Перенос конфига для 881, borr741, 11-Янв-17, 18:55 [смотреть все]Пытаюсь перенести конфиг с cisco 881 на новую cisco 881 на старой ос 15.1 на новой 15.5 Конфиг перенес, но соединения с интернетом нет. ping 8.8.8.8 не проходит Кофиг на новой циске после переноса version 15.5 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! enable secret 5 [key]. ! aaa new-model ! ! aaa authorization network VPDN local ! aaa attribute list delo attribute type addr-pool "delo" service ppp protocol ip ! aaa attribute list local attribute type addr-pool "local" service ppp protocol ip ! aaa attribute list root attribute type addr-pool "root" service ppp protocol ip ! ! aaa session-id common ethernet lmi ce memory-size iomem 10 clock timezone Russia 4 0 clock summer-time RU recurring last Sun Mar 1:00 last Sun Oct 1:00 clock calendar-valid ! ! ip domain name octyabrski.com ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! crypto pki trustpoint TP-self-signed-565949778 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-565949778 revocation-check none rsakeypair TP-self-signed-565949778 ! ! license udi pid C881-K9 sn [SN] ! ! archive path ftp://192.168.137.137/cisco_conf/Arch_backup.conf time-period 5040 file prompt quiet username admin privilege 15 password 7 [pass] username delo privilege 0 password 7 [pass] username delo aaa attribute list delo username local privilege 0 password 7 [pass] username local aaa attribute list local username root privilege 15 password 7 [pass] username root aaa attribute list local ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 switchport access vlan 2 no ip address no cdp enable ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface Virtual-Template1 ip unnumbered FastEthernet3 peer default ip address pool delo local no keepalive ppp authentication pap chap ms-chap ms-chap-v2 ppp authorization VPDN ! interface Vlan1 ip address 192.168.137.1 255.255.255.0 ip nat inside no ip virtual-reassembly in ! interface Vlan2 ip address 192.169.237.2 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat outside no ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname [user] ppp chap password 7 [pass] ppp chap refuse ppp pap sent-username [user] password 7 [pass] ppp ipcp route default no cdp enable ! ip local pool local 192.168.137.230 192.168.137.250 ip local pool delo 192.169.237.3 192.169.237.41 ip forward-protocol nd ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ! no ip ftp passive ip ftp username root ip ftp password 7 [pass] ip nat service list 10 ftp tcp port 999 ip nat inside source list 101 interface Dialer1 overload ip nat inside source list 102 interface Vlan2 overload ip nat inside source static tcp 192.168.137.137 999 [static ip] 999 extendable ip nat inside source static tcp 192.168.137.137 3389 [static ip] 3389 extendable ip nat inside source static tcp 192.168.137.137 8888 [static ip] 8888 extendable ip default-network 192.168.137.0 ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 172.21.102.0 255.255.255.0 192.169.237.1 ip route 172.30.181.0 255.255.255.0 192.169.237.1 ip route 192.168.14.0 255.255.255.0 192.169.237.1 ip route 192.168.137.0 255.255.255.0 Dialer1 ip route 192.168.200.0 255.255.255.0 192.169.237.1 ip ssh version 1 ! kron occurrence backup at 16:00 recurring ! kron policy-list backup cli copy startup-config ftp://192.168.137.137/cisco_conf/backup.conf ! dialer-list 1 protocol ip permit ! access-list 10 permit 192.168.137.137 access-list 101 deny ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 101 deny ip 192.168.200.0 0.0.0.255 192.169.237.0 0.0.0.255 access-list 101 deny ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255 access-list 101 deny ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255 access-list 101 deny ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255 access-list 101 deny ip 192.168.14.0 0.0.0.255 192.169.237.0 0.0.0.255 access-list 101 permit ip 192.168.137.0 0.0.0.255 any access-list 102 permit ip 192.168.137.0 0.0.0.255 any ! ! ! ! ! line con 0 password 7 02160B4C0E145C25 no modem enable line aux 0 line vty 0 4 transport input ssh ! scheduler allocate 20000 1000 ntp update-calendar ntp server 88.147.254.229 version 2 ! endКоманда sh int Dialer1 выдает: Dialer1 is up, line protocol is up (spoofing) Hardware is Unknown Internet address is [мой статик ip у провайдера]/32 MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Closed, loopback not set Keepalive set (10 sec) DTR is pulsed for 1 seconds on reset Interface is bound to Vi3 Last input never, output never, output hang never Last clearing of "show interface" counters 00:02:48 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 10 packets input, 448 bytes 27 packets output, 1054 bytes Bound to: Virtual-Access3 is up, line protocol is up Hardware is Virtual Access interface MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP PPPoE vaccess, cloned from Dialer1 Vaccess status 0x44, loopback not set Keepalive set (10 sec) Interface is bound to Di1 (Encapsulation PPP) Last input 00:00:04, output never, output hang never Last clearing of "show interface" counters 00:02:37 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 53 packets input, 1073 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 48 packets output, 1318 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions т.е. ip у провайдера получил но достучаться к и-нету не могу из сетки 192.168.137.0 вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал.
|
- Перенос конфига для 881, Pofigist, 21:21 , 11-Янв-17 (1)
Зачем такие навороты в 101-м акцесс-листе? Для начала - оставь в нем только пермит для нужной сетки.
- Перенос конфига для 881, ShyLion, 07:33 , 12-Янв-17 (2)
> interface Vlan1 > ip address 192.168.137.1 255.255.255.0 ... > ip route 192.168.137.0 255.255.255.0 Dialer1
Это что за бредятина? > interface Dialer1 > ppp ipcp route default ... > ip route 0.0.0.0 0.0.0.0 Dialer1
Оставь что нибудь одно. > ip default-network 192.168.137.0
ГДЕ ты это взял и ЗАЧЕМ? когда несколько outdide интерфейсов, используй route-map для НАТа. пример:
route-map RM_NAT_ISP1 permit 10 match interface Dial1 match ip address nat1_acl ! route-map RM_NAT_ISP2 permit 10 match interface Vlan2 match ip address nat2_acl ! ip nat inside source route-map RM_NAT_ISP1 interface Dial1 ip nat inside source route-map RM_NAT_ISP2 interface Vlan2 !
На статических трансляциях также добавляй route-map, которые просто матчат нужный интерфейс: route-map RM_STNAT_ISP1 permit 10 match interface Dial1 ! ip nat inside source static tcp 192.168.137.137 999 [static ip] 999 route-map RM_STNAT_ISP1 extendable
PS: этот форум поддерживает теги [ code ] [ /code ]
- Перенос конфига для 881, borr741, 08:17 , 12-Янв-17 (3)
> PS: этот форум поддерживает теги [ code ] [ /code ] Спасибо огромное, за развернутый ответ, за теги отдельное спасибо. Буду пробовать, отпишусь. Странность в том, что на 15.1 это все работало не один год. В новый конфиг не вошло только:
l2tp tunnel timeout no-session 15 ^ % Invalid input detected at '^' marker.control-plane ^ % Invalid input detected at '^' marker.
- Перенос конфига для 881, borr741, 17:05 , 16-Янв-17 (4)
> >> interface Vlan1 >> ip address 192.168.137.1 255.255.255.0 > ... >> ip route 192.168.137.0 255.255.255.0 Dialer1 > > Это что за бредятина?Можете уточнить что здесь не так. У меня внутренняя сеть 192.168.137.хх Мне нужно чтобы все ip из этой сети попадали в и-нет yf Dialer1 что я сделал не так? vlan1 поднята на 1-м порту Ethernet
interface FastEthernet1 switchport access vlan 2 no ip address no cdp enable
Здесь же указано, что 192.168.137.0 маршрут по умолчанию
ip default-network 192.168.137.0
- Перенос конфига для 881, ShyLion, 07:09 , 17-Янв-17 (5)
>> >>> interface Vlan1 >>> ip address 192.168.137.1 255.255.255.0 >> ... >>> ip route 192.168.137.0 255.255.255.0 Dialer1 >> >> Это что за бредятина? > Можете уточнить что здесь не так. У меня внутренняя сеть 192.168.137.хх Мне > нужно чтобы все ip из этой сети попадали в и-нет yf > Dialer1 что я сделал не так?На лицо полное непонимание как работают маршрутизаторы. При обычных настройках маршрутизаторы не смотрят откуда пришел пакет. Их, обычно, всегда интересует КУДА идет пакет. По таком принципу строится таблица маршрутизации. Команда ip route задает направление до сети назначения а не источника. Очевидно что сеть 192.168.137.0/24 находится за интерфейсом Vlan1, и имеет статус CONNECTED, а поскольку это широковещательный интерфейс, то для поиска узлов используется протокол ARP. > ip route 192.168.137.0 255.255.255.0 Dialer1
имеет статус STATIC и будет (точнее конечно не будет) работать только когда Vlan1 уйдет в DOWN. > Здесь же указано, что 192.168.137.0 маршрут по умолчанию > ip default-network 192.168.137.0 здесь сказано, что маршрут по умолчанию должен быть туда-же, куда направлен текущий активный маршрут к указаной сети, то есть в Vlan1, что опять же не соответствует действительности. Причем эта конструкция работает только когда нет других дефолтных маршрутов, коих у вас аж две штуки. Т.е. не имеет смысла и вообще это очень редко используемая команда, непонятно откуда и кто ее взял.
- Перенос конфига для 881, borr741, 08:58 , 17-Янв-17 (6)
да с маршрутиризаторами у меня действительно проблемы, я не отрицаю. Попробовал ping 8.8.8.8 source Dialer1 ответа нет (хотя ip адрес от провайдера я получаю корректный)
ping 8.8.8.8 source Dialer1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: Packet sent with a source address of [мой ip] ..... Success rate is 0 percent (0/5)
От старого конфига по диалеру только одно добавилось pppoe enable group global в ней
bba-group pppoe global virtual-template 4 sessions max limit 8000 threshold 65535 sessions per-vc limit 8 threshold 0 sessions per-mac limit 2 sessions per-vlan limit 100 inner 100 sessions per-vc throttle 100000 3600 0 sessions per-mac throttle 100000 3600 0 sessions per-vlan throttle 100000 3600 0 tag ppp-max-payload minimum 1492 maximum 1500 pado delay -1 pado delay circuit-id -1 pado delay remote-id -1 control-packets vlan cos 8
Старая циска с IOS 15.1 как-то работает при переносе конфига было только две ошибки:
l2tp tunnel timeout no-session 15 ^ % Invalid input detected at '^' marker.control-plane ^ % Invalid input detected at '^' marker.
По поводу vlan1 вот что мне показывает sh tech-support - он is up
Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 002a.108b.a2da (bia 002a.108b.a2da) Internet address is 192.168.137.1/24 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not supported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 10/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 4000 bits/sec, 7 packets/sec 5 minute output rate 104000 bits/sec, 3 packets/sec 16087 packets input, 1737619 bytes, 0 no buffer Received 2147 broadcasts (4 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 12740 packets output, 11725637 bytes, 0 underruns 0 output errors, 1 interface resets 215 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out
- Перенос конфига для 881, ShyLion, 10:34 , 17-Янв-17 (9)
>[оверквотинг удален] > Попробовал ping 8.8.8.8 source Dialer1 ответа нет (хотя ip адрес от провайдера > я получаю корректный) > > ping 8.8.8.8 source Dialer1 > Type escape sequence to abort. > Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: > Packet sent with a source address of [мой ip] > ..... > Success rate is 0 percent (0/5) > show ip route show run int dial1 > От старого конфига по диалеру только одно добавилось pppoe enable group global > в ней > > bba-group pppoe global > virtual-template 4 >
А это откуда взялось? > Старая циска с IOS 15.1 как-то работает Эх, если бы я получал доллар, каждый раз, когда такое слышу.
- Перенос конфига для 881, borr741, 10:46 , 17-Янв-17 (10)
>> От старого конфига по диалеру только одно добавилось pppoe enable group global >> в ней >> >> bba-group pppoe global >> virtual-template 4 >> > А это откуда взялось?Это мне sh running-config all показвает Как я понял cisca сама создает по умолчанию. Я не создавал только
pppoe enable pppoe-client dial-pool-number 1
сделал, а группу циска сама автоматом. >> Старая циска с IOS 15.1 как-то работает > Эх, если бы я получал доллар, каждый раз, когда такое слышу. А для меня удивительно. Опыта просто нет.
- Перенос конфига для 881, ShyLion, 12:26 , 17-Янв-17 (11)
>>> От старого конфига по диалеру только одно добавилось pppoe enable group global >>> в ней >>> >>> bba-group pppoe global >>> virtual-template 4 >>> >> А это откуда взялось? > Это мне sh running-config all показвает > Как я понял cisca сама создает по умолчанию. Я не создавал только Да не может она такого "сама" создать. Это секция для PPPoE сервера, причем с конкретно указаным тимплейтом.
- Перенос конфига для 881, borr741, 13:10 , 17-Янв-17 (12)
> Да не может она такого "сама" создать. Это секция для PPPoE сервера, > причем с конкретно указаным тимплейтом.Что с ней делать? Я сбрасывал настройки несколько раз (erase startup-config). Она все время сама появляется после того как задаешь pppoe-client dial-pool-number 1 http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/confi... там в разделе Example: Configuring a PPPoE Client такой фигни нет. Почему у меня все время появляется?
- Перенос конфига для 881, ShyLion, 13:17 , 17-Янв-17 (13)
>> Да не может она такого "сама" создать. Это секция для PPPoE сервера, >> причем с конкретно указаным тимплейтом. > Что с ней делать? Я сбрасывал настройки несколько раз (erase startup-config). Она > все время сама появляется после того как задаешь pppoe-client dial-pool-number > 1 дела... может конечно в этой версии это дефолтный конфиг НО конфиг нужно смотреть не "show run ALL", а просто "show run" так как параметр ALL показывает все дефолтные настройки в том числе
- Перенос конфига для 881, borr741, 13:22 , 17-Янв-17 (14)
> НО > конфиг нужно смотреть не "show run ALL", а просто "show run" > так как параметр ALL показывает все дефолтные настройки в том числе show run вот что показывает по wan
interface FastEthernet4 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable
саму group больше нигде не видно по конфигу я ее не вводил. что сделать чтобы просто pppoe enable было? Циска у меня System image file is "flash:c800-universalk9_npe-mz.SPA.155-3.M.bin" Правда у меня еще VPN поднят для пользователя delo
vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1
- Перенос конфига для 881, ShyLion, 14:07 , 17-Янв-17 (15)
Покажи ВЕСЬ show run, без паролей.
- Перенос конфига для 881, borr741, 14:27 , 17-Янв-17 (16)
> Покажи ВЕСЬ show run, без паролей.в исходном сообщении весь show running-config после копирования на новой циске. повторить смогу только поздно вечером. сейчас все работает - не отключить. - Перенос конфига для 881, ShyLion, 14:34 , 18-Янв-17 (17)
>> Покажи ВЕСЬ show run, без паролей. > в исходном сообщении весь show running-config после копирования на новой циске. > повторить смогу только поздно вечером. сейчас все работает - не отключить.Если сходу не получается, советую перетаскивать конфиг поэтапно, начав с самого простого, проверяя его работу на каждом этапе. Настрой просто выход самого роутера в инет, потом NAT для локальной сети и т.д.
- Перенос конфига для 881, Karen Durinyan, 10:02 , 17-Янв-17 (7)
>[оверквотинг удален] > 48 packets output, 1318 bytes, 0 underruns > 0 output errors, 0 collisions, 0 interface > resets > 0 unknown protocol drops > 0 output buffer failures, 0 output buffers > swapped out > 0 carrier transitions > т.е. ip у провайдера получил но достучаться к и-нету не могу из > сетки 192.168.137.0 > вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал. вопрос... vlan 2 создали?
- Перенос конфига для 881, Karen Durinyan, 10:12 , 17-Янв-17 (8)
>[оверквотинг удален] >> 0 output errors, 0 collisions, 0 interface >> resets >> 0 unknown protocol drops >> 0 output buffer failures, 0 output buffers >> swapped out >> 0 carrier transitions >> т.е. ip у провайдера получил но достучаться к и-нету не могу из >> сетки 192.168.137.0 >> вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал. > вопрос... vlan 2 создали?снимаю вопрос. sorry.
- Перенос конфига для 881, borr741, 09:00 , 25-Янв-17 (18)
Вбил конфиг вручную все сразу завелось pppoe поднялось. Правда я учел замечания ShyLion. Но возникла другая проблема не могу подключиться по VPN'у винды. Юзер для подключения delo винда отвечает 691 ошибкой Вот sh run
version 15.5 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname Router ! boot-start-marker boot-end-marker ! ! enable secret 5 [key] ! aaa new-model ! ! ! ! ! ! ! aaa session-id common ethernet lmi ce memory-size iomem 10 ! ! ! ! ! ! ! ! ! ! ! ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group VPN ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! crypto pki trustpoint TP-self-signed-1343252281 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1343252281 revocation-check none rsakeypair TP-self-signed-1343252281 ! ! username admin privilege 15 password 7 [pas] username delo privilege 0 password 7 [pas] ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 switchport access vlan 2 no ip address no cdp enable ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface Virtual-Template1 ip unnumbered Vlan1 peer default ip address pool VPN no keepalive ppp authentication pap chap ms-chap ms-chap-v2 ! interface Vlan1 ip address 192.168.137.1 255.255.255.0 ip nat inside no ip virtual-reassembly in ! interface Vlan2 ip address 192.169.237.2 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat outside no ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer enable-timeout 1 dialer wait-for-line-protocol 5 dialer wait-for-carrier-time 5 dialer-group 1 ppp authentication chap callin ppp chap password 7 [pas] ppp chap refuse ppp pap sent-username [login] password 7 [pas] ppp ipcp route default no cdp enable ! ip local pool vpn 192.168.137.220 192.168.137.250 ip forward-protocol nd ip http server ip http secure-server ! ip nat inside source list 100 interface Dialer1 overload ip nat inside source list 101 interface Vlan2 overload ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999 ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389 ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888 ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 172.21.102.0 255.255.255.0 192.169.237.1 ip route 172.30.181.0 255.255.255.0 192.169.237.1 ip route 192.168.14.0 255.255.255.0 192.169.237.1 ip route 192.168.200.0 255.255.255.0 192.169.237.1 ip ssh version 1 ! dialer-list 1 protocol ip permit ! access-list 100 deny ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 100 deny ip 192.168.200.0 0.0.0.255 192.169.237.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255 access-list 100 deny ip 192.168.14.0 0.0.0.255 192.169.237.0 0.0.0.255 access-list 100 permit ip 192.168.137.0 0.0.0.255 any access-list 101 permit ip 192.168.137.0 0.0.0.255 any ! ! ! ! ! line con 0 no modem enable line aux 0 line vty 0 4 transport input ssh ! scheduler allocate 20000 1000 ! end
- Перенос конфига для 881, ShyLion, 09:24 , 25-Янв-17 (19)
> Вбил конфиг вручную все сразу завелось pppoe поднялось. Правда я учел замечания > ShyLion. Но возникла другая проблема не могу подключиться по VPN'у винды. > Юзер для подключения delo винда отвечает 691 ошибкой term mon debug ppp authen debug ppp nego для начала
- Перенос конфига для 881, borr741, 08:33 , 26-Янв-17 (20)
вычитал, что с включенным ааа(aaa new-model - aaa мне нужно для подключения к циске по ssh вроде как без aaa new-model и aaa session-id common) стандартные конфиги на vpn не работают, в циску не зайти сеанс открывает, но приглашения логина нет (поправте, может, я не прав) добавил: aaa attribute list delo attribute type addr-pool "vpn" service ppp protocol ip username delo aaa attribute list delo
авторизация стала проходить, но при включении пк в сеть получаю ошибку 742 вот log Router#term mon Router#debug ppp authen PPP authentication debugging is on Router#debug ppp nego PPP protocol negotiation debugging is on *Jan 25 19:37:53.468: PPP: Alloc Context [E0AA654] *Jan 25 19:37:53.468: ppp51 PPP: Phase is ESTABLISHING *Jan 25 19:37:53.468: ppp51 PPP: Using vpn set call direction *Jan 25 19:37:53.468: ppp51 PPP: Treating connection as a callin *Jan 25 19:37:53.468: ppp51 PPP: Session handle[EA000033] Session id[51] *Jan 25 19:37:53.468: ppp51 LCP: Event[OPEN] State[Initial to Starting] *Jan 25 19:37:53.468: ppp51 PPP LCP: Enter passive mode, state[Stopped] *Jan 25 19:37:53.516: ppp51 LCP: I CONFREQ [Stopped] id 0 len 21 *Jan 25 19:37:53.516: ppp51 LCP: MRU 1400 (0x01040578) *Jan 25 19:37:53.516: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:53.516: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:53.516: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:53.516: ppp51 LCP: Callback 6 (0x0D0306) *Jan 25 19:37:53.516: ppp51 LCP: O CONFREQ [Stopped] id 1 len 14 *Jan 25 19:37:53.516: ppp51 LCP: AuthProto PAP (0x0304C023) *Jan 25 19:37:53.516: ppp51 LCP: MagicNumber 0x2AD081F8 (0x05062AD081F8) *Jan 25 19:37:53.520: ppp51 LCP: O CONFREJ [Stopped] id 0 len 7 *Jan 25 19:37:53.520: ppp51 LCP: Callback 6 (0x0D0306) *Jan 25 19:37:53.520: ppp51 LCP: Event[Receive ConfReq-] State[Stopped to REQsent] *Jan 25 19:37:53.564: ppp51 LCP: I CONFNAK [REQsent] id 1 len 9 *Jan 25 19:37:53.564: ppp51 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Jan 25 19:37:53.564: ppp51 LCP: O CONFREQ [REQsent] id 2 len 15 *Jan 25 19:37:53.564: ppp51 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Jan 25 19:37:53.564: ppp51 LCP: MagicNumber 0x2AD081F8 (0x05062AD081F8) *Jan 25 19:37:53.564: ppp51 LCP: Event[Receive ConfNak/Rej] State[REQsent to REQsent] *Jan 25 19:37:53.568: ppp51 LCP: I CONFREQ [REQsent] id 1 len 18 *Jan 25 19:37:53.568: ppp51 LCP: MRU 1400 (0x01040578) *Jan 25 19:37:53.568: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:53.568: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:53.568: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:53.568: ppp51 LCP: O CONFNAK [REQsent] id 1 len 8 *Jan 25 19:37:53.568: ppp51 LCP: MRU 1500 (0x010405DC) *Jan 25 19:37:53.568: ppp51 LCP: Event[Receive ConfReq-] State[REQsent to REQsent] *Jan 25 19:37:53.608: ppp51 LCP: I CONFACK [REQsent] id 2 len 15 *Jan 25 19:37:53.608: ppp51 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Jan 25 19:37:53.608: ppp51 LCP: MagicNumber 0x2AD081F8 (0x05062AD081F8) *Jan 25 19:37:53.608: ppp51 LCP: Event[Receive ConfAck] State[REQsent to ACKrcvd] *Jan 25 19:37:53.612: ppp51 LCP: I CONFREQ [ACKrcvd] id 2 len 18 *Jan 25 19:37:53.612: ppp51 LCP: MRU 1400 (0x01040578) *Jan 25 19:37:53.612: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:53.612: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:53.612: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:53.612: ppp51 LCP: O CONFNAK [ACKrcvd] id 2 len 8 *Jan 25 19:37:53.612: ppp51 LCP: MRU 1500 (0x010405DC) *Jan 25 19:37:53.612: ppp51 LCP: Event[Receive ConfReq-] State[ACKrcvd to ACKrcvd] *Jan 25 19:37:55.528: ppp51 LCP: I CONFREQ [ACKrcvd] id 3 len 18 *Jan 25 19:37:55.528: ppp51 LCP: MRU 1400 (0x01040578) *Jan 25 19:37:55.528: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:55.528: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:55.528: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:55.528: ppp51 LCP: O CONFNAK [ACKrcvd] id 3 len 8 *Jan 25 19:37:55.528: ppp51 LCP: MRU 1500 (0x010405DC) *Jan 25 19:37:55.528: ppp51 LCP: Event[Receive ConfReq-] State[ACKrcvd to ACKrcvd] *Jan 25 19:37:55.556: ppp51 LCP: O CONFREQ [ACKrcvd] id 3 len 15 *Jan 25 19:37:55.556: ppp51 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Jan 25 19:37:55.556: ppp51 LCP: MagicNumber 0x2AD081F8 (0x05062AD081F8) *Jan 25 19:37:55.556: ppp51 LCP: Event[Timeout+] State[ACKrcvd to REQsent] *Jan 25 19:37:55.576: ppp51 LCP: I CONFREQ [REQsent] id 4 len 18 *Jan 25 19:37:55.576: ppp51 LCP: MRU 1500 (0x010405DC) *Jan 25 19:37:55.576: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:55.576: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:55.576: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:55.576: ppp51 LCP: O CONFACK [REQsent] id 4 len 18 *Jan 25 19:37:55.576: ppp51 LCP: MRU 1500 (0x010405DC) *Jan 25 19:37:55.576: ppp51 LCP: MagicNumber 0x0E5D7798 (0x05060E5D7798) *Jan 25 19:37:55.576: ppp51 LCP: PFC (0x0702) *Jan 25 19:37:55.576: ppp51 LCP: ACFC (0x0802) *Jan 25 19:37:55.576: ppp51 LCP: Event[Receive ConfReq+] State[REQsent to ACKsent] *Jan 25 19:37:55.600: ppp51 LCP: I CONFACK [ACKsent] id 3 len 15 *Jan 25 19:37:55.600: ppp51 LCP: AuthProto MS-CHAP-V2 (0x0305C22381) *Jan 25 19:37:55.600: ppp51 LCP: MagicNumber 0x2AD081F8 (0x05062AD081F8) *Jan 25 19:37:55.600: ppp51 LCP: Event[Receive ConfAck] State[ACKsent to Open] *Jan 25 19:37:55.612: ppp51 PPP: Phase is AUTHENTICATING, by this end *Jan 25 19:37:55.612: ppp51 MS-CHAP-V2: O CHALLENGE id 1 len 27 from "Router" *Jan 25 19:37:55.612: ppp51 LCP: State is Open *Jan 25 19:37:55.628: ppp51 LCP: I IDENTIFY [Open] id 5 len 18 magic 0x0E5D7798MSRASV5.20 *Jan 25 19:37:55.632: ppp51 LCP: I IDENTIFY [Open] id 6 len 23 magic 0x0E5D7798MSRAS-0-BORISPC *Jan 25 19:37:55.640: ppp51 LCP: I IDENTIFY [Open] id 7 len 24 magic 0x0E5D7798K!O\qvLII8Jd.fAm *Jan 25 19:37:55.660: ppp51 MS-CHAP-V2: I RESPONSE id 1 len 58 from "delo" *Jan 25 19:37:55.660: ppp51 PPP: Phase is FORWARDING, Attempting Forward *Jan 25 19:37:55.660: ppp51 PPP: Phase is AUTHENTICATING, Unauthenticated User *Jan 25 19:37:55.660: ppp51 PPP: Sent MSCHAP_V2 LOGIN Request *Jan 25 19:37:55.664: ppp51 PPP: Received LOGIN Response PASS *Jan 25 19:37:55.664: ppp51 PPP: Phase is FORWARDING, Attempting Forward *Jan 25 19:37:55.668: Vi4.1 PPP: Phase is AUTHENTICATING, Authenticated User *Jan 25 19:37:55.668: Vi4.1: No MS_CHAP_V2 msg data *Jan 25 19:37:55.668: Vi4.1 MS-CHAP-V2: O SUCCESS id 1 len 46 msg is "S=31CDD4317C27DB781E98CF4CA12BEB1602C93BBD" *Jan 25 19:37:55.668: Vi4.1 PPP: No AAA accounting method list *Jan 25 19:37:55.668: Vi4.1 PPP: Phase is UP *Jan 25 19:37:55.668: Vi4.1 IPCP: Protocol configured, start CP. state[Initial] *Jan 25 19:37:55.668: Vi4.1 IPCP: Event[OPEN] State[Initial to Starting] *Jan 25 19:37:55.668: Vi4.1 IPCP: O CONFREQ [Starting] id 1 len 10 *Jan 25 19:37:55.668: Vi4.1 IPCP: Address 192.168.137.1 (0x0306C0A88901) *Jan 25 19:37:55.668: Vi4.1 IPCP: Event[UP] State[Starting to REQsent] *Jan 25 19:37:55.720: Vi4.1 IPV6CP: I CONFREQ [UNKNOWN] id 8 len 14 *Jan 25 19:37:55.720: Vi4.1 IPV6CP: Interface-Id F889:7EF3:6414:E01D (0x010AF8897EF36414E01D) *Jan 25 19:37:55.720: Vi4.1 LCP: O PROTREJ [Open] id 4 len 20 protocol IPV6CP (0x0108000E010AF8897EF36414E01D) *Jan 25 19:37:55.720: Vi4.1 CCP: I CONFREQ [UNKNOWN] id 9 len 10 *Jan 25 19:37:55.720: Vi4.1 CCP: MS-PPC supported bits 0x01000040 (0x120601000040) *Jan 25 19:37:55.720: Vi4.1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x0109000A120601000040) *Jan 25 19:37:55.728: Vi4.1 IPCP: I CONFREQ [REQsent] id 10 len 34 *Jan 25 19:37:55.728: Vi4.1 IPCP: Address 0.0.0.0 (0x030600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP AUTHOR: Done. Her address 0.0.0.0, we want 0.0.0.0 *Jan 25 19:37:55.728: Vi4.1 IPCP: Cannot satisfy pool request *Jan 25 19:37:55.728: Vi4.1 IPCP: Neither side knows remote address *Jan 25 19:37:55.728: Vi4.1 IPCP: O CONFREJ [REQsent] id 10 len 34 *Jan 25 19:37:55.728: Vi4.1 IPCP: Address 0.0.0.0 (0x030600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000) *Jan 25 19:37:55.728: Vi4.1 IPCP: Event[Receive ConfReq-] State[REQsent to REQsent] *Jan 25 19:37:55.728: Vi4.1 PPP: Control packet rate limit 10 reached *Jan 25 19:37:55.728: Vi4.1 PPP: Entering block state for 30 seconds *Jan 25 19:37:55.728: Vi4.1 PPP: Packet throttled, Dropping packet *Jan 25 19:37:55.776: Vi4.1 PPP: Packet throttled, Dropping packet *Jan 25 19:37:56.784: Vi4.1 PPP: Block vaccess from being freed [0x10] *Jan 25 19:37:56.784: Vi4.1 PPP DISC: Lower Layer disconnected *Jan 25 19:37:56.788: Vi4.1 PPP: Sending Acct Event[Down] id[48] *Jan 25 19:37:56.788: PPP: NET STOP send to AAA. *Jan 25 19:37:56.788: Vi4.1 IPCP: Event[DOWN] State[REQsent to Starting] *Jan 25 19:37:56.788: Vi4.1 IPCP: Event[CLOSE] State[Starting to Initial] *Jan 25 19:37:56.788: Vi4.1 LCP: O TERMREQ [Open] id 6 len 4 *Jan 25 19:37:56.788: Vi4.1 LCP: Event[CLOSE] State[Open to Closing] *Jan 25 19:37:56.788: Vi4.1 PPP: Phase is TERMINATING *Jan 25 19:37:56.788: Vi4.1 LCP: Event[DOWN] State[Closing to Initial] *Jan 25 19:37:56.788: Vi4.1 PPP: Unlocked by [0x10] Still Locked by [0x0] *Jan 25 19:37:56.788: Vi4.1 PPP: Free previously blocked vaccess *Jan 25 19:37:56.788: Vi4.1 PPP: Phase is DOWN
- Перенос конфига для 881, ShyLion, 09:48 , 26-Янв-17 (21)
> *Jan 25 19:37:55.728: Vi4.1 IPCP: Event[Receive ConfReq-] State[REQsent to REQsent] > *Jan 25 19:37:55.728: Vi4.1 PPP: Control packet rate limit 10 reached > *Jan 25 19:37:55.728: Vi4.1 PPP: Entering block state for 30 seconds > *Jan 25 19:37:55.728: Vi4.1 PPP: Packet throttled, Dropping packet > *Jan 25 19:37:55.776: Vi4.1 PPP: Packet throttled, Dropping packet > *Jan 25 19:37:56.784: Vi4.1 PPP: Block vaccess from being freed [0x10] ppp packet throttle 30 1 30 поиграйся с этой настройкой, у меня с такой все работает нормально.
- Перенос конфига для 881, ShyLion, 09:53 , 26-Янв-17 (22)
>[оверквотинг удален] > к циске по ssh вроде как без aaa new-model и aaa > session-id common) стандартные конфиги на vpn не работают, в циску не > зайти сеанс открывает, но приглашения логина нет (поправте, может, я не > прав) > добавил: > > aaa attribute list delo > attribute type addr-pool "vpn" service ppp protocol ip > username delo aaa attribute list delo > aaa authentication login default local aaa authorization exec default local aaa authorization console ! После этого enable вообще не нужен, username ... privilege 15 сразу дает админ-доступ и с шелла и с консоли aaa authentication ppp default local aaa authorization network default none aaa accounting network default none
- Перенос конфига для 881, ShyLion, 10:21 , 26-Янв-17 (23)
> aaa authentication ppp default local > aaa authorization network default none > aaa accounting network default none aaa authorization network default local пардон
- Перенос конфига для 881, borr741, 14:18 , 26-Янв-17 (24)
> ! После этого enable вообще не нужен, username ... privilege 15 сразу > дает админ-доступ и с шелла и с консоли > aaa authentication ppp default local > aaa authorization network default none > aaa accounting network default none Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa (типа aaa authentication) зайдут?
- Перенос конфига для 881, ShyLion, 15:37 , 26-Янв-17 (25)
>> ! После этого enable вообще не нужен, username ... privilege 15 сразу >> дает админ-доступ и с шелла и с консоли >> aaa authentication ppp default local >> aaa authorization network default none >> aaa accounting network default none > Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa > (типа aaa authentication) зайдут?enable secret
- Перенос конфига для 881, ShyLion, 15:38 , 26-Янв-17 (26)
>>> ! После этого enable вообще не нужен, username ... privilege 15 сразу >>> дает админ-доступ и с шелла и с консоли >>> aaa authentication ppp default local >>> aaa authorization network default none >>> aaa accounting network default none >> Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa >> (типа aaa authentication) зайдут? > enable secret хотя я погорячился насчет не нужен просто пользователю с 15 уровнем его вводить не надо с меньшим уровнем, чтобы повысится до 15-го уровня, придется вводить
- Перенос конфига для 881, borr741, 15:42 , 26-Янв-17 (27)
> хотя я погорячился насчет не нужен > просто пользователю с 15 уровнем его вводить не надо > с меньшим уровнем, чтобы повысится до 15-го уровня, придется вводить для vpn у меня user delo завожу так username delo privilege 0 password 0 [pas] ... как по инструкции проблема не в enable secret, а в aaa new-model (насколько я понял)
- Перенос конфига для 881, ShyLion, 18:15 , 26-Янв-17 (28)
> проблема не в enable secret, а в aaa new-model (насколько я понял) aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать. старый метод, когда на линии задается пароль, он "старый" и есть
- Перенос конфига для 881, borr741, 18:30 , 26-Янв-17 (29)
>> проблема не в enable secret, а в aaa new-model (насколько я понял) > aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать. > старый метод, когда на линии задается пароль, он "старый" и есть мне задавать
aaa authentication login default local aaa authorization exec default local aaa authorization console
вместо aaa mew-model?
- Перенос конфига для 881, ShyLion, 18:46 , 26-Янв-17 (30)
>>> проблема не в enable secret, а в aaa new-model (насколько я понял) >> aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать. >> старый метод, когда на линии задается пароль, он "старый" и есть > мне задавать > > aaa authentication login default local > aaa authorization exec default local > aaa authorization console > > вместо aaa mew-model?да не вместо! а вместе! aaa mew-modelaaa authentication login default local aaa authorization exec default local aaa authorization console aaa authentication ppp default local aaa authorization network default local aaa accounting network default none
- Перенос конфига для 881, borr741, 21:57 , 30-Янв-17 (31)
> да не вместо! а вместе!Спасибо вам огромное все получилось. Правда, я еще не пробовал сбрасывать настройки и грузить их из файла, но кофиг набранный вручную работает. Вот рабочий конфиг:
version 15.5 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname Router ! boot-start-marker boot-end-marker ! ! enable secret 5 [key] ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default local aaa authorization console aaa authorization exec default local aaa authorization network default local aaa accounting network default none ! ! ! ! ! aaa session-id common ethernet lmi ce memory-size iomem 10 ! ! ip cef no ipv6 cef ! ! vpdn enable ! vpdn-group VPN ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! username admin privilege 15 password 7 [pass] username delo privilege 0 password 7 [pass] ! ! ! ! ! ! interface FastEthernet0 no ip address ! interface FastEthernet1 switchport access vlan 2 no ip address no cdp enable ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface Virtual-Template1 ip unnumbered Vlan1 ip nat inside ip virtual-reassembly in peer default ip address pool vpn no keepalive ppp authentication ms-chap-v2 ! interface Vlan1 ip address 192.168.137.1 255.255.255.0 ip nat inside no ip virtual-reassembly in ! interface Vlan2 ip address 192.169.237.2 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface Dialer1 ip address negotiated ip mtu 1452 ip nat outside no ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer enable-timeout 1 dialer wait-for-line-protocol 5 dialer wait-for-carrier-time 5 dialer-group 1 ppp authentication chap callin ppp chap password 7 [pass] ppp chap refuse ppp pap sent-username [login] password 7 [pass] ppp ipcp route default no cdp enable ! ip local pool vpn 192.168.137.220 192.168.137.250 ip forward-protocol nd ip http server ip http secure-server ! ip nat inside source list 100 interface Dialer1 overload ip nat inside source list 101 interface Vlan2 overload ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999 ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389 ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888 ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 172.21.102.0 255.255.255.0 192.169.237.1 ip route 172.30.181.0 255.255.255.0 192.169.237.1 ip route 192.168.14.0 255.255.255.0 192.169.237.1 ip route 192.168.200.0 255.255.255.0 192.169.237.1 ip ssh version 1 ! dialer-list 1 protocol ip permit ! access-list 100 deny ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255 access-list 100 deny ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255 access-list 100 permit ip 192.168.137.0 0.0.0.255 any access-list 101 permit ip 192.168.137.0 0.0.0.255 any ! ! ! ! ! line con 0 no modem enable line aux 0 line vty 0 4 transport input ssh ! scheduler allocate 20000 1000 ! end
- Перенос конфига для 881, ShyLion, 07:39 , 31-Янв-17 (32)
> username admin privilege 15 password 7 [pass] Если учетка не должна использоваться для ppp, то нужно использовать secret. Для ppp лучше админскую учетку не использовать вообще. > ip nat inside source list 100 interface Dialer1 overload > ip nat inside source list 101 interface Vlan2 overload > ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999 > ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389 > ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888 Если несколько outside интерфейсов, предпочтительнее использовать route-map: route-map RM_NAT_DIAL1 match interface Dial1 match ip address 100 ! route-map RM_NAT_VLAN2 match interface Vlan2 match ip address 101 ! route-map RM_STATIC_NAT_DIAL1 match interface Dial1 ! ip nat inside source route-map RM_NAT_DIAL1 interface Dial1 overload ip nat inside source route-map RM_NAT_VLAN2 interface Vlan2 overload ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999 route-map RM_STATIC_NAT_DIAL1 extandable ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389 route-map RM_STATIC_NAT_DIAL1 extandable ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888 route-map RM_STATIC_NAT_DIAL1 extandable
> ip ssh version 1 Это очень старый протокол! ip ssh version 2
- Перенос конфига для 881, borr741, 18:06 , 31-Янв-17 (33)
> Если несколько outside интерфейсов, предпочтительнее использовать route-map: а access-list'ы у меня тогда как должны выглядеть? так?
access-list 100 deny ip 192.168.200.0 0.0.0.255 access-list 100 deny ip 172.21.102.0 0.0.0.255 access-list 100 deny ip 172.30.181.0 0.0.0.255 access-list 100 deny ip 192.168.14.0 0.0.0.255 access-list 100 permit ip any access-list 101 permit ip any
я собираюсь еще одну vlan поднять для vpn там такой же acl будет как и 100. Я тогда в route-map для нее смогу указать этот же 100 лист - верно?
- Перенос конфига для 881, ShyLion, 06:57 , 01-Фев-17 (34)
>> Если несколько outside интерфейсов, предпочтительнее использовать route-map: > а access-list'ы у меня тогда как должны выглядеть? так?Аксес листы должны матчить траффик, который нужно натить.
|