siddkharta Posted September 14, 2014 · Report post Стояла у нас Cisco 3825 ISR. Пока был один пров, всё было хорошо. Но дернуло нас подключить второго провайдера. Мало того, что цисковский конфиг для Билайна -вещь сама в себе, эдакий изыск не для слабонервных, тут надо было еще и PBR вводить, решили Билайн сделать основным линком для качания (динамический внешний ИП), а PPPoE с постоянным ИП оставить для всяких-разных сервисов типа PPtP на циске для удаленного доступа. Конфиг заработал, однако весьма странно. То есть если заходить на постоянный ИП ПППоЕ телнетом - пускает, а вот попытка присоединиться на этот ИП с помощью PPtP выдает всё что угодно, только не подключение. При этом ip local policy настроен и судя по sh ip local policy работает, пакетики бегут. Вот show ver Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(24)T7 У Cisco 3825 на борту 2 DIMM - 256Mb и 512 Mb памяти. Парни, помогите разобраться, почему не работает ППтП сервер на Циске 3825. Наверняка кто-то сталкивался. И еще, если заметили в конфиге, в роутмапах стоит вторым условием не set interface, а match interface. И только тогда схема работает. Почему, не знаю. Может лпытные гуру пояснят, почему так. И как правильнее сделать. Кстати, схема failover у нас на этом конфиге работает, при падении Билайна чистятся записи НАТ и соединение переходит на ПППоЕ, при поднятии Билайна схема возвращается назад, то есть вроде всё хорошо. А вот сервис не работает. ! version 12.4 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime localtime service password-encryption ! hostname CENTRAL-OFFICE ! boot-start-marker warm-reboot boot-end-marker ! security authentication failure rate 3 log logging message-counter syslog logging buffered 64000 enable secret 5 HEREISTHESECRETPASSWORD ! aaa new-model aaa local authentication attempts max-fail 3 ! ! aaa authentication login default local aaa authentication ppp default local aaa authentication ppp vpn-users local aaa authorization exec default local aaa authorization exec vpn-users local aaa authorization network vpn-users local ! ! aaa session-id common clock timezone MSK 4 ! ip source-route no ip gratuitous-arps ip cef ! ! ! ! no ip domain lookup ip domain name somewhere.net ip name-server 8.8.8.8 no ipv6 cef ! ! multilink bundle-name authenticated ! ! ! ! vpdn enable ! vpdn-group 239 accept-dialin protocol pptp virtual-template 100 ! vpdn-group global ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any ! ! password encryption aes voice-card 0 ! username administrator privilege 15 password 7 737364645252414571 username vpnuser password 7 85956353413120384645373930 archive log config hidekeys ! ip tcp selective-ack ip tcp timestamp ip tcp synwait-time 5 ip tcp path-mtu-discovery ip ssh version 2 ! l2tp-class beeline pseudowire-class pw-beeline encapsulation l2tpv2 protocol l2tpv2 beeline ! buffers tune automatic ! interface Loopback0 ip address 10.111.111.111 255.255.255.255 ! interface GigabitEthernet0/0 descrition --Our Local Network-- ip address 192.168.7.2 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 description --Trunk Connection-- no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1.10 description --Connection to ISP1 through vlan on our managed switch-- encapsulation dot1Q 10 pppoe enable group global pppoe-client dial-pool-number 2 ! interface GigabitEthernet0/1.20 description --Connection to ISP2 through vlan on our managed switch-- encapsulation dot1Q 20 ip address dhcp ip virtual-reassembly ! interface Virtual-PPP5 description --Interface for ISP2-- ip address negotiated no ip proxy-arp ip nat outside ip virtual-reassembly ip tcp adjust-mss 1380 no peer neighbor-route no cdp enable ppp authentication chap callin ppp chap hostname 8282828282828 ppp chap password 7 theSecretForISP2 pseudowire 10.255.255.242 10 pw-class pw-beeline ! interface Virtual-Template100 description --TEMPLATE for incoming PPtP connections of our users-- ip unnumbered Dialer1 autodetect encapsulation ppp peer default ip address pool for-vpn no keepalive ppp authentication ms-chap ms-chap-v2 vpn-users ppp authorization vpn-users ! interface Dialer1 description --Interface for ISP1. PPPoE-- bandwidth 10240 ip address negotiated ip accounting output-packets ip nbar protocol-discovery ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1400 load-interval 30 dialer pool 2 dialer-group 2 no fair-queue ppp authentication chap callin ppp pap sent-username reteretere password 7 PasswordForISP1 ! ip local policy route-map External_VPN ip local pool for-vpn 172.16.135.1 172.16.135.10 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 100 track 1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP5 track 2 ip route 192.168.239.0 255.255.255.0 172.16.135.1 name C1841-Rossiyskaya70 ip route 194.87.0.8 255.255.255.255 Dialer1 ip route 194.87.0.9 255.255.255.255 Virtual-PPP5 ip route 10.255.255.242 255.255.255.255 dhcp ip route 10.255.255.247 255.255.255.255 dhcp no ip http server no ip http secure-server ! ! ip nat inside source route-map Beeline interface Virtual-PPP5 overload ip nat inside source route-map UTK interface Dialer1 overload ! ! ! This access-list is for local Network proxy ip access-list standard fwd-squid permit 192.168.7.100 permit 192.168.7.0 0.0.0.255 ! ! This access-list is for ip local policy ip access-list extended External_VPN_access permit tcp host 85.20.20.20 eq 1723 any permit tcp host 85.20.20.20 eq 22 any permit tcp host 85.20.20.20 eq telnet any permit icmp host 85.20.20.20 any echo-reply ! ! track 1 ip sla 1 reachability ip sla 1 icmp-echo 194.87.0.8 source-interface Dialer1 timeout 7000 threshold 100 frequency 15 ip sla schedule 1 life forever start-time now ip sla reaction-configuration 1 react timeout threshold-type immediate action-type triggerOnly ! ! track 2 ip sla 2 reachability ip sla 2 icmp-echo 194.87.0.9 source-interface Virtual-PPP5 timeout 7000 threshold 400 frequency 15 ip sla schedule 2 life forever start-time now ip sla reaction-configuration 2 react timeout threshold-type immediate action-type triggerOnly ! ! access-list 1 remark --SNMP Watching-- access-list 1 permit 192.168.7.0 0.0.0.255 access-list 100 permit ip 192.168.7.0 0.0.0.255 any dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 3 protocol ip permit ! route-map External_VPN permit 10 match ip address External_VPN_access set default interface Dialer1 ! route-map UTK permit 10 match ip address 100 match interface Dialer1 ! route-map Beeline permit 10 match ip address 100 match interface Virtual-PPP5 ! ! snmp-server community public RO 1 ! control-plane ! line con 0 line aux 0 line vty 0 4 exec-timeout 30 0 line vty 5 15 ! exception memory ignore overflow processor exception memory ignore overflow io scheduler allocate 20000 1000 ntp update-calendar ntp peer 194.33.84.1 event manager applet nat_clear_isp1 event track 1 state any action 1 wait 5 action 2 cli command "enable" action 3 cli command "clear ip nat translation *" event manager applet nat_clear_isp2 event track 2 state any action 1 wait 5 action 2 cli command "enable" action 3 cli command "clear ip nat translation *" ! end Scheme.pdf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siddkharta Posted September 14, 2014 · Report post Кстати, может кто реализовал схему OER, поделитесь плз мыслями, только если оно реально работает в боевом применении, а не на тесте в лабе "при определенных условиях". Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted October 21, 2015 · Report post Вобщем-то аналогичная схема, но с cisco 7204 vxr cisco терминирует pptp/pppoe и НАТит в 2 канала через pbr. Все работает, но есть нюанс. interface Virtual-Template1 description PPTP VPN template interface ip unnumbered Loopback0 no ip redirects ip flow ingress ip flow egress ip nat inside ip router isis ip virtual-reassembly ip policy route-map nat_to_sovintel no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 212.57.ххх.61 8.8.8.8 route-map nat_to_sovintel permit 10 match ip address 100 set ip next-hop 62.141.99.89 interface FastEthernet1/1.502 encapsulation dot1Q 502 ip address 62.141.99.90 255.255.255.252 ip nat outside ip virtual-reassembly max-reassemblies 32 no cdp enable Вот с DNS-ом засада. 212.57.ххх.61 - наш DNS с циски до него c7204_core#traceroute 212.57.ххх.61 Type escape sequence to abort. Tracing the route to ns.ххххх.ru (212.57.ххх.61) 1 * * ns.хххххххх.ru (212.57.ххх.61) 0 msec т.е. рядом циской, но по route-map nat_to_sovintel трафик от клиентов уходит на канал другого магистрала (Би) на 62.141.99.89 и через полинета возвращается к нам через РТ на 212.57.ххх.61: Трассировка маршрута к 212.57.ххх.61 с максимальным числом прыжков 30: 1 1 ms 2 ms <1 мс DLINK-88EA34 [192.168.0.1] 2 1 ms 1 ms * 10.1.1.1 3 8 ms 10 ms 11 ms 62.141.99.89 4 8 ms 10 ms 9 ms pe02.Chelyabinsk.gldn.net [195.222.163.101] 5 30 ms 30 ms 30 ms chbs-rgr3.ur.ip.rostelecom.ru [195.222.166.214] 6 31 ms 34 ms 30 ms 95.167.92.225 7 31 ms 30 ms 33 ms 188.128.90.138 8 34 ms 50 ms 33 ms 90.150.2.73 9 39 ms 38 ms 39 ms ns.ххххххх.ru [212.57.ххх.61] Трассировка завершена. Хотелось бы, чтобы траф до нашего ДНС ходил напрямую внутри нашей сетки. Что-то надо поправить в PBR/роутах? c7204_core#sh ip route 212.57.ххх.61 % Subnet not in table Добавление ip route 212.57.ххх.61 255.255.255.255 наш_линух_роутер ситуацию не исправляет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...