siddkharta Posted September 14, 2014 Posted September 14, 2014 Стояла у нас Cisco 3825 ISR. Пока был один пров, всё было хорошо. Но дернуло нас подключить второго провайдера. Мало того, что цисковский конфиг для Билайна -вещь сама в себе, эдакий изыск не для слабонервных, тут надо было еще и PBR вводить, решили Билайн сделать основным линком для качания (динамический внешний ИП), а PPPoE с постоянным ИП оставить для всяких-разных сервисов типа PPtP на циске для удаленного доступа. Конфиг заработал, однако весьма странно. То есть если заходить на постоянный ИП ПППоЕ телнетом - пускает, а вот попытка присоединиться на этот ИП с помощью PPtP выдает всё что угодно, только не подключение. При этом ip local policy настроен и судя по sh ip local policy работает, пакетики бегут. Вот show ver Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(24)T7 У Cisco 3825 на борту 2 DIMM - 256Mb и 512 Mb памяти. Парни, помогите разобраться, почему не работает ППтП сервер на Циске 3825. Наверняка кто-то сталкивался. И еще, если заметили в конфиге, в роутмапах стоит вторым условием не set interface, а match interface. И только тогда схема работает. Почему, не знаю. Может лпытные гуру пояснят, почему так. И как правильнее сделать. Кстати, схема failover у нас на этом конфиге работает, при падении Билайна чистятся записи НАТ и соединение переходит на ПППоЕ, при поднятии Билайна схема возвращается назад, то есть вроде всё хорошо. А вот сервис не работает. ! version 12.4 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime localtime service password-encryption ! hostname CENTRAL-OFFICE ! boot-start-marker warm-reboot boot-end-marker ! security authentication failure rate 3 log logging message-counter syslog logging buffered 64000 enable secret 5 HEREISTHESECRETPASSWORD ! aaa new-model aaa local authentication attempts max-fail 3 ! ! aaa authentication login default local aaa authentication ppp default local aaa authentication ppp vpn-users local aaa authorization exec default local aaa authorization exec vpn-users local aaa authorization network vpn-users local ! ! aaa session-id common clock timezone MSK 4 ! ip source-route no ip gratuitous-arps ip cef ! ! ! ! no ip domain lookup ip domain name somewhere.net ip name-server 8.8.8.8 no ipv6 cef ! ! multilink bundle-name authenticated ! ! ! ! vpdn enable ! vpdn-group 239 accept-dialin protocol pptp virtual-template 100 ! vpdn-group global ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any ! ! password encryption aes voice-card 0 ! username administrator privilege 15 password 7 737364645252414571 username vpnuser password 7 85956353413120384645373930 archive log config hidekeys ! ip tcp selective-ack ip tcp timestamp ip tcp synwait-time 5 ip tcp path-mtu-discovery ip ssh version 2 ! l2tp-class beeline pseudowire-class pw-beeline encapsulation l2tpv2 protocol l2tpv2 beeline ! buffers tune automatic ! interface Loopback0 ip address 10.111.111.111 255.255.255.255 ! interface GigabitEthernet0/0 descrition --Our Local Network-- ip address 192.168.7.2 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1 description --Trunk Connection-- no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1.10 description --Connection to ISP1 through vlan on our managed switch-- encapsulation dot1Q 10 pppoe enable group global pppoe-client dial-pool-number 2 ! interface GigabitEthernet0/1.20 description --Connection to ISP2 through vlan on our managed switch-- encapsulation dot1Q 20 ip address dhcp ip virtual-reassembly ! interface Virtual-PPP5 description --Interface for ISP2-- ip address negotiated no ip proxy-arp ip nat outside ip virtual-reassembly ip tcp adjust-mss 1380 no peer neighbor-route no cdp enable ppp authentication chap callin ppp chap hostname 8282828282828 ppp chap password 7 theSecretForISP2 pseudowire 10.255.255.242 10 pw-class pw-beeline ! interface Virtual-Template100 description --TEMPLATE for incoming PPtP connections of our users-- ip unnumbered Dialer1 autodetect encapsulation ppp peer default ip address pool for-vpn no keepalive ppp authentication ms-chap ms-chap-v2 vpn-users ppp authorization vpn-users ! interface Dialer1 description --Interface for ISP1. PPPoE-- bandwidth 10240 ip address negotiated ip accounting output-packets ip nbar protocol-discovery ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1400 load-interval 30 dialer pool 2 dialer-group 2 no fair-queue ppp authentication chap callin ppp pap sent-username reteretere password 7 PasswordForISP1 ! ip local policy route-map External_VPN ip local pool for-vpn 172.16.135.1 172.16.135.10 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 100 track 1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP5 track 2 ip route 192.168.239.0 255.255.255.0 172.16.135.1 name C1841-Rossiyskaya70 ip route 194.87.0.8 255.255.255.255 Dialer1 ip route 194.87.0.9 255.255.255.255 Virtual-PPP5 ip route 10.255.255.242 255.255.255.255 dhcp ip route 10.255.255.247 255.255.255.255 dhcp no ip http server no ip http secure-server ! ! ip nat inside source route-map Beeline interface Virtual-PPP5 overload ip nat inside source route-map UTK interface Dialer1 overload ! ! ! This access-list is for local Network proxy ip access-list standard fwd-squid permit 192.168.7.100 permit 192.168.7.0 0.0.0.255 ! ! This access-list is for ip local policy ip access-list extended External_VPN_access permit tcp host 85.20.20.20 eq 1723 any permit tcp host 85.20.20.20 eq 22 any permit tcp host 85.20.20.20 eq telnet any permit icmp host 85.20.20.20 any echo-reply ! ! track 1 ip sla 1 reachability ip sla 1 icmp-echo 194.87.0.8 source-interface Dialer1 timeout 7000 threshold 100 frequency 15 ip sla schedule 1 life forever start-time now ip sla reaction-configuration 1 react timeout threshold-type immediate action-type triggerOnly ! ! track 2 ip sla 2 reachability ip sla 2 icmp-echo 194.87.0.9 source-interface Virtual-PPP5 timeout 7000 threshold 400 frequency 15 ip sla schedule 2 life forever start-time now ip sla reaction-configuration 2 react timeout threshold-type immediate action-type triggerOnly ! ! access-list 1 remark --SNMP Watching-- access-list 1 permit 192.168.7.0 0.0.0.255 access-list 100 permit ip 192.168.7.0 0.0.0.255 any dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 3 protocol ip permit ! route-map External_VPN permit 10 match ip address External_VPN_access set default interface Dialer1 ! route-map UTK permit 10 match ip address 100 match interface Dialer1 ! route-map Beeline permit 10 match ip address 100 match interface Virtual-PPP5 ! ! snmp-server community public RO 1 ! control-plane ! line con 0 line aux 0 line vty 0 4 exec-timeout 30 0 line vty 5 15 ! exception memory ignore overflow processor exception memory ignore overflow io scheduler allocate 20000 1000 ntp update-calendar ntp peer 194.33.84.1 event manager applet nat_clear_isp1 event track 1 state any action 1 wait 5 action 2 cli command "enable" action 3 cli command "clear ip nat translation *" event manager applet nat_clear_isp2 event track 2 state any action 1 wait 5 action 2 cli command "enable" action 3 cli command "clear ip nat translation *" ! end Scheme.pdf Вставить ник Quote
siddkharta Posted September 14, 2014 Author Posted September 14, 2014 Кстати, может кто реализовал схему OER, поделитесь плз мыслями, только если оно реально работает в боевом применении, а не на тесте в лабе "при определенных условиях". Спасибо! Вставить ник Quote
Andrei Posted October 21, 2015 Posted October 21, 2015 Вобщем-то аналогичная схема, но с cisco 7204 vxr cisco терминирует pptp/pppoe и НАТит в 2 канала через pbr. Все работает, но есть нюанс. interface Virtual-Template1 description PPTP VPN template interface ip unnumbered Loopback0 no ip redirects ip flow ingress ip flow egress ip nat inside ip router isis ip virtual-reassembly ip policy route-map nat_to_sovintel no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 212.57.ххх.61 8.8.8.8 route-map nat_to_sovintel permit 10 match ip address 100 set ip next-hop 62.141.99.89 interface FastEthernet1/1.502 encapsulation dot1Q 502 ip address 62.141.99.90 255.255.255.252 ip nat outside ip virtual-reassembly max-reassemblies 32 no cdp enable Вот с DNS-ом засада. 212.57.ххх.61 - наш DNS с циски до него c7204_core#traceroute 212.57.ххх.61 Type escape sequence to abort. Tracing the route to ns.ххххх.ru (212.57.ххх.61) 1 * * ns.хххххххх.ru (212.57.ххх.61) 0 msec т.е. рядом циской, но по route-map nat_to_sovintel трафик от клиентов уходит на канал другого магистрала (Би) на 62.141.99.89 и через полинета возвращается к нам через РТ на 212.57.ххх.61: Трассировка маршрута к 212.57.ххх.61 с максимальным числом прыжков 30: 1 1 ms 2 ms <1 мс DLINK-88EA34 [192.168.0.1] 2 1 ms 1 ms * 10.1.1.1 3 8 ms 10 ms 11 ms 62.141.99.89 4 8 ms 10 ms 9 ms pe02.Chelyabinsk.gldn.net [195.222.163.101] 5 30 ms 30 ms 30 ms chbs-rgr3.ur.ip.rostelecom.ru [195.222.166.214] 6 31 ms 34 ms 30 ms 95.167.92.225 7 31 ms 30 ms 33 ms 188.128.90.138 8 34 ms 50 ms 33 ms 90.150.2.73 9 39 ms 38 ms 39 ms ns.ххххххх.ru [212.57.ххх.61] Трассировка завершена. Хотелось бы, чтобы траф до нашего ДНС ходил напрямую внутри нашей сетки. Что-то надо поправить в PBR/роутах? c7204_core#sh ip route 212.57.ххх.61 % Subnet not in table Добавление ip route 212.57.ххх.61 255.255.255.255 наш_линух_роутер ситуацию не исправляет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.