Хост не может достучаться до сервера

@jlevistk · Регистрация: 05.05.2011

Студворк — интернет-сервис помощи студентам

Добрый день. Все началось с того, что... - все работало.=) В один прекрасный день, устройство, обращающееся к серваку сдохло. Его отремонтировали, проверили на тестовом стенде - все работает.
Принесли, подключили в сеть... и ничего.. оно не может достучаться до сервера.

Со слов владельцев сервера - устройство пытается получить ответ от сервера, но не получает и разрывает соединение по таймауту. Тобишь ответ от их сервера отправляется, но до устройства не доходит. Я конечно понимаю, что если что-то работало, а после ремонта не работает - то роутер наврятли виноват, но т.к. конфиг достался мне по наследству, я может чего не замечаю? Access листы пробовал отключать, не помогло. Отправить людей дальше чинить хреновину? Или же дело в конфиге?
Конфиг прилагаю:
A1.B1.C1.D1 - Мой адрес.
A2.B2.C2.D2 - Адрес стороннего шлюза.
host 192.168.9.2 должен обращаться к host 10.2.1.2.

Остальные хосты ходят нормально.

Кликните здесь для просмотра всего текста

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot system flash c880data-universalk9-mz.124-24.T5.bin
boot-end-marker
!
logging message-counter syslog
logging buffered 16000
logging console critical
enable secret 5 XNsadsGSDfoiuGDS
enable password 7 480123ы09AFxxASFJIkk
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
!
aaa session-id common
memory-size iomem 10
clock timezone EKT 3
!
crypto pki trustpoint TP-self-signed-421764196
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-421764196
revocation-check none
rsakeypair TP-self-signed-421793196
!
!
crypto pki certificate chain TP-self-signed-421764196
certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
ip source-route
!
!
ip cef
ip domain name doma.com
no ipv6 cef
!
!
!
!
!
no spanning-tree vlan 1
username sure privilege 15 secret 5 #13240[vzxjn;klqw122asdSWDS.
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 600
crypto isakmp key f9QR52bdHnZZa address A2.B2.C2.D2
crypto isakmp fragmentation
crypto isakmp keepalive 10 5
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec df-bit clear
!
crypto map myset 10 ipsec-isakmp
set peer A2.B2.C2.D2
set security-association lifetime seconds 600
set transform-set myset
set pfs group2
match address vpn
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address A1.B1.C1.D1 MASK.MASK.MASK.MASK
ip access-group wan_in in
ip access-group wan_out out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map myset
!
interface Vlan1
ip address 192.168.9.22 255.255.0.0
ip access-group lan_in in
ip access-group lan_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 10.2.1.0 255.255.255.0 GATE.GATE.GATE.GATE{of A1.B1.C1.D1}
ip route A2.B2.C2.D2 255.255.255.255 GATE.GATE.GATE.GATE{of A1.B1.C1.D1}
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source static 192.168.9.2 10.5.29.1
ip nat inside source static 192.168.1.61 10.5.29.2
ip nat inside source static 192.168.1.23 10.5.29.10
ip nat inside source static 192.168.4.20 10.5.29.11
ip nat inside source static 192.168.6.220 10.5.29.12
!
ip access-list extended lan_in
permit ip 192.168.0.0 0.0.255.255 host 192.168.99.222 reflect lantraffic timeout 300
permit ip host 192.168.9.2 host 10.2.1.1 reflect lantraffic timeout 300
permit ip host 192.168.9.2 host 10.2.1.3 reflect lantraffic timeout 300
permit ip host 192.168.9.2 host 10.2.1.2 reflect lantraffic timeout 300
permit ip host 192.168.9.2 host 10.2.1.4 reflect lantraffic timeout 300
permit ip host 192.168.9.2 host 10.2.1.9 reflect lantraffic timeout 300
permit ip host 192.168.1.61 host 10.2.1.11 reflect lantraffic timeout 300
permit ip host 192.168.1.23 host 10.2.1.12 reflect lantraffic timeout 300
permit ip host 192.168.4.20 host 10.2.1.12 reflect lantraffic timeout 300
permit ip host 192.168.6.220 host 10.2.1.12 reflect lantraffic timeout 300
deny ip any any log
ip access-list extended lan_out
evaluate lantraffic
deny ip any any log
ip access-list extended vpn
permit ip 10.5.29.0 0.0.0.255 10.2.1.0 0.0.0.255
ip access-list extended wan_in
permit ip host A2.B2.C2.D2 host A1.B1.C1.D1
deny ip any any log
ip access-list extended wan_out
permit ip host A1.B1.C1.D1 host A2.B2.C2.D2
deny ip any any log
!
no logging trap
logging facility local1
logging source-interface FastEthernet4
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 34 permit 192.168.1.5 log
access-list 34 permit 192.168.1.7 log
access-list 34 deny any log
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 34 in
exec-timeout 60 0
authorization exec local_author
logging synchronous
login authentication local_authen
transport input ssh
!
scheduler max-task-time 5000
end

Добавлено через 23 часа 39 минут
Правильно ведь все, да?

@jlevistk · 23.09.2012, 16:59 **[ТС]**

При попытке подключение хоста к серверу, срабатывает ACL:
permit ip host 192.168.9.2 host 10.2.1.2 reflect lantraffic timeout 300

тобишь при написании sh acl , можно лицезреть permit ip host 192.168.9.2 host 10.2.1.2 (23)

Новые блоги и статьи Все статьи Все блоги /
[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .
Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553

	Хост не может достучаться до сервера 22.09.2012, 15:02. Показов 1732. Ответов 1 Метки нет (Все метки) Добрый день. Все началось с того, что... - все работало.=) В один прекрасный день, устройство, обращающееся к серваку сдохло. Его отремонтировали, проверили на тестовом стенде - все работает. Принесли, подключили в сеть... и ничего.. оно не может достучаться до сервера. Со слов владельцев сервера - устройство пытается получить ответ от сервера, но не получает и разрывает соединение по таймауту. Тобишь ответ от их сервера отправляется, но до устройства не доходит. Я конечно понимаю, что если что-то работало, а после ремонта не работает - то роутер наврятли виноват, но т.к. конфиг достался мне по наследству, я может чего не замечаю? Access листы пробовал отключать, не помогло. Отправить людей дальше чинить хреновину? Или же дело в конфиге? Конфиг прилагаю: A1.B1.C1.D1 - Мой адрес. A2.B2.C2.D2 - Адрес стороннего шлюза. host 192.168.9.2 должен обращаться к host 10.2.1.2. Остальные хосты ходят нормально. Кликните здесь для просмотра всего текста ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname Router ! boot-start-marker boot system flash c880data-universalk9-mz.124-24.T5.bin boot-end-marker ! logging message-counter syslog logging buffered 16000 logging console critical enable secret 5 XNsadsGSDfoiuGDS enable password 7 480123ы09AFxxASFJIkk ! aaa new-model ! ! aaa authentication login local_authen local aaa authorization exec local_author local ! ! aaa session-id common memory-size iomem 10 clock timezone EKT 3 ! crypto pki trustpoint TP-self-signed-421764196 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-421764196 revocation-check none rsakeypair TP-self-signed-421793196 ! ! crypto pki certificate chain TP-self-signed-421764196 certificate self-signed 01 nvram:IOS-Self-Sig#2.cer ip source-route ! ! ip cef ip domain name doma.com no ipv6 cef ! ! ! ! ! no spanning-tree vlan 1 username sure privilege 15 secret 5 #13240[vzxjn;klqw122asdSWDS. ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 lifetime 600 crypto isakmp key f9QR52bdHnZZa address A2.B2.C2.D2 crypto isakmp fragmentation crypto isakmp keepalive 10 5 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto ipsec df-bit clear ! crypto map myset 10 ipsec-isakmp set peer A2.B2.C2.D2 set security-association lifetime seconds 600 set transform-set myset set pfs group2 match address vpn ! archive log config hidekeys ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address A1.B1.C1.D1 MASK.MASK.MASK.MASK ip access-group wan_in in ip access-group wan_out out ip nat outside ip virtual-reassembly duplex auto speed auto crypto map myset ! interface Vlan1 ip address 192.168.9.22 255.255.0.0 ip access-group lan_in in ip access-group lan_out out no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ip forward-protocol nd ip route 10.2.1.0 255.255.255.0 GATE.GATE.GATE.GATE{of A1.B1.C1.D1} ip route A2.B2.C2.D2 255.255.255.255 GATE.GATE.GATE.GATE{of A1.B1.C1.D1} ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http max-connections 4 ip http timeout-policy idle 600 life 86400 requests 10000 ! ip nat inside source static 192.168.9.2 10.5.29.1 ip nat inside source static 192.168.1.61 10.5.29.2 ip nat inside source static 192.168.1.23 10.5.29.10 ip nat inside source static 192.168.4.20 10.5.29.11 ip nat inside source static 192.168.6.220 10.5.29.12 ! ip access-list extended lan_in permit ip 192.168.0.0 0.0.255.255 host 192.168.99.222 reflect lantraffic timeout 300 permit ip host 192.168.9.2 host 10.2.1.1 reflect lantraffic timeout 300 permit ip host 192.168.9.2 host 10.2.1.3 reflect lantraffic timeout 300 permit ip host 192.168.9.2 host 10.2.1.2 reflect lantraffic timeout 300 permit ip host 192.168.9.2 host 10.2.1.4 reflect lantraffic timeout 300 permit ip host 192.168.9.2 host 10.2.1.9 reflect lantraffic timeout 300 permit ip host 192.168.1.61 host 10.2.1.11 reflect lantraffic timeout 300 permit ip host 192.168.1.23 host 10.2.1.12 reflect lantraffic timeout 300 permit ip host 192.168.4.20 host 10.2.1.12 reflect lantraffic timeout 300 permit ip host 192.168.6.220 host 10.2.1.12 reflect lantraffic timeout 300 deny ip any any log ip access-list extended lan_out evaluate lantraffic deny ip any any log ip access-list extended vpn permit ip 10.5.29.0 0.0.0.255 10.2.1.0 0.0.0.255 ip access-list extended wan_in permit ip host A2.B2.C2.D2 host A1.B1.C1.D1 deny ip any any log ip access-list extended wan_out permit ip host A1.B1.C1.D1 host A2.B2.C2.D2 deny ip any any log ! no logging trap logging facility local1 logging source-interface FastEthernet4 access-list 23 permit 192.168.0.0 0.0.255.255 access-list 34 permit 192.168.1.5 log access-list 34 permit 192.168.1.7 log access-list 34 deny any log no cdp run ! ! ! ! ! control-plane ! ! line con 0 no modem enable transport output telnet line aux 0 login authentication local_authen transport output telnet line vty 0 4 access-class 34 in exec-timeout 60 0 authorization exec local_author logging synchronous login authentication local_authen transport input ssh ! scheduler max-task-time 5000 end Добавлено через 23 часа 39 минут Правильно ведь все, да? 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.09.2012, 16:59 [ТС]
	При попытке подключение хоста к серверу, срабатывает ACL: permit ip host 192.168.9.2 host 10.2.1.2 reflect lantraffic timeout 300 тобишь при написании sh acl , можно лицезреть permit ip host 192.168.9.2 host 10.2.1.2 (23) 0