Jump to content
Калькуляторы

Cisco 3825 2 Провайдера, PBR и сервисы. Не работает PPtP сервис на борту Циско 3825 при PBR

Стояла у нас Cisco 3825 ISR. Пока был один пров, всё было хорошо. Но дернуло нас подключить второго провайдера.

Мало того, что цисковский конфиг для Билайна -вещь сама в себе, эдакий изыск не для слабонервных, тут надо было

еще и PBR вводить, решили Билайн сделать основным линком для качания (динамический внешний ИП), а PPPoE с постоянным ИП оставить для всяких-разных сервисов типа PPtP на циске для удаленного доступа. Конфиг заработал, однако весьма странно. То есть если заходить на постоянный ИП ПППоЕ телнетом - пускает, а вот попытка присоединиться на этот ИП с помощью PPtP выдает всё что угодно, только не подключение. При этом ip local policy настроен и судя по sh ip local policy работает, пакетики бегут.

 

Вот show ver

 

Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(24)T7

 

У Cisco 3825 на борту 2 DIMM - 256Mb и 512 Mb памяти.

 

Парни, помогите разобраться, почему не работает ППтП сервер на Циске 3825. Наверняка кто-то сталкивался.

И еще, если заметили в конфиге, в роутмапах стоит вторым условием не set interface, а match interface. И только тогда схема работает. Почему, не знаю. Может лпытные гуру пояснят, почему так. И как правильнее сделать.

Кстати, схема failover у нас на этом конфиге работает, при падении Билайна чистятся записи НАТ и соединение переходит на ПППоЕ, при поднятии Билайна схема возвращается назад, то есть вроде всё хорошо. А вот сервис не работает.

 

 

 

!

version 12.4

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime localtime

service password-encryption

!

hostname CENTRAL-OFFICE

!

boot-start-marker

warm-reboot

boot-end-marker

!

security authentication failure rate 3 log

logging message-counter syslog

logging buffered 64000

enable secret 5 HEREISTHESECRETPASSWORD

!

aaa new-model

aaa local authentication attempts max-fail 3

!

!

aaa authentication login default local

aaa authentication ppp default local

aaa authentication ppp vpn-users local

aaa authorization exec default local

aaa authorization exec vpn-users local

aaa authorization network vpn-users local

!

!

aaa session-id common

clock timezone MSK 4

!

ip source-route

no ip gratuitous-arps

ip cef

!

!

!

!

no ip domain lookup

ip domain name somewhere.net

ip name-server 8.8.8.8

no ipv6 cef

!

!

multilink bundle-name authenticated

!

!

!

!

vpdn enable

!

vpdn-group 239

accept-dialin

protocol pptp

virtual-template 100

!

vpdn-group global

! Default L2TP VPDN group

! Default PPTP VPDN group

accept-dialin

protocol any

!

!

password encryption aes

voice-card 0

!

username administrator privilege 15 password 7 737364645252414571

username vpnuser password 7 85956353413120384645373930

archive

log config

hidekeys

!

ip tcp selective-ack

ip tcp timestamp

ip tcp synwait-time 5

ip tcp path-mtu-discovery

ip ssh version 2

!

l2tp-class beeline

pseudowire-class pw-beeline

encapsulation l2tpv2

protocol l2tpv2 beeline

!

buffers tune automatic

!

interface Loopback0

ip address 10.111.111.111 255.255.255.255

!

interface GigabitEthernet0/0

descrition --Our Local Network--

ip address 192.168.7.2 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

media-type rj45

!

interface GigabitEthernet0/1

description --Trunk Connection--

no ip address

duplex auto

speed auto

media-type rj45

!

interface GigabitEthernet0/1.10

description --Connection to ISP1 through vlan on our managed switch--

encapsulation dot1Q 10

pppoe enable group global

pppoe-client dial-pool-number 2

!

interface GigabitEthernet0/1.20

description --Connection to ISP2 through vlan on our managed switch--

encapsulation dot1Q 20

ip address dhcp

ip virtual-reassembly

!

interface Virtual-PPP5

description --Interface for ISP2--

ip address negotiated

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1380

no peer neighbor-route

no cdp enable

ppp authentication chap callin

ppp chap hostname 8282828282828

ppp chap password 7 theSecretForISP2

pseudowire 10.255.255.242 10 pw-class pw-beeline

!

interface Virtual-Template100

description --TEMPLATE for incoming PPtP connections of our users--

ip unnumbered Dialer1

autodetect encapsulation ppp

peer default ip address pool for-vpn

no keepalive

ppp authentication ms-chap ms-chap-v2 vpn-users

ppp authorization vpn-users

!

interface Dialer1

description --Interface for ISP1. PPPoE--

bandwidth 10240

ip address negotiated

ip accounting output-packets

ip nbar protocol-discovery

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1400

load-interval 30

dialer pool 2

dialer-group 2

no fair-queue

ppp authentication chap callin

ppp pap sent-username reteretere password 7 PasswordForISP1

!

ip local policy route-map External_VPN

ip local pool for-vpn 172.16.135.1 172.16.135.10

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1 100 track 1

ip route 0.0.0.0 0.0.0.0 Virtual-PPP5 track 2

ip route 192.168.239.0 255.255.255.0 172.16.135.1 name C1841-Rossiyskaya70

ip route 194.87.0.8 255.255.255.255 Dialer1

ip route 194.87.0.9 255.255.255.255 Virtual-PPP5

ip route 10.255.255.242 255.255.255.255 dhcp

ip route 10.255.255.247 255.255.255.255 dhcp

no ip http server

no ip http secure-server

!

!

ip nat inside source route-map Beeline interface Virtual-PPP5 overload

ip nat inside source route-map UTK interface Dialer1 overload

!

!

! This access-list is for local Network proxy

ip access-list standard fwd-squid

permit 192.168.7.100

permit 192.168.7.0 0.0.0.255

!

! This access-list is for ip local policy

ip access-list extended External_VPN_access

permit tcp host 85.20.20.20 eq 1723 any

permit tcp host 85.20.20.20 eq 22 any

permit tcp host 85.20.20.20 eq telnet any

permit icmp host 85.20.20.20 any echo-reply

!

!

track 1 ip sla 1 reachability

ip sla 1

icmp-echo 194.87.0.8 source-interface Dialer1

timeout 7000

threshold 100

frequency 15

ip sla schedule 1 life forever start-time now

ip sla reaction-configuration 1 react timeout threshold-type immediate action-type triggerOnly

!

!

track 2 ip sla 2 reachability

ip sla 2

icmp-echo 194.87.0.9 source-interface Virtual-PPP5

timeout 7000

threshold 400

frequency 15

ip sla schedule 2 life forever start-time now

ip sla reaction-configuration 2 react timeout threshold-type immediate action-type triggerOnly

!

!

access-list 1 remark --SNMP Watching--

access-list 1 permit 192.168.7.0 0.0.0.255

access-list 100 permit ip 192.168.7.0 0.0.0.255 any

dialer-list 1 protocol ip permit

dialer-list 2 protocol ip permit

dialer-list 3 protocol ip permit

!

route-map External_VPN permit 10

match ip address External_VPN_access

set default interface Dialer1

!

route-map UTK permit 10

match ip address 100

match interface Dialer1

!

route-map Beeline permit 10

match ip address 100

match interface Virtual-PPP5

!

!

snmp-server community public RO 1

!

control-plane

!

line con 0

line aux 0

line vty 0 4

exec-timeout 30 0

line vty 5 15

!

exception memory ignore overflow processor

exception memory ignore overflow io

scheduler allocate 20000 1000

ntp update-calendar

ntp peer 194.33.84.1

event manager applet nat_clear_isp1

event track 1 state any

action 1 wait 5

action 2 cli command "enable"

action 3 cli command "clear ip nat translation *"

event manager applet nat_clear_isp2

event track 2 state any

action 1 wait 5

action 2 cli command "enable"

action 3 cli command "clear ip nat translation *"

!

end

Scheme.pdf

Share this post


Link to post
Share on other sites

Кстати, может кто реализовал схему OER, поделитесь плз мыслями, только если оно реально работает в боевом применении, а не на тесте в лабе "при определенных условиях".

Спасибо!

Share this post


Link to post
Share on other sites

Вобщем-то аналогичная схема, но с cisco 7204 vxr

cisco терминирует pptp/pppoe и НАТит в 2 канала через pbr. Все работает, но есть нюанс.

 

interface Virtual-Template1

description PPTP VPN template interface

ip unnumbered Loopback0

no ip redirects

ip flow ingress

ip flow egress

ip nat inside

ip router isis

ip virtual-reassembly

ip policy route-map nat_to_sovintel

no logging event link-status

no peer default ip address

keepalive 30 7

ppp authentication pap chap callin via_lb

ppp authorization via_lb

ppp accounting via_lb

ppp ipcp dns 212.57.ххх.61 8.8.8.8

 

route-map nat_to_sovintel permit 10

match ip address 100

set ip next-hop 62.141.99.89

 

interface FastEthernet1/1.502

encapsulation dot1Q 502

ip address 62.141.99.90 255.255.255.252

ip nat outside

ip virtual-reassembly max-reassemblies 32

no cdp enable

 

Вот с DNS-ом засада.

212.57.ххх.61 - наш DNS

с циски до него

c7204_core#traceroute 212.57.ххх.61

 

Type escape sequence to abort.

Tracing the route to ns.ххххх.ru (212.57.ххх.61)

1 * * ns.хххххххх.ru (212.57.ххх.61) 0 msec

 

т.е. рядом циской, но по route-map nat_to_sovintel трафик от клиентов уходит на канал другого магистрала (Би) на 62.141.99.89 и через полинета возвращается к нам через РТ на 212.57.ххх.61:

 

Трассировка маршрута к 212.57.ххх.61

с максимальным числом прыжков 30:

1 1 ms 2 ms <1 мс DLINK-88EA34 [192.168.0.1]

2 1 ms 1 ms * 10.1.1.1

3 8 ms 10 ms 11 ms 62.141.99.89

4 8 ms 10 ms 9 ms pe02.Chelyabinsk.gldn.net [195.222.163.101]

5 30 ms 30 ms 30 ms chbs-rgr3.ur.ip.rostelecom.ru [195.222.166.214]

6 31 ms 34 ms 30 ms 95.167.92.225

7 31 ms 30 ms 33 ms 188.128.90.138

8 34 ms 50 ms 33 ms 90.150.2.73

9 39 ms 38 ms 39 ms ns.ххххххх.ru [212.57.ххх.61]

Трассировка завершена.

 

Хотелось бы, чтобы траф до нашего ДНС ходил напрямую внутри нашей сетки.

Что-то надо поправить в PBR/роутах?

 

c7204_core#sh ip route 212.57.ххх.61

% Subnet not in table

 

Добавление

ip route 212.57.ххх.61 255.255.255.255 наш_линух_роутер

ситуацию не исправляет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this