The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 871 как шлюз для других подсетей"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 11-Авг-09, 05:12 
Всем привет!

Имею циско 871 и 2 провайдера.
1ый провайдер: белый ИП, отличная скорость, дешевый, но нет внутренних ресурсов.
2ой провайдер: серый ИП (есть белый, но не используеться), скорость в мир не акти, дорогой, но есть бесплатные внутренние ресурсы.

Настраиваю циску как шлюз, так чтобы в инет мог ходить через 1го прова, а интру со 2го.
Все получаеться, но только с компов из моей подсети, те кто в одном свитче со мной (2 пров.), а те кто с другой подсети, не могут даже пинговать циску.

Сеть 2го прова: 10.0.0.0/8

Помогите, кто сможет, большое спасибо!!!

Вот конфиг:


!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password 7 ********
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-2936622101
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2936622101
revocation-check none
rsakeypair TP-self-signed-2936622101
!
!
crypto pki certificate chain TP-self-signed-2936622101
certificate self-signed 01
  3082024F ...........................
.........
.........
.........
      quit
dot11 syslog
ip cef table adjacency-prefix validate
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
   import all
   network 10.10.10.0 255.255.255.248
   default-router 10.10.10.1
   lease 0 2
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip domain name yourdomain.com
!
!
!
!
no spanning-tree vlan 1
vtp mode transparent
username admin privilege 15 password 7 ********
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
no shutdown
switchport access vlan 1
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description INET
ip address 94.0.0.85 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description LAN
ip address 10.200.7.250 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip default-gateway 10.200.7.1
ip forward-protocol nd
ip route 10.0.0.0 255.0.0.0 FastEthernet4
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool INET 94.0.0.85 94.0.0.85 netmask 255.255.255.240
ip nat inside source list 1 pool INET overload
!
access-list 1 permit any
no cdp run
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 1 in
privilege level 15
transport input  ssh
!
scheduler max-task-time 5000
end

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 11-Авг-09, 06:00 
>[оверквотинг удален]
>line con 0
> no modem enable
>line aux 0
>line vty 0 4
> access-class 1 in
> privilege level 15
> transport input  ssh
>!
>scheduler max-task-time 5000
>end

А как второй провайдер подключен? он я так понимаю в циску не заходит?
можно схемку поподробнее плиз


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 11-Авг-09, 07:03 
>А как второй провайдер подключен? он я так понимаю в циску не
>заходит?
>можно схемку поподробнее плиз

1ый в FastEthernet4 (WAN порт по умолчанию).
2ой в FastEthernet0.
к FastEthernet0 соответственно привязан Vlan1.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 11-Авг-09, 08:16 
>>А как второй провайдер подключен? он я так понимаю в циску не
>>заходит?
>>можно схемку поподробнее плиз
>
>1ый в FastEthernet4 (WAN порт по умолчанию).
>2ой в FastEthernet0.
>к FastEthernet0 соответственно привязан Vlan1.

вот оно как.
Скажи еще какая у тебя в локалке адресация сети?
Я так понимаю адресация твоей локалки должна совпадать с адресацией сети второго прова и никакого НАТ для него не нужно, это так?

У тебя:
  interface Vlan1
    description LAN
    ip address 10.200.7.250 255.255.255.0

то есть сеть 10.200.7.0/24

а клиентам ты выдаеш:
ip dhcp pool sdm-pool
   import all
   network 10.10.10.0 255.255.255.248
   default-router 10.10.10.1
этот диапозон не входит в 10.200.7.0/24
что за роутер 10.10.10.1 ? это шлюз прова?

Можно все таки подробнее все это изложить, иначе я из конфига непойму адресацию локалки и прова.

После настройки адресаци тебе нужно, будет запретить в акцесс листе для ната идущие из твоей сети до второго прова пакеты, для этого используй extended акцесс листы а не standard

и думаю вот это убрать нужно:
ip route 10.0.0.0 255.0.0.0 FastEthernet4

В общем нужно поподробней описания схемы адресации, и физического соединения сети
Постораемси помоч

  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 11-Авг-09, 10:09 
>[оверквотинг удален]
> Я так понимаю адресация твоей локалки должна совпадать с адресацией сети
>второго прова и никакого НАТ для него не нужно, это так?
>
>
> У тебя:
>  interface Vlan1
>    description LAN
>    ip address 10.200.7.250 255.255.255.0
>
> то есть сеть 10.200.7.0/24

у меня да, я сам и циска нахожусь в сети 10.200.7.0/24
и все пользователи этой сети видят циску
но есть и другие пользователи, подключенные тоже ко второму прову, но у них
другая сетка,например 10.108.1.0/24 или 10.104.31.0/24

>а клиентам ты выдаеш:
> ip dhcp pool sdm-pool
>   import all
>   network 10.10.10.0 255.255.255.248
>   default-router 10.10.10.1
>этот диапозон не входит в 10.200.7.0/24
> что за роутер 10.10.10.1 ? это шлюз прова?

тут я ни чо не писал, это по дефолту в циске написано, я ни кому айпишники не выдаю, просто не затер, оно ведь не работает.

>Можно все таки подробнее все это изложить, иначе я из конфига непойму
>адресацию локалки и прова.
>В общем нужно поподробней описания схемы адресации, и физического соединения сети
>Постораемси помоч

Списибо большое за быстрые ответы.
вот http://kemit.su/image.png ссылка на схему, как смог так нарисовал.

т.е. подсети
10.200.7.0/24
10.108.1.0/24
10.104.31.0/24
находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя шлюзы меняют на 10.200.7.250 и у них все должно пахать, но пока только 10.200.7.0/24 подсеть видит этот шлюз.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от mario email(ok) on 11-Авг-09, 10:36 
>[оверквотинг удален]
>
>т.е. подсети
>10.200.7.0/24
>10.108.1.0/24
>10.104.31.0/24
>находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
>
>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>пока только 10.200.7.0/24 подсеть видит этот шлюз.

заведите все сети на данный маршрутизатор ...
у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи адреса с разных сеток вашей локалки.
ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не загнеться конечно ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 11-Авг-09, 10:44 
>[оверквотинг удален]
>>
>>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>>пока только 10.200.7.0/24 подсеть видит этот шлюз.
>
>заведите все сети на данный маршрутизатор ...
>у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи
>адреса с разных сеток вашей локалки.
>ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не
>загнеться конечно ...

тоже вариант, если пров не порежет тэги влановские

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 11-Авг-09, 11:30 
>заведите все сети на данный маршрутизатор ...
>у вас свичевая карточка на нее нарежде вланы, на вланы повесьте айпи
>адреса с разных сеток вашей локалки.
>ну и на удаленных офисах маршрутизите все через данный маршрутизер... если не
>загнеться конечно ...

не вариант, допустим ИП из свитча сети 10.104.31.0/8 не будет работать на свитче в сети 10.200.7.0/8
провайдер не даст.
у прова тоже свои вланы.
Я понимаю что еслибы вообще разные подсети друг друга не видели, так ведь видят....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 11-Авг-09, 10:39 
>[оверквотинг удален]
>
>т.е. подсети
>10.200.7.0/24
>10.108.1.0/24
>10.104.31.0/24
>находятся в разный частях города, их нужно пропустить через мой шлюз 10.200.7.250
>
>у них есть свой шлюз, например 10.108.1.1 или 10.104.31.1, они у себя
>шлюзы меняют на 10.200.7.250 и у них все должно пахать, но
>пока только 10.200.7.0/24 подсеть видит этот шлюз.

тогда вам нужно узнать шлюз провайдера который соединяет все эти подсети (он должен быть из 10.200.7.0/24)
и направить маршруты на этот шлюз:


роуты:
no ip route 10.0.0.0 255.0.0.0 FastEthernet4
ip route 10.108.1.0 255.255.255.0 IP-gate-PROV
ip route 10.104.31.0 255.255.255.0 IP-gate-PROV

Акцесс лист для нат (только для твоей подсети):
  no access-list 1 permit any
  no ip nat inside source list 1 pool INET overload

  access-list 101 deny ip 10.200.7.0 0.0.0.255 10.108.1.0 0.0.0.255
  access-list 101 deny ip 10.200.7.0 0.0.0.255 10.104.31.0 0.0.0.255
  access-list 101 permit ip 10.200.7.0 0.0.0.255 any
  
  ip nat inside source list 101 pool INET overload


А на шлюзах в других частях города если тоже cisco:
ip route 10.200.7.0 255.255.255.0 IP-gate2-PROV
  


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 11-Авг-09, 11:37 
>тогда вам нужно узнать шлюз провайдера который соединяет все эти подсети (он
>должен быть из 10.200.7.0/24)
>и направить маршруты на этот шлюз:
>
>
>роуты:
> no ip route 10.0.0.0 255.0.0.0 FastEthernet4
> ip route 10.108.1.0 255.255.255.0 IP-gate-PROV
> ip route 10.104.31.0 255.255.255.0 IP-gate-PROV

не вижу в этом смысла, так как мне надо направлять на моего прова где хорошая скорость в мир и низкая цена.

>  no access-list 1 permit any
>  no ip nat inside source list 1 pool INET overload
>
>
>  access-list 101 deny ip 10.200.7.0 0.0.0.255 10.108.1.0 0.0.0.255
>  access-list 101 deny ip 10.200.7.0 0.0.0.255 10.104.31.0 0.0.0.255
>  access-list 101 permit ip 10.200.7.0 0.0.0.255 any
>
>  ip nat inside source list 101 pool INET overload
>

с этим скорее всего соглашусь, но опять же только для моей подсетки :(

>А на шлюзах в других частях города если тоже cisco:
> ip route 10.200.7.0 255.255.255.0 IP-gate2-PROV

моего оборудования там нет, а к провайдеровскому доступа нет :)


Спасибо ОГРОМНОЕ всем за помощь!!!
Жду еще предложений...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 11-Авг-09, 15:28 
>Жду еще предложений...

Значит так. Покупаете сетевую карту за 150 рублей и втыкаете в неё второго провайдера, а в первую сетевую карту втыкаете первого провайдера. И никакая циска не нужна. Пропишите просто на компе пару маршрутов.

Если у вас несколько сетевых устройств, то да, маршрутизатор понадобится. Насколько я помню в 871-ой циске VLAN-ов на свиче нет, поэтому наши возможности ограничены. Лучше всего обоих провайдеров через коммутатор воткнуть во внешний интерфейс циски Fa4, и назначить на Fa4 2 ip-адреса. Соответственно внутренний коммутатор с четырьмя портами и завязанным на них интерфейсом Vlan1 можно использовать для внутренних нужд.

Вот обрывки конфига, которые относятся ко всему вышесказанному:

interface fa4
  ip address 94.0.0.85 255.255.255.240
  ip address 10.200.7.250 255.255.255.0 secondary
  ip nat outside

interface vlan1
  ip address 192.168.0.1 255.255.255.0
  ip nat inside
! тут ваша приватная сеть, адресацию можете выбирать, какая вам нравится, я взял сеть 192.168.0.0/24

ip route 0.0.0.0 0.0.0.0 94.0.0.81
! 94.0.0.81 предположительно шлюз вашего первого провайдера, какой он в точности, я не знаю
ip route 10.0.0.0 255.0.0.0 10.200.7.1

Ну и конечно надо сделать NAT, даже 2 NAT'а, для Интернета и внутренних ресурсов.
ip nat pool INET 94.0.0.85 94.0.0.85 netmask 255.255.255.240
ip nat inside source list 100 pool INET overload
access-list 100 deny ip any 10.0.0.0 0.255.255.255
access-list 100 permit ip any any

ip nat pool LOCAL 10.200.7.250 10.200.7.250 netmask 255.255.255.0
ip nat inside source list 101 pool LOCAL overload
access-list 101 permit ip any 10.0.0.0 0.255.255.255


К сожалению, сам я такой изврат с двумя натами ни разу не делал, поэтому не гарантирую, что так заработает :). Возможно, придётся с Route-map'ами позаморачиваться.
Обязательно на внешний интерфейс надо повесить access-list, вида deny any any, чтобы вашим интернетом люди из локальных сетей типа 10.200.7.0/24 не пользовались.
access-list 110 deny ip any any
interface Fa4
  ip access-group 110 in


Втыкать и ваш компьютер, и всю локальную сеть в один и тот же внутренний интерфейс (vlan1) я не советую, потому что любой человек из локальной сети сможет, зная ваш адрес, пользоваться вашим интернетом. Конечно можно ограничить доступ acces-list'ом, но опять же, ip-адрес можно подделать (если вы выключите свой компьютер, то любой может пользоваться вашим ip-адресом). Хотя если интернет безлимитный, то такая схема не особо страшна. Всегда можно будет без потерь всё исправить, если будут означенные проблемы, то есть на бабки не попадёте. Правда для этого нужно, чтобы ваш второй провайдер давал вам адресов столько, сколько нужно (из сети 10.200.7.0/24), по крайней мере 2 - для циски и для компьютера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (??) on 11-Авг-09, 16:06 
>Значит так. Покупаете сетевую карту за 150 рублей и втыкаете в неё
>.....
>.....

Пробовал на FreeBSD, пришел к тому же что только одна подсеть может лазить...

Буду теперь все это переваривать.
Думаю что тема пока не закрыта.
О результатах отпишу позже.
Всем спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (??) on 11-Авг-09, 16:14 
>Насколько я помню в 871-ой циске VLAN-ов на свиче нет, поэтому наши возможности
>ограничены.

В старой прошивке да, а в новой "c870-advsecurityk9-mz.124-15.T6" это исправлено.
Потому думаю должно работать все так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 11-Авг-09, 16:37 
>[оверквотинг удален]
>Настраиваю циску как шлюз, так чтобы в инет мог ходить через 1го
>прова, а интру со 2го.
>Все получаеться, но только с компов из моей подсети, те кто в
>одном свитче со мной (2 пров.), а те кто с другой
>подсети, не могут даже пинговать циску.
>
>Сеть 2го прова: 10.0.0.0/8
>
>Помогите, кто сможет, большое спасибо!!!
>

Ага, значит хождение всех кого ни попадя из локальной сети в ваш Интренет является целью, а не нежелательным последствием :). Тут я однако не сразу понял.
В этом случае на интерфейс Fa4 вешаем провайдера 1, а на интерфейс Vlan1 всех от провайдера 2. Поскольку шлюз может быть только из той же сети, что и компьютер, то напрямую шлюзом циска сможет быть только для сети 10.200.7.0. Если у вас нет доступа к маршрутизаторам второго провайдера (а только во власти этих маршрутизаторов будет перенаправлять пакеты из сетей 10.108.1.0/24 и 10.104.31.0/24 на вашу циску), то остаётся только вариант поднимать L2TP, PPTP или Easy VPN сервер на вашей циске и чтобы все желающие к нему покдлючались.

Конфиг будет примерно таким:
interface Fa4
  ip address 94.0.0.85 255.255.255.240
  ip nat ouside
interface Vlan1
  ip address 10.200.7.250 255.255.255.0
  ip nat inside

ip route 0.0.0.0 0.0.0.0 94.0.0.81
ip route 10.0.0.0 255.0.0.0 10.200.7.1

ip nat inside source list 1 interface fa4 overload

access-list 1 permit 10.0.0.0 0.255.255.255

Как делать PPTP сервер, не пишу, так как сам его никогда не делал. Про Easy VPN серверу могу проконсультировать, это если выбор таки падёт на него.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (??) on 11-Авг-09, 18:21 
>[оверквотинг удален]
>interface Vlan1
>  ip address 10.200.7.250 255.255.255.0
>  ip nat inside
>
>ip route 0.0.0.0 0.0.0.0 94.0.0.81
>ip route 10.0.0.0 255.0.0.0 10.200.7.1
>
>ip nat inside source list 1 interface fa4 overload
>
>access-list 1 permit 10.0.0.0 0.255.255.255

Ну да, все так и есть...

>Как делать PPTP сервер, не пишу, так как сам его никогда не
>делал. Про Easy VPN серверу могу проконсультировать, это если выбор таки
>падёт на него.

А тут что первое, что второе мне темный лес, ни когда не делал, даже не знаю теперь, ограничиться тем что есть или идти до конца, но повторюсь что темный лес...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 12-Авг-09, 02:49 
  Попробуйте поговорить с провайдером, может он согласиться замаршрутизировать ваши сетки.
Что ему стоит прописать маршруты, помоему не слишком проблемно, но зато никаких VPN городить не нужно будет. Хотя помоему, если пров маршруты не пропишет то вы и vpn не соедините, так как маршрутизаторы доступны не будут, если только через интернет, но он у второго прова вы говорите дорогой и медленный.

  А если извратиться и попробовать на интерфейсах цисковских для второго прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в других частях города и шлюзом для других частей города указать твой 10.200.7.250, тогда они типа будут в одной сети.

Вообще мне кажется поговорить с провом в любом случае стоит на тему объединения твоих сетей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 12-Авг-09, 04:49 
>[оверквотинг удален]
>не будут, если только через интернет, но он у второго прова
>вы говорите дорогой и медленный.
>
>  А если извратиться и попробовать на интерфейсах цисковских для второго
>прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в
>других частях города и шлюзом для других частей города указать твой
>10.200.7.250, тогда они типа будут в одной сети.
>
> Вообще мне кажется поговорить с провом в любом случае стоит на
>тему объединения твоих сетей.

Тут как раз не стоит провайдеру знать про это. Так как я буду его лишать денег, чтоб его абоненты шли в мир не через него (пров2) а его конкурента (пров1).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (??) on 12-Авг-09, 06:00 
>[оверквотинг удален]
>>прова маску не 255.255.255.0 ставить а 255.0.0.0, у себя и в
>>других частях города и шлюзом для других частей города указать твой
>>10.200.7.250, тогда они типа будут в одной сети.
>>
>> Вообще мне кажется поговорить с провом в любом случае стоит на
>>тему объединения твоих сетей.
>
>Тут как раз не стоит провайдеру знать про это. Так как я
>буду его лишать денег, чтоб его абоненты шли в мир не
>через него (пров2) а его конкурента (пров1).

:-)

Тогда пробуй маску сети менять на интерфейсах для второго прова на 255.0.0.0 (если сетки забриджованы внутри прова, то мож прокатит), хотя из твоего рисунка-схемы видно что у прова, направленных на тебя интерфейсах маска 255.255.255.0, если это так, то невижу больше выхода. Мож кто что посоветует еще дельное?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 12-Авг-09, 10:24 

>Тогда пробуй маску сети менять на интерфейсах для второго прова на 255.0.0.0
>(если сетки забриджованы внутри прова, то мож прокатит), хотя из твоего
>рисунка-схемы видно что у прова, направленных на тебя интерфейсах маска 255.255.255.0,
>если это так, то невижу больше выхода. Мож кто что посоветует
>еще дельное?

А в чём проблема PPTP-сервер поднять? Не думаю, что это сложно. При этом на компы не надо будет ставить никакого дополнительного программного обеспечения, так как винда изначально умеет быть PPTP-клиентом. Многие провайдеры этим пользуются и раздают Интернет через PPTP.
Если компов очень уж много и неохота на всех них настраивать подключение, то можно в каждую из удалённых сетей поставить по маршрутизатору и поднять простейший GRE-туннель с вашей 871-ой циской.

Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :) Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров сети и с маской /21, и /20, и даже /16.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от dispay666 (ok) on 12-Авг-09, 11:01 
>[оверквотинг удален]
>так как винда изначально умеет быть PPTP-клиентом. Многие провайдеры этим пользуются
>и раздают Интернет через PPTP.
>Если компов очень уж много и неохота на всех них настраивать подключение,
>то можно в каждую из удалённых сетей поставить по маршрутизатору и
>поднять простейший GRE-туннель с вашей 871-ой циской.
>
>Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :)
>Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и
>проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров
>сети и с маской /21, и /20, и даже /16.

Так а как ты подцепишся по PPtP по внутренней сетке прова №2 ? только через инет, а он как говорилось:
   "2ой провайдер: серый ИП (есть белый, но не используеться), скорость в мир не акти, дорогой"
Да и смысл тогда раздавать инет от первого прова, если он пойдет как инет второго + инет первого

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 12-Авг-09, 11:34 

>
> Так а как ты подцепишся по PPtP по внутренней сетке прова
>№2 ? только через инет, а он как говорилось:
>   "2ой провайдер: серый ИП (есть белый, но не используеться),
>скорость в мир не акти, дорогой"
>Да и смысл тогда раздавать инет от первого прова, если он пойдет
>как инет второго + инет первого

Зачем через Интернет? Через внутреннюю сеть второго провайдера. Я так понимаю, из сетей
10.104.31.0/24 и 10.108.1.0/24 есть доступ к адресу 10.200.7.250. Просто сети разные, поэтому надо поднимать туннель, чтобы не зависеть от маршрутизаторов второго провайдера и их настройки.
О, вот вам ещё вариант - proxy-server, если конечно ваша циска его поддерживает. Но с этим связан определённый гемор, так как придётся этот прокси-сервер настраивать в каждом приложении, которое хочет интернет (интернет эксплорер, icq и пр.)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 12-Авг-09, 16:10 
http://darksid.blog.ru/8203475.html
А вот хорошая ссылочка, как делать PPTP-сервер, сам только что по этому примеру сделал. Работает.
В вашем случае будет примерно так:

username pptp password FFFFFFFFFFFFFFFFFF#Создаём локального пользователя для авторизации
vpdn enable#Включаем virtual private dialup network
!
vpdn-group 1#Создаём группу
accept-dialin#Указываем что будет входящее подключение
  protocol pptp#Типа протокол
  virtual-template 1#С каким шаблоном ассоциировать группу
interface Virtual-Template1#Создаём шаблон
ip address 192.168.10.1 255.255.255.0#Создаём виртуальную сеть, в которой будут крутиться все ваши PPTP-клиенты
ip nat inside#это чтобы интернет им раздавать
no keepalive
peer default ip address pool pptp_pool#Из какого пула выдавать адреса для этого подключения
ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
!
ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 13-Авг-09, 09:14 
>[оверквотинг удален]
> ip nat inside#это чтобы интернет им раздавать
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов

Хорошо, спасибо еще раз, буду пробовать седня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 13-Авг-09, 16:36 
>[оверквотинг удален]
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация >только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов
>

Хорошо, спасибо еще раз, буду пробовать седня.


Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
А из других, даже пинга нет.
Меня смущает такой момент...пишу...
ip default-gateway 10.200.7.1
это шлюз для этой сетки.
вообще работает ли это, когда прописываешь?
такое ощущение что нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от fantom (??) on 13-Авг-09, 17:56 
>[оверквотинг удален]
>Хорошо, спасибо еще раз, буду пробовать седня.
>
>
>Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
>А из других, даже пинга нет.
>Меня смущает такой момент...пишу...
>ip default-gateway 10.200.7.1
>это шлюз для этой сетки.
>вообще работает ли это, когда прописываешь?
>такое ощущение что нет.

ip route 0.0.0.0 0.0.0.0 10.200.7.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от vnn (ok) on 13-Авг-09, 18:03 

>
>Короче все сделал,по VPN подключаюсь из сети 10.200.7.0/24
>А из других, даже пинга нет.
>Меня смущает такой момент...пишу...
>ip default-gateway 10.200.7.1
>это шлюз для этой сетки.
>вообще работает ли это, когда прописываешь?
>такое ощущение что нет.

Default gateway у тебя же шлюз первого провайдера для выхода в Интернет. Для доступа к сетям второго провайдера пропиши:
ip route 10.0.0.0 255.0.0.0 10.200.7.1

2 шлюза по умолчанию, боюсь, иметь не получится :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 14-Авг-09, 05:32 
>Default gateway у тебя же шлюз первого провайдера для выхода в Интернет.
>Для доступа к сетям второго провайдера пропиши:
>ip route 10.0.0.0 255.0.0.0 10.200.7.1
>
>2 шлюза по умолчанию, боюсь, иметь не получится :)

понятно, 2 не получиться. Попробую так сделать, но чот кажеться что ip route не поможет.
и вообще можно ли на влан прописать шлюз или в общем на циску. Ведь придеться на нее выходить, даже из сети 10.0.0.0./8

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 27-Авг-09, 10:37 
>[оверквотинг удален]
> ip nat inside#это чтобы интернет им раздавать
> no keepalive
> peer default ip address pool pptp_pool#Из какого пула выдавать адреса для
>этого подключения
> ppp encrypt mppe auto#Включаем кодирование(по другому mppe я назвать не могу)
>
> ppp authentication ms-chap#Тип аутентификации если использовать mppe то аутентификация только ms-chap
>
>!
>ip local pool pptp_pool 192.168.10.2 192.168.10.254#Сам пул адресов

Все получилось, работает!!!

Пинг проходит и соответственно подключение по VPN тоже, из других подсетей.

Спасибо всем ОГРОМНОЕ, особое спасибо vnn!!!

Тема закрыта!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 13-Авг-09, 09:20 
>Забриджеванные сети? Что за нелепость, зачем это могло бы понадобиться провайдеру? :)
>Уж ставили бы тогда коммутатор, он же бридж, и дешевле, и
>проще. Кстати многие так и делают. Мне приходилось видеть у провайдеров
>сети и с маской /21, и /20, и даже /16.

сетка прова разделена на вланы, так проще искать злоумышленников и тп, и тех кто вирусует.
это для того чтобы не весь город падал, а дом или два.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от bmonk (ok) on 14-Авг-09, 10:06 
может я повторяюсь, но тем не менее..
вопрос 1-й
пингуется ли циска (10.200.7.250) из других подсетей, а она должна пинговаться
вопрос 2-й
что является шлюзом для компов, подключенных к маршрутизатору, который стоит рядом с циской
вопрос 3-й -риторический )
для компов из других сетей шлюзом по умолчанию являются соответствующие роутеры
вопрос 4-й
интернет от второго прова идет через один маршрутизатор или с каждого машрутизатора прямой доступ в нет


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Cisco 871 как шлюз для других подсетей"  +/
Сообщение от TARANTINO (ok) on 14-Авг-09, 10:59 
>может я повторяюсь, но тем не менее..
>вопрос 1-й
>пингуется ли циска (10.200.7.250) из других подсетей, а она должна пинговаться

нет не пингуется
>вопрос 2-й
>что является шлюзом для компов, подключенных к маршрутизатору, который стоит рядом с
>циской

шлюзом в каждой сети служит адрес сети с "1" на конце (10.200.0.0/24 - 10.200.0.1)
>вопрос 3-й -риторический )
>для компов из других сетей шлюзом по умолчанию являются соответствующие роутеры

ответ в вопросе 2
>вопрос 4-й
>интернет от второго прова идет через один маршрутизатор или с каждого машрутизатора
>прямой доступ в нет

каждый в конечном итоге завязывается на узле, в каждом доме стоит свой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру