Помогите новичку с настройкой Cisco 2811

[axtuba]

Здравствуйте!
Прошу сильно не пинать, так как с темой не очень знаком.

У нас есть циска 2811 в двумя езернет портами (интернет и локалка). Недавно сменили провайдера. Наш новый провайдер дает нам интернет по PPPoE (логин, пароль), соответственно получаем какой-то ip'шник. кроме этого он нам предоставляет еще два "белых" ip. Просто настроить dialer и NAT особого труда не составило, интернет заработал.

Но вот в чем суть вопроса: можно ли настроить один из "белых" ip'шников на циске (чтобы запросы извне приходили непосредственно на циску), и если "да", то как? Можно ли на FE0/1 повесить и dialer и реальный айпишник?

Буду рад любой помощи!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

А "он нам предоставляет еще два "белых" ip" он посредством чего предоставляет? просто есть вариант что оно все будет прилетать также через пппое (просто прописывается дополнительный атрибут в радиусе). И количество какое-то странное - 2, обычно сеть выдают /30 и далее.

повесить dialer и айпишник на езернет на цыске можно.

[axtuba]

А "он нам предоставляет еще два "белых" ip" он посредством чего предоставляет? просто есть вариант что оно все будет прилетать также через пппое (просто прописывается дополнительный атрибут в радиусе). И количество какое-то странное - 2, обычно сеть выдают /30 и далее.

Ну естественно сеть /30 выдали, просто видимо не так выразился. Со слов провайдера все что будет приходить на "белые" ip (сеть /30), будет на PPPoE роутиться, а мы здесь уже сами дальше расставляем реальные адреса и т.д.

повесить dialer и айпишник на езернет на цыске можно.

А как, не подскажете? Или где прочитать можно? Просто все что я находил, это либо PPPoE с выдачей реальных адресов, либо "белые" ip ставим уже за циской (например на сервера).
Может я не правильно понимаю как организовать схему подключения?

[lap]

а fe0/1 у вас куда смотрит?

[axtuba]

а fe0/1 у вас куда смотрит?

FE0/1 на провайдера, FE0/0 в локалку.

[lap]

а зачем тогда на него еще и белые адреса вешать? если адреса повесить на лупбэки с маской /32, то можно настроить нат и заодно запользовать все 4 адреса. или вы можете ее куданибудь дальше в локалку сроутить. или на фа0/0 повесить. вариантов море.

[axtuba]

а зачем тогда на него еще и белые адреса вешать?

Ну собственно потому, что получаемый PPPoE адрес является динамическим.

если адреса повесить на лупбэки с маской /32, то можно настроить нат и заодно запользовать все 4 адреса. или вы можете ее куданибудь дальше в локалку сроутить. или на фа0/0 повесить. вариантов море.

Т.е. на лупбэк белый адрес вешаем, с фа0/0 (локалка) через nat на лупбэк?
Или второй вариант на фа0/0 вешаем белый айпи, а как тогда локалка в другой подсети, роутить? Или как по-другому?

Я конечно понимаю, что вопросы нубские, но тупо на изучение и штудирование всего курса циски времени нету. Буду благодарен, если подскажете конкретный пример, или конкретные статьи.

[lap]

пример с натом (пример с 877й, поэтому немного другие интерфейсы):

Код: Выделить всё

interface Loopback10
 ip address y.y.y.0 255.255.255.255
!
interface Loopback11
 ip address y.y.y.1 255.255.255.255
!
interface Vlan21
 ip address 172.21.0.1 255.255.255.0
 ip nat inside
!
interface BVI1
 ip address x.x.x.82 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
!
ip nat inside source list NAT-10 interface Loopback10 overload
ip nat inside source list NAT-11 interface Loopback11 overload
ip route 0.0.0.0 0.0.0.0 BVI1 x.x.x.81
ip roue 192.168.2.0 255.255.255.0 Vlan21 172.21.0.254
!
!
ip access-list standard NAT-10
 permit 172.21.0.0 0.0.0.255
!
ip access-list standard NAT-11
 permit 192.168.2.0 0.0.0.255

Впринципе прокатывает вариант с белым адресом на лупбеке сервера и статическим роутом на цыске этого адреса через серый (естественно софт должен уметь слушать и отвечать с нужного места)ю Этот способ также позволяет запользовать все 4 адреса из сети /30.

Если повесить адреса на интерфейс смотрящий в сторону провайдера - я незнаю как это будет работать, при условии что на стороне провайдера оно роутится на самом аксес сервере через пппоешный интерфейс.

[axtuba]

Спасибо за ответы, буду думать. Но проблемы не кончаются...

Я вот не могу создать влан интерфейс на своей циске:

Код: Выделить всё

axtuba(config)#int vlan 100
                    ^
% Invalid input detected at '^' marker.

axtuba(config)#int ?
  Async              Async interface
  BVI                Bridge-Group Virtual Interface
  CDMA-Ix            CDMA Ix interface
  CTunnel            CTunnel interface
  Dialer             Dialer interface
  FastEthernet       FastEthernet IEEE 802.3
  Group-Async        Async Group interface
  Lex                Lex interface
  Loopback           Loopback interface
  MFR                Multilink Frame Relay bundle interface
  Multilink          Multilink-group interface
  Null               Null interface
  Port-channel       Ethernet Channel of interfaces
  Tunnel             Tunnel interface
  Vif                PGM Multicast Host interface
  Virtual-Access     Virtual Access interface
  Virtual-PPP        Virtual PPP interface
  Virtual-Template   Virtual Template interface
  Virtual-TokenRing  Virtual TokenRing
  range              interface range command

Собственно мне один белый адрес точно нужен на циске, так как на ней ВПН поднимается.

[lap]

яж напейсал что это пример с 877й, там по другому не получится настроить. У тебя вместо влана будет фа0/0, а вместо bvi - dealer интерфейс.

[axtuba]

Спасибо! Буду пробовать.

[axtuba]

яж напейсал что это пример с 877й, там по другому не получится настроить. У тебя вместо влана будет фа0/0, а вместо bvi - dealer интерфейс.

Спасибо! Работает!

Но проблема с VPN осталась. IPSEC VPN. Как только не пробовал - либо не поднимается туннель (если криптомап на диалер), либо туннель поднимается, но никакие данные не идут (если криптомап на лупбэк или лупбэк+диалер)...

Подскажите, почему?

P.S. пробовал и crypto-map ... local-address loopback0 overload, но может чего не правильно делаю...

[lap]

иписек вы статический рисуете или клиентом клиентитесь? начиная с какой-то версии надо через виртуалтемплейт все делать. покрайней мере 124-24.T7 изивпн заработал только с ним.

http://forum.lissyara.su/viewtopic.php?f=48&t=35768

[axtuba]

IPSEC статический. Раньше работало (когда был белый ip), теперь же у меня через белый ip на loopback, pppoe - dialer и т.д.
Теперь не работает...

Часть конфига:

Код: Выделить всё

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 9
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key mykey address aa.bb.cc.dd no-xauth
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto map SDM_CMAP_1 1 ipsec-isakmp 
 description Tunnel toServer
 set peer aa.bb.cc.dd
 set transform-set myset 
 match address 102

[gumeniuc]

покажите sho run или debug включайте

[rvv80]

Нафига лупбэк для этого юзать? Не судьба прописать статический белый ip на интерфейсе Dialer?
И что значит провайдер "выдает" один адрес через pppoe, а вам нужен другой? Это ведь все зависит от ваших настроек.
Если прописать:

interface Dialer1
ip address negotiated

то будет получать через ppp от провайдера, а если:

interface Dialer1
ip address <ваш белый IP>

то будет закреплен статический и не нужно мудрить с лупбэками. Очень может быть, что и IPSec сразу заработает.