|
Включение NAT на Cisco 881 через PPTP подключение
Автор |
Сообщение |
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
PPTP подключается. Интенет на самой циске есть Код: isco.k259#traceroute anticisco.ru Translating "anticisco.ru"...domain server (192.168.0.12) [OK]
Type escape sequence to abort. Tracing the route to anticisco.ru (213.189.197.94) VRF info: (vrf in name/id, vrf out name/id) 1 172.30.0.1 0 msec 0 msec 4 msec 2 61.128-31-94.telenet.ru (94.31.128.61) 0 msec 4 msec 0 msec 3 172.16.17.206 0 msec 4 msec 0 msec 4 172.16.17.241 4 msec 4 msec 0 msec 5 87.226.229.249 4 msec 4 msec 4 msec 6 213.59.208.17 0 msec 0 msec 0 msec
cisco.k259#show int dialer0 Dialer0 is up, line protocol is up (spoofing) Hardware is Unknown Description: Rostelecom ISP Internet address is 90.157.26.245/32 MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Closed, loopback not set Keepalive set (10 sec) DTR is pulsed for 1 seconds on reset Interface is bound to Vi2 Last input never, output never, output hang never Last clearing of "show interface" counters 1w6d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 728 packets input, 43639 bytes 971 packets output, 52508 bytes Bound to: Virtual-Access2 is up, line protocol is up
Но что-то NAT не работает. Чего ему надо? Код: cisco.k259#show run Building configuration...
Current configuration : 6961 bytes ! ! Last configuration change at 16:07:06 GMT Fri Mar 8 2019 ! NVRAM config last updated at 15:56:38 GMT Fri Mar 8 2019 by atest ! version 15.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname cisco.k259 ! boot-start-marker boot-end-marker ! ! logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED logging buffered discriminator FAN-FAIL no logging console logging monitor discriminator FAN-FAIL enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1 enable password xxxxxxxx_ ! no aaa new-model memory-size iomem 10 clock timezone GMT 5 0 ! crypto pki trustpoint TP-self-signed-3690135629 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3690135629 revocation-check none rsakeypair TP-self-signed-3690135629 ! ! crypto pki certificate chain TP-self-signed-3690135629 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33363930 31333536 3239301E 170D3139 30323133 30333135 34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36393031 33353632 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100B94F 2E9D45ED BDD6ADA6 715ACF2E ADC0E168 31166C57 15631125 0B66B1A5 752DDDA5 14704956 1B39880D A34FD2B0 C4DA4EB2 439F71D1 F53878ED 1A77BC31 C61CBAF7 A381DC9C D0BC9242 A48C41F0 1BC18635 036FCEDA 8A31FD58 765D9410 305F5468 68960B0B 4963DF0B 35CADA5D 86F220CE F4974A3A FB9A6759 0B3E9E6E 37FB0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 551D2304 18301680 141619A0 9ED55215 E39DB668 8F348DCA C104A706 99301D06 03551D0E 04160414 1619A09E D55215E3 9DB6688F 348DCAC1 04A70699 300D0609 2A864886 F70D0101 05050003 81810058 04F60F24 86EE15BC FBFAB463 5430CB2E 9B150A52 879E1508 3E023C49 47FF16B9 8ABAC325 6DCCC760 AEE95943 3F72CCD8 A1D135B2 923A3813 E75154B7 C13A3AAC 4260A0CA FFAF64FC 37F556E2 AC7658A3 65F80B41 BC6AFDC6 9BB98F72 DB818294 3BA601D5 496050E4 C9425AD9 3757208A 668A5BB2 4FEE45AC 3AE58B3C 4A4F5B quit ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ip dhcp excluded-address 192.168.0.1 192.168.0.7 ! ip dhcp pool k259 import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 domain-name k259 dns-server 192.168.0.12 8.8.8.8 lease 0 2 ! ! ! ip domain name k259 ip name-server 192.168.0.12 ip inspect WAAS flush-timeout 10 ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group PPTP_CLIENT description Rostelecom ISP request-dialin protocol pptp pool-member 1 initiate-to ip 10.0.0.1 ! cts logging verbose license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ ! ! username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2 ! ! ! ! no cdp run ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 10.0.47.132 255.255.255.0 duplex auto speed auto ! interface wlan-ap0 description Service module interface to manage the embedded AP ip address 10.10.11.1 255.255.255.0 arp timeout 0 ! interface Wlan-GigabitEthernet0 description Internal switch interface connecting to the embedded AP no ip address ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 ! interface Dialer0 description Rostelecom ISP ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer persistent dialer vpdn ppp chap hostname 90.157.26.245 ppp chap password 0 XXXXXXXXXXX no cdp enable ! ip forward-protocol nd ip http server ip http access-class 23 ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip http path flash: ! no ip ftp passive ip dns server ip nat inside source list 1 interface Dialer0 overload ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.0.0.1 255.255.255.255 10.0.47.1 ip route 10.10.11.0 255.255.255.0 wlan-ap0 ! dialer-list 1 protocol ip permit ! snmp-server community k259 RO access-list 1 remark internet access-list 1 remark CCP_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 permit 10.10.10.0 0.0.0.255 access-list 23 remark CCP_ACL Category=17 access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.15 ! vstack banner exec ^C % Password expiration warning. ----------------------------------------------------------------------- ^C banner login ^C ----------------------------------------------------------------------- Cisco Configuration Professional (Cisco CP) is installed on this device. ----------------------------------------------------------------------- ^C ! line con 0 login local no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all line vty 0 4 access-class 23 in privilege level 15 password xxxxxxxx login local transport input telnet ssh ! ntp master ntp update-calendar ntp server ntp2.stratum2.ru ! end
|
08 мар 2019, 14:36 |
|
|
strabbo
Зарегистрирован: 21 май 2017, 20:13 Сообщения: 26
|
С какого айпи пытаетесь выйти в интернет?
|
09 мар 2019, 02:26 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
С 192.168.0.12.
Браузер говорит: не могу отобразить страницу. Tracetr тоже глохнет на самой циске.
|
09 мар 2019, 05:13 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а сама cisco имеет выход инет?
|
09 мар 2019, 06:51 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
PPTP подключается. Интенет на самой циске есть Код: cisco.k259#traceroute anticisco.ru Translating "anticisco.ru"...domain server (192.168.0.12) [OK]
Type escape sequence to abort. Tracing the route to anticisco.ru (213.189.197.94) VRF info: (vrf in name/id, vrf out name/id) 1 172.30.0.1 0 msec 0 msec 4 msec 2 61.128-31-94.telenet.ru (94.31.128.61) 0 msec 4 msec 0 msec 3 172.16.17.206 0 msec 4 msec 0 msec 4 172.16.17.241 4 msec 4 msec 0 msec 5 87.226.229.249 4 msec 4 msec 4 msec 6 213.59.208.17 0 msec 0 msec 0 msec
cisco.k259#show int dialer0 Dialer0 is up, line protocol is up (spoofing) Hardware is Unknown Description: Rostelecom ISP Internet address is 90.157.26.245/32 MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Closed, loopback not set Keepalive set (10 sec) DTR is pulsed for 1 seconds on reset Interface is bound to Vi2 Last input never, output never, output hang never Last clearing of "show interface" counters 1w6d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 728 packets input, 43639 bytes 971 packets output, 52508 bytes Bound to: Virtual-Access2 is up, line protocol is up
|
09 мар 2019, 08:45 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Что-то настоящих буйных мало. 1. Я не могу поймать ни одного события debug nat Код: cisco.k259#show debug NAT64: NAT64 packet detail debugging is on NAT64 translation detail debugging is on NAT64 translation error debugging is on NAT64 database detail debugging is on NAT64 database error debugging is on cisco.k259# т.е. ваще никаих следов. При этом меня еще смущает надпись NAT64:. 2. Никаких следов Код: cisco.k259#show nat tra Proto Original IPv4 Translated IPv4 Translated IPv6 Original IPv6 --------------------------------------------------------
3. Но при этом загадочно работает на клиенте nslookup с любым внешним сервером DNS. Других подключений к интернету на клиенте нету.
|
09 мар 2019, 13:43 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Вообще-то
для просмотра НАТ трансляций вводится команда - sh ip nat tra
дебаг соот. также - debug ip nat
|
09 мар 2019, 13:58 |
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1834
|
del
|
09 мар 2019, 19:50 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Исправился. Осознал, что ip nat. Легше не стало, т.е. NAT, как бы, работает. Код: cisco.k259#show ip nat tra Pro Inside global Inside local Outside local Outside global udp 90.157.26.245:52753 192.168.0.12:52753 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:52870 192.168.0.12:52870 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:53091 192.168.0.12:53091 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:53294 192.168.0.12:53294 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:53635 192.168.0.12:53635 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:54082 192.168.0.12:54082 87.224.213.1:53 87.224.213.1:53 tcp 90.157.26.245:2157 192.168.0.102:2157 74.125.232.176:443 74.125.232.176:443 tcp 90.157.26.245:2158 192.168.0.102:2158 64.233.162.94:443 64.233.162.94:443 tcp 90.157.26.245:2159 192.168.0.102:2159 64.233.162.94:443 64.233.162.94:443 tcp 90.157.26.245:2160 192.168.0.102:2160 64.233.162.94:443 64.233.162.94:443 tcp 90.157.26.245:2161 192.168.0.102:2161 95.101.72.202:80 95.101.72.202:80 tcp 90.157.26.245:2162 192.168.0.102:2162 104.16.60.37:443 104.16.60.37:443 tcp 90.157.26.245:2163 192.168.0.102:2163 104.16.59.37:443 104.16.59.37:443 tcp 90.157.26.245:2164 192.168.0.102:2164 74.125.232.179:443 74.125.232.179:443 tcp 90.157.26.245:2165 192.168.0.102:2165 74.125.232.179:443 74.125.232.179:443 tcp 90.157.26.245:2166 192.168.0.102:2166 74.125.232.179:443 74.125.232.179:443 tcp 90.157.26.245:2167 192.168.0.102:2167 74.125.232.179:443 74.125.232.179:443 tcp 90.157.26.245:2168 192.168.0.102:2168 74.125.232.179:443 74.125.232.179:443
Но браузер к интернету доступа не имеет и tracetr не проходит. Проходят только запросы DNS. Чудесны дела твои, циска! Код: Mar 9 17:05:40.358: NAT (UDP-DNS): After Translation Mar 9 17:05:40.358: NAT: Translation of UDP DNS src 192.168.0.12, dst 87.224.213.1 Mar 9 17:05:40.358: NAT: Dns type of Query Mar 9 17:05:40.358: : dns len=32, id=28021, aa=0, tc=0, rd=1, ra=0 Mar 9 17:05:40.358: : opcode=0, rcode=0, qdcount=1 Mar 9 17:05:40.358: : ancount=0, nscount=0, arcount=1 Mar 9 17:05:40.358: Answer section: Mar 9 17:05:40.358: Authority section: Mar 9 17:05:40.358: Additional record section: Mar 9 17:05:40.358: NAT: s=192.168.0.12->90.157.26.245, d=87.224.213.1 [28632] Mar 9 17:05:40.358: NAT: o: udp (87.224.213.1, 53) -> (90.157.26.245, 53254) [41753] Mar 9 17:05:40.358: NAT (UDP-DNS): Before Translation Mar 9 17:05:40.358: NAT: Translation of UDP DNS src 87.224.213.1, dst 90.157.26.245 Mar 9 17:05:40.358: NAT: Dns type of Response Mar 9 17:05:40.358: : dns len=48, id=28021, aa=0, tc=0, rd=1, ra=1 Mar 9 17:05:40.358: : opcode=0, rcode=0, qdcount=1 Mar 9 17:05:40.358: : ancount=1, nscount=0, arcount=1 Mar 9 17:05:40.358: Answer section: Mar 9 17:05:40.358: Authority section: Mar 9 17:05:40.358: Additional record section: Mar 9 17:05:40.358: NAT (UDP-DNS): After Translation Mar 9 17:05:40.358: NAT: Translation of UDP DNS src 87.224.213.1, dst 90.157.26.245 Mar 9 17:05:40.362: NAT: Dns type of Response Mar 9 17:05:40.362: : dns len=48, id=28021, aa=0, tc=0, rd=1, ra=1 Mar 9 17:05:40.362: : opcode=0, rcode=0, qdcount=1 Mar 9 17:05:40.362: : ancount=1, nscount=0, arcount=1 Mar 9 17:05:40.362: Answer section: Mar 9 17:05:40.362: Authority section: Mar 9 17:05:40.362: Additional record section: Mar 9 17:05:40.362: NAT: s=87.224.213.1, d=90.157.26.245->192.168.0.12 [41753] Mar 9 17:05:40.646: NAT: expiring 90.157.26.245 (192.168.0.102) tcp 2206 (2206) Mar 9 17:05:40.646: NAT-SymDB: DB is either not enabled or not initiated. Mar 9 17:05:42.790: NAT: API parameters passed: src_addr:94.255.244.136, src_port:0 dest_addr:90.157.26.245, dest_port:0, proto:6 if_input:Dialer0 pak:887019F0 Mar 9 17:05:42.790: ipnat_api_translated_address_and_port_common, out->in want IL,OL Mar 9 17:05:42.790: NAT: API Failed to get Translated-Info from: (src-addr:94.255.244.136, src-port:0) (dest-addr:90.157.26.245, dest-port:0) Mar 9 17:05:42.790: NAT - SYSTEM PORT for 90.157.26.245: allocated port 0, refcount 80, localport 4294967295, localaddr 0.0.0.0, flags 1, syscount 80, proto 6
|
09 мар 2019, 20:19 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
играйтесь на интерфейсе Dialer с ip mtu 1400 и выше + ip tcp adjust-mss 1360 и выше.
цицка тут не причём как настроете так она и полетит....
по умолчанию у вас МТУ 1500 что для дилер интерфейсов не применимо в данном случ....
раз у вас PPTP то максимальный МТУ у вас должен быть не более 1472-1474, tcp adjust-mss на 40 байт соот. меньше значения mtu
|
09 мар 2019, 20:42 |
|
|
VitMain
Зарегистрирован: 17 окт 2009, 10:27 Сообщения: 33
|
я бы еще acl 1 заменил с standart на extended путем удаления и создания нового ACL например 100
|
10 мар 2019, 08:49 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Что-то с MTU у меня не срастается: Код: cisco.k259#show run
interface Dialer0 description $ETH-WAN$ ip address negotiated [b][u] ip mtu 1440 [/u][/b] ip nat outside ip virtual-reassembly in encapsulation ppp ip tcp adjust-mss 1400 dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer persistent dialer vpdn ppp authentication ms-chap-v2 callin ppp chap hostname 90.157.26.245 ppp chap password 0 XXXXXXXXXX no cdp enable
А на деле (подключение переподключено после изменения конфига): Код: cisco.k259#show int dialer0 Dialer0 is up, line protocol is up (spoofing) Hardware is Unknown Description: $ETH-WAN$ Internet address is 90.157.26.245/32 MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Closed, loopback not set Keepalive set (10 sec) DTR is pulsed for 1 seconds on reset Interface is bound to Vi2 Last input never, output never, output hang never Last clearing of "show interface" counters 18:09:59 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2389 packets input, 82240 bytes 2669 packets output, 431568 bytes Bound to: Virtual-Access2 is up, line protocol is up Hardware is Virtual Access interface Description: $ETH-WAN$ [b][u]MTU 1500 [/u][/b]bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP PPPoVPDN vaccess, cloned from Dialer0 Vaccess status 0x44 Protocol pptp, tunnel id 42916, session id 39225, loopback not set Keepalive set (10 sec) DTR is pulsed for 5 seconds on reset Interface is bound to Di0 (Encapsulation PPP) Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters 00:05:57 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 150 packets input, 5821 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 97 packets output, 3931 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions
Я куда-то не туда пишу ip mtu 1440 ?
|
10 мар 2019, 11:22 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
пробуйте
conf t inter Di0 shut ip mtu 1472 ip tcp adjust-mss 1432 no shut ^Z
также есть и обычная команда на этом интерфейсе
conf t inter Di0 mtu 1472 ^Z
|
10 мар 2019, 13:05 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Что-то не выходит каменный цветок. По прежнему успешно работает разрешение имен. Но нифига не работает браузер и RDP. Поставил MTU 1450 bytes. Не помогло. В тему призываются гуру. Текущий конфиг Код: interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 192.168.0.3 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 ! interface Dialer0 description $ETH-WAN$ mtu 1450 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp ip tcp adjust-mss 1410 dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer persistent dialer vpdn ppp authentication ms-chap-v2 callin ppp chap hostname 90.157.26.245 ppp chap password 0 XXXXXXXXX no cdp enable ! ip forward-protocol nd ip http server ip http access-class 23 no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip http path flash: ! no ip ftp passive ip dns server ip nat translation max-entries all-host 400 ip nat inside source list 101 interface Dialer0 overload ip route 0.0.0.0 0.0.0.0 Dialer0 3 ip route 10.0.0.1 255.255.255.255 10.0.47.1 ip route 10.10.11.0 255.255.255.0 wlan-ap0 ! dialer-list 1 protocol ip permit ! snmp-server community k259 RO access-list 1 remark internet access-list 1 remark CCP_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 23 remark CCP_ACL Category=17 access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.15 access-list 101 remark internet2 access-list 101 remark CCP_ACL Category=2 access-list 101 remark test 2 access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 150 remark WAN rule access-list 150 remark CCP_ACL Category=1 access-list 150 remark WAN rule entry access-list 150 permit ip any any ! Код: cisco.k259#show ip nat tra Pro Inside global Inside local Outside local Outside global udp 90.157.26.245:56614 192.168.0.12:56614 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:56862 192.168.0.12:56862 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:57632 192.168.0.12:57632 87.224.213.1:53 87.224.213.1:53 udp 90.157.26.245:57883 192.168.0.12:57883 87.224.213.1:53 87.224.213.1:53
cisco.k259#show ip nat stat Total active translations: 5 (0 static, 5 dynamic; 5 extended) Peak translations: 168, occurred 23:52:30 ago Outside interfaces: Dialer0, Virtual-Access1 Inside interfaces: Vlan1 Hits: 2814 Misses: 0 CEF Translated packets: 2090, CEF Punted packets: 724 Expired translations: 814 Dynamic mappings: -- Inside Source [Id: 2] access-list 101 interface Dialer0 refcount 4
Total doors: 0 Appl doors: 0 Normal doors: 0 nat-limit statistics: All Host Max allowed: 400 host 192.168.0.102: max allowed 400, used 0, missed 0 host 192.168.0.103: max allowed 400, used 0, missed 0 host 192.168.0.12: max allowed 400, used 5, missed 0 Queued Packets: 0
cisco.k259#show int dialer0 Dialer0 is up, line protocol is up (spoofing) Hardware is Unknown Description: $ETH-WAN$ Internet address is 90.157.26.245/32 MTU 1450 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Closed, loopback not set Keepalive set (10 sec) DTR is pulsed for 1 seconds on reset Interface is bound to Vi1 Last input never, output never, output hang never Last clearing of "show interface" counters 1d02h Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2914 packets input, 113775 bytes 3319 packets output, 472690 bytes Bound to: Virtual-Access1 is up, line protocol is up Hardware is Virtual Access interface Description: $ETH-WAN$ MTU 1450 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP PPPoVPDN vaccess, cloned from Dialer0 Vaccess status 0x44 Protocol pptp, tunnel id 29475, session id 8324, loopback not set Keepalive set (10 sec) DTR is pulsed for 5 seconds on reset Interface is bound to Di0 (Encapsulation PPP) Last input 00:00:49, output never, output hang never Last clearing of "show interface" counters 08:51:31 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 845 packets input, 34701 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 636 packets output, 39889 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions
|
10 мар 2019, 19:53 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Смотрите другие значения мту 1392, 1400 и т.д. в конце концов свяжитесь с тех. поддержкой может они вам подскажут точные данные по включению ...
|
10 мар 2019, 20:00 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Смешно же. Windows 2012 R2 работает без всяких MTU и плясок с бубном. Бытовой роутер - тоже.
И только великая циска требует неизвестно чего.
Может, все таки, можно выяснит чего ей не хватает не методом битья в бубен, а как-то через debug?
|
11 мар 2019, 06:02 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
aleks2 писал(а): Смешно же. Windows 2012 R2 работает без всяких MTU и плясок с бубном. Бытовой роутер - тоже.
И только великая циска требует неизвестно чего.
Может, все таки, можно выяснит чего ей не хватает не методом битья в бубен, а как-то через debug? В бытовых роутерах зюхах было по умолчанию adjust mss 512. Пользуйтесь зюхами, если лень на _внутреннем_ интерфейсе написать ip tcp adj 1360 и проверить работоспособность. PS и да, только великие недоговнопровайдеры сейчас пользуют pptp.
|
11 мар 2019, 10:21 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
1. Провайдеров не выбирают.
2. Кроме "зюх" работает NAT Windows Server. У него тоже?
3. "на _внутреннем_ интерфейсе" - который из них ВНУТРЕННИЙ? Vlan1 - сойдет за внутренний?
4. Неужели нет более простого и очевидного способа убедиться, что MTU виноватое? Debug у цисок нафига?
|
11 мар 2019, 10:32 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Цыцка в отличии от домашних маршрутизаторов позволяет сделать практически что угодно, в том числе и выстрелить себе в ногу, но нужно понимать что делаешь. Провайдеров еще как выбирают. MTU проверяется как-то так Код: starinov:~ mdenisov$ ping -D -s 1400 noc.cxni.net PING cxni.net (31.192.104.228): 1400 data bytes 1408 bytes from 31.192.104.228: icmp_seq=0 ttl=53 time=4.442 ms 1408 bytes from 31.192.104.228: icmp_seq=1 ttl=53 time=4.223 ms ^C --- cxni.net ping statistics --- 2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 4.223/4.332/4.442/0.110 ms starinov:~ mdenisov$ ping -D -s 1500 noc.cxni.net PING cxni.net (31.192.104.228): 1500 data bytes ping: sendto: Message too long ping: sendto: Message too long Request timeout for icmp_seq 0 ^C --- cxni.net ping statistics --- 2 packets transmitted, 0 packets received, 100.0% packet loss
И почитайте про PMTU discovery.
|
11 мар 2019, 11:36 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Я знаю про PMTU discovery.
Но проблемы две: 1. Надо чтобы заработало. Поэтому использовать доп. хрени пока нежелательно. 2. Я не знаю куда и как циске вколбасить PMTU. Потом, может быть, разберусь.
За пример проверки MTU - спасибо.
|
11 мар 2019, 12:01 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
aleks2 писал(а): 3. "на _внутреннем_ интерфейсе" - который из них ВНУТРЕННИЙ? внутренний это, тот который смотрит в вашу локальную сеть. Ведь логично что для вас порт в сторону провайдера внешний, у вас там даже написано nat outside. aleks2 писал(а): Vlan1 - сойдет за внутренний? конечно сойдет, если на этом vlan сидит ваша локальная сеть.
|
11 мар 2019, 19:17 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Что-то рано я спасибо сказал
ping -D -s 1400 noc.cxni.net
это на каком диалекте? Циска такого не понимает
cisco.k259>ping -D -s 1400 noc.cxni.net Translating "-D"...domain server (192.168.0.12) ^ % Invalid input detected at '^' marker.
Windows тоже.
|
11 мар 2019, 19:26 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Это на юниксах с клиентской машины. На цыцке как-то так Код: COBALT-RTR#ping noc.cxni.net df-bit size 1500 Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds: Packet sent with the DF bit set !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms COBALT-RTR#ping noc.cxni.net df-bit size 1600 Type escape sequence to abort. Sending 5, 1600-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds: Packet sent with the DF bit set ..... Success rate is 0 percent (0/5)
|
11 мар 2019, 20:40 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Не, что-то с MTU ничего дельного не выходит. 1. Я откопал настройку MTU бытового роутера = 1436. 2. Я поставил это значение на интерфейс Dialer0 циски interface Dialer0 mtu 1436 - ничего не изменилось 3. Я поставил на Vlan1 tcp adjust-mss 1360 interface Vlan1 ip tcp adjust-mss 1360 - ничего не изменилось Кто-нибудь способен еще что-то предложить? Или хотя бы объяснить: почему запросы DNS успешно проходят NAT Код: Mar 11 17:26:05.767: NAT: s=192.168.0.12->90.157.26.245, d=8.8.8.8 [1331] ! туда Mar 11 17:26:05.811: NAT: s=8.8.8.8, d=90.157.26.245->192.168.0.12 [2313] ! обратно
А все остальные запросы (http, rdp, ping пакетом в 64 байта ) - НЕ проходят Код: Mar 11 17:26:06.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29678] ! туда есть - обратно нету. Mar 11 17:26:07.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29679] Mar 11 17:26:09.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29680]
Текущий конфиг Код: cisco.k259#show run Building configuration...
Current configuration : 7255 bytes ! ! Last configuration change at 22:08:00 GMT Mon Mar 11 2019 by atest ! NVRAM config last updated at 14:43:41 GMT Sun Mar 10 2019 by atest ! version 15.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname cisco.k259 ! boot-start-marker boot-end-marker ! ! logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED logging buffered discriminator FAN-FAIL no logging console logging monitor discriminator FAN-FAIL enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1 enable password xxxxxxxx_ ! no aaa new-model memory-size iomem 10 clock timezone GMT 5 0 ! crypto pki trustpoint TP-self-signed-3690135629 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3690135629 revocation-check none rsakeypair TP-self-signed-3690135629 ! ! crypto pki certificate chain TP-self-signed-3690135629 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 quit ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ip dhcp excluded-address 192.168.0.1 192.168.0.7 ! ip dhcp pool k259 import all network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 domain-name k259 dns-server 192.168.0.12 8.8.8.8 lease 0 2 ! ! ! ip domain name k259 ip name-server 192.168.0.12 ip inspect WAAS flush-timeout 10 ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group PPTP_CLIENT description Rostelecom ISP request-dialin protocol pptp pool-member 1 initiate-to ip 10.0.0.1 ! cts logging verbose license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ ! ! username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2 ! ! ! ! no cdp run ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 10.0.47.132 255.255.255.0 duplex auto speed auto ! interface wlan-ap0 description Service module interface to manage the embedded AP ip address 10.10.11.1 255.255.255.0 arp timeout 0 ! interface Wlan-GigabitEthernet0 description Internal switch interface connecting to the embedded AP no ip address ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 192.168.0.3 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1360 ! interface Dialer0 description $ETH-WAN$ mtu 1436 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp ip tcp adjust-mss 1410 dialer pool 1 dialer idle-timeout 0 dialer string 123 dialer persistent dialer vpdn ppp authentication ms-chap-v2 callin ppp chap hostname 90.157.26.245 ppp chap password 0 XXXXXXXXXX no cdp enable ! ip forward-protocol nd ip http server ip http access-class 23 no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip http path flash: ! no ip ftp passive ip dns server ip nat translation max-entries all-host 400 ip nat inside source static tcp 192.168.0.12 3389 interface Dialer0 3389 ip nat inside source list 101 interface Dialer0 overload ip route 0.0.0.0 0.0.0.0 Dialer0 3 ip route 10.0.0.1 255.255.255.255 10.0.47.1 ip route 10.10.11.0 255.255.255.0 wlan-ap0 ! dialer-list 1 protocol ip permit ! snmp-server community k259 RO access-list 1 remark internet access-list 1 remark CCP_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 23 remark CCP_ACL Category=17 access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.15 access-list 101 remark internet2 access-list 101 remark CCP_ACL Category=2 access-list 101 remark test 2 access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 150 remark WAN rule access-list 150 remark CCP_ACL Category=1 access-list 150 remark WAN rule entry access-list 150 permit ip any any ! vstack banner exec ^C % Password expiration warning. ----------------------------------------------------------------------- ^C banner login ^C ----------------------------------------------------------------------- Cisco Configuration Professional (Cisco CP) is installed on this device. ^C ! line con 0 login local no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all line vty 0 4 access-class 23 in privilege level 15 password xxxxxxxx login local transport input telnet ssh ! ntp master ntp update-calendar ntp server ntp2.stratum2.ru ! end
|
11 мар 2019, 20:45 |
|
|
aleks2
Зарегистрирован: 03 мар 2019, 11:25 Сообщения: 33
|
Рing на 1436-byte успешно проходит через туннель. Код: cisco.k259#ping noc.cxni.net df-bit size 1500 Translating "noc.cxni.net"...domain server (192.168.0.12) [OK] Type escape sequence to abort. Sending 5, 1500-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds: Packet sent with the DF bit set ..... Success rate is 0 percent (0/5)
cisco.k259#ping noc.cxni.net df-bit size 1450 Translating "noc.cxni.net"...domain server (192.168.0.12) [OK] Type escape sequence to abort. Sending 5, 1450-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds: Packet sent with the DF bit set ..... Success rate is 0 percent (0/5)
cisco.k259#ping noc.cxni.net df-bit size 1436 Translating "noc.cxni.net"...domain server (192.168.0.12) [OK] Type escape sequence to abort. Sending 5, 1436-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds: Packet sent with the DF bit set !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
|
11 мар 2019, 20:57 |
|
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 54 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|