Помогите настроить ADSL-модем
 

Купил я таки эту хрень за 200 баксов : )

Cisco 857W-G-A-K9
Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T17, RELEASE SOFTWARE

Таки поднял я ему atm-интерфейс, pppoe, nat и прочее, у меня есть интернет из LAN. Осталось 2 шага, в которые я уперся и не могу осилить. Прошу помощу.

1. Проброс портов через NAT. Делаю так (dialer 0 - мой интерфейс pppoe):
my_hostname(config)#ip route 0.0.0.0 0.0.0.0 dialer 0
my_hostname(config)#ip nat inside source list 1 interface dialer 0 overload
my_hostname(config)#access-list 1 permit 0.0.0.0 255.255.255.255
my_hostname(config)#ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80

При попытке обратиться к вешнему IP по порту 80 тишина.
При этом на LAN-интерфейсе конечно же стоит ip nat inside и nat вообще работает (на исходящие соединения).
Внешний адрес из локальной сети пингуется исправно.
Что ему еще надо?

2. Затык с wi-fi.
Пытаюсь делать так:
my_hostname(config)#interface dot11radio 0
my_hostname(config-if)#description WLAN
my_hostname(config-if)#ssid <my_ssid>
my_hostname(config-if-ssid)#vlan 1
my_hostname(config-if-ssid)#guest-mode
my_hostname(config-if-ssid)#authentication open
my_hostname(config-if-ssid)#encryption mode ciphers aes-ccm
my_hostname(config-if-ssid)#authentication key-management wpa

Получаю ошибку: Encryption mode cipher is not configured

Далее учпешно проходят команды
my_hostname(config-if-ssid)#wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxx
my_hostname(config-if-ssid)#exit
my_hostname(config-if)#no shutdown

однако wi-fi нет, даже ssid не обнаруживается.

Гуглеж дал то, что это из-за того, что я пихаю его в vlan 1, а настройки, которые я пытаюсь применить, для выделенного интерфейса. Я делаю это для того, чтобы WLAN и LAN были в единой сети без маршрутизации и чтобы DHCP работал сразу на ethernet и wi-fi. Как правильно настроить?

C wi-fi еще пробовал так:

my_hostname(config)#interface dot11radio 0
my_hostname(config-if)#description WLAN
my_hostname(config-if)#encryption mode ciphers aes-ccm
my_hostname(config-if)#ssid <my_ssid>
my_hostname(config-if-ssid)#authentication open
my_hostname(config-if-ssid)#authentication key-management wpa
my_hostname(config-if-ssid)#guest-mode
my_hostname(config-if-ssid)#wpa-psk ascii xxxxxxxxxxxxxxxx
my_hostname(config-if-ssid)#vlan 1
my_hostname(config-if-ssid)#exit
my_hostname(config-if)#no shutdown
my_hostname(config-if)#exit

Все отработало, но по факту сети нет.

вот рабочий конфиг с небольшим изменением, который я настроил для соединения с другой корпоративной сетью на циске 878:
vpdn enable
!
vpdn-group 1
!
interface FastEthernet0
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan2
ip address x.x
ip nat inside
!
interface Dialer1
ip address negotiated или ip address ххх
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap ms-chap ms-chap-v2 callin
ppp chap hostname aaa
ppp chap password 0 bbb
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit zzzz
dialer-list 1 protocol ip permit

принцип, думаю, понятен?

за $200 и весом 2.5кг наверное все таки не совсем модем)
сразу оговорюсь, что лезу не в свой огород (с сиськами имел поверхностное знакомство лет 5 назад), но обычно, в дивайсах такого класса (adsl-router) вафля подключается бриджем, т.е. это как бы нативный пятый интерфейс в коммутаторе, и запихивать его в vlan мягко говоря, имеет мало смысла

по статике нат: правило прописано правильно, но работает при обращении извне.

wi-fi на циске не приходилось настраивать, т.к. у нас тотальный запрет на это, я бы так попробовал:
bridge irb
!
interface Dot11Radio0
no ip address
!

ssid cisco
vlan 1
authentication open
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
bridge-group 1

interface Vlan1
no ip address
bridge-group 1

interface BVI1
ip address 10.0.1.1 255.255.255.0
!
bridge 1 protocol ieee
bridge 1 route ip
!
Проверить нет возможности, так что пробуйте.

забыл добавить - чтобы раздавал ip адреса надо dhcp прикрутить, но там все просто.

2-spiegel > нифига не понятен. я этут сиську первый раз колупаю. но я эту часть уже настроил : )

[em]по статике нат: правило прописано правильно, но работает при обращении извне.[/em]
дык, не работает : (

с wi-fi направление ясно, буду ковырять...

3-gloomymen > там это отдельный полноценный интерфейс, не мост.

ЗЫ: я уже расстроился и поднял web-интерфейс, но он глючный на яве и толком не работает, но он показал, что надо бриджевать WLAN и LAN и что проброс портов на NAT задан верно (и все равно не пашет).

6-spiegel > это понятно, пока без dhcp бы...

7-Rat, отож) в бюджетных "модемах" мост вклячивают бесплатно
но все равно, поздравляю с первым шагом во взрослую жизнь))

Смотря на это все, я понимаю как мне нравится мой микротик.

Вайфай заработал. Делал как тут:

[url]http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/wireless.html[/url]

Но там неполно и с 1 ошибкой, однако направление совпадает с тем что дал spiegel и оно верное, ура.

Вот так у меня вышло:

//Настраиваем Wi-Fi:
my_hostname(config)#interface dot11radio 0
my_hostname(config-if)#description WLAN
my_hostname(config-if)#encryption vlan 1 mode ciphers tkip
my_hostname(config-if)#ssid <my_ssid>
my_hostname(config-if-ssid)#vlan 1
my_hostname(config-if-ssid)#authentication open
my_hostname(config-if-ssid)#authentication key-management wpa
my_hostname(config-if-ssid)#guest-mode
my_hostname(config-if-ssid)#wpa-psk ascii 0 xxxxxxxx
my_hostname(config-if-ssid)#exit
my_hostname(config-if)#no shutdown
my_hostname(config-if)#exit
my_hostname(config)#bridge irb
my_hostname(config)#interface vlan 1
my_hostname(config-if)#no ip address
my_hostname(config-if)#no ip nat inside
my_hostname(config-if)#bridge-group 1
my_hostname(config-if)#bridge-group 1 spanning-disabled
my_hostname(config-if)#interface bvi 1
my_hostname(config-if)#bridge 1 route ip
my_hostname(config-if)#ip address 192.168.0.1 255.255.255.0
my_hostname(config-if)#ip nat inside
my_hostname(config-if)#interface dot11radio 0.1
my_hostname(config-subif)#encapsulation dot1q 1 native
my_hostname(config-subif)#no cdp enable
my_hostname(config-subif)#bridge-group 1
my_hostname(config-subif)#exit
my_hostname(config-if)#exit

После этого мой LAN перекинулся на BVI1, кда приконнектились wi-fi и ethernet-порты.

Ну все, пора спать. DHCP завелся играючи. Остался только проброс портов. Это крайне важная фича. Мой тп-линк падал при обилии входящий подключений через NAT, поэтому я и затеял возню с этой сиськой. Короче весь смысл 2 дней жизни в этом, парни, не уходите пожалуйста далеко!

13-Rat >глянул на свежую голову статик нат и не понял, а как юзверы узнают внешний адрес? Если пров дает статику, тогда понятно, но у Вас похоже динамика? И даже в этом случае пров может раздавать серые адреса.

14-spiegel > Конечно же нормальный, годный, кошерный адрес на внешнем интерфейсе. Впрочем это не имеет отношения к проблеме : )

15-Rat >это в корне меняет решение:
ip nat inside source static tcp 192.168.0.193 80 <реальный_ip> 80

16-spiegel > угу, это понятно, а не могли бы вы остановиться поподробнее? допустим я не знаю, какой меня IP, точнее, он может меняться провайдером (в моем случае он не меняется, но все же), тогда каким будет грамотное решение?

Сейчас мой IP динамический (ip address negotiate), но каждый раз выдается провайдером вместе с основным шлюзом. Я не знаю, может IP прописать явно, но тогда если провайдер сменит шлюз, у меня начнутся танцы с бубном, и вообще это не так удобно.

зы: имеется ввиду, что, хотя адрес динамический, провайдер гарантирует, что он будет выдаваться всегда один и тот же.

17-Rat >в чем смысл статической трансляции с динамическим ip? Танцы с бубнами при любом раскладе обеспечены.

19-spiegel > Смысл, во-первых, немного научиться работать с сиськой.
Во-вторых, хочется получить универсальное решение, как на бытовых роутерах, где я просто указываю необходимость трансляции портов вовнутрь с внешнего интерфейса в LAN и все, пусть он меняется хоть каждую минуту, при обращении на текущий адрес проброс работает, и ничего вручную крутить не надо.
Возможно ли сделать аналогично в моем случае?

присоединяюсь, будут, только не по причине статической трансляции)

20-Rat >если честно, в строке:

ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80

я не вижу криминала и должно работать и при динамическом внешнем ip. Но как известно, черт прячется в деталях, поэтому выкладывайте sh run, sh int di0 и sh ip nat trans. Последние 2 команды наберите, когда роутер установит pppoe сессию.

текущая конфиграция:
[url]https://yadi.sk/i/MRVPwDY6eMMSV[/url]

dialer 0:
[url]https://yadi.sk/i/JZ6A3jE5eMMDp[/url]

nat:
[url]https://yadi.sk/i/ivoDCvrseMMTQ[/url]

И еще, что-то мне кажется пропускная способность IP внешнего интерфейса немного ниже, чем могла бы быть, например 50 кБ/с аплоад, хотя я знаю, что с простыми модемами он доходит до 70. Аналогично на вход, скорость порта 3 мбит/с, качает на 300 кБ/с, а щас чо-то на 220-250. Может там какой резерв стоит? Скорость реакции конечно радует, то ли киска пакеты не теряет, то ли не на 100% грузит интерфейс, но странички порезче открываются, а вот когда качаешь, скорость немного ниже, чем раньше.

24-Rat >вроде все правильно, вижу статик нат без внешних подключений:
inetgw#sh ip nat trans
tcp 85.175.98.43:21 192.168.0.193:21
tcp 85.175.98.43:80 192.168.0.193:80

inetgw#sh int di0
Dialer0 is up, line protocol is up (spoofing)
Internet address is 85.175.98.43/32

По конфигурации: Для ftp нужно еще 20 порт пробрасывать. Не выкладывайте пароли в таком виде - это не защита. Реально защищен пароль типа enable secret .... или username xxx secret yyy. На line vty 0 4 нужно ограничить доступ (access-class)и только по ssh. В конфиге не увидел контролера дсл типа такого:
controller DSL 0
mode atm
line-term co
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A
line-rate auto

В вашей железке это настраивается? Определите максимальный размер фрейма без фрагментации, проходящий через циску, изменяя его размер, начните с ping 8.8.8.8 -f -l 1492
Посмотрите статистику интерфейсов, нет ли там ошибок. (На di0 проблем не вижу)

черт, нат на проброс работает! извне. а изнутри на внешний адрес - нет. в принципе так тоже нормально, но может петлю какую-нибудь указать надо, или алиас?

26-Rat >я уже писал, что статик нат работает только извне. Изнутри можно прописать в localhost типа:

192.168.0.193 [url]www.myweb.ru[/url]

25-spiegel > ну пароли я перетер руками, совсем обижаете : ) там ни одного настоящего.

как ограничить доступ по telnet? на мой взгляд логично через acl сделать, разрешить с dialer 0 все исходящие, входящие на пробрасываемые порты, входящие на порты > 1024, а остальное запретить, верно? а то сейчас если зайти телнетом на мой внешний адрес роутера.

про adsl не понял. у меня не shdsl, а adsl (asymmetric). на auto работает нормально, скорость порта как надо.

максимальный пакет без фрагментации 1464 байта.
хотя поставил как советуют в интернете для pppoe:
ip mtu 1492
ip tcp adjust-mss 1452
для dialer 0

на локальный адрес через коммутатор без всяких роутеров максимум 1472, разница 20 байт, как я понимаю 20 байт идет на заголовок pppoe? а почем только cp adjust-mss 1452, как же остальные протоколы? может это вообще не нужно? в тырнете пугают, что без такой строки не будут некоторые ресурсы доступны.

27-spiegel > я сначала не понял вашу фразу : ) в локалхост писать как-то не очень... но ладно, это мелочи. в зикселе например есть какая-то строка в конфиге, которая позволяет к статическому нату изнутри обратиться. в цисках такого нет?

зы: ssh мне не надо, это просто домашняя сеть, с телнетом всяко проще. просто закрыть надо из wan и все.

28-Rat >максимальный размер фрейма - 1500 байт. 8 байт заберет поле pppoe, отстается 1492. Поля IP - 20 байт и TCP 20 байт - остается 1452. У пинга нет tcp поэтому 1472.

30-spiegel > ога, значит все верно работает! доступ по telnet разрулил так, правильно?

ip access-list extended terminal
permit tcp 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255 eq telnet

line vty 0 4
access-class terminal in

Извне проверил, не работает. Пожалуйста попробуйте:
telnet mouxys.net 23

при этом [url]http://mouxys.net/[/url] доступен через NAT.

И еще вопрос. Может вы знаете, UPnP никак нельзя поднять? Для торрентов полезно. Тырнет говорит что нет в цисках такого, но мало ли...

Как смотреть ошибки пакеов на интерфейсах не нашел. есть статистика, но там не вижу ничего про ошибки. И кстати не нашел где характеристки линии DSL глянуть.

а, просто не заметил.
sh dsl int - там и скорость, и snr, и статистика. ошибок нет (все по 0). ну ХЗ, может плохо померял, буду наблюдать... надо торрент распи$орить чтоб труЪ скорость померять.

я теперь админ сиьски, всегда мечтал, гы : )

спасибо за помощь!

30-spiegel > а вы еще 8 байт не забыли под eth-заголовок? а то получается 1472 без pppoe (мимо роутера через неуправляемый свич) и 1464 c pppoe (через роутер в тырнет)

32-Rat >насколько мне известно циска не поддерживает UPnP. Может lynksys, которую она выкупила, поддерживает?
Ошибки смотреть командой sh interface f | atm и пр.
Для dsl - sh controller dsl 0
Доступ правильно. Я обычно делаю через простой access-list:
access-list 1 permit xxx
line vty 0 4
access-class 1 in

34-Rat >Если весь фрейм считать, то к 1500 надо добавить 14 байт ethernet и 4 crc. Если пингуем локалку, то из 1500 байт отнимаем 20 байт на IP и 8 на ICMP.
Если фрейм отправляется на wan интерфейс, то ethernet отбрасывается, а вместо него в вашем случае вставляется поля ppp 2 байта и pppoe 6 байтов, причем они не добавляются к 1500, а отнимаются.

lynksys действительно поддерживает.

доступ кстати косячный, вот так работает:
ip access-list extended terminal
permit tcp 192.168.0.0 0.0.0.255 any eq telnet

а с указанием подсети вместо any нет, странно.

расширенный список потому что их можно красиво именовать.

36-spiegel > угу, спасибо за ликбез. а может вы еще знаете, откуда у dsl ноги от atm растут? и вообще размер ячейки atm 53 байта, а туда целый ethernet как-то впихивается. и зачем atm для dsl, и почему интерфейс называется atm, ведь это не тот atm, что использовался раньше в телефонии?

А кто знает, почему не мигает индикатор eth0? Данные передаются, а не мигает, просто горит зеленым. В мануале на этот счет сказано:

On when a device connects to the Ethernet LAN 0 port. Blinks when the Ethernet LAN 0 port receives or sends data, or when data passes through the port.

Вот у меня data passes through the port, а он горит, даже если на полной скорости wi-fi что-нибудь прокачать.