The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Перенос конфига для 881"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 11-Янв-17, 18:55 
Пытаюсь перенести конфиг с cisco 881 на новую cisco 881 на старой ос 15.1 на новой 15.5
Конфиг перенес, но соединения с интернетом нет. ping 8.8.8.8 не проходит
Кофиг на новой циске после переноса
version 15.5
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 [key].
!
aaa new-model
!
!
aaa authorization network VPDN local
!
aaa attribute list delo
attribute type addr-pool "delo" service ppp protocol ip
!
aaa attribute list local
attribute type addr-pool "local" service ppp protocol ip
!
aaa attribute list root
attribute type addr-pool "root" service ppp protocol ip
!
!
aaa session-id common
ethernet lmi ce
memory-size iomem 10
clock timezone Russia 4 0
clock summer-time RU recurring last Sun Mar 1:00 last Sun Oct 1:00
clock calendar-valid
!
!
ip domain name octyabrski.com
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
crypto pki trustpoint TP-self-signed-565949778
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-565949778
revocation-check none
rsakeypair TP-self-signed-565949778
!
!
license udi pid C881-K9 sn [SN]
!
!
archive
path ftp://192.168.137.137/cisco_conf/Arch_backup.conf
time-period 5040
file prompt quiet
username admin privilege 15 password 7 [pass]
username delo privilege 0 password 7 [pass]
username delo aaa attribute list delo
username local privilege 0 password 7 [pass]
username local aaa attribute list local
username root privilege 15 password 7 [pass]
username root aaa attribute list local
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Virtual-Template1
ip unnumbered FastEthernet3
peer default ip address pool delo local
no keepalive
ppp authentication pap chap ms-chap ms-chap-v2
ppp authorization VPDN
!
interface Vlan1
ip address 192.168.137.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
interface Vlan2
ip address 192.169.237.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
ip mtu 1452
ip nat outside
no ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname [user]
ppp chap password 7 [pass]
ppp chap refuse
ppp pap sent-username [user] password 7 [pass]
ppp ipcp route default
no cdp enable
!
ip local pool local 192.168.137.230 192.168.137.250
ip local pool delo 192.169.237.3 192.169.237.41
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
no ip ftp passive
ip ftp username root
ip ftp password 7 [pass]
ip nat service list 10 ftp tcp port 999
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source list 102 interface Vlan2 overload
ip nat inside source static tcp 192.168.137.137 999 [static ip] 999 extendable
ip nat inside source static tcp 192.168.137.137 3389 [static ip] 3389 extendable
ip nat inside source static tcp 192.168.137.137 8888 [static ip] 8888 extendable
ip default-network 192.168.137.0
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.21.102.0 255.255.255.0 192.169.237.1
ip route 172.30.181.0 255.255.255.0 192.169.237.1
ip route 192.168.14.0 255.255.255.0 192.169.237.1
ip route 192.168.137.0 255.255.255.0 Dialer1
ip route 192.168.200.0 255.255.255.0 192.169.237.1
ip ssh version 1
!
kron occurrence backup at 16:00 recurring
!
kron policy-list backup
cli copy startup-config ftp://192.168.137.137/cisco_conf/backup.conf
!
dialer-list 1 protocol ip permit
!
access-list 10 permit 192.168.137.137
access-list 101 deny   ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 101 deny   ip 192.168.200.0 0.0.0.255 192.169.237.0 0.0.0.255
access-list 101 deny   ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255
access-list 101 deny   ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255
access-list 101 deny   ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255
access-list 101 deny   ip 192.168.14.0 0.0.0.255 192.169.237.0 0.0.0.255
access-list 101 permit ip 192.168.137.0 0.0.0.255 any
access-list 102 permit ip 192.168.137.0 0.0.0.255 any
!
!
!
!
!
line con 0
password 7 02160B4C0E145C25
no modem enable
line aux 0
line vty 0 4
transport input ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 88.147.254.229 version 2
!
end

Команда sh int Dialer1 выдает:
Dialer1 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Internet address is [мой статик ip у провайдера]/32
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi3
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 00:02:48
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     10 packets input, 448 bytes
     27 packets output, 1054 bytes
Bound to:
Virtual-Access3 is up, line protocol is up
  Hardware is Virtual Access interface
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoE vaccess, cloned from Dialer1
  Vaccess status 0x44, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Di1 (Encapsulation PPP)
  Last input 00:00:04, output never, output hang never
  Last clearing of "show interface" counters 00:02:37
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     53 packets input, 1073 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     48 packets output, 1318 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
т.е. ip у провайдера получил но достучаться к и-нету не могу из сетки 192.168.137.0
вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Перенос конфига для 881"  +/
Сообщение от Pofigist on 11-Янв-17, 21:21 
Зачем такие навороты в 101-м акцесс-листе? Для начала - оставь в нем только пермит для нужной сетки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 12-Янв-17, 07:33 

> interface Vlan1
>  ip address 192.168.137.1 255.255.255.0

...
> ip route 192.168.137.0 255.255.255.0 Dialer1


Это что за бредятина?


> interface Dialer1
>  ppp ipcp route default

...
> ip route 0.0.0.0 0.0.0.0 Dialer1

Оставь что нибудь одно.


> ip default-network 192.168.137.0

ГДЕ ты это взял и ЗАЧЕМ?


когда несколько outdide интерфейсов, используй route-map для НАТа. пример:


route-map RM_NAT_ISP1 permit 10
match interface Dial1
match ip address nat1_acl
!
route-map RM_NAT_ISP2 permit 10
match interface Vlan2
match ip address nat2_acl
!
ip nat inside source route-map RM_NAT_ISP1 interface Dial1
ip nat inside source route-map RM_NAT_ISP2 interface Vlan2
!

На статических трансляциях также добавляй route-map, которые просто матчат нужный интерфейс:


route-map RM_STNAT_ISP1 permit 10
match interface Dial1
!
ip nat inside source static tcp 192.168.137.137 999 [static ip] 999 route-map RM_STNAT_ISP1 extendable


PS: этот форум поддерживает теги [ code ] [ /code ]

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 12-Янв-17, 08:17 
> PS: этот форум поддерживает теги [ code ] [ /code ]

Спасибо огромное, за развернутый ответ, за теги отдельное спасибо. Буду пробовать, отпишусь.
Странность в том, что на 15.1 это все работало не один год. В новый конфиг не вошло только:


l2tp tunnel timeout no-session 15
^
% Invalid input detected at '^' marker.

control-plane
    ^
% Invalid input detected at '^' marker.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 16-Янв-17, 17:05 
>
 
>> interface Vlan1
>>  ip address 192.168.137.1 255.255.255.0
> ...
>> ip route 192.168.137.0 255.255.255.0 Dialer1
>

> Это что за бредятина?

Можете уточнить что здесь не так. У меня внутренняя сеть 192.168.137.хх Мне нужно чтобы все ip из этой сети попадали в и-нет yf Dialer1 что я сделал не так?
vlan1 поднята на 1-м порту Ethernet


interface FastEthernet1
switchport access vlan 2
no ip address
no cdp enable

Здесь же  указано, что 192.168.137.0 маршрут по умолчанию

ip default-network 192.168.137.0

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 17-Янв-17, 07:09 
>>
 
>>> interface Vlan1
>>>  ip address 192.168.137.1 255.255.255.0
>> ...
>>> ip route 192.168.137.0 255.255.255.0 Dialer1
>>

>> Это что за бредятина?
> Можете уточнить что здесь не так. У меня внутренняя сеть 192.168.137.хх Мне
> нужно чтобы все ip из этой сети попадали в и-нет yf
> Dialer1 что я сделал не так?

На лицо полное непонимание как работают маршрутизаторы. При обычных настройках маршрутизаторы не смотрят откуда пришел пакет. Их, обычно, всегда интересует КУДА идет пакет. По таком принципу строится таблица маршрутизации.
Команда ip route задает направление до сети назначения а не источника. Очевидно что сеть 192.168.137.0/24 находится за интерфейсом Vlan1, и имеет статус CONNECTED, а поскольку это широковещательный интерфейс, то для поиска узлов используется протокол ARP.


> ip route 192.168.137.0 255.255.255.0 Dialer1

имеет статус STATIC и будет (точнее конечно не будет) работать только когда Vlan1 уйдет в DOWN.

> Здесь же  указано, что 192.168.137.0 маршрут по умолчанию
> ip default-network 192.168.137.0

здесь сказано, что маршрут по умолчанию должен быть туда-же, куда направлен текущий активный маршрут к указаной сети, то есть в Vlan1, что опять же не соответствует действительности. Причем эта конструкция работает только когда нет других дефолтных маршрутов, коих у вас аж две штуки. Т.е. не имеет смысла и вообще это очень редко используемая команда, непонятно откуда и кто ее взял.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 17-Янв-17, 08:58 
да с маршрутиризаторами у меня действительно проблемы, я не отрицаю.
Попробовал ping 8.8.8.8 source Dialer1 ответа нет (хотя ip адрес от провайдера я получаю корректный)

ping 8.8.8.8 source Dialer1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of [мой ip]
.....
Success rate is 0 percent (0/5)

От старого конфига по диалеру только одно добавилось pppoe enable group global
в ней


bba-group pppoe global
virtual-template 4
sessions max limit 8000 threshold 65535
sessions per-vc limit 8 threshold 0
sessions per-mac limit 2
sessions per-vlan limit 100 inner 100
sessions per-vc throttle 100000 3600 0
sessions per-mac throttle 100000 3600 0
sessions per-vlan throttle 100000 3600 0
tag ppp-max-payload minimum 1492 maximum 1500
pado delay -1
pado delay circuit-id -1
pado delay remote-id -1
control-packets vlan cos 8

Старая циска с IOS 15.1 как-то работает при переносе конфига было только две ошибки:


l2tp tunnel timeout no-session 15
^
% Invalid input detected at '^' marker.

control-plane
    ^
% Invalid input detected at '^' marker.

По поводу vlan1 вот что мне показывает sh tech-support - он is up


Vlan1 is up, line protocol is up
  Hardware is EtherSVI, address is 002a.108b.a2da (bia 002a.108b.a2da)
  Internet address is 192.168.137.1/24
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 10/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 4000 bits/sec, 7 packets/sec
  5 minute output rate 104000 bits/sec, 3 packets/sec
     16087 packets input, 1737619 bytes, 0 no buffer
     Received 2147 broadcasts (4 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     12740 packets output, 11725637 bytes, 0 underruns
     0 output errors, 1 interface resets
     215 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 17-Янв-17, 10:34 
>[оверквотинг удален]
> Попробовал ping 8.8.8.8 source Dialer1 ответа нет (хотя ip адрес от провайдера
> я получаю корректный)
>
 
> ping 8.8.8.8 source Dialer1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
> Packet sent with a source address of [мой ip]
> .....
> Success rate is 0 percent (0/5)
>

show ip route
show run int dial1


> От старого конфига по диалеру только одно добавилось pppoe enable group global
> в ней
>

 
> bba-group pppoe global
>  virtual-template 4
>

А это откуда взялось?

> Старая циска с IOS 15.1 как-то работает

Эх, если бы я получал доллар, каждый раз, когда такое слышу.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 17-Янв-17, 10:46 
>> От старого конфига по диалеру только одно добавилось pppoe enable group global
>> в ней
>>
 
>> bba-group pppoe global
>>  virtual-template 4
>>

> А это откуда взялось?

Это мне sh running-config all показвает
Как я понял cisca сама создает по умолчанию. Я не создавал только


pppoe enable
pppoe-client dial-pool-number 1

сделал, а группу циска сама автоматом.

>> Старая циска с IOS 15.1 как-то работает
> Эх, если бы я получал доллар, каждый раз, когда такое слышу.

А для меня удивительно. Опыта просто нет.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 17-Янв-17, 12:26 
>>> От старого конфига по диалеру только одно добавилось pppoe enable group global
>>> в ней
>>>
 
>>> bba-group pppoe global
>>>  virtual-template 4
>>>

>> А это откуда взялось?
> Это мне sh running-config all показвает
> Как я понял cisca сама создает по умолчанию. Я не создавал только

Да не может она такого "сама" создать. Это секция для PPPoE сервера, причем с конкретно указаным тимплейтом.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 17-Янв-17, 13:10 
> Да не может она такого "сама" создать. Это секция для PPPoE сервера,
> причем с конкретно указаным тимплейтом.

Что с ней делать? Я сбрасывал настройки несколько раз (erase startup-config). Она все время сама появляется после того как задаешь  pppoe-client dial-pool-number 1

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/confi...
там в разделе Example: Configuring a PPPoE Client такой фигни нет. Почему у меня все время появляется?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 17-Янв-17, 13:17 
>> Да не может она такого "сама" создать. Это секция для PPPoE сервера,
>> причем с конкретно указаным тимплейтом.
> Что с ней делать? Я сбрасывал настройки несколько раз (erase startup-config). Она
> все время сама появляется после того как задаешь  pppoe-client dial-pool-number
> 1

дела...
может конечно в этой версии это дефолтный конфиг

НО
конфиг нужно смотреть не "show run ALL", а просто "show run"
так как параметр ALL показывает все дефолтные настройки в том числе

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 17-Янв-17, 13:22 
> НО
> конфиг нужно смотреть не "show run ALL", а просто "show run"
> так как параметр ALL показывает все дефолтные настройки в том числе

show run вот что показывает по wan


interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable

саму group больше нигде не видно по конфигу я ее не вводил. что сделать чтобы просто pppoe enable было?
Циска у меня System image file is "flash:c800-universalk9_npe-mz.SPA.155-3.M.bin"

Правда у меня еще VPN поднят для пользователя delo


vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 17-Янв-17, 14:07 
Покажи ВЕСЬ show run, без паролей.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 17-Янв-17, 14:27 
> Покажи ВЕСЬ show run, без паролей.

в исходном сообщении весь show running-config после копирования на новой циске.
повторить смогу только поздно вечером. сейчас все работает - не отключить.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Перенос конфига для 881"  +/
Сообщение от ShyLion (??) on 18-Янв-17, 14:34 
>> Покажи ВЕСЬ show run, без паролей.
> в исходном сообщении весь show running-config после копирования на новой циске.
> повторить смогу только поздно вечером. сейчас все работает - не отключить.

Если сходу не получается, советую перетаскивать конфиг поэтапно, начав с самого простого, проверяя его работу на каждом этапе. Настрой просто выход самого роутера в инет, потом NAT для локальной сети и т.д.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

7. "Перенос конфига для 881"  +/
Сообщение от Karen Durinyan on 17-Янв-17, 10:02 
>[оверквотинг удален]
>      48 packets output, 1318 bytes, 0 underruns
>      0 output errors, 0 collisions, 0 interface
> resets
>      0 unknown protocol drops
>      0 output buffer failures, 0 output buffers
> swapped out
>      0 carrier transitions
> т.е. ip у провайдера получил но достучаться к и-нету не могу из
> сетки 192.168.137.0
> вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал.

вопрос... vlan 2 создали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Перенос конфига для 881"  +/
Сообщение от Karen Durinyan on 17-Янв-17, 10:12 
>[оверквотинг удален]
>>      0 output errors, 0 collisions, 0 interface
>> resets
>>      0 unknown protocol drops
>>      0 output buffer failures, 0 output buffers
>> swapped out
>>      0 carrier transitions
>> т.е. ip у провайдера получил но достучаться к и-нету не могу из
>> сетки 192.168.137.0
>> вторая сетка пингуется и работает нормально. Прошу помочь всю голову уже сломал.
> вопрос... vlan 2 создали?

снимаю вопрос. sorry.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 25-Янв-17, 09:00 
Вбил конфиг вручную все сразу завелось pppoe поднялось. Правда я учел замечания ShyLion. Но возникла другая проблема не могу подключиться по VPN'у винды. Юзер для подключения delo винда отвечает 691 ошибкой
Вот sh run

version 15.5
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 [key]
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
memory-size iomem 10
!
!
!
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group VPN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
crypto pki trustpoint TP-self-signed-1343252281
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1343252281
revocation-check none
rsakeypair TP-self-signed-1343252281
!
!
username admin privilege 15 password 7 [pas]
username delo privilege 0 password 7 [pas]
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Virtual-Template1
ip unnumbered Vlan1
peer default ip address pool VPN
no keepalive
ppp authentication pap chap ms-chap ms-chap-v2
!
interface Vlan1
ip address 192.168.137.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
interface Vlan2
ip address 192.169.237.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
ip mtu 1452
ip nat outside
no ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer enable-timeout 1
dialer wait-for-line-protocol 5
dialer wait-for-carrier-time 5
dialer-group 1
ppp authentication chap callin
ppp chap password 7 [pas]
ppp chap refuse
ppp pap sent-username [login] password 7 [pas]
ppp ipcp route default
no cdp enable
!
ip local pool vpn 192.168.137.220 192.168.137.250
ip forward-protocol nd
ip http server
ip http secure-server
!
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source list 101 interface Vlan2 overload
ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999
ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.21.102.0 255.255.255.0 192.169.237.1
ip route 172.30.181.0 255.255.255.0 192.169.237.1
ip route 192.168.14.0 255.255.255.0 192.169.237.1
ip route 192.168.200.0 255.255.255.0 192.169.237.1
ip ssh version 1
!
dialer-list 1 protocol ip permit
!
access-list 100 deny   ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 100 deny   ip 192.168.200.0 0.0.0.255 192.169.237.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255
access-list 100 deny   ip 192.168.14.0 0.0.0.255 192.169.237.0 0.0.0.255
access-list 100 permit ip 192.168.137.0 0.0.0.255 any
access-list 101 permit ip 192.168.137.0 0.0.0.255 any
!
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input ssh
!
scheduler allocate 20000 1000
!
end


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 25-Янв-17, 09:24 
> Вбил конфиг вручную все сразу завелось pppoe поднялось. Правда я учел замечания
> ShyLion. Но возникла другая проблема не могу подключиться по VPN'у винды.
> Юзер для подключения delo винда отвечает 691 ошибкой

term mon
debug ppp authen
debug ppp nego

для начала

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 26-Янв-17, 08:33 
вычитал, что с включенным ааа(aaa new-model - aaa мне нужно для подключения к циске по ssh вроде как без aaa new-model и aaa session-id common) стандартные конфиги на vpn не работают, в циску не зайти сеанс открывает, но приглашения логина нет (поправте, может, я не прав)
добавил:


aaa attribute list delo
attribute type addr-pool "vpn" service ppp protocol ip

username delo aaa attribute list delo

авторизация стала проходить, но при включении пк в сеть получаю ошибку 742 вот log


Router#term mon
Router#debug ppp authen
PPP authentication debugging is on
Router#debug ppp nego
PPP protocol negotiation debugging is on
*Jan 25 19:37:53.468: PPP: Alloc Context [E0AA654]
*Jan 25 19:37:53.468: ppp51 PPP: Phase is ESTABLISHING
*Jan 25 19:37:53.468: ppp51 PPP: Using vpn set call direction
*Jan 25 19:37:53.468: ppp51 PPP: Treating connection as a callin
*Jan 25 19:37:53.468: ppp51 PPP: Session handle[EA000033] Session id[51]
*Jan 25 19:37:53.468: ppp51 LCP: Event[OPEN] State[Initial to Starting]
*Jan 25 19:37:53.468: ppp51 PPP LCP: Enter passive mode, state[Stopped]
*Jan 25 19:37:53.516: ppp51 LCP: I CONFREQ [Stopped] id 0 len 21
*Jan 25 19:37:53.516: ppp51 LCP:    MRU 1400 (0x01040578)
*Jan 25 19:37:53.516: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:53.516: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:53.516: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:53.516: ppp51 LCP:    Callback 6 (0x0D0306)
*Jan 25 19:37:53.516: ppp51 LCP: O CONFREQ [Stopped] id 1 len 14
*Jan 25 19:37:53.516: ppp51 LCP:    AuthProto PAP (0x0304C023)
*Jan 25 19:37:53.516: ppp51 LCP:    MagicNumber 0x2AD081F8 (0x05062AD081F8)
*Jan 25 19:37:53.520: ppp51 LCP: O CONFREJ [Stopped] id 0 len 7
*Jan 25 19:37:53.520: ppp51 LCP:    Callback 6 (0x0D0306)
*Jan 25 19:37:53.520: ppp51 LCP: Event[Receive ConfReq-] State[Stopped to REQsent]
*Jan 25 19:37:53.564: ppp51 LCP: I CONFNAK [REQsent] id 1 len 9
*Jan 25 19:37:53.564: ppp51 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Jan 25 19:37:53.564: ppp51 LCP: O CONFREQ [REQsent] id 2 len 15
*Jan 25 19:37:53.564: ppp51 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Jan 25 19:37:53.564: ppp51 LCP:    MagicNumber 0x2AD081F8 (0x05062AD081F8)
*Jan 25 19:37:53.564: ppp51 LCP: Event[Receive ConfNak/Rej] State[REQsent to REQsent]
*Jan 25 19:37:53.568: ppp51 LCP: I CONFREQ [REQsent] id 1 len 18
*Jan 25 19:37:53.568: ppp51 LCP:    MRU 1400 (0x01040578)
*Jan 25 19:37:53.568: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:53.568: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:53.568: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:53.568: ppp51 LCP: O CONFNAK [REQsent] id 1 len 8
*Jan 25 19:37:53.568: ppp51 LCP:    MRU 1500 (0x010405DC)
*Jan 25 19:37:53.568: ppp51 LCP: Event[Receive ConfReq-] State[REQsent to REQsent]
*Jan 25 19:37:53.608: ppp51 LCP: I CONFACK [REQsent] id 2 len 15
*Jan 25 19:37:53.608: ppp51 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Jan 25 19:37:53.608: ppp51 LCP:    MagicNumber 0x2AD081F8 (0x05062AD081F8)
*Jan 25 19:37:53.608: ppp51 LCP: Event[Receive ConfAck] State[REQsent to ACKrcvd]
*Jan 25 19:37:53.612: ppp51 LCP: I CONFREQ [ACKrcvd] id 2 len 18
*Jan 25 19:37:53.612: ppp51 LCP:    MRU 1400 (0x01040578)
*Jan 25 19:37:53.612: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:53.612: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:53.612: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:53.612: ppp51 LCP: O CONFNAK [ACKrcvd] id 2 len 8
*Jan 25 19:37:53.612: ppp51 LCP:    MRU 1500 (0x010405DC)
*Jan 25 19:37:53.612: ppp51 LCP: Event[Receive ConfReq-] State[ACKrcvd to ACKrcvd]
*Jan 25 19:37:55.528: ppp51 LCP: I CONFREQ [ACKrcvd] id 3 len 18
*Jan 25 19:37:55.528: ppp51 LCP:    MRU 1400 (0x01040578)
*Jan 25 19:37:55.528: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:55.528: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:55.528: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:55.528: ppp51 LCP: O CONFNAK [ACKrcvd] id 3 len 8
*Jan 25 19:37:55.528: ppp51 LCP:    MRU 1500 (0x010405DC)
*Jan 25 19:37:55.528: ppp51 LCP: Event[Receive ConfReq-] State[ACKrcvd to ACKrcvd]
*Jan 25 19:37:55.556: ppp51 LCP: O CONFREQ [ACKrcvd] id 3 len 15
*Jan 25 19:37:55.556: ppp51 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Jan 25 19:37:55.556: ppp51 LCP:    MagicNumber 0x2AD081F8 (0x05062AD081F8)
*Jan 25 19:37:55.556: ppp51 LCP: Event[Timeout+] State[ACKrcvd to REQsent]
*Jan 25 19:37:55.576: ppp51 LCP: I CONFREQ [REQsent] id 4 len 18
*Jan 25 19:37:55.576: ppp51 LCP:    MRU 1500 (0x010405DC)
*Jan 25 19:37:55.576: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:55.576: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:55.576: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:55.576: ppp51 LCP: O CONFACK [REQsent] id 4 len 18
*Jan 25 19:37:55.576: ppp51 LCP:    MRU 1500 (0x010405DC)
*Jan 25 19:37:55.576: ppp51 LCP:    MagicNumber 0x0E5D7798 (0x05060E5D7798)
*Jan 25 19:37:55.576: ppp51 LCP:    PFC (0x0702)
*Jan 25 19:37:55.576: ppp51 LCP:    ACFC (0x0802)
*Jan 25 19:37:55.576: ppp51 LCP: Event[Receive ConfReq+] State[REQsent to ACKsent]
*Jan 25 19:37:55.600: ppp51 LCP: I CONFACK [ACKsent] id 3 len 15
*Jan 25 19:37:55.600: ppp51 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381)
*Jan 25 19:37:55.600: ppp51 LCP:    MagicNumber 0x2AD081F8 (0x05062AD081F8)
*Jan 25 19:37:55.600: ppp51 LCP: Event[Receive ConfAck] State[ACKsent to Open]
*Jan 25 19:37:55.612: ppp51 PPP: Phase is AUTHENTICATING, by this end
*Jan 25 19:37:55.612: ppp51 MS-CHAP-V2: O CHALLENGE id 1 len 27 from "Router"
*Jan 25 19:37:55.612: ppp51 LCP: State is Open
*Jan 25 19:37:55.628: ppp51 LCP: I IDENTIFY [Open] id 5 len 18 magic 0x0E5D7798MSRASV5.20
*Jan 25 19:37:55.632: ppp51 LCP: I IDENTIFY [Open] id 6 len 23 magic 0x0E5D7798MSRAS-0-BORISPC
*Jan 25 19:37:55.640: ppp51 LCP: I IDENTIFY [Open] id 7 len 24 magic 0x0E5D7798K!O\qvLII8Jd.fAm
*Jan 25 19:37:55.660: ppp51 MS-CHAP-V2: I RESPONSE id 1 len 58 from "delo"
*Jan 25 19:37:55.660: ppp51 PPP: Phase is FORWARDING, Attempting Forward
*Jan 25 19:37:55.660: ppp51 PPP: Phase is AUTHENTICATING, Unauthenticated User
*Jan 25 19:37:55.660: ppp51 PPP: Sent MSCHAP_V2 LOGIN Request
*Jan 25 19:37:55.664: ppp51 PPP: Received LOGIN Response PASS
*Jan 25 19:37:55.664: ppp51 PPP: Phase is FORWARDING, Attempting Forward
*Jan 25 19:37:55.668: Vi4.1 PPP: Phase is AUTHENTICATING, Authenticated User
*Jan 25 19:37:55.668: Vi4.1: No MS_CHAP_V2 msg data
*Jan 25 19:37:55.668: Vi4.1 MS-CHAP-V2: O SUCCESS id 1 len 46 msg is "S=31CDD4317C27DB781E98CF4CA12BEB1602C93BBD"
*Jan 25 19:37:55.668: Vi4.1 PPP: No AAA accounting method list
*Jan 25 19:37:55.668: Vi4.1 PPP: Phase is UP
*Jan 25 19:37:55.668: Vi4.1 IPCP: Protocol configured, start CP. state[Initial]
*Jan 25 19:37:55.668: Vi4.1 IPCP: Event[OPEN] State[Initial to Starting]
*Jan 25 19:37:55.668: Vi4.1 IPCP: O CONFREQ [Starting] id 1 len 10
*Jan 25 19:37:55.668: Vi4.1 IPCP:    Address 192.168.137.1 (0x0306C0A88901)
*Jan 25 19:37:55.668: Vi4.1 IPCP: Event[UP] State[Starting to REQsent]
*Jan 25 19:37:55.720: Vi4.1 IPV6CP: I CONFREQ [UNKNOWN] id 8 len 14
*Jan 25 19:37:55.720: Vi4.1 IPV6CP:    Interface-Id F889:7EF3:6414:E01D (0x010AF8897EF36414E01D)
*Jan 25 19:37:55.720: Vi4.1 LCP: O PROTREJ [Open] id 4 len 20 protocol IPV6CP (0x0108000E010AF8897EF36414E01D)
*Jan 25 19:37:55.720: Vi4.1 CCP: I CONFREQ [UNKNOWN] id 9 len 10
*Jan 25 19:37:55.720: Vi4.1 CCP:    MS-PPC supported bits 0x01000040 (0x120601000040)
*Jan 25 19:37:55.720: Vi4.1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x0109000A120601000040)
*Jan 25 19:37:55.728: Vi4.1 IPCP: I CONFREQ [REQsent] id 10 len 34
*Jan 25 19:37:55.728: Vi4.1 IPCP:    Address 0.0.0.0 (0x030600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP AUTHOR: Done. Her address 0.0.0.0, we want 0.0.0.0
*Jan 25 19:37:55.728: Vi4.1 IPCP: Cannot satisfy pool request
*Jan 25 19:37:55.728: Vi4.1 IPCP: Neither side knows remote address
*Jan 25 19:37:55.728: Vi4.1 IPCP: O CONFREJ [REQsent] id 10 len 34
*Jan 25 19:37:55.728: Vi4.1 IPCP:    Address 0.0.0.0 (0x030600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Jan 25 19:37:55.728: Vi4.1 IPCP: Event[Receive ConfReq-] State[REQsent to REQsent]
*Jan 25 19:37:55.728: Vi4.1 PPP: Control packet rate limit 10 reached
*Jan 25 19:37:55.728: Vi4.1 PPP: Entering block state for 30 seconds
*Jan 25 19:37:55.728: Vi4.1 PPP: Packet throttled, Dropping packet
*Jan 25 19:37:55.776: Vi4.1 PPP: Packet throttled, Dropping packet
*Jan 25 19:37:56.784: Vi4.1 PPP: Block vaccess from being freed [0x10]
*Jan 25 19:37:56.784: Vi4.1 PPP DISC: Lower Layer disconnected
*Jan 25 19:37:56.788: Vi4.1 PPP: Sending Acct Event[Down] id[48]
*Jan 25 19:37:56.788: PPP: NET STOP send to AAA.
*Jan 25 19:37:56.788: Vi4.1 IPCP: Event[DOWN] State[REQsent to Starting]
*Jan 25 19:37:56.788: Vi4.1 IPCP: Event[CLOSE] State[Starting to Initial]
*Jan 25 19:37:56.788: Vi4.1 LCP: O TERMREQ [Open] id 6 len 4
*Jan 25 19:37:56.788: Vi4.1 LCP: Event[CLOSE] State[Open to Closing]
*Jan 25 19:37:56.788: Vi4.1 PPP: Phase is TERMINATING
*Jan 25 19:37:56.788: Vi4.1 LCP: Event[DOWN] State[Closing to Initial]
*Jan 25 19:37:56.788: Vi4.1 PPP: Unlocked by [0x10] Still Locked by [0x0]
*Jan 25 19:37:56.788: Vi4.1 PPP: Free previously blocked vaccess
*Jan 25 19:37:56.788: Vi4.1 PPP: Phase is DOWN


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 09:48 
> *Jan 25 19:37:55.728: Vi4.1 IPCP: Event[Receive ConfReq-] State[REQsent to REQsent]
> *Jan 25 19:37:55.728: Vi4.1 PPP: Control packet rate limit 10 reached
> *Jan 25 19:37:55.728: Vi4.1 PPP: Entering block state for 30 seconds
> *Jan 25 19:37:55.728: Vi4.1 PPP: Packet throttled, Dropping packet
> *Jan 25 19:37:55.776: Vi4.1 PPP: Packet throttled, Dropping packet
> *Jan 25 19:37:56.784: Vi4.1 PPP: Block vaccess from being freed [0x10]

ppp packet throttle 30 1 30

поиграйся с этой настройкой, у меня с такой все работает нормально.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 09:53 
>[оверквотинг удален]
> к циске по ssh вроде как без aaa new-model и aaa
> session-id common) стандартные конфиги на vpn не работают, в циску не
> зайти сеанс открывает, но приглашения логина нет (поправте, может, я не
> прав)
> добавил:
>
 
> aaa attribute list delo
>  attribute type addr-pool "vpn" service ppp protocol ip
>  username delo aaa attribute list delo
>

aaa authentication login default local
aaa authorization exec default local
aaa authorization console

! После этого enable вообще не нужен, username ... privilege 15 сразу дает админ-доступ и с шелла и с консоли

aaa authentication ppp default local
aaa authorization network default none
aaa accounting network default none

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 10:21 
> aaa authentication ppp default local
> aaa authorization network default none
> aaa accounting network default none

aaa authorization network default local

пардон

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 26-Янв-17, 14:18 
> ! После этого enable вообще не нужен, username ... privilege 15 сразу
> дает админ-доступ и с шелла и с консоли
> aaa authentication ppp default local
> aaa authorization network default none
> aaa accounting network default none

Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa (типа aaa authentication) зайдут?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 15:37 
>> ! После этого enable вообще не нужен, username ... privilege 15 сразу
>> дает админ-доступ и с шелла и с консоли
>> aaa authentication ppp default local
>> aaa authorization network default none
>> aaa accounting network default none
> Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa
> (типа aaa authentication) зайдут?

enable secret

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 26-Янв-17, 15:38 
>>> ! После этого enable вообще не нужен, username ... privilege 15 сразу
>>> дает админ-доступ и с шелла и с консоли
>>> aaa authentication ppp default local
>>> aaa authorization network default none
>>> aaa accounting network default none
>> Уточните, пожалуйста, enable чего? aaa new-model? без него разве команды с aaa
>> (типа aaa authentication) зайдут?
> enable secret

хотя я погорячился насчет не нужен
просто пользователю с 15 уровнем его вводить не надо
с меньшим уровнем, чтобы повысится до 15-го уровня, придется вводить

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 26-Янв-17, 15:42 
> хотя я погорячился насчет не нужен
> просто пользователю с 15 уровнем его вводить не надо
> с меньшим уровнем, чтобы повысится до 15-го уровня, придется вводить

для vpn у меня user delo завожу так
username delo privilege 0 password 0 [pas] ... как по инструкции
проблема не в enable secret, а в aaa new-model (насколько я понял)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Перенос конфига для 881"  +/
Сообщение от ShyLion (??) on 26-Янв-17, 18:15 
> проблема не в enable secret, а в aaa new-model (насколько я понял)

aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать.
старый метод, когда на линии задается пароль, он "старый" и есть

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 26-Янв-17, 18:30 
>> проблема не в enable secret, а в aaa new-model (насколько я понял)
> aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать.
> старый метод, когда на линии задается пароль, он "старый" и есть

мне задавать


aaa authentication login default local
aaa authorization exec default local
aaa authorization console

вместо aaa mew-model?


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Перенос конфига для 881"  +/
Сообщение от ShyLion (??) on 26-Янв-17, 18:46 
>>> проблема не в enable secret, а в aaa new-model (насколько я понял)
>> aaa new-model нужен для ppp, да, собсно эта команду обычно всегда использовать.
>> старый метод, когда на линии задается пароль, он "старый" и есть
> мне задавать
>
 
> aaa authentication login default local
> aaa authorization exec default local
> aaa authorization console
>

> вместо aaa mew-model?

да не вместо! а вместе!


aaa mew-model

aaa authentication login default local
aaa authorization exec default local
aaa authorization console

aaa authentication ppp default local
aaa authorization network default local
aaa accounting network default none



Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 30-Янв-17, 21:57 
> да не вместо! а вместе!

Спасибо вам огромное все получилось. Правда, я еще не пробовал сбрасывать настройки и грузить их из файла, но кофиг набранный вручную работает.

Вот рабочий конфиг:


version 15.5
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 [key]
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization console
aaa authorization exec default local
aaa authorization network default local
aaa accounting network default none
!
!
!
!
!
aaa session-id common
ethernet lmi ce
memory-size iomem 10
!
!
ip cef
no ipv6 cef
!
!
vpdn enable
!
vpdn-group VPN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
username admin privilege 15 password 7 [pass]
username delo privilege 0 password 7 [pass]
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly in
peer default ip address pool vpn
no keepalive
ppp authentication ms-chap-v2
!
interface Vlan1
ip address 192.168.137.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
interface Vlan2
ip address 192.169.237.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
ip mtu 1452
ip nat outside
no ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer enable-timeout 1
dialer wait-for-line-protocol 5
dialer wait-for-carrier-time 5
dialer-group 1
ppp authentication chap callin
ppp chap password 7 [pass]
ppp chap refuse
ppp pap sent-username [login] password 7 [pass]
ppp ipcp route default
no cdp enable
!
ip local pool vpn 192.168.137.220 192.168.137.250
ip forward-protocol nd
ip http server
ip http secure-server
!
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source list 101 interface Vlan2 overload
ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999
ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389
ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.21.102.0 255.255.255.0 192.169.237.1
ip route 172.30.181.0 255.255.255.0 192.169.237.1
ip route 192.168.14.0 255.255.255.0 192.169.237.1
ip route 192.168.200.0 255.255.255.0 192.169.237.1
ip ssh version 1
!
dialer-list 1 protocol ip permit
!
access-list 100 deny   ip 192.168.137.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 172.21.102.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 172.30.181.0 0.0.0.255
access-list 100 deny   ip 192.168.137.0 0.0.0.255 192.168.14.0 0.0.0.255
access-list 100 permit ip 192.168.137.0 0.0.0.255 any
access-list 101 permit ip 192.168.137.0 0.0.0.255 any
!
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input ssh
!
scheduler allocate 20000 1000
!
end

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 31-Янв-17, 07:39 
> username admin privilege 15 password 7 [pass]

Если учетка не должна использоваться для ppp, то нужно использовать secret.
Для ppp лучше админскую учетку не использовать вообще.

> ip nat inside source list 100 interface Dialer1 overload
> ip nat inside source list 101 interface Vlan2 overload
> ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999
> ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389
> ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888

Если несколько outside интерфейсов, предпочтительнее использовать route-map:


route-map RM_NAT_DIAL1
match interface Dial1
match ip address 100
!
route-map RM_NAT_VLAN2
match interface Vlan2
match ip address 101
!
route-map RM_STATIC_NAT_DIAL1
match interface Dial1
!
ip nat inside source route-map RM_NAT_DIAL1 interface Dial1 overload
ip nat inside source route-map RM_NAT_VLAN2 interface Vlan2 overload
ip nat inside source static tcp 192.168.137.137 999 interface Dialer1 999 route-map RM_STATIC_NAT_DIAL1 extandable
ip nat inside source static tcp 192.168.137.137 3389 interface Dialer1 3389 route-map RM_STATIC_NAT_DIAL1 extandable
ip nat inside source static tcp 192.168.137.137 8888 interface Dialer1 8888 route-map RM_STATIC_NAT_DIAL1 extandable

> ip ssh version 1

Это очень старый протокол!


ip ssh version 2

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Перенос конфига для 881"  +/
Сообщение от borr741 (ok) on 31-Янв-17, 18:06 
> Если несколько outside интерфейсов, предпочтительнее использовать route-map:

а access-list'ы у меня тогда как должны выглядеть? так?


access-list 100 deny   ip 192.168.200.0 0.0.0.255
access-list 100 deny   ip 172.21.102.0 0.0.0.255
access-list 100 deny   ip 172.30.181.0 0.0.0.255
access-list 100 deny   ip 192.168.14.0 0.0.0.255
access-list 100 permit ip any
access-list 101 permit ip any

я собираюсь еще одну vlan поднять для vpn там такой же acl будет как и 100. Я тогда в route-map для нее смогу указать этот же 100 лист - верно?


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Перенос конфига для 881"  +/
Сообщение от ShyLion (ok) on 01-Фев-17, 06:57 
>> Если несколько outside интерфейсов, предпочтительнее использовать route-map:
> а access-list'ы у меня тогда как должны выглядеть? так?

Аксес листы должны матчить траффик, который нужно натить.


Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList