Configuración PPPoE rota

7

Hemos estado luchando con esto durante algunas semanas. CISCO 3825 (15.1 IOS) con PPPoE correctamente establecido (es decir, puede hacer ping a la red desde el interior del cli).

El problema que tenemos es que los clientes no pueden hacer ping al mundo exterior. Tengo el cliente conectado directamente al enrutador, y no tengo suerte de llegar a la red. La configuración:

Config actualizada

interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip broadcast-address 192.168.2.255
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no cdp enable
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip route-cache policy
 dialer pool 1
 ppp authentication pap callin
 ppp pap sent-username [email protected] password 0 foobarme
 ppp ipcp dns request accept
 ppp ipcp route default
 ppp ipcp address accept
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!         
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no cdp run

El ppoe se establece perfectamente. Sin embargo, ambas interfaces están en funcionamiento, simplemente no pueden hacer ping a Internet utilizando un cliente conectado directamente. Sin dhcp, los clientes tienen direcciones IP estáticas

Estoy seguro de que esta pregunta ha sido respondida, pero nada de lo que he leído ha sido capaz de levantarme.

Una cosa a tener en cuenta es que f0 / 1 tiene un bcast de 255.255.255.255. La interfaz del cliente está configurada en 192.168.2.255. ¿Podría ser este el problema? Necesito minimizar el tiempo de inactividad tanto como sea posible, y realmente aprecio su ayuda.

Breve

Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         unassigned      YES NVRAM  up                    up      
GigabitEthernet0/1         192.168.2.1     YES NVRAM  up                    up      
Dialer0                    <public ip>     YES IPCP   up                    up      
NVI0                       unassigned      YES unset  administratively down down    
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  up                    up 

Completo

do show ip interface      
GigabitEthernet0/0 is up, line protocol is up
  Internet protocol processing disabled
GigabitEthernet0/1 is up, line protocol is up
  Internet address is 192.168.2.1/24
  Broadcast address is 192.168.2.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is disabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF switching turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain inside
  BGP Policy Mapping is disabled
  Input features: Stateful Inspection, Virtual Fragment Reassembly, Virtual Fragment Reassembly After IPSec Decryption, MCIk
  Output features: NAT Inside, Stateful Inspection, NAT ALG proxy, Post-Ingress-NetFlow
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
Dialer0 is up, line protocol is up
  Internet address is <public ip>/32
  Broadcast address is 255.255.255.255
  Address determined by IPCP
  MTU is 1492 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is not set
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are always sent
  ICMP unreachables are always sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF switching turbo vector
  IP Null turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, Policy, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain outside
  BGP Policy Mapping is disabled
  Input features: Stateful Inspection, Dialer i/f override, Ingress-NetFlow, Virtual Fragment Reassembly, Virtual Fragment k
  Output features: Post-routing NAT Outside, Stateful Inspection, NAT ALG proxy, Post-Ingress-NetFlow, Dialer idle reset, Dt
  WCCP Redirect outbound is disabled
  WCCP Redirect inbound is disabled
  WCCP Redirect exclude is disabled
NVI0 is administratively down, line protocol is down
  Internet protocol processing disabled
Virtual-Access1 is up, line protocol is up
  Internet protocol processing disabled
Virtual-Access2 is up, line protocol is up
  Peer address is 64.230.11.5
  Dialer interface is Dialer0

Como siempre, puede hacer ping dentro de cli pero no desde un cliente conectado directamente. DNS en el cliente configurado en 8.8.8.8, puede hacer ping al enrutador, etc. Parece un problema de ruta de puerta de enlace para dia0?

Actualización: mtu mss de trabajo para Cisco Bell Canada ip mtu 1492 ip tcp ajustar-mss 1452

¡Todo es perfecto ahora!

Gracias por adelantado,

Mella.

Nick Cameo
fuente
1
La respuesta de Ricky a su otra pregunta sobre esto , que usted aceptó, aborda la presunta causa de este problema.
Brett Lykins el
Mantendré este hilo vivo y lo agregaré nuevamente a la configuración y veré si esa es la razón. Creo que eliminé ip nat afuera y lo moví a Gig0 / 0, sin embargo, olvidé volver a ponerlo ...
Nick Cameo
En este momento hay 1700 usuarios en línea. No se puede desactivar la red ... :(
Nick Cameo
nat no requiere una interrupción para configurar, suponiendo que se haga correctamente. Piénselo de esta manera, 1700 usuarios han degradado el servicio en este momento
Mike Pennington
Mike, realmente aprecio tu tiempo. Necesito cambiar físicamente a Cisco desde nuestro dlink. La última vez que hice eso, no teníamos red. Necesito esperar hasta las 4 de la mañana para hacer eso :(
Nick Cameo

Respuestas:

4

Agregando a las otras respuestas ... lo que le falta ahora es una lista de acceso para limitar NAT a sus direcciones internas ... si aplica esta configuración, creo que esto debería ayudarlo siempre que no haya otras subredes enrutado por este enrutador.

!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside

interface Dialer0
 ip nat outside
!
!! You might not need to do this, but just in case...
do clear ip nat trans *
no ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.0 0.0.0.255
!
ip nat inside source list 1 interface Dialer0 overload

Incluí piezas de las respuestas de Ricky y Brett, que por supuesto también son necesarias.

Mike Pennington
fuente
1
¡Tengo acceso al mundo exterior a través de Cisco! Muchas gracias. Lo único es que puedo acceder a la búsqueda de Google, sin embargo, no puedo superarlo al hacer clic en un enlace. Intenté Firefox, Chrome y Lynx. El correo electrónico saliente funciona bien.
Nick Cameo
2
es posible que necesite ajustar mss en el intf Lan o un mtu más bajo en el marcador ... consulte este enlace de Cisco
Mike Pennington
¡¡¡Miguel!!! ¡¡¡¡¡Gracias!!!!! ¡Amo este lugar! Estamos arriba / arriba :). Los mtu y mss que funcionaron para nosotros son los siguientes:ip mtu 1492 ip tcp adjust-mss 1452
Nick Cameo
6

*tos*

interface Dialer0
  ip nat outside
Ricky Beam
fuente
También verifique la configuración 'ip nat inside source xxx', que parece que también falta.
Łukasz Bromirski
@ ŁukaszBromirski, está ahí, solo tienes que desplazar un poco su bloque de código.
Brett Lykins
desplazarse hacia abajo, está ahí. (suponiendo que la lista 1 es correcta)
Ricky Beam
También @RickyBeam, ¡fui un minuto demasiado lento! Eso es lo que obtengo por tomarme el tiempo para editar mis errores tipográficos;)
Brett Lykins
Ah, tienes que desplazarte por la impresión: P Tienes razón Ricky, está ahí. Esperemos que ACL 1 sea correcto y que 'ip nat outside' haga el truco.
Łukasz Bromirski
5

Te falta un comando NAT crítico.

Intente agregar ip nat outsidedebajo de la interfaz de marcado saliente interface Dialer 0.

Con su configuración actual, ha identificado la interfaz Gig 0/1 como la interfaz "Inside", por lo que el enrutador sabe cuándo aplicar las reglas NAT al tráfico entrante en esa interfaz.

Sin embargo, dado que la interfaz Dialer 0 no tiene una instrucción NAT, el enrutador no sabe que necesita traducir el direccionamiento y ENTONCES intenta enrutarlo.

En este momento, su tráfico de retorno de Internet a un host NAT presumiblemente llega a su enrutador y muere allí.


Recomiendo consultar este artículo en INE que explica los detalles de las interfaces "Inside" vs "Outside" en Cisco NATing.

Brett Lykins
fuente