[TiRider]

Собственно всех с наступающими!

 

Демагогию разводить не буду, по существу.

 

Есть сеть IPoE, NAT на ASR. Никаких проблем не наблюдается, вроде :)

Второй сегмент это старые IP DSLAM и у абонентов авторизация через PPPoE на 7204 NPE-G2. Тоже все работает, но за видным исключением. Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила.

 

Если кто сталкивался подскажите, либо куда копнуть, чтобы победить сие.

 

Заранее спасибо.

[sol]

MTU?

[orlik]

Начните с дампов трафтка.

[TiRider]

MTU?

 

Спасибо. Идея была о MTU, тоже.

 

Начните с дампов трафтка.

 

Тоже спасибо. Шарком половлю чего-нибудь :)

[Andrei]

Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций:

ip nat translation max-entries 40000
ip nat translation max-entries all-host 250

[TiRider]

Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций:

ip nat translation max-entries 40000
ip nat translation max-entries all-host 250

Спасибо, но я снял все ограничения, для проверки. IPoE вообще не жалуются, натятся и нормально работают. Дело именно в связке PPPoE + NAT.

[zhenya`]

конфиг покажите virtual-template пппоешного.

[TiRider]

конфиг покажите virtual-template пппоешного.

bba-group pppoe utm5_3
virtual-template 1
sessions per-mac limit 1
sessions per-vlan limit 1500
sessions auto cleanup

interface Virtual-Template1
description PPPoE only
ip unnumbered Loopback0
ip verify unicast reverse-path
ip mtu 1492
ip flow ingress
ip tcp adjust-mss 1452
autodetect encapsulation ppp
snmp trap ip verify drop-rate
peer default ip address pool PPPoE_gray
ppp authentication ms-chap-v2 ms-chap chap UTM5_3
ppp authorization UTM5_3
ppp accounting UTM5_3
ppp ipcp dns 192.168.1.1

 

На интерфейсе

interface GigabitEthernet0/3.62
description --Test PPPoE_Gray--
encapsulation dot1Q 62
ip flow ingress
pppoe enable group utm5_3
no cdp enable

[Andrei]

А НАТ-то где получается?

[TiRider]

НАТ на аср. Юзверь с пппое на 7204 терминируется и маршрутизируется на аср, аср натит.

Изменено 8 мая, 2015 пользователем TiRider

[Andrei]

Так может в ASR и проблема?

[TiRider]

Так может в ASR и проблема?

 

Только в чем, вопрос :)

[Andrei]

Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила.

Смотреть настройки НАТа, размер таблицы трансляций и т.п.

[zhenya`]

Мсс поменьше сделайте

[TiRider]

Мсс поменьше сделайте

Можно поконкретнее?

[zhenya`]

С днс точно проблем нет? Например забыли рекурсия открыть с сети серой.. Если конечно днс до ната.

 

Можно попробовать adjust mss понизить..

[orlik]

Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться

[furai]

И еще настройки ната увидеть бы, а то так можно долго гадать.

[TiRider]

Настройки ната на ASR.

Интерфейс ASR с которым взаимодействует 7204 на которой терминируются юзвери. Между 7204 и ASR, iBGP + OSPF.

interface GigabitEthernet0/0/0
ip address 91.xx.xx.8 255.255.255.240
no ip redirects
no ip unreachables
ip nat inside
ip flow monitor ASR1002 sampler ASR1002 input
ip flow monitor NFDUMP sampler NFDUMP input
ip flow monitor ASR1002 sampler ASR1002 output
ip flow monitor NFDUMP sampler NFDUMP output
no negotiation auto
ntp disable
snmp ifindex persist

 

Исходящий интерфейс в интернет

interface GigabitEthernet0/0/2.1024
description INTERNET
encapsulation dot1Q 1024
ip address xx.xx.xx.201 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow monitor ASR1002 sampler ASR1002 input
ip flow monitor NFDUMP sampler NFDUMP input
ip flow monitor ASR1002 sampler ASR1002 output
ip flow monitor NFDUMP sampler NFDUMP output
ntp disable
ip virtual-reassembly

 

Сами настройки ната.

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat pool pool1 91.хх.хх.13 91.хх.хх.13 netmask 255.255.255.252
ip nat inside source list pool1 pool pool1 overload

ip access-list standard pool1
permit 172.19.96.0 0.0.0.255

 

Больше ничего нет, что касаемо ната. Причем жалуются юзвери, у которых стоят роутеры (не открывается не одна страница). Они подключены к DSLAM D-Link через pppoe. На тестовом стенде, на компе повторить не удается, увы, иначе бы не просил помощи.

 

Что касается 7204. Вот настройки.

 

bba-group pppoe utm5_3
virtual-template 1
sessions per-mac limit 1
sessions per-vlan limit 1500
sessions auto cleanup
!
!
interface Loopback0
ip address 172.19.96.254 255.255.255.0
!
interface GigabitEthernet0/3.62
description --Test PPPoE_Gray--
encapsulation dot1Q 62
ip flow ingress
pppoe enable group utm5_3
no cdp enable
!
interface Virtual-Template1
description PPPoE only
ip unnumbered Loopback0
ip verify unicast reverse-path
ip mtu 1492
ip flow ingress
ip tcp adjust-mss 1452
autodetect encapsulation ppp
snmp trap ip verify drop-rate
peer default ip address pool PPPoE_gray
ppp authentication ms-chap-v2 ms-chap chap UTM5_3
ppp authorization UTM5_3
ppp accounting UTM5_3
ppp ipcp dns 91.xx.xx.1
!
ip local pool PPPoE_gray 172.19.96.1 172.19.96.253
!
ip route 0.0.0.0 0.0.0.0 91.xx.xx.8

[TiRider]

Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться

 

Дамп чего, поконкретнее? На железке или у юзверя при подключении?

[TiRider]

Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться

 

Дамп с юзверя. Без и с использованием роутера (на коленке).

 

https://drive.google.com/file/d/0B3CTmvqzlBMfVjhwWVB6RzRGbG8/view?usp=sharing

https://drive.google.com/file/d/0B3CTmvqzlBMfajVkSldsc29iQUk/view?usp=sharing

[Andrei]

Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются?

 

С MTU:

 

"upload": false,
"status":20,
"config_id": 104,
"resident": {
"wifi": {
 "state": "up",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "10490192",
 "mtu": 1500,
 "rx": "348114867",
 "metric": 0,
 "name": "WIFI",
 "rx_pkt": "1405846",
 "tx_pkt": "37430"
},
"eth1_2": {
 "port": "Internet",
 "ip": "172.19.96.232",
 "metric": 0,
 "mask": "255.255.255.255",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "62355",
 "duration": "0.5",
 "mtu": 1492,
 "rx": "70149",
 "gw": "172.19.96.254",
 "name": "pppoe_Internet_2",
 "rx_pkt": "524",
 "tx_pkt": "494",
 "is_wan": true,
 "state": "up"
},
"br0": {
 "ip": "192.168.0.1",
 "state": "up",
 "mask": "255.255.255.0",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "18155896",
 "mtu": 1500,
 "rx": "16603400",
 "metric": 0,
 "gw": null,
 "name": "LAN",
 "rx_pkt": "263954",
 "tx_pkt": "118588"
}

 

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

[TiRider]

Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются?

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

При установлении сессии, пинги есть.

 

Почему именно в vpdn-group? И какие бы вы значения порекомендовали?

 

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

 

vpdn-group не используется. bba-group pppoe utm5_3

[zhenya`]

УДП порт 53.

[zhenya`]

поставь mtu 1492 именно мту, а не ip mtu.

ну и если не поможет ip tcp adjust-mss 1420

 

но первого должно хватить вполне..

Изменено 13 мая, 2015 пользователем zhenya`