Cisco 877 и проблемы с туннелями, prazdnick_d, 18-Май-10, 05:31 [смотреть все]Доброго всем.Открылось в нашей славной компании представительство в г. Киеве. надо было связать сеть маленького офиса с общей сетью компании, повез с собой Cisco 877-K9, интернет провайдет раздает через ADSL, получить инет мне удалось, раздать с NAT тоже. Но туннель так и не поднялся... Может я чтото не понимаю или туплю может у кого из вас, уважаемые специалисты, будет ответ? Вот мой конфиг: kiev#show run Building configuration... Current configuration : 4200 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname kiev ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! crypto pki trustpoint TP-self-signed-2608056113 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2608056113 revocation-check none rsakeypair TP-self-signed-2608056113 ! crypto pki certificate chain TP-self-signed-2608056113 certificate self-signed 01 3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 B9BB6262 92193BA7 89FB3F34 37F0E22A 4C36E6C2 F474F428 C40390B9 137CCA53 F96389CE A6F3FF1C 1D52E4E2 F87751 quit dot11 syslog ip cef no ip dhcp use vrf connected ip dhcp excluded-address 192.168.7.1 ip dhcp excluded-address 192.168.7.20 ip dhcp excluded-address 192.168.7.111 ip dhcp excluded-address 192.168.7.150 192.168.7.200 ! ip dhcp pool kiev.local network 192.168.7.0 255.255.255.0 domain-name kiev.cisco dns-server 192.168.7.1 netbios-name-server 192.168.0.2 default-router 192.168.7.1 lease 7 ! ip domain name yourdomain.com ip name-server 8.8.8.8 ! username prazdnick privilege 15 secret 5 $1$ICeH$bSccJ06wdv3JP7tVEe48o1 ! archive log config hidekeys ! interface Tunnel100 description Tunnel to Yekaterinburg ip unnumbered Vlan1 tunnel source Dialer0 tunnel destination 213.242.222.111 ! interface ATM0 description vega.internet.network no ip address no atm ilmi-keepalive pvc 0/33 encapsulation aal5snap pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface Vlan1 description kiev.local.network ip address 192.168.7.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Dialer0 description vega.isp.pppoe ip address negotiated ip access-group 101 in ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 no cdp enable ppp authentication pap callin ppp pap sent-username adsl-username password 0 adsl-password ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.0.0 255.255.255.0 Tunnel100 ! no ip http server ip http access-class 23 ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip dns server ip nat inside source list 1 interface Dialer0 overload ! access-list 1 permit 192.168.7.0 0.0.0.255 access-list 23 permit any access-list 101 permit tcp host 213.242.222.111 host 213.227.000.333 eq 22 access-list 101 permit ip any any dialer-list 2 protocol ip permit no cdp run ! control-plane ! banner exec ^C Ok, let's do some job ^C banner login ^C Hi! I'm Kiev router, please name yourself... ^C ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 23 in privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end Самое странное что я даже не могу попасть извне на Cisco через ssh, хоть и транспорт разрешен и правило доступа прописано... только пинги идут нормально. С уважением, Denis.
|
- Cisco 877 и проблемы с туннелями, prazdnick_d, 14:27 , 18-Май-10 (1)
Самое странное что сидел смотрел на принимающем серваке пакеты от циски kiev#ping 192.168.0.1Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) и вот что я увидел root@mail log # tcpdump -i em1 src 213.227.222.111 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes 16:12:25.666325 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 0, length 80 16:12:27.662214 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 1, length 80 16:12:29.661350 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 2, length 80 16:12:31.661238 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 3, length 80 16:12:33.660250 IP 213-227-222-111.static.vega-ua.net > mail.rosenergotrans.ru: GREv0, length 104: IP 192.168.7.1 > site.svel.ru.svel.ru: ICMP echo request, id 44, seq 4, length 80 ^Z [13]+ Stopped tcpdump -i em1 src 213.227.222.111 стало жутко интерено что это такое... root@mail log # nslookup 213-227-222-111.static.vega-ua.net Server: 194.213.21.3 Address: 194.213.21.3#53 Non-authoritative answer: Name: 213-227-222-111.static.vega-ua.net Address: 213.227.222.111 оказалось это доменное имя принадлежит моей циске... может кто подскажет что это за доменное имя? как это примерно организованно?
- Cisco 877 и проблемы с туннелями, oleg_matroskin, 06:22 , 19-Май-10 (3)
>[оверквотинг удален] >root@mail log # nslookup 213-227-222-111.static.vega-ua.net >Server: 194.213.21.3 >Address: 194.213.21.3#53 > >Non-authoritative answer: >Name: 213-227-222-111.static.vega-ua.net >Address: 213.227.222.111 > >оказалось это доменное имя принадлежит моей циске... может кто подскажет что это >за доменное имя? как это примерно организованно? походу дело всетаки у вас в нате! Если с одного роутера другой конец тунеля пингуется то тогда сделайте расширенный список доступа для ната и там исключите трансляции из вашей сети к сети которая находится через тунель!
- Cisco 877 и проблемы с туннелями, prazdnick_d, 11:11 , 20-Май-10 (4)
>[оверквотинг удален] >>Name: 213-227-222-111.static.vega-ua.net >>Address: 213.227.222.111 >> >>оказалось это доменное имя принадлежит моей циске... может кто подскажет что это >>за доменное имя? как это примерно организованно? > >походу дело всетаки у вас в нате! Если с одного роутера другой >конец тунеля пингуется то тогда сделайте расширенный список доступа для ната >и там исключите трансляции из вашей сети к сети которая находится >через тунель! Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD как и положенно что видно на дампе... видна gre инкапсуляция, видно кто куда и что шлет, но! когда обратно пакет уходит он либо не доходит либо приходит в неудобоваримом виде... игрался с access list'ами и даже такое допущение: access-list 101 permit ip any any access-list 101 permit gre any any access-list 101 permit udp any any access-list 101 permit tcp any any access-list 101 permit icmp any any ничего не принесло. Скажите мне есть ли аналог tcpdump чтобы в работе из консоли узнать какие пакеты приходят в ответ? У меня стоят довольно много туннелей но большинство из них по типу FreeBSD <--> FreeBSD есть еще парочку Cisco 877 но там инет не через DSL а прямая выделенка, таких проблем я там не встречал.
- Cisco 877 и проблемы с туннелями, Дмитрий, 11:14 , 20-Май-10 (6)
debug ip icmp packet (но аккуратнее, debug может перегрузить вашу циску)
- Cisco 877 и проблемы с туннелями, prazdnick_d, 12:02 , 20-Май-10 (9)
>debug ip icmp packet (но аккуратнее, debug может перегрузить вашу циску) Попробую... спасибо.
- Cisco 877 и проблемы с туннелями, Дмитрий, 11:21 , 20-Май-10 (7)
>Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD >как и положенно что видно на дампе... видна gre инкапсуляция, видно >кто куда и что шлет, но! когда обратно пакет уходит он >либо не доходит либо приходит в неудобоваримом виде... А обратные пакеты Вы не дампили? Может у Вас просто в тоннель на FreeBSD пакеты не попадают?
- Cisco 877 и проблемы с туннелями, prazdnick_d, 12:01 , 20-Май-10 (8)
> >>Боюсь что все таки не прингуется... точнее echo пакет добегает до FreeBSD >>как и положенно что видно на дампе... видна gre инкапсуляция, видно >>кто куда и что шлет, но! когда обратно пакет уходит он >>либо не доходит либо приходит в неудобоваримом виде... > >А обратные пакеты Вы не дампили? Может у Вас просто в тоннель >на FreeBSD пакеты не попадают? Дампил, все исправно.
- Cisco 877 и проблемы с туннелями, Дмитрий, 18:53 , 18-Май-10 (2)
Чет параметров тоннеля маловато. Какой Вы хотите тоннель?PS Вы бы убрали с глаз долой юзернейм и публичные адреса... Интернет все таки...
- Cisco 877 и проблемы с туннелями, prazdnick_d, 11:13 , 20-Май-10 (5)
>Чет параметров тоннеля маловато. Какой Вы хотите тоннель? Подскажите типовой конфиг GRE или IPIP туннеля поверх DSL модема... погуглив немного нашел примеры с пояснениями обновил конфиг: interface Tunnel100 description tunnel.to.yekaterinburg ip unnumbered Vlan1 no ip redirects no ip proxy-arp ip mtu 1460 ip tcp adjust-mss 1420 no ip mroute-cache tunnel source Dialer0 tunnel destination 213.242.222.111 >PS Вы бы убрали с глаз долой юзернейм и публичные адреса... Интернет >все таки...
Все измененно, я ж не маленький :)
- Cisco 877 и проблемы с туннелями, prazdnick_d, 12:05 , 20-Май-10 (10)
Всем большое спасибо за помощь!!! Я решил свою проблему. По советам просмотрел что приходит на циску и увидел что там пакеты толи обрезанные толи изменены. Поигрался с FreeBSD выставил иное значение mtu сменил gre на ipip и туннель ожил!!! Выяснил что полтергейст в провайдере.Так что пойду радоваться жизни дальше.
|