The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 877 и проблемы с туннелями"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 18-Май-10, 05:31 
Доброго всем.

Открылось в нашей славной компании представительство в г. Киеве. надо было связать сеть маленького офиса с общей сетью компании, повез с собой Cisco 877-K9, интернет провайдет раздает через ADSL, получить инет мне удалось, раздать с NAT тоже. Но туннель так и не поднялся...
Может я чтото не понимаю или туплю может у кого из вас, уважаемые специалисты, будет ответ?
Вот мой конфиг:

kiev#show run
Building configuration...
Current configuration : 4200 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname kiev
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2608056113
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2608056113
revocation-check none
rsakeypair TP-self-signed-2608056113
!
crypto pki certificate chain TP-self-signed-2608056113
certificate self-signed 01
  3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  B9BB6262 92193BA7 89FB3F34 37F0E22A 4C36E6C2 F474F428 C40390B9 137CCA53
  F96389CE A6F3FF1C 1D52E4E2 F87751
        quit
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.7.1
ip dhcp excluded-address 192.168.7.20
ip dhcp excluded-address 192.168.7.111
ip dhcp excluded-address 192.168.7.150 192.168.7.200
!
ip dhcp pool kiev.local
   network 192.168.7.0 255.255.255.0
   domain-name kiev.cisco
   dns-server 192.168.7.1
   netbios-name-server 192.168.0.2
   default-router 192.168.7.1
   lease 7
!
ip domain name yourdomain.com
ip name-server 8.8.8.8
!
username prazdnick privilege 15 secret 5 $1$ICeH$bSccJ06wdv3JP7tVEe48o1
!
archive
log config
  hidekeys
!
interface Tunnel100
description Tunnel to Yekaterinburg
ip unnumbered Vlan1
tunnel source Dialer0
tunnel destination 213.242.222.111
!
interface ATM0
description vega.internet.network
no ip address
no atm ilmi-keepalive
pvc 0/33
  encapsulation aal5snap
  pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description kiev.local.network
ip address 192.168.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer0
description vega.isp.pppoe
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username adsl-username password 0 adsl-password
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.255.0 Tunnel100
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip dns server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.7.0 0.0.0.255
access-list 23 permit any
access-list 101 permit tcp host 213.242.222.111 host 213.227.000.333 eq 22
access-list 101 permit ip any any
dialer-list 2 protocol ip permit
no cdp run
!
control-plane
!
banner exec ^C Ok, let's do some job ^C
banner login ^C Hi! I'm Kiev router, please name yourself... ^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Самое странное что я даже не могу попасть извне на Cisco через ssh, хоть и транспорт разрешен и правило доступа прописано... только пинги идут нормально.

С уважением, Denis.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 18-Май-10, 14:27 
Самое странное что сидел смотрел на принимающем серваке пакеты от циски
kiev#ping 192.168.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

и вот что я увидел

root@mail log # tcpdump -i em1 src 213.227.222.111
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
16:12:25.666325 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 0, length 80
16:12:27.662214 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 1, length 80
16:12:29.661350 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 2, length 80
16:12:31.661238 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 3, length 80
16:12:33.660250 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 4, length 80
^Z
[13]+  Stopped                 tcpdump -i em1 src 213.227.222.111

стало жутко интерено что это такое...

root@mail log # nslookup 213-227-222-111.static.vega-ua.net
Server:         194.213.21.3
Address:        194.213.21.3#53

Non-authoritative answer:
Name:   213-227-222-111.static.vega-ua.net
Address: 213.227.222.111

оказалось это доменное имя принадлежит моей циске... может кто подскажет что это за доменное имя? как это примерно организованно?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от oleg_matroskin (??) on 19-Май-10, 06:22 
>[оверквотинг удален]
>root@mail log # nslookup 213-227-222-111.static.vega-ua.net
>Server:         194.213.21.3
>Address:        194.213.21.3#53
>
>Non-authoritative answer:
>Name:   213-227-222-111.static.vega-ua.net
>Address: 213.227.222.111
>
>оказалось это доменное имя принадлежит моей циске... может кто подскажет что это
>за доменное имя? как это примерно организованно?

походу дело всетаки у вас в нате! Если с одного роутера другой конец тунеля пингуется то тогда сделайте расширенный список доступа для ната и там исключите трансляции из вашей сети к сети которая находится через тунель!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 20-Май-10, 11:11 
>[оверквотинг удален]
>>Name:   213-227-222-111.static.vega-ua.net
>>Address: 213.227.222.111
>>
>>оказалось это доменное имя принадлежит моей циске... может кто подскажет что это
>>за доменное имя? как это примерно организованно?
>
>походу дело всетаки у вас в нате! Если с одного роутера другой
>конец тунеля пингуется то тогда сделайте расширенный список доступа для ната
>и там исключите трансляции из вашей сети к сети которая находится
>через тунель!

Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD как и положенно что видно на дампе... видна gre инкапсуляция, видно кто куда и что шлет, но! когда обратно пакет уходит он либо не доходит либо приходит в неудобоваримом виде... игрался с access list'ами и даже такое допущение:

access-list 101 permit ip any any
access-list 101 permit gre any any
access-list 101 permit udp any any
access-list 101 permit tcp any any
access-list 101 permit icmp any any

ничего не принесло.
Скажите мне есть ли аналог tcpdump чтобы в работе из консоли узнать какие пакеты приходят в ответ?
У меня стоят довольно много туннелей но большинство из них по типу FreeBSD <--> FreeBSD есть еще парочку Cisco 877 но там инет не через DSL а прямая выделенка, таких проблем я там не встречал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от Дмитрий (??) on 20-Май-10, 11:14 
debug ip icmp packet (но аккуратнее, debug может перегрузить вашу циску)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 20-Май-10, 12:02 
>debug ip icmp packet (но аккуратнее, debug может перегрузить вашу циску)

Попробую... спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от Дмитрий (??) on 20-Май-10, 11:21 

>Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD
>как и положенно что видно на дампе... видна gre инкапсуляция, видно
>кто куда и что шлет, но! когда обратно пакет уходит он
>либо не доходит либо приходит в неудобоваримом виде...

А обратные пакеты Вы не дампили? Может у Вас просто в тоннель на FreeBSD пакеты не попадают?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 20-Май-10, 12:01 
>
>>Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD
>>как и положенно что видно на дампе... видна gre инкапсуляция, видно
>>кто куда и что шлет, но! когда обратно пакет уходит он
>>либо не доходит либо приходит в неудобоваримом виде...
>
>А обратные пакеты Вы не дампили? Может у Вас просто в тоннель
>на FreeBSD пакеты не попадают?

Дампил, все исправно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от Дмитрий (??) on 18-Май-10, 18:53 
Чет параметров тоннеля маловато. Какой Вы хотите тоннель?

PS Вы бы убрали с глаз долой юзернейм и публичные адреса... Интернет все таки...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 20-Май-10, 11:13 
>Чет параметров тоннеля маловато. Какой Вы хотите тоннель?

Подскажите типовой конфиг GRE или IPIP туннеля поверх DSL модема...
погуглив немного нашел примеры с пояснениями обновил конфиг:

interface Tunnel100
description tunnel.to.yekaterinburg
ip unnumbered Vlan1
no ip redirects
no ip proxy-arp
ip mtu 1460
ip tcp adjust-mss 1420
no ip mroute-cache
tunnel source Dialer0
tunnel destination 213.242.222.111


>PS Вы бы убрали с глаз долой юзернейм и публичные адреса... Интернет
>все таки...

Все измененно, я ж не маленький :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Cisco 877 и проблемы с туннелями"  +/
Сообщение от prazdnick_d email(ok) on 20-Май-10, 12:05 
Всем большое спасибо за помощь!!!
Я решил свою проблему. По советам просмотрел что приходит на циску и увидел что там пакеты толи обрезанные толи изменены.
Поигрался с FreeBSD выставил иное значение mtu сменил gre на ipip и туннель ожил!!!
Выяснил что полтергейст в провайдере.

Так что пойду радоваться жизни дальше.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру