Jump to content
Калькуляторы

ASR-1002 PPPoE не пускает в интернет

Прикупили железку ASR 1002, возникла проблема, сессии поднимает на ура, в Интернет доступа нет, хоть интерфейс внешний для pppoe-сессии виден. Настраивал по разным манам результата нет. С цисками раньше дел не имел, прошу помочь 

aaa new-model
aaa session-mib disconnect
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
aaa session-id common

bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 ac name ASR
 sessions per-mac limit 1
 sessions per-vlan limit 500
 sessions auto cleanup

interface GigabitEthernet0/0/1 #внешний интерфейс
 ip address 192.168.0.1 255.255.255.0
 ip nat outside
 ip route-cache flow
 negotiation auto

interface GigabitEthernet0/0/2 #внутренний интерфейс
 ip address 10.222.0.2 255.255.224.0
 pppoe enable group global

interface Virtual-Template1
 mtu 1492
 ip nat inside
 ip unnumbered GigabitEthernet0/0/2
 ip route-cache flow
 autodetect encapsulation ppp
 peer default ip address pool PPPoE
 ppp max-bad-auth 3
 ppp authentication chap radius
 ppp authorization radius
 ppp accounting radius
 ppp timeout retry 3
 ppp timeout authentication 45
 ppp timeout idle 3600

ip nat inside source list 1 interface GigabitEthernet0/0/1 overload
ip classless

access-list 1 permit 10.222.2.1 10.222.9.254
ip local pool PPPoE 10.222.2.1 10.222.9.254
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
ip flow-export source GigabitEthernet0/0/1
ip flow-export version 5
ip flow-export destination 10.222.18.161 9996
access-list 3 permit 10.222.18.161
access-list 3 deny   any log
snmp-server community qbiqing RW 3
snmp-server ifindex persist
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 10.222.18.161 161
snmp-server host 10.222.18.161 2c
snmp-server host 10.222.18.161 aaa
snmp-server host 10.222.18.161 qqq11  snmp
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key 0 gbilloy
radius-server vsa send accounting
radius-server vsa send authentication 

Циска шлюз свой видит. из pppoe сессии виден внутренний и внешний интерфейс, дальше ни-ни 

Share this post


Link to post
Share on other sites

а куда она будет слать трафик, если нету маршрута? добавьте

ip route 0.0.0.0 0.0.0.0 <ip шлюза>

Share this post


Link to post
Share on other sites
access-list 1 permit 10.222.2.1 10.222.9.254

что это за херня ? ) 

Должно быть 

access-list 1 permit 10.222.2.0 0.0.0.255

Share this post


Link to post
Share on other sites

там масочка шире, должно быть 

permit 10.222.2.0 0.0.7.255 или permit 10.222.2.0 0.0.15.255

ну и да, нужно бы ТСу освоить wildcard

Share this post


Link to post
Share on other sites

Всем спасибо за помощь! возникла еще одна проблема. Сессии поднимаются, доступ в интернет есть, но не работают днс, при этом сессия днс получает. Т.е. на стороне клиента по IP в интернет доступ есть а по доменному имени нет. Буду рад любому совету.

Share this post


Link to post
Share on other sites
54 минуты назад, mr6in сказал:

Всем спасибо за помощь! возникла еще одна проблема. Сессии поднимаются, доступ в интернет есть, но не работают днс, при этом сессия днс получает. Т.е. на стороне клиента по IP в интернет доступ есть а по доменному имени нет. Буду рад любому совету.

дальнейшие копания выявили следующее. После перезагрузки циски какое то время все работает нормально. Через 5-7 минут перестают работать dns еще через пять остается виден лишь IP внешнего интерфейса (это из под сессии). Сама циска при этом пингует шлюз и днс.

И еще. Заметил что некоторые сайты грузятся дольше остальных, и похоже дело отличие в http/https

Edited by mr6in

Share this post


Link to post
Share on other sites

Всем огромное человеческое спасибо! Заработало

Share this post


Link to post
Share on other sites

Рано радовался((( Интернет стабильно работает несколько часов, потом сайты перестают открываться, хотя 8ки пингуются, mtu 1492 mss 1452, такое ощущение что эти значения слетают, хотя такое невозможно

Share this post


Link to post
Share on other sites

А у вас банально трансляции не кончаются? А то вы как-то всех абонентов в один IP адрес натите...

покажите sh ip nat statistics в момент когда "кончается" интернет.

 

 

а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо....

Share this post


Link to post
Share on other sites
40 минут назад, Archville сказал:

А у вас банально трансляции не кончаются? А то вы как-то всех абонентов в один IP адрес натите...

покажите sh ip nat statistics в момент когда "кончается" интернет.

 

 

а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо....

до этого работало на Debian+PPPoE таких проблем не было

Share this post


Link to post
Share on other sites

это ни о чем не говорит. В линуксячем ядре все немного по другому. И таймауты другие и алгоритм обработки всяких ошибок/переполнений/коллизий скорее всего отличается.

Share this post


Link to post
Share on other sites
21 час назад, Archville сказал:

а еще, судя по ip адресу вашего внешнего интерфейса, вы еще где-то натите ваш трафик - это не очень хорошо....

Это временный IP, вообще там "белый" ip

Share this post


Link to post
Share on other sites
11 минут назад, zhenya` сказал:

В логе ошибок нет?

как я уже говорил, с циской дел не имел, но просто sh log ничего странного не показывает

Share this post


Link to post
Share on other sites

 

Таймеры попробуйте задать поменьше (значения можно подкорректировать):

ip nat settings pap 
ip nat translation timeout 60
ip nat translation tcp-timeout 60
ip nat translation pptp-timeout 600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 60
ip nat translation max-entries all-host 600

 

Внутри шаблона у меня еще такая строка:

ip mtu 1492

 

P.S. Ну и, имхо, правильнее вешать шаблон на лупбек, а не на физический интерфейс.

Share this post


Link to post
Share on other sites
В 24.11.2017 в 15:40, mr6in сказал:

Рано радовался((( Интернет стабильно работает несколько часов, потом сайты перестают открываться, хотя 8ки пингуются, mtu 1492 mss 1452, такое ощущение что эти значения слетают, хотя такое невозможно

 Похоже на протухание кэша DNS. Посмотрите - что вы отдаете клиентам в части  днс, не зафильтровано ли ? Ну и шаблоны я нарисовываю на виртуальные интерфейсы, через темплейт.

Share this post


Link to post
Share on other sites
В 26.11.2017 в 11:53, YuryD сказал:

 Похоже на протухание кэша DNS. Посмотрите - что вы отдаете клиентам в части  днс, не зафильтровано ли ? Ну и шаблоны я нарисовываю на виртуальные интерфейсы, через темплейт.

Временно отложили циску, теперь взялсь вновь, можно поподробнее про протухание кэша, и фильтров? Самостоятельный поиск ни к чему не привел. Вот финальный конфиг:

version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
!
hostname ASR
!
boot-start-marker
boot-end-marker
!
!
vrf definition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!
enable password xxxxx
!
aaa new-model
aaa session-mib disconnect
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 5
aaa accounting network default start-stop group radius
!
!
!
!
!
aaa session-id common
!
!
!
ip flow-cache timeout inactive 10
ip flow-cache timeout active 1
!
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username xxxx privilege 15 password 0 xxxxxx
!
redundancy
 mode none
!
!
!
ip tftp source-interface GigabitEthernet0
!
policy-map pppoe_5000_in
 class class-default
  police 5000000 937500 1875000 conform-action transmit  exceed-action drop  violate-action drop
policy-map pppoe_5000_out
 class class-default
  shape average 5280000 5000 5000
policy-map pppoe_10000_in
 class class-default
  police 10240000 1024000 1280000 conform-action transmit  exceed-action drop  violate-action drop
policy-map pppoe_30000_in
 class class-default
  police 30000000 937500 1875000 conform-action transmit  exceed-action drop  violate-action drop
policy-map pppoe_15000_in
 class class-default
  police 15000000 937500 1875000 conform-action transmit  exceed-action drop  violate-action drop
!
!
!
!
!
!
!
!
!
!
!
!
!
bba-group pppoe global
 virtual-template 1
 sessions max limit 8000
 ac name ASR
 sessions per-mac limit 1
 sessions per-vlan limit 500
 sessions auto cleanup
!
!
interface Loopback0
 no ip address
!
interface GigabitEthernet0/0/0
 no ip address
 shutdown
 negotiation auto
!
interface GigabitEthernet0/0/1
 no ip address
 shutdown
 negotiation auto
!
interface GigabitEthernet0/0/2
 ip address 10.222.0.2 255.255.224.0
 negotiation auto
 pppoe enable group global
!
interface GigabitEthernet0/0/3
 ip address х.х.х.х 255.255.255.252
 ip nat outside
 ip flow ingress
 negotiation auto
!
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 ip address 10.222.0.6 255.255.224.0
 negotiation auto
!
interface Virtual-Template1
 mtu 1492
 ip unnumbered Loopback0
 ip nat inside
 ip flow ingress
 ip flow egress
 ip tcp adjust-mss 1452
 peer default ip address pool PPPoE
 ppp max-bad-auth 3
 ppp authentication chap radius
 ppp authorization radius
 ppp accounting radius
 ppp ipcp dns 194.67.1.154 194.67.1.155
 ppp timeout retry 3
 ppp timeout authentication 45
 ppp timeout idle 3600
!
ip local pool PPPoE 10.222.2.1 10.222.10.254
ip nat translation timeout 60
ip nat translation tcp-timeout 60
ip nat translation pptp-timeout 600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 60
ip nat translation max-entries all-host 600
ip nat inside source list 1 interface GigabitEthernet0/0/3 overload
ip forward-protocol nd
!
ip flow-export source GigabitEthernet0/0/2
ip flow-export destination 10.222.18.161 9996
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 х.х.х.х
!
access-list 1 permit 10.222.0.0 0.0.15.255
access-list 3 permit 10.222.18.161
access-list 3 deny   any log
!
snmp-server community bgbilling RW 3
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server host 10.222.18.161 161
snmp-server host 10.222.18.161 2c
snmp-server host 10.222.18.161 aaa
snmp-server host 10.222.18.161 pass  snmp
snmp ifmib ifindex persist
!
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted lower-case
radius-server host 10.222.18.161 auth-port 1812 acct-port 1813 non-standard
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key bgbilling
radius-server vsa send accounting
radius-server vsa send authentication
!
!
control-plane
!
!
!
!
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 password xxxxxx
!
!
end

 

Edited by mr6in

Share this post


Link to post
Share on other sites

conf t

int lo0

ip addr <любой адрес> 255.255.255.255

 

как выше сказали показывайте 

show ip nat stat в момент проблем.

 

+ на интерфейсах с айпи адресами 

no ip proxy-arp

no ip unreach

no ip redirect

Share this post


Link to post
Share on other sites
5 часов назад, zhenya` сказал:

conf t

int lo0

ip addr <любой адрес> 255.255.255.255

 

как выше сказали показывайте 

show ip nat stat в момент проблем.

 

+ на интерфейсах с айпи адресами 

no ip proxy-arp

no ip unreach

no ip redirect

ASR#sh ip nat statistics
Total active translations: 837 (0 static, 837 dynamic; 837 extended)
Outside interfaces:
  GigabitEthernet0/0/3
Inside interfaces:
  Virtual-Access2.1, Virtual-Access2.2, Virtual-Access2.5, Virtual-Access2.9
  Virtual-Access2.24, Virtual-Access2.34, Virtual-Access2.38
  Virtual-Access2.46, Virtual-Access2.48, Virtual-Access2.61
  Virtual-Access2.62, Virtual-Access2.86, Virtual-Access2.87
  Virtual-Access2.92, Virtual-Access2.97, Virtual-Access2.101
  Virtual-Access2.105, Virtual-Access2.114, Virtual-Access2.115
  Virtual-Access2.118, Virtual-Access2.144, Virtual-Access2.153
  Virtual-Access2.419, Virtual-Access2.428, Virtual-Access2.431
  Virtual-Access2.432, Virtual-Access2.433, Virtual-Access2.442
  Virtual-Access2.447, Virtual-Access2.459, Virtual-Template1
Hits: 18815146  Misses: 297016
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 304199
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface GigabitEthernet0/0/3 refcount 807
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
 All Host Max allowed: 600
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

 

Share this post


Link to post
Share on other sites
6 часов назад, zhenya` сказал:

+ на интерфейсах с айпи адресами 

no ip proxy-arp

no ip unreach

no ip redirect

сделал, результат тот же

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now