Как такое может быть

#1 15.11.2016, 12:41

Michael Klimenkov написал(а) к All в Nov 16 11:14:54 по местному времени:

Привет, All!

Какие-то странные баги.
Cisco 881
Инет поднимается. IPSEC поднимается. Я вижу локалку. Работает войп через тунели. Но неоткрывается не один сайт кроме поисковиков. И работает почта по 25 порту но получить ни 143 мы не можем. В конфиге никаких ограничений нет. При подключении компа вместо циски все работает. Как так???
У меня трещит шаблон (

Конфиг приложен ниже. Может я что не заметил? Хелп мииииииии ((((

=================Начало конфига===============================
!
! Last configuration change at 07:31:26 UTC Tue Nov 15 2016 by fear
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router.sm1.volgograd.n-l-e.ru
!
boot-start-marker
boot system flash:/c880data-universalk9-mz.153-2.T.bin
boot-end-marker
!
!
enable secret 4 111
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
!
!
!
!
!

!
!
!
!
ip domain timeout 2
ip domain name sm1.volgograd.n-l-e.ru
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
!
vpdn-group pppoe
!
password encryption aes
license udi pid 111 sn 1111
license accept end user agreement
license boot module c880-data level advipservices
!
!
object-group network AD_SERVERS
host 172.17.0.1
host 172.17.0.3
host 172.17.0.2
!
object-group network BANK_TERM
host 192.168.34.110
!
object-group network BANKTERMSERV
host 195.234.190.102
host 195.234.190.10
!
object-group network GSGAMEKIT_WIFI
host 192.168.34.156
!
object-group service LDAP
tcp eq 389
!
object-group network LOCALNET
192.168.34.0 255.255.255.0
10.40.34.0 255.255.255.0
!
object-group network NAT_IP
192.168.34.0 255.255.255.0
!
object-group network PSK_NET
description All local nets of PSK
172.17.0.0 255.255.0.0
192.168.0.0 255.255.0.0
!
object-group network UMK_WIFI
!
object-group network WEBINAR_IP
host 37.130.192.13
host 37.130.194.13
!
object-group network payment_terminal
!
username 1111 privilege 15 secret 4 1111
!
!
!
!
!
ip ftp username 1111
ip ftp password 7 111111
!
class-map match-any VoIP
match access-group name VoIP
!
policy-map VoIP
class VoIP
bandwidth 512
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 5
crypto isakmp key 6 bhlL8sUН address %IP_НUN%
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 periodic
!
!
crypto ipsec transform-set dmvpn1 esp-3des esp-md5-hmac
mode transport
!
!
crypto ipsec profile dmvpn1
set transform-set dmvpn1
!
!
!
!
!
!
interface Tunnel0
ip address 10.50.0.34 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication bhlL8sUН
ip nhrp map 10.50.0.1 %IP_НUN%
ip nhrp map multicast %IP_НUN%
ip nhrp network-id 1
ip nhrp holdtime 400
ip nhrp nhs 10.50.0.1
ip nhrp registration no-unique
ip tcp adjust-mss 1360
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 1
tunnel path-mtu-discovery
tunnel protection ipsec profile dmvpn1 shared
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
ip virtual-reassembly in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Vlan1
ip address 192.168.34.254 255.255.255.0
ip access-group INTIFACL in
ip nat inside
ip virtual-reassembly in
service-policy output VoIP
!
interface Dialer1
ip address negotiated
ip access-group EXTIFACL in
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 1111
ppp chap password 7 1111
ppp pap sent-username 1111 password 7 11111
no cdp enable
!
!
router eigrp 1
network 10.40.34.0 0.0.0.255
network 10.50.0.0 0.0.0.255
network 192.168.34.0
redistribute static
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns view default
domain timeout 2
domain name-server 8.8.8.8
ip dns server
ip nat inside source list 100 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.34.0 255.255.255.0 10.40.34.1
!
ip access-list extended EXTIFACL
deny icmp any any redirect
deny ip 127.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 31.255.255.255 any
deny ip host 0.0.0.0 any
deny tcp any any eq 5060
deny udp any any eq 5060
deny tcp any any eq 1720
deny udp any any eq 1720
deny udp any any eq snmp
permit tcp 195.19.214.0 0.0.0.255 any eq 22
deny tcp any any eq 22
permit ip any any
ip access-list extended INTIFACL
permit ip any any
ip access-list extended VoIP
permit ip any host 172.17.0.56
permit ip host 172.17.0.56 any
!
!
snmp-server group smtpgroup v3 auth
snmp-server community public RO
access-list 100 permit ip 192.168.34.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 60 0
logging synchronous
length 0
transport input ssh
!
scheduler allocate 20000 1000
!
end

=================Конец конфига ===============================

Michael

--- GoldED+/W32-MINGW 1.1.5-b20060703 (New Point Express)

#2 15.11.2016, 20:30

Eugene Grosbein написал(а) к Michael Klimenkov в Nov 16 22:03:26 по местному времени:

15 ноя 2016, вторник, в 12:14 NOVT, Michael Klimenkov написал(а):

MK> Какие-то странные баги.
MK> Cisco 881
MK> Инет поднимается. IPSEC поднимается. Я вижу локалку. Работает войп через
MK> тунели. Но неоткрывается не один сайт кроме поисковиков. И работает почта по 25
MK> порту но получить ни 143 мы не можем. В конфиге никаких ограничений нет. При
MK> подключении компа вместо циски все работает. Как так???
MK> У меня трещит шаблон (
MK> Конфиг приложен ниже. Может я что не заметил? Хелп мииииииии ((((

MK> interface Dialer1
MK> ip address negotiated
MK> ip access-group EXTIFACL in
MK> ip mtu 1492
MK> ip nat outside
MK> ip virtual-reassembly in
MK> encapsulation ppp
MK> dialer pool 1
MK> dialer-group 1
MK> ppp authentication chap pap callin
MK> ppp chap hostname 1111
MK> ppp chap password 7 1111
MK> ppp pap sent-username 1111 password 7 11111
MK> no cdp enable
MK> !

Потому что при использовании PPPoE с mtu ниже 1500
не надо забывать ip tcp adjust-mss на interface Dialer1.
Классическая проблема с MTU.

Eugene
--
Как жаль, что не роняли вам на череп утюгов.
Скорблю о вас - как мало вы успели.
--- slrn/1.0.2 (FreeBSD)

#3 16.11.2016, 11:30

Michael Klimenkov написал(а) к Eugene Grosbein в Nov 16 10:13:20 по местному времени:

Привет, Eugene!

MK>> Cisco 881
MK>> Инет поднимается. IPSEC поднимается. Я вижу локалку. Работает
MK>> войп через тунели. Но неоткрывается не один сайт кроме
MK>> поисковиков. И работает почта по 25 порту но получить ни 143 мы
MK>> не можем. В конфиге никаких ограничений нет. При подключении
MK>> компа вместо циски все работает. Как так??? У меня трещит шаблон
MK>> ( Конфиг приложен ниже. Может я что не заметил? Хелп мииииииии
MK>> ((((

MK>> interface Dialer1
MK>> ip address negotiated
MK>> ip access-group EXTIFACL in
MK>> ip mtu 1492
MK>> ip nat outside
MK>> ip virtual-reassembly in
MK>> encapsulation ppp
MK>> dialer pool 1
MK>> dialer-group 1
MK>> ppp authentication chap pap callin
MK>> ppp chap hostname 1111
MK>> ppp chap password 7 1111
MK>> ppp pap sent-username 1111 password 7 11111
MK>> no cdp enable
MK>> !

EG> Потому что при использовании PPPoE с mtu ниже 1500
EG> не надо забывать ip tcp adjust-mss на interface Dialer1.
EG> Классическая проблема с MTU.

Спасибо помогло.
"Век живи, век учись," - подумал поручик, перекладывая серебрянный портсигар из брючного кармана в пинжачный.

Michael

--- GoldED+/W32-MINGW 1.1.5-b20060703 (New Point Express)