Heren,
Voor het bedrijf waar ik beheer voor doe moet er een nieuwe internetlijn aangesloten worden. Er is nu een 10mbit glaslijn binnengetrokken met een routed subnet van 8 externe IP adressen die door een Cisco 1811 geroute wordt. Huidige omgeving is een ADSL met vast IP, en daarachter een PFsense firewall. Er komen dusdanig veel diensten op dat ene IP binnen dat ik de boel gefaseerd over wil gaan zetten. We hebben meerdere interne subnetten, plan is om 1 extern IP adres aan elk subnet te PATten. Hiervoor wordt er op de 1811 voor elk subnet een VLAN aangemaakt, en voor elk extern IP adres een NAT pool. Elk VLAN wordt dan aan corresponderende NAT pool gehangen. Complicerende factor is dat sommige subnetten direct op de 1811 op een VLAN aankomen, maar er hangt ook nog een PIX aan de achterkant, die zelf een extern IP adres aan de outside heeft hangen. De lijn werkt, de PIX komt naar buiten en functioneert.
Probleem is nu echter dat ik een VLAN niet gePAT krijg naar bijbehorend extern IP adres. Ik heb een VLAN2 aangemaakt, met een intern adres. Die interface heb ik als NAT INSIDE genoemd, en de Dialer1 als NAT OUTSIDE. Ik heb een NAT POOL aangemaakt van 83 212.98.131, single address. Access List 11 permit alle verkeer van het 192.168.100 subnet, deze list wordt gebruikt als source. En toch gebeurt er niks ..
Hieronder volgt de config van de 1811, misschien hebben mensen hier nog tips over:
(Hopelijk is dit genoeg info, als er meer nodig is hoor ik dat natuurlijk graag!)
Building configuration...
Current configuration : 6040 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no service dhcp
!
hostname HOSTNAME
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password X XXXXXXXXXXX
!
no aaa new-model
!
resource policy
!
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool IAS
import all
origin ipcp
dns-server 194.151.228.18 194.151.228.34
!
!
no ip domain lookup
ip name-server 213.75.63.36
ip name-server 213.75.63.70
!
!
#CRYPTOP & PASSWORD CRAP#!
!
policy-map custom-shaper-4000kbps
class class-default
policy-map custom-shaper-5000kbps
class class-default
policy-map custom-shaper-6000kbps
class class-default
policy-map custom-shaper-1000kbps
class class-default
policy-map custom-shaper-2000kbps
class class-default
policy-map custom-shaper-8000kbps
class class-default
policy-map custom-shaper-30000Kbps
class class-default
policy-map custom-shaper-3000Kbps
class class-default
policy-map custom-shaper-40000kbps
class class-default
policy-map custom-shaper-50000kbps
class class-default
policy-map custom-shaper-60000kbps
class class-default
policy-map custom-shaper-70000kbps
class class-default
policy-map custom-shaper-10000kbps
class class-default
policy-map custom-shaper-20000kbps
class class-default
policy-map custom-shaper-80000kbps
class class-default
!
!
!
!
!
!
interface FastEthernet0
description Link to EVPN CPE
no ip address
load-interval 30
speed 100
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
description PIX Outside
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
switchport access vlan 2
!
interface Vlan1
ip address pool IAS
ip access-group 99 out
ip verify unicast reverse-path
ip tcp adjust-mss 1452
load-interval 30
!
interface Vlan2
ip address 192.168.100.252 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
description Customer Traffic PPPoE Connection
mtu 1492
ip address negotiated
ip access-group 100 in
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username XXX password X XXXXXXXXX
ppp ipcp mask request
ppp ipcp address accept
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool NAT_98.131 83.212.98.131 83.212.98.131 netmask 255.255.255.248
ip nat inside source list 11 pool NAT_98.131 overload
!
access-list 11 permit 192.168.100.0 0.0.0.255
access-list 99 deny 10.0.0.0 0.255.255.255
access-list 99 deny 172.16.0.0 0.15.255.255
access-list 99 deny 192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 deny tcp any any eq telnet
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
#BANNER CRAP#!
!
line con 0
exec-timeout 30 0
password X XXXXXXXXXXXXXXX
login
notify
transport output none
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
transport output none
line vty 0 4
access-class 98 in
privilege level 15
password X XXXXXXXXXXXXXXX
login local
notify
transport input telnet ssh
transport output none
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
Voor het bedrijf waar ik beheer voor doe moet er een nieuwe internetlijn aangesloten worden. Er is nu een 10mbit glaslijn binnengetrokken met een routed subnet van 8 externe IP adressen die door een Cisco 1811 geroute wordt. Huidige omgeving is een ADSL met vast IP, en daarachter een PFsense firewall. Er komen dusdanig veel diensten op dat ene IP binnen dat ik de boel gefaseerd over wil gaan zetten. We hebben meerdere interne subnetten, plan is om 1 extern IP adres aan elk subnet te PATten. Hiervoor wordt er op de 1811 voor elk subnet een VLAN aangemaakt, en voor elk extern IP adres een NAT pool. Elk VLAN wordt dan aan corresponderende NAT pool gehangen. Complicerende factor is dat sommige subnetten direct op de 1811 op een VLAN aankomen, maar er hangt ook nog een PIX aan de achterkant, die zelf een extern IP adres aan de outside heeft hangen. De lijn werkt, de PIX komt naar buiten en functioneert.
Probleem is nu echter dat ik een VLAN niet gePAT krijg naar bijbehorend extern IP adres. Ik heb een VLAN2 aangemaakt, met een intern adres. Die interface heb ik als NAT INSIDE genoemd, en de Dialer1 als NAT OUTSIDE. Ik heb een NAT POOL aangemaakt van 83 212.98.131, single address. Access List 11 permit alle verkeer van het 192.168.100 subnet, deze list wordt gebruikt als source. En toch gebeurt er niks ..
Hieronder volgt de config van de 1811, misschien hebben mensen hier nog tips over:
(Hopelijk is dit genoeg info, als er meer nodig is hoor ik dat natuurlijk graag!)
Building configuration...
Current configuration : 6040 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
no service dhcp
!
hostname HOSTNAME
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password X XXXXXXXXXXX
!
no aaa new-model
!
resource policy
!
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool IAS
import all
origin ipcp
dns-server 194.151.228.18 194.151.228.34
!
!
no ip domain lookup
ip name-server 213.75.63.36
ip name-server 213.75.63.70
!
!
#CRYPTOP & PASSWORD CRAP#!
!
policy-map custom-shaper-4000kbps
class class-default
policy-map custom-shaper-5000kbps
class class-default
policy-map custom-shaper-6000kbps
class class-default
policy-map custom-shaper-1000kbps
class class-default
policy-map custom-shaper-2000kbps
class class-default
policy-map custom-shaper-8000kbps
class class-default
policy-map custom-shaper-30000Kbps
class class-default
policy-map custom-shaper-3000Kbps
class class-default
policy-map custom-shaper-40000kbps
class class-default
policy-map custom-shaper-50000kbps
class class-default
policy-map custom-shaper-60000kbps
class class-default
policy-map custom-shaper-70000kbps
class class-default
policy-map custom-shaper-10000kbps
class class-default
policy-map custom-shaper-20000kbps
class class-default
policy-map custom-shaper-80000kbps
class class-default
!
!
!
!
!
!
interface FastEthernet0
description Link to EVPN CPE
no ip address
load-interval 30
speed 100
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
description PIX Outside
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
switchport access vlan 2
!
interface Vlan1
ip address pool IAS
ip access-group 99 out
ip verify unicast reverse-path
ip tcp adjust-mss 1452
load-interval 30
!
interface Vlan2
ip address 192.168.100.252 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
description Customer Traffic PPPoE Connection
mtu 1492
ip address negotiated
ip access-group 100 in
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username XXX password X XXXXXXXXX
ppp ipcp mask request
ppp ipcp address accept
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool NAT_98.131 83.212.98.131 83.212.98.131 netmask 255.255.255.248
ip nat inside source list 11 pool NAT_98.131 overload
!
access-list 11 permit 192.168.100.0 0.0.0.255
access-list 99 deny 10.0.0.0 0.255.255.255
access-list 99 deny 172.16.0.0 0.15.255.255
access-list 99 deny 192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 deny tcp any any eq telnet
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
#BANNER CRAP#!
!
line con 0
exec-timeout 30 0
password X XXXXXXXXXXXXXXX
login
notify
transport output none
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
transport output none
line vty 0 4
access-class 98 in
privilege level 15
password X XXXXXXXXXXXXXXX
login local
notify
transport input telnet ssh
transport output none
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
Je hebt een druk leven, je bent de hele dag in touw ..