| 0
- 29.01.2015 - 22:14
|
Купил я таки эту хрень за 200 баксов : ) Cisco 857W-G-A-K9 Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T17, RELEASE SOFTWARE Таки поднял я ему atm-интерфейс, pppoe, nat и прочее, у меня есть интернет из LAN. Осталось 2 шага, в которые я уперся и не могу осилить. Прошу помощу. 1. Проброс портов через NAT. Делаю так (dialer 0 - мой интерфейс pppoe): my_hostname(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 my_hostname(config)#ip nat inside source list 1 interface dialer 0 overload my_hostname(config)#access-list 1 permit 0.0.0.0 255.255.255.255 my_hostname(config)#ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80 При попытке обратиться к вешнему IP по порту 80 тишина. При этом на LAN-интерфейсе конечно же стоит ip nat inside и nat вообще работает (на исходящие соединения). Внешний адрес из локальной сети пингуется исправно. Что ему еще надо? 2. Затык с wi-fi. Пытаюсь делать так: my_hostname(config)#interface dot11radio 0 my_hostname(config-if)#description WLAN my_hostname(config-if)#ssid <my_ssid> my_hostname(config-if-ssid)#vlan 1 my_hostname(config-if-ssid)#guest-mode my_hostname(config-if-ssid)#authentication open my_hostname(config-if-ssid)#encryption mode ciphers aes-ccm my_hostname(config-if-ssid)#authentication key-management wpa Получаю ошибку: Encryption mode cipher is not configured Далее учпешно проходят команды my_hostname(config-if-ssid)#wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxx my_hostname(config-if-ssid)#exit my_hostname(config-if)#no shutdown однако wi-fi нет, даже ssid не обнаруживается. Гуглеж дал то, что это из-за того, что я пихаю его в vlan 1, а настройки, которые я пытаюсь применить, для выделенного интерфейса. Я делаю это для того, чтобы WLAN и LAN были в единой сети без маршрутизации и чтобы DHCP работал сразу на ethernet и wi-fi. Как правильно настроить?     | |
| 1
- 29.01.2015 - 22:36
|
C wi-fi еще пробовал так: my_hostname(config)#interface dot11radio 0 my_hostname(config-if)#description WLAN my_hostname(config-if)#encryption mode ciphers aes-ccm my_hostname(config-if)#ssid <my_ssid> my_hostname(config-if-ssid)#authentication open my_hostname(config-if-ssid)#authentication key-management wpa my_hostname(config-if-ssid)#guest-mode my_hostname(config-if-ssid)#wpa-psk ascii xxxxxxxxxxxxxxxx my_hostname(config-if-ssid)#vlan 1 my_hostname(config-if-ssid)#exit my_hostname(config-if)#no shutdown my_hostname(config-if)#exit Все отработало, но по факту сети нет. | |
| 2
- 29.01.2015 - 22:58
|
вот рабочий конфиг с небольшим изменением, который я настроил для соединения с другой корпоративной сетью на циске 878: vpdn enable ! vpdn-group 1 ! interface FastEthernet0 ! interface FastEthernet3 switchport access vlan 2 ! interface Vlan1 no ip address pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan2 ip address x.x ip nat inside ! interface Dialer1 ip address negotiated или ip address ххх ip mtu 1492 ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap ms-chap ms-chap-v2 callin ppp chap hostname aaa ppp chap password 0 bbb ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip nat inside source list 1 interface Dialer1 overload ! access-list 1 permit zzzz dialer-list 1 protocol ip permit принцип, думаю, понятен? | |
| 3
- 29.01.2015 - 23:02
|
за $200 и весом 2.5кг наверное все таки не совсем модем) сразу оговорюсь, что лезу не в свой огород (с сиськами имел поверхностное знакомство лет 5 назад), но обычно, в дивайсах такого класса (adsl-router) вафля подключается бриджем, т.е. это как бы нативный пятый интерфейс в коммутаторе, и запихивать его в vlan мягко говоря, имеет мало смысла | |
| 4
- 29.01.2015 - 23:06
| по статике нат: правило прописано правильно, но работает при обращении извне. | |
| 5
- 29.01.2015 - 23:25
|
wi-fi на циске не приходилось настраивать, т.к. у нас тотальный запрет на это, я бы так попробовал: bridge irb ! interface Dot11Radio0 no ip address ! ssid cisco vlan 1 authentication open ! interface Dot11Radio0.1 encapsulation dot1Q 1 native bridge-group 1 interface Vlan1 no ip address bridge-group 1 interface BVI1 ip address 10.0.1.1 255.255.255.0 ! bridge 1 protocol ieee bridge 1 route ip ! Проверить нет возможности, так что пробуйте. | |
| 6
- 29.01.2015 - 23:27
| забыл добавить - чтобы раздавал ip адреса надо dhcp прикрутить, но там все просто. | |
| 7
- 29.01.2015 - 23:35
|
2-spiegel > нифига не понятен. я этут сиську первый раз колупаю. но я эту часть уже настроил : ) по статике нат: правило прописано правильно, но работает при обращении извне. дык, не работает : ( с wi-fi направление ясно, буду ковырять... 3-gloomymen > там это отдельный полноценный интерфейс, не мост. ЗЫ: я уже расстроился и поднял web-интерфейс, но он глючный на яве и толком не работает, но он показал, что надо бриджевать WLAN и LAN и что проброс портов на NAT задан верно (и все равно не пашет). | |
| 8
- 29.01.2015 - 23:37
| 6-spiegel > это понятно, пока без dhcp бы... | |
| 9
- 29.01.2015 - 23:47
|
7-Rat, отож) в бюджетных "модемах" мост вклячивают бесплатно но все равно, поздравляю с первым шагом во взрослую жизнь)) | |
| 10
- 30.01.2015 - 00:10
| Смотря на это все, я понимаю как мне нравится мой микротик. | |
| 11
- 30.01.2015 - 00:28
|
Вайфай заработал. Делал как тут: http://www.cisco.com/en/US/docs/rout.../wireless.html Но там неполно и с 1 ошибкой, однако направление совпадает с тем что дал spiegel и оно верное, ура. | |
| 12
- 30.01.2015 - 00:40
|
Вот так у меня вышло: //Настраиваем Wi-Fi: my_hostname(config)#interface dot11radio 0 my_hostname(config-if)#description WLAN my_hostname(config-if)#encryption vlan 1 mode ciphers tkip my_hostname(config-if)#ssid <my_ssid> my_hostname(config-if-ssid)#vlan 1 my_hostname(config-if-ssid)#authentication open my_hostname(config-if-ssid)#authentication key-management wpa my_hostname(config-if-ssid)#guest-mode my_hostname(config-if-ssid)#wpa-psk ascii 0 xxxxxxxx my_hostname(config-if-ssid)#exit my_hostname(config-if)#no shutdown my_hostname(config-if)#exit my_hostname(config)#bridge irb my_hostname(config)#interface vlan 1 my_hostname(config-if)#no ip address my_hostname(config-if)#no ip nat inside my_hostname(config-if)#bridge-group 1 my_hostname(config-if)#bridge-group 1 spanning-disabled my_hostname(config-if)#interface bvi 1 my_hostname(config-if)#bridge 1 route ip my_hostname(config-if)#ip address 192.168.0.1 255.255.255.0 my_hostname(config-if)#ip nat inside my_hostname(config-if)#interface dot11radio 0.1 my_hostname(config-subif)#encapsulation dot1q 1 native my_hostname(config-subif)#no cdp enable my_hostname(config-subif)#bridge-group 1 my_hostname(config-subif)#exit my_hostname(config-if)#exit После этого мой LAN перекинулся на BVI1, кда приконнектились wi-fi и ethernet-порты. | |
| 13
- 30.01.2015 - 00:51
| Ну все, пора спать. DHCP завелся играючи. Остался только проброс портов. Это крайне важная фича. Мой тп-линк падал при обилии входящий подключений через NAT, поэтому я и затеял возню с этой сиськой. Короче весь смысл 2 дней жизни в этом, парни, не уходите пожалуйста далеко! | |
| 14
- 30.01.2015 - 08:16
| 13-Rat >глянул на свежую голову статик нат и не понял, а как юзверы узнают внешний адрес? Если пров дает статику, тогда понятно, но у Вас похоже динамика? И даже в этом случае пров может раздавать серые адреса. | |
| 15
- 30.01.2015 - 09:34
| 14-spiegel > Конечно же нормальный, годный, кошерный адрес на внешнем интерфейсе. Впрочем это не имеет отношения к проблеме : ) | |
| 16
- 30.01.2015 - 09:51
|
15-Rat >это в корне меняет решение: ip nat inside source static tcp 192.168.0.193 80 <реальный_ip> 80 | |
| 17
- 30.01.2015 - 12:23
|
16-spiegel > угу, это понятно, а не могли бы вы остановиться поподробнее? допустим я не знаю, какой меня IP, точнее, он может меняться провайдером (в моем случае он не меняется, но все же), тогда каким будет грамотное решение? Сейчас мой IP динамический (ip address negotiate), но каждый раз выдается провайдером вместе с основным шлюзом. Я не знаю, может IP прописать явно, но тогда если провайдер сменит шлюз, у меня начнутся танцы с бубном, и вообще это не так удобно. | |
| 18
- 30.01.2015 - 12:25
| зы: имеется ввиду, что, хотя адрес динамический, провайдер гарантирует, что он будет выдаваться всегда один и тот же. | |
| 19
- 30.01.2015 - 12:58
| 17-Rat >в чем смысл статической трансляции с динамическим ip? Танцы с бубнами при любом раскладе обеспечены. | |
| 20
- 30.01.2015 - 13:22
|
19-spiegel > Смысл, во-первых, немного научиться работать с сиськой. Во-вторых, хочется получить универсальное решение, как на бытовых роутерах, где я просто указываю необходимость трансляции портов вовнутрь с внешнего интерфейса в LAN и все, пусть он меняется хоть каждую минуту, при обращении на текущий адрес проброс работает, и ничего вручную крутить не надо. Возможно ли сделать аналогично в моем случае? | |
| 21
- 30.01.2015 - 13:30
| присоединяюсь, будут, только не по причине статической трансляции) | |
| 22
- 30.01.2015 - 14:18
|
20-Rat >если честно, в строке: ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80 я не вижу криминала и должно работать и при динамическом внешнем ip. Но как известно, черт прячется в деталях, поэтому выкладывайте sh run, sh int di0 и sh ip nat trans. Последние 2 команды наберите, когда роутер установит pppoe сессию. | |
| 23
- 30.01.2015 - 20:19
|
текущая конфиграция: https://yadi.sk/i/MRVPwDY6eMMSV dialer 0: https://yadi.sk/i/JZ6A3jE5eMMDp nat: https://yadi.sk/i/ivoDCvrseMMTQ | |
| 24
- 30.01.2015 - 20:24
| И еще, что-то мне кажется пропускная способность IP внешнего интерфейса немного ниже, чем могла бы быть, например 50 кБ/с аплоад, хотя я знаю, что с простыми модемами он доходит до 70. Аналогично на вход, скорость порта 3 мбит/с, качает на 300 кБ/с, а щас чо-то на 220-250. Может там какой резерв стоит? Скорость реакции конечно радует, то ли киска пакеты не теряет, то ли не на 100% грузит интерфейс, но странички порезче открываются, а вот когда качаешь, скорость немного ниже, чем раньше. | |
| 25
- 30.01.2015 - 21:31
|
24-Rat >вроде все правильно, вижу статик нат без внешних подключений: inetgw#sh ip nat trans tcp 85.175.98.43:21 192.168.0.193:21 tcp 85.175.98.43:80 192.168.0.193:80 inetgw#sh int di0 Dialer0 is up, line protocol is up (spoofing) Internet address is 85.175.98.43/32 По конфигурации: Для ftp нужно еще 20 порт пробрасывать. Не выкладывайте пароли в таком виде - это не защита. Реально защищен пароль типа enable secret .... или username xxx secret yyy. На line vty 0 4 нужно ограничить доступ (access-class)и только по ssh. В конфиге не увидел контролера дсл типа такого: controller DSL 0 mode atm line-term co line-mode 2-wire line-zero dsl-mode shdsl symmetric annex A line-rate auto В вашей железке это настраивается? Определите максимальный размер фрейма без фрагментации, проходящий через циску, изменяя его размер, начните с ping 8.8.8.8 -f -l 1492 Посмотрите статистику интерфейсов, нет ли там ошибок. (На di0 проблем не вижу) | |
| 26
- 30.01.2015 - 21:58
| черт, нат на проброс работает! извне. а изнутри на внешний адрес - нет. в принципе так тоже нормально, но может петлю какую-нибудь указать надо, или алиас? | |
| 27
- 30.01.2015 - 22:15
|
26-Rat >я уже писал, что статик нат работает только извне. Изнутри можно прописать в localhost типа: 192.168.0.193 www.myweb.ru | |
| 28
- 30.01.2015 - 22:20
|
25-spiegel > ну пароли я перетер руками, совсем обижаете : ) там ни одного настоящего. как ограничить доступ по telnet? на мой взгляд логично через acl сделать, разрешить с dialer 0 все исходящие, входящие на пробрасываемые порты, входящие на порты > 1024, а остальное запретить, верно? а то сейчас если зайти телнетом на мой внешний адрес роутера. про adsl не понял. у меня не shdsl, а adsl (asymmetric). на auto работает нормально, скорость порта как надо. максимальный пакет без фрагментации 1464 байта. хотя поставил как советуют в интернете для pppoe: ip mtu 1492 ip tcp adjust-mss 1452 для dialer 0 на локальный адрес через коммутатор без всяких роутеров максимум 1472, разница 20 байт, как я понимаю 20 байт идет на заголовок pppoe? а почем только cp adjust-mss 1452, как же остальные протоколы? может это вообще не нужно? в тырнете пугают, что без такой строки не будут некоторые ресурсы доступны. | |
| 29
- 30.01.2015 - 22:23
|
27-spiegel > я сначала не понял вашу фразу : ) в локалхост писать как-то не очень... но ладно, это мелочи. в зикселе например есть какая-то строка в конфиге, которая позволяет к статическому нату изнутри обратиться. в цисках такого нет? зы: ssh мне не надо, это просто домашняя сеть, с телнетом всяко проще. просто закрыть надо из wan и все. | |
| 30
- 30.01.2015 - 22:47
| 28-Rat >максимальный размер фрейма - 1500 байт. 8 байт заберет поле pppoe, отстается 1492. Поля IP - 20 байт и TCP 20 байт - остается 1452. У пинга нет tcp поэтому 1472. | |
| 31
- 30.01.2015 - 23:10
|
30-spiegel > ога, значит все верно работает! доступ по telnet разрулил так, правильно? ip access-list extended terminal permit tcp 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255 eq telnet line vty 0 4 access-class terminal in Извне проверил, не работает. Пожалуйста попробуйте: telnet mouxys.net 23 при этом http://mouxys.net/ доступен через NAT. И еще вопрос. Может вы знаете, UPnP никак нельзя поднять? Для торрентов полезно. Тырнет говорит что нет в цисках такого, но мало ли... | |
| 32
- 30.01.2015 - 23:11
| Как смотреть ошибки пакеов на интерфейсах не нашел. есть статистика, но там не вижу ничего про ошибки. И кстати не нашел где характеристки линии DSL глянуть. | |
| 33
- 30.01.2015 - 23:16
|
а, просто не заметил. sh dsl int - там и скорость, и snr, и статистика. ошибок нет (все по 0). ну ХЗ, может плохо померял, буду наблюдать... надо торрент распи$орить чтоб труЪ скорость померять. я теперь админ сиьски, всегда мечтал, гы : ) спасибо за помощь! | |
| 34
- 30.01.2015 - 23:20
| 30-spiegel > а вы еще 8 байт не забыли под eth-заголовок? а то получается 1472 без pppoe (мимо роутера через неуправляемый свич) и 1464 c pppoe (через роутер в тырнет) | |
| 35
- 30.01.2015 - 23:36
|
32-Rat >насколько мне известно циска не поддерживает UPnP. Может lynksys, которую она выкупила, поддерживает? Ошибки смотреть командой sh interface f | atm и пр. Для dsl - sh controller dsl 0 Доступ правильно. Я обычно делаю через простой access-list: access-list 1 permit xxx line vty 0 4 access-class 1 in | |
| 36
- 30.01.2015 - 23:48
|
34-Rat >Если весь фрейм считать, то к 1500 надо добавить 14 байт ethernet и 4 crc. Если пингуем локалку, то из 1500 байт отнимаем 20 байт на IP и 8 на ICMP. Если фрейм отправляется на wan интерфейс, то ethernet отбрасывается, а вместо него в вашем случае вставляется поля ppp 2 байта и pppoe 6 байтов, причем они не добавляются к 1500, а отнимаются. | |
| 37
- 30.01.2015 - 23:53
|
lynksys действительно поддерживает. доступ кстати косячный, вот так работает: ip access-list extended terminal permit tcp 192.168.0.0 0.0.0.255 any eq telnet а с указанием подсети вместо any нет, странно. расширенный список потому что их можно красиво именовать. | |
| 38
- 30.01.2015 - 23:57
| 36-spiegel > угу, спасибо за ликбез. а может вы еще знаете, откуда у dsl ноги от atm растут? и вообще размер ячейки atm 53 байта, а туда целый ethernet как-то впихивается. и зачем atm для dsl, и почему интерфейс называется atm, ведь это не тот atm, что использовался раньше в телефонии? | |
| 39
- 31.01.2015 - 09:34
|
А кто знает, почему не мигает индикатор eth0? Данные передаются, а не мигает, просто горит зеленым. В мануале на этот счет сказано: On when a device connects to the Ethernet LAN 0 port. Blinks when the Ethernet LAN 0 port receives or sends data, or when data passes through the port. Вот у меня data passes through the port, а он горит, даже если на полной скорости wi-fi что-нибудь прокачать. | |
Интернет-форум Краснодарского края и Краснодара |
