RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
J'avais essayé sur quagga2 de rajouter ip route ip_dummy du quagga1 vers l'IP d'interco de l'ospf/ibgp mais cela ne change rien... De : David Ponzone <david.ponz...@gmail.com> Envoyé : vendredi 11 août 2017 15:12:44 À : Antoine DURANT Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la dummy de quagga1. Ou alors c'est Quagga2 (improbable). David Ponzone Le 11 août 2017 à 20:10, Antoine DURANT <anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit : David, >Si tu ping avec une IP privée comme source,ça marche pas. Je suis d'accord Mais le pb n'est pas ici. >Si tu ping avec dummy/loop back comme source, ça marche non ? Non cela ne fonctionne pas depuis quagga1; quagga2 est OK... Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. Depuis quagga2 je peux effectivement pinguer A.A.A.A Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via ibgp/ospf. A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut pas pinguer A.A.A.A même en utilisant la dummy du ibgp. Est-ce que tu comprends mieux mon problème ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
IP forward est bien activé sur les 2 quagga De : frnog-requ...@frnog.orgde la part de Laurent CARON Envoyé : vendredi 11 août 2017 15:55:49 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga Le 11/08/2017 à 15:12, David Ponzone a écrit : > Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la > dummy de quagga1. Ou alors c'est Quagga2 (improbable). > > David Ponzone > Vendredi style ?| sysctl -w net.ipv4.ip_forward=1 Si vous me cherchez... -> [] | --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
David, >Si tu ping avec une IP privée comme source,ça marche pas. Je suis d'accord Mais le pb n'est pas ici. >Si tu ping avec dummy/loop back comme source, ça marche non ? Non cela ne fonctionne pas depuis quagga1; quagga2 est OK... Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. Depuis quagga2 je peux effectivement pinguer A.A.A.A Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via ibgp/ospf. A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut pas pinguer A.A.A.A même en utilisant la dummy du ibgp. Est-ce que tu comprends mieux mon problème ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
J'ai dit une bêtise en disant que depuis le 3750 ca fonctionne Je tourne en rond je ne comprend pas pourquoi j'ai ca . Pas besoin de forcer une route vers la /32 des dummy car via ospf l'IP est connue depuis et vers les 2 quagga. Envoyé à partir de Outlook De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Antoine DURANT <anto.duran...@outlook.fr> Envoyé : jeudi 10 août 2017 22:13:25 À : Louinel ORIENTAL Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 avec un 3750 en ip routing je peux pinguer A.A.A.A. A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De plus il s'agit d'une interco interne non publique. De : Louinel ORIENTAL <loui...@gmail.com> Envoyé : jeudi 10 août 2017 21:53:20 À : Antoine DURANT Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga Hello, Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 ip utilisé comme source pour ton ping. Le 10 août 2017 20:34, "Antoine DURANT" <anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit : Bonjour, J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream différent. Via l’ibgp je vois bien les prefixes des différents upstream sur chaque routeur, par contre si le prefixe A.A.A.A/24 est plus court via provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela ne fonctionne pas. Depuis quagga2 le ping vers A.A.A.A passe sans encombre ! interco OSP/BGP : quagga1 (ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>) quagga2 Sur quagga1 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.1/32 neighbor C.C.C.1 remote-as 1 neighbor C.C.C.1 update-source dummy0 neighbor C.C.C.1 next-hop-self neighbor C.C.C.1 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 200, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * 192.168.1.2, via eth1 Sur quagga2 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.100/32 neighbor C.C.C.100 remote-as 1 neighbor C.C.C.100 update-source dummy0 neighbor C.C.C.100 next-hop-self neighbor C.C.C.100 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 20, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * X.X.X.67, via eth2 Est-ce un comportement normal ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 avec un 3750 en ip routing je peux pinguer A.A.A.A. A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De plus il s'agit d'une interco interne non publique. De : Louinel ORIENTAL <loui...@gmail.com> Envoyé : jeudi 10 août 2017 21:53:20 À : Antoine DURANT Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga Hello, Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 ip utilisé comme source pour ton ping. Le 10 août 2017 20:34, "Antoine DURANT" <anto.duran...@outlook.fr<mailto:anto.duran...@outlook.fr>> a écrit : Bonjour, J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream différent. Via l’ibgp je vois bien les prefixes des différents upstream sur chaque routeur, par contre si le prefixe A.A.A.A/24 est plus court via provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela ne fonctionne pas. Depuis quagga2 le ping vers A.A.A.A passe sans encombre ! interco OSP/BGP : quagga1 (ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>) quagga2 Sur quagga1 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.1/32 neighbor C.C.C.1 remote-as 1 neighbor C.C.C.1 update-source dummy0 neighbor C.C.C.1 next-hop-self neighbor C.C.C.1 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 200, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * 192.168.1.2, via eth1 Sur quagga2 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.100/32 neighbor C.C.C.100 remote-as 1 neighbor C.C.C.100 update-source dummy0 neighbor C.C.C.100 next-hop-self neighbor C.C.C.100 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 20, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * X.X.X.67, via eth2 Est-ce un comportement normal ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
Non pas de vrf, juste une conf standard... --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga
J'ai essayé de faire un ping -I dummy0 A.A.A.A cela ne change rien. Même chose avec l'eth du ibgp/ospf. ip route get A.A.A.A A.A.A.A via 192.168.1.2 dev eth1 src 192.168.1.1 cache J'ai vraiment du mal à comprendre, j'ai aussi essayé ebgp-multihop 2 sur quagga2 au cas ou mais pas mieux ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Ping depuis ibgp/ospf quagga
Bonjour, J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream différent. Via l’ibgp je vois bien les prefixes des différents upstream sur chaque routeur, par contre si le prefixe A.A.A.A/24 est plus court via provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela ne fonctionne pas. Depuis quagga2 le ping vers A.A.A.A passe sans encombre ! interco OSP/BGP : quagga1 (ETH1=192.168.1.1/30)<>(ETH1=192.168.1.1/30) quagga2 Sur quagga1 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.1/32 neighbor C.C.C.1 remote-as 1 neighbor C.C.C.1 update-source dummy0 neighbor C.C.C.1 next-hop-self neighbor C.C.C.1 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 200, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * 192.168.1.2, via eth1 Sur quagga2 j’ai une dummy avec la conf suivante : Dummy0 = C.C.C.100/32 neighbor C.C.C.100 remote-as 1 neighbor C.C.C.100 update-source dummy0 neighbor C.C.C.100 next-hop-self neighbor C.C.C.100 soft-reconfiguration inbound sh ip route A.A.A.A Routing entry for A.A.A.0/24 Known via "bgp", distance 20, metric 0, best Last update 00:35:48 ago C.C.C.100 (recursive) * X.X.X.67, via eth2 Est-ce un comportement normal ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] quagga et adressage interfaces
Si le demon zebbra tombe... les IP ajoutées sur l'interface avec vtysh vont disparaître non ? De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> de la part de Alarig Le Lay <ala...@swordarmor.fr> Envoyé : lundi 31 juillet 2017 21:49:56 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] quagga et adressage interfaces Hello, On lun. 31 juil. 17:15:00 2017, Antoine DURANT wrote: > Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci > n'est pas affichée par vtysh lors d'un show conf... Donc pas top lors > de la lecture d'une conf bgp ospf par exemple. > > Comment faites vous ? Je n’utilise pas debian ? :D Sinon, comme le /etc/network/interfaces a tendance par me sortir par les yeux, j’aurais tendance à mettre les IPs dans la conf quagga. -- alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] quagga et adressage interfaces
Hello, Quel est la bonne méthode concernant l'adressage IP des interfaces ? Utiliser /etc/network/interfaces ou vtysh via conf t ou les deux ?? Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci n'est pas affichée par vtysh lors d'un show conf... Donc pas top lors de la lecture d'une conf bgp ospf par exemple. Comment faites vous ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: 3750G ipv6 route floating/track
Hello, Personne ne peut me donner une information Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] 3750G ipv6 route floating/track
Hello, Avec un 3750G IOS c3750-ipservicesk9-mz.150-2.SE10a je crois qu'il n'est pas possible d'utiliser l'objet track pour ipv6 route ::/0 2000:0:CCC::2 TRACK 10. La seule façon que j'ai trouvé est d'utiliser AD avec une floating route : ipv6 route ::/0 2000:0:DDD::2 10 ipv6 route ::/0 2000:0:CCC::2 Cela est basé sur le port UP/DOWN, j'aurais préféré faire un echo-ping d'une ipv6 mais cela ne fonctionne pas !! Limitation IOS peut être ? De plus le icmp-echo est complétement faux, je débranche le port qui permet de joindre 2000:0:CCC::2 est il me dit que le track est UP lol ! track 10 ip sla 10 reachability ! ip sla 10 icmp-echo 2000:0:CCC::2 threshold 500 timeout 500 frequency 3 ip sla schedule 10 life forever start-time now ! Switch#sh track Track 10 IP SLA 10 reachability Reachability is Up 5 changes, last change 01:58:27 Latest operation return code: OK Latest RTT (millisecs) 1 J'ai regardé EEM script mais il ne gère pas event track ... Avez-vous une solution ou astuce ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
Une petite question concernant l'adressage ip entre 2 BGP et un routeur de distribution avec une ip failover... Actuellement j'ai ça : A.A.A.0/24 bloc annoncé BGP 80.X.X.X ip d'interco routeurs R1 => 80.0.0.1/29 :: ip route A.A.A.1/32 80.0.0.5 R2 => 80.0.0.2/29 :: ip route A.A.A.1/32 80.0.0.5 IP fail Gateway : 80.0.0.6/29 R3 => 80.0.0.5/29 R4 => A.A.A.1/32 R1--OSPF/BGP---R2 |-80.0.0.6/29--| | | R3 80.0.0.5/29 dans R3 : ip route A.A.A.1/32 192.168.1.1 ip route 0.0.0.0 0.0.0.0 80.0.0.6 | R4 192.168.1.1 / A.A.A.1 dans R4 : ip route 0.0.0.0 0.0.0.0 192.168.1.2 Pour joindre A.A.A.1 depuis R1 il faut passer par 80.0.0.1 > 80.0.0.5 > 192.168.1.1 Pour joindre A.A.A.1 depuis R2 il faut passer par 80.0.0.2 > 80.0.0.5 > 192.168.1.1 Pour joindre 8.8.8.8 depuis R4 il faut passer par 192.168.1.2 > 80.0.0.6 > R1 >Transit1 (car je préfère R1/Transit1 pour cette route) J'ai voulu utiliser un /29 entre R1,R2 et R3 pour que depuis les transits de R1/R2 ils puissent joindre R3 (80.0.0.6). Mon pb est que si j'utilise une ip fail Gateway avec un /30 si l'ip fail est montée sur R1 et que j'ai un trafic résiduel qui arrive sur R2, celui-si ne pourra pas joindre R3. Est-ce qu'il y a une autre solution ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
OK, donc local-pref de 50 sur transit2 et local-pref de 100 sur transit dans une route-map IN, permet de laisser prioritaire transit1. Sur le transit2 faire un prepend dans une route-map OUT afin que le trafic passe plutôt par transit1. J'avais appliqué cela dans ma conf envoyée précédemment, je n'ai pas encore eu la validation des experts :D Michel : J'utilise 2 serveurs linux avec Quagga pour faire bgp/ospf. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
Voici la configuration des 2 routeurs avec un ibgp. R1 est connecté à AS100 transit primaire et R2 est connecté à AS200 transit de backup. Sur la route-map IN du router2 j'ai ajouté un set local-preference (pref 50) inférieur au routeur1 (pref 100). Egalement sur le routeur2 j'ai ajouté un prepend sur la route-map out. Est-ce que cela ressemble à quelque chose de valable pour le mode transit Primaire/BACKUP ou je dois encore relire les docs Cisco ? #Router1 => AS100 (Transit Primaire) router bgp 10 bgp router-id A.A.A.1 network A.A.A.0 mask 255.255.255.0 neighbor 1.1.1.100 remote-as 100 neighbor 1.1.1.100 soft-reconfiguration inbound neighbor 1.1.1.100 route-map map-in in neighbor 1.1.1.100 route-map map-out out neighbor 1.1.1.100 filter-list 1 out neighbor A.A.A.2 remote-as 100 neighbor A.A.A.2 update-source Loopback0 neighbor A.A.A.2 next-hop-self ! ip as-path access-list 1 permit ^$ ip as-path access-list 100 permit ^100_ ! ip prefix-list filterv4_in seq 5 deny A.A.A.0/24 ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0 ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32 ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32 ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32 ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32 ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32 ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32 ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32 ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32 ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32 ! ip prefix-list filterv4_out seq 5 permit A.A.A.0/24 ip prefix-list filterv4_out seq 10 deny any ! route-map map-in deny 10 match ip address prefix-list filterv4_in ! route-map map-in permit 20 match as-path 100 set local-preference 100 ! route-map map-out permit 10 match ip address prefix-list filterv4_out ! #Router2 => AS200 (Transit Backup) router bgp 10 bgp router-id A.A.A.2 network A.A.A.0 mask 255.255.255.0 neighbor 2.2.2.200 remote-as 200 neighbor 2.2.2.200 soft-reconfiguration inbound neighbor 2.2.2.200 route-map map-in in neighbor 2.2.2.200 route-map map-out out neighbor 2.2.2.200 filter-list 1 out neighbor A.A.A.1 remote-as 100 neighbor A.A.A.1 update-source Loopback0 neighbor A.A.A.1 next-hop-self ! ip as-path access-list 1 permit ^$ ip as-path access-list 200 permit ^200_ ! ip prefix-list filterv4_in seq 5 deny A.A.A.0/24 ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0 ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32 ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32 ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32 ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32 ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32 ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32 ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32 ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32 ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32 ! ip prefix-list filterv4_out seq 5 permit A.A.A.0/24 ip prefix-list filterv4_out seq 10 deny any ! route-map map-in deny 10 match ip address prefix-list filterv4_in ! route-map map-in permit 20 match as-path 200 set local-preference 50 ! route-map map-out permit 10 match ip address prefix-list filterv4_out ! route-map map-out permit 20 set as-path prepend 10 10 10 ! --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
J'ai 2 transitaires différents AS100 et AS200 pour reprendre ma conf du début. Comme vous avez pu le voir dans mon post de la semaine dernière, je suis en train de mettre un ibgp entre les deux routeurs afin de voir la table de routage de AS100/AS200 sur les deux routeurs... Si j'ai bien compris : - le trafic entrant qui vient du transitaire vers mon AS est à configurer en OUT sur mon routeur - le trafic sortant de mon AS vers le transitaire est à configurer en IN sur mon routeur BGP sélectionne automatique le chemin le plus court pour joindre un réseau, donc si AS100 et AS200 connaisses tout deux la destination mon routeur sélectionnera celui ou il y a moins de hop, je me trompe pas ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
Je nage dans le flou lol ! une route map OUT peut-elle utiliser des local-preference ? ! ip as-path access-list 1 permit ^$ ip as-path access-list 1 permit ^(10_)*$ ip as-path access-list 100 permit ^100_[0-9]*$ ip as-path access-list 101 permit ^100_ ip as-path access-list 200 permit ^200_[0-9]*$ ip as-path access-list 201 permit ^200_ ! route-map map-out permit 10 match as-path 100 set local-preference 100 ! route-map map-out permit 20 match as-path 101 set local-preference 100 ! route-map map-out permit 30 match as-path 200 set local-preference 100 ! route-map map-out permit 40 match as-path 201 set as-path prepend 10 10 10 10 ! --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
Tu as raison, je cherche à faire cette manip pour IN/OUT... Pour l'entrant et/ou le sortant : si un réseau est directement connecté à l'AS du transitaire comment faire pour que celui-ci passe directement par le transitaire sur lequel il est connecté ? Je pense que cela est maitrisable en OUT via mon AS mais pas forcément maitrisable dans l'AS du transitaire qui lui à son tour peut préférer renvoyer vers une route différente. Je me trompe ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits
Merci pour les infos Est-ce que je m'approche de la vérité avec la conf suivante : router bgp 10 bgp router-id A.A.A.1 network A.A.A.0 mask 255.255.255.0 neighbor 1.1.1.100 remote-as 100 neighbor 1.1.1.100 soft-reconfiguration inbound neighbor 1.1.1.100 route-map map-in in neighbor 1.1.1.100 route-map map-out out neighbor 1.1.1.100 filter-list 1 out neighbor 2.2.2.200 remote-as 200 neighbor 2.2.2.200 soft-reconfiguration inbound neighbor 2.2.2.200 route-map map-in in neighbor 2.2.2.200 route-map map-out out neighbor 2.2.2.200 filter-list 1 out ! ip as-path access-list 1 permit ^$ ip as-path access-list 1 permit ^(10_)*$ ip as-path access-list 100 permit ^100_[0-9]*$ ip as-path access-list 200 permit ^200_[0-9]*$ ! ip prefix-list filterv4 seq 5 deny A.A.A.0/24 ip prefix-list filterv4 seq 10 deny 0.0.0.0/0 ip prefix-list filterv4 seq 15 deny 0.0.0.0/8 le 32 ip prefix-list filterv4 seq 20 deny 10.0.0.0/8 le 32 ip prefix-list filterv4 seq 25 deny 127.0.0.0/8 le 32 ip prefix-list filterv4 seq 30 deny 169.254.0.0/16 le 32 ip prefix-list filterv4 seq 35 deny 172.16.0.0/12 le 32 ip prefix-list filterv4 seq 40 deny 192.0.2.0/24 le 32 ip prefix-list filterv4 seq 45 deny 192.168.0.0/16 le 32 ip prefix-list filterv4 seq 50 deny 224.0.0.0/3 le 32 ip prefix-list filterv4 seq 55 permit 0.0.0.0/0 le 32 ! route-map map-in permit 10 match as-path 100 set local-preference 100 ! route-map map-in permit 20 match as-path 200 set local-preference 100 ! route-map map-in permit 30 match ip address prefix-list filterv4 set local-preference 100 ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Optimisation bgp avec 2 transits
Hello, Je voudrais avoir un conseil/exemple sur l'optimisation d'une configuration de routage des flux bgp avec 2 transits. Transit 100 (majoritaire) 100M Transit 200 (secondaire - backup) 50M Donner une préférence pour transit1 plus élevée que transit2 en IN/OUT via route-map. Par contre si le réseau D.D.D.0/24 est directement connecté au Transit2 et que depuis Transit1 je dois passer dans 2 autre AS pour pouvoir le joindre, comment dire via route-map que le transit2 serait plus optimum ? En gros l'idée de dire que tous les réseaux directement connecté a l'AS du transitaire est à privilégier est elle une bonne idée ? Comment feriez vous dans cette configuration ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] RE: BGP et OSPF avec dummy/loopback sous linux
Si j'utilise A.A.A.1/32 et A.A.A.2/32 le bloc A.A.A.0/24 n'est pas annoncé aux upstream. Lorsque je regarde neighbor advertises-routes il n'y a rien, dès que je passe en /24 le bloc est annoncé directement. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] BGP et OSPF avec dummy/loopback sous linux
Hello, Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou dummy sous linux par rapport au lo traditionnel du cisco ! Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy A.A.A.1/24 et A.A.A.2/24. Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy dans face depuis les 2 quagga. #quagga 1 = eth0 router bgp 10 bgp router-id A.A.A.1 bgp log-neighbor-changes network A.A.A.0/24 neighbor A.A.A.2 remote-as 10 neighbor A.A.A.2 update-source eth0 neighbor A.A.A.2 next-hop-self neighbor A.A.A.2 soft-reconfiguration inbound router ospf ospf router-id 192.168.1.1 network 192.168.1.0/30 area 0.0.0.0 network A.A.A.0/24 area 0.0.0.0 #quagga 2 = eth0 router bgp 10 bgp router-id A.A.A.2 bgp log-neighbor-changes network A.A.A.0/24 neighbor A.A.A.1 remote-as 10 neighbor A.A.A.1 update-source eth0 neighbor A.A.A.1 next-hop-self neighbor A.A.A.1 soft-reconfiguration inbound - router ospf ospf router-id 192.168.1.2 network 192.168.1.0/30 area 0.0.0.0 network A.A.A.0/24 area 0.0.0.0 Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp monte bien via ospf... #quagga 1 = eth0 router ospf ospf router-id A.A.A.1 network A.A.A.0/24 area 0.0.0.0 #quagga 2 = eth0 router ospf ospf router-id A.A.A.2 network A.A.A.0/24 area 0.0.0.0 Qui est familier de ce genre de configuration ospf/bgp avec quagga ? Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à son peer ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] bgp/ospf et loopback dummy sous linux
Hello, Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou dummy sous linux par rapport au lo traditionnel du cisco ! Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy A.A.A.1/24 et A.A.A.2/24. Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy dans face depuis les 2 quagga. #quagga 1 = eth0router bgp 10 bgp router-id A.A.A.1 bgp log-neighbor-changes network A.A.A.0/24 neighbor A.A.A.2 remote-as 10 neighbor A.A.A.2 update-source eth0 neighbor A.A.A.2 next-hop-self neighbor A.A.A.2 soft-reconfiguration inboundrouter ospf ospf router-id 192.168.1.1 network 192.168.1.0/30 area 0.0.0.0 network A.A.A.0/24 area 0.0.0.0 #quagga 2 = eth0router bgp 10 bgp router-id A.A.A.2 bgp log-neighbor-changes network A.A.A.0/24 neighbor A.A.A.1 remote-as 10 neighbor A.A.A.1 update-source eth0 neighbor A.A.A.1 next-hop-self neighbor A.A.A.1 soft-reconfiguration inbound-router ospf ospf router-id 192.168.1.2 network 192.168.1.0/30 area 0.0.0.0 network A.A.A.0/24 area 0.0.0.0 Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp monte bien via ospf... #quagga 1 = eth0router ospf ospf router-id A.A.A.1 network A.A.A.0/24 area 0.0.0.0#quagga 2 = eth0router ospf ospf router-id A.A.A.2 network A.A.A.0/24 area 0.0.0.0 Qui est familier de ce genre de configuration ospf/bgp avec quagga ? Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à son peer ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Matériel pour LNS/LAC
Emerick, Jérôme et Lucas merci pour vos retours ;) Je pense que je vais être sage et partir sur du Cisco 7301 éprouvé selon vos expériences! Le besoin est celui exprimé par Jérôme ! Donc dans un premier temps je n'ai besoin qu'un LNS et option serveur Radius ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Matériel pour LNS/LAC
Hello,Je me penche sur le sujet de monter un tronc Adsl L2TP. Existe-t-ilun boitier all-in-one faisant office de LNS/LAC/Radius ? J’avais crucomprendre que Mikrotic est un truc du genre, non ?Chez Cisco en occasion quel produit peut faire du LNS/LAC enactivant vpdn et en le couplant à un FreeRadius ?Quel constructeur/référence me recommanderiez-vous pourdémarrer ?Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Match ipv4 et ipv6 trafic
Hello et bonne année 2017 à tous !! En suivant l'exemple Cisco ( http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/) je voudrais aussi inclure le trafic ipv6. Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ? J'ai essayé : Class-map match all v4v6 match access-group name aclv4 match access-group name aclv6 policy-map Test Class v4v6 Police exceed-action drop IP access-list extended aclv4 permit IP host 192.168.1.1 any deny IP any any IP acces-list aclv6 permit ipv6 host ::::x any deny ipv6 any any Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre quand je fais un show run je ne vois pas de service-police sur l'interface :( Quelqu'un peut me dire ou je fais erreur ? Merci !!! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Match ipv4 et ipv6 trafic
| Hello et bonne année 2017 à tous !! En suivant l'exemple Cisco (http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/) je voudrais aussi inclure le trafic ipv6. Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ? J'ai essayé : Class-map match all v4v6 match access-group name aclv4 match access-group name aclv6 policy-map Test Class v4v6 Police exceed-action drop IP access-list extended aclv4 permit IP host 192.168.1.1 any deny IP any any IP acces-list aclv6 permit ipv6 host ::::x any deny ipv6 any any Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre quand je fais un show run je ne vois pas de service-police sur l'interface :( Quelqu'un peut me dire ou je fais erreur ? Merci !!! | --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Match ipv4 et ipv6 trafic
Hello, En suivant l'exemple Cisco (http://slaptijack.com/cisco-catalyst-2960-inbound-rate-limiting-example/) je voudrais aussi inclure le trafic ipv6. Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ? J'ai essayé : Class-map match all v4v6 match access-group name aclv4 match access-group name aclv6 policy-map Test Class v4v6 Police exceed-action drop IP access-list extended aclv4 permit IP host 192.168.1.1 any deny IP any any IP acces-list aclv6 permit ipv6 host ::::x any dent ipv6 any any Quand j'attache service-policy input Test je n'ai pas d'erreur, par contre quand je vais un show run je ne vois pas de service-police sur l'interface :( Quelqu'un peut me dire ou je fais erreur ? Merci !!! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Matches all IPv4 and IPv6 traffic
Hello, En suivant l'exemple Cisco Catalyst 2960 Inbound Rate Limiting Example | Slaptijack je voudrais aussi inclure le trafic ipv6. Comment faire pour inclure dans la même service-policy le trafic v4 et v6 ? Si j'utilise le match cos 0 Est-ce que j'englobe le trafic v4+v6 ? class-map match-any v4v6 match cos 0 Merci !!! | | | | || | | | | | Cisco Catalyst 2960 Inbound Rate Limiting Example | Slaptijack This is the full text rate limiting example that accompanies my Catalyst rate limiting post. This example was de... | | | | --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : RE: Re : Re: [FRnOG] [TECH] police cir vs shape average qos
Je vais voir ça merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] police cir vs shape average qos
Lol bête et discipliné japplique la formule donné par le constructeur mais en fait cest bugué... Rolala cest pas simple de suivre ! Aspirine !!! Est-ce que cette formule nest plutôt pas pour brider la bp sur un lien, par exemple jai un car de 10Mb que je découpe en 2Mb, en incluant la gestion des burst ?? Donc a utiliser plutôt pour police cir que shape average ? Je vais essayer avec shape average comme je lavais préciser dans mon exemple 2 :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] police cir vs shape average qos
Je ne comprends pas ton exemple cisco avec la formule de ton lien... Le CAR est de 210 non ? Normal burst = 210 * (1byte)/(8bits) * 1.5 seconds Extented burst = 2 * Normal burst Donc le shape selon la formule devrait être : shape average 210 393750 787500 Cest quoi le truc ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] police cir vs shape average qos
Merci à tous. Le shape average serait la meilleure solution selon vos retours et ce que jai pu lire sur Google... David, pourquoi le shape est à 210 et non pas à 20 ? Concernant le burst quel est la façon de le calculer ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] police cir vs shape average qos
Hello, En essayant d’approfondir les méthodes de qos cisco pour la VOIP je me demande quel est la meilleure méthode entre police cir et shape average concernant une qos voix… Lequel est préférable d’utiliser ? Je prends l’exemple d’une fibre 20M dans laquelle je souhaite réserver de la BW pour 4 canaux (priority 320). --- Exemple 1 - class-map match-any MatchVOIP match protocol rtcp match protocol rtp match protocol sip ! policy-map VOIP class class-default police cir 2000 policy-map WAN class MatchVOIP priority 320 set dscp ef service-policy VOIP class class-default fair-queue random-detect ! interface FastEthernet4 service-policy output WAN --- Exemple 2 - class-map match-any MatchVOIP match protocol rtcp match protocol rtp match protocol sip ! policy-map VOIP class MatchVOIP priority 320 class class-default fair-queue random-detect policy-map WAN class class-default shape average 2000 service-policy VOIP ! interface FastEthernet4 service-policy output WAN --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;) De : GAGNAIRE Thibaut <tgagna...@novenci.fr> À : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h18 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Il manque la route-map dans ton mail. route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr<mailto:tgagna...@novenci.fr> www.idline.fr<http://www.idline.fr/> [cid:image001.jpg@01D03BAF.8148ECA0] De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : jeudi 21 juillet 2016 13:07 À : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/ Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip nat Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé grave ! J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios + formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun vpn" Bon je pense que la bonne route map doit être : ip access-list extended RM1 deny ip 172.16.1.0 0.0.255.255 anydeny ip 172.16.2.0 0.0.255.255 any permit ip any any De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h17 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une subtilité/un détail sur la conf que tu n’omets pas de nous donner ? » n’était pas concerné par un VPN ? :) > Le 21 juil. 2016 à 13:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le > résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que > je rajoute une règle ip nat Inside sur le site distant. > En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs > et pas en passant par le vpn. > Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan > interne même avec la regle ip natLe problème est depuis le site 2 > (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le > service web (172.16.1.33). > J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne > pas mieux depuis le site 2 : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 > extendable > ip access-list extended RM1 > deny ip 172.16.0.0 0.0.255.255 any > permit ip any any > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Oui je peux aussi faire ça ! Je vais en premier lieu faire une maj ios et écraser la configuration ! Merci David pour l'aide ;) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h46 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu peux aussi faire un autre truc amusant. Tu mets tes 2 règles donc .10 peut plus accéder à .33:80. Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la devinette de l’été. > Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai > branché un switch qui connecte mon serveur web et mon pc. > > Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web > était connecté derrière le Cisco avant de passer sur le switch... > > Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... > > Je vais reprendre la configuration du Cisco à zéro et écraser la conf. > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 11h25 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse > MAC qu’elle a pour l’autre est bien l’autre :) > En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de > .33, et pas un méchant qui se fait passer pour elle, et inversement. > Vire toute règle de firewall/iptables/etc.. sur .33. > Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par > le Cisco, sauf config tordue. > Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour > matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour > voir si le compteur s’incrémente). > > T’es sûr qu’il y a pas une subtilité dans la conf ? > > > >> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr >> <mailto:antoine.duran...@yahoo.fr>> a écrit : >> >> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >> >172.16.1.10 ? >> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent >> dans une règle ip nat >> >> >.10 et .33 ont le Cisco comme route par défaut ? >> Oui >> >> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? >> Oui le ping passe avec les règles ou meme sans >> >> >Si non, je te recommande de revoir toute la configuration (netmask, >> >proxy-arp, ….) car c’est juste pas possible. >> Le netmask est conforme, le proxy-arp est off >> >> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration >> archi simple... >> > > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché un switch qui connecte mon serveur web et mon pc. Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web était connecté derrière le Cisco avant de passer sur le switch... Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... Je vais reprendre la configuration du Cisco à zéro et écraser la conf. De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h25 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur .33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour voir si le compteur s’incrémente). T’es sûr qu’il y a pas une subtilité dans la conf ? Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut alarig, Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change pas mon problème d'accès depuis le lan De : Alarig Le Lay <ala...@swordarmor.fr> À : frnog@frnog.org Envoyé le : Mercredi 20 juillet 2016 11h06 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside On Wed Jul 20 08:28:00 2016, Antoine Durant wrote: > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Salut, Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche sur TCP ? -- alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Heu non David. J'ai activé ces 2 règles pour que le service web soit joignable depuis l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide... Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas depuis le wan (normal) :) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 10h42 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ? Alors là, magie! > Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça > mouline et je n’y accède pas. > Si j’enlève les règles du dessus ça fonctionne depuis le lan. > > Est-ce que mes règles sont mal construites ? > > Merci pour le coup de pouce ;) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Comportement étrange avec ip nat inside
Bonjour, J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle ip nat inside. J’ai ajouté les règles suivantes pour que mon serveur web soit accessible depuis l’extérieur via IP wan : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça mouline et je n’y accède pas. Si j’enlève les règles du dessus ça fonctionne depuis le lan. Est-ce que mes règles sont mal construites ? Merci pour le coup de pouce ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Oui c'est pas génial je dois dire là ! Mais bon avec ma technique via DHCP binding j'arrive à me débrouiller mais il faut que je m'y prenne en deux fois quoi :\ De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h48 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ouais, c’est ce que je disais: DHCP sur Cisco, faut oublier. David Ponzone Direction Techniqueemail: david.ponzone@ipeva.frtel: 01 74 03 18 97gsm: 06 66 98 76 34 Service Client IPevatel: 0811 46 26 26www.ipeva.fr - www.ipeva-studio.com Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. Le 28 juin 2016 à 13:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas ! J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande enregistrée. Donc c'est l'un ou l'autre De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h18 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même un Technicolor à 30€ en fait 5 fois plus. Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas ! J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande enregistrée. Donc c'est l'un ou l'autre De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h18 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même un Technicolor à 30€ en fait 5 fois plus. Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Incompréhension DHCP Cisco
Bonjour :) Je n'arrive pas à figer une adresse ip sur le Cisco en utilisant hardware-address d'un PC sous Windows 7. ip dhcp pool portable-acer host 192.168.1.1 255.255.255.0 hardware-address e840.f2ab.5db8 Le routeur ne me donne pas l'adresse 192.168.1.1 mais la suivante 192.168.1.2. La sortie du ip DHCP binding est la suivante : 192.168.1.1 e840.f2ab.5db8 Infinite Manual 192.168.1.2 01e8.40f2.ab5d.b8 Jun 29 2016 11:07 AM Automatic Si j'utilise client-identifier 01e8.40f2.ab5d.b8 me semble que je vais pas avoir de pb. J'ai du mal à comprendre hardware-address vs client-identifier Comment faire pour utiliser l'adresse MAC pour la réservation d'adresse ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
David : Merci mais cela ne fonctionne toujours pas depuis le lan, j'ai même essayé de mettre l'IP du ROUTEUR-NAT (anciennement NAT) Michel :Le routeur R1 a une loopback avec une ip public, je souhaite depuis le lan R1 (192.168.1.X/24) utiliser l'ip public 1.1.1.1 afin d'accéder au serveur web en 192.168.1.1.=> ip nat inside source static tcp 192.168.1.1 80 interface Loopback0 80 Depuis le Lan R1 si je tape http://192.168.1.1/ ca marche mais pas http://1.1.1.1/. Par contre depuis le lan du routeur R2 si je tape http://1.1.1.1/ ca fonctionne, donc depuis l'extérieur pas de problème. J'ai juste un problème de NAT hairpin en interne du lan R1 a régler, mais je n'y arrive pas De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 14h31 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. Pas que Cisco. Pour la conf, c’est pas ça. C’est plutôt: interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map INSIDE-IP-PUBLIC ! route-map INSIDE-IP-PUBLIC permit 10 match ip address HOST-NAT set ip next-hop ! ip access-list extended HOST-NAT permit ip 192.168.1.0 0.0.0.255 any Mais vraiment, aucune garantie. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode bidouille pour faire ça :( Est-ce que cette configuration te semble bonne pour le PBR ? interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map INSIDE-IP-PUBLIC ! route-map INSIDE-IP-PUBLIC permit 10 match ip address HOST-NAT set interface Loopback0 ! ip access-list extended HOST-NAT permit ip any host 1.1.1.1 De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 12h26 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu peux tenter avec le PBR mais bon, on est dans la bidouille. > Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Ma demande initiale a bien changé c'est vrai. > Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque > je suis en ip nat inside afin de permettre au lan d'utiliser le service web > en ip public ? > > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" > <frnog-t...@frnog.org> > Envoyé le : Lundi 18 avril 2016 11h54 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Oui c’est normal. On a probablement pas été assez clair. > Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que > ton paquet entre dans le routeur par l’interface qui est en « ip nat outside > ». > Ce qui n’est pas le cas quand tu arrives depuis le LAN. > Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part. > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Ma demande initiale a bien changé c'est vrai. Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque je suis en ip nat inside afin de permettre au lan d'utiliser le service web en ip public ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 11h54 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Oui c’est normal. On a probablement pas été assez clair. Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton paquet entre dans le routeur par l’interface qui est en « ip nat outside ». Ce qui n’est pas le cas quand tu arrives depuis le LAN. Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 depuis le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de problème pour utiliser l'ip public loopback de R1... J'ai quelque chose de particulier à faire pour le lan ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 13h46 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que j’ai suggéré.L’un ou l’autre. Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur une loopback de R1 et meme chose pour R2. Est-ce que ta manip est la même à faire sur R1 ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 11h00 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur appliquer un set ip next-hop https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing David Ponzone Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur une loopback de R1 et meme chose pour R2. Est-ce que ta manip est la même à faire sur R1 ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 11h00 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur appliquer un set ip next-hop https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing David Ponzone Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même une question que je n'arrive pas à résoudre/comprendre : Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté vers 192.168.1.1 ? Possible à faire en utilisant ip nat out/in ou pas?? Merci pour l'explication Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces routeurs ? Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 via un ip route. Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu conserves ton ip nat outside et ip nat Inside. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Oui cela ne fonctionne pas mieux ! Est-ce que en utilisant ip nat Inside/outise il est possible de faire du nat reflexion en utilisant depuis le lan l'ip public du loopback afin de revenir sur l'IP du lan ? J'ai essayé plusieurs conf mais rien ne fonctionne depuis l'interne, cela mouline puis fini par un timeout, par contre depuis l'extérieur ca passe ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Envoyé le : Samedi 9 avril 2016 11h51 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Avec nat nvi, on arrive vite à des confs ingérables... David Ponzone Le 9 avr. 2016 à 10:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort avec l'IP public n°2. NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une adresse située sur le ROUTEUR-TEST. Je suis bloqué, je n'arrive pas a résoudre ce problème. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort avec l'IP public n°2. NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une adresse située sur le ROUTEUR-TEST. Je suis bloqué, je n'arrive pas a résoudre ce problème. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
OK, mais la j'essaye d'abord de faire un ping depuis vlan102 (ou R2) vers le routeur ROUTEUR-TEST. Ca ne passe pas ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
En fait ip nat enable n'est pas si magique que ça... Sur ROUTEUR-NAT j'ai bien activé "ip nat enable" sur toute les interfaces en lieu et place des Inside/outside J'ai changé les access-list ansi que ip nat Inside par : ip nat source list 10 interface FastEthernet4 overloadip nat source static 10.0.1.1 1.1.1.1 extendable ip nat source static 10.0.1.5 1.1.1.2 extendableaccess-list 10 permit 10.0.1.4 0.0.0.3 Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102 Est-ce que j'ai un problème dans mon access-list/ip nat source ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h29 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en plus. C’est justement là qu’il faut utiliser le NAT NVI et son: ip nat enable magique. Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention… Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur ASR par exemple). > Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 > et vlan102 ca va passer ? > > NAT NVI je ne connais pas je vais regarder Google ! > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 14h13 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Ton problème est vieux comme le monde :) > Ca s’appelle le NAT HAIRPINNING. > > Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT > 1-to-1: > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). > l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour > va le modifier en 192.168.1.1 (server0). > Le paquet retour va partir de 192.168.1.1 (server0) à destination de > 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. > Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de > VLAN101 vers VLAN102. > Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait > envoyé un paquet à 1.1.1.1. > > En fait, c’est le problème fondamental qui consiste à accéder à une IP > publique qui donne accès à une ressource interne grâce à du NAT, en étant > soi-même pas de l’autre côté du NAT, mais en interne. > > Prends de l’aspirine et: > > https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.com/discussion/12102421/nat-hairpinning> > > Pour moi tu as 2 solutions: > -DNS split-horizon > -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu > d’aspirine pour par pondre une grosse bouse > > > > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour David, > > > > Je comprend ta remarque et me doute bien que vous avez tous des > > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à > > frnog pour avoir un coup de pouce... > > > > Voici le schéma : > > http://hpics.li/82254e6<http://hpics.li/82254e6><http://hpics.li/82254e6<http://hpics.li/82254e6>> > > > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > > connecté derrière R1, donc le NAT/access-list fonctionne. > > > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon > > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à > > résoudre ça :( > > > > Merci d'avance à tous. > > > > > > > > De : David Ponzone <david.ponz...@gmail.com > > <mailto:david.ponz...@gmail.com>> > > À : Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> > > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" > > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>> > > Envoyé le : Vendredi 8 avril 2016 12h48 > > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > > > Antoine, > > > > je pense que plusieurs sur cette liste pourront te régler ce problème en > > 3/5 minutes max, mais ils ont c
Re: [FRnOG] [TECH] IP Nat sur Cisco
Bonjour Xavier, Je vais dans un premier temps éviter le VPN, je suis en train de regarder NAT NVI comme suggéré par David...mais c'est assez compliqué au premier abord... Je vais avoir besoin de plusieurs boites d'aspirines !!! De : Xavier ROCA <x.r...@sdi.fr> À : frnog-t...@frnog.org Envoyé le : Vendredi 8 avril 2016 15h04 Objet : RE: [FRnOG] [TECH] IP Nat sur Cisco Bonjour, Je ne sais pas ton objectif final donc voici une idée mais pas forcément adaptée mais relativement simple. VPN entre R1 et R2. Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait. Xavier -Message d'origine- De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] Envoyé : vendredi 8 avril 2016 14:23 À : David Ponzone Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et vlan102 ca va passer ? NAT NVI je ne connais pas je vais regarder Google ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h13 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING. Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 > j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème > est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je > n'arrive pas à résoudre ça :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant > <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" > <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : > Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :R1 => LAN_1 > > :R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > insid
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et vlan102 ca va passer ? NAT NVI je ne connais pas je vais regarder Google ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h13 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING. Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis > situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça > :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 12h48 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :R1 => LAN_1 > > :R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > inside/access-list. > > Une petite idée ? j'ai épuisé toute mes solutions... Merci > > ROUTEUR-TEST > > interface FastEthernet4 > > ip address 172.16.3.30 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > duplex auto > > speed auto > > ! > > interface Vlan1 > > ip address 1.1.1.100 255.255.255.128 > > ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > > ROUTEUR-NAT > > interface Loopback0 > > ip address 1.1.1.1 255.255.255.255 > > ! > > interface Loopback1 > > ip addr
Re: [FRnOG] [TECH] IP Nat sur Cisco
Bonjour David, Je comprend ta remarque et me doute bien que vous avez tous des occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour avoir un coup de pouce... Voici le schéma : http://hpics.li/82254e6 Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 connecté derrière R1, donc le NAT/access-list fonctionne. Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça :( Merci d'avance à tous. De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Antoine, je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs pour comprendre l’archi, ça prend tout de suite un peu plus de temps. Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit schéma par exemple ? > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs > pour le test : > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > : > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > :R1 => LAN_1 > :R2 => LAN_2 > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais > accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir > via 1.1.1.2. > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > inside/access-list. > Une petite idée ? j'ai épuisé toute mes solutions... Merci > ROUTEUR-TEST > interface FastEthernet4 > ip address 172.16.3.30 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > duplex auto > speed auto > ! > interface Vlan1 > ip address 1.1.1.100 255.255.255.128 > ! > ip forward-protocol nd > no ip http server > no ip http secure-server > ! > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > ROUTEUR-NAT > interface Loopback0 > ip address 1.1.1.1 255.255.255.255 > ! > interface Loopback1 > ip address 1.1.1.2 255.255.255.255 > ! > interface FastEthernet0 > description * UPLINK R1 * > switchport access vlan 101 > no ip address > ! > interface FastEthernet1 > description * UPLINK R2 * > switchport access vlan 102 > no ip address > ! > interface FastEthernet4 > description ** UPLINK ROUTEUR-TEST ** > ip address 172.16.3.29 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat outside > ip virtual-reassembly in > duplex auto > speed auto > ! > interface Vlan101 > ip address 10.0.1.2 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > ! > interface Vlan102 > ip address 10.0.1.6 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > ! > ip forward-protocol nd > no ip http server > no ip http secure-server > ! > ip nat inside source list 101 interface Loopback0 overload > ip nat inside source list 102 interface Loopback1 overload > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > ip nat inside source static 10.0.1.5 1.1.1.2 extendable > ip route 0.0.0.0 0.0.0.0 172.16.3.30 > ! > access-list 101 permit ip 10.0.1.0 0.0.0.3 any > access-list 102 permit ip 10.0.1.4 0.0.0.3 any > R1 > ip dhcp pool LOCAL-192.168.1.0 > network 192.168.1.0 255.255.255.0 > default-router 192.168.1.254 > domain-name lan1.local > lease infinite > ! > ip cef > no ip bootp server > no ip domain lookup > no ipv6 cef > ! > interface FastEthernet0/0 > ip address 10.0.1.1 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat outside > ip virtual-reassembly in > duplex auto > speed auto > ! > interface FastEthernet0/1 > ip address 192.168.1.254 255.255.255.0 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > duplex auto > speed au
[FRnOG] [TECH] IP Nat sur Cisco
Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs pour le test : ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) : ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 :R1 => LAN_1 :R2 => LAN_2 Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir via 1.1.1.2. Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat inside/access-list. Une petite idée ? j'ai épuisé toute mes solutions... Merci ROUTEUR-TEST interface FastEthernet4 ip address 172.16.3.30 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto ! interface Vlan1 ip address 1.1.1.100 255.255.255.128 ! ip forward-protocol nd no ip http server no ip http secure-server ! ip route 1.1.1.1 255.255.255.255 172.16.3.29 ip route 1.1.1.2 255.255.255.255 172.16.3.29 ROUTEUR-NAT interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Loopback1 ip address 1.1.1.2 255.255.255.255 ! interface FastEthernet0 description * UPLINK R1 * switchport access vlan 101 no ip address ! interface FastEthernet1 description * UPLINK R2 * switchport access vlan 102 no ip address ! interface FastEthernet4 description ** UPLINK ROUTEUR-TEST ** ip address 172.16.3.29 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Vlan101 ip address 10.0.1.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ! interface Vlan102 ip address 10.0.1.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ! ip forward-protocol nd no ip http server no ip http secure-server ! ip nat inside source list 101 interface Loopback0 overload ip nat inside source list 102 interface Loopback1 overload ip nat inside source static 10.0.1.1 1.1.1.1 extendable ip nat inside source static 10.0.1.5 1.1.1.2 extendable ip route 0.0.0.0 0.0.0.0 172.16.3.30 ! access-list 101 permit ip 10.0.1.0 0.0.0.3 any access-list 102 permit ip 10.0.1.4 0.0.0.3 any R1 ip dhcp pool LOCAL-192.168.1.0 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 domain-name lan1.local lease infinite ! ip cef no ip bootp server no ip domain lookup no ipv6 cef ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in duplex auto speed auto ! ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80 ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22 ip route 0.0.0.0 0.0.0.0 10.0.1.2 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any R2 ip dhcp pool LOCAL-192.168.1.0 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 domain-name lan2.local lease infinite ! ip cef no ip bootp server no ip domain lookup no ipv6 cef ! interface FastEthernet0/0 ip address 10.0.1.5 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in duplex auto speed auto ! ip nat inside source list 101 interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 10.0.1.6 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
La QOS pour le débit descendant Internet > Routeur CPE est à appliquer par le FAILa QOS pour le débit montant CPE > Internet est à appliquer par moi via l'interface fa4 c'est bien ca ? Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien (1843000) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Salut, Je dois en conclure que j'ai juste, ou, alors tout faux ? C'est pas évident de trouver une autocorrection sur le web car il y a plein de choses contradictoires. Il est difficile de me faire une idée si j'ai bon ou pas... Merci Hello, Suite à vos différentes remarques et conseils, voici la configuration que je vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711. ! class-map match-all VOIP_AUDIO match access-group name AUDIO class-map match-all VOIP_SIGNALING match access-group name SIGNALING ! policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue ! interface FastEthernet4 service-policy output QOS ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 permit udp any any range 5060 5061 ! Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du fournisseur pour le sens PE > CPE Merci et bonne journée à tous ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Bonjour Saïd, Merci pour ton aide. Pour le moment je suis sur une sdsl de 2M. Quand tu me dit de rajouter policy-map WANshape_Qos sur l'interface interface FastEthernet4, j'ai déjà un service Policy il n'est pas possible d'en avoir deux non ? Si je fais ca est-ce que c'est bon ? policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default --->shape average 1843000 fair-queue De : Said Ahmed Sambe <said.sa...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 11 février 2016 11h29 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Bonjour, A première lecture ton implémentation me semble correcte en tout cas pour la gestion de la COS pour les flux voix. Seule remarque ton CBR en sortie de ton port interface fastEthernet 0 est il de 10 M 100 M ou 2 M ou autres. Si oui faudra adapter ton policy-map en définissant la vraie valeur sur laquelle sera appliquée la politique de (QOS) en cas de congestion. Ce la reviendrait à faire du HFQ. exemple tu crées un policy-map parent dans lequel tu appelles ta politique QOS exemple policy-map WANshape_Qos class class-default shape average 1843000 <-- la bande passante de mon interface de sortie est de 1,8M et poussière service-policy WANoutQoS Le 11 février 2016 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > Salut, > Je dois en conclure que j'ai juste, ou, alors tout faux ? > C'est pas évident de trouver une autocorrection sur le web car il y a > plein de choses contradictoires. Il est difficile de me faire une idée si > j'ai bon ou pas... > Merci > > > Hello, > Suite à vos différentes remarques et conseils, voici la configuration que > je vais mettre en place concernant la QOS pour 4 appels utilisant le codec > g711. > ! > class-map match-all VOIP_AUDIO > match access-group name AUDIO > class-map match-all VOIP_SIGNALING > match access-group name SIGNALING > ! > policy-map QOS > class VOIP_AUDIO > set ip dscp ef > priority 320 > class VOIP_SIGNALING > set ip dscp af31 > bandwidth 16 > class class-default > fair-queue > ! > interface FastEthernet4 > service-policy output QOS > ! > ip access-list extended AUDIO > permit udp any any range 16384 32767 > ip access-list extended SIGNALING > permit tcp any any range 2000 2002 > permit tcp any any range 5060 5061 > permit udp any any range 5060 5061 > ! > Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du > fournisseur pour le sens PE > CPE > Merci et bonne journée à tous ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Saïd Ahmed SAMBE. Ingénieur Support Technique VPN- Data - Bouygues Telecom 1 B, rue Achille Martinet 75018 Paris Tel: 06 69 31 98 27 "Be not afraid of greatness : some are born great, some achieve greatness, and some have greatness thrust upon them." William Shakespeare "If you see me in a fight with the bear, pray for the bear". Kobe Briant --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
D'accord oui je vois le truc ! Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien (1843000) ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Said Ahmed Sambe <said.sa...@gmail.com>; frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 11 février 2016 12h15 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, je crois que c’est obligatoirement l’inverse, comme Saïd t’a dit parce que le Cisco ne peut faire de QoS que sur une interface dont il gère le shaping. C’est expliqué plus ou moins bien sur des documents de Cisco. Donc: policy-map WANshape_Qos class class-default shape average 1843000 service-policy QOS policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue Et tu appliques WANshape_Qos sur FE4. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Hello, Suite à vos différentes remarques et conseils, voici la configuration que je vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711. ! class-map match-all VOIP_AUDIO match access-group name AUDIO class-map match-all VOIP_SIGNALING match access-group name SIGNALING ! policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue ! interface FastEthernet4 service-policy output QOS ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 permit udp any any range 5060 5061 ! Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du fournisseur pour le sens PE > CPE Merci et bonne journée à tous ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour Stars Wars 7 :D Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du switch vers les sous switchs non manageable. Il faut aussi que j'applique cette police en input sur le switch non ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h43 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera la casse pour ce qui est de TCP :) Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
>Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
David, je crois que l'on est pas sur la même longueure d'onde :\ Un accès internet 4M est partagé entre deux bureaux. J'ai un routeur cisco qui est connecté à un switch 2960 port fa0/24. Sous le 2960 sur le port fa0/1 j'ai un switch non manageable du bureau 1 (192.168.1.0/24) et sur le port fa0/2 un switch non manageable du bureau 2 (192.168.2.0/24). Les deux bureaux n'ont pas à se voir ou échanger des données entre eux (VLAN 10 -> Bureau1 / VLAN 11 -> Bureau2). Dans chaque bureau ils peuvent échanger entre eux à 100M via leur switch non manageable. Dans chaque bureau il faut limiter la bande passante vers le routeur pour l'accès internet 2Mb UP/2Mb Down. Pour cela sur le switch 2960 sur le port fa0/1 (idem pour fa0/2) j'ai : ! mls qos ! class-map match-all UP match access-group name ACLUP2M class-map match-all DOWN match access-group name ACLDOWN2M ! policy-map BP_UP class-map match-all ACLUP2M police 200 100 exeed-action drop policy-map BP_DOWN class-map match-all ACLDOWN2M police 200 100 exeed-action drop ! interface Fa0/1 swicthport access vlan 10 switchport mode access swicthport nonegociate spanning-tree portfast service-policy input BP_UP ! interface Fa0/24 swicthport trunk allowed vlan 10,11 switchport mode trunk swicthport nonegociate spanning-tree portfast service-policy input BP_DOWN ! ip access-list extended ACLUP2M permit ip any 192.168.1.0 0.0.0.255 permit ip any 192.168.2.0 0.0.0.255 deny ip any any ip access-list extended ACLDOWN2M permit ip 192.168.1.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any deny ip any any ! Donc maintenant, je me demande s'il ne faut pas AUSSI rajouter une QOS pour la VOIX sur fa0/1,fa0/2 et fa0/24 afin de ne pas avoir un problème de saturation via les uplink du 2960... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
> B oui mais pas pour limiter à 4mbps! Celle-là, c’est pour éviter la > saturation du switch lors d’un gros échange data entre 2 ports, mais bon, ça > devrait pas saturer un switch récent correct. Saturation tout dépend de comment on l'interprète... J'ai un lien internet 4Mb; j'ai deux sous-switch non manageable sur le quel je veux limiter l'accès internet a 2Mb en UP et 2M en down. Je me sert donc du switch 2960 pour faire la limitation de BP, maintenant je veux que l'uplink entre le siwtch 2960 et les switchs non manageable soit pas impactés pour la VOIX > Normalement, demander au switch de respecter la COS des paquets voix sur tous > les ports devait suffire.Oui en activant mls qos trust cos sur les ports > uplink du 2960 raccordant les sous switchs (qui eux ne taguent rien...) >Tu peux en plus activer les mécanismes de storm control et autres du >switch.Oui mais je ne sais pas trop quelle valeur du level est à mettre quand >on limite la BP à 2Mb sur un port... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
En fait c'est la question que je me pose ! A) Faut-il appliquer la QOS (en input) sur le port switch connecté au port du routeur LAN (qui lui aura la QOS en output) ?B) Faut-il appliquer la QOS (en input) sur e port du switch connecté au port du sous-switch non manageable ? Faire A et B ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h58 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco INPUT venant du routeur ?Pas trop la peine puisque tu as limité côté routeur en OUTPUT. Le 5 nov. 2015 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour Stars Wars 7 :D Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du switch vers les sous switchs non manageable. Il faut aussi que j'applique cette police en input sur le switch non ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h43 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera la casse pour ce qui est de TCP :) Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir impossible sur du trafic UDP"Parceque sur le switch il n'est pas possible de faire en OUPUT... "-tu « polices » l’AUDIO ? Généralement, l’idée est plutôt de « policer » le reste pour être sur que l’audio ait de la place"Oui, j'ai lu cela à plusieurs reprise sur des configurations Donc à la place de POLICE il faut utiliser quoi alors ? une réservation de bande passante ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 3 novembre 2015 19h15 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco 2 commentaires: -tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir impossible sur du trafic UDP-tu « polices » l’AUDIO ? Généralement, l’idée est plutôt de « policer » le reste pour être sur que l’audio ait de la place > Le 3 nov. 2015 à 19:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonsoir :) > Voici la configuration que je pense être "bonne", est-ce que pour vous cela > semble OK pour la QOS VOIX ?? > Le port fa0/1 est un uplink connecté à un switch non managable (sur celui-ci > il ya des postes + téléphone IP non cisco)le port fa0/10 est l'uplink vers le > routeur internet > > !mls qos > ! > class-map match-all SIGNALING > match access-group name SIGNALING > class-map match-all AUDIO > match access-group name AUDIO > ! > policy-map QOS > class AUDIO > set ip dscp ef > police 48000 8000 exceed-action drop > class SIGNALING > set ip dscp af31 > police 1 8000 exceed-action drop > ! > interface FastEthernet0/1 > description * uplink sous-switch * > switchport access vlan 10 > switchport mode access > switchport nonegotiate > mls qos trust cos > spanning-tree portfast > service-policy input QOS > ! > interface FastEthernet0/10 > description * uplink vers ROUTEUR WAN * > switchport trunk allowed vlan 10,11 > switchport mode trunk > mls qos trust cos ?? > spanning-tree portfast > service-policy input QOS > ! > ip access-list extended AUDIO > permit udp any any range 16384 32767 > ip access-list extended SIGNALING > permit tcp any any range 2000 2002 > permit tcp any any range 5060 5061 > ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
J'ai pas tout compris :\ "Presque ça, sauf que là, tu shapes le trafic voix à 2Mbps :)Ce que tu veux, c’est shaper ta data à 200*0.9 par exemple, donc 1.8Mbps, pour laisser 200Kbps minimum pour la voix."Oui je veux limiter la data pour laisser place à la voix. par exemple sur un lien 4M je veux laisser 2M pour la voix. Comment tu fais le shape pour exclure la data pour laisser prio la voix ? A quoi correspond le 0.9 ? "Les Service Policy de Cisco, c’est quand même un gros gros bordel, il y a X manières de faire les choses, dont un certain nombre qui ne marchent pas sur tel ou tel hardware et/ou IOS."Oui la je m'arrache le peu de cheveux qui me reste "Personnellement, je vais au plus simple."C'est quoi alors le plus simple selon toi? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"Sur le switch, je pense que je me contenterais de faire du trust cos sur tous les postes, si bien entendu les flux SIGNALING et AUDIO sont correctement taggés par tes endpoints."Donc si je comprend ton avis, il faut que j'active *mls qos trust cos* sur tout les ports du switch à conditions que mes téléphones taguent bien le COS/SDCP ?? "Ensuite sur le routeur, je ferais du « shape average » de la data en output sur le lien WAN afin de garder X% pour la voix, et de même sur le port qui va vers le switch (ce qui correspond à l’INPUT du WAN)."Comment tu réalise le shape average sur le routeur ?? ! mls qos ! class-map match-all SIGNALING match access-group name SIGNALING class-map match-all AUDIO match access-group name AUDIO ! policy-map QOS class AUDIO set ip dscp ef shape average 200 class SIGNALING set ip dscp af31 shape average 200 ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 ! interface WAN mls qos trust cos service-policy output QOS ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"Tu fais une ACL basée sur des deny, plutôt que des permit."OK... Je vois ! Quelque chose comme ça alors ?? ! mls qos ! class-map match-all VOIP match access-group name SIGNALING match access-group name AUDIO ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 ! policy-map wan-queue-policy class VOIP priority 180 class class-default fair-queue random-detect ! policy-map wan-shape-policy class class-default shape average 200 service-policy wan-queue-policy ! interface WAN service-policy out wan-shape-policy ! "J’ai pris une valeur d’exemple, qui consisterait à limiter la data à 90% du lien."D'accord oui c'est fonction du nombre d'appel que je veux pouvoir assurer sur le lien. "Certains diraient qu’on perd de la capa max pour la data, même quand il n’y a pas d’appels VoIP."Ha ha je savais pas !? Donc en fait la QOS n'est pas dynamique, c'est à dire que à un instant X si pas de VOIP il ne sera pas possible d'utiliser toute la capacité du tuyau ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] QOS voix switch cisco
Quel soft existe pour tester si la réservation de la QOS VOIX est fonctionnelle ?? Je pensai lancer un iperf pour monopoliser le lien en data mais ensuite je ne sais pas comment lancer le test pour la VOIX Je suis en test je ne touche pas encore au matos de production! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Hello, Que me conseillez-vous comme orientation sur le choix de la configuration ? QOS sur le routeur ou QOS sur les uplink du switch ? A++ De : Antoine Durant <antoine.duran...@yahoo.fr> À : Simon Perreault <sperrea...@jive.com>; David Ponzone <david.ponz...@gmail.com> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 27 octobre 2015 16h46 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers connectés sur les sous-switch non managable. Pour info je me suis servie du post FRNOG pour la limitation de trafic http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960 Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les ports uplink afin que la voix soit prioritaire par rapport au flux donnée. Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de récupérer un cisco 1800 série si besoin... Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les ports uplink ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] QOS voix switch cisco
Bonjour, Je veux appliquer une QOS voix sur un switch cisco 2960 avec l’IOS 15. Le contexte est le suivant : 1)le 2960 est connecté sur le routeur internet 2) j’ai plusieurs petits switch (non managable) sur les quels il y a PC et téléphones de connectés. 3)les petits switch sont connectés sur le cisco (fa0/1 => switch 1 ; fa0/2 => switch2) Comment faire pour appliquer la QOS lorsqu’il y a trafic data+voix sur le port « uplink » (fa0/1 ; fa0 /2 ) du 2960 ? Un exemple de configuration et retour d’expérience serait la bienvenue. En vous remerciant. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers connectés sur les sous-switch non managable. Pour info je me suis servie du post FRNOG pour la limitation de trafic http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960 Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les ports uplink afin que la voix soit prioritaire par rapport au flux donnée. Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de récupérer un cisco 1800 série si besoin... Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les ports uplink ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Salut, Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je vais rien toucher sur le Cisco... De : David Ponzone <david.ponz...@gmail.com> À : Duchet Rémy <r...@duchet.eu> Cc : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 9 octobre 2015 18h45 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur +1 Mais si ça fonctionne aussi en le désactivant, je le vire. Le 9 oct. 2015 à 18:31, Duchet Rémy <r...@duchet.eu> a écrit : > Salut, > > J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA. > Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider > SIP ne le supporte pas. > Si ça fonctionne, pourquoi changer ? > > Rémy > Message d'origine > De: Antoine Durant > Envoyé: vendredi 9 octobre 2015 18:22 > À: frnog-t...@frnog.org > Répondre à: Antoine Durant > Objet: [FRnOG] [TECH] SIP ALG sur routeur > > Salut ! > Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des > routeurs : > http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ > J'utilise et administre un serveur ASTERISK sur un serveur présent dans un > centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont > chercher/connecter l'ASTERISK. > Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" > ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues > avec mon ASTERISK... > Quel est votre avis d'expert sur SIP ALG en mode centrex ? > Bon WE :) > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Salut, C'est justement ma question... En faisant une recherche sur gooogle on trouve que notamment sur les Cisco il le désactive... J'ai du mal à cerner quand faut t'il le désactiver... De : Duchet Rémy <r...@duchet.eu> À : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 9 octobre 2015 18h31 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur Salut, J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA. Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider SIP ne le supporte pas. Si ça fonctionne, pourquoi changer ? Rémy Message d'origine De: Antoine Durant Envoyé: vendredi 9 octobre 2015 18:22 À: frnog-t...@frnog.org Répondre à: Antoine Durant Objet: [FRnOG] [TECH] SIP ALG sur routeur Salut ! Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des routeurs : http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ J'utilise et administre un serveur ASTERISK sur un serveur présent dans un centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont chercher/connecter l'ASTERISK. Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec mon ASTERISK... Quel est votre avis d'expert sur SIP ALG en mode centrex ? Bon WE :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] SIP ALG sur routeur
Salut ! Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des routeurs : http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ J'utilise et administre un serveur ASTERISK sur un serveur présent dans un centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont chercher/connecter l'ASTERISK. Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec mon ASTERISK... Quel est votre avis d'expert sur SIP ALG en mode centrex ? Bon WE :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Intéressant ! Quel est la valeur du timeout UDP ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] fibre versus agrégat adsl
Hello, J’ai une question auquel je n’arrive pas vraiment à trouver de réponse dans ma quête pour avoir du haut débit ! J’ai le choix entre deux techno : cuivre/fibre optique. Cas n°1 : Deux ADSL que j’agrège, pour obtenir un débit théorique de presque 40M en réception et 2M en émission. Cas n°2 : Une fibre 10M symétrique. Sur le papier je vois 40M contre 10M, donc le choix peut être fait rapidement !!! Mais…. Moi j’aime bien le n°2 car moins de latence que le cuivre, plus grande stabilité, j’en oublie… Quelle solution prendriez-vous et pourquoi l'une plutôt que l'autre ? Bonne soirée !! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] fibre versus agrégat adsl
>Et pas de souci de contention dès que tu uploades des donnéesQue veux tu dire >par contention ? >C'est aussi une question de pérennité. Perso je n'ai jamais vraiment >trop fait confiance au cuivre pour transporter de l'ADSL, et ça va sans >doute pas s'améliorer avec le temps.Je plussoii --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] fibre versus agrégat adsl
EFM c'est de la Sdsl ? >A moins que tu ne sois en train de regarder des offres résidentielles, auquel >cas ce n'est pas mon métier.Je regarde les deux...Chui pas fermé :p --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Hello :) On va partir sur pour l'aventure ubiquiti, quelle boutique en ligne vous me recommanderiez afin de passer commande ? J'ai regardé le site ubnt.com pour la france, lequel revendeur vous me conseillez ? Je vais avoir besoin de cable réseau extérieur anti_UV, ou faut-il se fournir ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Si tu te tiens dans un rayon de 1km et que tout est à vue, les Nanostations seront amplement suffisantes. Evite les Nanobeam M5-16 et 19 comme la peste, c'est plus joli et pratique à poser mais ça chie dans les grandes largeurs. Je vais regarder les nanostations, tu parles bien de https://www.ubnt.com/airmax/nanostationm/ ?? Si tu as besoin de 100Mbps, oriente toi vers les Nanobeam 5AC.Est-ce le modèle suivant : https://www.ubnt.com/airmax/nanobeam-ac/ ?? Si tu dois faire du backhaul 3km, airgrid M5-HP (s'il y a bcp de vent)https://www.ubnt.com/airmax/airgridm/ ?? ou Nanobeam M5-400 (si ça souffle pas)https://www.ubnt.com/airmax/litebeam-m5/ ?? Il y a plusieurs modèles que se soit en 2.4 ou 5, je ne voudrais pas me tromper, c'est pour cela que je demande confirmation afin de ne pas acheter un truc qui va pas marcher :\ Après, c'est pas une obligation, mais te rapprocher de www.ffdn.org pourrait être bénéfique pour tous :) Oui c'est une bonne idée ! Merci :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Salut ! @antoine Si tu as des infos sur le choix ou orientation vers les équipements fait moi signe stp. @SébastienOn me conseille largement d'utiliser du matériel ubiquity notamment la gamme des antennes airMax Sector et des nanoStation CPE. https://www.ubnt.com/products/ @TousSi je veux diffuser la connexion SDSL depuis chez moi vers le clocher (point haut) quelle antenne dois-je mettre chez moi ?SDSL===UBNT(lequel ??)===AIRMAX-Sector===nanoStation Faut t'il faire une déclaration à la préfecture concernant l'existence des antennes ? La l33.1 est elle exigée afin de pouvoir faire ça ?Légalement que dois-je faire pour être en conformité avec la loi (asso minimum?) ? A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Saut, Je vais regarder pour le GMAP, mais en attendant j'aurais bien aimé avoir une idée du matos pouvant faire l'affaire, ce ci afin de me documenter sur les produits et de faire un estimatif du prix. Ensuite la solution du clochet n'est pas définitive car je ne sais pas encore si l'accès au clochet nous sera autorisé (j'anticipe les solutions). Seconde solution est de chercher la maison la plus proche du NRA afin de reproduire le système clochet de mon image d'hier. Que ce soit le clochet/maison émettrice, nous sommes dans une grandeur de 500m à 1Km pour le raccordement des abonnées --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Bonsoir et merci pour les infos :) Je vais me tourner vers du matériel UBNT car tout le monde me le conseille ! Si j'utilise du matériel UBNT 5Ghz je suis en mode HIPERLAN ou pas du tout ? Est-ce la même chose ? J'ai regardé les produits UBNT, il y en a beaucoup, je suis un peu perdu sur mes choix... Quel matériel utiliseriez vous (de préférence en 5Ghz ou vu des recommandations) pour le cas pratique (voir image du schéma) suivant : http://www.ariase.com/fr/guides/media/reseau/wifi.png = Quel matériel mettre en antenne émettrice du clochet en haut à gauche ?= Quel matériel mettre en antenne relais wifi du clochet en bas à droite ?= Quel matériel mettre sur les abonnées en bas à droite ? L'idée est quand même d'avoir du bon matériel wifi, car nous allons essayer de monter des SDSL et ou VDSL :) Merci et bonne soirée --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] extention wifi, quel matériel ?
Bonsoir la liste, Avec un groupe d’ami et de personne nous allons monter pendant nos vacances un réseau wifi afin de pouvoir nous connecter à internet en haut débit (trop la classe !!). Etant dans une zone blanche en campagne, l’arrivée de la fibre n’est pas prévu, donc on se débrouille comme on peut. La techno du wifi à donc pour nous du sens et surtout de pouvoir espérer plus de 2M... Nous allons agréger plusieurs abonnements ADSL afin de les diffuser via le wifi sur un point central situé en hauteur. Nous avons certaines maisons à « connecter » qui se trouve dans un rayon de 500 m. = Faut-t’il mettre une antenne qui arrose à 360° ou alors faire du point à point avec plusieurs antennes émettrices ?= Quel matériel vous me conseillez pour ce genre de pratique ainsi que son prix d'achat ? = Préférez-vous utiliser du wifi 2.4Ghz ou du 5Ghz ? Merci pour vos retours d’expérience et astuce. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Hello :) Merci pour les retours. Je cherche à monter une solution CISCO car je ne veux pas m'embêter à monter un PC ou autre chose pour réaliser ça. En tout cas les solutions sont pertinentes !! Le VPN est configuré dans la box d'orange. L'ADSL risque de migrer sur une SDSL ou une fibre quand cela sera possible, donc c'est pour cela que je préfère aussi monter un router un peu de marque pour ne pas avoir de problème dans le futur... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Bonjour, Voici le contexte :Une box ADSL connecté (192.168.1.1) sur un switch 2960Le switch 2960 à deux VLAN :vlan1 = 192.168.1.0/24vlan2 = 192.168.2.0/24 Sur le switch 2960 j'ai changé le sdm pour le routing, j'ai activé le mode ip routing sur le switch. Mon problème est que le vlan2 ne peux pas sortir sur internet depuis une adresse 192.168.2.XDepuis le switch pas de problème je ping une adresse internet (ip route 0.0.0.0 0.0.0.0 192.168.1.1)Je ne peux rien toucher sur la box ADSL... Je me dis que cela est normal le 2960 étant un layer2 il n'est pas possible de faire du NAT pour faire sortir 192.168.2.X via 192.168.1.X. Au cas ou, je pose la question, est-ce possible de faire quelque chose (ACL? autre...) pour que le vlan2 puisse surfer ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Oui c'est bien ce que je me disais aussi... Le 2960 ne sait pas faire du NAT non plus :\ De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h06 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl Aucune chance alors, il te faut du NAT pour 192.168.2.0/24 Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
MDR ! Oui bonne idée, par contre je cherche le 6500 au format 1U... De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h21 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl non, tu achètes un 6500, qqun en vendait un pour pas cher il y a quelques jours sur la liste :) Le 21 juil. 2015 à 20:09, Antoine Durant antoine.duran...@yahoo.fr a écrit : Oui c'est bien ce que je me disais aussi... Le 2960 ne sait pas faire du NAT non plus :\ De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h06 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl Aucune chance alors, il te faut du NAT pour 192.168.2.0/24 Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Doublon dans règle NAT CISCO ??
Bonjour, Il me semble que j’ai un doublon sur une règle de NAT concernant les règles suivantes : = ip nat inside source list 101 interface Loopback0 overload = access-list 101 permit ip 172.16.1.252 0.0.0.3 any ET = ip nat inside source static 172.16.1.253 192.168.1.10 extendable A mon avis si je laisse la règle : = ip nat inside source static 172.16.1.253 192.168.1.10 extendable Et que je supprime les deux : = ip nat inside source list 101 interface Loopback0 overload = access-list 101 permit ip 172.16.1.252 0.0.0.3 any est-ce que cela reviendrait t’il pas au même Pour schématiser le routeur 172.16.1.254 envoi tout le trafic sur le pare-feux 172.16.1.253 et inverssement. Il n'y a que deux hotes dans le réseau 172.16.1.252/30 Config du Cisco : ! interface Loopback0 ip address 192.168.1.10 255.255.255.255 ! interface FastEthernet4 ip address 10.0.0.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path ! interface Vlan1 ip address 172.16.1.254 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path ! ip nat inside source list 100 interface Loopback0 overload ip nat inside source list 101 interface Loopback0 overload ip nat inside source static 172.16.1.253 192.168.1.10 extendable ip route 0.0.0.0 0.0.0.0 10.0.0.2 ! access-list 100 deny ip 10.0.0.0 0.0.0.3 192.168.1.0 0.0.0.255 access-list 100 permit ip 10.0.0.0 0.0.0.3 any access-list 101 permit ip 172.16.1.252 0.0.0.3 any Merci pour le retour :) --- Liste de diffusion du FRnOG http://www.frnog.org/