Jump to content
Калькуляторы

Cisco 3825 2 Провайдера, PBR и сервисы. Не работает PPtP сервис на борту Циско 3825 при PBR

Стояла у нас Cisco 3825 ISR. Пока был один пров, всё было хорошо. Но дернуло нас подключить второго провайдера.

Мало того, что цисковский конфиг для Билайна -вещь сама в себе, эдакий изыск не для слабонервных, тут надо было

еще и PBR вводить, решили Билайн сделать основным линком для качания (динамический внешний ИП), а PPPoE с постоянным ИП оставить для всяких-разных сервисов типа PPtP на циске для удаленного доступа. Конфиг заработал, однако весьма странно. То есть если заходить на постоянный ИП ПППоЕ телнетом - пускает, а вот попытка присоединиться на этот ИП с помощью PPtP выдает всё что угодно, только не подключение. При этом ip local policy настроен и судя по sh ip local policy работает, пакетики бегут.

 

Вот show ver

 

Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(24)T7

 

У Cisco 3825 на борту 2 DIMM - 256Mb и 512 Mb памяти.

 

Парни, помогите разобраться, почему не работает ППтП сервер на Циске 3825. Наверняка кто-то сталкивался.

И еще, если заметили в конфиге, в роутмапах стоит вторым условием не set interface, а match interface. И только тогда схема работает. Почему, не знаю. Может лпытные гуру пояснят, почему так. И как правильнее сделать.

Кстати, схема failover у нас на этом конфиге работает, при падении Билайна чистятся записи НАТ и соединение переходит на ПППоЕ, при поднятии Билайна схема возвращается назад, то есть вроде всё хорошо. А вот сервис не работает.

 

 

 

!

version 12.4

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime localtime

service password-encryption

!

hostname CENTRAL-OFFICE

!

boot-start-marker

warm-reboot

boot-end-marker

!

security authentication failure rate 3 log

logging message-counter syslog

logging buffered 64000

enable secret 5 HEREISTHESECRETPASSWORD

!

aaa new-model

aaa local authentication attempts max-fail 3

!

!

aaa authentication login default local

aaa authentication ppp default local

aaa authentication ppp vpn-users local

aaa authorization exec default local

aaa authorization exec vpn-users local

aaa authorization network vpn-users local

!

!

aaa session-id common

clock timezone MSK 4

!

ip source-route

no ip gratuitous-arps

ip cef

!

!

!

!

no ip domain lookup

ip domain name somewhere.net

ip name-server 8.8.8.8

no ipv6 cef

!

!

multilink bundle-name authenticated

!

!

!

!

vpdn enable

!

vpdn-group 239

accept-dialin

protocol pptp

virtual-template 100

!

vpdn-group global

! Default L2TP VPDN group

! Default PPTP VPDN group

accept-dialin

protocol any

!

!

password encryption aes

voice-card 0

!

username administrator privilege 15 password 7 737364645252414571

username vpnuser password 7 85956353413120384645373930

archive

log config

hidekeys

!

ip tcp selective-ack

ip tcp timestamp

ip tcp synwait-time 5

ip tcp path-mtu-discovery

ip ssh version 2

!

l2tp-class beeline

pseudowire-class pw-beeline

encapsulation l2tpv2

protocol l2tpv2 beeline

!

buffers tune automatic

!

interface Loopback0

ip address 10.111.111.111 255.255.255.255

!

interface GigabitEthernet0/0

descrition --Our Local Network--

ip address 192.168.7.2 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

media-type rj45

!

interface GigabitEthernet0/1

description --Trunk Connection--

no ip address

duplex auto

speed auto

media-type rj45

!

interface GigabitEthernet0/1.10

description --Connection to ISP1 through vlan on our managed switch--

encapsulation dot1Q 10

pppoe enable group global

pppoe-client dial-pool-number 2

!

interface GigabitEthernet0/1.20

description --Connection to ISP2 through vlan on our managed switch--

encapsulation dot1Q 20

ip address dhcp

ip virtual-reassembly

!

interface Virtual-PPP5

description --Interface for ISP2--

ip address negotiated

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1380

no peer neighbor-route

no cdp enable

ppp authentication chap callin

ppp chap hostname 8282828282828

ppp chap password 7 theSecretForISP2

pseudowire 10.255.255.242 10 pw-class pw-beeline

!

interface Virtual-Template100

description --TEMPLATE for incoming PPtP connections of our users--

ip unnumbered Dialer1

autodetect encapsulation ppp

peer default ip address pool for-vpn

no keepalive

ppp authentication ms-chap ms-chap-v2 vpn-users

ppp authorization vpn-users

!

interface Dialer1

description --Interface for ISP1. PPPoE--

bandwidth 10240

ip address negotiated

ip accounting output-packets

ip nbar protocol-discovery

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1400

load-interval 30

dialer pool 2

dialer-group 2

no fair-queue

ppp authentication chap callin

ppp pap sent-username reteretere password 7 PasswordForISP1

!

ip local policy route-map External_VPN

ip local pool for-vpn 172.16.135.1 172.16.135.10

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1 100 track 1

ip route 0.0.0.0 0.0.0.0 Virtual-PPP5 track 2

ip route 192.168.239.0 255.255.255.0 172.16.135.1 name C1841-Rossiyskaya70

ip route 194.87.0.8 255.255.255.255 Dialer1

ip route 194.87.0.9 255.255.255.255 Virtual-PPP5

ip route 10.255.255.242 255.255.255.255 dhcp

ip route 10.255.255.247 255.255.255.255 dhcp

no ip http server

no ip http secure-server

!

!

ip nat inside source route-map Beeline interface Virtual-PPP5 overload

ip nat inside source route-map UTK interface Dialer1 overload

!

!

! This access-list is for local Network proxy

ip access-list standard fwd-squid

permit 192.168.7.100

permit 192.168.7.0 0.0.0.255

!

! This access-list is for ip local policy

ip access-list extended External_VPN_access

permit tcp host 85.20.20.20 eq 1723 any

permit tcp host 85.20.20.20 eq 22 any

permit tcp host 85.20.20.20 eq telnet any

permit icmp host 85.20.20.20 any echo-reply

!

!

track 1 ip sla 1 reachability

ip sla 1

icmp-echo 194.87.0.8 source-interface Dialer1

timeout 7000

threshold 100

frequency 15

ip sla schedule 1 life forever start-time now

ip sla reaction-configuration 1 react timeout threshold-type immediate action-type triggerOnly

!

!

track 2 ip sla 2 reachability

ip sla 2

icmp-echo 194.87.0.9 source-interface Virtual-PPP5

timeout 7000

threshold 400

frequency 15

ip sla schedule 2 life forever start-time now

ip sla reaction-configuration 2 react timeout threshold-type immediate action-type triggerOnly

!

!

access-list 1 remark --SNMP Watching--

access-list 1 permit 192.168.7.0 0.0.0.255

access-list 100 permit ip 192.168.7.0 0.0.0.255 any

dialer-list 1 protocol ip permit

dialer-list 2 protocol ip permit

dialer-list 3 protocol ip permit

!

route-map External_VPN permit 10

match ip address External_VPN_access

set default interface Dialer1

!

route-map UTK permit 10

match ip address 100

match interface Dialer1

!

route-map Beeline permit 10

match ip address 100

match interface Virtual-PPP5

!

!

snmp-server community public RO 1

!

control-plane

!

line con 0

line aux 0

line vty 0 4

exec-timeout 30 0

line vty 5 15

!

exception memory ignore overflow processor

exception memory ignore overflow io

scheduler allocate 20000 1000

ntp update-calendar

ntp peer 194.33.84.1

event manager applet nat_clear_isp1

event track 1 state any

action 1 wait 5

action 2 cli command "enable"

action 3 cli command "clear ip nat translation *"

event manager applet nat_clear_isp2

event track 2 state any

action 1 wait 5

action 2 cli command "enable"

action 3 cli command "clear ip nat translation *"

!

end

Scheme.pdf

Share this post


Link to post
Share on other sites

Кстати, может кто реализовал схему OER, поделитесь плз мыслями, только если оно реально работает в боевом применении, а не на тесте в лабе "при определенных условиях".

Спасибо!

Share this post


Link to post
Share on other sites

Вобщем-то аналогичная схема, но с cisco 7204 vxr

cisco терминирует pptp/pppoe и НАТит в 2 канала через pbr. Все работает, но есть нюанс.

 

interface Virtual-Template1

description PPTP VPN template interface

ip unnumbered Loopback0

no ip redirects

ip flow ingress

ip flow egress

ip nat inside

ip router isis

ip virtual-reassembly

ip policy route-map nat_to_sovintel

no logging event link-status

no peer default ip address

keepalive 30 7

ppp authentication pap chap callin via_lb

ppp authorization via_lb

ppp accounting via_lb

ppp ipcp dns 212.57.ххх.61 8.8.8.8

 

route-map nat_to_sovintel permit 10

match ip address 100

set ip next-hop 62.141.99.89

 

interface FastEthernet1/1.502

encapsulation dot1Q 502

ip address 62.141.99.90 255.255.255.252

ip nat outside

ip virtual-reassembly max-reassemblies 32

no cdp enable

 

Вот с DNS-ом засада.

212.57.ххх.61 - наш DNS

с циски до него

c7204_core#traceroute 212.57.ххх.61

 

Type escape sequence to abort.

Tracing the route to ns.ххххх.ru (212.57.ххх.61)

1 * * ns.хххххххх.ru (212.57.ххх.61) 0 msec

 

т.е. рядом циской, но по route-map nat_to_sovintel трафик от клиентов уходит на канал другого магистрала (Би) на 62.141.99.89 и через полинета возвращается к нам через РТ на 212.57.ххх.61:

 

Трассировка маршрута к 212.57.ххх.61

с максимальным числом прыжков 30:

1 1 ms 2 ms <1 мс DLINK-88EA34 [192.168.0.1]

2 1 ms 1 ms * 10.1.1.1

3 8 ms 10 ms 11 ms 62.141.99.89

4 8 ms 10 ms 9 ms pe02.Chelyabinsk.gldn.net [195.222.163.101]

5 30 ms 30 ms 30 ms chbs-rgr3.ur.ip.rostelecom.ru [195.222.166.214]

6 31 ms 34 ms 30 ms 95.167.92.225

7 31 ms 30 ms 33 ms 188.128.90.138

8 34 ms 50 ms 33 ms 90.150.2.73

9 39 ms 38 ms 39 ms ns.ххххххх.ru [212.57.ххх.61]

Трассировка завершена.

 

Хотелось бы, чтобы траф до нашего ДНС ходил напрямую внутри нашей сетки.

Что-то надо поправить в PBR/роутах?

 

c7204_core#sh ip route 212.57.ххх.61

% Subnet not in table

 

Добавление

ip route 212.57.ххх.61 255.255.255.255 наш_линух_роутер

ситуацию не исправляет.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.