Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

A_Petrenko

Cisco871WK9 + Corbina L2TP

Рекомендованные сообщения

Коллеги, всем привет.

Не получается включиться по L2TP.

Вот конфиг:

+++++++++++++

 

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication ppp default local

!

aaa session-id common

!

resource policy

!

ip cef

no ip dhcp use vrf connected

ip dhcp excluded-address 10.10.10.1

ip dhcp excluded-address 10.10.10.5

ip dhcp excluded-address 10.10.10.6

ip dhcp excluded-address 10.10.10.2

!

ip dhcp pool home

import all

network 10.10.10.0 255.255.255.248

default-router 10.10.10.1

!

ip dhcp pool TrustedPool

import all

host 10.10.10.5 255.255.255.248

client-identifier ****************

default-router 10.10.10.1

option 150 ip 213.180.***.***

dns-server 213.180.***.***

!

ip dhcp pool TrustedPhone

import all

host 10.10.10.6 255.255.255.248

client-identifier *************

option 150 ip *****************

default-router 10.10.10.1

dns-server ***************

!

!

l2tp-class corbina

!

!

!

!

 

!

pseudowire-class corbina

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

!

 

!

bridge irb

!

!

!

interface Loopback0

ip address 213.180.***.*** 255.255.255.255

no ip proxy-arp

crypto ipsec df-bit clear

!

interface FastEthernet0

spanning-tree portfast

!

interface FastEthernet1

spanning-tree portfast

!

interface FastEthernet2

spanning-tree portfast

!

interface FastEthernet3

spanning-tree portfast

!

interface FastEthernet4

ip address dhcp

duplex auto

speed auto

!

interface Dot11Radio0

no ip address

!

encryption mode ciphers tkip

!

ssid home

authentication open

authentication key-management wpa

guest-mode

wpa-psk ascii ***************

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0

station-role root

bridge-group 1

bridge-group 1 subscriber-loop-control

bridge-group 1 spanning-disabled

bridge-group 1 block-unknown-source

no bridge-group 1 source-learning

no bridge-group 1 unicast-flooding

!

interface Virtual-PPP1

ip address negotiated

ip mtu 1452

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1412

no cdp enable

ppp authentication chap callin

ppp chap hostname trum-pum-pum

ppp chap password ************

pseudowire 85.21.17.251 10 pw-class corbina

crypto ipsec df-bit clear

crypto ipsec client ezvpn ************

!

interface Vlan1

no ip address

bridge-group 1

bridge-group 1 spanning-disabled

!

interface BVI1

ip address 10.10.10.1 255.255.255.248

ip access-group ACL4VPN in

ip nat inside

ip virtual-reassembly

crypto ipsec client ezvpn ********** inside

!

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

!

no ip http server

no ip http secure-server

ip dns view ezvpn-internal-view

domain name-server 213.180.***.***

domain name-server 213.180.***.***

ip nat inside source list 102 interface FastEthernet4 overload

!

ip access-list extended ACL4VPN

permit ip host 10.10.10.5 any

permit ip host 10.10.10.6 any

deny ip any 213.180.***.*** 0.0.0.255

deny ip any host 213.180.***.***

deny ip any 213.180.***.*** 0.0.0.3

deny ip any 213.180.***.*** 0.0.0.31

deny ip any 213.180.***.*** 0.0.0.127

deny ip any host 213.180.***.***

deny ip any 213.180.***.*** 0.0.0.127

deny ip any host 213.180.***.***

deny ip any host 213.180.***.***

permit ip any any

!

access-list 102 permit ip 10.10.10.0 0.0.0.7 any

!

!

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

!

line con 0

no modem enable

line aux 0

line vty 0 4

privilege level 15

!

scheduler max-task-time 5000

end

++++++++++++++++++++++++++++++++++++++++++

А вто что пишет лог:

++++++++++++++++++++++++++++++++++

*Jun 18 14:25:49.375: Tnl 6411 L2TP: I Hello from bras255 tnl 5413

*Jun 18 14:25:50.487: Vp1 LCP: I TERMREQ [Open] id 3 len 4

*Jun 18 14:25:50.487: Vp1 LCP: O TERMACK [Open] id 3 len 4

*Jun 18 14:25:50.487: Vp1 PPP: Sending Acct Event[Down] id[AD]

*Jun 18 14:25:50.487: Vp1 IPCP: State is Closed

*Jun 18 14:25:50.487: Vp1 PPP: Phase is TERMINATING

*Jun 18 14:25:50.487: uid:42 Tnl/Sn 6411/106 L2TP: Result code(2): 2: Call disconnected, refer to error msg

*Jun 18 14:25:50.487: Error code(6): Vendor specific

*Jun 18 14:25:50.487: Optional msg: Locally generated disconnect

*Jun 18 14:25:50.491: Vp1 PPP: Outbound ip packet dropped

*Jun 18 14:25:50.491: uid:42 Tnl/Sn 6411/106 L2TP: I CDN from bras255 tnl 5413, cl 6694

*Jun 18 14:25:50.491: uid:42 Tnl/Sn 6411/106 L2TP: disconnect (L2X) IETF: 9/nas-error Ascend: 41/TCP Foreign Host Close

*Jun 18 14:25:50.491: uid:42 Tnl/Sn 6411/106 L2TP: Destroying session

*Jun 18 14:25:50.491: L2X: Sending L2TUN message <Disconnect>

*Jun 18 14:25:50.491: uid:42 Tnl/Sn 6411/106 L2TP: Session state change from established to idle

*Jun 18 14:25:50.491: Tnl 6411 L2TP: Tunnel state change from established to no-sessions-left

*Jun 18 14:25:50.491: Tnl 6411 L2TP: No more sessions in tunnel, shutdown (likely) in 15 seconds

*Jun 18 14:25:50.491: L2X: Session not up, discarded data packet at process level

*Jun 18 14:25:50.499: Vp1 IPCP: Remove route to 85.21.0.255

*Jun 18 14:25:50.499: L2X: l2tun session [2194685832], event [server terminate], old state [open], new state [wait-free]

*Jun 18 14:25:50.499: L2X: l2tun session [2194685832], event [client free], old state [wait-free], new state [terminal]

*Jun 18 14:25:50.507: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to down

*Jun 18 14:25:50.507: Vp1 LCP: State is Closed

*Jun 18 14:25:50.507: Vp1 PPP: Phase is DOWN

*Jun 18 14:25:51.487: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-PPP1, changed state to down

*Jun 18 14:26:00.503: L2X: l2tun session [2194685832], event [client request], old state [open], new state [open]

+++++++++++++

У кого нибудь есть идеи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, всем привет.

Не получается включиться по L2TP.

У кого нибудь есть идеи?

 

Очень круто. :angry2:

 

варианты:

1. Если правильно понял - версия прошивки не подходит для корректной работы l2tp.

 

2. Предлагаю посмотреть в теме информацию - ответ от user-login по поводу 871

 

2а. У меня не работает нормально авторизация/интернет через новые сервера l2tp (либо не видно половину адресов либо вообще не авторизует минут по 5) - я использую адрес 85.21.17.13.

мои конфиги Qwerty и Корбина

 

3. просмотреть forum.sysadmins.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, всем привет.

Не получается включиться по L2TP.

У кого нибудь есть идеи?

 

Ты пытаешься сразу двух провайдеров использовать? Интересно...

А зачем использовать loo0?

Где в конфиге указание в каком месте искать 85.21.17.251? По логике работы корбины, должен быть маршрут в локальную сеть вида:

ip route 85.21.17.251 255.255.255.255 dhcp

а у тебя только дефолтный в virtual-ppp1

 

Очень круто. :(

 

Согласен! ;)

 

варианты:

1. Если правильно понял - версия прошивки не подходит для корректной работы l2tp.

 

2. Предлагаю посмотреть в теме информацию - ответ от user-login по поводу 871

 

2а. У меня не работает нормально авторизация/интернет через новые сервера l2tp (либо не видно половину адресов либо вообще не авторизует минут по 5) - я использую адрес 85.21.17.13.

мои конфиги Qwerty и Корбина

 

3. просмотреть forum.sysadmins.ru

 

1. Не совсем так. Да и show ver мы не видели.

2. Можно и там, но различия между 871 и 851 неввелики.

2а. Необходимо уменьшить mtu size. Мне пришлось до 1272 (1300 - 28) байт урезать, после чего заработали все ресурсы.

 

3. "просмотреть forum.sysadmins.ru" от себя добавлю - внимательно просмотреть! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user-login

 

2а. Необходимо уменьшить mtu size. Мне пришлось до 1272 (1300 - 28) байт урезать, после чего заработали все ресурсы.

Уточни - насколько я понял - на 851 команда ip mtu не работает (всегда 1500) - возможно я ошибаюсь.

Где именно править настройки?

Или нужно пользоваться ip tcp adjust-mss?

Мне хотелось бы работать через "официальные" l2tp адреса,

но к сожалению пока по-другому нифига не работает.

 

Мой конфиг сейчас:

 

 

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2007.10.25 22:32:37 =~=~=~=~=~=~=~=~=~=~=~=

sh ru

Building configuration...

 

Current configuration : 5693 bytes

!

!

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime localtime

service password-encryption

!

hostname SWRouter

!

boot-start-marker

boot system flash c850-advsecurityk9-mz.124-9.T3.bin

boot-end-marker

!

logging buffered 51200 warnings

!

aaa new-model

!

!

aaa authentication ppp default local

aaa authorization network default none

!

aaa session-id common

!

resource policy

!

clock timezone moscow 3

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00

clock save interval 8

no ip dhcp use vrf connected

!

ip dhcp pool HOME

import all

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server 195.14.50.21 195.14.50.1

lease infinite

!

ip dhcp pool guest_lan

import all

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1

dns-server 195.14.50.21 195.14.50.1

lease infinite

!

!

ip cef

ip domain name corbina.net

ip multicast-routing

l2tp-class corbina

!

!

!

!

username *********** privilege 15 secret 5 *********************

!

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

!

!

!

!

interface FastEthernet0

speed 100

no cdp enable

!

interface FastEthernet1

shutdown

speed 100

no cdp enable

!

interface FastEthernet2

shutdown

speed 100

no cdp enable

!

interface FastEthernet3

shutdown

speed 100

no cdp enable

!

interface FastEthernet4

mac-address ****.****.****

ip address dhcp

ip nat outside

no ip virtual-reassembly

speed auto

full-duplex

no cdp enable

!

interface Dot11Radio0

no ip address

!

encryption vlan 10 mode ciphers tkip

!

ssid SW-WIFI

vlan 10

authentication open

authentication key-management wpa

guest-mode

wpa-psk ascii 7 *************************

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 54.0

channel 2437

station-role root

no dot11 extension aironet

no cdp enable

!

interface Dot11Radio0.10

bandwidth 8

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

ip nat inside

no ip virtual-reassembly

no cdp enable

!

interface Virtual-PPP1

ip address negotiated

ip access-group 111 in

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname *********

ppp chap password 7 ******************

pseudowire 85.21.17.13 10 pw-class class1

!

interface Vlan1

ip address 192.168.0.1 255.255.255.0

ip nat inside

no ip virtual-reassembly

!

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 192.168.10.0 255.255.255.0 Dot11Radio0.10

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 85.21.17.13 255.255.255.255 dhcp

ip route 85.21.79.38 255.255.255.255 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 195.14.50.1 255.255.255.255 dhcp

ip route 195.14.50.21 255.255.255.255 dhcp

!

no ip http server

no ip http secure-server

ip nat inside source list lan interface FastEthernet4 overload

ip nat inside source list wan interface Virtual-PPP1 overload

ip nat inside source static tcp 192.168.10.2 28169 interface FastEthernet4 28169

ip nat inside source static udp 192.168.10.2 7557 interface FastEthernet4 7557

!

ip access-list extended lan

permit ip 192.168.0.0 0.0.0.255 195.14.50.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.0.0 0.0.0.255 85.21.151.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 83.102.146.96 0.0.0.31

permit ip 192.168.0.0 0.0.0.255 host 85.21.52.254

permit ip 192.168.0.0 0.0.0.255 host 85.21.88.130

permit ip 192.168.0.0 0.0.0.255 85.21.90.0 0.0.1.255

permit ip 192.168.0.0 0.0.0.255 host 85.21.138.211

permit ip 192.168.0.0 0.0.0.255 host 85.21.138.212

permit ip 192.168.10.0 0.0.0.255 195.14.50.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.10.0 0.0.0.255 85.21.151.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.10.0 0.0.0.255 83.102.146.96 0.0.0.31

permit ip 192.168.10.0 0.0.0.255 host 85.21.52.254

permit ip 192.168.10.0 0.0.0.255 host 85.21.88.130

permit ip 192.168.10.0 0.0.0.255 85.21.90.0 0.0.1.255

permit ip 192.168.10.0 0.0.0.255 host 85.21.138.211

permit ip 192.168.10.0 0.0.0.255 host 85.21.138.212

ip access-list extended wan

permit ip 192.168.0.0 0.0.0.255 any

permit ip 192.168.10.0 0.0.0.255 any

!

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 192.168.0.0 0.0.255.255 any

access-list 111 deny ip 172.16.0.0 0.15.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

no cdp run

!

control-plane

!

!

line con 0

privilege level 15

no modem enable

transport output all

line aux 0

transport output all

line vty 0 4

privilege level 15

transport input telnet ssh

transport output all

!

scheduler max-task-time 5000

sntp server 195.170.62.130

end

 

SWRouter#

 

 

3. "просмотреть forum.sysadmins.ru" от себя добавлю - внимательно просмотреть! :yess:

Дык! Если бы молодость знала, если бы старость могла! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

user-login

Уточни - насколько я понял - на 851 команда ip mtu не работает (всегда 1500) - возможно я ошибаюсь.

Где именно править настройки?

Или нужно пользоваться ip tcp adjust-mss?

Мне хотелось бы работать через "официальные" l2tp адреса,

но к сожалению пока по-другому нифига не работает.

 

Команда ip mtu работает, ты ошибаешься.

Проверяется очень просто. Если стоит по умолчанию 1500, то:

#ping 192.168.0.1 df-bit size 1500

Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

, а если попробуешь:

#ping 192.168.0.1 df-bit size 1501

Type escape sequence to abort.
Sending 5, 1501-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)

Проверять ессно нужно пингуя что-то подключенное к интерфейсу, на котором меняешь ip mtu

Я решил эту проблему в лоб как говорится :)

Просто уменьшил mtu size в настройках интерфейса windows, смотрящего на роутер. Хотя это костыль. Надо бы разобраться почему винда сама этого не делает, но все некогда.

 

В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{код адаптера}

Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера

Тип параметра: REG_DWORD – число

Допустимые значения: 68 - MTU_используемой_сети

По умолчанию: 0xFFFFFFFF

Описание: этот параметр переопределяет заданное по умолчанию значение MTU для сетевого интерфейса. MTU – это максимальный размер пакета в байтах, который может быть передан транспортным протоколом по используемой сети. Этот размер включает и заголовок транспортного протокола. Следует помнить о том, что датаграмма IP может быть разбита на нескольких пакетов. Если заданное значение превышает значение, используемое в сети по умолчанию, будет использоваться значение MTU по умолчанию. Если задать значение меньше 68, будет использоваться значение MTU, равное 68.

 

Определял пингом с запретом фрагментации, подбирая размер пакета эмпирически. Причем если для "старых" l2tp-серверов MTU=1432, то для "новых" получился MTU=1272.

 

Отсылка на sysadmins.ru больше для меня. :mellow: Там уже обсуждалась тема MTU и как с этим бороться, но вот найти не получается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Команда ip mtu работает, ты ошибаешься.

 

Ну, я проверял просто:

выставлял на virtual-ppp1

ip mtu xxxx

 

и при проверке (переподнятии интерфейса ppp) долго удивлялся почему

sh interface

показывает что mtu опять 1500....

:rofl:

 

поискал информацию - выяснил что на 8хх использовать

можно только tcp adjust mss

с неоднозначными результатами (может не работать).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, я проверял просто:

выставлял на virtual-ppp1

ip mtu xxxx

 

и при проверке (переподнятии интерфейса ppp) долго удивлялся почему

sh interface

показывает что mtu опять 1500....

:rolleyes:

Очень может быть что я ошибаюсь, но sh int показывает MTU интерфейса, а ты меняешь ip mtu. Не уверен, что это одно и тоже.

Порекомендовали почитать http://www.cisco.com/en/US/tech/tk827/tk36...080093f1f.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не уверен, что это одно и тоже.

Это одно и то же.

ip mtu я меняю на интерфейсе.

 

По информации с форумов, серия 8xx (по каким-то соображениям) это не умеет.

 

 

Как посмотреть какой Mtu у меня на PC?

Это опять в реестре ковыряться?

 

ps. за ссылку спасибо - попытаюсь прикрутить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как посмотреть какой Mtu у меня на PC?

Это опять в реестре ковыряться?

"Это же бубль гум!" (с) :D

Вот тут весьма подробное описание сетевых параметров реестра http://support.microsoft.com/kb/314053/ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Это же бубль гум!" (с) ;)

Вот тут весьма подробное описание сетевых параметров реестра http://support.microsoft.com/kb/314053/ru

Оки, спасибо. :P

 

В windows я больше пользователь, чем админ. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, всем доброго времени суток.

Начну по поряжку LoopBack0 в конфиге присутствует по поводу VPN в мою лавку :) Все что касается пиров в лавку + конфиг самого VPN я предусмотрительно выкинул...

 

По поводу идей с MTU, возмонжно, я не учитываю коекакие моменты. Для этого публикую полный лог сессии:

+++++++++++++

 

 

*Jun 18 14:46:24.215: L2X: L2TP: Received L2TUN message <Circuit Status>

*Jun 18 14:46:24.215: uid:42 Tnl/Sn 718/119 L2TP: L2TP: CIRCUIT STATUS: Sending circuit status information to peer

*Jun 18 14:46:24.215: uid:42 Tnl/Sn 718/119 L2TP: O SLI to bras255 26697/8020

*Jun 18 14:46:24.215: uid:42 Tnl/Sn 718/119 L2TP: Sending send ACCM 0xFFFFFFFF and receive ACCM 0xFFFFFFFF

*Jun 18 14:46:24.215: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:25.215: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:25.231: Vp1 LCP: Timeout: State Listen

*Jun 18 14:46:25.231: Vp1 PPP: No remote authentication for call-out

*Jun 18 14:46:25.231: Vp1 LCP: O CONFREQ [Listen] id 229 len 10

*Jun 18 14:46:25.231: Vp1 LCP: MagicNumber 0x19D2A3C5 (0x050619D2A3C5)

*Jun 18 14:46:27.247: Vp1 LCP: Timeout: State REQsent

*Jun 18 14:46:27.247: Vp1 LCP: O CONFREQ [REQsent] id 230 len 10

*Jun 18 14:46:27.247: Vp1 LCP: MagicNumber 0x19D2A3C5 (0x050619D2A3C5)

*Jun 18 14:46:27.247: Vp1 LCP: I CONFREQ [REQsent] id 1 len 19

*Jun 18 14:46:27.247: Vp1 LCP: MRU 1400 (0x01040578)

*Jun 18 14:46:27.247: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.247: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.247: Vp1 LCP: O CONFNAK [REQsent] id 1 len 8

*Jun 18 14:46:27.247: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.251: Vp1 LCP: I CONFACK [REQsent] id 230 len 10

*Jun 18 14:46:27.251: Vp1 LCP: MagicNumber 0x19D2A3C5 (0x050619D2A3C5)

*Jun 18 14:46:27.255: Vp1 LCP: I CONFREQ [ACKrcvd] id 2 len 19

*Jun 18 14:46:27.255: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.255: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.255: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.255: Vp1 LCP: O CONFACK [ACKrcvd] id 2 len 19

*Jun 18 14:46:27.255: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.255: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.255: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.255: Vp1 LCP: State is Open

*Jun 18 14:46:27.255: Vp1 PPP: Phase is AUTHENTICATING, by the peer

*Jun 18 14:46:27.283: Vp1 CHAP: I CHALLENGE id 1 len 28 from "bras255"

*Jun 18 14:46:27.283: Vp1 CHAP: Using hostname from interface CHAP

*Jun 18 14:46:27.283: Vp1 CHAP: Using password from interface CHAP

*Jun 18 14:46:27.283: Vp1 CHAP: O RESPONSE id 1 len 35 from "andreypetrenko"

*Jun 18 14:46:27.335: Vp1 CHAP: I SUCCESS id 1 len 4

*Jun 18 14:46:27.339: Vp1 PPP: Phase is FORWARDING, Attempting Forward

*Jun 18 14:46:27.339: Vp1 PPP: Queue IPCP code[1] id[1]

*Jun 18 14:46:27.339: Vp1 PPP: Phase is ESTABLISHING, Finish LCP

*Jun 18 14:46:27.339: Vp1 PPP: Phase is UP

*Jun 18 14:46:27.339: Vp1 IPCP: O CONFREQ [Closed] id 1 len 10

*Jun 18 14:46:27.339: Vp1 IPCP: Address 0.0.0.0 (0x030600000000)

*Jun 18 14:46:27.339: Vp1 PPP: Process pending ncp packets

*Jun 18 14:46:27.339: Vp1 IPCP: Redirect packet to Vp1

*Jun 18 14:46:27.339: Vp1 IPCP: I CONFREQ [REQsent] id 1 len 10

*Jun 18 14:46:27.339: Vp1 IPCP: Address 85.21.0.255 (0x0306551500FF)

*Jun 18 14:46:27.339: Vp1 IPCP: O CONFACK [REQsent] id 1 len 10

*Jun 18 14:46:27.339: Vp1 IPCP: Address 85.21.0.255 (0x0306551500FF)

*Jun 18 14:46:27.343: Vp1 IPCP: I CONFNAK [ACKsent] id 1 len 10

*Jun 18 14:46:27.343: Vp1 IPCP: Address 78.107.213.33 (0x03064E6BD521)

*Jun 18 14:46:27.343: Vp1 IPCP: O CONFREQ [ACKsent] id 2 len 10

*Jun 18 14:46:27.343: Vp1 IPCP: Address 78.107.213.33 (0x03064E6BD521)

*Jun 18 14:46:27.347: Vp1 IPCP: I CONFACK [ACKsent] id 2 len 10

*Jun 18 14:46:27.347: Vp1 IPCP: Address 78.107.213.33 (0x03064E6BD521)

*Jun 18 14:46:27.347: Vp1 IPCP: State is Open

*Jun 18 14:46:27.347: Vp1 IPCP: Install negotiated IP interface address 78.107.213.33

*Jun 18 14:46:27.347: Vp1 IPCP: Install route to 85.21.0.255

*Jun 18 14:46:28.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-PPP1, changed state to up

*Jun 18 14:46:28.343: Vp1 IPCP: Install route to 85.21.0.255

*Jun 18 14:46:28.343: L2X: l2tun session [2194685832], event [client peer-to-peer msg], old state [open], new state [open]

*Jun 18 14:46:28.343: L2X: L2TP: Received L2TUN message <Circuit Status>

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: L2TP: CIRCUIT STATUS: Sending circuit status information to peer

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: O SLI to bras255 26697/8020

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: Sending send ACCM 0xFFFFFFFF and receive ACCM 0xFFFFFFFF

*Jun 18 14:46:28.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.911: Tnl 718 L2TP: I Hello from bras255 tnl 26697

*Jun 18 14:47:27.427: Vp1 LCP: I TERMREQ [Open] id 3 len 4

*Jun 18 14:47:27.431: Vp1 LCP: O TERMACK [Open] id 3 len 4

*Jun 18 14:47:27.431: Vp1 PPP: Sending Acct Event[Down] id[CA]

*Jun 18 14:47:27.431: Vp1 IPCP: State is Closed

*Jun 18 14:47:27.431: Vp1 PPP: Phase is TERMINATING

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: Result code(2): 2: Call disconnected, refer to error msg

*Jun 18 14:47:27.431: Error code(6): Vendor specific

*Jun 18 14:47:27.431: Optional msg: Locally generated disconnect

*Jun 18 14:47:27.431: Vp1 PPP: Outbound ip packet dropped

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: I CDN from bras255 tnl 26697, cl 8020

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: disconnect (L2X) IETF: 9/nas-error Ascend: 41/TCP Foreign Host Close

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: Destroying session

*Jun 18 14:47:27.431: L2X: Sending L2TUN message <Disconnect>

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: Session state change from established to idle

*Jun 18 14:47:27.435: Tnl 718 L2TP: Tunnel state change from established to no-sessions-left

*Jun 18 14:47:27.435: Tnl 718 L2TP: No more sessions in tunnel, shutdown (likely) in 15 seconds

*Jun 18 14:47:27.435: L2X: Session not up, discarded data packet at process level

*Jun 18 14:47:27.443: Vp1 IPCP: Remove route to 85.21.0.255

*Jun 18 14:47:27.443: L2X: l2tun session [2194685832], event [server terminate], old state [open], new state [wait-free]

*Jun 18 14:47:27.443: L2X: l2tun session [2194685832], event [client free], old state [wait-free], new state [terminal]

*Jun 18 14:47:27.447: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to down

*Jun 18 14:47:27.447: Vp1 LCP: State is Closed

*Jun 18 14:47:27.447: Vp1 PPP: Phase is DOWN

+++++++++++++++++++++++

Из него можно подчерпнуть вот что:

++++++++++++++++

*Jun 18 14:46:27.247: Vp1 LCP: I CONFREQ [REQsent] id 1 len 19

*Jun 18 14:46:27.247: Vp1 LCP: MRU 1400 (0x01040578)

*Jun 18 14:46:27.247: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.247: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.247: Vp1 LCP: O CONFNAK [REQsent] id 1 len 8

*Jun 18 14:46:27.247: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.251: Vp1 LCP: I CONFACK [REQsent] id 230 len 10

*Jun 18 14:46:27.251: Vp1 LCP: MagicNumber 0x19D2A3C5 (0x050619D2A3C5)

*Jun 18 14:46:27.255: Vp1 LCP: I CONFREQ [ACKrcvd] id 2 len 19

*Jun 18 14:46:27.255: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.255: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.255: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.255: Vp1 LCP: O CONFACK [ACKrcvd] id 2 len 19

*Jun 18 14:46:27.255: Vp1 LCP: MRU 1500 (0x010405DC)

*Jun 18 14:46:27.255: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Jun 18 14:46:27.255: Vp1 LCP: MagicNumber 0xA9B8EFD2 (0x0506A9B8EFD2)

*Jun 18 14:46:27.255: Vp1 LCP: State is Open

 

+++++++++++++

Что можно трактовать как:

1. Провайдер попросил установить MTU = 1400

2. Моя Кошка предложила MTU=1500

3. Провайдер согласился на это предложение :D

 

Команда ip mtu работает, ты ошибаешься.

Проверяется очень просто. Если стоит по умолчанию 1500, то:

#ping 192.168.0.1 df-bit size 1500

Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

, а если попробуешь:

#ping 192.168.0.1 df-bit size 1501

Type escape sequence to abort.
Sending 5, 1501-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)

Проверять ессно нужно пингуя что-то подключенное к интерфейсу, на котором меняешь ip mtu

Я решил эту проблему в лоб как говорится :D

Просто уменьшил mtu size в настройках интерфейса windows, смотрящего на роутер. Хотя это костыль. Надо бы разобраться почему винда сама этого не делает, но все некогда.

 

В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{код адаптера}

Раздел: Tcpip\Parameters\Interfaces\код(ID)_адаптера

Тип параметра: REG_DWORD – число

Допустимые значения: 68 - MTU_используемой_сети

По умолчанию: 0xFFFFFFFF

Описание: этот параметр переопределяет заданное по умолчанию значение MTU для сетевого интерфейса. MTU – это максимальный размер пакета в байтах, который может быть передан транспортным протоколом по используемой сети. Этот размер включает и заголовок транспортного протокола. Следует помнить о том, что датаграмма IP может быть разбита на нескольких пакетов. Если заданное значение превышает значение, используемое в сети по умолчанию, будет использоваться значение MTU по умолчанию. Если задать значение меньше 68, будет использоваться значение MTU, равное 68.

 

Определял пингом с запретом фрагментации, подбирая размер пакета эмпирически. Причем если для "старых" l2tp-серверов MTU=1432, то для "новых" получился MTU=1272.

 

Отсылка на sysadmins.ru больше для меня. :o Там уже обсуждалась тема MTU и как с этим бороться, но вот найти не получается.

 

 

Я выше лог свой полный кинул....

Не могу понять почему ни с того ни с сего в логе появляется вот такой закорюк после того, как согласовали интерфейс, произошла авторизация меня как пользоавтеля...

++++++++++

*Jun 18 14:46:27.347: Vp1 IPCP: Install route to 85.21.0.255

*Jun 18 14:46:28.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-PPP1, changed state to up

*Jun 18 14:46:28.343: Vp1 IPCP: Install route to 85.21.0.255

*Jun 18 14:46:28.343: L2X: l2tun session [2194685832], event [client peer-to-peer msg], old state [open], new state [open]

*Jun 18 14:46:28.343: L2X: L2TP: Received L2TUN message <Circuit Status>

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: L2TP: CIRCUIT STATUS: Sending circuit status information to peer

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: O SLI to bras255 26697/8020

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: Sending send ACCM 0xFFFFFFFF and receive ACCM 0xFFFFFFFF

*Jun 18 14:46:28.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.911: Tnl 718 L2TP: I Hello from bras255 tnl 26697

*Jun 18 14:47:27.427: Vp1 LCP: I TERMREQ [Open] id 3 len 4

*Jun 18 14:47:27.431: Vp1 LCP: O TERMACK [Open] id 3 len 4

++++++++++++++++++++++++++++++++

Я трактую лог так, моя Кошка попросила уточнить у оператора состояние канала, а в ответ получила "Hello" + предложение закрвть сессию:

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: O SLI to bras255 26697/8020

*Jun 18 14:46:28.343: uid:42 Tnl/Sn 718/119 L2TP: Sending send ACCM 0xFFFFFFFF and receive ACCM 0xFFFFFFFF

*Jun 18 14:46:28.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.347: Tnl 718 L2TP: Control channel retransmit delay set to 1 seconds

*Jun 18 14:46:29.911: Tnl 718 L2TP: I Hello from bras255 tnl 26697

Jun 18 14:47:27.427: Vp1 LCP: I TERMREQ [Open] id 3 len 4

++++++++++++++++++

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я трактую лог так, моя Кошка попросила уточнить у оператора состояние канала, а в ответ получила

Покажи sh ver

 

С "заводской" прошивкой (12.4.4 T7) у меня категорически не устанавливался vpn.

После заливки "magic-версии" :D 12.4.9 T3 всё заработало.

 

Причем хрень выглядит именно так как ты описал - туннель подняли - туннель упал (намылить, смыть, повторить)

 

Я встречал информацию на форумах что работа l2tp (в частности с Корбиной) невозможна на некоторых версиях прошивок. Мне порекомендовали версию написал выше.

 

PS. Самое смешное - при заливке самой последней версии 12.4.15T1 тоже не работало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, всем доброго времени суток.

Приветствую. Сразу извиняюсь за мой первый пост был невнимателен.

 

По поводу лога...

Самая интересная секция:

*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: Result code(2): 2: Call disconnected, refer to error msg
*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: I CDN from bras255 tnl 26697, cl 8020
*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: disconnect (L2X) IETF: 9/nas-error Ascend: 41/TCP Foreign Host Close
*Jun 18 14:47:27.431: uid:42 Tnl/Sn 718/119 L2TP: Destroying session

причём трактовать её я поостерегусь, потому как точно такую же ошибку мне выдавала моя кошка с предидущей версией IOS (к сожалению цифирей не запомнил, а сам ios потер... была в базовой поставке -К9) при наличии в конфиге секций с pseudowire-class и l2tp-class, а замечательно работала, если в интерфейсе virtual-ppp были строки:

ppp direction callout
pseudowire 85.21.17.255 1 encapsulation l2tpv2

и не было никаких pseudowire-class и l2tp-class...

 

Эта чудо версия была заменена на c870-advipservicesk9-mz.124-15.T1, а вот она работает только вот так:

interface Virtual-PPP1
 ppp authentication chap callin
 pseudowire 85.21.17.255 1 pw-class 1

pseudowire-class 1
encapsulation l2tpv2
ip local interface FastEthernet4

причем ip local interface FastEthernet4 тоже не обязательно...

 

Да, забыл самое главное, параметр mtu предлагаемый при коннекте можно попытаться задать в pseudowire-class параметром ip pmtu max 1400, только вот у меня фокус не прошел... :)

 

P.S. А почему в логе время такое странное? Проблема с июня тянется? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот собственно про прошивку...

++++++++++++++++

Router#sh ver

Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(9)T3, RELEASE SOFTWARE (fc3)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Sat 24-Mar-07 03:56 by prod_rel_team

 

ROM: System Bootstrap, Version 12.3(8r)YI3, RELEASE SOFTWARE

 

Router uptime is 34 minutes

System returned to ROM by power-on

System image file is "flash:c870-advsecurityk9-mz.124-9.T3.bin"

+++++++++++++++++++++++++++++++

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(9)T3, RELEASE SOFTWARE (fc3)

Если честно по части различных версий и их стабильной (или не стабильной :( ) работы многоуважаемый тов. StarWoofy больше в курсе, но если есть желание поэкспериментировать могу выложить c870-advipservicesk9-mz.124-15.T1.bin (версия, с которой стабильно работает у меня сейчас + вся необходимая функциональность нужная мне есть "в одном флаконе").

Если и при таком подходе не заработает, то можно начинать искать "тараканов" ;)

Вариант что я предлагал выше пробовали? т.е. не использовать pseudowire-class и l2tp-class, а заменить все это безобразие одной строкой в интерфейсе virtual-ppp1 описывающей инкапсуляцию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если честно по части различных версий и их стабильной (или не стабильной :lol: ) работы многоуважаемый тов. StarWoofy больше в курсе, но если есть желание поэкспериментировать могу выложить c870-advipservicesk9-mz.124-15.T1.bin (версия, с которой стабильно работает у меня сейчас + вся необходимая функциональность нужная мне есть "в одном флаконе").

Если и при таком подходе не заработает, то можно начинать искать "тараканов" :)

Вариант что я предлагал выше пробовали? т.е. не использовать pseudowire-class и l2tp-class, а заменить все это безобразие одной строкой в интерфейсе virtual-ppp1 описывающей инкапсуляцию?

 

Спасибо.

Прошивку попробую найти....

Отчитаюсь по результатам, но это будет не скоро....

 

 

 

Если честно по части различных версий и их стабильной (или не стабильной :rolleyes: ) работы многоуважаемый тов. StarWoofy больше в курсе, но если есть желание поэкспериментировать могу выложить c870-advipservicesk9-mz.124-15.T1.bin (версия, с которой стабильно работает у меня сейчас + вся необходимая функциональность нужная мне есть "в одном флаконе").

Если и при таком подходе не заработает, то можно начинать искать "тараканов" :unsure:

Вариант что я предлагал выше пробовали? т.е. не использовать pseudowire-class и l2tp-class, а заменить все это безобразие одной строкой в интерфейсе virtual-ppp1 описывающей инкапсуляцию?

 

Забыл спросить...

А сколько флеша нужно под эту прошивку?..

Если мне неизменяет помять на стоковой конфигурации это лететь не будет... :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо.

Прошивку попробую найти....

Отчитаюсь по результатам, но это будет не скоро....

Забыл спросить...

А сколько флеша нужно под эту прошивку?..

Если мне неизменяет помять на стоковой конфигурации это лететь не будет... :D

А чем отличается не сток? Должно быть типа 28М флеша?

#sh flash
24576K bytes of processor board System flash (Intel Strataflash)

Directory of flash:/

2  -rwx	18850232   Oct 9 2007 21:54:03 +04:00  c870-advipservicesk9-mz.124-15.T1.bin
3  -rwx		 680  Nov 11 2007 12:22:20 +03:00  vlan.dat

23482368 bytes total (4626432 bytes free)

Значит у меня сток.

Если модераторы будут не против

ftp://216.139.128.7//c870-advipservicesk9-mz.124-15.T1.bin

ftp://216.139.128.3//c870-advipservicesk9-mz.124-15.T1.bin

ftp://80.19.110.229//c870-advipservicesk9-mz.124-15.T1.bin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем отличается не сток? Должно быть типа 28М флеша?

#sh flash
24576K bytes of processor board System flash (Intel Strataflash)

Directory of flash:/

2  -rwx	18850232   Oct 9 2007 21:54:03 +04:00  c870-advipservicesk9-mz.124-15.T1.bin
3  -rwx		 680  Nov 11 2007 12:22:20 +03:00  vlan.dat

23482368 bytes total (4626432 bytes free)

Значит у меня сток.

Если модераторы будут не против

ftp://216.139.128.7//c870-advipservicesk9-mz.124-15.T1.bin

ftp://216.139.128.3//c870-advipservicesk9-mz.124-15.T1.bin

ftp://80.19.110.229//c870-advipservicesk9-mz.124-15.T1.bin

 

2 User-login

Спасибо.

Немного освободился сейчас перейду к тестам уже более детально :lol:

Пока откатился на своего старого провайдера - Tesontel.

Они работают по pppoe. Cisco по этому протоколу просто летает :lol:

Но проблема с ними в другом, даже не в деньгах :unsure:

Они даже при наличии реального IP на моем интерфейсе пытаются проксировать весь трафик, включая 25 порт. Этот идиотиз приводит к тому, что сейчас меня не пускает ни один почтовый сервер, включая мой, который на площадке Zenon, утверждая, что я судя по моему IP адресу - ЗЛОСТНЫЙ СПАМЕР.

Это так сказать - реальная мотивация вернуться к Корбине :)

По пути, можно попросить Ваш конфиг на этом IOS?

Самому сочинять все - боюсь НИИИАСИЛИТЬ :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 User-login

Спасибо.

Немного освободился сейчас перейду к тестам уже более детально :)

Пока откатился на своего старого провайдера - Tesontel.

Они работают по pppoe. Cisco по этому протоколу просто летает :)

Но проблема с ними в другом, даже не в деньгах <_<

Они даже при наличии реального IP на моем интерфейсе пытаются проксировать весь трафик, включая 25 порт. Этот идиотиз приводит к тому, что сейчас меня не пускает ни один почтовый сервер, включая мой, который на площадке Zenon, утверждая, что я судя по моему IP адресу - ЗЛОСТНЫЙ СПАМЕР.

Это так сказать - реальная мотивация вернуться к Корбине :D

По пути, можно попросить Ваш конфиг на этом IOS?

Самому сочинять все - боюсь НИИИАСИЛИТЬ :)

Да не вопрос:

 

 

#sh run

Building configuration...

 

Current configuration : 12128 bytes

!

! Last configuration change at 21:13:54 gmt Fri Mar 28 2008 by cisco

! NVRAM config last updated at 21:14:02 gmt Fri Mar 28 2008 by cisco

!

version 12.4

no service pad

service timestamps debug datetime msec localtime

service timestamps log datetime msec localtime

service password-encryption

!

hostname 871_router

!

boot-start-marker

boot-end-marker

!

no logging buffered

enable secret 5 $1$.DFc$ubYQQDkJ3eO13f05cyPcl/

!

no aaa new-model

memory-size iomem 25

clock timezone gmt 3

clock summer-time gmt recurring last Sun Mar 2:00 last Sun Oct 2:00

!

ip cef

!

ip domain name corbina.net

ip name-server 195.14.50.1

ip name-server 195.14.50.21

ip multicast-routing

ip inspect name test ntp alert on

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

ip ips config location flash:/ips5/ retries 1

ip ips fail closed

ip ips deny-action ips-interface

ip ips name ios-ips

!

ip ips signature-category

category all

retired true

category all

retired true

!

ip reflexive-list timeout 120

no ip igmp snooping

login on-failure log

login on-success log

l2tp-class l2-class-1

hostname unknown

receive-window 512

!

!

multilink bundle-name authenticated

vpdn enable

!

password encryption aes

!

!

memory reserve critical 1024

l2tp congestion-control

username ******** privilege 15 secret 5 ********************

username cisco secret 0 cisco

!

crypto key pubkey-chain rsa

named-key realm-cisco.pub signature

key-string

30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101

00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36

006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

F3020301 0001

quit

!

archive

log config

hidekeys

!

pseudowire-class pw-class-1

encapsulation l2tpv2

protocol l2tpv2 l2-class-1

ip local interface FastEthernet4

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description Corbina intranet

ip address dhcp

ip access-group lan_in in

no ip unreachables

no ip proxy-arp

ip pim neighbor-filter 2

ip pim dense-mode

ip nat outside

ip ips ios-ips in

ip virtual-reassembly

duplex auto

speed auto

no cdp enable

!

interface Virtual-PPP1

description Corbina internet

ip address negotiated

ip access-group in_filt in

ip access-group out_filt out

ip verify unicast reverse-path allow-self-ping

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip ips ios-ips in

ip virtual-reassembly

keepalive 60 10

no cdp enable

ppp authentication chap callin

ppp chap hostname **********

ppp chap password 0 *********

pseudowire 85.21.0.255 1 pw-class pw-class-1

!

interface Vlan1

description LAN; ip=192.168.0.1/29

ip address 192.168.0.1 255.255.255.248

ip mtu 1072

ip pim dense-mode

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1032

ip igmp helper-address 10.84.72.1

ip igmp mroute-proxy FastEthernet4

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.254.0 dhcp

ip route 195.14.50.1 255.255.255.255 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.21 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 195.14.50.93 255.255.255.255 dhcp

ip route 83.102.231.32 255.255.255.240 dhcp

ip route 85.21.108.16 255.255.255.240 dhcp

ip route 78.107.69.98 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 85.21.138.208 255.255.255.240 dhcp

ip route 85.21.52.254 255.255.255.255 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 78.107.23.0 255.255.255.0 dhcp

ip route 85.21.72.80 255.255.255.240 dhcp

!

no ip http server

ip http secure-server

ip dns server

ip pim autorp listener

ip mroute 85.21.91.0 255.255.255.0 10.84.72.1

ip mroute 172.16.16.0 255.255.255.0 10.84.72.1

ip nat inside source static udp 192.168.0.2 63540 interface Virtual-PPP1 63540

ip nat inside source static tcp 192.168.0.2 63530 interface Virtual-PPP1 63530

ip nat inside source route-map local interface FastEthernet4 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

ip access-list extended in_filt

permit icmp any any echo

permit icmp any any echo-reply

permit icmp any any source-quench

permit icmp any any packet-too-big

permit icmp any any unreachable

permit icmp any any time-exceeded

deny icmp any any

permit tcp host xxx.xxx.xxx.xxx any eq 22

permit tcp host xxx.xxx.xxx.xxx any eq 22

permit tcp any any eq 63530

permit tcp any any eq 8080

permit udp any any eq isakmp non500-isakmp domain 63540

permit udp host 138.96.64.10 any eq ntp

permit gre any any

evaluate traffic

deny ip any any

ip access-list extended lan_in

permit icmp any any log

permit udp any eq bootps any eq bootpc

permit udp any eq domain any

permit udp any eq 1701 any eq 1701

permit tcp any any established

permit igmp any any

permit udp 172.16.16.0 0.0.0.255 any

deny ip any any

ip access-list extended nat

permit ip 192.168.0.0 0.0.0.7 any

ip access-list extended out_filt

permit tcp any any reflect traffic

permit esp any any reflect traffic

permit udp any any reflect traffic

permit icmp any any reflect traffic

deny ip any any log-input

!

access-list 1 permit xxx.xxx.xxx.xxx

access-list 1 permit xxx.xxx.xxx.xxx

access-list 1 permit xxx.xxx.xxx.xxx

access-list 1 permit xxx.xxx.xxx.xxx

access-list 1 permit xxx.xxx.xxx.xxx 0.0.0.63

access-list 1 permit xxx.xxx.xxx.xxx 0.0.0.255

access-list 2 deny any

!

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface FastEthernet4

!

control-plane

!

alias exec qm sh cry isa sa

alias exec ses sh cry session remote

!

line con 0

exec-timeout 0 0

no modem enable

line aux 0

no exec

line vty 0 4

access-class 1 in

exec-timeout 60 0

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler interval 5000

ntp clock-period 17174984

ntp server 138.96.64.10 source Virtual-PPP1

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

end

 

 

Вот конфиг с работающего....

Я его почистил от всякой рабочей требухи, если убил что-то нужное или появятся вопросы - пишите.

 

А вообще никто не вкурсе, не планирует ли Корбина без лимитного тарифа в 1 Мбит за 300 руб? А то мне 2 много да и дорого...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да не вопрос:

#sh run

interface FastEthernet4
description Corbina intranet
ip address 10.*.*.* 255.255.0.0	   ! Использую статический адрес, благо не запрещено :)
ip access-group lan_in in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!

no inservice
!
end

Вот конфиг с работающего....

Я его почистил от всякой рабочей требухи, если убил что-то нужное или появятся вопросы - пишите. Заморачиваться с igmp и пр. iptv неохота, да и не надо оно мне, так что если некоторые маршруты мертвые, извиняй.

 

P.S. А вообще Корбина суперпровайдер! Я три месяца не платил за интернет, незачем было, ибо с моего локального адреса был доступен публичный адрес моей работы (на работе интернет тоже Корбина). :) Так что один доп. маршрут и я в бесплатном 10 Мбит интернете. Был. "Починили" они что-то... :)

 

А вообще никто не вкурсе, не планирует ли Корбина без лимитного тарифа в 1 Мбит за 300 руб? А то мне 2 много да и дорого...

 

Спасибо.

А как это про статический адрес?

Куплен реальный адрес или просто вбит любой? Все равно заменят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо.

А как это про статический адрес?

Куплен реальный адрес или просто вбит любой? Все равно заменят :)

Речь идет о локальном (приватном, частном) адресе, который по-умолчанию выдается по dhcp. Я использовал статический из конца подсети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Речь идет о локальном (приватном, частном) адресе, который по-умолчанию выдается по dhcp. Я использую статический из конца подсети.

 

То есть если я не пропишу то же самое - могут быть проблемы?

А как избежать потенциальной проблемы с одинаковыми IP?

Возможно проще сделать саб интерфейс и пусть себе болтается ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если я не пропишу то же самое - могут быть проблемы?

А как избежать потенциальной проблемы с одинаковыми IP?

Возможно проще сделать саб интерфейс и пусть себе болтается ...

Если очень хочется побыть локальным ресурсом сети или определенности, то необходим статический адрес, либо dns-регистрация. Повторюсь, речь идет исключительно о локальной адресации, так сказать транспорте до интернета. :lol: Поэтому строка конфига описывающая адресацию на интерфейсе смотрящем в интрасеть корбины:

interface FastEthernet4
description Corbina intranet
ip address dhcp
ip access-group lan_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable

Может выглядеть вот так.

А если ещё и с igmp не заморачиваться, то во всех статических маршрутах вместо указания адреса шлюза в явном виде написать:

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 83.102.146.96 255.255.255.224 dhcp
ip route 85.21.0.255 255.255.255.255 dhcp
ip route 85.21.17.255 255.255.255.255 dhcp
ip route 85.21.52.254 255.255.255.255 dhcp
ip route 85.21.72.83 255.255.255.255 dhcp
ip route 85.21.79.0 255.255.255.0 dhcp
ip route 85.21.88.130 255.255.255.255 dhcp
ip route 85.21.90.0 255.255.254.0 dhcp
ip route 85.21.121.50 255.255.255.255 dhcp
ip route 85.21.138.208 255.255.255.248 dhcp
ip route 85.21.151.122 255.255.255.255 dhcp
ip route 85.21.151.138 255.255.255.255 dhcp
ip route 89.179.135.67 255.255.255.255 dhcp
ip route 195.14.40.141 255.255.255.255 dhcp
ip route 195.14.50.1 255.255.255.255 dhcp
ip route 195.14.50.16 255.255.255.255 dhcp
ip route 195.14.50.21 255.255.255.255 dhcp
ip route 195.14.50.26 255.255.255.255 dhcp
ip route 195.14.50.93 255.255.255.255 dhcp

Как-то вот так.

В связи с недавней сегментацией сети 10.84.0.0/16 на подсети по 2000 хостов, пришлось вернуться к dhcp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если очень хочется побыть локальным ресурсом сети или определенности, то необходим статический адрес, либо dns-регистрация. Повторюсь, речь идет исключительно о локальной адресации, так сказать транспорте до интернета. :blink: Поэтому строка конфига описывающая адресацию на интерфейсе смотрящем в интрасеть корбины:

interface FastEthernet4
description Corbina intranet
ip address dhcp
ip access-group lan_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable

Может выглядеть вот так.

А если ещё и с igmp не заморачиваться, то во всех статических маршрутах вместо указания адреса шлюза в явном виде написать:

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 83.102.146.96 255.255.255.224 dhcp
ip route 85.21.0.255 255.255.255.255 dhcp
ip route 85.21.17.255 255.255.255.255 dhcp
ip route 85.21.52.254 255.255.255.255 dhcp
ip route 85.21.72.83 255.255.255.255 dhcp
ip route 85.21.79.0 255.255.255.0 dhcp
ip route 85.21.88.130 255.255.255.255 dhcp
ip route 85.21.90.0 255.255.254.0 dhcp
ip route 85.21.121.50 255.255.255.255 dhcp
ip route 85.21.138.208 255.255.255.248 dhcp
ip route 85.21.151.122 255.255.255.255 dhcp
ip route 85.21.151.138 255.255.255.255 dhcp
ip route 89.179.135.67 255.255.255.255 dhcp
ip route 195.14.40.141 255.255.255.255 dhcp
ip route 195.14.50.1 255.255.255.255 dhcp
ip route 195.14.50.16 255.255.255.255 dhcp
ip route 195.14.50.21 255.255.255.255 dhcp
ip route 195.14.50.26 255.255.255.255 dhcp
ip route 195.14.50.93 255.255.255.255 dhcp

Как-то вот так.

В связи с недавней сегментацией сети 10.84.0.0/16 на подсети по 2000 хостов, пришлось вернуться к dhcp.

 

Вооружившись напильником на днях начну драконить Сisco.

В качестве бекапа прикупил себе ASUS 500P, что то ему плохо как то на моей сети :D Виснит постоянно. И нагрузку не тянет. На моем анлиме по speedtest.net больше 7 мегабит через АСУС не получается...

Но зато до нета добраться можно ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вооружившись напильником на днях начну драконить Сisco.

В качестве бекапа прикупил себе ASUS 500P, что то ему плохо как то на моей сети :) Виснит постоянно. И нагрузку не тянет. На моем анлиме по speedtest.net больше 7 мегабит через АСУС не получается...

Но зато до нета добраться можно :(

Хм, серьезно думаете что циска даст вам производительность больше асуса? Сомнительно очень. У циски (особенно если ворованный иос залить :( ) значительно больше функциональность, а не производительность и если маршрутизацию 100 Мбит она (может быть!) ещё и может выполнять, то вот транслировать, проверять аксесс листом и искать сигнатуры IPS'ом.... по моим представлениям (не проверял, поэтому теоретизирую) больше 2 Мбит не будет.

 

P.S. Хотя стоит докупить в неё оперативочки и посмотреть что будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, серьезно думаете что циска даст вам производительность больше асуса? Сомнительно очень. У циски (особенно если ворованный иос залить B) ) значительно больше функциональность, а не производительность и если маршрутизацию 100 Мбит она (может быть!) ещё и может выполнять, то вот транслировать, проверять аксесс листом и искать сигнатуры IPS'ом.... по моим представлениям (не проверял, поэтому теоретизирую) больше 2 Мбит не будет.

 

P.S. Хотя стоит докупить в неё оперативочки и посмотреть что будет...

 

Ну ...

На PPPOE с другим провайдером лично больше 20 видел... + когда Кошке совсем плохо, она просто перегружается, а не виснет ;)

А там что называется нужно посмотреть ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую,

Недавно подключился к корбине, авторизируюсь по l2tp на 85.21.17.13. Адрес нашел случайно, в этой ветке. Если использовать другие сервера - либо скорость низкая, либо половина инета не доступна. Где найти список доступных l2tp серверов? Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ZigZ@g, nslookup l2tp.corbina.net

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ZigZ@g, nslookup l2tp.corbina.net

 

Если на этом сервере авторизироваться

 

[root@meter root]# dig l2tp.corbina.net

;; QUESTION SECTION:

;l2tp.corbina.net. IN A

 

;; ANSWER SECTION:

l2tp.corbina.net. 10800 IN A 85.21.0.255

[root@meter root]#

 

скорость скачивания не больше 700Kb/s

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорость скачивания не больше 700Kb/s

 

 

Такая же беда.

Причем с 25 декабря. Смотри тему по L2TP

Авторизоваться на других серваках не могу, туннель поднимается, и падает.

Корбина самостоятельно закрыла заявку...

Пока сижу на софтовом рутере :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах