Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 02:23



Ответить на тему  [ Сообщений: 36 ]  На страницу 1, 2  След.
Включение NAT на Cisco 881 через PPTP подключение 
Автор Сообщение

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
PPTP подключается. Интенет на самой циске есть

Код:
isco.k259#traceroute anticisco.ru
Translating "anticisco.ru"...domain server (192.168.0.12) [OK]

Type escape sequence to abort.
Tracing the route to anticisco.ru (213.189.197.94)
VRF info: (vrf in name/id, vrf out name/id)
  1 172.30.0.1 0 msec 0 msec 4 msec
  2 61.128-31-94.telenet.ru (94.31.128.61) 0 msec 4 msec 0 msec
  3 172.16.17.206 0 msec 4 msec 0 msec
  4 172.16.17.241 4 msec 4 msec 0 msec
  5 87.226.229.249 4 msec 4 msec 4 msec
  6 213.59.208.17 0 msec 0 msec 0 msec

cisco.k259#show int dialer0
Dialer0 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Description: Rostelecom ISP
  Internet address is 90.157.26.245/32
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 1w6d
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     728 packets input, 43639 bytes
     971 packets output, 52508 bytes
Bound to:
Virtual-Access2 is up, line protocol is up


Но что-то NAT не работает. Чего ему надо?
Код:
cisco.k259#show run
Building configuration...

Current configuration : 6961 bytes
!
! Last configuration change at 16:07:06 GMT Fri Mar 8 2019
! NVRAM config last updated at 15:56:38 GMT Fri Mar 8 2019 by atest
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname cisco.k259
!
boot-start-marker
boot-end-marker
!
!
logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED
logging buffered discriminator FAN-FAIL
no logging console
logging monitor discriminator FAN-FAIL
enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1
enable password xxxxxxxx_
!
no aaa new-model
memory-size iomem 10
clock timezone GMT 5 0
!
crypto pki trustpoint TP-self-signed-3690135629
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3690135629
 revocation-check none
 rsakeypair TP-self-signed-3690135629
!
!
crypto pki certificate chain TP-self-signed-3690135629
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33363930 31333536 3239301E 170D3139 30323133 30333135
  34395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36393031
  33353632 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B94F 2E9D45ED BDD6ADA6 715ACF2E ADC0E168 31166C57 15631125 0B66B1A5
  752DDDA5 14704956 1B39880D A34FD2B0 C4DA4EB2 439F71D1 F53878ED 1A77BC31
  C61CBAF7 A381DC9C D0BC9242 A48C41F0 1BC18635 036FCEDA 8A31FD58 765D9410
  305F5468 68960B0B 4963DF0B 35CADA5D 86F220CE F4974A3A FB9A6759 0B3E9E6E
  37FB0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 141619A0 9ED55215 E39DB668 8F348DCA C104A706 99301D06
  03551D0E 04160414 1619A09E D55215E3 9DB6688F 348DCAC1 04A70699 300D0609
  2A864886 F70D0101 05050003 81810058 04F60F24 86EE15BC FBFAB463 5430CB2E
  9B150A52 879E1508 3E023C49 47FF16B9 8ABAC325 6DCCC760 AEE95943 3F72CCD8
  A1D135B2 923A3813 E75154B7 C13A3AAC 4260A0CA FFAF64FC 37F556E2 AC7658A3
  65F80B41 BC6AFDC6 9BB98F72 DB818294 3BA601D5 496050E4 C9425AD9 3757208A
  668A5BB2 4FEE45AC 3AE58B3C 4A4F5B
        quit
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.0.1 192.168.0.7
!
ip dhcp pool k259
 import all
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 domain-name k259
 dns-server 192.168.0.12 8.8.8.8
 lease 0 2
!
!
!
ip domain name k259
ip name-server 192.168.0.12
ip inspect WAAS flush-timeout 10
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group PPTP_CLIENT
 description Rostelecom ISP
 request-dialin
  protocol pptp
  pool-member 1
 initiate-to ip 10.0.0.1
!
cts logging verbose
license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ
!
!
username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2
!
!
!
!
no cdp run
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 ip address 10.0.47.132 255.255.255.0
 duplex auto
 speed auto
!
interface wlan-ap0
 description Service module interface to manage the embedded AP
 ip address 10.10.11.1 255.255.255.0
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description Rostelecom ISP
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer persistent
 dialer vpdn
 ppp chap hostname 90.157.26.245
 ppp chap password 0 XXXXXXXXXXX
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:
!
no ip ftp passive
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.0.1 255.255.255.255 10.0.47.1
ip route 10.10.11.0 255.255.255.0 wlan-ap0
!
dialer-list 1 protocol ip permit
!
snmp-server community k259 RO
access-list 1 remark internet
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 23 remark CCP_ACL Category=17
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.15
!
 vstack
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
-----------------------------------------------------------------------
^C
!
line con 0
 login local
 no modem enable
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 access-class 23 in
 privilege level 15
 password xxxxxxxx
 login local
 transport input telnet ssh
!
ntp master
ntp update-calendar
ntp server ntp2.stratum2.ru
!
end


08 мар 2019, 14:36
Профиль

Зарегистрирован: 21 май 2017, 20:13
Сообщения: 26
С какого айпи пытаетесь выйти в интернет?


09 мар 2019, 02:26
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
С 192.168.0.12.

Браузер говорит: не могу отобразить страницу.
Tracetr тоже глохнет на самой циске.


09 мар 2019, 05:13
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
а сама cisco имеет выход инет?


09 мар 2019, 06:51
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
PPTP подключается. Интенет на самой циске есть

Код:
cisco.k259#traceroute anticisco.ru
Translating "anticisco.ru"...domain server (192.168.0.12) [OK]

Type escape sequence to abort.
Tracing the route to anticisco.ru (213.189.197.94)
VRF info: (vrf in name/id, vrf out name/id)
  1 172.30.0.1 0 msec 0 msec 4 msec
  2 61.128-31-94.telenet.ru (94.31.128.61) 0 msec 4 msec 0 msec
  3 172.16.17.206 0 msec 4 msec 0 msec
  4 172.16.17.241 4 msec 4 msec 0 msec
  5 87.226.229.249 4 msec 4 msec 4 msec
  6 213.59.208.17 0 msec 0 msec 0 msec

cisco.k259#show int dialer0
Dialer0 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Description: Rostelecom ISP
  Internet address is 90.157.26.245/32
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 1w6d
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     728 packets input, 43639 bytes
     971 packets output, 52508 bytes
Bound to:
Virtual-Access2 is up, line protocol is up


09 мар 2019, 08:45
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Что-то настоящих буйных мало.

1. Я не могу поймать ни одного события debug nat
Код:
cisco.k259#show debug
NAT64:
  NAT64 packet detail debugging is on
  NAT64 translation detail debugging is on
  NAT64 translation error debugging is on
  NAT64 database detail debugging is on
  NAT64 database error debugging is on
cisco.k259#

т.е. ваще никаих следов. При этом меня еще смущает надпись NAT64:.

2. Никаких следов
Код:
cisco.k259#show nat tra
Proto   Original IPv4           Translated IPv4
        Translated IPv6         Original IPv6
--------------------------------------------------------


3. Но при этом загадочно работает на клиенте

nslookup

с любым внешним сервером DNS.
Других подключений к интернету на клиенте нету.


09 мар 2019, 13:43
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Вообще-то

для просмотра НАТ трансляций вводится команда - sh ip nat tra

дебаг соот. также - debug ip nat


09 мар 2019, 13:58
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
del


09 мар 2019, 19:50
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Исправился. Осознал, что ip nat.
Легше не стало, т.е. NAT, как бы, работает.
Код:
cisco.k259#show ip nat tra
Pro Inside global         Inside local          Outside local         Outside global
udp 90.157.26.245:52753   192.168.0.12:52753    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:52870   192.168.0.12:52870    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:53091   192.168.0.12:53091    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:53294   192.168.0.12:53294    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:53635   192.168.0.12:53635    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:54082   192.168.0.12:54082    87.224.213.1:53       87.224.213.1:53
tcp 90.157.26.245:2157    192.168.0.102:2157    74.125.232.176:443    74.125.232.176:443
tcp 90.157.26.245:2158    192.168.0.102:2158    64.233.162.94:443     64.233.162.94:443
tcp 90.157.26.245:2159    192.168.0.102:2159    64.233.162.94:443     64.233.162.94:443
tcp 90.157.26.245:2160    192.168.0.102:2160    64.233.162.94:443     64.233.162.94:443
tcp 90.157.26.245:2161    192.168.0.102:2161    95.101.72.202:80      95.101.72.202:80
tcp 90.157.26.245:2162    192.168.0.102:2162    104.16.60.37:443      104.16.60.37:443
tcp 90.157.26.245:2163    192.168.0.102:2163    104.16.59.37:443      104.16.59.37:443
tcp 90.157.26.245:2164    192.168.0.102:2164    74.125.232.179:443    74.125.232.179:443
tcp 90.157.26.245:2165    192.168.0.102:2165    74.125.232.179:443    74.125.232.179:443
tcp 90.157.26.245:2166    192.168.0.102:2166    74.125.232.179:443    74.125.232.179:443
tcp 90.157.26.245:2167    192.168.0.102:2167    74.125.232.179:443    74.125.232.179:443
tcp 90.157.26.245:2168    192.168.0.102:2168    74.125.232.179:443    74.125.232.179:443


Но браузер к интернету доступа не имеет и tracetr не проходит.
Проходят только запросы DNS.
Чудесны дела твои, циска!
Код:
Mar  9 17:05:40.358: NAT (UDP-DNS): After Translation
Mar  9 17:05:40.358: NAT: Translation of UDP DNS src 192.168.0.12, dst 87.224.213.1
Mar  9 17:05:40.358: NAT: Dns type of Query
Mar  9 17:05:40.358:    : dns len=32, id=28021, aa=0, tc=0, rd=1, ra=0
Mar  9 17:05:40.358:    : opcode=0, rcode=0, qdcount=1
Mar  9 17:05:40.358:    : ancount=0, nscount=0, arcount=1
Mar  9 17:05:40.358: Answer section:
Mar  9 17:05:40.358: Authority section:
Mar  9 17:05:40.358: Additional record section:
Mar  9 17:05:40.358: NAT: s=192.168.0.12->90.157.26.245, d=87.224.213.1 [28632]
Mar  9 17:05:40.358: NAT: o: udp (87.224.213.1, 53) -> (90.157.26.245, 53254) [41753]
Mar  9 17:05:40.358: NAT (UDP-DNS): Before Translation
Mar  9 17:05:40.358: NAT: Translation of UDP DNS src 87.224.213.1, dst 90.157.26.245
Mar  9 17:05:40.358: NAT: Dns type of Response
Mar  9 17:05:40.358:    : dns len=48, id=28021, aa=0, tc=0, rd=1, ra=1
Mar  9 17:05:40.358:    : opcode=0, rcode=0, qdcount=1
Mar  9 17:05:40.358:    : ancount=1, nscount=0, arcount=1
Mar  9 17:05:40.358: Answer section:
Mar  9 17:05:40.358: Authority section:
Mar  9 17:05:40.358: Additional record section:
Mar  9 17:05:40.358: NAT (UDP-DNS): After Translation
Mar  9 17:05:40.358: NAT: Translation of UDP DNS src 87.224.213.1, dst 90.157.26.245
Mar  9 17:05:40.362: NAT: Dns type of Response
Mar  9 17:05:40.362:    : dns len=48, id=28021, aa=0, tc=0, rd=1, ra=1
Mar  9 17:05:40.362:    : opcode=0, rcode=0, qdcount=1
Mar  9 17:05:40.362:    : ancount=1, nscount=0, arcount=1
Mar  9 17:05:40.362: Answer section:
Mar  9 17:05:40.362: Authority section:
Mar  9 17:05:40.362: Additional record section:
Mar  9 17:05:40.362: NAT: s=87.224.213.1, d=90.157.26.245->192.168.0.12 [41753]
Mar  9 17:05:40.646: NAT: expiring 90.157.26.245 (192.168.0.102) tcp 2206 (2206)
Mar  9 17:05:40.646: NAT-SymDB: DB is either not enabled or not initiated.
Mar  9 17:05:42.790: NAT: API parameters passed: src_addr:94.255.244.136, src_port:0 dest_addr:90.157.26.245, dest_port:0, proto:6 if_input:Dialer0 pak:887019F0
Mar  9 17:05:42.790: ipnat_api_translated_address_and_port_common, out->in want IL,OL
Mar  9 17:05:42.790: NAT: API Failed to get Translated-Info from: (src-addr:94.255.244.136, src-port:0) (dest-addr:90.157.26.245, dest-port:0)
Mar  9 17:05:42.790: NAT - SYSTEM PORT for 90.157.26.245: allocated port 0, refcount 80, localport 4294967295, localaddr 0.0.0.0, flags 1, syscount 80, proto 6


09 мар 2019, 20:19
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
играйтесь на интерфейсе Dialer с ip mtu 1400 и выше + ip tcp adjust-mss 1360 и выше.

цицка тут не причём как настроете так она и полетит....

по умолчанию у вас МТУ 1500 что для дилер интерфейсов не применимо в данном случ....

раз у вас PPTP то максимальный МТУ у вас должен быть не более 1472-1474, tcp adjust-mss на 40 байт соот. меньше значения mtu


09 мар 2019, 20:42
Профиль

Зарегистрирован: 17 окт 2009, 10:27
Сообщения: 33
я бы еще acl 1 заменил с standart на extended путем удаления и создания нового ACL например 100


10 мар 2019, 08:49
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Что-то с MTU у меня не срастается:

Код:
cisco.k259#show run

interface Dialer0
 description $ETH-WAN$
 ip address negotiated
[b][u] ip mtu 1440
[/u][/b] ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1400
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer persistent
 dialer vpdn
 ppp authentication ms-chap-v2 callin
 ppp chap hostname 90.157.26.245
 ppp chap password 0 XXXXXXXXXX
 no cdp enable


А на деле (подключение переподключено после изменения конфига):
Код:
cisco.k259#show int dialer0
Dialer0 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Description: $ETH-WAN$
  Internet address is 90.157.26.245/32
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 18:09:59
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     2389 packets input, 82240 bytes
     2669 packets output, 431568 bytes
Bound to:
Virtual-Access2 is up, line protocol is up
  Hardware is Virtual Access interface
  Description: $ETH-WAN$
  [b][u]MTU 1500 [/u][/b]bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoVPDN vaccess, cloned from Dialer0
  Vaccess status 0x44
  Protocol pptp, tunnel id 42916, session id 39225, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 5 seconds on reset
  Interface is bound to Di0 (Encapsulation PPP)
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters 00:05:57
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     150 packets input, 5821 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     97 packets output, 3931 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions


Я куда-то не туда пишу
ip mtu 1440
?


10 мар 2019, 11:22
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
пробуйте

conf t
inter Di0
shut
ip mtu 1472
ip tcp adjust-mss 1432
no shut
^Z

также есть и обычная команда на этом интерфейсе

conf t
inter Di0
mtu 1472
^Z


10 мар 2019, 13:05
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Что-то не выходит каменный цветок.

По прежнему успешно работает разрешение имен.
Но нифига не работает браузер и RDP.

Поставил MTU 1450 bytes.

Не помогло.
В тему призываются гуру.

Текущий конфиг
Код:
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.0.3 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description $ETH-WAN$
 mtu 1450
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1410
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer persistent
 dialer vpdn
 ppp authentication ms-chap-v2 callin
 ppp chap hostname 90.157.26.245
 ppp chap password 0 XXXXXXXXX
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:
!
no ip ftp passive
ip dns server
ip nat translation max-entries all-host 400
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 3
ip route 10.0.0.1 255.255.255.255 10.0.47.1
ip route 10.10.11.0 255.255.255.0 wlan-ap0
!
dialer-list 1 protocol ip permit
!
snmp-server community k259 RO
access-list 1 remark internet
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 23 remark CCP_ACL Category=17
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.15
access-list 101 remark internet2
access-list 101 remark CCP_ACL Category=2
access-list 101 remark test 2
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 remark WAN rule
access-list 150 remark CCP_ACL Category=1
access-list 150 remark WAN rule entry
access-list 150 permit ip any any
!




Код:
cisco.k259#show ip nat tra
Pro Inside global         Inside local          Outside local         Outside global
udp 90.157.26.245:56614   192.168.0.12:56614    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:56862   192.168.0.12:56862    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:57632   192.168.0.12:57632    87.224.213.1:53       87.224.213.1:53
udp 90.157.26.245:57883   192.168.0.12:57883    87.224.213.1:53       87.224.213.1:53

cisco.k259#show ip nat stat
Total active translations: 5 (0 static, 5 dynamic; 5 extended)
Peak translations: 168, occurred 23:52:30 ago
Outside interfaces:
  Dialer0, Virtual-Access1
Inside interfaces:
  Vlan1
Hits: 2814  Misses: 0
CEF Translated packets: 2090, CEF Punted packets: 724
Expired translations: 814
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 101 interface Dialer0 refcount 4

Total doors: 0
Appl doors: 0
Normal doors: 0
nat-limit statistics:
 All Host Max allowed: 400
 host 192.168.0.102: max allowed 400, used 0, missed 0
 host 192.168.0.103: max allowed 400, used 0, missed 0
 host 192.168.0.12: max allowed 400, used 5, missed 0
Queued Packets: 0

cisco.k259#show int dialer0
Dialer0 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Description: $ETH-WAN$
  Internet address is 90.157.26.245/32
  MTU 1450 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi1
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 1d02h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     2914 packets input, 113775 bytes
     3319 packets output, 472690 bytes
Bound to:
Virtual-Access1 is up, line protocol is up
  Hardware is Virtual Access interface
  Description: $ETH-WAN$
  MTU 1450 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoVPDN vaccess, cloned from Dialer0
  Vaccess status 0x44
  Protocol pptp, tunnel id 29475, session id 8324, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 5 seconds on reset
  Interface is bound to Di0 (Encapsulation PPP)
  Last input 00:00:49, output never, output hang never
  Last clearing of "show interface" counters 08:51:31
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     845 packets input, 34701 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     636 packets output, 39889 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions


10 мар 2019, 19:53
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Смотрите другие значения мту 1392, 1400 и т.д. в конце концов свяжитесь с тех. поддержкой может они вам подскажут точные данные по включению ...


10 мар 2019, 20:00
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Смешно же.
Windows 2012 R2 работает без всяких MTU и плясок с бубном. Бытовой роутер - тоже.

И только великая циска требует неизвестно чего.

Может, все таки, можно выяснит чего ей не хватает не методом битья в бубен, а как-то через debug?


11 мар 2019, 06:02
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
aleks2 писал(а):
Смешно же.
Windows 2012 R2 работает без всяких MTU и плясок с бубном. Бытовой роутер - тоже.

И только великая циска требует неизвестно чего.

Может, все таки, можно выяснит чего ей не хватает не методом битья в бубен, а как-то через debug?


В бытовых роутерах зюхах было по умолчанию adjust mss 512.
Пользуйтесь зюхами, если лень на _внутреннем_ интерфейсе написать ip tcp adj 1360 и проверить работоспособность.
PS и да, только великие недоговнопровайдеры сейчас пользуют pptp.


11 мар 2019, 10:21
Профиль ICQ

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
1. Провайдеров не выбирают.

2. Кроме "зюх" работает NAT Windows Server. У него тоже?

3. "на _внутреннем_ интерфейсе" - который из них ВНУТРЕННИЙ?
Vlan1 - сойдет за внутренний?


4. Неужели нет более простого и очевидного способа убедиться, что MTU виноватое?
Debug у цисок нафига?


11 мар 2019, 10:32
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Цыцка в отличии от домашних маршрутизаторов позволяет сделать практически что угодно, в том числе и выстрелить себе в ногу, но нужно понимать что делаешь.
Провайдеров еще как выбирают.
MTU проверяется как-то так
Код:
starinov:~ mdenisov$ ping -D -s 1400 noc.cxni.net
PING cxni.net (31.192.104.228): 1400 data bytes
1408 bytes from 31.192.104.228: icmp_seq=0 ttl=53 time=4.442 ms
1408 bytes from 31.192.104.228: icmp_seq=1 ttl=53 time=4.223 ms
^C
--- cxni.net ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 4.223/4.332/4.442/0.110 ms
starinov:~ mdenisov$ ping -D -s 1500 noc.cxni.net
PING cxni.net (31.192.104.228): 1500 data bytes
ping: sendto: Message too long
ping: sendto: Message too long
Request timeout for icmp_seq 0
^C
--- cxni.net ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

И почитайте про PMTU discovery.


11 мар 2019, 11:36
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Я знаю про PMTU discovery.

Но проблемы две:
1. Надо чтобы заработало. Поэтому использовать доп. хрени пока нежелательно.
2. Я не знаю куда и как циске вколбасить PMTU. Потом, может быть, разберусь.

За пример проверки MTU - спасибо.


11 мар 2019, 12:01
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
aleks2 писал(а):
3. "на _внутреннем_ интерфейсе" - который из них ВНУТРЕННИЙ?
внутренний это, тот который смотрит в вашу локальную сеть. Ведь логично что для вас порт в сторону провайдера внешний, у вас там даже написано nat outside.
aleks2 писал(а):
Vlan1 - сойдет за внутренний?
конечно сойдет, если на этом vlan сидит ваша локальная сеть.


11 мар 2019, 19:17
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Что-то рано я спасибо сказал

ping -D -s 1400 noc.cxni.net

это на каком диалекте?
Циска такого не понимает

cisco.k259>ping -D -s 1400 noc.cxni.net
Translating "-D"...domain server (192.168.0.12)
^
% Invalid input detected at '^' marker.

Windows тоже.


11 мар 2019, 19:26
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Это на юниксах с клиентской машины. На цыцке как-то так
Код:
COBALT-RTR#ping noc.cxni.net df-bit size 1500
Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms
COBALT-RTR#ping noc.cxni.net df-bit size 1600
Type escape sequence to abort.
Sending 5, 1600-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds:
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)


11 мар 2019, 20:40
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Не, что-то с MTU ничего дельного не выходит.

1. Я откопал настройку MTU бытового роутера = 1436.

2. Я поставил это значение на интерфейс Dialer0 циски
interface Dialer0
mtu 1436
- ничего не изменилось

3. Я поставил на Vlan1 tcp adjust-mss 1360
interface Vlan1
ip tcp adjust-mss 1360
- ничего не изменилось

Кто-нибудь способен еще что-то предложить?
Или хотя бы объяснить: почему запросы DNS успешно проходят NAT

Код:
Mar 11 17:26:05.767: NAT: s=192.168.0.12->90.157.26.245, d=8.8.8.8 [1331] ! туда
Mar 11 17:26:05.811: NAT: s=8.8.8.8, d=90.157.26.245->192.168.0.12 [2313] ! обратно


А все остальные запросы (http, rdp, ping пакетом в 64 байта ) - НЕ проходят

Код:
Mar 11 17:26:06.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29678] ! туда есть - обратно нету.
Mar 11 17:26:07.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29679]
Mar 11 17:26:09.527: NAT*: s=192.168.0.12->90.157.26.245, d=213.189.197.94 [29680]


Текущий конфиг
Код:
cisco.k259#show run
Building configuration...

Current configuration : 7255 bytes
!
! Last configuration change at 22:08:00 GMT Mon Mar 11 2019 by atest
! NVRAM config last updated at 14:43:41 GMT Sun Mar 10 2019 by atest
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname cisco.k259
!
boot-start-marker
boot-end-marker
!
!
logging discriminator FAN-FAIL severity drops 3 facility drops FAN mnemonics drops FAN_FAILED
logging buffered discriminator FAN-FAIL
no logging console
logging monitor discriminator FAN-FAIL
enable secret 5 $1$WSti$mDMsh6sXY2iguEI/Mchiy1
enable password xxxxxxxx_
!
no aaa new-model
memory-size iomem 10
clock timezone GMT 5 0
!
crypto pki trustpoint TP-self-signed-3690135629
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3690135629
 revocation-check none
 rsakeypair TP-self-signed-3690135629
!
!
crypto pki certificate chain TP-self-signed-3690135629
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
        quit
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.0.1 192.168.0.7
!
ip dhcp pool k259
 import all
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 domain-name k259
 dns-server 192.168.0.12 8.8.8.8
 lease 0 2
!
!
!
ip domain name k259
ip name-server 192.168.0.12
ip inspect WAAS flush-timeout 10
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group PPTP_CLIENT
 description Rostelecom ISP
 request-dialin
  protocol pptp
  pool-member 1
 initiate-to ip 10.0.0.1
!
cts logging verbose
license udi pid CISCO881W-GN-E-K9 sn FCZ164190LZ
!
!
username atest privilege 15 secret 4 6in4Lru2ZZ8N8cUij4q7JvPlkL..hsURCkjm.d4NOR2
!
!
!
!
no cdp run
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 ip address 10.0.47.132 255.255.255.0
 duplex auto
 speed auto
!
interface wlan-ap0
 description Service module interface to manage the embedded AP
 ip address 10.10.11.1 255.255.255.0
 arp timeout 0
!
interface Wlan-GigabitEthernet0
 description Internal switch interface connecting to the embedded AP
 no ip address
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.0.3 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1360
!
interface Dialer0
 description $ETH-WAN$
 mtu 1436
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1410
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer persistent
 dialer vpdn
 ppp authentication ms-chap-v2 callin
 ppp chap hostname 90.157.26.245
 ppp chap password 0 XXXXXXXXXX
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:
!
no ip ftp passive
ip dns server
ip nat translation max-entries all-host 400
ip nat inside source static tcp 192.168.0.12 3389 interface Dialer0 3389
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 3
ip route 10.0.0.1 255.255.255.255 10.0.47.1
ip route 10.10.11.0 255.255.255.0 wlan-ap0
!
dialer-list 1 protocol ip permit
!
snmp-server community k259 RO
access-list 1 remark internet
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 23 remark CCP_ACL Category=17
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.15
access-list 101 remark internet2
access-list 101 remark CCP_ACL Category=2
access-list 101 remark test 2
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 remark WAN rule
access-list 150 remark CCP_ACL Category=1
access-list 150 remark WAN rule entry
access-list 150 permit ip any any
!
 vstack
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
^C
!
line con 0
 login local
 no modem enable
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 access-class 23 in
 privilege level 15
 password xxxxxxxx
 login local
 transport input telnet ssh
!
ntp master
ntp update-calendar
ntp server ntp2.stratum2.ru
!
end


11 мар 2019, 20:45
Профиль

Зарегистрирован: 03 мар 2019, 11:25
Сообщения: 33
Рing на 1436-byte успешно проходит через туннель.

Код:
cisco.k259#ping noc.cxni.net df-bit size 1500
Translating "noc.cxni.net"...domain server (192.168.0.12) [OK]
Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds:
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)

cisco.k259#ping noc.cxni.net df-bit size 1450
Translating "noc.cxni.net"...domain server (192.168.0.12) [OK]
Type escape sequence to abort.
Sending 5, 1450-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds:
Packet sent with the DF bit set
.....
Success rate is 0 percent (0/5)

cisco.k259#ping noc.cxni.net df-bit size 1436
Translating "noc.cxni.net"...domain server (192.168.0.12) [OK]
Type escape sequence to abort.
Sending 5, 1436-byte ICMP Echos to 31.192.104.228, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms


11 мар 2019, 20:57
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 36 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 61


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB