Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

StarWoofy

CISCO851-K9

Рекомендованные сообщения

user-login,

появится время, будем разбираться, а то у мя тоже во время экспериментов крики начинаются :P

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:(

тут кстати какая мысль возникла, этот трафик генерится роутером поэтому он в ACL и не должен попадать, повидимому нужно в разрыв ставить снифер и смотреть куда пакеты бегают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
тут кстати какая мысль возникла, этот трафик генерится роутером поэтому он в ACL и не должен попадать, повидимому нужно в разрыв ставить снифер и смотреть куда пакеты бегают.
Трафик должен же выходить через какой-то интерфейс, следовательно должен попадать в висящий на интерфейсе acl.

 

Итог ночных бдений по опусканию cisco-роутера до уровня pptp-клиента:

 

version 12.4

no service pad

service timestamps debug datetime msec localtime

service timestamps log datetime msec localtime

service password-encryption

service internal

!

hostname R1

!

boot-start-marker

boot-end-marker

!

no logging buffered

enable secret 5 $1$TL7e$XPYMoDmhZj0mGvZpxHi3m/

!

no aaa new-model

memory-size iomem 25

clock timezone gmt 3

clock summer-time gmt recurring last Sun Mar 2:00 last Sun Oct 2:00

!

dot11 syslog

no ip gratuitous-arps

no ip cef

!

ip multicast-routing

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

ip reflexive-list timeout 120

no ip igmp snooping

login on-failure log

login on-success log

!

multilink bundle-name authenticated

vpdn enable

!

vpdn-group 1

request-dialin

protocol pptp

rotary-group 0

initiate-to ip 85.21.0.17

!

username cisco secret 5 $1$rHbe$vRWrn3mdAZ/ShHkum5P8o0 ! enable: cisco

!

archive

log config

hidekeys

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description Corbina intranet

ip access-group 101 out

ip address dhcp

ip pim neighbor-filter 2

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

no cdp enable

!

interface Vlan1

ip address 192.168.0.1 255.255.255.248

ip nat inside

ip virtual-reassembly

!

interface Dialer0

mtu 1450

ip address negotiated

ip access-group 102 in

ip pim dense-mode

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer in-band

dialer idle-timeout 0

dialer string 123

dialer vpdn

dialer-group 1

no cdp enable

ppp pfc local request

ppp pfc remote apply

ppp encrypt mppe auto

ppp chap hostname user-login

ppp chap password 7 095C4F1A0A1218000F ! password: password

ppp ipcp dns accept

ppp ipcp route default

!

ip local policy route-map vpn

ip forward-protocol nd

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.254.0 dhcp

ip route 195.14.50.1 255.255.255.255 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.21 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 195.14.50.93 255.255.255.255 dhcp

ip route 83.102.231.32 255.255.255.240 dhcp

ip route 85.21.108.16 255.255.255.240 dhcp

ip route 78.107.69.98 255.255.255.255 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 85.21.138.208 255.255.255.240 dhcp

ip route 85.21.52.254 255.255.255.255 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 78.107.23.0 255.255.255.0 dhcp

ip route 85.21.72.80 255.255.255.240 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

!

no ip http server

ip http secure-server

ip dns server

ip nat translation tcp-timeout 3600

ip nat translation udp-timeout 15

ip nat inside source route-map public interface Dialer0 overload

ip nat inside source route-map local interface FastEthernet4 overload

!

ip access-list extended nat

deny ip any host 85.21.0.17

permit ip 192.168.0.0 0.0.0.7 any

!

logging source-interface Vlan1

logging 192.168.0.1

access-list 1 permit 192.168.0.2

access-list 2 deny any

access-list 99 permit 192.168.0.0 0.0.0.7

access-list 100 permit tcp any host 85.21.0.17 eq 1723

access-list 100 permit gre any host 85.21.0.17

access-list 101 permit ip any any log-input

access-list 102 permit ip any any log-input

!

dialer-list 1 protocol ip permit

!

route-map public permit 10

match ip address nat

match interface Dialer0

!

route-map vpn permit 1

match ip address 100

set ip next-hop dynamic dhcp

!

route-map local permit 10

match ip address nat

match interface FastEthernet4

!

control-plane

!

alias exec qm sh cry isa sa

alias exec ses sh cry session remote

!

line con 0

exec-timeout 0 0

no modem enable

line aux 0

line vty 0 4

access-class 1 in

exec-timeout 60 0

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler interval 5000

!

ntp server 212.100.132.50

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

end

 

 

Осталось победить проблему красных глаз и прохождения трафика. Вчерашние падения соединения были вызваны работой ip cef, его отключение исправило ситуацию, но.... уж не знаю чем это вызвано, но при заливке этого конфига с роутера (даже от имени локального интерфеса) пингуется и вызывается все на свете, а с компа к нему поключенного пингуется и вызывается все кроме интернета. Причем я вижу пакеты в нате, вижу их в исходящем аксесс-листе, но ... короче, спать надо больше. :D если кто-то попробует это воплотить у себя и отпишет о результатах, респект и уважуха. Конструктивная критика тоже принимается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user-login, :unsure::unsure:

я так понял, что проблема с падением помимо ip sef решилась и посредством no keepalive, тоже решение, правда теперь доступность сервера не проверяется )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все вышесказанное справедливо для 871-К9 с 12.4(15)T5 на борту.

 

blank, нет keepalive можно и нужно вернуть на место это я запамятовал. Должно работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик должен же выходить через какой-то интерфейс, следовательно должен попадать в висящий на интерфейсе acl.

я конечно могу заблуждаться, но насколько помню, к трафику сгенерированному роутером акцесы (как собственно и роут мапы) не применяются (касательно роут мапов чтобы их применить и нужна та самая комманда ip local policy route-map).

 

 

нет keepalive можно и нужно вернуть на место это я запамятовал. Должно работать.

ну, тогда вааще все хорошо, дело осталось за малым ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К вопросу о производительности 871

[magnet=http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6549/ps6587/prod_white_paper0900aecd8066d3f5.html]Recommended Aggregate Throughputs[/magnet] Таблица 2. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил значит сие чудо 851w. Пытался настраивать... Но к сожалению не получилось. Мог бы кто-нить делатьно описать как настроить под КТ сий агригат?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил значит сие чудо 851w. Пытался настраивать... Но к сожалению не получилось. Мог бы кто-нить делатьно описать как настроить под КТ сий агригат?

выслал конфиг в приват.

 

Озвучиваю в теме:

 

 

 

sh ru

Building configuration...

 

Current configuration : 5596 bytes

!

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime localtime

service password-encryption

!

hostname SWRouter

!

boot-start-marker

boot system flash c850-advsecurityk9-mz.124-9.T3.bin

boot-end-marker

!

logging buffered 51200 warnings

!

aaa new-model

!

!

aaa authentication ppp default local

aaa authorization network default none

!

aaa session-id common

!

resource policy

!

clock timezone moscow 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00

clock save interval 8

no ip dhcp use vrf connected

!

ip dhcp pool HOME

import all

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server 195.14.50.21 195.14.50.1

lease infinite

!

ip dhcp pool guest_lan

import all

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 195.14.50.21 195.14.50.1

lease infinite

!

!

ip cef

ip domain name corbina.net

l2tp-class corbina

!

!

!

!

username xxxxxxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxx

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

!

!

!

interface FastEthernet0

speed 100

no cdp enable

!

interface FastEthernet1

shutdown

speed 100

no cdp enable

!

interface FastEthernet2

shutdown

speed 100

no cdp enable

!

interface FastEthernet3

shutdown

speed 100

no cdp enable

!

interface FastEthernet4

mac-address xxxx.xxxx.xxxx

ip address dhcp

ip nat outside

no ip virtual-reassembly

speed auto

full-duplex

no cdp enable

!

interface Dot11Radio0

no ip address

!

encryption vlan 10 mode ciphers tkip

!

ssid SW-WIFI

vlan 10

authentication open

authentication key-management wpa

guest-mode

wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 54.0

channel 2437

station-role root

no dot11 extension aironet

no cdp enable

!

interface Dot11Radio0.10

bandwidth 8

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

ip nat inside

no ip virtual-reassembly

no cdp enable

!

interface Virtual-PPP1

ip address negotiated

ip access-group 111 in

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname xxxxxxxxxxx

ppp chap password 7 xxxxxxxxxxxxxxxxxxx

pseudowire 85.21.17.13 10 pw-class class1

!

interface Vlan1

ip address 192.168.0.1 255.255.255.0

ip nat inside

no ip virtual-reassembly

!

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 192.168.10.0 255.255.255.0 Dot11Radio0.10

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 85.21.79.38 255.255.255.255 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 195.14.50.1 255.255.255.255 dhcp

ip route 195.14.50.21 255.255.255.255 dhcp

ip route 85.21.17.13 255.255.255.255 dhcp

!

no ip http server

no ip http secure-server

ip nat inside source list lan interface FastEthernet4 overload

ip nat inside source list wan interface Virtual-PPP1 overload

ip nat inside source static udp 192.168.10.2 7557 interface FastEthernet4 7557

ip nat inside source static tcp 192.168.10.2 28169 interface FastEthernet4 28169

!

ip access-list extended lan

permit ip 192.168.0.0 0.0.0.255 195.14.50.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.0.0 0.0.0.255 85.21.151.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 83.102.146.96 0.0.0.31

permit ip 192.168.0.0 0.0.0.255 host 85.21.52.254

permit ip 192.168.0.0 0.0.0.255 host 85.21.88.130

permit ip 192.168.0.0 0.0.0.255 85.21.90.0 0.0.1.255

permit ip 192.168.0.0 0.0.0.255 host 85.21.138.211

permit ip 192.168.0.0 0.0.0.255 host 85.21.138.212

permit ip 192.168.10.0 0.0.0.255 195.14.50.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.10.0 0.0.0.255 85.21.151.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 83.102.146.96 0.0.0.31

permit ip 192.168.10.0 0.0.0.255 host 85.21.52.254

permit ip 192.168.10.0 0.0.0.255 host 85.21.88.130

permit ip 192.168.10.0 0.0.0.255 85.21.90.0 0.0.1.255

permit ip 192.168.10.0 0.0.0.255 host 85.21.138.211

permit ip 192.168.10.0 0.0.0.255 host 85.21.138.212

ip access-list extended wan

permit ip 192.168.0.0 0.0.0.255 any

permit ip 192.168.10.0 0.0.0.255 any

!

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 192.168.0.0 0.0.255.255 any

access-list 111 deny ip 172.16.0.0 0.15.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

no cdp run

!

control-plane

!

!

line con 0

privilege level 15

no modem enable

transport output all

line aux 0

transport output all

line vty 0 4

privilege level 15

transport input telnet ssh

transport output all

!

scheduler max-task-time 5000

sntp server 195.170.62.130

end

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Залил, все равно не помогло... Даже сетку корбины не видит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Залил, все равно не помогло... Даже сетку корбины не видит

 

покажи

sh int

(лампочки горят?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Залил, все равно не помогло... Даже сетку корбины не видит

Для полной аутентичности твоих действий и рекомендаций уважаемого StarWoofy, залей себе [magnet=http://depositfiles.com/files/5957378]12.4(9)Т3[/magnet]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошился до 12.4(9)Т3.

 

При ребуте Циски, загораются лампочки, на время загорается WAN, а потом сразу же тухнет.

 

Локальную сеть - не видит, сеть КТ - не видит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Прошился до 12.4(9)Т3.

 

При ребуте Циски, загораются лампочки, на время загорается WAN, а потом сразу же тухнет.

 

Локальную сеть - не видит, сеть КТ - не видит.

Роутер новый, из коробки? Тогда не забудьте на физических интерфейсах дать команду "no shutdown", по-умолчанию они выключены. Кабель К. должен быть подключен в порт Fe4 (в классическом варианте). Покажите сюда вывод команды: "show interfaces description".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, из коробки. В Fe4 сразу воткнул.

 

Прописал в роутах шлюз, увидел vpn сервера, но локальную сеть КТ не видит.

 

Пытался поднять l2tp, не вышло.

 

Вывод "show interfaces description"

 

 

 

cisco#show interfaces description

Interface Status Protocol Description

Do0 up up

Fa0 up up

Fa1 up down

Fa2 up down

Fa3 up down

Fa4 up down $ES_WAN$$FW_OUTSIDE$$ETH-

WAN$

Vl1 up up $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

Vp1 down down Corbina

NV0 up up

BV1 up up $ES_LAN$$FW_INSIDE$

Vi0 down down

 

 

 

Пытался запустить с разными конфигами, но не захотело... Пришлось сбросить все на default.

 

Config:

 

 

Using 4887 out of 131072 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname cisco

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 debugging

logging console critical

enable secret 5 * * *

!

no aaa new-model

!

resource policy

!

clock timezone PCTime 3

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

no ip source-route

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool sdm-pool1

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

!

!

ip cef

ip tcp synwait-time 10

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 icmp

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

no ip bootp server

ip domain name * * *

ip name-server 213.234.192.8

ip name-server 85.21.192.3

ip ssh time-out 60

ip ssh authentication-retries 2

l2tp-class l2-class-1

!

!

!

crypto pki trustpoint TP-self-signed-600507838

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-600507838

revocation-check none

rsakeypair TP-self-signed-600507838

!

!

crypto pki certificate chain TP-self-signed-600507838

certificate self-signed 01 nvram:IOS-Self-Sig#380D.cer

username * * * privilege 15 secret 5 * * *

!

pseudowire-class pw-class-1

encapsulation l2tpv2

protocol l2tpv2 l2-class-1

ip local interface FastEthernet4

!

!

!

bridge irb

!

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$

ip address 10.*.*.* 255.255.248.0

ip access-group 101 in

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip inspect DEFAULT100 out

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Dot11Radio0

no ip address

!

ssid Telecom

authentication open

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0

54.0

station-role root

bridge-group 1

bridge-group 1 spanning-disabled

!

interface Virtual-PPP1

description Corbina

ip address negotiated

no ip redirects

no ip unreachables

no ip proxy-arp

ip mtu 1460

ip nat outside

ip virtual-reassembly

no keepalive

no cdp enable

ppp authentication chap callin

ppp chap hostname * * *

ppp chap password 7 * * *

pseudowire 85.21.0.253 1 pw-class pw-class-1

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

no ip address

ip tcp adjust-mss 1452

bridge-group 1

!

interface BVI1

description $ES_LAN$$FW_INSIDE$

ip address 10.10.10.1 255.255.255.0

ip access-group 100 in

ip virtual-reassembly

ip tcp adjust-mss 1412

!

ip route 0.0.0.0 0.0.0.0 10.60.48.1 20 permanent

ip route 10.0.0.0 255.0.0.0 10.60.48.1 permanent

!

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

logging trap debugging

access-list 100 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 100 remark SDM_ACL Category=1

access-list 100 permit ip any any

access-list 101 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 101 remark SDM_ACL Category=1

access-list 101 permit udp host 85.21.192.3 eq domain host * * *

access-list 101 permit udp host 213.234.192.8 eq domain host * * *

access-list 101 deny ip 10.10.10.0 0.0.0.255 any

access-list 101 permit icmp any host * * * echo-reply

access-list 101 permit icmp any host * * * time-exceeded

access-list 101 permit icmp any host * * * unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

no cdp run

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

!

bridge 1 protocol ieee

bridge 1 route ip

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

login local

no modem enable

transport output telnet

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

end

 

 

 

Там где * * * - конф. инф. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, из коробки. В Fe4 сразу воткнул.

 

Прописал в роутах шлюз, увидел vpn сервера, но локальную сеть КТ не видит.

 

Пытался поднять l2tp, не вышло.

 

 

Я бы в твоей ситуации, подключился по com порту,

и почистил конфиг.

Т.е. - например - вбиваешь предложенный мною конфиг,

смотришь что "лишнего" у тебя осталось со старого конфига - удаляешь ("no" текст команды).

Приводишь к состоянию 1:1 с тем что я предложил.

 

Затем, проверяй последовательно по всем интерфейсам (статус, доступность):

локалка,

l2tp,

wifi

 

 

ps. в результате общения с slon26, получил информацию что в качестве сервера авторизации может быть использован штатный ip=l2tp.corbina.net но придется подкрутить mtu на Vlan1 до 1032

Сам не проверял (лень-матушка), но вероятность что именно так - весьма высокая.

доп. инфо: форум: sysadmins http://sysadmins.ru/post8025366.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

l2tp поднялся. Ровно 1 минуту держит, сап говорит 1.0ms :angry:

 

А затем разрыв соединения и снова реконнект.

 

Дебаг логи есть, кому нужно скину пм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
l2tp поднялся. Ровно 1 минуту держит, сап говорит 1.0ms :)

А затем разрыв соединения и снова реконнект.

Дебаг логи есть, кому нужно скину пм.

Смени l2tp-сервер на:

Официальный:

85.21.0.255

 

Не совсем официальные, но работающие:

85.21.17.1 
85.21.17.3 
85.21.17.5 
85.21.17.7 
85.21.17.9 
85.21.17.11 
85.21.17.13 Этот особенно рекомендуют 
85.21.17.15 
85.21.17.17 
85.21.17.19 
85.21.17.21 
и т.д.

 

А проблема не работоспособности интернета и падения интерфейса заключается в том, что выдаваемый пиром адрес дефолтного гейтвея совпадает с адресом самого пира.

 

ps. в результате общения с slon26, получил информацию что в качестве сервера авторизации может быть использован штатный ip=l2tp.corbina.net но придется подкрутить mtu на Vlan1 до 1032

Сам не проверял (лень-матушка), но вероятность что именно так - весьма высокая.

Несколько устаревшая информация: в данный момент размер mtu имеет вменяемую величину, и походу убрали df-bit. Так что можно не напрягаться по этому поводу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смена l2tp сервера на 85.21.17.13, отключает каким-то образом SDM. Т.е. при попытке приконнектиться к веб-мордочке отправляло лесом. Как только выкл интерфейс через консоль, сразу все ставало на свои места.

 

Как быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Смена l2tp сервера на 85.21.17.13, отключает каким-то образом SDM. Т.е. при попытке приконнектиться к веб-мордочке отправляло лесом. Как только выкл интерфейс через консоль, сразу все ставало на свои места.

 

Как быть?

Не использовать sdm (этот зверь меня до сих пор пугает по ночам), а настроить с консоли.

Если конфиг на два поста выше ещё валидный, то копируешь все нижеследующее обрамленное тегом "code" и вставляешь в консоль залогиненную в привилегированном режиме.

conf t
!
int virtual-ppp1
!
pseudowire 85.21.0.255 1 pw-class pw-class-1
!
exit
!
exit
!
exit
!

И смотришь на "морду" роутера, в течении минуты должна загореться лампочка "ppp".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user-login

 

Если указать, как посоветовали вы:

pseudowire 85.21.0.255 1 pw-class pw-class-1

 

То ругается, что необходимо создать pw-class-1.

 

Если же

pseudowire 85.21.0.255 1 pw-class class1

 

Лампочка-то загорается.

В сапе сказали мол у вас на стороне проблемы, а коннект держится по их словам ровно 1 мин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Лампочка-то загорается.

В сапе сказали мол у вас на стороне проблемы, а коннект держится по их словам ровно 1 мин.

Вот тут я с ними полностью согласен.

 

Если указать, как посоветовали вы:
pseudowire 85.21.0.255 1 pw-class pw-class-1

Неча на зеркало пенять, коли ... сами знаете что. Так написано в вашем конфиге пост №75

 

Как я понимаю, необходимо повторить некоторые шаги ещё раз

Покажите последовательно вывод команд:

- текущий sh ver

- состояние sh int des

- и текущий sh run

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user-login Сори, старый конфиг. :ok:

 

Новый:

 

 

Using 5124 out of 131072 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname cisco

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 debugging

logging console critical

enable secret 5 * * *

!

no aaa new-model

!

resource policy

!

clock timezone PCTime 3

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

no ip source-route

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool sdm-pool1

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

!

!

ip cef

ip tcp synwait-time 10

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 icmp

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 esmtp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

no ip bootp server

ip domain name * * *

ip name-server 213.234.192.8

ip name-server 85.21.192.3

ip ssh time-out 60

ip ssh authentication-retries 2

l2tp-class corbina

!

!

!

crypto pki trustpoint TP-self-signed-600507838

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-600507838

revocation-check none

rsakeypair TP-self-signed-600507838

!

!

crypto pki certificate chain TP-self-signed-600507838

certificate self-signed 01 nvram:IOS-Self-Sig#380F.cer

username * * * privilege 15 secret 5 * * *

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

bridge irb

!

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description $ES_WAN$$FW_OUTSIDE$

ip address 10.192.23.24 255.255.248.0

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Dot11Radio0

no ip address

!

ssid Telecom

authentication open

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0

54.0

station-role root

bridge-group 1

bridge-group 1 spanning-disabled

!

interface Virtual-PPP1

ip address negotiated

ip mtu 1400

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname * * *

ppp chap password 7 * * *

pseudowire 85.21.17.13 1 pw-class class1

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

no ip address

ip tcp adjust-mss 1452

bridge-group 1

!

interface BVI1

description $ES_LAN$$FW_INSIDE$

ip address 10.10.10.1 255.255.255.0

ip access-group 100 in

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

!

ip route 0.0.0.0 0.0.0.0 10.192.14.1

ip route 10.0.0.0 255.0.0.0 10.192.14.1

!

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source list 1 interface FastEthernet4 overload

!

logging trap debugging

access-list 1 remark INSIDE_IF=BVI1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.255

access-list 100 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip 10.192.14.0 0.0.7.255 any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 101 remark SDM_ACL Category=1

access-list 101 permit udp host 85.21.192.3 eq domain host 10.192.23.24

access-list 101 permit udp host 213.234.192.8 eq domain host 10.192.23.24

access-list 101 deny ip 10.10.10.0 0.0.0.255 any

access-list 101 permit icmp any host 10.192.23.24 echo-reply

access-list 101 permit icmp any host 10.192.23.24 time-exceeded

access-list 101 permit icmp any host 10.192.23.24 unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

no cdp run

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

banner login ^CCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

login local

no modem enable

transport output telnet

escape-character 3

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

end

 

 

 

Так вот... о 85.21.17.13 - оказывается с ним коннект есть все гуд. CPU уходит в 34-40%. Связь не рвется, держится стабильно. Но теперь вопрос в другом. Извне пинг на мой ip идет. А когда я пингую, например тот же cisco.com, то не проходит, но идет трас, буквально 8 позиций и потом звезды.

 

cisco#sh ip route (при PPP1 up)

 

 

cisco#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.192.14 to network 0.0.0.0

 

85.0.0.0/32 is subnetted, 1 subnets

C 85.21.0.7 is directly connected, Virtual-PPP1

10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks

C 10.192.14.0/21 is directly connected, FastEthernet4

C 10.10.10.0/24 is directly connected, BVI1

S 10.0.0.0/8 [1/0] via 10.192.14.1

78.0.0.0/32 is subnetted, 1 subnets

C 78.107.17.22 is directly connected, Virtual-PPP1

S* 0.0.0.0/0 [1/0] via 10.192.14.1

 

 

 

Лог траса:

 

 

cisco#traceroute cisco.com

 

Type escape sequence to abort.

Tracing the route to cisco.com (198.133.219.25)

1 10.192.14.1 28 msec 28 msec 36 msec

2 * * *

3 10.219.1.181 44 msec 40 msec 44 msec

4 stpetr-bb-teng4-2.msk.corbina.net (195.14.54.133) 52 msec 32 msec 68 msec

5 nvsl-bb-vlan99.msk.corbina.net (85.21.224.117) 24 msec 64 msec 104 msec

6 m10-bb-teng4-1.msk.corbina.net (195.14.54.198) 24 msec 60 msec 24 msec

7 ko-bb-teng13-4.msk.corbina.net (195.14.54.205) 64 msec 32 msec 44 msec

8 tc-bb-po1.sto.corbina.net (195.14.54.102) 40 msec 40 msec 20 msec

 

 

 

Когда добавляешь\убираешь:

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

 

Пинг не проходит.

 

cisco#sh int des

 

 

cisco#sh int des

Interface Status Protocol Description

Do0 up up

Fa0 up up

Fa1 up down

Fa2 up down

Fa3 up down

Fa4 up up $ES_WAN$$FW_OUTSIDE$

Vl1 up up $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

NV0 up up

Vp1 up up

BV1 up up $ES_LAN$$FW_INSIDE$

Vi0 down down

 

 

 

ver

 

 

 

Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(9)T3, REL

EASE SOFTWARE (fc3)

 

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1ts.L00p, в твоем новом конфиге нет трансляции описывающей int virtual-ppp1

 

А как ты и сам уже догадался, трэйс идет в корбиновскую локалку и там не может найти cisco.com.

 

Теперь, что надо сделать:

no ip nat inside source list 1 interface FastEthernet4 overload
no ip route 0.0.0.0 0.0.0.0 10.192.14.1
no ip route 10.0.0.0 255.0.0.0 10.192.14.1
!
int fa4
ip add dhcp
!
exit
!
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 89.179.135.67 255.255.255.255 dhcp
ip route 85.21.79.0 255.255.255.0 dhcp
ip route 85.21.90.0 255.255.254.0 dhcp
ip route 195.14.50.1 255.255.255.255 dhcp
ip route 195.14.50.16 255.255.255.255 dhcp
ip route 195.14.50.21 255.255.255.255 dhcp
ip route 195.14.50.26 255.255.255.255 dhcp
ip route 195.14.50.93 255.255.255.255 dhcp
ip route 83.102.231.32 255.255.255.240 dhcp
ip route 85.21.108.16 255.255.255.240 dhcp
ip route 78.107.69.98 255.255.255.255 dhcp
ip route 85.21.88.130 255.255.255.255 dhcp
ip route 85.21.138.208 255.255.255.240 dhcp
ip route 85.21.52.254 255.255.255.255 dhcp
ip route 83.102.146.96 255.255.255.224 dhcp
ip route 78.107.23.0 255.255.255.0 dhcp
ip route 85.21.72.80 255.255.255.240 dhcp
ip route 85.21.17.0 255.255.255.0 dhcp
!
route-map public permit 10
match ip address nat
match interface Virtual-PPP1
!
route-map local permit 10
match ip address nat
match interface FastEthernet4
!
ip nat inside source route-map local interface FastEthernet4 overload
ip nat inside source route-map public interface Virtual-PPP1 overload
!
ip access-list extended nat
deny   ip any 85.21.17.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.255 any
!

Сделаешь, проверь трейс и пинг на corbina.net и ya.ru, например. Первый хоп после роутера должен быть на 10.192.14.1 если трэйсишь корбину и 85.21.0.7 если яндекс

 

P.S. Поправил кое чаво...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По dhcp у меня ip не получает. Все роуты прописал через 10.192.14.1.

Когда трейс делаю на КТ первый хоп шлюз (10.192.14.1), когда трейс на ya.ru снова хоп на шлюз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Все роуты прописал через 10.192.14.1.

Когда трейс делаю на КТ первый хоп шлюз (10.192.14.1), когда трейс на ya.ru снова хоп на шлюз.

Уважаемый, на этом форуме есть только один человек с телепатическими способностями и фатально-альтруистским желанием помогать людям - maslovyu, за что ему в ноги кланяться надо.

А я, увы, не он.

Показывайте насколько ваша конфигурация отличается от рекомендованной.

 

По dhcp у меня ip не получает.
Комп при подключении напрямую получает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Комп - да.

 

 

 

Current configuration : 7685 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname cisco

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 debugging

logging console critical

enable secret 5 * * *

!

no aaa new-model

!

resource policy

!

clock timezone PCTime 3

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

no ip source-route

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool sdm-pool1

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

!

!

ip cef

ip tcp synwait-time 10

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 icmp

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 esmtp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

no ip bootp server

ip domain name * * *

ip name-server 213.234.192.8

ip name-server 85.21.192.3

ip ssh time-out 60

ip ssh authentication-retries 2

l2tp-class corbina

!

!

!

crypto pki trustpoint TP-self-signed-600507838

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-600507838

revocation-check none

rsakeypair TP-self-signed-600507838

!

!

crypto pki certificate chain TP-self-signed-600507838

certificate self-signed 01

30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 36303035 30373833 38301E17 0D303830 36313331 37343931

375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3630 30353037

38333830 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

AC2C2460 800B5CE5 F02A5B4B 05080045 0C119E02 16C8EB66 D7D4045B 31AD05D9

87F0094E F468BB4B 30CB5025 371E7258 B0E6AFC5 6433CD56 2FE70815 BB86BD34

CB604801 1D3576AC 0EA52374 F798B240 70C99ECE 83FE26D4 BDBAA12C B47B46AF

10F411C7 A097B8DF C7D34277 E80AA55D 46AD96CC F2B88D13 3C817FD7 25BA8A1F

02030100 01A36D30 6B300F06 03551D13 0101FF04 05300301 01FF3018 0603551D

11041130 0F820D63 6973636F 2E766F69 642E7375 301F0603 551D2304 18301680

14577689 6C55B3F6 B44A3C75 7F0C123C 4E69391E D8301D06 03551D0E 04160414

5776896C 55B3F6B4 4A3C757F 0C123C4E 69391ED8 300D0609 2A864886 F70D0101

04050003 81810061 12197339 BE6F6BCB 7B3AA2D8 1F7355FE 804E7B18 F67F7B14

25ED60F0 52CD46C1 C5DF8572 A15FC3B3 DC3137A7 ADB10944 BA96AE14 1AAE2587

9567DB7F BCDE46FC F29BD8EC 51D0CAA0 3343342D ADECC7B1 8EA7D995 ED6D5490

9EC039AA C1ACC3A4 6BD0397F 72F7865A 74FD8402 80F95E04 69CA0187 A88D2C53

BFCADE6B 197259

quit

username * * * privilege 15 secret 5 * * *

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

bridge irb

!

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description $ES_WAN$$FW_OUTSIDE$

ip address 10.192.23.24 255.255.248.0

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Dot11Radio0

no ip address

!

ssid Telecom

authentication open

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0

54.0

station-role root

bridge-group 1

bridge-group 1 spanning-disabled

!

interface Virtual-PPP1

ip address negotiated

ip mtu 1400

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname * * *

ppp chap password 7 * * *

pseudowire 85.21.17.13 1 pw-class class1

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

no ip address

ip tcp adjust-mss 1452

bridge-group 1

!

interface BVI1

description $ES_LAN$$FW_INSIDE$

ip address 10.10.10.1 255.255.255.0

ip access-group 100 in

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

!

ip route 0.0.0.0 0.0.0.0 10.192.14.1

ip route 10.0.0.0 255.0.0.0 10.192.14.1

ip route 78.107.23.0 255.255.255.0 10.192.14.1

ip route 78.107.69.98 255.255.255.255 10.192.14.1

ip route 83.102.146.96 255.255.255.224 10.192.14.1

ip route 83.102.231.32 255.255.255.240 10.192.14.1

ip route 85.21.17.0 255.255.255.0 10.192.14.1

ip route 85.21.52.254 255.255.255.255 10.192.14.1

ip route 85.21.72.80 255.255.255.240 10.192.14.1

ip route 85.21.79.0 255.255.255.0 10.192.14.1

ip route 85.21.88.130 255.255.255.255 10.192.14.1

ip route 85.21.90.0 255.255.254.0 10.192.14.1

ip route 85.21.108.16 255.255.255.240 10.192.14.1

ip route 85.21.138.208 255.255.255.240 10.192.14.1

ip route 89.179.135.67 255.255.255.255 10.192.14.1

ip route 195.14.50.1 255.255.255.255 10.192.14.1

ip route 195.14.50.16 255.255.255.255 10.192.14.1

ip route 195.14.50.21 255.255.255.255 10.192.14.1

ip route 195.14.50.26 255.255.255.255 10.192.14.1

ip route 195.14.50.93 255.255.255.255 10.192.14.1

!

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source route-map local interface FastEthernet4 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

ip access-list extended nat

deny ip any 0.0.0.0 255.255.255.0

permit ip 0.0.0.0 255.255.255.0 any

!

logging trap debugging

access-list 1 remark INSIDE_IF=BVI1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.255

access-list 100 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip 10.192.14.0 0.0.7.255 any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 101 remark SDM_ACL Category=1

access-list 101 permit udp host 85.21.192.3 eq domain host 10.192.23.24

access-list 101 permit udp host 213.234.192.8 eq domain host 10.192.23.24

access-list 101 deny ip 10.10.10.0 0.0.0.255 any

access-list 101 permit icmp any host 10.192.23.24 echo-reply

access-list 101 permit icmp any host 10.192.23.24 time-exceeded

access-list 101 permit icmp any host 10.192.23.24 unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

no cdp run

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface FastEthernet4

!

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

banner login ^CCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

login local

no modem enable

transport output telnet

escape-character 3

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

end

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1ts.L00p, должно быть так:

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 213.234.192.8 255.255.255.255 10.192.14.1
ip route 85.21.192.3 255.255.255.255 10.192.14.1
!
ip access-list extended nat
 deny ip any 85.21.17.0 0.0.0.255
 permit ip 10.10.10.0 0.0.0.255 any

В acl надо записывать в wildcard bits mask.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не пингует :) Но трейс изменился...

 

conf

 

 

Current configuration : 7819 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname cisco

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 debugging

logging console critical

enable secret 5 * * *

!

no aaa new-model

resource policy

!

clock timezone PCTime 3

clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00

no ip source-route

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool sdm-pool1

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

!

!

ip cef

ip tcp synwait-time 10

ip inspect name DEFAULT100 cuseeme

ip inspect name DEFAULT100 ftp

ip inspect name DEFAULT100 h323

ip inspect name DEFAULT100 icmp

ip inspect name DEFAULT100 rcmd

ip inspect name DEFAULT100 realaudio

ip inspect name DEFAULT100 rtsp

ip inspect name DEFAULT100 esmtp

ip inspect name DEFAULT100 sqlnet

ip inspect name DEFAULT100 streamworks

ip inspect name DEFAULT100 tftp

ip inspect name DEFAULT100 tcp

ip inspect name DEFAULT100 udp

ip inspect name DEFAULT100 vdolive

no ip bootp server

ip domain name * * *

ip name-server 213.234.192.8

ip name-server 85.21.192.3

ip ssh time-out 60

ip ssh authentication-retries 2

l2tp-class corbina

!

!

!

crypto pki trustpoint TP-self-signed-600507838

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-600507838

revocation-check none

rsakeypair TP-self-signed-600507838

!

!

crypto pki certificate chain TP-self-signed-600507838

certificate self-signed 01

30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 36303035 30373833 38301E17 0D303830 36313331 37343931

375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3630 30353037

38333830 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

AC2C2460 800B5CE5 F02A5B4B 05080045 0C119E02 16C8EB66 D7D4045B 31AD05D9

87F0094E F468BB4B 30CB5025 371E7258 B0E6AFC5 6433CD56 2FE70815 BB86BD34

CB604801 1D3576AC 0EA52374 F798B240 70C99ECE 83FE26D4 BDBAA12C B47B46AF

10F411C7 A097B8DF C7D34277 E80AA55D 46AD96CC F2B88D13 3C817FD7 25BA8A1F

02030100 01A36D30 6B300F06 03551D13 0101FF04 05300301 01FF3018 0603551D

11041130 0F820D63 6973636F 2E766F69 642E7375 301F0603 551D2304 18301680

14577689 6C55B3F6 B44A3C75 7F0C123C 4E69391E D8301D06 03551D0E 04160414

5776896C 55B3F6B4 4A3C757F 0C123C4E 69391ED8 300D0609 2A864886 F70D0101

04050003 81810061 12197339 BE6F6BCB 7B3AA2D8 1F7355FE 804E7B18 F67F7B14

25ED60F0 52CD46C1 C5DF8572 A15FC3B3 DC3137A7 ADB10944 BA96AE14 1AAE2587

9567DB7F BCDE46FC F29BD8EC 51D0CAA0 3343342D ADECC7B1 8EA7D995 ED6D5490

9EC039AA C1ACC3A4 6BD0397F 72F7865A 74FD8402 80F95E04 69CA0187 A88D2C53

BFCADE6B 197259

quit

username * * * privilege 15 secret 5 * * *

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

bridge irb

!

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description $ES_WAN$$FW_OUTSIDE$

ip address 10.192.23.24 255.255.248.0

ip verify unicast reverse-path

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

!

interface Dot11Radio0

no ip address

!

ssid Telecom

authentication open

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0

54.0

station-role root

bridge-group 1

bridge-group 1 spanning-disabled

!

interface Virtual-PPP1

ip address negotiated

ip mtu 1400

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname * * *

ppp chap password 7 * * *

pseudowire 85.21.17.13 1 pw-class class1

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$

no ip address

ip tcp adjust-mss 1452

bridge-group 1

!

interface BVI1

description $ES_LAN$$FW_INSIDE$

ip address 10.10.10.1 255.255.255.0

ip access-group 100 in

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1412

!

ip route 0.0.0.0 0.0.0.0 10.192.14.1

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 10.192.14.1

ip route 78.107.23.0 255.255.255.0 10.192.14.1

ip route 78.107.69.98 255.255.255.255 10.192.14.1

ip route 83.102.146.96 255.255.255.224 10.192.14.1

ip route 83.102.231.32 255.255.255.240 10.192.14.1

ip route 85.21.17.0 255.255.255.0 10.192.14.1

ip route 85.21.52.254 255.255.255.255 10.192.14.1

ip route 85.21.72.80 255.255.255.240 10.192.14.1

ip route 85.21.79.0 255.255.255.0 10.192.14.1

ip route 85.21.88.130 255.255.255.255 10.192.14.1

ip route 85.21.90.0 255.255.254.0 10.192.14.1

ip route 85.21.108.16 255.255.255.240 10.192.14.1

ip route 85.21.138.208 255.255.255.240 10.192.14.1

ip route 85.21.192.3 255.255.255.255 10.192.14.1

ip route 89.179.135.67 255.255.255.255 10.192.14.1

ip route 195.14.50.1 255.255.255.255 10.192.14.1

ip route 195.14.50.16 255.255.255.255 10.192.14.1

ip route 195.14.50.21 255.255.255.255 10.192.14.1

ip route 195.14.50.26 255.255.255.255 10.192.14.1

ip route 195.14.50.93 255.255.255.255 10.192.14.1

ip route 213.234.192.8 255.255.255.255 10.192.14.1

!

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source route-map local interface FastEthernet4 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

ip access-list extended nat

deny ip any 85.21.17.0 0.0.0.255

permit ip 10.10.10.0 0.0.0.255 any

!

logging trap debugging

access-list 1 remark INSIDE_IF=BVI1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.255

access-list 100 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 100 remark SDM_ACL Category=1

access-list 100 deny ip 10.192.14.0 0.0.7.255 any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

access-list 101 remark auto generated by Cisco SDM Express firewall configuratio

n

access-list 101 remark SDM_ACL Category=1

access-list 101 permit udp host 85.21.192.3 eq domain host 10.192.23.24

access-list 101 permit udp host 213.234.192.8 eq domain host 10.192.23.24

access-list 101 deny ip 10.10.10.0 0.0.0.255 any

access-list 101 permit icmp any host 10.192.23.24 echo-reply

access-list 101 permit icmp any host 10.192.23.24 time-exceeded

access-list 101 permit icmp any host 10.192.23.24 unreachable

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip any any

no cdp run

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface FastEthernet4

!

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

banner login ^CCAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

login local

no modem enable

transport output telnet

escape-character 3

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

end

 

 

 

trace c cisco

 

 

Type escape sequence to abort.

Tracing the route to ya.ru (213.180.204.8)

 

1 10.192.14.1 48 msec * 52 msec

2 izm-bb-giga1-6.msk.corbina.net (85.21.17.12) 120 msec * 104 msec

3 10.219.1.181 32 msec

 

 

ko-bb-teng12-2.msk.corbina.net (195.14.54.117) 96 msec

10.219.1.181 40 msec

4 k9-bb-teng3-1.msk.corbina.net (195.14.54.125) 220 msec

stpetr-bb-teng4-2.msk.corbina.net (195.14.54.133) 0 msec

k9-bb-teng3-1.msk.corbina.net (195.14.54.125) 368 msec

5 *

m9-bb-teng4-3.msk.corbina.net (195.14.60.130) 156 msec

nvsl-bb-vlan99.msk.corbina.net (85.21.224.117) 40 msec

6 *

smln-bb-teng4-3.msk.corbina.net (195.14.54.112) 56 msec *

7 msu-bb-vlan76.msk.corbina.net (195.14.60.249) 52 msec * 36 msec

8 *

m9-bb-teng4-1.msk.corbina.net (195.14.54.218) 60 msec *

9 *

m9-bb-teng4-3.msk.corbina.net (195.14.60.130) !A

m9-bb-teng4-1.msk.corbina.net (195.14.54.218) !A

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Не пингует :) Но трейс изменился...
М-да? И в какую сторону?

 

Выполни:

no ip route 0.0.0.0 0.0.0.0 10.192.14.1

И расскажи самое главное, откуда ты взял такой адрес на fa4 (10.192.23.24/21) и такой шлюз (10.192.14.1)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах