[ Iznogud @ 31.08.2007. 13:28 ] @
|
| Dve lokacije su povezane Frame Relay-om. Cisco ruteri su podeseni i moguc je ping sa jednog na drugi ruter (ethernet interfejse koji su na lokalnim LAn-ovima). Medjutim problem je sto iz ni iz jednog lana ne radi ping ka onom drugom. Podesen je default GW na stanicama u lanu (ethernet interface na routerima je GW).
U cemu bi mogao biti problem? Nisam podesavao access-liste, zadrazano je default stanje - da li bi one mogle biti problem?
Ako je to potencijalni proble, sta zapravo treba biti dozvoljeno u access-listama da bi ta dva LAN-a "videla" jedan drugi?
|
[ markom @ 31.08.2007. 13:49 ] @
Za početak je najbolje da ukineš sve access liste i da vidiš da li radi bez njih. Ako radi, onda znaš da je problem u njima.
[ MihailoM @ 31.08.2007. 15:08 ] @
Probaj da na računar u jednom LAN-u staviš statičku rutu ka drugom LAN-u pomoću komande route add.
[ Milan Andjelkovic @ 31.08.2007. 17:42 ] @
Statička ruta na računaru neće mnogo otkriti. Ako je gateway u toj statičkoj ruti isti kao i prethodno pomenuti default gateway (a iz opisane postavke bi trebalo da jeste) onda apsolutno ništa nećemo saznati i ništa se ne menja osim načina na koji je računar odlučio gde da pošalje paket (a odluka je ista).
@Iznogud
Da li samo ping ne radi ili uopšte bilo kakav pristup? Šta kaže traceroute recimo?
[ Marcony @ 31.08.2007. 18:54 ] @
Ja sam za ovo sto markom kaze... Access liste.
Daj nam da vidimo access liste (ako moze) pa da resavamo problem.
[ Iznogud @ 31.08.2007. 21:07 ] @
Pa to sam hteo da pitam zapravo, kada nema definisanih access-lista da li to znaci da je SVE DOZVOLJENO ili SVE ZABRANJENO? Drugim recima, da bi racunar iz LAN koristio ruter kao GW da li to explicitno mora biti dozvoljeno kroz access-listu na tom ruteru? Da li svaki servis koji zeli proci kroz ruter mora biti dozvoljen kroz AC?
Radi se o ruterima serije 1720 i 1841....
[ Marcony @ 01.09.2007. 09:43 ] @
Poslednja stavka svake access liste je "deny any any". Sve iznad toga je na tebi sta ces ti definisati.
Ako nema definisanih access listi, onda je sve dozvoljeno. Ali... ako si ranije imao access listu koja je bila primenjena na neki interfejs, pa si obrisao tu listu, a nisi je sklonio sa interfejsa, onda taj interfejs nece raditi jer ne postoji access lista koja bi njime upravljala.
Postavi nam ovde running konfiguraciju rutera pa da ti odmah kazemo sta je problem.
[ Iznogud @ 01.09.2007. 10:43 ] @
Evo run conf 1. rutera ciji je ethernet interface na LAN-u 10.202.4.0
Code:
Building configuration...
Current configuration : 2230 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname suboticaFR
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$7t1D$22.YVGZqrMLULK0K0gnxz.
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip domain name yourdomain.com
!
username cisco privilege 15 secret 5 $1$FPSw$qPoQYftKTA87WgoutWaxw0
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 10.202.4.8 255.255.252.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
bandwidth 2000
ip address 10.1.10.1 255.255.255.0
encapsulation frame-relay IETF
frame-relay interface-dlci 100
frame-relay lmi-type ansi
!
ip classless
ip route 192.168.100.0 255.255.255.0 10.1.10.2
!
ip http server
ip http access-class 23
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 23 permit 10.202.4.0 0.0.0.255
!
control-plane
Conf.2. rutera koji je na mrezi 192.168.100.0
Code:
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
memory-size iomem 25
ip subnet-zero
!
!
interface Serial0
bandwidth 1000
ip address 10.1.10.2 255.255.255.0
encapsulation frame-relay IETF
frame-relay interface-dlci 100
frame-relay lmi-type ansi
!
interface Serial1
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
interface FastEthernet0
ip address 192.168.100.111 255.255.255.0
speed auto
!
ip classless
ip route 10.202.4.0 255.255.255.0 10.1.10.1
no ip http server
!
!
line con 0
transport input none
line aux 0
line vty 0 4
!
no scheduler allocate
end
[Ovu poruku je menjao optix dana 05.09.2007. u 23:33 GMT+1][ Marcony @ 01.09.2007. 10:54 ] @
Access lista nije primenjena ni na jedan interfejs tako da bi ping trebao da ti radi. Mozda Windows firewall pravi problem?
[ Milan Andjelkovic @ 01.09.2007. 13:52 ] @
A zašto ti na prvom ruteru stoji:
Citat: ip address 10.202.4.8 255.255.252.0
A na drugom:
Citat: ip route 10.202.4.0 255.255.255.0 10.1.10.1
?
I kao što rekoh, da li samo ping ne radi ili uopšte bilo kakav pristup? Šta kaže traceroute? Da li sa rutera #1 možeš da pingaš taj računar u 192.168 opsegu. Da li sa rutera #2 možeš da pingaš računar u 10.202.4 opsegu? [ machiavelli @ 01.09.2007. 20:19 ] @
@Milan Andjelkovic
Mozda je pogresio, ali i tako bi trebalo da radi.
Iznogude, sa jednog od rutera probaj extended ping ka eth interfejsu drugog rutera, da bi iskljucili win/firewall kao moguci problem. Probaj iz LAN-a telnet na ruter na suprotnoj strani i to po obe (S i Eth) adrese...
Pozdrav.
[ Iznogud @ 02.09.2007. 14:56 ] @
Proradilo je. Izgleda da je bio pr0blem na jednom mrezno kablu na fast-eth interfejsu rutera.
Sad bi mi trebala pomoc da odradim i NAT. Zasto mi je to vazno - iz prostog razloga jer na mrezi 10.202.4.0 postoji jos jedan ruter(tacnije PIX) koji ima VPN sa trecom lokacijom na kojoj se nalaza neki serveri. Kroz VPN mogu da prolaze samo hostvi koji imaju IP adrese iz adresnog ranga 10.202.4.1-10.202.4.254.
Kako je udeljenoj Frame-Relay lokaciji dodeljen adresni prostor 192.168.100.1-192.168.100-254 oni bi pri konekciji na mrezu 10.202.4.0 morali da dobiju neku adresu iz tog ranga da bi prosli na VPN i serverima. Znam da to NATovanje moze resiti ali na kom ruteru to da radim(?), na kom interfejsu(?)......malo mi je konfuzija oko toga pa ako moze malo pojasnjenje i oko ovoga/primer conf.:
LAN 192.168.100.0----R1----Frame relay---R2---LAN 10.202.4.0---PIX(VPN)------>serveri
[ Iznogud @ 02.09.2007. 18:24 ] @
NA R2 ruteru sam probao ovako, ali ne funcionise-gde gresim:(?)-trebam dolazece adrese na R2 (192.168.100.0) NATovati u opseg 10.202.4.0.
Code:
.......
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 10.202.4.8 255.255.252.0
ip nat outside <-------------------
duplex auto
speed auto
!
interface Serial0/0/0
bandwidth 2000
ip address 10.1.10.1 255.255.255.0
ip nat inside <-------------------
encapsulation frame-relay IETF
frame-relay interface-dlci 100
frame-relay lmi-type ansi
!
ip classless
ip route 192.168.100.0 255.255.255.0 10.1.10.2
!
ip http server
ip http access-class 23
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool MOJNAT 10.202.4.20 10.202.4.23 netmask 255.255.255.0 <-------------------
ip nat outside source list 20 pool MOJNAT overload <-------------------
!
access-list 20 permit any <-------------------
access-list 23 permit 10.202.4.0 0.0.0.255
!
control-plane
[Ovu poruku je menjao Iznogud dana 02.09.2007. u 20:25 GMT+1]
[Ovu poruku je menjao Iznogud dana 02.09.2007. u 23:08 GMT+1]
[Ovu poruku je menjao Iznogud dana 03.09.2007. u 21:51 GMT+1]
[Ovu poruku je menjao Iznogud dana 03.09.2007. u 21:53 GMT+1]
[Ovu poruku je menjao optix dana 05.09.2007. u 23:32 GMT+1]
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|