К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Помогите настроить ADSL-модем

Гость
0 - 29.01.2015 - 22:14
Купил я таки эту хрень за 200 баксов : )

Cisco 857W-G-A-K9
Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T17, RELEASE SOFTWARE

Таки поднял я ему atm-интерфейс, pppoe, nat и прочее, у меня есть интернет из LAN. Осталось 2 шага, в которые я уперся и не могу осилить. Прошу помощу.

1. Проброс портов через NAT. Делаю так (dialer 0 - мой интерфейс pppoe):
my_hostname(config)#ip route 0.0.0.0 0.0.0.0 dialer 0
my_hostname(config)#ip nat inside source list 1 interface dialer 0 overload
my_hostname(config)#access-list 1 permit 0.0.0.0 255.255.255.255
my_hostname(config)#ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80

При попытке обратиться к вешнему IP по порту 80 тишина.
При этом на LAN-интерфейсе конечно же стоит ip nat inside и nat вообще работает (на исходящие соединения).
Внешний адрес из локальной сети пингуется исправно.
Что ему еще надо?

2. Затык с wi-fi.
Пытаюсь делать так:
my_hostname(config)#interface dot11radio 0
my_hostname(config-if)#description WLAN
my_hostname(config-if)#ssid <my_ssid>
my_hostname(config-if-ssid)#vlan 1
my_hostname(config-if-ssid)#guest-mode
my_hostname(config-if-ssid)#authentication open
my_hostname(config-if-ssid)#encryption mode ciphers aes-ccm
my_hostname(config-if-ssid)#authentication key-management wpa

Получаю ошибку: Encryption mode cipher is not configured

Далее учпешно проходят команды
my_hostname(config-if-ssid)#wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxx
my_hostname(config-if-ssid)#exit
my_hostname(config-if)#no shutdown

однако wi-fi нет, даже ssid не обнаруживается.

Гуглеж дал то, что это из-за того, что я пихаю его в vlan 1, а настройки, которые я пытаюсь применить, для выделенного интерфейса. Я делаю это для того, чтобы WLAN и LAN были в единой сети без маршрутизации и чтобы DHCP работал сразу на ethernet и wi-fi. Как правильно настроить?



Гость
41 - 31.01.2015 - 16:00
39-Rat >
Цитата:
Сообщение от Rat Посмотреть сообщение
А кто знает, почему не мигает индикатор eth0?
Да не все ли равно, что-там мигает, а что нет. У меня 99% времени - удаленная настройка и мониторинг.

Цитата:
Сообщение от Rat Посмотреть сообщение
откуда у dsl ноги от atm растут?
Тут надо много чего читать и начинать надо c OSI. DSL это кодирование эл. сигнала различными способами, суть которых - пропихнуть как можно больше бит в единицу времени по существующим каналам связи, изначально не предназначенными для этого. В OSI это будет физический уровень.
ATM это канальный уровень. Тут можно писать диссертации. В свое время считалось, что именно АТМ объединит видео, голос и данные в одну сеть, а благодаря фиксированной длине ячейки в 53 байте сети получат невиданную скорость. Однако стоимость железа оставалась не гуманной, а сопряжение с существующими ethernet сетями напоминало шаманские заклинания - LES/BUS, LECS, PNNI, UNI и пр. В итоге, от некогда могучей империи АТМ остался островок в виде aal5 и pvc, которые прикрутили к DSL.
Гость
42 - 31.01.2015 - 16:55
41-spiegel > спасибо : ) я когда-то 3 месяца успел поработать сетевым админом, читал всякие книги, и еще не все забыл. но всегда было интересно, каким боком наследие ATM всплыло в DSL.

кстати запустил торрент, качает как и надо, то speedtest.net кривой видать. Но без upnp раздавать торрент не могу, а пробрасывать порт специально для него не хочу, вместе с отсутствием nat hairpin это ложка дегтя.

Кстати nat hairpin вроде как должен работать, но у меня не получилось, наверное для него надо явно адреса задвать на нате, указать интерфейс dialer 0 уже не выйдет?
Гость
43 - 31.01.2015 - 16:58
по нату вот тут вроде пытались осилить, но так ничего и не вышло (вообще, даже с явным указанием адресов)

http://forums.whirlpool.net.au/archive/1015045
Гость
44 - 31.01.2015 - 17:15
У меня последний вопрос: как узнать данные по snmp? Поднял snmp-сервер, все настроил, он работает, например по OID 1.3.6.1.4.1.9.2.1.56.0 я читаю загрузку CPU. Но мне еще надо текущую скорость вх/исх байт на dialer0. Гуглеж ничего не дал кроме этой страницы: http://forums.cacti.net/post-53663.html
Но там, во-первых, человек хочет снять данные с dialer 1, и, во-вторых, у него ничо не работает. Попробовал поменять 3е с конца число на 0, не работает. Как узнать нужный OID хотя бы?
Гость
45 - 31.01.2015 - 17:36
44-Rat >по нат можно еще через лупбэк попробовать.
Для snmp можно использовать PRTG. Демо версия ограничена 10 сенсорами, что для домашнего использования вполне хватит, если нет - на торенте есть ломаная версия. Вполне продвинутый и в то же время готовый продукт без всяких танцев с бубнами. На нем же можно с NetFlow побаловаться.
Гость
46 - 31.01.2015 - 17:43
45-spiegel > про нат через петлю читал, но по-моему это не для этого, можн на побочный эффект только рассчитывать... но пожалуй мне уже хватит : ) большой нужды в этом нет. Про PRTG интересно, поизучаю.
Гость
47 - 31.01.2015 - 19:08
46-Rat >еще раз подумал, как решить вашу проблему с нат и нашел решение. Если еще есть интерес - могу выложить.
Гость
48 - 31.01.2015 - 21:21
47-spiegel > Есть, хотя бы ради спортивного интереса : ) В очередной настраивать эту железяку, если честно, уже подзадолбало. Но как минимум взглянул бы.
Гость
49 - 31.01.2015 - 22:01
48-Rat >на самом деле все просто, но внешний IP должен быть известен. В основе классическая схема, когда сервера типа www, ftp и пр. размещаются в DMZ.
Для этого выделим порт f3 и привяжем к vlan2. Все, что связано с натом - убираем из конфигурации и заменяем на интерфейсах, где есть ip, на ip nat enable:

interface FastEthernet3
switchport access vlan 2
!
interface Vlan2
ip address 172.16.1.1 255.255.255.0
ip nat enable
!
ip nat source list 1 interface Dialer0 overload
ip nat source static tcp 172.16.1.2 80 85.175.98.43 80 extendable
!
access-list 1 permit 192.168.0.0 0.0.0.255
Гость
50 - 31.01.2015 - 23:33
49-spiegel > новая модель nat hairpin как раз и приводится в статье из (43), но там тоже упоминается необходимость жестко задать адрес в нате для внешнего интерфейса. в принципе, это не такая проблема, хотя элегантность решения портится. но непонятно, зачем выделять отдельный vlan и порт? как я понял, это необязательно? к тому же выделить его не получится т.к. switchport то ли не поддерживается, то ли еще какая фигня, я не разобрался, но команда не распознается на этом железе, создать новый влан не получилось, хотя должно... в любом случае занимать еще один порт нет желания. вдруг я хочу иметь серверы из разных уголков LAN? тогда это неудобно.

в принципе можно все переделать на ip nat enable (всего-то 2 интерфейса, di0 и bvi1) и переписать 3 строки ip nat source (1 на трансляцию вовне и 2 на проброс - www + ftp), но чо-то уже нет энтузиазма, эта хрень уже достала : ) тем более что а) желаемого решения все равно нет, при смене внешнего IP придется переконфигурировать и б) ребята по ссылке уже так пробовали на аналогичном оборудовании и шиш им, не подтвердилось.

похоже моя киска не совсем настоящая... некоторые вещи не работают как надо, например тот же switchport mode, а еще на wi-fi не поддерживается wpa2 (даже не дает применить 2ю версию), при том что позволяет задать шифрование aes, которое есть только в wpa2... сколько там еще таких багофич, неизвестно : )

а вообще, в кискаех нет функции подмены загловков ip? если бы скажем для 80 порта менять адрес 85.175.98.43 на 192.168.0.193 на интерфейсе lan, то и нат крутить не надо, сразу бы шло на локальный адрес.
Гость
51 - 01.02.2015 - 13:48
Никогда не куплю ничего из циско. Так драть мозг для настройки за бабло, которого железо не стОит - увольте. Хватило опыта с телефонией тоже. Ад, багофичи, дуроепство и айфонизация головного мозга (это же Циско!!1! Ты што!!)
Гость
52 - 01.02.2015 - 13:59
50-Rat >чтобы трафик прошел через роутер, и соответственно через нат, нужно чтобы хост обратился в другую сеть. И самое главное правило - внутренняя сеть и сеть серверов, имеющих доступ в инет, не располагается в одной подсети.

51-Фанат NASCAR > Циска не для домашней сети. Это все равно что купить камаз и ездить на нем в булочную.
Гость
53 - 01.02.2015 - 15:32
52-spiegel > внутренняя сеть и сеть серверов, имеющих доступ в инет, не располагается в одной подсети
ну это да, некошерно получается. однако для дома сойдет : ) и правильно было бы поднять свой dns, и пользоваться им, а он бы выдавал правильный локальный адрес, и трафик не шел бы через маршрутизатор вообще, я верно мыслю?

51-Фанат NASCAR > ну как сказать, соединение с тырнетом стало стабильнее. намного уменьшились потери пакетов, уменьшился пинг. на самом деле там все просто, типовая конфигурация настраивается элементарно, если есть шаблон, вся проблема в том что циска не предлагает мануала по типовым конфигурациям. те мануалы что есть, там мозг сломать можно, написаны криво, без пояснения сути, а если суть поясняется (в отдельном 100500 стр. документе), то там закопаться можно. в этом плане да, циска не выдерживает ни малейшей критики. документация на уровне студенческого диплома, что за такие деньги уныло.

на самом деле я купил этот девайс не из-за занудства, я просто устал менять вылетающие и глючащие роутеры производства мануфактуры им. дяди ляо. пока тьфу-тьфу, работает, но надо потестить его с месяц хотя бы, чтоб сделать выводы. грузится долго, нет upnp, нет обратной петли на внешний адрес - это обидно, но это мелочи. главное чтоб оно работало.
Гость
54 - 01.02.2015 - 17:07
Цитата:
Сообщение от Rat Посмотреть сообщение
проблема в том что циска не предлагает мануала по типовым конфигурациям. те мануалы что есть, там мозг сломать можно, написаны криво, без пояснения сути, а если суть поясняется (в отдельном 100500 стр. документе)
Это точно, на сайте циски найти готовое решение практически невозможно, проще на профильных форумах поискать. Если что-то и есть то все какое-то сырое. Но есть и плюс - разобравшись в логике работы одного устройства, уже легко разберешься в другом. Кроме того, каждое действие требует понимание тех процессов, за которое оно отвечает.
Но это все цветочки. Тут как то чекпойнт по ssh конфигурировал - вот где голову сломать можно и полное отсутствие информации в инете.
Насчет dns - попробуйте на циске поднять.
Гость
55 - 03.02.2015 - 12:07
52-spiegel >поднимал сети под 200 точек, прекрасно живут без цисок. Телефония в цисках - вообще адов ад..
Гость
56 - 03.02.2015 - 14:39
55-Фанат NASCAR > я разве спорил. В мире достаточно продвинутых производителей. Циска - хороший ширпотреб, всегда можно найти нужную информацию, достаточно гибкая конфигурация. Сети на циске, при грамотной настройке, работают стабильно. Один недостаток - цена.
Гость
57 - 05.02.2015 - 12:30
56-spiegel >тут бы я поспорил, но хз.. Вдруг я просто не проникся духом)
Пока она для меня - как айфон. Дорого, бессмысленно и уже не надежно. Телефонов цискиных на покой отправил столько же, сколько дешевых длинков.


К списку вопросов






Copyright ©, Все права защищены