Добрый день
делаю по инструкции с сайта настройку snat-а, но по какойто причине дела у меня идут не так успешно как у авторов инструкции.
Также мне нужно натить в интерфейс а не в пул как предлагает инструкция и вот что получается в итоге:
object-group network LOCAL_NET_OBJ
ip address-range 10.10.0.2-10.10.0.254
ip address-range 10.10.1.2-10.10.1.254
exit
ooo(config)# nat source
ooo(config-snat)# ruleset SNAT
ooo(config-snat-ruleset)# to zone UPLINK
ooo(config-snat-ruleset)# rule 10
holding(config-snat-rule)# match source-address LOCAL_NET_OBJ
holding(config-snat-rule)# match destination-address any
holding(config-snat-rule)# match destination-port any
error - check ACL match NAT 'port': Attempt to service object group for non TCP/UDP protocol
ooo(config-snat-rule)# action source-nat interface 4-5
ooo(config-snat-rule)# enable
error - please, set these parameters for rule 10:
'Need TCP or UDP with port specification'
что я делаю не так?
пробовал также..
ooo# config
ooo(config)# nat source
ooo(config-snat)# ruleset SNAT
ooo(config-snat-ruleset)# to interface bridge 20 !указал натить в интерфейс здесь..
ooo(config-snat-ruleset)# rule 10
ooo(config-snat-rule)# action source-nat interface
PORT or PORT-PORT Port range for which translation will be performed
<cr>
ooo(config-snat-rule)# action source-nat interface 4-5
ooo(config-snat-rule)# do commit
please, set these parameters for rule 10:
'Need TCP or UDP with port specification'
error - can't commit configuration.
1970-01-01T03:47:45+00:00 %CLI-I-CRIT: user sker from ssh 10.10.0.2 input: do commit
ooo(config-snat-rule)# match destination-port any
error - check ACL match NAT 'port': Attempt to service object group for non TCP/UDP protocol
как настроить соурс нат если нужно натить в интерфейс и желательно в бридж?
версия софта 1.0.8.54
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
snat esr-10
-
AlexanderV
- Сообщения: 8
- Зарегистрирован: 09 июл 2017 21:51
- Reputation: 0
-
AlexanderV
- Сообщения: 8
- Зарегистрирован: 09 июл 2017 21:51
- Reputation: 0
Re: snat esr-10
на данный момент часть конфигурации удалось написать, но трафик не ходит, хотя в таблице ната трансляции есть
Код: Выделить всё
nat source
ruleset SNAT
to interface bridge 20
rule 10
match protocol any
match source-address LOCAL_NET_OBJ
match destination-address any
action source-nat interface
enable
exit
exit
exit
security zone-pair GOOD UPLINK
rule 10
action permit
match protocol any
match source-address LOCAL_NET_OBJ
match destination-address any
enable
exit
bridge 10
description "LOCAL-NET"
vlan 10
security-zone GOOD
ip address 10.10.0.1/24
enable
exit
bridge 20
vlan 100
security-zone UPLINK
ip address dhcp
enable
exit
security zone GOOD
exit
security zone UPLINK
exit
ip route 0.0.0.0/0 interface bridge 20
Re: snat esr-10
чем проверяете NAT?
что показывает show ip firewall session? show ip nat translation?
что показывает show ip firewall session? show ip nat translation?
"Константин Веснинский / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru"
-
AlexanderV
- Сообщения: 8
- Зарегистрирован: 09 июл 2017 21:51
- Reputation: 0
Re: snat esr-10
пингом наружу проверяю
вывод команд вот
вывод команд вот
Код: Выделить всё
show ip firewall session
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
----- --------------------- --------------------- --------------------- --------------------- ---------- ----------
tcp 10.10.0.2:57624 192.168.4.1:80 192.168.4.220:57624 192.168.4.1:80 -- --
tcp 10.10.0.2:57493 157.55.235.167:443 192.168.4.220:57493 157.55.235.167:443 -- --
tcp 10.10.0.2:57605 157.56.52.18:40004 192.168.4.220:57605 157.56.52.18:40004 -- --
tcp 10.10.0.2:57641 111.221.77.161:80 192.168.4.220:57641 111.221.77.161:80 -- --
tcp 10.10.0.2:57673 192.168.4.1:80 192.168.4.220:57673 192.168.4.1:80 -- --
tcp 10.10.0.2:57655 192.168.4.1:80 192.168.4.220:57655 192.168.4.1:80 -- --
show ip nat translation
Prot Inside source Inside destination Outside source Outside destination Pkts Bytes
---- --------------------- --------------------- --------------------- --------------------- ---------- ----------
tcp 10.10.0.2:57775 192.168.4.1:80 192.168.4.220:57775 192.168.4.1:80 -- --
tcp 10.10.0.2:57764 192.168.4.1:80 192.168.4.220:57764 192.168.4.1:80 -- --
tcp 10.10.0.2:57641 111.221.77.161:80 192.168.4.220:57641 111.221.77.161:80 -- --
tcp 10.10.0.2:57673 192.168.4.1:80 192.168.4.220:57673 192.168.4.1:80 -- --
tcp 10.10.0.2:57655 192.168.4.1:80 192.168.4.220:57655 192.168.4.1:80 -- --
забыл кстати показать физические интерфейсы на которые растянуты бриджи
sh run interfaces
interface gigabitethernet 1/0/1
description "LOCAL-NET"
security-zone GOOD
switchport access vlan 10
exit
interface gigabitethernet 1/0/3
description "WIFI"
security-zone WIFI-GUEST
switchport access vlan 11
exit
interface gigabitethernet 1/0/4
description "UPLINK-IF"
security-zone UPLINK
switchport access vlan 100
exit
interface gigabitethernet 1/0/5
description "UPLINK-IF"
security-zone UPLINK
switchport access vlan 100
exit
-
AlexanderV
- Сообщения: 8
- Зарегистрирован: 09 июл 2017 21:51
- Reputation: 0
Re: snat esr-10
убил три вечера на вашего зверька но разобрался..хотел кучу ласковых написать но да ладно
в вашей инструкции написано
это неслабо ввело в заблуждение
при использовании DHCP на WAN интерфейсе не надо никаких статических дефолт маршрутов. Если у вас это нигде не прописано мелким шрифтом в инструкциях вы впишите пожалуйста. ДХЦП видимо сам инсталлирует маршрут, он даже выглядит в таблице подругому
так при дхцп:
sh ip ro
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route,
* - FIB route
D * 0.0.0.0/0 [40/0] via 192.168.4.1 on br20 [kernel 00:01:24]
а так при ручной настройке
sh ip ro
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route,
* - FIB route
S * 0.0.0.0/0 [1/0] dev br20 [static 00:00:27]
в вашей инструкции написано
Для того чтобы устройства локальной сети могли получить доступ к публичной сети, на них
должна быть настроена маршрутизация – адрес 10.1.2.1 должен быть назначен адресом шлюза.
На самом маршрутизаторе также должен быть создан маршрут для направления на
публичную сеть. Этот маршрут может быть назначен маршрутом по умолчанию с помощью
следующей команды.
esr(config)# ip route 0.0.0.0/0 100.0.0.99
это неслабо ввело в заблуждение
при использовании DHCP на WAN интерфейсе не надо никаких статических дефолт маршрутов. Если у вас это нигде не прописано мелким шрифтом в инструкциях вы впишите пожалуйста. ДХЦП видимо сам инсталлирует маршрут, он даже выглядит в таблице подругому
так при дхцп:
sh ip ro
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route,
* - FIB route
D * 0.0.0.0/0 [40/0] via 192.168.4.1 on br20 [kernel 00:01:24]
а так при ручной настройке
sh ip ro
Codes: C - connected, S - static, R - RIP derived,
O - OSPF derived, IA - OSPF inter area route,
E1 - OSPF external type 1 route, E2 - OSPF external type 2 route
B - BGP derived, D - DHCP derived, K - kernel route,
* - FIB route
S * 0.0.0.0/0 [1/0] dev br20 [static 00:00:27]
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей