Defekte PPPoE-Konfiguration

7

Wir haben jetzt seit ein paar Wochen damit zu kämpfen. CISCO 3825 (15.1 IOS) mit ordnungsgemäß eingerichtetem PPPoE (dh kann das Netz von innerhalb des Cli aus anpingen).

Das Problem, das wir haben, ist, dass der Kunde die Außenwelt nicht anpingen kann. Ich habe den Client direkt mit dem Router verbunden und habe kein Glück, ins Netz zu kommen. Die Konfiguration:

Aktualisierte Konfiguration

interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip broadcast-address 192.168.2.255
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no cdp enable
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip route-cache policy
 dialer pool 1
 ppp authentication pap callin
 ppp pap sent-username nonya@domain.local password 0 foobarme
 ppp ipcp dns request accept
 ppp ipcp route default
 ppp ipcp address accept
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!         
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no cdp run

Der ppoe etabliert sich perfekt. Beide Schnittstellen sind aktiv, können jedoch nicht über einen direkt verbundenen Client mit dem Internet pingen. Kein DHCP, die Clients haben statische IP-Adressen

Ich bin sicher, dass diese Frage beantwortet wurde, aber nichts, was ich gelesen habe, hat mich aufstehen lassen.

Eine Sache zu beachten ist, dass f0 / 1 einen Bcast von 255.255.255.255 hat. Die Client-Schnittstelle ist auf 192.168.2.255 eingestellt. Könnte dies das Problem sein? Ich muss Ausfallzeiten so gering wie möglich halten und Ihre Hilfe sehr schätzen.

Kurz

Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         unassigned      YES NVRAM  up                    up      
GigabitEthernet0/1         192.168.2.1     YES NVRAM  up                    up      
Dialer0                    <public ip>     YES IPCP   up                    up      
NVI0                       unassigned      YES unset  administratively down down    
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  up                    up

Voll

do show ip interface      
GigabitEthernet0/0 is up, line protocol is up
  Internet protocol processing disabled
GigabitEthernet0/1 is up, line protocol is up
  Internet address is 192.168.2.1/24
  Broadcast address is 192.168.2.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is disabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain inside
  BGP Policy Mapping is disabled
  Input features: Stateful Inspection, Virtual Fragment Reassembly, Virtual Fragment Reassembly After IPSec Decryption, MCIk
  Output features: NAT Inside, Stateful Inspection, NAT ALG proxy, Post-Ingress-NetFlow
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
Dialer0 is up, line protocol is up
  Internet address is <public ip>/32
  Broadcast address is 255.255.255.255
  Address determined by IPCP
  MTU is 1492 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF switching turbo vector
  IP Null turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Policy, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain outside
  BGP Policy Mapping is disabled
  Input features: Stateful Inspection, Dialer i/f override, Ingress-NetFlow, Virtual Fragment Reassembly, Virtual Fragment k
  Output features: Post-routing NAT Outside, Stateful Inspection, NAT ALG proxy, Post-Ingress-NetFlow, Dialer idle reset, Dt
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
NVI0 is administratively down, line protocol is down
  Internet protocol processing disabled
Virtual-Access1 is up, line protocol is up
  Internet protocol processing disabled
Virtual-Access2 is up, line protocol is up
  Peer address is 64.230.11.5
  Dialer interface is Dialer0

Wie immer kann Ping innerhalb von CLI aber nicht von direkt verbundenen Client. DNS auf Client auf 8.8.8.8 eingestellt, kann der Router pingen usw. Es sieht aus wie ein Gateway-Routenproblem für dia0?

Update - Working MTU MSS für Cisco Bell Canada IP MTU 1492 IP TCP Adjust-MSS 1452

Jetzt ist alles perfekt!

Danke im Voraus,

Nick.

cisco  pppoe 
Nick Cameo
quelle
1
Rickys Antwort auf Ihre andere Frage , die Sie akzeptiert haben, befasst sich mit der vermuteten Ursache dieses Problems.
Brett Lykins
Ich werde diesen Thread am Leben erhalten und ihn wieder in die Konfiguration einfügen und prüfen, ob dies der Grund ist. Ich glaube, ich habe ip nat draußen entfernt und auf Gig0 / 0 verschoben, aber vergessen, es zurückzusetzen ...
Nick Cameo
Derzeit sind 1700 Benutzer online. Das Netzwerk kann nicht heruntergefahren werden .... :(
Nick Cameo
Für die Konfiguration ist kein Ausfall erforderlich, vorausgesetzt, die Ausführung erfolgt korrekt. Stellen Sie sich das so vor: 1700 Benutzer haben gerade den Service beeinträchtigt
Mike Pennington
Mike Ich schätze deine Zeit sehr. Ich muss physisch von unserem dlink zum Cisco wechseln. Das letzte Mal, als ich das tat, hatten wir kein Netz. Ich muss bis 4 Uhr morgens warten, um das zu tun :(
Nick Cameo

Antworten:

4

Hinzufügen zu den anderen Antworten ... das, was Ihnen jetzt fehlt, ist eine Zugriffsliste, um NAT auf Ihre internen Adressen zu beschränken ... Wenn Sie diese Konfiguration anwenden, sollte dies Sie zum Laufen bringen, solange es keine anderen Subnetze gibt von diesem Router geroutet.

!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside

interface Dialer0
 ip nat outside
!
!! You might not need to do this, but just in case...
do clear ip nat trans *
no ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
ip nat inside source list 1 interface Dialer0 overload

Ich habe Stücke aus den Antworten von Ricky und Brett beigefügt, die natürlich auch benötigt werden.

Mike Pennington
quelle
1
Erhielt Zugang zur Außenwelt durch den Cisco! Ich danke dir sehr. Das einzige ist, ich kann auf die Google-Suche zugreifen, komme aber nicht daran vorbei, wenn ich auf einen Link klicke. Versuchte Firefox, Chrom und Luchs. Ausgehende E-Mails funktionieren einwandfrei.
Nick Cameo
2
Möglicherweise müssen Sie mss auf dem Lan intf oder ein niedrigeres mtu auf dem Dialer einstellen ... überprüfen Sie diesen Cisco-Link
Mike Pennington
Mike!!! Vielen Dank!!!!! Ich liebe diesen Ort! Wir sind auf / ab :). Das MTU und MSS, die für uns gearbeitet haben, ist wie folgt:ip mtu 1492 ip tcp adjust-mss 1452
Nick Cameo
6

*Husten*

interface Dialer0
  ip nat outside
Ricky Beam
quelle
Suchen Sie auch nach der Konfiguration 'ip nat inside source xxx', die anscheinend ebenfalls fehlt.
Łukasz Bromirski
@ ŁukaszBromirski, es ist da, du musst nur ein bisschen durch seinen Codeblock scrollen.
Brett Lykins
nach unten scrollen, es ist da. (vorausgesetzt, Liste 1 ist korrekt)
Ricky Beam
Auch @RickyBeam, ich war nur eine Minute zu langsam! Das bekomme ich, wenn ich mir Zeit nehme, meine Tippfehler zu bearbeiten;)
Brett Lykins
Ah, Sie müssen den Ausdruck scrollen: P Sie haben Recht, Ricky, es ist da. Hoffen wir, dass ACL 1 korrekt ist und 'ip nat outdoor' den Trick macht.
Łukasz Bromirski
5

Ihnen fehlt ein kritischer NAT-Befehl.

Versuchen Sie, ip nat outsideunter der Schnittstelle für ausgehende Dialer hinzuzufügen interface Dialer 0.

Mit Ihrer aktuellen Konfiguration haben Sie die Schnittstelle Gig 0/1 als "Inside" -Schnittstelle identifiziert, sodass der Router weiß, wann NAT-Regeln auf den eingehenden Datenverkehr auf dieser Schnittstelle angewendet werden müssen.

Da die Dialer 0-Schnittstelle jedoch keine NAT-Anweisung hat, weiß der Router nicht, dass er die Adressierung übersetzen muss, und versucht dann, sie weiterzuleiten.

Im Moment gelangt Ihr Rückverkehr vom Internet zu einem NAT-Host vermutlich zu Ihrem Router und stirbt dort.

Ich empfehle dringend, diesen Artikel bei INE zu lesen , in dem die Details der Schnittstellen "Inside" und "Outside" in Cisco NATing behandelt werden.

Brett Lykins
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.