diakon2 Posted August 26, 2014 (edited) · Report post Добрый день коллеги, прошу помощи в донастройке cisco 2811 с иос c2800nm-adventerprisek9-mz.124-9.T2.bin взял чистую цыску и по офф мануалу настроил на ней пптп сервер. соединение устанавливается, если поставить галочку в винде "использовать удаленный шлюз по умолчанию" то доступны все сетевые ресурсы но нет инета. если галочку не ставить то соответственно инет есть но внутресетевые ресурсы недоступны и к ним надо в ручную на винде прописывать роуты. вопрос - можно ли как нибуть сделать чтобы работали и внутресетевые ресурсы и инет, при установленой галочке - "использовать удаленный шлюз по умолчанию" могу сказать что у меня както 1 раз получилось но после этого я изменил конфиг и больше неполучалось. во тконфиг test-router#sh runn Building configuration... Current configuration : 3809 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname test-router ! boot-start-marker boot system flash:c2800nm-adventerprisek9-mz.124-9.T2.bin boot-end-marker ! enable password 7 xxxxxxxxxxxxxxxx ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default local aaa authorization network default local ! aaa session-id common ! resource policy ! ! ! ip cef no ip dhcp use vrf connected ip dhcp excluded-address 192.168.182.1 192.168.182.10 ! ip dhcp pool pptp ! ip dhcp pool LAN2 network 192.168.182.0 255.255.255.0 default-router 192.168.182.1 dns-server 8.8.8.8 ! ! no ip domain lookup ip domain name test_router.amtek.local ip name-server 8.8.8.8 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 vpdn enable ! vpdn-group 1 ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 local name pptp_gw ! ! ! ! voice-card 0 no dspfarm ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! username diakon2 privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx username client password 0 xxxxxxxxxxxx username client2 password 0 xxxxxxxxxxxxxxxx username client3 password 0 xxxxxxxxxxxxxxx username client11 password 0 xxxxxxxxxxxxxxxxxx username client12 password 0 xxxxxxxxxxxxxxxxx ! ! ! ! ! ! ! interface Loopback0 ip address 10.100.100.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet0/0 description wan no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 description lan no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef duplex auto speed auto ! interface FastEthernet0/1.181 description uplink encapsulation dot1Q 181 ip address 37.16.x.x 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly ! interface FastEthernet0/1.182 description test_lan2 encapsulation dot1Q 182 ip address 192.168.182.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly pppoe enable group global ! interface FastEthernet0/1.183 description test_lan3 encapsulation dot1Q 183 ip address 192.168.183.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! interface FastEthernet0/1.200 description --managment interface encapsulation dot1Q 200 ip address 172.16.0.7 255.255.255.0 ! interface Virtual-Template1 ip unnumbered FastEthernet0/1.182 ip nat inside ip virtual-reassembly peer default ip address pool test no keepalive ppp encrypt mppe auto ppp authentication pap chap ms-chap ! ip local pool test 192.168.182.5 192.168.182.18 ip route 0.0.0.0 0.0.0.0 37.16.x.x ! ! no ip http server no ip http secure-server ip dns server ip nat inside source list NAT interface FastEthernet0/1.181 overload ip nat inside source static tcp 37.16.x.x 22 37.16.x.x 22 extendable ip nat inside source static tcp 37.16.x.x 1723 37.16.x.x 1723 extendable ! ip access-list extended FIREWALL permit icmp any any permit ip any any ip access-list extended NAT permit ip any any ! ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input ssh ! scheduler allocate 20000 1000 ! end test-router# клиентам ипы выдаются из 182 подсети. мне нужно чтобы пптп пользователи имели доступ в 183 подсеть и в интернет. с цыски доступны и сервера и интернет. сейчас пользователи имеют доступ только к внутренней сети через цыску, инет она не раздает. Edited August 26, 2014 by diakon2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted August 26, 2014 · Report post Так вроде всё на месте, но я бы еще добавил выдачу dns-серверов типа async-bootp dns-server 8.8.8.8 8.8.4.4 То, что клиенты 182 видят 183 - это нормально, значит табличка маршрутизации в порядке, и acl не мешает. То, что никто не видит инет - что-то с nat. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted August 26, 2014 · Report post днсы буду выдавать по dhcp или прописывать статикой это не проблема. проблема это отсутсвие интернета. если что могу выложить логи любых команд или дать доступ к роутеру. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted August 27, 2014 · Report post Странно как-то, у вас есть темплейт с inside натом: interface Virtual-Template1 ip unnumbered FastEthernet0/1.182 ip nat inside Который, по идее, должен заворачиваться в 1.182, но на 1.182 есть ещё один inside нат: interface FastEthernet0/1.182 description test_lan2 encapsulation dot1Q 182 ip address 192.168.182.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly pppoe enable group global Хотя outside нат прописан как-то отдельно: interface FastEthernet0/1.181 description uplink encapsulation dot1Q 181 ip address 37.16.x.x 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly ip nat inside source list NAT interface FastEthernet0/1.181 overload Может быть правильнее было бы ппп клиентов сразу завернуть на 1.181?: interface Virtual-Template1 ip unnumbered FastEthernet0/1.181 ip nat inside Или нужно как-то по другому? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted August 28, 2014 · Report post в virtual template нужно убрать ip nat inside? эта опция подхватится из FastEthernet0/1.182 так как он указан как unnambered как и все остальные настройки интерфейса? а где надо писать Ip nat outside ? я думал на внешнем интерфейсе. пробовал сразуже на внешний ип заворачивать клиентов то есть в этом интерфейсе писать ip unnambered fa... даже lo0 пробовал, с цыски все пингуется и доступно а у клиента нифига. инет как не работал так и не работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted August 28, 2014 · Report post в virtual template нужно убрать ip nat inside? да эта опция подхватится из FastEthernet0/1.182 так как он указан как unnambered как и все остальные настройки интерфейса? зачем? а где надо писать Ip nat outside ? я думал на внешнем интерфейсе. Ну да, там он и должен быть пробовал сразуже на внешний ип заворачивать клиентов то есть в этом интерфейсе писать ip unnambered fa... даже lo0 пробовал, с цыски все пингуется и доступно а у клиента нифига. инет как не работал так и не работает. Я вообще немного не понял вашу настройку. Вроде как вы по DHCP раздаёте клиентам 192.168.182.0/24, при этом выпуская их в инет: ip dhcp pool LAN2 network 192.168.182.0 255.255.255.0 default-router 192.168.182.1 dns-server 8.8.8.8 ! .. interface FastEthernet0/1.182 ip address 192.168.182.1 255.255.255.0 .. .. ip nat inside Далее, тем-же клиентам, видать по PPTP выдаёте опять таки 192.168.182.0/24, т.е. комп клиента имеет 2 адреса из одной сетки. ip local pool test 192.168.182.5 192.168.182.18 Так-же на этой-же циске натится и 192.168.183.0/24 Точно распределите кого и куда натить, разделите IP адреса выдаваемых по DHCP и по PPTP, например 192.168.ххх.ххх по DHCP и 10.хх.хх.хх в PPTP, в нат пихайте только то, что там и должно быть, ip access-list extended NAT permit ip 10.хх.хх.2 10.хх.хх.254 а не что попало. ip access-list extended NAT permit ip any any Если не ясно - рисуйте схему, кто и куда должен ходить и что вы для этого сделали конкретно в конфиге. Вот рабочий конфиг 3845, с натом: vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group description TEST GROUP accept-dialin protocol pptp virtual-template 1 ! ! interface GigabitEthernet0/0 ip address ВНЕШНИЙ IP АДРЕС ip nat outside ip virtual-reassembly duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 ip address ВНУТРЕННИЙ IP АДРЕС duplex auto speed auto media-type rj45 ! interface Virtual-Template1 description TEST INT ip unnumbered GigabitEthernet0/0 ip nat inside ip virtual-reassembly peer default ip address pool TEST no keepalive ppp mtu adaptive ppp encrypt mppe 128 ppp authentication ms-chap-v2 ms-chap chap ppp ipcp dns 8.8.8.8 ! ip local pool TEST 10.10.0.2 10.10.4.253 ! ip nat inside source list 15 interface GigabitEthernet0/0 overload ! ip radius source-interface GigabitEthernet0/1 access-list 15 permit 10.10.0.0 0.0.3.255 Не считайте его идеальным, потому-что Unnumbered завёрнут в Gi0/0, хотя по фен-шую было бы лучше сделать на Loopback Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted August 29, 2014 · Report post все ясно, попробую предложеные варианты, надеюсь поможет. если нет то нарисую схемку) пока что непонятно вот это к чему относится? ip radius source-interface GigabitEthernet0/1 access-list 15 permit 10.10.0.0 0.0.3.255 у нас радиус сервера нету и врятли появится. пр что эта строка если не секрет?) про то кому можно за нат? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted August 29, 2014 · Report post да, к радиусу относится, не обращайте на неё внимания Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted September 1, 2014 · Report post упростил схему до минимума, на один физический интерфейс повесил внешний ип, на второй внутрений. подогнал конфиг под тот что вы дали и интернет заработал. спасибо огромное, вы сильно выручили, решилась нерешаемая проблема) теперь вопрос надеюсь последний, как это все дело прикрутить к саб-интерфейсам? щас все работает по схеме интернет---роутер--ноутбук , то есть оба физических интерфейса роутера имеют реальные ип адреса, а мне нужно чтобы они работали транками( хотябы тот что смотрит в локалку). и вот когда я перевожу сеть на транки, интернет перестает работать после поднятия впн канала. причем сетевые ресурсы доступны и пингуются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
terrible Posted September 2, 2014 · Report post покажите конфиг того, что у вас получилось и то, что вы окончательно хотите сделать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted September 3, 2014 (edited) · Report post хотел сделать так чтобы fa0/0 b fa0/1 был без ip адреса но было несколько подсетей типа fa0/1.1 проблема нероаботающего впна крылась в слейдущем было так. работалит олько внутрение ресурсы и не работало интернет у пптп пользователей ip nat inside source list NAT interface FastEthernet0/1.181 overload ip nat inside source static tcp 37.16.x.x 22 37.16.x.x 22 extendable ip nat inside source static tcp 37.16.x.x 1723 37.16.x.x 1723 extendable ! ip access-list extended NAT permit ip any any все это удалил(пришлось класть fa0/1.181, сохранять конфиг и перезагружать цыску, иначе строки не удалялись) и вбил ip nat inside source list 15 interface GigabitEthernet0/0 overload access-list 15 permit 192.168.0.0 0.0.255.255 и все заработало. причем работает в любой вариации. и когда пптп пользователей заворачиваем на loopback и на ЛЮБУЮ 192.168 подсеть. также не вредило наличие DHCP который работает в тойже подсети что и ippol в virtual-template 1 в общем изначально я использовал слишком кривой нат и зачемто(а иначе вообще не работало) пробрасывал соединения с внешнего ип адреса на тотже внешний(22 и 1723). при использовании более правильного(который мне посоветовали использовать несколькими постами выше) все проблемы решились сами собой. начали подключаться любые(вин\никс\эпл\андроид) устрйоства без каких либо проблем. а самое печально тут то что в инете полно статей с "первоначальной" настройкой в которых используется первый тип ната который меня и подвел. получается делал почти по хендбуку но ничо не работало. спасибо умам) небольшой вопросик который я так и не поборол - например есть роутер, к одному порту подключен провод от провайдера с внешним ип, этот ип вбит на физическом интерфейсе и вторйо порт транком подключен к комутатору. на роутере сделано пару подсетей, на комутаторе аналогично, в первую подключены бухгалтера а во вторую сервер. появилась необходимость из инета прокинуть порт на сервер 3389 допустим для рдп. порт прокинут, из инета все подключаются вбив в клиент рдп внешний ип роутера... но вот проблема, если бухгалтера из своей внутренней серой сети пытаются подключиться также по рдп но на внешний ип адрес, то соединение не устанавливается(( nmap пишет что порт filtered. как это побороть? вариант подключаться на внутрений ип сервера не рассматривается, нужно именно на внешний. мне сказали что так сделать невозможно и я прям взгрустнул(( казалосьбы простейшая операция а невозможно. придумал вариант - через вторую цыску, но както жалко оставлять личную 1841 в офисе чисто для такого проброса портов. стоит не дорого но както уж больно глупо получается. весьма навороченый роутер не может разрулить простейшую потребность маршрутизации пакетов внутри простейшей локальной сети. скажите пожалуйста это вообще возможно? и если да то в какую сторону копать? пс. решил отписаться так как проблема давольно таки распространеная в интернете а конкретныйх указаний не было. причем в большинстве подобных тем, почемуто тоже люди используют первый пример ната который как оказывается не работает в такой схеме. Edited September 3, 2014 by diakon2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted September 4, 2014 · Report post вариант подключаться на внутрений ип сервера не рассматривается, нужно именно на внешний. мне сказали что так сделать невозможно и я прям взгрустнул(( казалосьбы простейшая операция а невозможно. Почему не рассматривается ? если на cisco уже поднят pptp, то выдавать радиусом клиенту ip из нужной подсети, и цепляться по внутренним адресам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
diakon2 Posted September 4, 2014 · Report post потому что все это затевается чтобы клиенты обращались к серверу по доменному имени, которое привязано к внешнему ип адресу. а компы часто таскают в\из офиса и каждый раз менять натсройки програмы нехотелосьбы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...