Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

A_Petrenko

Cisco871WK9 + Corbina L2TP

Рекомендованные сообщения

Авторизоваться на других серваках не могу, туннель поднимается, и падает.

 

И вот что интересно, пару пакетов все же пробегает. Т.е. делаем запрос(например пытаемся разрешить имя сервера) тунель падает, тут же поднимается и иногда даже можно увидеть результат выполнения команды. А с 85.21.0.255 тунель вроде поднимается, но не работает роутинг. А PPTP на кошке кто-нить настраивал, ведь обычный впн по нему работает. Уж очень перепрошивать иос неохота.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возвращаюсь к проблеме.

831 и л2тп.

 

Решение существует?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возвращаюсь к проблеме.

831 и л2тп.

 

Решение существует?

 

Дык что решать то если там поддержки l2tp нету. Ты описание то глянь, минималка 850 серия

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возвращаюсь к проблеме.

831 и л2тп.

 

Решение существует?

Уважаемый, вам необходимо более конкретно формулировать ваши желания. :(

Используя ios с поддержкой L2TP Client Initiated Tunneling можно попробовать.

Например вот такой ftp-ресурс + реализовать конфиг тов. StarWoofy и поиметь от этого счастья.

 

Ну ...

На PPPOE с другим провайдером лично больше 20 видел... + когда Кошке совсем плохо, она просто перегружается, а не виснет ;)

А там что называется нужно посмотреть :)

На счет 2 Мбит я загнул, конечно. Но измерение производительность в ethernet сегменте та ещё тема...

Тут вот в соседнем посте люди тоже с пузырями доказывают насколько одно (устройство) круче/быстрее/дешевле/тише и т.д. другого (устройства). :blink:

Раз нас всех угораздило быть пользователями Корбины (на данный момент лучший провайдер домового сегмента, не считая почившего в бозе enals.com, да простят меня пользователи стрима :) ), да ещё и использовать роутеры одной фирмы, то прошу поделиться собственными наблюдениями/измерениями скорости его работы. Что касаемо меня, то я никогда не пользовался тарифным планом декларирующим скорость быстрее 4,4 Мбит/сек (~550 КБайт/сек), поэтому не могу объективно судить о максимальной производительности роутера в условиях данного провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

реализовать конфиг тов. StarWoofy и поиметь от этого счастья.

 

:blink: счастье пока не имеется. Ну вот никак не хочет. В принципе в приведенном конфиге почти все совпадает с рекомендациями что есть на цисковском сайте, ан нет, всеравно работать не хочет. Вот сижу пытаюсь понять, что не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:) счастье пока не имеется. Ну вот никак не хочет. В принципе в приведенном конфиге почти все совпадает с рекомендациями что есть на цисковском сайте, ан нет, всеравно работать не хочет. Вот сижу пытаюсь понять, что не так.

Покажи show ver & show runn & deb vpdn all & deb ppp all

Как мне помнится, была проблема с настройкой цисковского dhcp-клиента, он не все маршруты "всасывал".

Поэтому я изначально настраивался статически. И от иоса к иосу, порой кардинально, меняются настройки pseudowire class и l2tp class.

l2tp-class l2-class-1
hostname router
!
l2tp congestion-control
!
pseudowire-class pw-class-1
encapsulation l2tpv2
protocol l2tpv2 l2-class-1
ip local interface FastEthernet4
!
interface Virtual-PPP1
description Corbina internet
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1460
ip nat outside
ip virtual-reassembly
no keepalive
no cdp enable
ppp authentication chap callin
ppp chap hostname ********
ppp chap password 7 **************
pseudowire 85.21.0.255 1 pw-class pw-class-1

Вот так это выглядит у меня сейчас. Особо хочу отметить отключение keepalive, включенного по-умолчанию. Предыдущий публичный адрес "продержался" 1 месяц 1 неделю и 4 часа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Покажи show ver & show runn & deb vpdn all & deb ppp all

 

 

 

host#show ver

Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(9)T3, RELEASE SOFTWARE

(fc3)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Sat 24-Mar-07 03:51 by prod_rel_team

 

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

 

host uptime is 5 hours, 15 minutes

System returned to ROM by power-on

System image file is "flash:c850-advsecurityk9-mz.124-9.T3.bin"

 

Собственно иос взял рекомендованный товарищем StarWoofy, хотя нафига сам еще незнаю, судя по тому какие ошибки вылетали на родном, не сильно то они и различаются. Ну да ладно, я все же больше линуксом занимаюсь нежели циско, это уж так развлекухи для.

 

host#show running-config

Building configuration...

 

Current configuration : 4386 bytes

!

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname host

!

boot-start-marker

boot system flash c850-advsecurityk9-mz.124-9.T3.bin

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5 "не скажу"

!

aaa new-model

!

!

aaa authentication ppp default local

aaa authorization network default none

!

aaa session-id common

!

resource policy

!

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.177.1

!

ip dhcp pool sdm-pool

import all

network 192.168.177.0 255.255.255.0

default-router 192.168.177.1

dns-server 213.234.192.8 85.21.192.8

lease 0 2

!

!

ip cef

ip domain name corbina.net

ip multicast-routing

l2tp-class corbina

!

<вырезал ненужное>

!

username юзер privilege 0 secret 5 "не скажу"

!

pseudowire-class pwclass1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

<вырезал ненужное>

!

interface FastEthernet4

ip address dhcp

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

!

interface Virtual-PPP1

ip address negotiated

ip access-group 111 out

ip nat outside

ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname юзер

ppp chap password 7 пароль

pseudowire 85.21.0.255 10 pw-class pwclass1

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

ip address 192.168.177.1 255.255.255.0

ip nat inside

ip virtual-reassembly

!

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 85.21.72.80 255.255.255.240 dhcp

ip route 85.21.138.208 255.255.255.240 dhcp

ip route 85.21.52.254 255.255.255.255 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 78.107.23.0 255.255.255.0 dhcp

ip route 78.107.69.98 255.255.255.255 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

!

no ip http server

no ip http secure-server

ip nat inside source list 23 interface FastEthernet4 overload

ip nat inside source list 111 interface Virtual-PPP1 overload

!

access-list 23 permit any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

no cdp run

!

control-plane

!

banner login ^C

Hello ...

^C

!

line con 0

no modem enable

line aux 0

line vty 0 4

access-class 23 in

privilege level 15

transport input telnet ssh

!

scheduler max-task-time 5000

end

 

 

#debug ppp nego

 

*Mar 1 07:01:12.694: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to up

*Mar 1 07:01:12.694: Vp1 PPP: Using vpn set call direction

*Mar 1 07:01:12.694: Vp1 PPP: Treating connection as a callout

*Mar 1 07:01:12.694: Vp1 PPP: Session handle[6A000057] Session id[45]

*Mar 1 07:01:12.694: Vp1 PPP: Phase is ESTABLISHING, Active Open

*Mar 1 07:01:12.694: Vp1 PPP: No remote authentication for call-out

*Mar 1 07:01:12.694: Vp1 LCP: O CONFREQ [Closed] id 56 len 10

*Mar 1 07:01:12.694: Vp1 LCP: MagicNumber 0x1EA4FFD9 (0x05061EA4FFD9)

*Mar 1 07:01:14.698: Vp1 LCP: Timeout: State REQsent

*Mar 1 07:01:14.698: Vp1 LCP: O CONFREQ [REQsent] id 57 len 10

*Mar 1 07:01:14.698: Vp1 LCP: MagicNumber 0x1EA4FFD9 (0x05061EA4FFD9)

*Mar 1 07:01:14.698: Vp1 LCP: I CONFREQ [REQsent] id 1 len 19

*Mar 1 07:01:14.698: Vp1 LCP: MRU 1072 (0x01040430)

*Mar 1 07:01:14.698: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 07:01:14.698: Vp1 LCP: MagicNumber 0x505CD64E (0x0506505CD64E)

*Mar 1 07:01:14.698: Vp1 LCP: O CONFNAK [REQsent] id 1 len 8

*Mar 1 07:01:14.702: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 07:01:14.702: Vp1 LCP: I CONFACK [REQsent] id 57 len 10

*Mar 1 07:01:14.702: Vp1 LCP: MagicNumber 0x1EA4FFD9 (0x05061EA4FFD9)

*Mar 1 07:01:14.702: Vp1 LCP: I CONFREQ [ACKrcvd] id 2 len 19

*Mar 1 07:01:14.702: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 07:01:14.702: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 07:01:14.702: Vp1 LCP: MagicNumber 0x505CD64E (0x0506505CD64E)

*Mar 1 07:01:14.702: Vp1 LCP: O CONFACK [ACKrcvd] id 2 len 19

*Mar 1 07:01:14.702: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 07:01:14.702: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 07:01:14.702: Vp1 LCP: MagicNumber 0x505CD64E (0x0506505CD64E)

*Mar 1 07:01:14.706: Vp1 LCP: State is Open

*Mar 1 07:01:14.706: Vp1 PPP: Phase is AUTHENTICATING, by the peer

*Mar 1 07:01:14.714: Vp1 CHAP: I CHALLENGE id 1 len 28 from "bras255"

*Mar 1 07:01:14.714: Vp1 CHAP: Using hostname from interface CHAP

*Mar 1 07:01:14.714: Vp1 CHAP: Using password from interface CHAP

*Mar 1 07:01:14.714: Vp1 CHAP: O RESPONSE id 1 len 31 from "юзер"

*Mar 1 07:01:14.726: Vp1 CHAP: I FAILURE id 1 len 25 msg is "Authentication failed"

*Mar 1 07:01:14.726: Vp1 LCP: I TERMREQ [Open] id 3 len 4

*Mar 1 07:01:14.726: Vp1 LCP: O TERMACK [Open] id 3 len 4

*Mar 1 07:01:14.726: Vp1 PPP: Sending Acct Event[Down] id[237]

*Mar 1 07:01:14.726: Vp1 PPP: Phase is TERMINATING

*Mar 1 07:01:14.734: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to down

*Mar 1 07:01:14.734: Vp1 LCP: State is Closed

*Mar 1 07:01:14.734: Vp1 PPP: Phase is DOWN

 

#debug vpdn l2x-errors

 

*Mar 1 07:05:31.406: Tnl 31355 L2TP: SM State established

*Mar 1 07:05:31.406: uid:1 Tnl/Sn 31355/571 L2TP: O ICRQ to bras255 31258/0

*Mar 1 07:05:31.406: uid:1 Tnl/Sn 31355/571 L2TP: Session state change from wait-for-tunnel t

o wait-reply

*Mar 1 07:05:31.410: uid:1 Tnl/Sn 31355/571 L2TP: Session state change from wait-reply to est

ablished

*Mar 1 07:05:31.410: L2X: Sending L2TUN message <Connect OK>

*Mar 1 07:05:31.410: uid:1 Tnl/Sn 31355/571 L2TP: O ICCN to bras255 31258/43956

*Mar 1 07:05:31.410: Tnl 31355 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 07:05:31.410: L2X: l2tun session [2183663656], event [server response], old state [ope

n], new state [open]

*Mar 1 07:05:31.414: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to up

*Mar 1 07:05:31.474: uid:1 Tnl/Sn 31355/571 L2TP: I CDN from bras255 tnl 31258, cl 43956

*Mar 1 07:05:31.478: uid:1 Tnl/Sn 31355/571 L2TP: disconnect (L2X) IETF: 17/user-error Ascend

: 26/PPP CHAP Fail

*Mar 1 07:05:31.478: uid:1 Tnl/Sn 31355/571 L2TP: Destroying session

*Mar 1 07:05:31.478: L2X: Sending L2TUN message <Disconnect>

*Mar 1 07:05:31.478: uid:1 Tnl/Sn 31355/571 L2TP: Session state change from established to id

le

*Mar 1 07:05:31.478: Tnl 31355 L2TP: Tunnel state change from established to no-sessions-lef

t

*Mar 1 07:05:31.478: Tnl 31355 L2TP: No more sessions in tunnel, shutdown (likely) in 15 sec

onds

*Mar 1 07:05:31.478: L2X: l2tun session [2183663656], event [server terminate], old state [op

en], new state [wait-free]

*Mar 1 07:05:31.478: L2X: l2tun session [2183663656], event [client free], old state [wait-fr

ee], new state [terminal]

*Mar 1 07:05:31.482: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to down

*Mar 1 07:05:41.478: Tnl 31355 L2TP: I StopCCN from bras255 tnl 31258

*Mar 1 07:05:41.478: Tnl 31355 L2TP: Tunnel state change from no-sessions-left to shutting-d

own

*Mar 1 07:05:41.478: Tnl 31355 L2TP: Shutdown tunnel

*Mar 1 07:05:41.478: Tnl 31355 L2TP: Tunnel state change from shutting-down to idle

*Mar 1 07:05:41.478: L2X: l2tun session [2183663656], event [client request], old state [open

], new state [open]

*Mar 1 07:05:41.478: L2X: L2TP: Received L2TUN message <Connect>

*Mar 1 07:05:41.482: Tnl/Sn 42366/572 L2TP: Session state change from idle to wait-for-tunne

l

*Mar 1 07:05:41.482: uid:1 Tnl/Sn 42366/572 L2TP: Create session

*Mar 1 07:05:41.482: Tnl 42366 L2TP: SM State idle

*Mar 1 07:05:41.482: Tnl 42366 L2TP: O SCCRQ

*Mar 1 07:05:41.482: Tnl 42366 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 07:05:41.482: Tnl 42366 L2TP: Tunnel state change from idle to wait-ctl-reply

*Mar 1 07:05:41.482: Tnl 42366 L2TP: SM State wait-ctl-reply

*Mar 1 07:05:41.490: Tnl 42366 L2TP: I SCCRP from bras255

*Mar 1 07:05:41.490: Tnl 42366 L2TP: Tunnel state change from wait-ctl-reply to established

*Mar 1 07:05:41.490: Tnl 42366 L2TP: O SCCCN to bras255 tnlid 43199

*Mar 1 07:05:41.490: Tnl 42366 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 07:05:41.490: Tnl 42366 L2TP: SM State established

*Mar 1 07:05:41.490: uid:1 Tnl/Sn 42366/572 L2TP: O ICRQ to bras255 43199/0

*Mar 1 07:05:41.490: uid:1 Tnl/Sn 42366/572 L2TP: Session state change from wait-for-tunnel t

o wait-reply

*Mar 1 07:05:41.502: uid:1 Tnl/Sn 42366/572 L2TP: Session state change from wait-reply to est

ablished

*Mar 1 07:05:41.502: L2X: Sending L2TUN message <Connect OK>

*Mar 1 07:05:41.502: uid:1 Tnl/Sn 42366/572 L2TP: O ICCN to bras255 43199/43966

*Mar 1 07:05:41.502: Tnl 42366 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 07:05:41.502: L2X: l2tun session [2183663656], event [server response], old state [ope

n], new state [open]

*Mar 1 07:05:41.510: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to up

*Mar 1 07:05:42.502: Tnl 42366 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 07:05:52.398: uid:1 Tnl/Sn 42366/572 L2TP: I CDN from bras255 tnl 43199, cl 43966

*Mar 1 07:05:52.398: uid:1 Tnl/Sn 42366/572 L2TP: disconnect (L2X) IETF: 17/user-error Ascend

: 26/PPP CHAP Fail

*Mar 1 07:05:52.398: uid:1 Tnl/Sn 42366/572 L2TP: Destroying session

*Mar 1 07:05:52.398: L2X: Sending L2TUN message <Disconnect>

*Mar 1 07:05:52.398: uid:1 Tnl/Sn 42366/572 L2TP: Session state change from established to id

le

*Mar 1 07:05:52.398: Tnl 42366 L2TP: Tunnel state change from established to no-sessions-lef

t

*Mar 1 07:05:52.398: Tnl 42366 L2TP: No more sessions in tunnel, shutdown (likely) in 15 sec

onds

*Mar 1 07:05:52.398: L2X: l2tun session [2183663656], event [server terminate], old state [op

en], new state [wait-free]

*Mar 1 07:05:52.398: L2X: l2tun session [2183663656], event [client free], old state [wait-fr

ee], new state [terminal]

*Mar 1 07:05:52.402: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to down

 

 

Ну вот типа примерно так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*Mar 1 07:01:14.706: Vp1 PPP: Phase is AUTHENTICATING, by the peer

*Mar 1 07:01:14.714: Vp1 CHAP: I CHALLENGE id 1 len 28 from "bras255"

*Mar 1 07:01:14.714: Vp1 CHAP: Using hostname from interface CHAP

*Mar 1 07:01:14.714: Vp1 CHAP: Using password from interface CHAP

*Mar 1 07:01:14.714: Vp1 CHAP: O RESPONSE id 1 len 31 from "юзер"

*Mar 1 07:01:14.726: Vp1 CHAP: I FAILURE id 1 len 25 msg is "Authentication failed"

Прямо сейчас некогда детально разбирать, но очевидная причина: вместо hostname "юзер" и password "пароль" впиши в настройки интерфейса hostname и password действительного пользователя корбины. В данном случае hostname: Логин (имя пользователя), password: Пароль - твои данные аутентификации в корбине. И если использование aaa new-model не есть жизненно важно, отключи его.

ip nat inside source list 23 interface FastEthernet4 overload

ip nat inside source list 111 interface Virtual-PPP1 overload

!

access-list 23 permit any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

Используя такую конструкцию ты рискуешь не попасть в одну из трансляций. Скорее всего никакого интернета у тебя не будет. Поскольку с точки зрения роутера аксесс-листы одинаковы и все трансляции будут попадать под правило первого по счету. Т.е. должно быть примерно вот так:

ip nat inside source list 123 interface FastEthernet4 overload
ip nat inside source list 111 interface Virtual-PPP1 overload
!
ip access-list extended 111
permit ip 192.168.177.0 0.0.0.255 any
!
ip access-list extended 123
permit ip 192.168.177.0 0.0.0.255 10.0.0.0 255.0.0.0
permit ip 192.168.177.0 0.0.0.255 89.179.135.67 255.255.255.255 
permit ip 192.168.177.0 0.0.0.255 195.14.50.26 255.255.255.255
permit ip 192.168.177.0 0.0.0.255 195.14.50.16 255.255.255.255
permit ip 192.168.177.0 0.0.0.255 85.21.79.0 255.255.255.0
permit ip 192.168.177.0 0.0.0.255 85.21.90.0 255.255.255.0
permit ip 192.168.177.0 0.0.0.255 85.21.72.80 255.255.255.240
permit ip 192.168.177.0 0.0.0.255 85.21.138.208 255.255.255.240
permit ip 192.168.177.0 0.0.0.255 85.21.52.254 255.255.255.255
permit ip 192.168.177.0 0.0.0.255 85.21.88.130 255.255.255.255
permit ip 192.168.177.0 0.0.0.255 83.102.146.96 255.255.255.224
permit ip 192.168.177.0 0.0.0.255 78.107.23.0 255.255.255.0
permit ip 192.168.177.0 0.0.0.255 78.107.69.98 255.255.255.255
permit ip 192.168.177.0 0.0.0.255 85.21.0.255 255.255.255.255

Поправь меня, если ошибаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прямо сейчас некогда детально разбирать, но очевидная причина: вместо hostname "юзер" и password "пароль" впиши в настройки интерфейса hostname и password действительного пользователя корбины. В данном случае hostname: Логин (имя пользователя), password: Пароль - твои данные аутентификации в корбине. И если использование aaa new-model не есть жизненно важно, отключи его.

 

Спасиб за быстрый ответ. Конечно же я заменил реального юзера с паролем. В оригинальном конфиге у меня указаны данные те что ты указал, т.е. hostname и password действительного пользователя корбины.

 

Используя такую конструкцию ты рискуешь не попасть в одну из трансляций.

 

а вот за это спасибо, незнал. На самом деле лень было дефолтный акцесс удалять.

Вообщем попробую отпишусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасиб за быстрый ответ. Конечно же я заменил реального юзера с паролем. В оригинальном конфиге у меня указаны данные те что ты указал, т.е. hostname и password действительного пользователя корбины.

Проблема в что vpdn-концентратор не может проавторизовать того юзера с паролем, что был прописан у тебя момент снятия лога. Проверь корректность записей в интерфейсе.

И ещё в конфиге есть строки:

aaa new-model
!
aaa authentication ppp default local
aaa authorization network default none

указывающие на авторизацию ppp-подключений с помощью локальной базы юзеров aaa. Убери их.

Либо добавь ради смеха:

username bras255 nopassword

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*Mar 1 02:13:21.171: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to up

*Mar 1 02:13:21.171: Vp1 PPP: Using vpn set call direction

*Mar 1 02:13:21.171: Vp1 PPP: Treating connection as a callout

*Mar 1 02:13:21.171: Vp1 PPP: Session handle[F4000057] Session id[45]

*Mar 1 02:13:21.171: Vp1 PPP: Phase is ESTABLISHING, Active Open

*Mar 1 02:13:21.171: Vp1 PPP: No remote authentication for call-out

*Mar 1 02:13:21.171: Vp1 LCP: O CONFREQ [Closed] id 71 len 10

*Mar 1 02:13:21.171: Vp1 LCP: MagicNumber 0x1D8EB0A4 (0x05061D8EB0A4)

*Mar 1 02:13:23.175: Vp1 LCP: Timeout: State REQsent

*Mar 1 02:13:23.175: Vp1 LCP: O CONFREQ [REQsent] id 72 len 10

*Mar 1 02:13:23.175: Vp1 LCP: MagicNumber 0x1D8EB0A4 (0x05061D8EB0A4)

*Mar 1 02:13:23.175: Vp1 LCP: I CONFREQ [REQsent] id 1 len 19

*Mar 1 02:13:23.175: Vp1 LCP: MRU 1072 (0x01040430)

*Mar 1 02:13:23.175: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 02:13:23.175: Vp1 LCP: MagicNumber 0x5711FB8F (0x05065711FB8F)

*Mar 1 02:13:23.179: Vp1 LCP: O CONFNAK [REQsent] id 1 len 8

*Mar 1 02:13:23.179: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 02:13:23.179: Vp1 LCP: I CONFACK [REQsent] id 72 len 10

*Mar 1 02:13:23.179: Vp1 LCP: MagicNumber 0x1D8EB0A4 (0x05061D8EB0A4)

*Mar 1 02:13:23.179: Vp1 LCP: I CONFREQ [ACKrcvd] id 2 len 19

*Mar 1 02:13:23.179: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 02:13:23.179: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 02:13:23.179: Vp1 LCP: MagicNumber 0x5711FB8F (0x05065711FB8F)

*Mar 1 02:13:23.179: Vp1 LCP: O CONFACK [ACKrcvd] id 2 len 19

*Mar 1 02:13:23.183: Vp1 LCP: MRU 1500 (0x010405DC)

*Mar 1 02:13:23.183: Vp1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 1 02:13:23.183: Vp1 LCP: MagicNumber 0x5711FB8F (0x05065711FB8F)

*Mar 1 02:13:23.183: Vp1 LCP: State is Open

*Mar 1 02:13:23.183: Vp1 PPP: Phase is AUTHENTICATING, by the peer

*Mar 1 02:13:23.215: Vp1 CHAP: I CHALLENGE id 1 len 28 from "bras255"

*Mar 1 02:13:23.219: Vp1 CHAP: Using hostname from interface CHAP

*Mar 1 02:13:23.219: Vp1 CHAP: Using password from interface CHAP

*Mar 1 02:13:23.219: Vp1 CHAP: O RESPONSE id 1 len 31 from "*h********3"

*Mar 1 02:13:23.255: Vp1 CHAP: I SUCCESS id 1 len 4

*Mar 1 02:13:23.255: Vp1 PPP: Phase is FORWARDING, Attempting Forward

*Mar 1 02:13:23.255: Vp1 PPP: Queue IPCP code[1] id[1]

*Mar 1 02:13:23.255: Vp1 PPP: Phase is ESTABLISHING, Finish LCP

*Mar 1 02:13:23.255: Vp1 PPP: Phase is UP

*Mar 1 02:13:23.255: Vp1 IPCP: O CONFREQ [Closed] id 1 len 10

*Mar 1 02:13:23.255: Vp1 IPCP: Address 0.0.0.0 (0x030600000000)

*Mar 1 02:13:23.255: Vp1 PPP: Process pending ncp packets

*Mar 1 02:13:23.255: Vp1 IPCP: Redirect packet to Vp1

*Mar 1 02:13:23.255: Vp1 IPCP: I CONFREQ [REQsent] id 1 len 10

*Mar 1 02:13:23.259: Vp1 IPCP: Address 85.21.0.254 (0x0306551500FE)

*Mar 1 02:13:23.259: Vp1 IPCP: O CONFACK [REQsent] id 1 len 10

*Mar 1 02:13:23.259: Vp1 IPCP: Address 85.21.0.254 (0x0306551500FE)

*Mar 1 02:13:23.263: Vp1 IPCP: I CONFNAK [ACKsent] id 1 len 10

*Mar 1 02:13:23.263: Vp1 IPCP: Address 78.107.205.36 (0x03064E6BCD24)

*Mar 1 02:13:23.263: Vp1 IPCP: O CONFREQ [ACKsent] id 2 len 10

*Mar 1 02:13:23.263: Vp1 IPCP: Address 78.107.205.36 (0x03064E6BCD24)

*Mar 1 02:13:23.263: Vp1 IPCP: I CONFACK [ACKsent] id 2 len 10

*Mar 1 02:13:23.267: Vp1 IPCP: Address 78.107.205.36 (0x03064E6BCD24)

*Mar 1 02:13:23.267: Vp1 IPCP: State is Open

*Mar 1 02:13:23.267: Vp1 IPCP: Install negotiated IP interface address 78.107.205.36

*Mar 1 02:13:23.267: Vp1 IPCP: Install route to 85.21.0.254

*Mar 1 02:13:24.255: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-PPP1, changed st

ate to up

 

Судя вот поэтому вроде все заработало. Теперь что сделал, да отключил ААА авторизацию, собственно сам незнаю зачем включал, наверно просмотренными конфигами навеяло. Все осталось сделать акцесс листы и должно все запрыгать. Осталось время найти. Огромное спасибо за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для cisco 871:

c870-advipservicesk9-mz.124-15.T2.bin - ed2k-ссылка ftp-ссылка

c870-advipservicesk9-mz.124-15.T3.bin - ed2k-ссылка http-ссылка

 

Для cisco 851

c850-advsecurityk9-mz.124-15.T2.bin - ed2k-ссылка

 

Вроде как должно работать стабильнее с большим функционалом.

 

P.S. ссылки для ed2k отредактируйте вручную, у меня не получается форумный движок см добавляет http://

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для cisco 871:

c870-advipservicesk9-mz.124-15.T2.bin - ed2k-ссылка ftp-ссылка

c870-advipservicesk9-mz.124-15.T3.bin - ed2k-ссылка http-ссылка

 

Для cisco 851

c850-advsecurityk9-mz.124-15.T2.bin - ed2k-ссылка

 

Вроде как должно работать стабильнее с большим функционалом.

 

P.S. ссылки для ed2k отредактируйте вручную, у меня не получается форумный движок см добавляет http://

 

:lol: Спасибо тебе добрый человек. Как солью попробую. Ты что-то на счет большего функционала упомянул, ткни клювом где почитать. B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Приветствую.

Вообще весь доступный в некой версии ios функционал смотрится на [magnet=http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp]циско.коме[/magnet]. Выбираешь или свою версию ios, или модель, или нужную фитчу, или все сразу и вуаля. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот за это спасибо, незнал. На самом деле лень было дефолтный акцесс удалять.

Вообщем попробую отпишусь.

Только это дурацкий способ разделения локального и публичного трафика. :blink:

Оптимально (глубоко imho!) использовать route-map.

Создаешь access-list вида:

ip access-list extended nat
permit ip 192.168.0.0 0.0.0.7 any ! ну или какая там у тебя локальная адресация.

И route-map'ы описывающие куда маршрутизировать трафик.

route-map public permit 10
match ip address nat
match interface Virtual-PPP1
!
route-map local permit 10
match ip address nat
match interface FastEthernet4

Сама трансляция будет выглядеть как-то так:

ip nat inside source route-map local interface FastEthernet4 overload
ip nat inside source route-map public interface Virtual-PPP1 overload

И на основании маршрутов роутер все сам сделает:

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 78.107.23.0 255.255.255.0 dhcp
ip route 78.107.69.98 255.255.255.255 dhcp
ip route 83.102.146.0 255.255.255.0 dhcp
ip route 83.102.146.96 255.255.255.224 dhcp
ip route 85.21.0.255 255.255.255.255 dhcp
ip route 85.21.17.255 255.255.255.255 dhcp
ip route 85.21.52.254 255.255.255.255 dhcp
ip route 85.21.72.80 255.255.255.240 dhcp
ip route 85.21.79.0 255.255.255.0 dhcp
ip route 85.21.88.130 255.255.255.255 dhcp
ip route 85.21.90.0 255.255.254.0 dhcp
ip route 85.21.138.208 255.255.255.248 dhcp
ip route 89.179.135.67 255.255.255.255 dhcp
ip route 195.14.40.141 255.255.255.255 dhcp
ip route 195.14.50.1 255.255.255.255 dhcp
ip route 195.14.50.16 255.255.255.255 dhcp
ip route 195.14.50.21 255.255.255.255 dhcp
ip route 195.14.50.26 255.255.255.255 dhcp
ip route 195.14.50.93 255.255.255.255 dhcp

P.S. Я вот только не пойму почему у меня он по dhcp их не получает... Адрес - пожалуйста, а вот маршрутов только три.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гы гы :) чудны дела твои господи. Все что ты описал, у меня происходит с точностью до наоборот. :angry2: Причем где порылась собака, нимагу найти, хот тресни. К сожалению как и у всех совершенно нет времени. Дома пока сына спать не уложу, к компьютеру путь заказан :)))))))), если подошел, сразу "Папа Ми-Ми" :) это он у меня просит ему Медведя Бернарда показать, Сыну уже почти два года и его прет от разных мультиков. :))) Так что основная работа только ночью. Так вот, про кошку, если роуты не прописывать и сказать sh ip route то можно увидеть список более чем из трех маршрутов, к сожалению пишу с работы, и листинг показать немогу. ИОС любезно предоставленный тобой скачал, но залить на циску пока не смог, природная лень :) На счет роутинга спасибо, попробую. Есть еще паравопросов, но это потом, доберусь до компьютера, постараюсь выложить листинги с вопросами. Еще раз огромное спасибо.

 

;) Обещанное, прибил специально все маршруты, переписал конфиг в памяти, перегрузил циску и вуаля:

 

yourname#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 10.226.48.1 to network 0.0.0.0

 

85.0.0.0/32 is subnetted, 1 subnets

C 85.21.0.254 is directly connected, Virtual-PPP1

83.0.0.0/32 is subnetted, 1 subnets

S 83.102.233.202 [254/0] via 10.226.48.1, FastEthernet4

C 192.168.177.0/24 is directly connected, Vlan1

93.0.0.0/32 is subnetted, 1 subnets

C 93.80.166.95 is directly connected, Virtual-PPP1

10.0.0.0/21 is subnetted, 1 subnets

C 10.226.48.0 is directly connected, FastEthernet4

89.0.0.0/32 is subnetted, 1 subnets

S 89.179.135.67 [254/0] via 10.226.48.1

195.14.50.0/32 is subnetted, 1 subnets

S 195.14.50.26 [254/0] via 10.226.48.1

S* 0.0.0.0/0 [254/0] via 10.226.48.1

yourname#

 

таблица маршрутизации полученная по dhcp.

 

Еще хотел спросить, так как vpdn никогда ковырять не приходилось, то немного в непонятках. Вот лог поднятия сессии, я так понимаю что все в порядке? Сессия установлена, интерфейс поднялся и потом примерно раз в минуту посылаем пакет проверки, жив ли клиент. Тоесть все залогинилось и работает.

 

yourname#debug vpdn l2x-events

L2X protocol events debugging is on

yourname(config-if)#no shutdown

yourname(config-if)#

*Mar 1 03:20:54.691: %LINK-3-UPDOWN: Interface Virtual-PPP1, changed state to up

*Mar 1 03:20:54.691: L2X: l2tun session [2184030568], event [client peer-to-peer msg], old st

ate [open], new state [open]

*Mar 1 03:20:54.691: L2X: L2TP: Received L2TUN message <Circuit Status>

*Mar 1 03:20:54.691: uid:1 Tnl/Sn 32496/4 L2TP: L2TP: CIRCUIT STATUS: Sending circuit status

information to peer

*Mar 1 03:20:54.691: uid:1 Tnl/Sn 32496/4 L2TP: O SLI to bras255 57518/63080

*Mar 1 03:20:54.691: uid:1 Tnl/Sn 32496/4 L2TP: Sending send ACCM 0xFFFFFFFF and receive ACCM

0xFFFFFFFF

*Mar 1 03:20:54.691: Tnl 32496 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 03:20:55.691: Tnl 32496 L2TP: Control channel retransmit delay set to 1 seconds

*Mar 1 03:20:57.799: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-PPP1, changed st

ate to up

*Mar 1 03:21:35.547: Tnl 32496 L2TP: I Hello from bras255 tnl 57518

*Mar 1 03:22:35.571: Tnl 32496 L2TP: I Hello from bras255 tnl 57518

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гы гы :) чудны дела твои господи.

Согласен на все 100% :)

Еще хотел спросить, так как vpdn никогда ковырять не приходилось, то немного в непонятках. Вот лог поднятия сессии, я так понимаю что все в порядке? Сессия установлена, интерфейс поднялся и потом примерно раз в минуту посылаем пакет проверки, жив ли клиент. Тоесть все залогинилось и работает.

Ну если разобраться детально, то ты показываешь лог не сессии, а туннельного соединения l2tun. Сам процесс подключения состоит из нескольких этапов, а первым из них является поднятие l2tp-сессии , в котором уже поднимается l2tun-туннель. Если дать команду:

#sh vpdn

L2TP Tunnel and Session Information Total tunnels 1 sessions 1

LocID RemID Remote Name   State  Remote Address  Port  Sessions L2TP Class/ 
															VPDN Group 
47687 16440 bras255	   est	85.21.0.255	 1701  1		l2-class-1	 

LocID	  RemID	  TunID	  Username, Intf/	  State  Last Chg Uniq ID   
							 Vcid, Circuit								  
287		62328	  47687	  1, Vp1			   est	7d06h	1

то можно увидеть статистику происходящего.

А так явных причин неработоспособности я не вижу. :)

Да, пиры периодически (а конкретнее настраивается в l2tp-class разделе) обмениваются hello-сообщениями, правда в их глубинный смысл я не вникал, но скорее всего ты прав и они служат для проверки "живости".

По поводу dhcp-маршрутов спасибо, буду посмотрять, как говориться. :) Только у тебя далеко не все. B)

С офф. сайта К.

Общие для всех:
corbina.ru, help.corbina.ru, home.corbina.ru
route -p add 89.179.135.67 mask 255.255.255.255 шлюз

Форум homenet.corbina.net
route -p add 85.21.72.80 mask 255.255.255.240 шлюз

Локальная сеть 
route -p add 10.0.0.0 mask 255.0.0.0 шлюз

Сервер статистики
route -p add 195.14.50.26 mask 255.255.255.255 шлюз

SIP-сервер
route -p add 195.14.50.93 mask 255.255.255.255 шлюз
Проект IPTV (для просмотра через VLC)
route -p add 233.32.240.0 mask 255.255.255.0 Ваш ip-адрес в локальной сети
route -p add 233.32.210.0 mask 255.255.255.0 Ваш ip-адрес в локальной сети 

Для Москвы:
Почтовый
route -p add 195.14.50.16 mask 255.255.255.255 шлюз

Локальные ресурсы
route -p add 85.21.79.0 mask 255.255.255.0 шлюз 
route -p add 85.21.90.0 mask 255.255.255.0 шлюз 

Игровые сервера
route -p add 83.102.231.32 mask 255.255.255.240 шлюз 
route -p add 85.21.108.16 mask 255.255.255.240 шлюз 
Проект homefilms.ru
route -p add 78.107.69.98 mask 255.255.255.255 шлюз 

Для Москвы и Санкт-Петербурга:
Corbina.TV
route -p add 85.21.138.208 mask 255.255.255.240 шлюз
route -p add 85.21.52.254 mask 255.255.255.255 шлюз 
route -p add 85.21.88.130 mask 255.255.255.255 шлюз 
route -p add 83.102.146.96 mask 255.255.255.224 шлюз
route -p add 78.107.23.0 mask 255.255.255.0 шлюз

Дополнительные для Санкт-Петербурга (Corbina.TV):
route -p add 83.102.255.128 mask 255.255.255.240 шлюз

Хм, у К. новая подсеть появилась?

93.0.0.0/32 is subnetted, 1 subnets

C 93.80.166.95 is directly connected, Virtual-PPP1

что-то я раньше такого не видел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если разобраться детально

 

:lol: Золотые слова, именно это я и хочу сделать. Только нипайму как. Вроде бы работает, а вроде и нет. Выглядит это так, лезешь в инет без циски, все открывается, быстро грузится, вообщем все здорово. Потом пробую через циску, на половину сайтов зайти вообще нимагу, какието грузятся быстро, а какието долго и на половину. Очень похоже на потерю пакетов, и как будто роутинг у половины интернета отвалился. Вообщем ищем, копаем. Спасибо за комментарии. На счет новой подсети да, наверно появилась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:) Золотые слова, именно это я и хочу сделать. Только нипайму как. Вроде бы работает, а вроде и нет. Выглядит это так, лезешь в инет без циски, все открывается, быстро грузится, вообщем все здорово. Потом пробую через циску, на половину сайтов зайти вообще нимагу, какието грузятся быстро, а какието долго и на половину. Очень похоже на потерю пакетов, и как будто роутинг у половины интернета отвалился. Вообщем ищем, копаем. Спасибо за комментарии. На счет новой подсети да, наверно появилась.

Я думал и вправду проблема... :hi:

То что ты видишь - есть проблема с MTU при подключении с помощью l2tp-концентраторов К.

При последней проверке получалось, что размер MTU был 1072 байта и ни битом больше. А такая малая величина + tcp mss + "чёрный дыры" = фигня.

Если хочешь разобраться детально и сам, то вот тебе ссылка на очень известный ресурс. Если хочешь что б просто все заработало, то на локальном интерфейсе (Vlan 1) поставь ip tcp adjust-mss 1032. Точнее размер пакета определи сам путем пинга с компа внешних ресурсов с запретом фрагментации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думал и вправду проблема... :)

То что ты видишь - есть проблема с MTU при подключении с помощью l2tp-концентраторов К.

 

Я гдето в глубине души :hi: ну очень глубоко, примерно так и думал.

 

При последней проверке получалось, что размер MTU был 1072 байта и ни битом больше. А такая малая величина + tcp mss + "чёрный дыры" = фигня.

 

За величину MTU спасибо. А то особо времени подбирать нету.

 

www.opennet.ru

 

:))) Именно этот сайт и не открывался, для меня, как для отъявленного линуксоида это катастрофа, немогу попасть на любимый сайт, ужас. Еще кстати ЛОР не открывается, заговор. :)))

 

прописал ip tcp adjust-mss 1032 и все заработало. Огромный спасиб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все заработало.

Уважаемый, torr.

Не будет ли большой наглостью попросить опубликовать текущий конфиг вашего роутера здесь? (естественно после удаления вами из него всей конфиденциальной инфы.) Меня посещают сомнения в здравости моего взгляда на суть вещей, хочу свериться с эталоном (ну, как минимум с конфигом человека, у которого все работает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не будет ли большой наглостью попросить опубликовать текущий конфиг вашего роутера здесь?

 

:( Я не жадный, завсегда рад помочь. Конфиг еще не доделанный, ибо времени нет. Поэтому публикую в сыром виде как есть.

 

yourname#show running-config
Building configuration...

Current configuration : 5902 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 "не скажу"
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.177.1
!
ip dhcp pool sdm-pool
  import all
  network 192.168.177.0 255.255.255.0
  default-router 192.168.177.1
  lease 0 2
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
l2tp-class corbina
!
!
!
crypto pki trustpoint TP-self-signed-2108744608
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2108744608
revocation-check none
rsakeypair TP-self-signed-2108744608
!
!
crypto pki certificate chain TP-self-signed-2108744608
certificate self-signed 01
 "сдесь был сертификат"
 quit
username "не скажу" privilege 0 secret 5 "не скажу"
!
pseudowire-class pwclass
encapsulation l2tpv2
protocol l2tpv2 corbina
ip local interface FastEthernet4
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address dhcp client-id FastEthernet4
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1032
duplex auto
speed auto
!
interface Virtual-PPP1
ip address negotiated
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1032
no cdp enable
ppp authentication chap callin
ppp chap hostname "не скажу"
ppp chap password 7 "не скажу"
pseudowire 85.21.0.255 10 pw-class pwclass
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.177.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1032
!
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 78.107.23.0 255.255.255.0 dhcp
ip route 78.107.69.98 255.255.255.255 dhcp
ip route 83.102.146.0 255.255.255.0 dhcp
ip route 83.102.146.96 255.255.255.224 dhcp
ip route 85.21.0.255 255.255.255.255 dhcp
ip route 85.21.17.255 255.255.255.255 dhcp
ip route 85.21.52.254 255.255.255.255 dhcp
ip route 85.21.72.80 255.255.255.240 dhcp
ip route 85.21.79.0 255.255.255.0 dhcp
ip route 85.21.88.130 255.255.255.255 dhcp
ip route 85.21.90.0 255.255.254.0 dhcp
ip route 85.21.138.208 255.255.255.248 dhcp
ip route 89.179.135.67 255.255.255.255 dhcp
ip route 195.14.40.141 255.255.255.255 dhcp
ip route 195.14.50.1 255.255.255.255 dhcp
ip route 195.14.50.16 255.255.255.255 dhcp
ip route 195.14.50.21 255.255.255.255 dhcp
ip route 195.14.50.26 255.255.255.255 dhcp
ip route 195.14.50.93 255.255.255.255 dhcp
!
ip http server
ip http access-class 7
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list lan-ext interface Virtual-PPP1 overload
ip nat inside source list lan-int interface FastEthernet4 overload
!
ip access-list extended lan-ext
permit ip 192.168.177.0 0.0.0.255 any
ip access-list extended lan-int
permit ip 192.168.177.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 192.168.177.0 0.0.0.255 85.21.0.0 0.0.0.255
permit ip 192.168.177.0 0.0.0.255 host 89.179.135.67
!
access-list 7 permit 192.168.177.0 0.0.0.255
no cdp run
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
"баннер"
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

yourname#

 

Вообщем вот, работает все это безобразие на "меджик весии" Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(9)T3

я ее по своим каналам доставал, собственно как и циску. Есть несколько идей по дальнейшей настройке, хочется попробовать разные штуки, когда это произойдет незнаю. Жена требует IPTV. Поробовал твой пример маршрутизации по разделению траффика, вот так влоб он у меня не заработал, а заниматся дебагом дома не дают, да и ночь короткая спать хочется :) ДНС назначать не стал, он успешно цепляется циской по dhcp и отдается клиентам. Вот такие дела. Если что спрашивай. Хотя я всю сознательную жизнь занимался линуксами и немножко мастдаем, циска для меня новое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:D Я не жадный, завсегда рад помочь. Конфиг еще не доделанный, ибо времени нет. Поэтому публикую в сыром виде как есть.

Вообщем вот, работает все это безобразие на "меджик весии" Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(9)T3

я ее по своим каналам доставал, собственно как и циску. Есть несколько идей по дальнейшей настройке, хочется попробовать разные штуки, когда это произойдет незнаю. Жена требует IPTV. Поробовал твой пример маршрутизации по разделению траффика, вот так влоб он у меня не заработал, а заниматся дебагом дома не дают, да и ночь короткая спать хочется ;) ДНС назначать не стал, он успешно цепляется циской по dhcp и отдается клиентам. Вот такие дела. Если что спрашивай. Хотя я всю сознательную жизнь занимался линуксами и немножко мастдаем, циска для меня новое.

А я всю сознательную жизнь не занимался ни сетями, ни маршрутизаторами, но жисть заставила... :)

Сначала пара замечаний по общей безопасности, если позволите.

У тебя никак не ограничен доступ к управляющему интерфейсу vty. Вообще никак. т.е. если я сейчас узнаю твой публичный адрес и запущу кое какую софтину, то завтра к вечеру твой маршрутизатор станет моим. :)

Отсутствуют даже в зачаточном состоянии аксесс-листы на публичных интерфейсах.

Не используется ip inspect (ios firewall).

Я не параноик! Это меня так жисть видоизменила :)

А теперь вопросы по существу дела:

ДНС назначать не стал, он успешно цепляется циской по dhcp и отдается клиентам

Как ты этого добился? Тоже хочу.... а где об этом в конфиге?

 

resource policy

А что это такое и зачем оно надо?

 

ip tcp adjust-mss 1032

:) Зачем на всех интерфейсах? "Достаточно одной таблэтки..." (с). т.е. на Vlan 1

 

Правда-правда маршруты по dhcp получаются? Почему же у меня не работает... :D Район, вроде, сегментирован (ip local getway = 10.84.72.1), а не того...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я всю сознательную жизнь не занимался ни сетями, ни маршрутизаторами, но жисть заставила... :)

Сначала пара замечаний по общей безопасности, если позволите.

У тебя никак не ограничен доступ к управляющему интерфейсу vty. Вообще никак. т.е. если я сейчас узнаю твой публичный адрес и запущу кое какую софтину, то завтра к вечеру твой маршрутизатор станет моим. B) Отсутствуют даже в зачаточном состоянии аксесс-листы на публичных интерфейсах.

 

;) Ну я же написал что все еще сырое. Поэтому циску использую не постоянно, отключаю. Собственно может седня ночью и настрою фаер, если терпения хватит. Я знаю что все открыто.

 

Не используется ip inspect (ios firewall).

Я не параноик! Это меня так жисть видоизменила ;)

 

Вот на счет этого собирался почитать гденить в интернете. Для меня это новая фича. Никогда не видел ее использования.

 

А теперь вопросы по существу дела:

Как ты этого добился? Тоже хочу.... а где об этом в конфиге?

 

Значит по поводу DNS, я этого не добивался. Ничего не знаю о твоих знаниях, поэтому заранее приношу извинения если скажу очевидное. Дело в том что, если у циски dhcp реализован правильно, то она должна уметь распорядится передаваемыми по dhcp параметрами. Т.е. когда происходит запрос ip адреса, попутно получаюся адреса dns и назначаются маршруты. Так работает dhcp. Думаю у тебя могут быть проблемы из-за закрытого порта, например. На сколько я помню это 67 - 68 порты.

 

А что это такое resource policy зачем оно надо?

 

:) Често, незнаю. Было в дефолтном конфиге. Может потом прочитаю, буду знать.

 

:) Зачем на всех интерфейсах? "Достаточно одной таблэтки..." (с). т.е. на Vlan 1

 

небыло времени разбиратся, нужен был срочно интернет. Лишнее потом уберу ;)

 

Правда-правда маршруты по dhcp получаются? Почему же у меня не работает... :blink: Район, вроде, сегментирован (ip local getway = 10.84.72.1), а не того...

 

Я чуть выше ответил, попробуй открыть нужные порты.

 

;) Удачи в экспириментах.

 

И кстати вопрос, ты IPSec часом не настраивал между циской и линуксом например. Две недели бьюсь, рушится все на второй фазе. Со стороны линукса ракон. Можно конечно опенсван попробовать, но в дефолтной поставке РХЕЛ идет ракон, поэтому его и пытаю. Про циско впн клиент знаю, но уж очень нехочется его ставить. Там задача хитрая. Если интересно могу рассказать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

;) Удачи в экспириментах.

Спасибо, тебе того же. :)

На счет маршрутов и DNS анонсируемых по dhcp разобрался с твоей помощью, за что отдельное спасибо! Я правда до конца не понял почему, но то что работает понял однозначно :) Смысл в следующем: маршрут полученный по dhcp имеют какую-то офигительно большую метрику (типа - 254), а статически указанный имеет метрику 1. И show ip route показывала маршруты с наименьшей. Только удалив все статические маршруты и сделав release dhcp я увидел их получение. Правда до сих пор не понимаю, почему команда

show ip route dhcp 

ничего не показывает... :D

А в качестве dns-servera dhcp-клиенты, что должны получать?

И кстати вопрос, ты IPSec часом не настраивал между циской и линуксом например. Две недели бьюсь, рушится все на второй фазе. Со стороны линукса ракон. Можно конечно опенсван попробовать, но в дефолтной поставке РХЕЛ идет ракон, поэтому его и пытаю. Про циско впн клиент знаю, но уж очень нехочется его ставить. Там задача хитрая. Если интересно могу рассказать.

"Главное, что бы линукс был правильным! Вот FreeBSD - правильный линукс!" (с)

Настраивал ipsec мeжду cisco vs FreeBSD 6.3 (7.0) + racoon. У cisco GRE-туннель с ipsec profile tunnel protection у Фри GRE-интерфейс, setkey + racoon довершали картину.

Показывай cisco deb ipsec + isakmp + crypto condition VS freeBSD + racoon.log

 

P.S. на счет почитать про файервол циско.ком

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, тебе того же.

На счет маршрутов и DNS анонсируемых по dhcp разобрался с твоей помощью, за что отдельное спасибо! Я правда до конца не понял почему, но то что работает понял однозначно. Смысл в следующем: маршрут полученный по dhcp имеют какую-то офигительно большую метрику (типа - 254), а статически указанный имеет метрику 1. И show ip route показывала маршруты с наименьшей. Только удалив все статические маршруты и сделав release dhcp я увидел их получение. Правда до сих пор не понимаю, почему команда

 

show ip route dhcp

 

ничего не показывает...

А в качестве dns-servera dhcp-клиенты, что должны получать?

 

:) Ну фишка в том, что метрика это расстояние до сети и почему динамически назначенные маршруты имеют такую метрику хрен знает, наверно ох-но удаленные сети :rofl: А статика имеет метрику 1, потому что дефолтно присваивается 1, если метрику не указать(я ее никогда не указыаю), к тому же шлюз указан, значит как ни крути 1 хоп мы имеем. Вот почему команда

 

show ip route dhcp 

 

ничего не показывает, х.з. надо гдето почитать ее скрытый смысл :) Теперь DNS, клиенты по dhcp получат то, что укажешь, т.е. если указать в настройке dhcp сервера dns-server <адреса> то клиенты получат эту фигню. А если ничего не указывать, то циска форварднет полученные ей по dhcp, как происходит форвард незнаю :) Причем делал экспиримент, разрешал циске резолвить адреса

 

ip domain lookup 

 

в качестве dns клиенту назначал циску, :) не работает, хотя по идее должно. Чудеса да и только :)

 

"Главное, что бы линукс был правильным! Вот FreeBSD - правильный линукс!" (с)

Настраивал ipsec мeжду cisco vs FreeBSD 6.3 (7.0) + racoon. У cisco GRE-туннель с ipsec profile tunnel protection у Фри GRE-интерфейс, setkey + racoon довершали картину.

Показывай cisco deb ipsec + isakmp + crypto condition VS freeBSD + racoon.log

 

:) Правильный линукс у каждого свой, меня например прет от Slackware(я ее лет 7 пользую), но вжизни всегда есть место ламеру. Поэтому как настоящему профессионалу приходится довольствоватся тем что есть(RHEL5). Ибо коллега по работе просто неумеет пользоваться утилитами find и locate, а слово компиляция у него вызывает нервную дрожь :) и вообще он пуп земли. Мне конечно в итоге наверно все это надоест, и если предложат более высокооплачиваемую работу я пошлю все это куда подальше. Но пока приходится мирится и ковырять. Логи с конфигами пока не покажу, ибо занят чуть другим. Но как только вернусь к этому вопросу дам знать, коллективный разум это сила :). И вообще скоро охоту откроют, надоело все, вот на бережку бы зорьку постоять :) це дило.

 

P.S. на счет почитать про файервол циско.ком

 

Спасиб за сцилку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в качестве dns клиенту назначал циску, :) не работает, хотя по идее должно. Чудеса да и только :)

надо ещё роутеру сказать

ip dns server

тогда будет DNS-счастье ;)

А вот о том, что она сама ретрансмитит адреса dns-серверов dhcp-клиентам, не знал. Поэтому никогда и не пробовал такое сотворить ;)

Спасиб за сцилку.

Не нашел рускоязычного варианта, поэтому дал ссылку на основу основ, но совершенно точно читал у Михаила Сгибнева статью на русском о роутере для интернета.

Удачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

надо ещё роутеру сказать

ip dns server

тогда будет DNS-счастье :blink:

Гы, а какже назначенные по dhcp сервера, да и

ip dns server

у меня почемуто получилось только 1 dns сервер назначить, второй ну никак не воспринимался.

 

Не нашел рускоязычного варианта, поэтому дал ссылку на основу основ, но совершенно точно читал у Михаила Сгибнева статью на русском о роутере для интернета.

Удачи.

Прочтем и на аглицком, не страшно.Спасиб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах