CISCO 2811 - 2прова, 2шлюза, PAT, NAT, не могу побороть... Опции Подписка на тему Сообщить другу Версия для печати Скачать тему Подписка на этот форум Режимы отображения Древовидный Переключить на: Стандартный Переключить на: Линейный

[Lexa]

Привет друзья админы (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

Два провайдера, два юзера в сети, один сервер в ДМЗ. У каждого юзера должен быть свой канал. До сервака с двух внешних айпи проброс по одинаковым портам.

Как сейчас работает:

interface FastEthernet1/0
description LAN
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip policy route-map lan_map
!
interface FastEthernet1/0
description DMZ
ip address 172.16.0.254 255.255.255.0
ip nat inside
ip policy route-map dmz_map



interface FastEthernet0/0
description ISP2
ip address 200.1.1.229 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex full
speed 100
no keepalive
no cdp enable
!
interface FastEthernet0/1
description ISP1
ip address 194.1.1.229 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex full
speed 100
no keepalive
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 200.1.1.230
ip route 0.0.0.0 0.0.0.0 194.1.1.230
!
ip access-list extended vasya_nat
permit ip host 192.168.0.1 any
!
ip access-list extended petya_nat
permit ip host 192.168.0.10 any
!
access-list 108 permit ip host 200.1.1.229 any
access-list 110 permit ip host 194.1.1.229 any
!
route-map lan_map permit 10
match ip address vasya_nat
set ip next-hop 200.1.1.230
!
route-map lan_map permit 20
match ip address petya_nat
set ip next-hop 194.1.1.230
!
route-map vasya_map permit 10
match ip address vasya_nat
!
route-map petya_map permit 10
match ip address petya_nat
!
route-map dmz_map permit 20
match ip address dmz_nat
set ip next-hop 194.1.1.230
!
ip local policy route-map LOCAL_MAP
!
route-map LOCAL_MAP permit 10
match ip address 108
set ip next-hop 200.1.1.229
!
route-map LOCAL_MAP permit 20
match ip address 110
set ip next-hop 194.1.1.230
!
ip nat inside source route-map vasya_map interface Fa0/0 overload
ip nat inside source route-map petya_map interface Fa0/1 overload
!
ip nat inside source static tcp 172.16.0.1 3000 194.1.1.229 3000 extendable
ip nat inside source static tcp 172.16.0.1 3000 200.1.1.229 3000 extendable
!

если в LOCAL_POLICY не указать айпи интерфейсов, то снаружи один из них не пингуется, а именно тот, чья сеть не в 0.0.0.0
не знает куда слать отклик


Всё работает при выключеном ip cef. Если включаю ip cef - входящий проброс со второго прова не работает.

С включеным ip cef невозможно подключиться к пробросу который ISP2. Не работает проброс если по умолчанию не шлюз второго прова или если он не забит первым для 0.0.0.0

Когда делаю traceroute от Пети, то ухожу по второму прову, т.к. он по дефолту, хотя прописано в route-map lan_map - match ip address petya_nat - set ip next-hop 194.1.1.230
Еще прикол в том, что хоть трейс и идёт не-туда - айпи в интернете светятся правильные для Пети иВаси, т.е. те которые я им назначаю натом.

Помогите разобраться в такой сложной схеме (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Голова кругом уже идёт (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

Хочется чтобы Вася ходил через второго прова, Петя через первого и при этом сервак был виден снаружи с двух интерфейсов.

[Автобот]