Задать вопрос
@topbanana
cisco

Что не так с настройкой pptp client на cisco 871?

Пытаюсь настроить cisco 871 как домашний роутер с подключением к интернету через pptp.

Соединение происходит, с роутера пинг в интернет и во внутреннюю сеть провайдера идет, но с компьютера в локальной сети проходит только во внутреннюю сеть провайдера. Конфигурацию слепил из кусков из разных источников по настройке pptp клиента.

Что нужно исправить в конфигурации?

running-config
Current configuration : 2149 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname my_router
!
boot-start-marker
boot-end-marker
!
enable secret 5 <i>пароль</i>
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.1.1 10.1.1.99
!
ip dhcp pool LAN
   network 10.1.1.0 255.255.255.0
   dns-server 10.1.1.1 
   default-router 10.1.1.1 
!
!
ip domain name <i>router.com</i>
ip multicast-routing 
ip ssh version 2
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pptp
  rotary-group 0
 initiate-to ip 192.168.117.249
!
!
!
!
username <i>user</i> secret 5 <i>password</i>
!
! 
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 mac-address 0050.be05.a00a
 ip address dhcp client-id FastEthernet4
 ip nat outside
 ip nat enable
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface Vlan1
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip nat enable
 ip virtual-reassembly
!
interface Dialer0
 mtu 1440
 ip address negotiated
 ip pim dense-mode
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer in-band
 dialer idle-timeout 0
 dialer string internet
 dialer vpdn
 dialer-group 1
 no peer neighbor-route
 no cdp enable
 ppp pfc local request
 ppp pfc remote apply
 ppp chap hostname <i>login</i>
 ppp chap password 0 <i>password</i>
!
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 FastEthernet4 dhcp
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source list INSIDE_NAT interface FastEthernet4 overload
ip nat inside source route-map map_PPTP interface Dialer0 overload
!
ip access-list standard INSIDE_NAT
 permit 10.1.1.0 0.0.0.255
!
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
 logging synchronous
 no modem enable
line aux 0
line vty 0 4
 login local
 transport input ssh
!
scheduler max-task-time 5000
end

  • Вопрос задан
  • 3730 просмотров
1 комментарий
Подписаться 2 Оценить 1 комментарий
Решения вопроса 1
@throughtheether
human after all
Покажите пожалуйста вкладку "Тайминги" (правая) для какого-либо 'долгого' запроса на водопадной диаграмме.
Также попробуйте:
interface Dialer0
ip tcp adjust-mss 1400
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 13
@throughtheether
human after all
см ниже
Ответ написан
1 комментарий
1 комментарий
@throughtheether
human after all
Для начала, строчку 
ip nat inside source route-map map_PPTP interface Dialer0 overload

можно убрать:
no ip nat inside source route-map map_PPTP interface Dialer0 overload

потому как он неактивна, и даже соотвествующий route-map у вас не задан.

Далее, что сейчас происходит - трафик из локальной сети, скорее всего, натируется в адрес, назначенный на FastEthernet4 по dhcp. Поэтому вы имеет доступ к хостам в локальной сети провайдера. Убедиться в этом можно (пришлите ее вывод, пожалуйста) при помощи команды
show ip nat translation
Чего необходимо добиться - чтобы трафик из локальной сети натировался в адрес, назначаемый на интерфейс Dialer0.
Поэтому просьба сохранить текущую 'рабочую' конфигурацию (write mem), повторно дать команду (можно копипастом отсюда в config-режиме)
no ip nat inside source list INSIDE_NAT interface FastEthernet4 overload
no ip nat inside source route-map map_PPTP interface Dialer0 overload
interface FastEthernet4
no ip nat outside
no ip nat enable
exit
ip nat inside source list INSIDE_NAT interface Dialer0 overload
clear ip nat translation

сгенерировать трафик из локальной сети в интернет (проверить доступность интернета) и повторно показать вывод
show ip nat translation

Вернуться назад проще всего будет командой
configure replace nvram:startup-config
или перезагрузив устройство.
Я пока попробую воссоздать ваш кейс в GNS3.
Ответ написан
Комментировать
Комментировать
@topbanana Автор вопроса
После попытки доступа к узлам провайдера с текущей конфигурацией
#show ip nat translations 
Pro Inside global         Inside local          Outside local         Outside global
icmp 192.168.138.152:4764 10.1.1.100:4764       192.168.117.249:4764  192.168.117.249:4764


После изменений и попытки пинга на 8.8.8.8, show ip nat translations показывает пустой вывод.

running-config с изменениями
Current configuration : 1908 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 пароль
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.1.1 10.1.1.99
!
ip dhcp pool LAN
network 10.1.1.0 255.255.255.0
dns-server 10.1.1.1
default-router 10.1.1.1
!
!
ip domain name domain.com
ip multicast-routing
ip ssh version 2
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip 192.168.117.249
!
!
!
!
username user secret 5 pwd
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address 0050.bfb5.b00a
ip address dhcp client-id FastEthernet4
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
!
interface Dialer0
mtu 1440
ip address negotiated
ip pim dense-mode
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string internet
dialer vpdn
dialer-group 1
no cdp enable
ppp chap hostname login
ppp chap password 0 pwd
!
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 FastEthernet4 dhcp
!
!
no ip http server
no ip http secure-server
ip nat inside source list INSIDE_NAT interface Dialer0 overload
!
ip access-list standard INSIDE_NAT
permit 10.1.1.0 0.0.0.255
!
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler max-task-time 5000
end
Ответ написан
1 комментарий
1 комментарий
@topbanana Автор вопроса
Добавил для dialer0 ip nat outside, теперь работает интернет на компьютере и не работает внутренняя сеть.
router#show ip nat translations 
Pro Inside global         Inside local          Outside local         Outside global
udp 93.190.177.42:33159   10.1.1.100:33159      208.67.220.220:53     208.67.220.220:53
udp 93.190.177.42:34346   10.1.1.100:34346      208.67.220.220:53     208.67.220.220:53
udp 93.190.177.42:34371   10.1.1.100:34371      208.67.222.222:53     208.67.222.222:53
udp 93.190.177.42:35332   10.1.1.100:35332      208.67.220.220:53     208.67.220.220:53
udp 93.190.177.42:35643   10.1.1.100:35643      208.67.222.222:53     208.67.222.222:53
udp 93.190.177.42:35882   10.1.1.100:35882      208.67.220.220:53     208.67.220.220:53


Правда работает как-то не так, ping domain.com долго резолвит ip для домена, хотя сайты, вроде открываются нормально.
Вот:
doctor@laboratory ~/Рабочий стол $ ping -Dn ya.ru
PING ya.ru (93.158.134.3) 56(84) bytes of data.
[1394702353.482536] 64 bytes from 93.158.134.3: icmp_req=1 ttl=57 time=36.1 ms
[1394702354.483436] 64 bytes from 93.158.134.3: icmp_req=2 ttl=56 time=35.8 ms
[1394702355.485298] 64 bytes from 93.158.134.3: icmp_req=3 ttl=56 time=35.7 ms
[1394702356.487838] 64 bytes from 93.158.134.3: icmp_req=4 ttl=57 time=36.3 ms
[1394702357.489522] 64 bytes from 93.158.134.3: icmp_req=5 ttl=56 time=36.6 ms
[1394702358.490895] 64 bytes from 93.158.134.3: icmp_req=6 ttl=57 time=36.2 ms
[1394702359.492631] 64 bytes from 93.158.134.3: icmp_req=7 ttl=57 time=36.5 ms
^C
--- ya.ru ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6009ms
rtt min/avg/max/mdev = 35.735/36.234/36.619/0.353 ms
doctor@laboratory ~/Рабочий стол $ ping -D ya.ru
PING ya.ru (93.158.134.3) 56(84) bytes of data.
[1394702373.908500] 64 bytes from www.yandex.ru (93.158.134.3): icmp_req=1 ttl=57 time=37.0 ms
[1394702378.996749] 64 bytes from www.yandex.ru (93.158.134.3): icmp_req=2 ttl=57 time=36.0 ms
[1394702384.081748] 64 bytes from www.yandex.ru (93.158.134.3): icmp_req=3 ttl=57 time=35.7 ms
^C[1394702389.168423] 64 bytes from www.yandex.ru (93.158.134.3): icmp_req=4 ttl=56 time=36.2 ms

--- ya.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 15261ms
rtt min/avg/max/mdev = 35.750/36.268/37.048/0.480 ms


В первом случае все как положено - панг раз в секунду. Во втором случае, когда имена резолвятся, пинг идет раз в 5 секунд.

Как это исправить? И после подключения к интернету доступ во внутреннюю сеть невозможен будет?
Ответ написан
Комментировать
Комментировать
@throughtheether
human after all
Как это исправить?

Надо смотреть в сторону DNS-серверов. Покажите вывод
time dig ya.ru
и
time dig @8.8.8.8 ya.ru

И после подключения к интернету доступ во внутреннюю сеть невозможен будет?

Скорее всего, возможен, если немного усложнить правила NAT, добавив route-map. Сейчас набросаю.
Ответ написан
Комментировать
Комментировать
@throughtheether
human after all
Настройка NAT для доступа в локальную сеть и интернет, скорее всего, будет иметь такой вид (можно копипастить отсюда в консоль в режиме configure, сохранив перед этим рабочую конфигурацию):
interface FastEthernet4
 ip nat outside
 exit
no ip nat inside source list INSIDE_NAT interface Dialer0 overload
ip nat inside source route-map INTERNET interface Dialer0 overload
ip nat inside source route-map LOCAL interface FastEthernet4 overload
route-map INTERNET permit 10
 match ip address INSIDE_NAT
 match interface Dialer0
route-map LOCAL permit 10
 match ip address INSIDE_NAT
 match interface FastEthernet4


Проверил в GNS3, такие результаты:
Router#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 93.190.178.73:18  10.1.1.100:18      8.8.8.8:18         8.8.8.8:18
icmp 192.168.138.152:19 10.1.1.100:19     192.168.117.249:19 192.168.117.249:19
Ответ написан
Комментировать
Комментировать
@topbanana Автор вопроса
Ура! Заработали обе сети! =)

Теперь по поводу DNS, вот вывод, который вы спрашивали:

$ time dig ya.ru

; <<>> DiG 9.9.2-P1 <<>> ya.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43348
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ya.ru.				IN	A

;; ANSWER SECTION:
ya.ru.			1077	IN	A	213.180.204.3
ya.ru.			1077	IN	A	93.158.134.3
ya.ru.			1077	IN	A	213.180.193.3

;; Query time: 46 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Mar 13 19:13:33 2014
;; MSG SIZE  rcvd: 82


real	0m1.070s
user	0m0.004s
sys	0m0.016s


и
$ time dig @8.8.8.8 ya.ru

; <<>> DiG 9.9.2-P1 <<>> @8.8.8.8 ya.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27283
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;ya.ru.				IN	A

;; ANSWER SECTION:
ya.ru.			3475	IN	A	213.180.193.3
ya.ru.			3475	IN	A	213.180.204.3
ya.ru.			3475	IN	A	93.158.134.3

;; Query time: 50 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Mar 13 19:15:59 2014
;; MSG SIZE  rcvd: 82


real	0m0.069s
user	0m0.008s
sys	0m0.008s
Ответ написан
Комментировать
Комментировать
@throughtheether
human after all
Здесь видно, что по какой-то причине (многоуровневый форвардинг, вероятно) DNS-сервер по умолчанию (208.67.222.222), отвечает значительно медленнее DNS Google (8.8.8.8). Попробуйте прописать 8.8.8.8 в качестве DNS сервера - или в настройках операционной системы, или (мне кажется, предпочтительнее) в настройках dhcp-сервера на маршрутизаторе:
ip dhcp pool LAN
   dns-server 8.8.8.8
Ответ написан
3 комментария
3 комментария
@topbanana Автор вопроса
Опять нужна ваша помощь. Все-таки что-то работает не так. И я даже не знаю как описать это. Некоторые сайты грузятся либо не с первого раза, либо грузятся частично. Заметно это на картинках. Например картинка не грузится, либо загружается только наполовину, а если пару раз обновить страницу, то она может загрузиться нормально.

Вот скриншот. Очень показателен сайт 500px.com, там у картинок генерируется динамический адрес. Слева - браузер открытый в терминальной сессии с другого компьютера, не подключенного к настраиваемому роутеру, справа - та же страница через роутер. Провайдер один и тот же.

кликабельно
b531712f0bad4652830eef9972b68d38.png

Конфиг чуть-чуть изменился (но проблема была и до внесения новых изменений), вот он:
running-config
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 key
!
no aaa new-model
!
resource policy
!
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.1.1 10.1.1.99
!
ip dhcp pool LAN
network 10.1.1.0 255.255.255.0
dns-server 10.1.1.1
default-router 10.1.1.1
!
!
ip domain name domain.com
ip name-server 8.8.8.8
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip multicast-routing
ip ssh version 2
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip 192.168.117.249
!
!
!
!
username user secret 5 key
archive
log config
logging enable
hidekeys
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address 0050.bfb5.b00a
ip address dhcp client-id FastEthernet4
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
!
interface Dialer0
mtu 1440
ip address negotiated
ip pim dense-mode
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string inter.net
dialer vpdn
dialer-group 1
no cdp enable
ppp chap hostname login
ppp chap password 0 key
!
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 FastEthernet4 dhcp
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source route-map INTERNET interface Dialer0 overload
ip nat inside source route-map LOCAL interface FastEthernet4 overload
!
ip access-list standard INSIDE_NAT
permit 10.1.1.0 0.0.0.255
!
dialer-list 1 protocol ip permit
!
route-map INTERNET permit 10
match ip address INSIDE_NAT
match interface Dialer0
!
route-map LOCAL permit 10
match ip address INSIDE_NAT
match interface FastEthernet4
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler max-task-time 5000
ntp clock-period 17179378
ntp server 67.215.65.132
ntp server 91.236.251.12
end
Ответ написан
Комментировать
Комментировать
@throughtheether
human after all
Прошу прощения, прочитал ваш последний вопрос только сейчас. Посмотрите, где именно происходит замедление при помощи водопадной диаграммы (waterfall diagram, в firefox - F12-Сеть). Покажите диаграммы для одного и того же сайта и разных подключений. Пришлите вывод show process cpu sorted с трафиком и без.
Ответ написан
Комментировать
Комментировать
@topbanana Автор вопроса
Лучше поздно)

Сделал, первая ссылка - это подключение через домашний tp-link
https://dl.dropboxusercontent.com/u/4242495/1.png

Вторая - подключился через циско, пробую загрузить страницу. Адрес страницы другой, т.к.
ФФ закешировал картинки и показывала как надо https://dl.dropboxusercontent.com/u/4242495/2.png

Тут мне надоело ждать и я остановил загрузку через esc
https://dl.dropboxusercontent.com/u/4242495/3.png

это show process cpu sorted после остановки загрузки
https://dl.dropboxusercontent.com/u/4242495/4.png

это почти сразу после попытки обновить страницу
https://dl.dropboxusercontent.com/u/4242495/5.png

Это через несколько секунд после попытки обновления
https://dl.dropboxusercontent.com/u/4242495/6.png
Ответ написан
Комментировать
Комментировать
@topbanana Автор вопроса
Наверное уже нет смысла показывать, ваш совет помог, все начало открываться. Спасибо еще раз!
Ответ написан
Комментировать
Комментировать
@throughtheether
human after all
Всегда пожалуйста.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Начальник отдела сетей связи
ПАО «Газпром автоматизация» Санкт-Петербург
от 200 000 до 200 000 ₽
Сетевой администратор
Интер РАО – Управление сервисами Саратов
от 41 000 до 46 000 ₽
Системный администратор
CRAFTER Краснодар
от 80 000 до 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Исправить получение заказов без заполненных обязательных полей БЗ
26 апр. 2024, в 15:07
1500 руб./в час
Задеплоить опенсорсный проект Vocode на публичном сервисе Vercel
26 апр. 2024, в 15:01
2000 руб./за проект
Сделать верстку для натяжки на wordpress по макету в figma
26 апр. 2024, в 14:21
10000 руб./за проект
Ещё заказы