуйте
no ip nat inside source list 150 interface Dialer1 overload

и оставить только эти строчки:
access-list 170 deny ip 10.31.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 170 permit ip 10.31.4.0 0.0.0.255 any

Ну или хосты вместо сети прописать как у вас было.

onetosx
я разделил 150 для вайфай клиентов и 170 для локальных чтобы не путаться
access-list 170 permit ip 10.31.4.0 0.0.0.255 any - так я дам доступ в нет всем в локалке, а мне етого не надо

Добавлено:
мне все таки кажется , что при запросах из локальной сети на адрес модема 192.168.1.1 на циске
надо сделать перенаправление на FE0/1 192.168.1.254
только как ето правильно прописать ??

Добавлено:
tankistua
ето для файвая

MagistrAnatol

Цитата:

надо сделать перенаправление на FE0/1 192.168.1.254
только как ето правильно прописать ??

Вам onetosx все правильно подсказал - нужно исключить эту сеть из процесса NAT, route-map не придется для этого делать, просто отредактируйте access-list.

если я правильно понял надо добавить
access-list 101 permit ip 10.31.4.0 255.255.255.0 192.168.1.0 255.255.255.0
и убрать строку no ip nat inside source list 150 interface Dialer1 overload

Добавлено:
убрал no ip nat inside source list 150 interface Dialer1 overload
к модему доступ получил
но теперь другая проблема - клиенты не конектятся к файфаю - на устройствах пишет ошибка аутентификации.
Подскажите ето приколы модема или циски?

Млин...
Давайте схему сети рисуйте. Сложно понять на словах.

onetosx
Схема следующая
Есть локальная сеть 10.31.4.0/24
есть роутер cisco 1800
на нем фейсы: FE0/0 10.31.4.1
FE0/1 192.168.1.254
Interfese Dialer1
в FE0/1 воткнут АДСЛ модем ZXV10H108L 192,168,1,1
модем в режиме бриджа и поднят WIFI
Полную конфу циски я приводил на предыдущей странице
Мои андроид устройства WIFI видят - уровень сигнала зашкаливает, но к WIFI не подключаются - ошибка аутентификации.
Ноуты тоже не хотят конектится

Ну вы и извернулись.
Тогда ip nat inside на FE0/1 и access-list возвращайте. Все заработает.

MagistrAnatol Что-то ты одно лечишь, другое калечишь. Мы же с тобой, помнится, это дело решили еще 2 месяца назад. И все у тебя заработало, а теперь опять за рыбу грОши...
Верни ip nat inside на оба интерфейса, пропиши правильно акцесс листы.
И проверь, что у тебя в конфиге циски имеется ip routing, а не стоит no ip routing

MagistrAnatol
знаете толк в извращениях.

Тут только маппинг портов поможет - там 2 встречных нат-а, разрулить это не получится другим способом.

З.Ы. нормальные люди покупаю свитч и поднимают влан-ы, а модем используют по прямому назначению, а не для раздачи вайфая.

tankistua

Нет, там схема другая. Встречного НАТа нет, интерфесы разные. outside - Dialer1.

tankistua

Цитата:

нормальные люди покупаю свитч и поднимают влан-ы

согласен, но имеем то что имеем, покупать никто не будет, по крайней мере ближайшее время.
Ведь моя схема работала, просто иногда отваливался файфай, сейчас же вообще перестали конектится

Все разобрался, как я и догадывался проблема была в модеме, наш доблестный Укртелеком начудил с прошивками, и файвай тупо не подключался.
Всем спасибо за участие

День добрый!Помогите настроить коммутатор Cisco SB SG 200-50 для работы с IP телефоном Alcatel 4018. Телефон пришел заранее настроенным.При подключении напрямую работает, через коммутатор выдает ошибку "no tftp response". Заранее спасибо!!

Aydar2
Порты на коммутаторе в нужном VLAN? И покажите конфиг порта.

В том то и дело что не знаю что куда,это для меня темный лес, коммутатор счас на заводских настройках:

Interface Settings
Entry No.Interface Interface VLAN Mode AdministrativePVID Frame Type Ingress Filtering
......
18      GE18      Trunk      1      Admit All      Enabled
......

Port VLAN Membership
Interface Mode Administrative VLANs Operational VLANs
.....
GE18     Trunk     1UP      1UP
.....
Port to VLAN стоит на Untagged

Voice VLAN Settings
Voice VLAN ID:1
Remark CoS/802.1p:5(default)
DSCP:46
Dynamic Voice VLAN:Disable

Спасибо!!

Доброго времени суток. Прошу помощи..

Есть головной офис... и куча мелких.
Высшим начальством было принято стратегическое решение сети объединить по VPN.
Для этого было было куплено
Cisco C1921/K9 для головного офиса, на нём планируется поднимать сам сервер VPN
Cisco 881 router по штуке на мелкий офис, он будет клиентом. На нём будет производиться подключение к VpN серверу.
Так что бы пользователи просто включали компьютер и сразу оказывалис в нашей сети и могли обращаться к нашим серверам..
Большая циска будет иметь статику и мелкие тоже статические адреса.
Планируется это поднимать на l2tp.

obercot

а лучше на ipsec