URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11752
[ Назад ]

Исходное сообщение
"PPTP большая проблемма"

Отправлено ALhimik , 17-Окт-06 23:32 
Есть циска 7140, конфиг прилагаю. Пустил через неё своих VPN-щиков, сейчас ночью спать не дают. Проблема в том что они подключаются, всё работает, но через кое-то время связь с интернетом у них пропадает. Причём соединение остаётся активным. Переподключаются опять какое-то время работают. Где лажа? Дайте совет. ip cef отключил, звонков стало на 60% меньше но проблемма не ушла. Может кто сталкивался с таким?
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DC_VPN
!
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius if-authenticated
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
enable secret 5 $1$cJYB$TG.HjC4ewk53j/eacYkOR0
enable password xxxxxx
!
username admin password 0 xxxxxxx
username root privilege 8 password 0 test
ip subnet-zero
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host root 10.10.0.2 root enable
!
!
ip domain-name router
ip name-server 10.10.0.2
!
no ip cef
ip audit po max-events 100
ip accounting-threshold 4294967295
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
local name pptp_gateway
!
!
call rsvp-sync
!
!
!
!
!
!
controller ISA 5/1
encryption mppe
!
!
!
interface Loopback0
description Loopback for PPTP
ip address 172.16.128.1 255.255.128.0
!
interface FastEthernet0/0
description PPTP clients
ip address 192.168.191.1 255.255.255.0 secondary
ip address 192.168.192.1 255.255.255.0 secondary
ip address 192.168.193.1 255.255.255.0 secondary
ip address 192.168.194.1 255.255.255.0 secondary
ip address 192.168.195.1 255.255.255.0 secondary
ip address 192.168.196.1 255.255.255.0 secondary
ip address 192.168.197.1 255.255.255.0 secondary
ip address 192.168.198.1 255.255.255.0 secondary
ip address 192.168.199.1 255.255.255.0 secondary
ip address 192.168.200.1 255.255.255.0 secondary
ip address 192.168.201.1 255.255.255.0 secondary
ip address 192.168.202.1 255.255.255.0 secondary
ip address 192.168.190.1 255.255.255.0
no ip redirects
ip accounting output-packets
duplex full
speed auto
pppoe enable
!
interface FastEthernet0/1
description Internet
ip address 10.10.0.1 255.255.255.252
no ip redirects
no ip proxy-arp
duplex full
speed auto
!
interface Virtual-Template1
ip unnumbered Loopback0
ip accounting output-packets
no logging event link-status
autodetect encapsulation ppp
no peer default ip address
ppp encrypt mppe 128
ppp authentication ms-chap chap callin
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.0.2
no ip http server
!
ip radius source-interface FastEthernet0/1
snmp-server community public RO
snmp-server enable traps tty
!
radius-server configure-nas
radius-server host 10.10.0.2 auth-port 1812 acct-port 1813
radius-server timeout 30
radius-server key testing123
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 show ip accounting checkpoint
privilege exec level 1 show ip accounting
privilege exec level 8 clear ip accounting checkpoint
privilege exec level 8 show users
!
line con 0
line aux 0
line vty 0 4
exec-timeout 120 0
password cisco7
line vty 5 15
exec-timeout 120 0
password cisco7
!
end

DC_VPN#


Содержание

Сообщения в этом обсуждении
"PPTP большая проблемма"
Отправлено fantom , 18-Окт-06 10:16 
>Есть циска 7140, конфиг прилагаю. Пустил через неё своих VPN-щиков, сейчас ночью
>спать не дают. Проблема в том что они подключаются, всё работает,
>но через кое-то время связь с интернетом у них пропадает. Причём
>соединение остаётся активным. Переподключаются опять какое-то время работают. Где лажа? Дайте
>совет. ip cef отключил, звонков стало на 60% меньше но проблемма
>не ушла. Может кто сталкивался с таким?
>!
>version 12.2
>service timestamps debug datetime msec
>service timestamps log datetime msec
>no service password-encryption
>!
>hostname DC_VPN
>!
>aaa new-model
>aaa authentication login default local
>aaa authentication ppp default group radius
>aaa authorization exec default local
>aaa authorization network default group radius if-authenticated
>aaa accounting network default start-stop group radius
>aaa accounting system default start-stop group radius
>enable secret 5 $1$cJYB$TG.HjC4ewk53j/eacYkOR0
>enable password xxxxxx
>!
>username admin password 0 xxxxxxx
>username root privilege 8 password 0 test
>ip subnet-zero
>no ip rcmd domain-lookup
>ip rcmd rsh-enable
>ip rcmd remote-host root 10.10.0.2 root enable
>!
>!
>ip domain-name router
>ip name-server 10.10.0.2
>!
>no ip cef
>ip audit po max-events 100
>ip accounting-threshold 4294967295
>vpdn enable
>!
>vpdn-group 1
>! Default PPTP VPDN group
> accept-dialin
>  protocol pptp
>  virtual-template 1
> local name pptp_gateway
>!
>!
>call rsvp-sync
>!
>!
>!
>!
>!
>!
>controller ISA 5/1
> encryption mppe
>!
>!
>!
>interface Loopback0
> description Loopback for PPTP
> ip address 172.16.128.1 255.255.128.0
>!
>interface FastEthernet0/0
> description PPTP clients
> ip address 192.168.191.1 255.255.255.0 secondary
> ip address 192.168.192.1 255.255.255.0 secondary
> ip address 192.168.193.1 255.255.255.0 secondary
> ip address 192.168.194.1 255.255.255.0 secondary
> ip address 192.168.195.1 255.255.255.0 secondary
> ip address 192.168.196.1 255.255.255.0 secondary
> ip address 192.168.197.1 255.255.255.0 secondary
> ip address 192.168.198.1 255.255.255.0 secondary
> ip address 192.168.199.1 255.255.255.0 secondary
> ip address 192.168.200.1 255.255.255.0 secondary
> ip address 192.168.201.1 255.255.255.0 secondary
> ip address 192.168.202.1 255.255.255.0 secondary
> ip address 192.168.190.1 255.255.255.0
> no ip redirects
> ip accounting output-packets
> duplex full
> speed auto
> pppoe enable
>!
>interface FastEthernet0/1
> description Internet
> ip address 10.10.0.1 255.255.255.252
> no ip redirects
> no ip proxy-arp
> duplex full
> speed auto
>!
>interface Virtual-Template1
> ip unnumbered Loopback0
> ip accounting output-packets
> no logging event link-status
> autodetect encapsulation ppp
> no peer default ip address
> ppp encrypt mppe 128
> ppp authentication ms-chap chap callin
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.10.0.2
>no ip http server
>!
>ip radius source-interface FastEthernet0/1
>snmp-server community public RO
>snmp-server enable traps tty
>!
>radius-server configure-nas
>radius-server host 10.10.0.2 auth-port 1812 acct-port 1813
>radius-server timeout 30
>radius-server key testing123
>!
>privilege exec level 8 access-template
>privilege exec level 8 clear access-template
>privilege exec level 8 show ip accounting checkpoint
>privilege exec level 1 show ip accounting
>privilege exec level 8 clear ip accounting checkpoint
>privilege exec level 8 show users
>!
>line con 0
>line aux 0
>line vty 0 4
> exec-timeout 120 0
> password cisco7
>line vty 5 15
> exec-timeout 120 0
> password cisco7
>!
>end
>
>DC_VPN#


Для начала попробовать отключить mppe


"PPTP большая проблемма"
Отправлено ALhimik , 18-Окт-06 12:14 

>Для начала попробовать отключить mppe


отключал, эффекта не было.

на cisco.com нашол только

Let us assume the gateway router is an ISP Router. When the PPTP tunnel comes up on the PC, the PPTP route is installed with a higher metric than the previous default, so we lose Internet connectivity. To remedy this, modify the Microsoft routing to delete the default and reinstall the default route (this requires knowing the IP address the PPTP client has been assigned; for the current example, this was 172.16.10.1)

Только как это мне поможет пока не представляю.


"PPTP большая проблемма"
Отправлено fantom , 18-Окт-06 12:29 
>
>>Для начала попробовать отключить mppe
>
>
>отключал, эффекта не было.
>
>на cisco.com нашол только
>
>Let us assume the gateway router is an ISP Router. When the
>PPTP tunnel comes up on the PC, the PPTP route is
>installed with a higher metric than the previous default, so we
>lose Internet connectivity. To remedy this, modify the Microsoft routing to
>delete the default and reinstall the default route (this requires knowing
>the IP address the PPTP client has been assigned; for the
>current example, this was 172.16.10.1)
>
>Только как это мне поможет пока не представляю.

Врядли это то, что нужно, при описаной проблеме должно сразу неработать.
А как это выглядит со стороны пользователя (кроме пропадания инета)?
Посмотреть таблицу маршрутизации?
пингается второй конц тунеля или нет?
пингается адрес ppp интерфейса на клиенте?
пакеты уходят, но не возвращаются?
пакеты вообще не уходят?
пакеты уходят, но не доходят до циски?

Кстати как вариант - ms-chap регулярно проверят "подлинность" авторизованого клиента, если попробовать pap эффект проявиться или нет?