kraver1388 Опубликовано 12 апреля, 2016 · Жалоба Добрый день,возникла проблема с портами. По 80 и 443 на 192.168.241.2 доступ есть. По остальным портам доступа нет. Куда копать? ip nat inside source static tcp 192.168.241.2 80 213.33.162.14 80 extendable ip nat inside source static tcp 192.168.241.2 443 213.33.162.14 443 extendable ip nat inside source static udp 192.168.241.3 1719 213.33.162.14 1719 extendable ip nat inside source static tcp 192.168.241.3 1720 213.33.162.14 1720 extendable ip nat inside source static tcp 192.168.241.3 2776 213.33.162.14 2776 extendable ip nat inside source static udp 192.168.241.3 2776 213.33.162.14 2776 extendable ip nat inside source static tcp 192.168.241.3 2777 213.33.162.14 2777 extendable ip nat inside source static udp 192.168.241.3 2777 213.33.162.14 2777 extendable ip nat inside source static tcp 192.168.241.3 3089 213.33.162.14 3089 extendable ip nat inside source static udp 192.168.241.3 3089 213.33.162.14 3089 extendable ip nat inside source static udp 192.168.241.3 3478 213.33.162.14 3478 extendable ip nat inside source static tcp 192.168.241.2 7070 213.33.162.14 7070 extendable ip nat inside source static udp 192.168.241.2 10000 213.33.162.14 10000 extendable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 13 апреля, 2016 · Жалоба А вы уверены что на этих портах трафик слушается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepashka Опубликовано 13 апреля, 2016 · Жалоба 213.33.162.14 - это ip-адрес из пула или интерфейс самого маршрутизатора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 13 апреля, 2016 · Жалоба а можно более подробный конфиг выложить? может там что-то лишнее настроено, или наоборот недонастроено. и как проверяли, что нет доступа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 13 апреля, 2016 · Жалоба а можно более подробный конфиг выложить? может там что-то лишнее настроено, или наоборот недонастроено. и как проверяли, что нет доступа? interface GigabitEthernet0/0 ip address 192.168.2.1 255.255.255.252 ip nat inside ip virtual-reassembly in ip policy route-map ISP duplex auto speed auto ! interface GigabitEthernet0/1 description INTERNET ip address 87.229.218.198 255.255.255.252 no ip redirects no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto no cdp enable ! interface GigabitEthernet0/2 ip address 213.33.162.14 255.255.255.252 ip nat outside no ip virtual-reassembly in duplex auto speed auto no cdp enable ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotary ip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary ip nat inside source list NAT interface GigabitEthernet0/1 overload ip nat inside source static tcp 10.1.1.4 25 87.229.218.198 25 extendable ip nat inside source static tcp 10.1.9.15 7612 87.229.218.198 80 extendable ip nat inside source static tcp 10.1.1.4 443 87.229.218.198 443 extendable ip nat inside source static udp 10.1.9.15 500 87.229.218.198 500 extendable ip nat inside source static tcp 10.1.1.4 587 87.229.218.198 587 extendable ip nat inside source static tcp 10.1.1.4 995 87.229.218.198 995 extendable ip nat inside source static tcp 10.1.1.6 1723 87.229.218.198 1723 extendable ip nat inside source static udp 10.1.9.15 4500 87.229.218.198 4500 extendable ip nat inside source static tcp 10.1.9.15 7612 87.229.218.198 7612 extendable ip nat inside source static tcp 192.168.241.2 80 213.33.162.14 80 extendable ip nat inside source static tcp 192.168.241.2 443 213.33.162.14 443 extendable ip nat inside source static udp 192.168.241.3 1719 213.33.162.14 1719 extendable ip nat inside source static tcp 192.168.241.3 1720 213.33.162.14 1720 extendable ip nat inside source static tcp 192.168.241.3 2776 213.33.162.14 2776 extendable ip nat inside source static udp 192.168.241.3 2776 213.33.162.14 2776 extendable ip nat inside source static tcp 192.168.241.3 2777 213.33.162.14 2777 extendable ip nat inside source static udp 192.168.241.3 2777 213.33.162.14 2777 extendable ip nat inside source static tcp 192.168.241.3 3089 213.33.162.14 3089 extendable ip nat inside source static udp 192.168.241.3 3089 213.33.162.14 3089 extendable ip nat inside source static udp 192.168.241.3 3478 213.33.162.14 3478 extendable ip nat inside source static tcp 192.168.241.2 7070 213.33.162.14 7070 extendable ip nat inside source static udp 192.168.241.2 10000 213.33.162.14 10000 extendable ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL ip nat inside destination list 103 pool SCOPIA_PF_POOL ip route 0.0.0.0 0.0.0.0 87.229.218.197 ip route 0.0.0.0 0.0.0.0 213.33.162.13 ! ip access-list extended FIREWALL permit tcp any any permit udp any any ip access-list extended NAT permit ip any any ! logging host 192.168.254.254 logging host 10.1.254.254 ! route-map ISP permit 10 match ip address 110 set ip next-hop 213.33.162.13 ! route-map ISP permit 20 match ip address 111 set ip next-hop 87.229.218.197 ! ! access-list 10 permit any access-list 102 permit udp any any range 10000 65535 access-list 103 permit udp any any range 4000 5000 access-list 103 permit tcp any any range 4000 5000 access-list 110 permit ip host 192.168.241.2 any access-list 110 permit ip host 192.168.241.3 any access-list 111 permit ip 192.168.0.0 0.0.255.255 any access-list 111 permit ip 10.0.0.0 0.255.255.255 any Как то так. BORDER#show access-list Standard IP access list 10 10 permit any (2643 matches) Extended IP access list 102 10 permit udp any any range 10000 65535 Extended IP access list 103 10 permit udp any any range 4000 5000 20 permit tcp any any range 4000 5000 (5686 matches) Extended IP access list 110 10 permit ip host 192.168.241.2 any (1785 matches) 20 permit ip host 192.168.241.3 any Extended IP access list 111 10 permit ip 192.168.0.0 0.0.255.255 any (21298843 matches) 20 permit ip 10.0.0.0 0.255.255.255 any (1598317 matches) Extended IP access list FIREWALL 10 permit tcp any any 20 permit udp any any Extended IP access list NAT 10 permit ip any any (1371611 matches) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 апреля, 2016 · Жалоба Где ip nat inside source list NAT interface GigabitEthernet0/2 overload если вы по 213.33.162.14 хотите достучаться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 13 апреля, 2016 · Жалоба Где ip nat inside source list NAT interface GigabitEthernet0/2 overload если вы по 213.33.162.14 хотите достучаться? И даже с наличием этой команды ничего не изменилось,открыт только 443 порт,хотя на соседнем интерфейсе все в порядке,я больше склоняюсь к корявым аксес листам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба был подобный случай. как решали: 1) в ацл разрешили все - permit all. вначлае вроде бы помогло, но потом проблема вернулась. 2) правили ацл прям походу проблемы. помогало, но на время. 3) когда все задолбало (а проблемы проявлялись почти полгода) обновили иос - проблема была решена. пробовал такой путь решения проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 14 апреля, 2016 · Жалоба был подобный случай. как решали: 1) в ацл разрешили все - permit all. вначлае вроде бы помогло, но потом проблема вернулась. 2) правили ацл прям походу проблемы. помогало, но на время. 3) когда все задолбало (а проблемы проявлялись почти полгода) обновили иос - проблема была решена. пробовал такой путь решения проблемы? Не,руки никак не доходят плотно посидеть за железкой,за наводку спасибо,попробую иос обновить.Отпишу результат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба ну там маза была вначале не в обновлении иоса, а именно в разрешении всего в ацл. и смотришь что происходит. если все работает - добавляешь ограничивающие строчки по одной, все применяешь по ходу исправления и смотришь что работает/не работает. если способо не помого - попробуй иос обновить. у нас многие проблемы решались таким образом - обновлением иоса, или просто перезаливкой того же. только конфиг в блокнотик сохрани и на тфтп сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver88 Опубликовано 14 апреля, 2016 · Жалоба ну там маза была вначале не в обновлении иоса, а именно в разрешении всего в ацл. и смотришь что происходит. если все работает - добавляешь ограничивающие строчки по одной, все применяешь по ходу исправления и смотришь что работает/не работает. если способо не помого - попробуй иос обновить. у нас многие проблемы решались таким образом - обновлением иоса, или просто перезаливкой того же. только конфиг в блокнотик сохрани и на тфтп сервер. Так и поступлю,если меня на тряпки не порвут))Железка в работе 24 часа в сутки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба она работает как граничный роутер в конторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver88 Опубликовано 14 апреля, 2016 · Жалоба она работает как граничный роутер в конторе? Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 14 апреля, 2016 (изменено) · Жалоба ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotaryip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary ... ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL ip nat inside destination list 103 pool SCOPIA_PF_POOL ... access-list 102 permit udp any any range 10000 65535 - все порты в трансляциях (кроме 10000) ниже access-list 103 permit udp any any range 4000 5000 - все порты в трансляциях ниже access-list 103 permit tcp any any range 4000 5000 - все порты в трансляциях ниже И какой иной результат вы хотите получить, если зарезали все порты, на которые проброс пишете? (и зачем их так порезали - непонятно) udp 192.168.241.3 1719 213.33.162.14 1719 extendable tcp 192.168.241.3 1720 213.33.162.14 1720 extendable ... udp 192.168.241.3 3478 213.33.162.14 3478 extendable ? Изменено 14 апреля, 2016 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver88 Опубликовано 14 апреля, 2016 · Жалоба ip nat pool SCOPIA_DESKTOP_POOL 192.168.241.2 192.168.241.2 netmask 255.255.255.0 type rotaryip nat pool SCOPIA_PF_POOL 192.168.241.3 192.168.241.3 netmask 255.255.255.0 type rotary ... ip nat inside destination list 102 pool SCOPIA_DESKTOP_POOL ip nat inside destination list 103 pool SCOPIA_PF_POOL ... access-list 102 permit udp any any range 10000 65535 - все порты в трансляциях (кроме 10000) ниже access-list 103 permit udp any any range 4000 500 - все порты в трансляциях ниже access-list 103 permit tcp any any range 4000 5000 - все порты в трансляциях ниже И какой иной результат вы хотите получить, если зарезали все порты, на которые проброс пишете? (и зачем их так порезали - непонятно) udp 192.168.241.3 1719 213.33.162.14 1719 extendable tcp 192.168.241.3 1720 213.33.162.14 1720 extendable ... udp 192.168.241.3 3478 213.33.162.14 3478 extendable ? Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба странно, что интегратор поставил один роутер. ои=ни все любят делать по фен-шую, те ставят пару - один active, другой standby. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 14 апреля, 2016 (изменено) · Жалоба Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать. Понятно, знакомая ситуация. access-list 102 permit ip any any access-list 103 permit ip any any потом, если паранойя припрет, поменяете. Изменено 14 апреля, 2016 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 14 апреля, 2016 · Жалоба странно, что интегратор поставил один роутер. ои=ни все любят делать по фен-шую, те ставят пару - один active, другой standby. Уже наверно active-active в моде) Денег было мало,а так бы поставили) Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать. Понятно, знакомая ситуация. access-list 102 permit ip any any access-list 103 permit ip any any потом, если паранойя припрет, поменяете. Спасибо,попробую,отпишу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба ну, как грица скупой плотит дважды. так же и тут. в защиту интеграторов могу сказать, что частенько людей перекидывают с проекта на проект только так. "мол, тут делать почти нечего - а там тааааакой проект. а, ты не знаешь ничего? ничего страшного, разберетесь походу". сам сталкивался с таким, больше полугода занимаеся такой же хней - из серии all-in-one. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 14 апреля, 2016 · Жалоба ну, как грица скупой плотит дважды. так же и тут. в защиту интеграторов могу сказать, что частенько людей перекидывают с проекта на проект только так. "мол, тут делать почти нечего - а там тааааакой проект. а, ты не знаешь ничего? ничего страшного, разберетесь походу". сам сталкивался с таким, больше полугода занимаеся такой же хней - из серии all-in-one. Да я их и не обвиняю,каждому своё,кому то сдавать проект быстрее,кому то эксплуатировать это потом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 14 апреля, 2016 · Жалоба ну, что тут могу сказать. когда я принимал работу (был представителем заказчика, так скать) - я совал нос везде без зазрения совести (железо, конфиги, маркировка). спрашивал по полной что-зачем-почему. потому что, потом спросят с меня - а пачиму ничаво не работает??? кто-то же принимал от вас или была проверка неделя-месяц, или договор с ними на тп? про приемку работ в опсосах. в первый раз мало что принимают. обычно замечания - это норма. хотя бы 1 мелкое, но должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver1388 Опубликовано 14 апреля, 2016 · Жалоба ну, что тут могу сказать. когда я принимал работу (был представителем заказчика, так скать) - я совал нос везде без зазрения совести (железо, конфиги, маркировка). спрашивал по полной что-зачем-почему. потому что, потом спросят с меня - а пачиму ничаво не работает??? кто-то же принимал от вас или была проверка неделя-месяц, или договор с ними на тп? про приемку работ в опсосах. в первый раз мало что принимают. обычно замечания - это норма. хотя бы 1 мелкое, но должно быть. Про приемку в гос.конторах.Всем на все насрать.Лишь бы в сроки уложить,а то наругают сверху. Тем более в этом проекте циска шла считай бонусом,главная цель была видеоконференцсвязь. А в опсосах люди на этом деньги зарабатывают,там другой уровень требований. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kraver88 Опубликовано 15 апреля, 2016 · Жалоба Порезали не мы,а рукожопый интегратор,нам теперь это расхлебывать. Понятно, знакомая ситуация. access-list 102 permit ip any any access-list 103 permit ip any any потом, если паранойя припрет, поменяете. Заработало,спасибо. На выходные зачищу аксес листы нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...