woainia004 发表于 2014-4-12 10:57:56

一台路由器双线接入,一条做VPN一条做nat问题

环境描述:1,qiyea和qiyeb在F0/0建立GRE_OVER_IPSEC
                  2,qiyea通过F0/1做nat访问公网资源
故障描述:1,在qiyea的内网里ping qiyeb的内网172.168.1.0网段正常
但是无法ping通公网上的任何IP,查看ip nat tran发现没有转换条目
               2,在qiyea路由器里ping,以F1/0作为源地址ping公网和qiyeb的内网都是通的,且nat转换表

有正常条目,ipsec加密也是正常的
另外也尝试过在qiyea路由里的F1/0即连接内网端口做PBR,,但是没有用,大神门可以写下PBR我复制进去看看效果
附R1(未做PBR):
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 57.1.1.7
!         
!         
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode transport
!         
crypto ipsec profile ipsecptran
set transform-set cisco
!         
!         
!         
!         
!         
interface Tunnel0
ip address 17.1.1.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 57.1.1.7
tunnel protection ipsec profile ipsecptran
!         
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
duplex auto
speed auto
!         
interface FastEthernet0/1
ip address 13.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
ip policy route-map ipsec
duplex auto
speed auto
!         
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!         
router eigrp 100
network 17.1.1.0 0.0.0.255
network 192.168.1.0
no auto-summary
!         
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 13.1.1.3
ip route 57.1.1.7 255.255.255.255 FastEthernet0/0
!         
!         
no ip http server
no ip http secure-server
ip nat inside source list 110 interface FastEthernet0/1 overload
!         
access-list 110 deny   ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255 log

access-list 110 permit ip any any log


woainia004 发表于 2014-4-12 11:02:18

本帖最后由 woainia004 于 2014-4-12 11:05 编辑

感谢大神帮助

Jeff. 发表于 2014-4-14 09:55:50

你的PCA是如何模拟的?目测你是路由器模拟PC,请给出PCA的show run,traceroute 公网IP及此时的qiyea路由的show ip nat tra

woainia004 发表于 2014-4-15 08:58:22

我靠,,大神来了,,
PC是用2691模拟的,,这是PCA的
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.0
no ip route-cache
duplex auto
speed auto
!         
interface FastEthernet0/1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
!         
ip default-gateway 192.168.1.1

这是PCA上跟踪外网路由
pac#traceroute 46.1.1.6

Type escape sequence to abort.
Tracing the route to 46.1.1.6

1 192.168.1.1 48 msec 40 msec 20 msec
2***
3**

这是此时的nat表
qiyea#show ip nat tran

qiyea#
是空的

woainia004 发表于 2014-4-15 13:49:55

@jeff 大神帮忙啊
页: [1]
查看完整版本: 一台路由器双线接入,一条做VPN一条做nat问题