отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
7489
Просмотры
51
Полезный материал
45
Ответы
Highlighted
Beginner

Настройка PPTP на cisco 1921

Приветствую, комрады!

Cisco приходится настраивать не часто, поэтому прошу помощи у знающих коллег. Задача довольно тривиальная, поэтому верноятно кто-то уже настраивал подобное и сможет подсказать, как сделать и пояснить некоторые моменты.

Есть Cisco 1921

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(2)T2, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2010 by Cisco Systems, Inc.

Compiled Fri 22-Oct-10 23:32 by prod_rel_team

ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)

dbt_vlg uptime is 1 hour, 16 minutes

System returned to ROM by reload at 05:32:34 UTC Wed Jan 15 2014

System image file is "usbflash0:c1900-universalk9-mz.SPA.151-2.T2.bin"

Last reload type: Normal Reload

Last reload reason: Reload Command

Задача простая: Поднять интернет соединение на ней и раздавать инет в сеть.

Провайдер выдает белый IP по PPTP соединению, поэтому нужно настраивать vpdn на cisco, насколько я понял.

Я "нагуглил" инфы по данному вопросу и попробоавл собрать все воедино. Циска чистая, поэтому настройка с нуля. Создание юзера и т.д. описываьт не убду, по ним вопросов нет. Вопросы есть касательно двух интерфейсов: первый GigabyteEthernet0/0 в который я втыкнул локальную сеть и второй GigabyteEthernet0/1 в который будет вставлен провод от провайдера.

С настройкой первого порта вроде проблем нет и делается все стандартно:

Router(config)# interface GigabyteEthernet0/0
Router(config-if)# ip address 192.168.0.1 255.255.255.0 Router(config-if)#  description LAN Router(config-if)# no shutdown Router(config-if)#exit
Router(config)# ip name-server 192.168.0.2  'DNSы
Router(config)# ip domain-name 'мой домен' 

Так же нашел инфу по настройке vpdn, чтобы было соединение с pptp-сервером.

Включаем и настраиваем vpdn (Virtual Private Dialup Network):

cisco(config)#service internal

! Включаем vpdn

cisco(config)#vpdn enable

! Создаем группу с номером 1

cisco(config)#vpdn-group 1

cisco(config-vpdn)#request-dialin

! Указываем протокол соединения

cisco(config-vpdn-req-in)#protocol pptp

cisco(config-vpdn-req-in)#rotary-group 0

! Указываем VPN сервер

cisco(config-vpdn)#initiate-to ip _vpn_server_ip_

! Настраиваем интерфейс VPN-клиента

cisco(config)#interface Dialer0

! Указываем mtu

cisco(config-if)#mtu 1440

! Автоматически получать IP адрес

cisco(config-if)#ip address negotiated

! Благодаря данной команде наш интерфейс будет всегда в состоянии "up"

cisco(config-if)#ip pim dense-mode

! Выставляем инкапсуляцию ppp

cisco(config-if)#encapsulation ppp

cisco(config-if)#dialer in-band

cisco(config-if)#dialer idle-timeout 0

cisco(config-if)#dialer string 123

cisco(config-if)#dialer vpdn

! Номер dialer-list'а - для просмотра подходящих данных

cisco(config-if)#dialer-group 1

! Отрубаем поддержку cisco discovery protocol на этом интерфейсе

cisco(config-if)#no cdp enable

! Указываем логин и пароль для аутентификации

cisco(config-if)#ppp chap hostname _login_

cisco(config-if)#ppp chap password 0 _password_


И добавляем dialer-list, где будут задаваться типы данных (в нашем случае – весь протокол IP), которые будут заставлять циску устанавливать соединение:

cisco(config)#dialer-list 1 protocol ip permit

Вроде вся настройка.

Мне немного не понятно, как нужно настроить второй сетевой интерфейс куда будет втыкнул шнур от провайдера и как Dialer0 поймет по какому сетевому интерфейсу пытаться соедениться, ведь в настройках vpdn нигде не указан интерфейс.

Если кто-то настраивал подобное у себя и может подсобить советом, буду признателен.

45 ОТВЕТ 45
Highlighted

Спасибо, добавлю.

Highlighted

Да все верно Сергей.

Раз ИП получаете автоматом из 12-ой подсети, и PPTP сервер в  12-ой сети. То доролнитнльных маршрутов не нужно для pptp. Просто один маршрут по умолчанию на Dialer 0.  И конечно же активировать NAT  для раздачи интернета в сеть внутреннюю.

Кстате у вас заработал Dialer ? Получили ИП от провайдера?

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

Сообщение отредактировал: Vitaliy Zinatov

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
Highlighted
Beginner

Dialer0 еще не удалось проверить, сегодя буду тестировать. Поскольку тестовой среды нет, то приходится это все делать в промежутки, когда народ меньше всего занят. Поэтому, стараюсь, как можно больше собрать инфы, чтобы не делать "методом тыка".

Вопрос по поводу интерфеса Dialer1.

По факту нигде до этого я про Dialer1 не писал и никак его не обозначал. Не означает ли что его нужно сначала создать? А то получается, что я задаю маршрут на новый интерфейс ip route 0.0.0.0 0.0.0.0 Dialer1

А потом просто указываю, что он внешний путем ip nat outside

Как-то его нужно же обознать до всех этих действий, как я сделал к примеру с Dialer0


Highlighted

Все верно, поправлю сообщения. Dialer 0 должен быть.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
Highlighted
Beginner

на пк шлюз - адрес циски, днсы - циска ии гугловский

По поводу NAT я мог что-то упутить. Конфиг циски двумя постами выше, но настраивал, как вы написали.

ip nat inside source list internet_to_lan interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1
!
ip access-list extended internet_to_lan
 permit ip 192.168.0.0 0.0.0.255 any

+ добавил в интерфейсы

interface GigabitEthernet0/0
 ip nat inside

interface Dialer0
 ip nat outside
Highlighted

Поставьте на ПК  ping 8.8.8.8 -t

и на маршрутизаторе сделайте

sh ip nat translations

sh ip nat statistics

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
Highlighted
Beginner

Спасибо, как сделаю, отпишусь.

Highlighted

Также попробуйте заменить следующее:

Уберите

ip nat inside source list internet_to_lan interface Dialer0 overload

Добавьте:

ip nat pool isp_pool

ваши_внешние_ИП ваши_внешние_ИП netmask 255.255.xxx.xxx

Если от провайдера получаете к примеру 10.10.10.0  с маской /30 то будет так

10.10.10.1 10.10.10.2 netmask 255.255.255.252

Далее:

ip nat inside source list internet_to_lan pool isp_pool overload

И для проверки в конце дописать еще:

interface GigabitEthernet0/1

ip nat outside

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
Highlighted

По неизвестным мне причинам все заработало на текущей конфигурации, полагаю после сброса днс'ов на компьютере.

Коллеги, большое спасибо всем за помощь!

Highlighted
Beginner

Прошу небольшого уточнения по ACL. Вот у меня в конфиге есть расширеный ACL

ip access-list extended internet_to_lan
 permit ip 192.168.0.0 0.0.0.255 any

Правильно ли я понимаю что он уже работает благодаря строке:

ip nat inside source list internet_to_lan interface Dialer0 overload

и мне не нужно на интерфейс Dialer0 добавлять строку типа ip access-group internet_to_lan in

А можно просто заходит в ACL, добавлять туда нужные правила и они будут корректно работать ?

Highlighted

Да все верно Сергей. Этим листом доступа мы просто класифицируем нужный нам траффик который требуется натить.  Вешать этот лист на интерфейс уже не нужно он используется правилом ната.

Что касается правил, если вы хотите вводить ограничения на порты и доступы, уже можете создать отдельный лист доступа и привязать его к интерфейсу.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
Highlighted

Виталий, спасибо.

Highlighted
Beginner

Приветствую, камрады!

Подсобите чуток с теорией. Вот на текущей конфигурации все работает корректно, но все входящие порты разуеется закрыты. Для того, чтобы например ко мне могли ломиться по ftp или по тому же rdp, мне нужно настроить ACL.

1. Правильно ли я понял, что вешать мне его нужно на интерфейс Dialer0, который дозванивается до провайдера, а не на реальный, куда втыкнут провод от провайдера.

2. Сам принцип добавления строк в ACL:

- я создаю лист ip access-list extended NameList и добавляю в него строки: permit tcp any host "мой внешний IP" eq 21

Эта строка позволит всем из внешки ломится ко мне по 21 порту ? Не перекроет ли это ранее созданый ACL "internet_to_lan", который используется правилом Nat'а ?

Highlighted

Попробовал сейчас проверить описнное, но когда добавил в интерфейс Dialer0 новый ACL, путем добавления записи: ip access-group INERNET in и добавления двух строчек в этот лист, которые открывают порты ftp и rdp

permit tcp any host <внешний стат. адрес> eq 21

permit tcp any host <внешний стат. адрес> eq 3389

То почему-то пропал инет. Команда sh int Dialer0 показывает что интерфейс нормально дозвонился и получил внешний адрес, но инетрнета нет. Ни пинг ни трасерт с циски не идет. пишет что неможет распознать сайт. Как будто днсы перестали отвечать.

Highlighted

Ну давайте разбираться с тем, что вы натворили.

Применение ACLя к интерфейсу в направлении in означает, что любой входящий пакет будет сверяться с записями в ACL (для простоты будем считать, что построчно), если совпало с permit - пакет пропустит, если совпало с deny или ни с чем не совпало - отбросит.

Вот кто-то изнутри сети обращается по UDP с адреса 10.0.0.1 и порта 12345 на адрес 8.8.8.8 и порт 53. Пакет нормально улетел наружу, отклик на DNS прилетает обратно адреса 8.8.8.8 и порта 53 на ваш внешний адрес и, возможно, порт 12345 (или какой-то другой - неважно), сверяется с обеими вашими записями в ACL и успешно отбрасывается.

Аналогично с пингами и трасертами (там протокол - ICMP).

Аналогично с TCP.

Самое ленивое решение - дописать:

permit udp any any

[починит UDP сервисы, включая DNS)

permit icmp any any

[починит пинги и трассировку]


permit tcp any any established

["ищем флаги ACK, RST и PSH, т.е. что угодно кроме первого пакета сессии, т.е. входящие соединения блокируем, но ответные пакеты по исходящим соединениям разрешаем"]

СоздатьДля создания публикации, пожалуйста в систему