雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1166|回复: 4

[讨论/求助] 一台路由器双线接入,一条做VPN一条做nat问题

[复制链接]
发表于 2014-4-12 10:57:56 | 显示全部楼层 |阅读模式
环境描述:1,qiyea和qiyeb在F0/0建立GRE_OVER_IPSEC
                  2,qiyea通过F0/1做nat访问公网资源
故障描述:1,在qiyea的内网里ping qiyeb的内网172.168.1.0网段正常
但是无法ping通公网上的任何IP,查看ip nat tran发现没有转换条目
                 2,在qiyea路由器里ping,以F1/0作为源地址ping公网和qiyeb的内网都是通的,且nat转换表

有正常条目,ipsec加密也是正常的
另外也尝试过在qiyea路由里的F1/0即连接内网端口做PBR,,但是没有用,大神门可以写下PBR我复制进去看看效果
附R1(未做PBR):
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 57.1.1.7
!         
!         
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode transport
!         
crypto ipsec profile ipsecptran
set transform-set cisco
!         
!         
!         
!         
!         
interface Tunnel0
ip address 17.1.1.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 57.1.1.7
tunnel protection ipsec profile ipsecptran
!         
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex auto
speed auto
!         
interface FastEthernet0/1
ip address 13.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
ip policy route-map ipsec
duplex auto
speed auto
!         
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!         
router eigrp 100
network 17.1.1.0 0.0.0.255
network 192.168.1.0
no auto-summary
!         
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 13.1.1.3
ip route 57.1.1.7 255.255.255.255 FastEthernet0/0
!         
!         
no ip http server
no ip http secure-server
ip nat inside source list 110 interface FastEthernet0/1 overload
!         
access-list 110 deny   ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255 log

access-list 110 permit ip any any log


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
 楼主| 发表于 2014-4-12 11:02:18 | 显示全部楼层
本帖最后由 woainia004 于 2014-4-12 11:05 编辑

感谢大神帮助
发表于 2014-4-14 09:55:50 | 显示全部楼层
你的PCA是如何模拟的?目测你是路由器模拟PC,请给出PCA的show run,traceroute 公网IP及此时的qiyea路由的show ip nat tra
 楼主| 发表于 2014-4-15 08:58:22 | 显示全部楼层
我靠,,大神来了,,
PC是用2691模拟的,,这是PCA的
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no ip route-cache
duplex auto
speed auto
!         
interface FastEthernet0/1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
!         
ip default-gateway 192.168.1.1

这是PCA上跟踪外网路由
pac#traceroute 46.1.1.6

Type escape sequence to abort.
Tracing the route to 46.1.1.6

  1 192.168.1.1 48 msec 40 msec 20 msec
  2  *  *  *
  3  *  *

这是此时的nat表
qiyea#show ip nat tran

qiyea#
是空的
 楼主| 发表于 2014-4-15 13:49:55 | 显示全部楼层
@jeff 大神帮忙啊
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-3-29 20:02 , Processed in 0.074594 second(s), 18 queries , Gzip On.

快速回复 返回顶部 返回列表