Jump to content
Калькуляторы

не работает интернет cisco pptp после подключения работают только внутресетевые ресурсы а интернета не

Добрый день коллеги, прошу помощи в донастройке cisco 2811 с иос c2800nm-adventerprisek9-mz.124-9.T2.bin

 

взял чистую цыску и по офф мануалу настроил на ней пптп сервер. соединение устанавливается, если поставить галочку в винде "использовать удаленный шлюз по умолчанию" то доступны все сетевые ресурсы но нет инета. если галочку не ставить то соответственно инет есть но внутресетевые ресурсы недоступны и к ним надо в ручную на винде прописывать роуты.

 

вопрос - можно ли как нибуть сделать чтобы работали и внутресетевые ресурсы и инет, при установленой галочке - "использовать удаленный шлюз по умолчанию"

 

могу сказать что у меня както 1 раз получилось но после этого я изменил конфиг и больше неполучалось.

 

во тконфиг

 

test-router#sh runn
Building configuration...

Current configuration : 3809 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname test-router
!
boot-start-marker
boot system flash:c2800nm-adventerprisek9-mz.124-9.T2.bin
boot-end-marker
!
enable password 7 xxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.182.1 192.168.182.10
!
ip dhcp pool pptp
!
ip dhcp pool LAN2
  network 192.168.182.0 255.255.255.0
  default-router 192.168.182.1 
  dns-server 8.8.8.8 
!
!
no ip domain lookup
ip domain name test_router.amtek.local
ip name-server 8.8.8.8
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
 protocol any
 virtual-template 1
local name pptp_gw
!
!
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username diakon2 privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username client password 0 xxxxxxxxxxxx
username client2 password 0 xxxxxxxxxxxxxxxx
username client3 password 0 xxxxxxxxxxxxxxx
username client11 password 0 xxxxxxxxxxxxxxxxxx
username client12 password 0 xxxxxxxxxxxxxxxxx
!
! 
!
!
!
!
!
interface Loopback0
ip address 10.100.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description wan
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
description lan
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
duplex auto
speed auto
!
interface FastEthernet0/1.181
description uplink
encapsulation dot1Q 181
ip address 37.16.x.x 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/1.182
description test_lan2
encapsulation dot1Q 182
ip address 192.168.182.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
pppoe enable group global
!
interface FastEthernet0/1.183
description test_lan3
encapsulation dot1Q 183
ip address 192.168.183.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1.200
description --managment interface
encapsulation dot1Q 200
ip address 172.16.0.7 255.255.255.0
!
interface Virtual-Template1 
ip unnumbered FastEthernet0/1.182
ip nat inside
ip virtual-reassembly
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
ip local pool test 192.168.182.5 192.168.182.18
ip route 0.0.0.0 0.0.0.0 37.16.x.x

!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list NAT interface FastEthernet0/1.181 overload
ip nat inside source static tcp 37.16.x.x 22 37.16.x.x 22 extendable
ip nat inside source static tcp 37.16.x.x 1723 37.16.x.x 1723 extendable
!
ip access-list extended FIREWALL
permit icmp any any
permit ip any any
ip access-list extended NAT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input ssh
!
scheduler allocate 20000 1000
!
end

test-router# 

 

клиентам ипы выдаются из 182 подсети. мне нужно чтобы пптп пользователи имели доступ в 183 подсеть и в интернет. с цыски доступны и сервера и интернет. сейчас пользователи имеют доступ только к внутренней сети через цыску, инет она не раздает.

Edited by diakon2

Share this post


Link to post
Share on other sites

Так вроде всё на месте, но я бы еще добавил выдачу dns-серверов типа

async-bootp dns-server 8.8.8.8 8.8.4.4

 

То, что клиенты 182 видят 183 - это нормально, значит табличка маршрутизации в порядке, и acl не мешает. То, что никто не видит инет - что-то с nat.

Share this post


Link to post
Share on other sites

днсы буду выдавать по dhcp или прописывать статикой это не проблема.

 

проблема это отсутсвие интернета.

 

если что могу выложить логи любых команд или дать доступ к роутеру.

Share this post


Link to post
Share on other sites

Странно как-то, у вас есть темплейт с inside натом:

 

interface Virtual-Template1 
ip unnumbered FastEthernet0/1.182
ip nat inside

 

Который, по идее, должен заворачиваться в 1.182, но на 1.182 есть ещё один inside нат:

 

interface FastEthernet0/1.182
description test_lan2
encapsulation dot1Q 182
ip address 192.168.182.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
pppoe enable group global

 

Хотя outside нат прописан как-то отдельно:

 

interface FastEthernet0/1.181
description uplink
encapsulation dot1Q 181
ip address 37.16.x.x 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly

ip nat inside source list NAT interface FastEthernet0/1.181 overload

 

Может быть правильнее было бы ппп клиентов сразу завернуть на 1.181?:

 

interface Virtual-Template1 
ip unnumbered FastEthernet0/1.181
ip nat inside

 

Или нужно как-то по другому?

Share this post


Link to post
Share on other sites

в virtual template нужно убрать ip nat inside? эта опция подхватится из FastEthernet0/1.182 так как он указан как unnambered как и все остальные настройки интерфейса?

 

а где надо писать Ip nat outside ? я думал на внешнем интерфейсе.

 

пробовал сразуже на внешний ип заворачивать клиентов то есть в этом интерфейсе писать ip unnambered fa... даже lo0 пробовал, с цыски все пингуется и доступно а у клиента нифига. инет как не работал так и не работает.

Share this post


Link to post
Share on other sites
в virtual template нужно убрать ip nat inside?

да

эта опция подхватится из FastEthernet0/1.182 так как он указан как unnambered как и все остальные настройки интерфейса?

зачем?

а где надо писать Ip nat outside ? я думал на внешнем интерфейсе.

Ну да, там он и должен быть

пробовал сразуже на внешний ип заворачивать клиентов то есть в этом интерфейсе писать ip unnambered fa... даже lo0 пробовал, с цыски все пингуется и доступно а у клиента нифига. инет как не работал так и не работает.

 

Я вообще немного не понял вашу настройку.

Вроде как вы по DHCP раздаёте клиентам 192.168.182.0/24, при этом выпуская их в инет:

ip dhcp pool LAN2
  network 192.168.182.0 255.255.255.0
  default-router 192.168.182.1 
  dns-server 8.8.8.8 
!

..

interface FastEthernet0/1.182
ip address 192.168.182.1 255.255.255.0
..
..
ip nat inside

 

Далее, тем-же клиентам, видать по PPTP выдаёте опять таки 192.168.182.0/24, т.е. комп клиента имеет 2 адреса из одной сетки.

 

ip local pool test 192.168.182.5 192.168.182.18

 

Так-же на этой-же циске натится и 192.168.183.0/24

 

Точно распределите кого и куда натить, разделите IP адреса выдаваемых по DHCP и по PPTP, например 192.168.ххх.ххх по DHCP и 10.хх.хх.хх в PPTP, в нат пихайте только то, что там и должно быть,

 

ip access-list extended NAT
permit ip 10.хх.хх.2 10.хх.хх.254

 

а не что попало.

 

ip access-list extended NAT
permit ip any any

 

Если не ясно - рисуйте схему, кто и куда должен ходить и что вы для этого сделали конкретно в конфиге.

 

Вот рабочий конфиг 3845, с натом:

 

vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
description TEST GROUP
accept-dialin
 protocol pptp
 virtual-template 1
!
!
interface GigabitEthernet0/0
ip address ВНЕШНИЙ IP АДРЕС
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address ВНУТРЕННИЙ IP АДРЕС
duplex auto
speed auto
media-type rj45
!
interface Virtual-Template1
description TEST INT
ip unnumbered GigabitEthernet0/0
ip nat inside
ip virtual-reassembly
peer default ip address pool TEST
no keepalive
ppp mtu adaptive
ppp encrypt mppe 128
ppp authentication ms-chap-v2 ms-chap chap
ppp ipcp dns 8.8.8.8
!
ip local pool TEST 10.10.0.2 10.10.4.253
!
ip nat inside source list 15 interface GigabitEthernet0/0 overload
!
ip radius source-interface GigabitEthernet0/1
access-list 15 permit 10.10.0.0 0.0.3.255

 

Не считайте его идеальным, потому-что Unnumbered завёрнут в Gi0/0, хотя по фен-шую было бы лучше сделать на Loopback

Share this post


Link to post
Share on other sites

все ясно, попробую предложеные варианты, надеюсь поможет. если нет то нарисую схемку)

 

пока что непонятно вот это к чему относится?

ip radius source-interface GigabitEthernet0/1
access-list 15 permit 10.10.0.0 0.0.3.255

 

у нас радиус сервера нету и врятли появится. пр что эта строка если не секрет?) про то кому можно за нат?

Share this post


Link to post
Share on other sites

да, к радиусу относится, не обращайте на неё внимания

Share this post


Link to post
Share on other sites

упростил схему до минимума, на один физический интерфейс повесил внешний ип, на второй внутрений. подогнал конфиг под тот что вы дали и интернет заработал.

 

спасибо огромное, вы сильно выручили, решилась нерешаемая проблема)

 

теперь вопрос надеюсь последний, как это все дело прикрутить к саб-интерфейсам? щас все работает по схеме интернет---роутер--ноутбук , то есть оба физических интерфейса роутера имеют реальные ип адреса, а мне нужно чтобы они работали транками( хотябы тот что смотрит в локалку). и вот когда я перевожу сеть на транки, интернет перестает работать после поднятия впн канала. причем сетевые ресурсы доступны и пингуются.

Share this post


Link to post
Share on other sites

покажите конфиг того, что у вас получилось и то, что вы окончательно хотите сделать

Share this post


Link to post
Share on other sites

хотел сделать так чтобы fa0/0 b fa0/1 был без ip адреса но было несколько подсетей типа fa0/1.1

 

проблема нероаботающего впна крылась в слейдущем

 

было так. работалит олько внутрение ресурсы и не работало интернет у пптп пользователей

ip nat inside source list NAT interface FastEthernet0/1.181 overload
ip nat inside source static tcp 37.16.x.x 22 37.16.x.x 22 extendable
ip nat inside source static tcp 37.16.x.x 1723 37.16.x.x 1723 extendable
!
ip access-list extended NAT
permit ip any any

 

все это удалил(пришлось класть fa0/1.181, сохранять конфиг и перезагружать цыску, иначе строки не удалялись) и вбил

ip nat inside source list 15 interface GigabitEthernet0/0 overload
access-list 15 permit 192.168.0.0 0.0.255.255

 

и все заработало. причем работает в любой вариации. и когда пптп пользователей заворачиваем на loopback и на ЛЮБУЮ 192.168 подсеть. также не вредило наличие DHCP который работает в тойже подсети что и ippol в virtual-template 1

 

 

в общем изначально я использовал слишком кривой нат и зачемто(а иначе вообще не работало) пробрасывал соединения с внешнего ип адреса на тотже внешний(22 и 1723).

при использовании более правильного(который мне посоветовали использовать несколькими постами выше) все проблемы решились сами собой. начали подключаться любые(вин\никс\эпл\андроид) устрйоства без каких либо проблем.

 

а самое печально тут то что в инете полно статей с "первоначальной" настройкой в которых используется первый тип ната который меня и подвел. получается делал почти по хендбуку но ничо не работало.

спасибо умам)

 

 

 

небольшой вопросик который я так и не поборол - например есть роутер, к одному порту подключен провод от провайдера с внешним ип, этот ип вбит на физическом интерфейсе и вторйо порт транком подключен к комутатору. на роутере сделано пару подсетей, на комутаторе аналогично, в первую подключены бухгалтера а во вторую сервер. появилась необходимость из инета прокинуть порт на сервер 3389 допустим для рдп. порт прокинут, из инета все подключаются вбив в клиент рдп внешний ип роутера... но вот проблема, если бухгалтера из своей внутренней серой сети пытаются подключиться также по рдп но на внешний ип адрес, то соединение не устанавливается(( nmap пишет что порт filtered. как это побороть? вариант подключаться на внутрений ип сервера не рассматривается, нужно именно на внешний. мне сказали что так сделать невозможно и я прям взгрустнул(( казалосьбы простейшая операция а невозможно.

 

придумал вариант - через вторую цыску, но както жалко оставлять личную 1841 в офисе чисто для такого проброса портов. стоит не дорого но както уж больно глупо получается. весьма навороченый роутер не может разрулить простейшую потребность маршрутизации пакетов внутри простейшей локальной сети.

 

скажите пожалуйста это вообще возможно? и если да то в какую сторону копать?

 

 

пс. решил отписаться так как проблема давольно таки распространеная в интернете а конкретныйх указаний не было. причем в большинстве подобных тем, почемуто тоже люди используют первый пример ната который как оказывается не работает в такой схеме.

Edited by diakon2

Share this post


Link to post
Share on other sites

вариант подключаться на внутрений ип сервера не рассматривается, нужно именно на внешний. мне сказали что так сделать невозможно и я прям взгрустнул(( казалосьбы простейшая операция а невозможно.

 

Почему не рассматривается ? если на cisco уже поднят pptp, то выдавать радиусом клиенту ip из нужной подсети, и цепляться по внутренним адресам.

Share this post


Link to post
Share on other sites

потому что все это затевается чтобы клиенты обращались к серверу по доменному имени, которое привязано к внешнему ип адресу. а компы часто таскают в\из офиса и каждый раз менять натсройки програмы нехотелосьбы

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this