Маршрутизаторы Cisco Systems, Inc.

[JDima2002 0]

Спасибо, но та же хрень. Самое интересное, что:

 

Router(config)#interface virtual-?

Virtual-PPP Virtual-Template Virtual-TokenRing

Router(config)#interface virtual-ppp ?

<1-2147483647> Virtual-PPP interface number

 

Router(config)#interface virtual-ppp 1

----------------------------------------^

% Invalid input detected at '^' marker.

 

 

 

Что доступно:

Router(config)#l2tp-class corbina

Router(config-l2tp-class)#?

l2tp-class configuration commands:

authentication Authenticate the L2TP control connection

cookie Local cookie options

default Set a command to its defaults

exit Exit from l2tp-class configuration mode

hello Set HELLO message interval

hidden Hide AVPs in outgoing control messages

hostname Local hostname for control connection authentication

no Negate a command or set its defaults

password Password for control connection authentication, AVP hiding

receive-window Receive window size for the control connection

retransmit Control message retransmission parameters

timeout Control connection timeout parameters

 

Без pseudowire возможно выполнить требуемое?

Изменено 22 декабря 2008 пользователем JDima2002

[Ne0_rus 0]

Спасибо, но та же хрень. Самое интересное, что:

 

Router(config)#interface virtual-?

Virtual-PPP Virtual-Template Virtual-TokenRing

Router(config)#interface virtual-ppp ?

<1-2147483647> Virtual-PPP interface number

 

Router(config)#interface virtual-ppp 1

----------------------------------------^

% Invalid input detected at '^' marker.

 

 

 

Что доступно:

Router(config)#l2tp-class corbina

Router(config-l2tp-class)#?

l2tp-class configuration commands:

authentication Authenticate the L2TP control connection

cookie Local cookie options

default Set a command to its defaults

exit Exit from l2tp-class configuration mode

hello Set HELLO message interval

hidden Hide AVPs in outgoing control messages

hostname Local hostname for control connection authentication

no Negate a command or set its defaults

password Password for control connection authentication, AVP hiding

receive-window Receive window size for the control connection

retransmit Control message retransmission parameters

timeout Control connection timeout parameters

 

Без pseudowire возможно выполнить требуемое?

 

Не мучайтесь - добавьте памяти и поставьте нормальную прошивку.

[JDima2002 0]

Лучший вариант. Но родная стоит невозможных денег. Полторы тысячи за дохлый SDRAM не выложу. А про неродную пока изучаю. Совершенно непонятная ситуация. Наверняка какие-то модули заведутся, а какие-то - нет. Проверить нет возможности.

[roug 0]

Лучший вариант. Но родная стоит невозможных денег. Полторы тысячи за дохлый SDRAM не выложу. А про неродную пока изучаю. Совершенно непонятная ситуация. Наверняка какие-то модули заведутся, а какие-то - нет. Проверить нет возможности.

Действительно странно, Virtual-PPP есть, а использовать его нельзя. Хм...

Возможно нужны ещё какие-то фитчи, которых нет.

На счет памяти, настоятельно рекомендую прогуляться по рынкам в поисках вот таких RAM SDRAM DIMM 64MB, 100MHz, PC100, 168-pin или даже вот таких RAM SDRAM DIMM 32MB, 100MHz, PC100, 168-pin модулей за чисто символическую плату думаю сможете найти. Я для 871-ой просто выдрал из старого писюка 128Mb планку и оно работает.

[Добренький 3]

Лучший вариант. Но родная стоит невозможных денег. Полторы тысячи за дохлый SDRAM не выложу. А про неродную пока изучаю. Совершенно непонятная ситуация. Наверняка какие-то модули заведутся, а какие-то - нет. Проверить нет возможности.

Взять циску и ноут и вперед на Савеловский на развалы (про Митинский не знаю, есть ли там такие же развалы).

Память обойдется копейки.

[Ne0_rus 0]

Взять циску и ноут и вперед на Савеловский на развалы (про Митинский не знаю, есть ли там такие же развалы).

Память обойдется копейки.

 

На царицыно есть. Я там брал для 871-ой. Все работало без сбоев.

[JDima2002 0]

Ладно, спасибо за советы, буду искать. Ноут ИМХО не нужен. Если память рабочая, то лампочки на циске загорятся если просто воткнуть кабель 2-мя концами в свитч, а нет - так нет, поправьте, если заблуждаюсь. Надеюсь, ситуация, когда память не работает, но циска работает, исключена. Да и ноут без com-порта. Переходника USB, разумеется, тоже нет.

roug, могу ли я попросить переписать полную маркировку, то есть SS или DS, какие чипы и т.д., хотя бы просто название? 99% вероятности, что у меня такая же заведется.

[Ne0_rus 0]

roug, в продолжении разговора о 881 - я разжился лицензией advipservices:

 

cisco_home#sh lice

Index 1 Feature: advipservices

Period left: Life time

License Type: Permanent

License State: Active, In Use

License Priority: Medium

Index 2 Feature: advsecurity

Period left: Life time

License Type: Permanent

License State: Active, Not in Use

License Priority: Medium

 

Сейчас пытаюсь выяснить - сколько я за нее должен

[roug 0]

roug, могу ли я попросить переписать полную маркировку, то есть SS или DS, какие чипы и т.д., хотя бы просто название? 99% вероятности, что у меня такая же заведется.

Маркировку чего? Если памяти, то в выходные, когда доберусь до роутера и разберу его. По опыту могу сказать, что не принципиально какая она. В моем стоит "двухсторонняя" (т.е. чипы с обеих сторон платы) планка на 256Mb, но роутер видит только нужную половину.

 

roug, в продолжении разговора о 881 - я разжился лицензией advipservices:

Завидую... Я пока жду доставки.

 

Сейчас пытаюсь выяснить - сколько я за нее должен

[Ne0_rus 0]

Завидую... Я пока жду доставки.

 

Выяснил - доп. лицензия мне обошлась в 80 баксов.

[JDima2002 0]

Я - идиот. Посмотрел на пропорции, а размер не засек. Взял у товарища SDRAM, а она раза в полтора длиннее. Но пропорции те же.

[roug 0]

Посмотрел на пропорции, а размер не засек. Взял у товарища SDRAM, а она раза в полтора длиннее. Но пропорции те же.

Я вспомнил как один знакомый маялся поиском памяти для 17-ой, поинтересовался у него о деталях процесса, так вот память для 17-ой серии со 100-pin разъёмом такая и её он выдрал из какого-то принтера... то ли hp, то ли xerox

Тогда как обнокновенная вот такая 168-pin

Найти её теоретически можно, но это не такой тривиальный процесс... У меня к сожалению, не осталось ни одной 17-ой за давностью лет.

 

Сегодня "бил морду в телефон" (с) поставщикам cisco 881 и они сознались под пытками, что раньше января моя не приедет... :-( я в печали

Изменено 24 декабря 2008 пользователем roug

[Ne0_rus 0]

Я вспомнил как один знакомый маялся поиском памяти для 17-ой, поинтересовался у него о деталях процесса, так вот память для 17-ой серии со 100-pin разъёмом такая и её он выдрал из какого-то принтера... то ли hp, то ли xerox

Тогда как обнокновенная вот такая 168-pin

Найти её теоретически можно, но это не такой тривиальный процесс... У меня к сожалению, не осталось ни одной 17-ой за давностью лет.

 

Сегодня "бил морду в телефон" (с) поставщикам cisco 881 и они сознались под пытками, что раньше января моя не приедет... :-( я в печали

 

Трансцендовская есть в продаже для 1700:

http://www.e-first.ru/index.php?obj=wares&...ist=TS64MCS1700

 

Но за бугром 100 pin'овая гораздо дешевле...

[JDima2002 0]

Может ли быть такое, что аппарат поддерживает полный иос, а pseudowire-интерфейс поднять не способен? Перепробовал все, что лезет в мои 64мб памяти - одно и то же везде.

[Добренький 3]

Трансцендовская есть в продаже для 1700:

http://www.e-first.ru/index.php?obj=wares&...ist=TS64MCS1700

 

Но за бугром 100 pin'овая гораздо дешевле...

eBay в помощь, я там память для 2801 брал за 10$ и 5$ доставка.

[JDima2002 0]

На Савеле не нашел. Ебай пока не рассматриваю.

Раз никто не знает, какие фичи IOSа требуются для работы упомянутых конфигов, спрашиваю - можно ли без pseudowire обойтись? Видел конфиги с использованием int dialer0 (http://forum.sysfaq.ru/index.php?showtopic=8211), но у автора какие-то катастрофические проблемы то ли с маршрутизацией, то ли с натом.

[hardsuck 0]

Народ, помогите, у меня не качается файл из первого поста base_config.txt

Если у кого то есть он, киньте, пожалуйста, на btkn@mail.ru

А то месяц уже эта цыска лежит, никак не настрою.

Буду очень благадарен!

[JDima2002 0]

Старая проблема решена.

Еще маленький вопрос... Позаимствовал готовый конфиг. Циска по L2TP подключается к серверу, получает адрес. Протоколы up. Пинг в корбиновскую сеть (10.0.0.0/8) идет, как и на доступные изнутри "внешние" адреса. Пинг наружу (например, мой любимый DNS сервер 4.2.2.2) не идет. Traceroute говорит, что пакеты направляются не в VPN, а в 10.0.0.0 сеть - косяк с маршрутами, но по логике - вроде все правильно.

То, что готовый конфиг криво совместил с имеющимся в плане "много лишнего" - неважно, потом почищу, мне бы сеть поднять сначала. Хотя против рацпредложений не стал бы возражать.

 

 

Router#show running-config

Building configuration...

 

Current configuration : 4344 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

enable secret 5 ***

!

no aaa new-model

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

!

!

no ip dhcp use vrf connected

!

ip dhcp pool home

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server 192.168.0.1

!

!

ip cef

no ip bootp server

ip multicast-routing

login delay 4

login on-failure log

vpdn enable

!

l2tp-class corbina

!

!

username *** privilege 15 password 0 ***

archive

log config

hidekeys

!

!

ip tftp source-interface Vlan1

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Vlan10

!

buffers element permanent 65535

buffers element minimum 250

buffers small initial 512

buffers middle max-free 1500

buffers middle initial 512

buffers big max-free 1500

buffers big initial 512

buffers verybig max-free 100

buffers verybig initial 40

buffers large max-free 100

buffers large initial 30

buffers huge max-free 100

buffers huge initial 20

!

!

interface FastEthernet0

description Corbina intranet

ip address dhcp

ip virtual-reassembly

speed auto

no cdp enable

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

!

interface Virtual-PPP1

ip address negotiated

ip access-group 111 in

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ***

ppp chap password 0 ***

pseudowire 85.21.0.18 10 pw-class class1

!

interface Vlan1

ip address 192.168.0.3 255.255.255.0

ip nat inside

ip virtual-reassembly

ip route-cache same-interface

ip cgmp

!

interface Vlan10

no ip address

!

ip local policy route-map vpn

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.21 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 85.21.0.18 255.255.255.255 dhcp

ip http server

ip http authentication local

!

ip nat inside source list WAN interface Virtual-PPP1 overload

ip mroute 172.16.16.0 255.255.255.0 10.233.32.1

ip mroute 85.21.91.0 255.255.255.0 10.233.32.1

!

!

!

ip access-list extended LAN

permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.0.0 0.0.0.255 83.102.146.0 0.0.0.231

permit ip 192.168.0.0 0.0.0.255 host 85.21.29.242

permit ip 192.168.0.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 85.21.90.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 host 195.14.50.16

permit ip 192.168.0.0 0.0.0.255 host 195.14.50.26

ip access-list extended WAN

permit ip 192.168.1.0 0.0.0.255 any

access-list 2 deny any

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 10.0.0.0 0.0.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

access-list 115 permit ip 192.168.0.0 0.0.0.255 any

no cdp run

!

!

!

control-plane

!

!

line con 0

logging synchronous

line aux 0

line vty 0 4

access-class 115 in

privilege level 15

logging synchronous

login local

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

sntp server 195.170.62.130

end

 

show ip route:

Gateway of last resort is 10.166.48.1 to network 0.0.0.0

 85.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
S	   85.21.79.0/24 [1/0] via 10.166.48.1
S	   85.21.90.0/24 [1/0] via 10.166.48.1
S	   85.21.0.18/32 [1/0] via 10.166.48.1
S	   85.21.0.21/32 [1/0] via 10.166.48.1
S	   85.21.17.253/32 [1/0] via 10.166.48.1
S	   85.21.29.242/32 [1/0] via 10.166.48.1
 83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   83.102.233.202/32 [254/0] via 10.166.48.1, FastEthernet0
S	   83.102.146.96/27 [1/0] via 10.166.48.1
 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   10.0.0.0/8 [1/0] via 10.166.48.1
C	   10.166.48.0/21 is directly connected, FastEthernet0
 89.0.0.0/32 is subnetted, 1 subnets
S	   89.179.135.67 [1/0] via 10.166.48.1
C	192.168.0.0/24 is directly connected, Vlan1
 195.14.50.0/32 is subnetted, 2 subnets
S	   195.14.50.26 [1/0] via 10.166.48.1
S	   195.14.50.16 [1/0] via 10.166.48.1
S*   0.0.0.0/0 is directly connected, Virtual-PPP1

Изменено 7 января 2009 пользователем JDima2002

[Ne0_rus 0]

Старая проблема решена.

Еще маленький вопрос... Позаимствовал готовый конфиг. Циска по L2TP подключается к серверу, получает адрес. Протоколы up. Пинг в корбиновскую сеть (10.0.0.0/8) идет, как и на доступные изнутри "внешние" адреса. Пинг наружу (например, мой любимый DNS сервер 4.2.2.2) не идет. Traceroute говорит, что пакеты направляются не в VPN, а в 10.0.0.0 сеть - косяк с маршрутами, но по логике - вроде все правильно.

То, что готовый конфиг криво совместил с имеющимся в плане "много лишнего" - неважно, потом почищу, мне бы сеть поднять сначала. Хотя против рацпредложений не стал бы возражать.

 

 

Router#show running-config

 

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface Vlan10

!

.....

!

ip local policy route-map vpn

 

Попробуйте 'ip local interface Vlan10' заменить на 'ip local interface FastEthernet0'

И убрать 'ip local policy route-map vpn'

[roug 0]

Циска по L2TP подключается к серверу, получает адрес.

show ip route:

Gateway of last resort is 10.166.48.1 to network 0.0.0.0

 85.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
S	   85.21.79.0/24 [1/0] via 10.166.48.1
S	   85.21.90.0/24 [1/0] via 10.166.48.1
S	   85.21.0.18/32 [1/0] via 10.166.48.1
S	   85.21.0.21/32 [1/0] via 10.166.48.1
S	   85.21.17.253/32 [1/0] via 10.166.48.1
S	   85.21.29.242/32 [1/0] via 10.166.48.1
 83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   83.102.233.202/32 [254/0] via 10.166.48.1, FastEthernet0
S	   83.102.146.96/27 [1/0] via 10.166.48.1
 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   10.0.0.0/8 [1/0] via 10.166.48.1
C	   10.166.48.0/21 is directly connected, FastEthernet0
 89.0.0.0/32 is subnetted, 1 subnets
S	   89.179.135.67 [1/0] via 10.166.48.1
C	192.168.0.0/24 is directly connected, Vlan1
 195.14.50.0/32 is subnetted, 2 subnets
S	   195.14.50.26 [1/0] via 10.166.48.1
S	   195.14.50.16 [1/0] via 10.166.48.1
S*   0.0.0.0/0 is directly connected, Virtual-PPP1

Судя по вашей таблице маршрутизации вы глубоко заблуждаетесь, будто у вас все ок и роутер получает публичный адрес. Изучайте вывод nslookup tp.corbina.net и полученный адрес используйте в качестве l2tp-серввера.

[JDima2002 0]

Одна ошибка уже исправлена - "permit ip 192.168.1.0 0.0.0.255 any" проглядел, нет у меня такой подсети, заменил на permit ip 192.168.0.0 0.0.0.255 any

Теперь show ip route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

 85.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
S	   85.21.79.0/24 [1/0] via 10.166.48.1
S	   85.21.90.0/24 [1/0] via 10.166.48.1
C	   85.21.0.18/32 is directly connected, Virtual-PPP1
S	   85.21.0.21/32 [1/0] via 10.166.48.1
S	   85.21.17.253/32 [1/0] via 10.166.48.1
S	   85.21.29.242/32 [1/0] via 10.166.48.1
 83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   83.102.233.202/32 [254/0] via 10.166.48.1, FastEthernet0
S	   83.102.146.96/27 [1/0] via 10.166.48.1
 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S	   10.0.0.0/8 [1/0] via 10.166.48.1
C	   10.166.48.0/21 is directly connected, FastEthernet0
 95.0.0.0/32 is subnetted, 1 subnets
C	   95.31.*.* is directly connected, Virtual-PPP1
 89.0.0.0/32 is subnetted, 1 subnets
S	   89.179.135.67 [1/0] via 10.166.48.1
C	192.168.0.0/24 is directly connected, Vlan1
 195.14.50.0/32 is subnetted, 2 subnets
S	   195.14.50.26 [1/0] via 10.166.48.1
S	   195.14.50.16 [1/0] via 10.166.48.1
S*   0.0.0.0/0 is directly connected, Virtual-PPP1

 

 

Судя по вашей таблице маршрутизации вы глубоко заблуждаетесь, будто у вас все ок и роутер получает публичный адрес

Router#show ip interface brief
Interface				  IP-Address	  OK? Method Status				Prot
ocol
FastEthernet0			  10.166.50.*   YES DHCP   up					up

FastEthernet1			  unassigned	  YES unset  up					up

FastEthernet2			  unassigned	  YES unset  up					up

FastEthernet3			  unassigned	  YES unset  up					down

FastEthernet4			  unassigned	  YES unset  up					down

NVI0					   unassigned	  NO  unset  up					up

Virtual-PPP1			   95.31.*.*	 YES IPCP   up					up

Vlan1					  192.168.0.3	 YES NVRAM  up					up

Vlan10					 unassigned	  YES NVRAM  up					down

Адрес совершенно правильный. tp.corbina.ru в последнее время глючил, я vpn.corbina.ru использую. К этому же серверу компьютер идеально подключается.

 

 

Попробуйте 'ip local interface Vlan10' заменить на 'ip local interface FastEthernet0'

И убрать 'ip local policy route-map vpn'

Заменил. ip route тот же, что и в начале поста. Но до этого изменения

Router#traceroute 4.2.2.2

Type escape sequence to abort.
Tracing the route to vnsc-bak.sys.gtei.net (4.2.2.2)

 1 10.166.48.1 4 msec 0 msec 0 msec
 2 10.219.129.73 4 msec 4 msec 4 msec
 3 10.219.129.45 4 msec 4 msec 0 msec
 4  *  *  *
 5  *  *  *
 6  *  *  *
 7  *  *  *
 8  *  *  *
 9  *  *  *

а после изменения на ip local interface fastethernet0 - не идет вообще.

vlan10 - хвост, который остался после чистки старого конфига. У меня дома только один влан - vlan1. Как и одна подсеть - 192.168.0.0/24. Компьютеры подключены к fa1 - fa4. Fa0 - корбина.

Изменено 7 января 2009 пользователем JDima2002

[Ne0_rus 0]

Одна ошибка уже исправлена - "permit ip 192.168.1.0 0.0.0.255 any" проглядел, нет у меня такой подсети, заменил на permit ip 192.168.0.0 0.0.0.255 any

Теперь show ip route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

 

а после изменения на ip local interface fastethernet0 - не идет вообще.

vlan10 - хвост, который остался после чистки старого конфига. У меня дома только один влан - vlan1. Как и одна подсеть - 192.168.0.0/24. Компьютеры подключены к fa1 - fa4. Fa0 - корбина.

 

 

У Вас подсеть 192.168.0.0 - поправьте лист для WAN:

 

ip access-list extended WAN

permit ip 192.168.1.0 0.0.0.255 any

 

на

 

permit ip 192.168.0.0 0.0.0.255 any

 

Вы умышленно ходите в сеть провайдера без натирования?

 

И можно посмотреть что именно не идет после замены интерфейса на правильный (Fa0) ?

Изменено 7 января 2009 пользователем Ne0_rus

[JDima2002 0]

У Вас подсеть 192.168.0.0 - поправьте лист для WAN:

 

ip access-list extended WAN

permit ip 192.168.1.0 0.0.0.255 any

 

на

 

permit ip 192.168.0.0 0.0.0.255 any

Давно. Но разве это должно влиять на пинги с циски?

Вы умышленно ходите в сеть провайдера без натирования?

Я думал, нат поднят. Но опять же, он не должен влиять на выбор маршрутов с циски. А оно однозначно идет по неверному маршруту, и я не пойму, с какого хрена.

ip nat outside ставить?

И можно посмотреть что именно не идет после замены интерфейса на правильный (Fa0) ?

Странно, сейчас заработало, но опять не туда.

1 10.166.48.1 4 msec 0 msec 0 msec

2 10.219.129.73 4 msec 4 msec 4 msec

3 10.219.129.45 4 msec 4 msec 0 msec

На всякий случай.

Router#show run

Building configuration...

 

Current configuration : 4321 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

enable secret 5 ***

!

no aaa new-model

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

!

!

no ip dhcp use vrf connected

!

ip dhcp pool home

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server 4.2.2.2

!

!

ip cef

no ip bootp server

ip multicast-routing

login delay 4

login on-failure log

vpdn enable

!

l2tp-class corbina

!

!

username *** privilege 15 password 0 ***

archive

log config

hidekeys

!

!

ip tftp source-interface Vlan1

pseudowire-class class1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet0

!

buffers element permanent 65535

buffers element minimum 250

buffers small initial 512

buffers middle max-free 1500

buffers middle initial 512

buffers big max-free 1500

buffers big initial 512

buffers verybig max-free 100

buffers verybig initial 40

buffers large max-free 100

buffers large initial 30

buffers huge max-free 100

buffers huge initial 20

!

!

interface FastEthernet0

description Corbina intranet

ip address dhcp

ip virtual-reassembly

speed auto

no cdp enable

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

!

interface Virtual-PPP1

ip address negotiated

ip access-group 111 in

ip mtu 1400

ip flow ingress

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1400

no cdp enable

ppp authentication chap callin

ppp chap hostname ***

ppp chap password 0 ***

pseudowire 85.21.0.18 10 pw-class class1

!

interface Vlan1

ip address 192.168.0.3 255.255.255.0

ip nat inside

ip virtual-reassembly

ip route-cache same-interface

ip cgmp

!

interface Vlan10

no ip address

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 85.21.29.242 255.255.255.255 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.90.0 255.255.255.0 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 85.21.17.253 255.255.255.255 dhcp

ip route 85.21.0.21 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 85.21.0.18 255.255.255.255 dhcp

ip http server

ip http authentication local

!

ip nat inside source list WAN interface Virtual-PPP1 overload

ip mroute 172.16.16.0 255.255.255.0 10.233.32.1

ip mroute 85.21.91.0 255.255.255.0 10.233.32.1

!

!

!

ip access-list extended LAN

permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

permit ip 192.168.0.0 0.0.0.255 83.102.146.0 0.0.0.231

permit ip 192.168.0.0 0.0.0.255 host 85.21.29.242

permit ip 192.168.0.0 0.0.0.255 85.21.79.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 85.21.90.0 0.0.0.255

permit ip 192.168.0.0 0.0.0.255 host 195.14.50.16

permit ip 192.168.0.0 0.0.0.255 host 195.14.50.26

ip access-list extended WAN

permit ip 192.168.0.0 0.0.0.255 any

access-list 2 deny any

access-list 111 deny tcp any eq 139 any

access-list 111 deny udp any eq netbios-ns any eq netbios-ns

access-list 111 deny udp any eq netbios-dgm any eq netbios-dgm

access-list 111 deny udp any eq netbios-ss any eq netbios-ss

access-list 111 deny udp any any range snmp snmptrap

access-list 111 deny tcp any any eq 3128

access-list 111 deny ip 10.0.0.0 0.0.255.255 any

access-list 111 deny ip 127.0.0.0 0.0.0.255 any

access-list 111 deny udp any any range 130 140

access-list 111 deny tcp any any range 130 140

access-list 111 deny tcp any any eq 8080

access-list 111 permit ip any any

access-list 111 permit udp any any

access-list 111 permit gre any any

access-list 111 permit tcp any any

access-list 111 permit icmp any any

access-list 111 permit pcp any any

access-list 111 permit esp any any

access-list 111 permit igmp any any

access-list 111 permit ipinip any any

access-list 111 permit nos any any

access-list 115 permit ip 192.168.0.0 0.0.0.255 any

no cdp run

!

!

!

control-plane

!

!

line con 0

logging synchronous

line aux 0

line vty 0 4

access-class 115 in

privilege level 15

logging synchronous

login local

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

sntp server 195.170.62.130

end

 

Router#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

 

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

 

85.0.0.0/8 is variably subnetted, 6 subnets, 2 masks

S 85.21.79.0/24 [1/0] via 10.166.48.1

S 85.21.90.0/24 [1/0] via 10.166.48.1

C 85.21.0.18/32 is directly connected, Virtual-PPP1

S 85.21.0.21/32 [1/0] via 10.166.48.1

S 85.21.17.253/32 [1/0] via 10.166.48.1

S 85.21.29.242/32 [1/0] via 10.166.48.1

83.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

S 83.102.233.202/32 [254/0] via 10.166.48.1, FastEthernet0

S 83.102.146.96/27 [1/0] via 10.166.48.1

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

S 10.0.0.0/8 [1/0] via 10.166.48.1

C 10.166.48.0/21 is directly connected, FastEthernet0

95.0.0.0/32 is subnetted, 1 subnets

C 95.31.*.* is directly connected, Virtual-PPP1

89.0.0.0/32 is subnetted, 1 subnets

S 89.179.135.67 [1/0] via 10.166.48.1

C 192.168.0.0/24 is directly connected, Vlan1

195.14.50.0/32 is subnetted, 2 subnets

S 195.14.50.26 [1/0] via 10.166.48.1

S 195.14.50.16 [1/0] via 10.166.48.1

S* 0.0.0.0/0 is directly connected, Virtual-PPP1

 

Я пока даже не менял маршруты для компьютеров. Пусть хоть циска пингует наружу, а там уже с новыми проблемами разбираться.

Изменено 7 января 2009 пользователем JDima2002

[Ne0_rus 0]

Давно. Но разве это должно влиять на пинги с циски?

 

Я думал, нат поднят. Но опять же, он не должен влиять на выбор маршрутов с циски. А оно однозначно идет по неверному маршруту, и я не пойму, с какого хрена.

ip nat outside ставить?

 

Странно, сейчас заработало, но опять не туда.

 

На всякий случай.

 

....

 

Я пока даже не менял маршруты для компьютеров. Пусть хоть циска пингует наружу, а там уже с новыми проблемами разбираться.

 

Добавьте 'ip nat outside' для Fe0. Добавьте

 

ip nat inside source list LAN interface FastEthernet0 overload

 

У Вас точно VPN канал поднимается (такое ощущение что канал поднимается и сразу падает)?

Попробуйте один из брасов с nslookup tp.corbina.net

 

Попробуйте включить Debug:

 

#debug vpdn l2x-errors

 

Посмотрите что в логах у роутера?

Изменено 7 января 2009 пользователем Ne0_rus

[JDima2002 0]

Router#show ip interface virtual-ppP 1
Virtual-PPP1 is up, line protocol is up
 Internet address is 95.31.*.*/32
 Broadcast address is 255.255.255.255
 Address determined by IPCP
 Peer address is 85.21.0.18
 MTU is 1400 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
 Outgoing access list is not set
 Inbound  access list is 111
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is enabled
 IP Flow switching is enabled
 IP CEF switching is enabled
 IP CEF Flow Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, Flow cache, CEF, Subint Flow
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
 Network address translation is enabled, interface in domain outside
 BGP Policy Mapping is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled

 

NAT поставил... Но все манипуляции я с циски делаю, ей же нат не нужен.

 

Мне стыдно признаться, но дебагом я пользоваться не умею. Команду ввел, но ничего больше не пишет. Терминал через vty.

С маршрутами точно все в порядке? Я не знаю специфику циски, но ведь если маршрут через ppp провалился, она не должна больше никуда стучаться, верно? А она идет на ethernet корбины.

Пробовал ip default-gateway указать, но там не принимается ссылка на интерфейс.

[Ne0_rus 0]

Router#show ip interface virtual-ppP 1
Virtual-PPP1 is up, line protocol is up
 Internet address is 95.31.*.*/32
 Broadcast address is 255.255.255.255
 Address determined by IPCP
 Peer address is 85.21.0.18
 MTU is 1400 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
 Outgoing access list is not set
 Inbound  access list is 111
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is enabled
 IP Flow switching is enabled
 IP CEF switching is enabled
 IP CEF Flow Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, Flow cache, CEF, Subint Flow
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
 Network address translation is enabled, interface in domain outside
 BGP Policy Mapping is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled

 

NAT поставил... Но все манипуляции я с циски делаю, ей же нат не нужен.

 

Мне стыдно признаться, но дебагом я пользоваться не умею. Команду ввел, но ничего больше не пишет. Терминал через vty.

С маршрутами точно все в порядке? Я не знаю специфику циски, но ведь если маршрут через ppp провалился, она не должна больше никуда стучаться, верно? А она идет на ethernet корбины.

Пробовал ip default-gateway указать, но там не принимается ссылка на интерфейс.

 

Я тоже не знаю как циска отрабатывает отсутствие Default GW

Маршруты, вроде, в порядке (сравнил со своими).

Дебаг все пишет в лог или на экран, в зависимости от настроек.

Попробуйте посмотреть лог - 'sh logg'.

[JDima2002 0]

Включил monitor для vty 0 4. Узнал, что раз в минуту примерно virtualppp падает и через пару секунд поднимается, больше ничего не пишет на экран. Вроде дело распространенное и вроде лечили снижением MTU, но он и так низкий... Снизил до 1300, нажму "отправить" и снова переткну кабель на циску...

Router#show logging
Syslog logging: enabled (1 messages dropped, 0 messages rate-limited,
			0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 251 messages logged, xml disabled,
				 filtering disabled
Monitor logging: level debugging, 21 messages logged, xml disabled,
				 filtering disabled
	Logging to: vty7(20)
Buffer logging: disabled, xml disabled,
				filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled

No active filter modules.

Trap logging: level informational, 225 message lines logged

 

Как конкретно просмотреть содержание лога?

[roug 0]

Включил monitor для vty 0 4. Узнал, что раз в минуту примерно virtualppp падает и через пару секунд поднимается, больше ничего не пишет на экран. Вроде дело распространенное и вроде лечили снижением MTU, но он и так низкий... Снизил до 1300, нажму "отправить" и снова переткну кабель на циску...

Router#show logging
Syslog logging: enabled (1 messages dropped, 0 messages rate-limited,
			0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 251 messages logged, xml disabled,
				 filtering disabled
Monitor logging: level debugging, 21 messages logged, xml disabled,
				 filtering disabled
	Logging to: vty7(20)
Buffer logging: disabled, xml disabled,
				filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled

No active filter modules.

Trap logging: level informational, 225 message lines logged

 

Как конкретно просмотреть содержание лога?

Мы вам вдвоём уже два раза написали tp.corbina.net

[JDima2002 0]

УРА!!!

А в чем разница между vpn.corbina.ru и tp.corbina.ru?

 

И просьба для будущих поколений добавить в первый пост информацию о том, что без "L2TPv3 - Layer-2 Tunneling Protocol Version 3" в иосе корбина подняться не может.

[roug 0]

А в чем разница между vpn.corbina.ru и tp.corbina.ru?

С одним циска работает с другим нет.

 

И просьба для будущих поколений добавить в первый пост информацию о том, что без "L2TPv3 - Layer-2 Tunneling Protocol Version 3" в иосе корбина подняться не может.

L2TPv3 - проприетарная цисковская фитча и к Корбине отношения не имеет. Изменено 7 января 2009 пользователем roug