Спасибо огромное за работу, очень сильно помогло в понимании что к чему.
Такой вопрос. Долго не мог понять почему у меня все хосты, которые идут на интерфейсы, где ip nat inside, весь СПБ и Кемерово спокойно выходили на 192.0.2/24. Никакие ACL не помогали.
Все таки решил посмотреть Ваши конфиги устройств и понял. У меня на маршр-ре провайдера прописано ip route 0.0.0.0 0.0.0.0 198.51.100.2. У Вас нет такого маршрута. Убрал маршрут — ACL заработал. Не могу понять почему так происходит.
Когда соединяешь девайсы напрямую проводом все нормально, какой-то косяк в свитче. Для себя решил проблему поставив вместо свитча рутер с2691 с платой NM-16ESW, на новых портах и прокинул все вланы — пинг есть. Попробую поставить гнс3 на убунту и с нее поюзать свитч.
С виду всё нормально.
А при прямом подключении работает?
Ещё бв советовал попробовать сохранить конфиг и перезагрузить девайсы. Могу уже ошибаться, но, по-моему, давно бывало такое, что если добавлять линки после включения девайсов, они будут ап, себя пинговать будут, но друг друга не увидят.

Давайте сначала без свитча и влано, потом по порядку добавлять, пока не перестанет работать.
В Винде также не могу поставить 0 в поле влан. Вообще не выходит прокинуть нужный влан через этот свитч. Большая схема не работала, собрал маленькую на двух рутерах и одном свитчике. МАС на свитче есть, порты норм, а пинга нет. Что я делаю нитак ?:(

Настройки свитча, МАС
Настройки рутеров, пинг
Спасибо, теперь работает. Косяки были от того что на gns3.net скачал standalone версию :( После установки all-in-one всё гуд.
1) Верно. Только после list имя ACL, а не просто any :)
2) Нет, в этом случае не надо. Establised означает, что будут разрешаться только TCP пакеты, для которых уже установлена сессия. Это подходит для ACL, который будет применяться на Uplink на inbound. То есть хост из приватной сети уже установил сессию (established), тогда ответные TCP будут пропускаться, иначе — нет.
А если выделен 1 адрес, я так понимаю команда будет ip nat inside source list any interface fa0/1 overload.
и еще вопрос, в куске acl nat-inet: permit tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www нужно в конце дописывать established
Не, по-другому.
Провайдер мог выдать нам допустим /24 маску. А из неё мы сами можем сделать 4 пула по 64 адреса. То есть пул в данном случае — это не то, что выдал нам пров, а тот диапазон, который вы вычленили.
Пулом мы задаём адреса, которые будут использоваться NAT'ом. Он их будет подставлять автоматически.
Если не настроен overload — то каждый новый NAT-client будет получать новый IP-адрес.
Если настроен overload, то как только исчерпаются TCP-порты в первом, NAT начнёт выделять порты из второго адреса и т.д.
Если же вы хотите распоряжаться каждым адресом отдельно, то нужно делать несколько пулов.
Не отравляйте своё сознание этим) Пользуйтесь CLI. По командной строке если судить, то HTTP-сервер там есть.
Если даже это работает, вам нужно, чтобы ваш марщрутизатор был доступен с компьютера. То есть ПК должен быть в виртуальной сети.
Вопрос такой: вот этот пул адресов, который выделил нам провайдер и мы привязали его к нату, как он привязан к маршрутизатору, мы прописали только 1 адрес 198.51.100.2, а где вообще прописаны адреса 3-14, можете обьяснить, спасибо.
А ошибка не выдаётся? Если неправильный образ или гнс не может его найти, вылетает окошечко с ошибкой. Попробуйте другой девайс.
Если в окошке справа не появился маршрутизатор, значит он не добавился в топологию.
Вообще не сталкивался с таким. Попробуйте поставить другую версию.
Здравствуйте, вы не знаете, через GNS3 можно заходить на роутэр через браузер?
Хочется полазить в настройках роутэра через браузерный режим, вот только не как не получается(
Спасибо вам за ваши труды, знания и терпимость. Хорошее дело вы начали. melhiour «Попутного ветра» +1 :)
Сорри за беспокойство с этим разобрался. Другая проблема при переносе девайся он не появляется на поле. Может образ косячный, А может GNS3 не корректно отображает, хз :(
Нашел образ IOS для c2691. При попытке добавить его не устанавливается значение IdlePC, соответственно подгрузить этот образ в gns3 не могу. Кто-нибудь сталкивался?
Пожалуйста) Надеюсь, что статья будет через месяц.
Спасибо большое!!! Жду с нетерпение статьи о VPN!
Внезапно! Даже не думал о такой возможности.
Но для атаки, как описано в статье, насколько я понимаю, надо иметь возможность такой пакет (с адресом назначения из приватной сети) доставить до внешнего интерфейса бордера.
Первый шаг траблшутинга в этом случае — трассировка. Проверяем таблицы маршрутизации и ACL на интерфейсах по ходу движения трафика.
  • avatar henki
  • 0
Респект за проект.
Вопрос по ДЗ:
С двух компов эникеев (VSL и KMR) доступ есть, а с озерков (Ozerki) доступа не добился.
Дайте, пожалуйста, подсказку.