alibek Posted August 5 · Report post Есть BRAS ASR1001X, на котором терминируются абоненты по PPPoE. Абонентам выделяется публичный IP, у абонентов с отрицательным балансом сильно лимитируется скорость. Внезапно выяснилось, что у абонентов, терминируемых на данном BRAS, отсутствует доступ к домофонному серверу. Домофонный сервер имеет IP-адрес AAA.BBB.CCC.197. С ним нормально работают пользователи из внешних сетей (абоненты других операторов связи) и абоненты на других BRAS. Да и на данном BRAS, если включить VPN, тоже работают. На BRAS примерно такая конфигурация: hostname BRAS15-ASR1001X ... class-map type traffic match-any LOCAL match access-group input name LOCAL-IN match access-group output name LOCAL-OUT ! class-map type traffic match-any INTERNET match access-group input name PUBLIC-IN match access-group output name PUBLIC-OUT ! class-map type traffic match-any NO-MONEY match access-group input name EXTERNAL-WEB ! class-map type control match-all CLS-USERDROP match timer 5min match authen-status unauthenticated ! ! class-map match-any NO-MONEY policy-map type service LOCAL-ACCT class type traffic LOCAL accounting aaa list PPPOE ! class type traffic default in-out drop ! ! policy-map type service INTERNET-ACCT class type traffic INTERNET accounting aaa list PPPOE ! class type traffic default in-out drop ! ! policy-map type service NO-MONEY-REDIRECT class type traffic NO-MONEY redirect to group NO-MONEY ! ... interface Virtual-Template1 mtu 1492 ip unnumbered Loopback1 no ip redirects no ip unreachables no ip proxy-arp peer default ip address pool CLIENT-PPP ppp authentication pap PPPOE ppp authorization PPPOE ppp accounting PPPOE ppp timeout idle 60 ! interface BDI400 no ip address vlan-range dot1q 400 499 pppoe enable group global ! ... ip access-list extended EXTERNAL-WEB deny ip any AAA.BBB.ZZZ.0 0.0.0.127 permit tcp any any eq www 443 ip access-list extended LOCAL-IN permit icmp any AAA.BBB.ZZZ.0 0.0.0.127 permit tcp any host AAA.BBB.ZZZ.1 eq domain permit tcp any host AAA.BBB.ZZZ.124 eq domain permit tcp any host AAA.BBB.ZZZ.100 eq www 443 8080 ip access-list extended LOCAL-OUT permit ip AAA.BBB.ZZZ.0 0.0.0.127 any ip access-list extended PUBLIC-IN deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 permit ip any any ip access-list extended PUBLIC-OUT deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any permit ip any any ip access-list extended VPN-IN permit icmp any AAA.BBB.ZZZ.0 0.0.0.127 permit tcp any host AAA.BBB.ZZZ.1 eq domain permit tcp any host AAA.BBB.ZZZ.124 eq domain permit tcp any host AAA.BBB.ZZZ.100 eq www 443 8080 permit gre any AAA.BBB.XXX.0 0.0.0.255 permit tcp any AAA.BBB.XXX.0 0.0.0.255 eq 1723 ip access-list extended VPN-OUT permit ip AAA.BBB.ZZZ.0 0.0.0.127 any permit gre AAA.BBB.XXX.0 0.0.0.255 any permit tcp AAA.BBB.XXX.0 0.0.0.255 eq 1723 any ip access-list extended WAN_ACCESS permit icmp any host AAA.BBB.ZZZ.247 echo permit icmp any host AAA.BBB.ZZZ.247 echo-reply permit icmp any host AAA.BBB.ZZZ.247 ttl-exceeded deny ip any host AAA.BBB.ZZZ.247 permit ip any any IP-адреса и подсети: AAA.BBB.ZZZ.1, AAA.BBB.ZZZ.124 - операторский DNS AAA.BBB.ZZZ.100 - личный кабинет (веб-сервер) AAA.BBB.XXX.0/0.0.0.255 - специальная подсеть, в которой разрешен VPN PPTP AAA.BBB.ZZZ.247 - транспортный интерфейс BRAS AAA.BBB.CCC.197 в списках не фигурирует, но по идее к нему доступ и не должен ограничиваться. С самого BRAS этот адрес доступен. Однако для абонентов BRAS этот адрес почему-то недоступен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 5 · Report post 1 час назад, alibek сказал: Однако для абонентов BRAS этот адрес почему-то недоступен недоступен - как? пинг, трейс, телнет на 80/443? Банально, но проверяли сами или со слов абонента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...