Problème nat avec cisco 2611

Problème nat avec cisco 2611 - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 13-01-2011 à 19:41:53    

Salut a tous
 
J'ai un problème de configuration nat sur mon routeur cisco 2611. J'ai mi sur le port fa0/1 une neufbox et j'ai voulu mettre en place du nat pour que les autres réseaux est accès à la neufbox. Voilà ma config qui ne marche pas :
 

Code :
  1. !
  2. interface FastEthernet0/1
  3. ip address 172.20.1.254 255.255.255.0
  4. ip nat outside
  5. no ip virtual-reassembly
  6. duplex auto
  7. speed auto
  8. !
  9. ......
  10. !
  11. ip nat inside source list Internet_sfr interface FastEthernet0/1 overload
  12. !
  13. .....
  14. !
  15. ip access-list extended Internet_sfr
  16. permit ip 172.20.3.0 0.0.0.255 any
  17. permit ip 172.20.1.0 0.0.0.255 any


 
Mais je n'arrive pas à pinger avec une machine en 172.20.3.0/24. Merci de votre aide.

Reply

Marsh Posté le 13-01-2011 à 19:41:53   

Reply

Marsh Posté le 13-01-2011 à 20:06:00    

tu peux faire un schéma de la topologie et envoyer toute la conf ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 13-01-2011 à 20:32:28    

Ma Config :
 
 

Code :
  1. !
  2. !
  3. interface ATM0/0
  4. no ip address
  5. no ip mroute-cache
  6. no atm ilmi-keepalive
  7. dsl operating-mode auto
  8. pvc 8/35
  9.   encapsulation aal5mux ppp dialer
  10.   dialer pool-member 1
  11. !
  12. !
  13. interface FastEthernet0/0
  14. ip address 172.20.3.254 255.255.255.0
  15. ip nat inside
  16. ip virtual-reassembly
  17. duplex auto
  18. speed auto
  19. !
  20. !
  21. interface FastEthernet0/1
  22. ip address 172.20.1.254 255.255.255.0
  23. ip nat outside
  24. no ip virtual-reassembly
  25. duplex auto
  26. speed auto
  27. !
  28. interface Dialer0
  29. description ADSL-PRO-ORANGE
  30. ip address negotiated
  31. no ip unreachables
  32. ip mtu 1492
  33. ip nat outside
  34. no ip virtual-reassembly
  35. encapsulation ppp
  36. no ip mroute-cache
  37. dialer pool 1
  38. dialer-group 1
  39. no cdp enable
  40. ppp chap hostname fti/xxxxxxx
  41. ppp chap password 7 xxxxxxxxxx
  42. ppp ipcp dns request accept
  43. !
  44. ip forward-protocol nd
  45. ip route 0.0.0.0 0.0.0.0 Dialer0
  46. !
  47. !
  48. no ip http server
  49. no ip http secure-server
  50. ip nat inside source list Internet interface Dialer0 overload
  51. ip nat inside source list Internet_sfr interface FastEthernet0/1 overload
  52. !
  53. !
  54. ip access-list extended Internet
  55. permit ip 172.20.3.0 0.0.0.255 any time-range vlan3
  56. permit ip 172.20.1.0 0.0.0.255 any
  57. ip access-list extended Internet_sfr
  58. permit ip 172.20.3.0 0.0.0.255 any
  59. permit ip 172.20.1.0 0.0.0.255 any
  60. !


 
schéma :
 
ADSL Orange ----------------------|                 |----- Fa0/0 172.20.3.0/24
                                                 |Cisco 2611  |
ADSL SFR 172.20.1.0/24 - Fa0/1 ---|                 |

Reply

Marsh Posté le 13-01-2011 à 21:38:55    

show arp ?

Message cité 1 fois

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-01-2011 à 04:54:35    

dreamer18 a écrit :

show arp ?


Code :
  1. #sh arp
  2. Protocol  Address          Age (min)  Hardware Addr   Type   Interface
  4. Internet  172.20.3.254            -   0013.1a85.d1e0  ARPA   FastEthernet0/0
  5. Internet  172.20.1.254            -   0013.1a85.d1e1  ARPA   FastEthernet0/1
  6. Internet  172.20.3.243            9   0016.3ee0.a851  ARPA   FastEthernet0/0
  7. Internet  172.20.1.1            173   0025.15a8.5c88  ARPA   FastEthernet0/1 <-- Neufbox

Reply

Marsh Posté le 14-01-2011 à 08:00:30    

quand tu fais des pings ou des telnet des "show ip nat translations" donnent quoi ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 14-01-2011 à 09:27:43    

Bon je pense qu'il y a bien un problème avec le nat :
 

Code :
  1. #show ip nat translations
  2. Pro Inside global         Inside local          Outside local         Outside global
  3. icmp 80.13.99.202:512     172.20.3.244:512      172.20.1.1:512        172.20.1.1:512


 
Je sais pas pourquoi il fait passé par l'ip 80.13.99.202 alors que c'est celle d'orange.

Reply

Marsh Posté le 14-01-2011 à 10:15:11    

La route par défaut est sur la dialer0, et tes ACL sont les mêmes.

Reply

Marsh Posté le 14-01-2011 à 10:50:56    

comment faire du nat alors sur cette interface sans toucher au Dialer0?

Reply

Marsh Posté le 14-01-2011 à 14:00:00    

Il faudrait déjà que du trafic passe par l'interface, donc avoir une route par défaut par cette interface.

Reply

Marsh Posté le 14-01-2011 à 14:00:00   

Reply

Marsh Posté le 14-01-2011 à 14:15:46    

Je peux peut être créer une deuxième route par défaut car je voudrai, en finalité, que si orange tombe passer par sfr.

Reply

Marsh Posté le 14-01-2011 à 15:05:00    

Dans ce cas tu ajoutes une route par défaut avec une distance de 250.

Reply

Marsh Posté le 14-01-2011 à 15:08:13    

Ok merci je vais tester ça.
Mais pour le moment j'ai modifié mes ACL comme ça et ça marche :
 

Code :
  1. ip access-list extended Internet
  2. permit ip 172.20.3.0 0.0.0.255 any time-range vlan3
  3. ip access-list extended Internet_sfr
  4. permit ip 172.20.3.0 0.0.0.255 any


 
Autre question.
Je voudrai mettre la neufbox en mode bridge mais comment faire une autre interface Dialer pour qu'il utilise le modem connecté sur l'interface fa0/1?
Merci

Message cité 1 fois
Reply

Marsh Posté le 14-01-2011 à 15:18:13    

c'est normal qu'elle n'apparaisse pas dans la table de routage quand je l'ai rajouté mais elle apparait bien dans la config?

Message cité 1 fois
Reply

Marsh Posté le 14-01-2011 à 16:35:07    

hppp a écrit :

Ok merci je vais tester ça.
Mais pour le moment j'ai modifié mes ACL comme ça et ça marche :
 

Code :
  1. ip access-list extended Internet
  2. permit ip 172.20.3.0 0.0.0.255 any time-range vlan3
  3. ip access-list extended Internet_sfr
  4. permit ip 172.20.3.0 0.0.0.255 any


 
Autre question.
Je voudrai mettre la neufbox en mode bridge mais comment faire une autre interface Dialer pour qu'il utilise le modem connecté sur l'interface fa0/1?
Merci


interface dialer 1
 

hppp a écrit :

c'est normal qu'elle n'apparaisse pas dans la table de routage quand je l'ai rajouté mais elle apparait bien dans la config?


C'est normal, elle n'apparaitra que si la dialer 0 tombe.

Reply

Marsh Posté le 14-01-2011 à 21:11:19    

J'ai une autre question :
Est-il possible de faire de la redirection de port mais sans nat? Merci

Reply

Marsh Posté le 14-01-2011 à 21:42:16    

Ce que je trouve bizarre c'est pourquoi je peux pas avoir les même ACL?
 

Code :
  1. ip access-list extended Internet
  2. permit ip 172.20.5.0 0.0.0.255 any
  3. permit ip 172.20.3.0 0.0.0.255 any
  4. ip access-list extended Internet_sfr
  5. permit ip 172.20.3.0 0.0.0.255 any
  6. permit ip 172.20.5.0 0.0.0.255 any


 
Car en faite ça ne marche pas, et quand je vire une des 2 ça marche bien !
 
Car je veux pas que certains réseaux est accès à internet donc je suis obligé de créer des ACL mais comme je veux que d'autres réseaux est accès au 2 connexions internet je suis bien obligé ! Merci

Reply

Marsh Posté le 15-01-2011 à 09:43:08    

Bon je reprends tout à zéro car je n'arrive pas du tout à mes fin.

 

Je voudrai avoir un réseau comme ça, avec du load balancing :
 
ADSL Orange ------- ATM0/0------------------------------|                |-- Fa0/0 172.20.3.254
                                                                                 | Cisco 2611 |
ADSL sfr --- Neufbox 172.20.1.1 --- Fa0/1 --172.20.1.254--|                |

 


Ma config pour le moment :

Code :
  1. !
  2. interface ATM0/0
  3. no ip address
  4. no ip mroute-cache
  5. no atm ilmi-keepalive
  6. dsl operating-mode auto
  7. pvc 8/35
  8.   encapsulation aal5mux ppp dialer
  9.   dialer pool-member 1
  10. !
  11. interface FastEthernet0/0
  12. ip address 172.20.3.254 255.255.255.0
  13. ip nat inside
  14. ip virtual-reassembly
  15. duplex auto
  16. speed auto
  17. !
  18. !
  19. interface FastEthernet0/1
  20. ip address 172.20.1.254 255.255.255.0
  21. ip nat outside
  22. ip virtual-reassembly
  23. duplex auto
  24. speed auto
  25. !
  26. !
  27. interface Dialer0
  28. description ADSL-PRO-ORANGE
  29. ip address negotiated
  30. no ip unreachables
  31. ip mtu 1492
  32. ip nat outside
  33. no ip virtual-reassembly
  34. encapsulation ppp
  35. no ip mroute-cache
  36. dialer pool 1
  37. dialer-group 1
  38. no cdp enable
  39. ppp chap hostname xxxxx
  40. ppp chap password 7 xxxxxxx
  41. ppp ipcp dns request accept
  42. !
  43. ip forward-protocol nd
  44. ip route 0.0.0.0 0.0.0.0 Dialer0
  45. ip route 0.0.0.0 0.0.0.0 172.20.1.1
  46. !
  47. ip nat inside source list Internet interface Dialer0 overload
  48. ip nat inside source list Internet_sfr interface FastEthernet0/1 overload
  49. !
  50. ip access-list extended Internet
  51. permit ip 172.20.3.0 0.0.0.255 any
  52. ip access-list extended Internet_sfr
  53. permit ip 172.20.3.0 0.0.0.255 any
 
Code :
  1. #sh ip route
  2. Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
  3.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
  4.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
  5.        E1 - OSPF external type 1, E2 - OSPF external type 2
  6.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
  7.        ia - IS-IS inter area, * - candidate default, U - per-user static route
  8.        o - ODR, P - periodic downloaded static route
  10. Gateway of last resort is 172.20.1.1 to network 0.0.0.0
  12.      80.0.0.0/32 is subnetted, 1 subnets
  13. C       80.13.98.201 is directly connected, Dialer0
  14.      172.20.0.0/24 is subnetted, 2 subnets
  15. C       172.20.1.0 is directly connected, FastEthernet0/1
  16. C       172.20.3.0 is directly connected, FastEthernet0/0
  17.      193.253.160.0/32 is subnetted, 1 subnets
  18. C       193.253.160.3 is directly connected, Dialer0
  19. S*   0.0.0.0/0 [1/0] via 172.20.1.1
  20.                is directly connected, Dialer0
 
Code :
  1. #sh ip nat translations
  2. Pro Inside global         Inside local          Outside local         Outside global
  3. tcp 80.13.98.201:2403     172.20.3.244:2403     172.20.1.1:80         172.20.1.1:80
 

Mais là au niveau du nat il est complètement perdu. Quand je vire de la ACL Internet la 172.20.3.0/24 j'ai de nouveau accès a la box avec le 172.20.3.244 mais pas au net comme si il ne connaissait pas la 2éme route par défaut que je lui est mi.

 

Avez vous une idée du problème? Merci


Message édité par hppp le 15-01-2011 à 09:43:37
Reply

Marsh Posté le 15-01-2011 à 10:20:45    

par défaut on peut pas faire de load balancing de lien avec un routeur cisco, du vrai lood balancing d'accès ça se fait avec BGP et c'est compliqué.
 
Tu peux par contre essayer de bricoler un truc avec du PBR http://www.cisco.com/en/US/tech/tk [...] 481d.shtml conditionnée avec des probes IP SLA pour tester le lien internet


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed