Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

NAT Overload i web connectivity

[es] :: Enterprise Networking :: NAT Overload i web connectivity

[ Pregleda: 3202 | Odgovora: 10 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

DeLacy
Novi Sad

Član broj: 23344
Poruke: 102
*.static.isp.telekom.rs.



+66 Profil

icon NAT Overload i web connectivity06.09.2014. u 20:21 - pre 116 meseci
Poštovane kolege,

pošto spremam CCNA ispit, napravio sam svoj HW lab i uzeo sam malo da se poigram i eksperimetišem sa live Cisco opremom, a u nekoj budućnosti njome i da zamenim postojeću opremu (uglavnom Mikrotik) kod mene u firmi.

Elem, opremio sam se polovnim ruterom 2821 (ima samo dva Gigabit porta), i na njemu sam smislio da za početak podignem PAT. Firma ima ADSL 20/1 i VDSL 50/2 linije, obe sa statičkom adresama, a modemi su podešeni u bridž modove. Svaki modem je u svom VLAN-u (konkretno kod mene VLAN 3 i 4), i preko jednog porta se VLAN-ovi trankuju do rutera. Za sada Mikrotik ruter je zadužen za pokretanje PPPoE konekcije, i to generalno funkcioniše dobro.

Ovo sam isto pokušao da izvedem na Cisco opremi, za početak samo sa VDSL linijom, pa sam naleteo na problem. Interfejs G 0/0 je u lokalnoj mreži 192.168.0.0/24 (kao i ostali računari u mreži), a interfejs G0/1.4 ima adresu u mreži 192.168.1.0/24 (u istom segmentu gde i VDSL modem). Interfejs Dialer1 je zadužen za uspostavljanje PPPoE veze. Uspevam da uspostavim PPP konekciju, uredno dobijam adresu od provajdera, podesio sam rutu 0.0.0.0 preko Dialer1 interfejsa, mogu da pingujem Google DNS.

Podigao sam NAT overload, NAT inside na G 0/0, NAT outside na Dialer1.

Na jednom računaru u mreži sam statički konfigurisao IP adresu i dao mu kao adresu default gatewaya adresu Cisco rutera, i kao DNS lokalni DNS u firmi (mikrotik). Sve funkcioniše osim http-a: probao sam i ftp na neki remote host (radi), ping prolazi svuda gde treba, čak sam i uspostavljao PPTP VPN konekcije ka jednoj remote lokaciji van firme.

Da li neko možda ima ideju gde sam napravio grešku u konfiguraciji?
Code:

Building configuration...

Current configuration : 2057 bytes
!
! Last configuration change at 18:49:49 UTC Sat Sep 6 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
!
memory-size iomem 15
!
dot11 syslog
ip source-route
!
ip cef
!
no ip domain lookup
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2821 sn FC**********
!
redundancy
!!
interface GigabitEthernet0/0
 ip address 192.168.0.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.3
 encapsulation dot1Q 3
 ip address 192.168.1.100 255.255.255.0
 shutdown
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1.4
 encapsulation dot1Q 4
 ip address 192.168.1.101 255.255.255.0
 pppoe enable group global
 pppoe-client dial-pool-number 2
!
interface Dialer0
 ip address negotiated
 ip mtu 1460
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 shutdown
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname *******************
 ppp chap password 0 ***************
 no cdp enable
!
interface Dialer1
 description TelekomVDSL
 ip address negotiated
 ip mtu 1492
 ip nat outside
 no ip virtual-reassembly in
 encapsulation ppp
 dialer pool 2
 ppp authentication chap callin
 ppp chap hostname ******************
 ppp chap password 0 **************
 ppp ipcp dns accept
 ppp ipcp route default
 ppp ipcp address accept
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 name TelekomVDSL
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 password cisco
 login
 transport input all
!
scheduler allocate 20000 1000
end


Code:
Router#sh ip int bri
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.0.2     YES NVRAM  up                    up      
GigabitEthernet0/1         unassigned      YES NVRAM  up                    up      
GigabitEthernet0/1.3       192.168.1.100   YES NVRAM  administratively down down    
GigabitEthernet0/1.4       192.168.1.101   YES NVRAM  up                    up      
Dialer0                    unassigned      YES NVRAM  administratively down down    
Dialer1                    109.92.**.**    YES IPCP   up                    up      
NVI0                       109.92.**.**    YES unset  up                    up      
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  down                  down    
Virtual-Access3            unassigned      YES unset  up                    up      

Router#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/51/52 ms
Router#        



 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 07:18 - pre 116 meseci
možda ti paketi stižu fragmentovani
pokušaj da uključiš virtual-reassembly in

no ip virtual-reassembly in

i pokušaj da smanjiš MTU negde oko 1472 je MTU over PPPoE

ako ti prolazi ping i sve ostalo radi verovatno je problem sa MTU
 
Odgovor na temu

DeLacy
Novi Sad

Član broj: 23344
Poruke: 102
*.static.isp.telekom.rs.



+66 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 08:53 - pre 116 meseci
Citat:
PaStvarno: možda ti paketi stižu fragmentovani
pokušaj da uključiš virtual-reassembly in

no ip virtual-reassembly in

i pokušaj da smanjiš MTU negde oko 1472 je MTU over PPPoE

ako ti prolazi ping i sve ostalo radi verovatno je problem sa MTU


Ovo sa virtual-reassembly sam se malo igrao, pokušavao da uključim i isključim, bez efekta.

Na Mikrotik ruteru preko koga sve funkcioniše MTU je 1492, čak i Telekom preporučuje tu vrednost za VDSL.

Naravno, probao sam sa promenom MTU na 1472, ali nema ikakve razlike. Da je zaista problem sa MTU, komplikovanije stranice bi se učitavale do pola pa bi se učitavanje vrtelo tako do u besvest (imao sam takav slučaj sa Telekom ADSL konekcijom), ovako čak ni ne krene sa otvaranjem strana već samo "Waiting for ..."

 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 10:00 - pre 116 meseci
Ako ni ne krene sa otvaranjem stranica, da li ti DNS radi posao kako treba?
Možda je tu problem, podesi da ti je DNS 8.8.8.8 koji si već pingovao, a ne mikrotik.

Tačnu veličinu MTU možeš saznati

Router1#ping
Protocol [ip]:
Target IP address: 8.8.8.8
Repeat count [5]: 1
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]: y
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]: y
Sweep min size [36]: 1450
Sweep max size [18024]: 1500
Sweep interval [1]:

Pošto je zabranjena fragmentacija (plavo)
Prebrojiš koliko puta je prošao ping i dodaš na 1450 (-1 pošto počinje od size 1450)



[Ovu poruku je menjao PaStvarno dana 07.09.2014. u 13:11 GMT+1]

[Ovu poruku je menjao PaStvarno dana 07.09.2014. u 13:17 GMT+1]
 
Odgovor na temu

DeLacy
Novi Sad

Član broj: 23344
Poruke: 102
*.static.isp.telekom.rs.



+66 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 15:22 - pre 116 meseci
Mikrotikov DNS funkcioniše OK, a probao sam i sa 8.8.8.8, kao i sa telekomovim DNS-ovima :(

Inače, nisam znao za ovaj način testiranja MTU-a, dobra stvar.
Probao sam na VDSL, prolazi i 1492.


Citat:
PaStvarno: Ako ni ne krene sa otvaranjem stranica, da li ti DNS radi posao kako treba?
Možda je tu problem, podesi da ti je DNS 8.8.8.8 koji si već pingovao, a ne mikrotik.

Tačnu veličinu MTU možeš saznati

Router1#ping
Protocol [ip]:
Target IP address: 8.8.8.8
Repeat count [5]: 1
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]: y
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]: y
Sweep min size [36]: 1450
Sweep max size [18024]: 1500
Sweep interval [1]:

Pošto je zabranjena fragmentacija (plavo)
Prebrojiš koliko puta je prošao ping i dodaš na 1450 (-1 pošto počinje od size 1450) :)



[Ovu poruku je menjao PaStvarno dana 07.09.2014. u 13:11 GMT+1]

[Ovu poruku je menjao PaStvarno dana 07.09.2014. u 13:17 GMT+1]
 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 17:24 - pre 116 meseci
Ako ping radi - znači, što i sam znaš, da mreža radi kako treba (barem sa rutera).

Proveri da li su NAT translacije OK
show ip nat translation
debug ip nat translations
debug ip packet

I zašto su ti subinterface-i u isto IP opsegu (jeste vlan 3 interface shut, ali opet ... )?
GigabitEthernet0/1.3 192.168.1.100 YES NVRAM administratively down down
GigabitEthernet0/1.4 192.168.1.101 YES NVRAM up up

Kada pinguješ sa desktop računara da li prolazi ping?
probaj oba:
ping 8.8.8.8
ping www.google.com
 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
212.178.232.*

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 17:30 - pre 116 meseci
Mikrotik na PPP konekcijama automatski dodaje change MSS. To mozes da vidis u FW.
Meni lici na MTU... Obicno u tom slcaju hoce da otvori google, a nece blic, b92...
Setuj na Dialer1 MTU 1400b. Na klijent racunaru setuj staticki dns 8.8.8.8. NAT je dobro setovan, cim mozes da pingujes 8.8.8.8 :S


 
Odgovor na temu

DeLacy
Novi Sad

Član broj: 23344
Poruke: 102
*.static.isp.telekom.rs.



+66 Profil

icon Re: NAT Overload i web connectivity07.09.2014. u 22:16 - pre 116 meseci
Citat:
PaStvarno: Ako ping radi - znači, što i sam znaš, da mreža radi kako treba (barem sa rutera).

Proveri da li su NAT translacije OK
show ip nat translation
debug ip nat translations
debug ip packet

I zašto su ti subinterface-i u isto IP opsegu (jeste vlan 3 interface shut, ali opet ... )?
GigabitEthernet0/1.3 192.168.1.100 YES NVRAM administratively down down
GigabitEthernet0/1.4 192.168.1.101 YES NVRAM up up

Kada pinguješ sa desktop računara da li prolazi ping?
probaj oba:
ping 8.8.8.8
ping www.google.com


Ping sa desktopa prolazi u svakom slučaju, i kada pingujem direktno IP 8.8.8.8, i kada radi resolving preko Mtika ili Google DNS. Čak sam i uspostavio PPTP VPN konekciju sa ekspoziturom firme.

E sad, što su adrese sub-if u istom opsegu - Čista, 100%-ntna, nepatvorena lenjost da promenim default IP adrese modema :) Mada ionako su u modemi u različitim VLAN-ovima, pa ne smeta.


Citat:
milosbeo: Mikrotik na PPP konekcijama automatski dodaje change MSS. To mozes da vidis u FW.
Meni lici na MTU... Obicno u tom slcaju hoce da otvori google, a nece blic, b92...
Setuj na Dialer1 MTU 1400b. Na klijent racunaru setuj staticki dns 8.8.8.8. NAT je dobro setovan, cim mozes da pingujes 8.8.8.8 :S


Probao sam i sa manjim MTU, neće. Da je MTU u pitanju, što kažeš, otvorio bi bar google.com, a na blicu bi pukao na onim silnim fleševima. Ovako ništa ne otvara, samo kaže Waiting i stoji.

Mada, počeo sam nešto da ozbiljno da sumnjam da brlja ili modem ili DSLAM port, tj. da sama VDSL konekcija ne funkcioniše kako treba, pošto od same njene instalacije imam problema sa njom.

U svakom slučaju, hteo sam da se konsultujem da vidim da nisam ja napravio neki previd u konfiguraciji rutera pa da zato neće da radi...

 
Odgovor na temu

gogo82

Član broj: 228454
Poruke: 118



+8 Profil

icon Re: NAT Overload i web connectivity08.09.2014. u 07:08 - pre 116 meseci
I meni najviše liči na problem sa MTU, imao sam sličan problem sa ADSL na Cisco opremi, sve ostalo osim HTTP/S-a uredno radi.
Za početak pokušaj još više da smanjiš MTU, na primer na 1200.


Možeš pokušati da osim na Dialer-u, da smanjiš MTU i na fizičkom interfejsu, u tvom slučaju G0/1 ako sam dobro video

interface G0/1
ip mtu 1200 (ili neku drugu vrednost)
end


Ako ni posle ovoga ne bude rezultata pokušaj prioveriti da li ti HTTP/S paketi uredno prolaze do odredišnog servera i šta se dešava sa TCP/80 paketima koji idu kroz Cisco ruter. To možeš uraditi sa programom ''tracetcp'',
na ovom linku imaš detalje https://support.logicboxes.com...raceroute-on-windows-and-linux

Na primer: tracetcp www.google.com:80






Pozdrav!
Gogo82
 
Odgovor na temu

dragancili

Član broj: 255391
Poruke: 73
*.dynamic.isp.telekom.rs.

Jabber: dragancili@gmail.com


+2 Profil

icon Re: NAT Overload i web connectivity08.09.2014. u 08:12 - pre 116 meseci
Nisam gledao citavu prepisku ali problem je poznat na PPPoE konekcijama kod nas I Cisco opremi...
Resenje - pod dialer interface stavi "mtu 1492" plus setuj TCP MSS sa "ip tcp adjust-mss 1452".

Mora da radi sa ovim podesavanjima...

Pozdrav,
Dragan
Dragan
 
Odgovor na temu

DeLacy
Novi Sad

Član broj: 23344
Poruke: 102
*.static.isp.telekom.rs.



+66 Profil

icon Re: NAT Overload i web connectivity08.09.2014. u 09:09 - pre 116 meseci
Citat:
dragancili: Nisam gledao citavu prepisku ali problem je poznat na PPPoE konekcijama kod nas I Cisco opremi...
Resenje - pod dialer interface stavi "mtu 1492" plus setuj TCP MSS sa "ip tcp adjust-mss 1452".

Mora da radi sa ovim podesavanjima...

Pozdrav,
Dragan



To je bilo to! Sada funkcioniše! Hvala mnogo.
 
Odgovor na temu

[es] :: Enterprise Networking :: NAT Overload i web connectivity

[ Pregleda: 3202 | Odgovora: 10 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.