hdsl mc-link su 1721

[Hesse99]

Salve a tutti,
devo configurare per la prima volta un cisco 1721 per una hdsl.
Il fornitore mi ha dato un "template" iniziale sul quale settare password e ip; il risultato lo vedete sotto.

C'e' solo un problema: non funziona Non riesco a pingare dal router un qualsiasi ip (a parte quelli che trovo nella tabella delle rotte)

Mi basta una configurazione iniziale e funzionante per fare il check della linea.. poi, magari, posso fare qualche domanda più avanzata (ad esempio: come lo attacco un client? con quale default gateway? capirei se FastEthernet0 contenesse gli ip interni della Lan. Ma questi saranno problemi successivi

Grazie

#show run
Building configuration...

Current configuration : 1021 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
!
!
interface FastEthernet0
description connected to EthernetLAN
ip address <first ip of the public subnet> <Pubblic Subnet Mask>
speed auto
!
interface Serial0
no ip address
encapsulation frame-relay IETF
no fair-queue
!
interface Serial0.1 point-to-point
description Connessione SHDSL MC-link
no cdp enable
frame-relay interface-dlci 20 ppp Virtual-Template1
!
interface Virtual-Template1
ip address negotiated
ppp chap hostname <CODE>
ppp chap password 0 <PASSWD>
ppp pap sent-username <CODE> password 0 <PASSWD>
ppp ipcp route default
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
!
no ip http server
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end




"show interfaces" mostra le seguenti:
FastEthernet0 is up, line protocol is down
..
Internet address is <Pubblic Subnet IP>/<Subnet Public Mask CIDR>
...
Serial0 is up, line protocol is up
...
Serial0.1 is up, line protocol is up
..
Virtual-Access1 is up, line protocol is up
...
Internet address is 192.168.X.X/32
...
Virtual-Access2 is down, line protocol is down
....

Virtual-Template1 is down, line protocol is down
...

[Hesse99]

Ho trovato la seguente configurazione su questo forum, e devo dire che la capisco meglio. L'ho un po' rimaneggiata, chissà quanti errori ci avrò messo.

Ora la cosa importante è che riesco a connettermi in telnet sull'ip pubblico della Loopback0!

Eppure dal router -via console- non riesco a pingare niente. Davvero strano. Che sia un problema di nat?
Ovviamente dalla lan i client non riescono a uscire su internet.


#show run
Building configuration...

Current configuration : 1353 bytes
!
version 12.4
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
!
!
interface Loopback0
description LAN PUBBLICA
ip address <primo ip della subnet pubblica> 255.255.255.248
!
interface FastEthernet0
description LAN PRIVATA
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
!
interface Serial0
description Frame-Relay Net
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no fair-queue
!
interface Serial0.1 point-to-point
description Connessione SHDSL MC-link
ip nat outside
no cdp enable
frame-relay interface-dlci 20 ppp Virtual-Template1
!
interface Virtual-Template1
ip address negotiated
ppp chap hostname <CODE>
ppp chap password 0 <PSW>
ppp pap sent-username <CODE> password 0 <PSW>
ppp ipcp route default
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
!
no ip http server
ip nat inside source list 1 interface Loopback0 overload
!
access-list 1 permit any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
end

[paolomat75]

Ciao,
ma ti hanno fornito una user ed una password? Io ho configurato diverse hdsl ma di norma come informazione ho gli IP pubblici, il DLCI, l'IP punto punto.

Comunque comincia con il comando

Codice: Seleziona tutto

sh frame-relay pvc

e posta il risultato.

[Hesse99]

Ciao,
ma ti hanno fornito una user ed una password? Io ho configurato diverse hdsl ma di norma come informazione ho gli IP pubblici, il DLCI, l'IP punto punto.

Si, user e password. Qui sopra li ho chiamati <CODE> e <PSW>

Mi hanno dato un pacchetto di ip pubblici ( che da ora chiamerò A.B.C.D/29, per non fare confusione; ho pubblicato il router su A.B.C.(D+1) ) ma niente altro a parte un "template" di partenza; sapevano che volevo far da solo e un po' hanno cercato di aiutarmi

Nel template c'e' una riga con scritto "frame-relay interface-dlci 20 ppp Virtual-Template1" quindi suppongo che il dlci sia 20.
L'ip punto punto.. boh, ma mi sembra che sia "negoziata" all'inizio automaticamente, infatti ho già un serie di rotte preimpostate:

#show ip route
…
Gateway of last resort is X.Y.Z.K to network 0.0.0.0
X.Y.Z.0/32 is subnetted, 1 subnets
C X.Y.Z.K is directly connected, Virtual-Access1 <= l'ip punto punto del Serial0.1?
192.168.11.0/32 is subnetted, 1 subnets
C 192.168.11.132 is directly connected, Virtual-Access1 <= ???
A.0.0.0/29 is subnetted, 1 subnets <= questa non mi piace..
C A.B.C.D is directly connected, Loopback0 <= network pubblico; ip precedente a quello di Loopback0
S* 0.0.0.0/0 [1/0] via X.Y.Z.K <= default gateway


Ecco quello che mi chiedevi:
# sh frame-relay pvc

PVC Statistics for interface Serial0 (Frame Relay DTE)

Active Inactive Deleted Static
Local 1 0 0 0
Switched 0 0 0 0
Unused 0 0 0 0

DLCI = 20, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0.1

input pkts 37142 output pkts 34582 in bytes 1884220
out bytes 1683068 dropped pkts 0 in pkts dropped 0
out pkts dropped 0 out bytes dropped 0
in FECN pkts 0 in BECN pkts 0 out FECN pkts 0
out BECN pkts 0 in DE pkts 0 out DE pkts 0
out bcast pkts 0 out bcast bytes 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
pvc create time 14:28:54, last time pvc status changed 14:28:15
Bound to Virtual-Access1 (up, cloned from Virtual-Template1)



Grazie dell'aiuto!

[paolomat75]

Si il DLCI è 20 ed è corretto perché il PVC è ACTIVE.
Io proverei a fare un debug della negoziazione PPP per vedere se va a buon fine.
Quel 192.168.11.132 sulla Virtual-Access1 non mi piace, ma potrebbe essere anche corretto. Dipende da come hanno implementato la rete il gestore.

Fammi sapere.

Ciao

[Hesse99]

Ecco qua, posto l'ultima parte del debug della negoziazione ppp; l'ho ottenuta staccando e riattaccando il cavo V35
Mi conferma che "X.Y.Z.K" (stesso ip del post precedente) è il default route. Il 192.... è comunque negoziato, ma non so cosa sia.
Alla fine mi sembra tutto ok, no? Le interfacce sono tutte "up", a parte Virtual-Template1 e Virtual-Access2

...
*Mar 2 02:39:09.379: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Mar 2 02:39:09.379: Vi1 PPP: Using default call direction
*Mar 2 02:39:09.379: Vi1 PPP: Treating connection as a dedicated line
*Mar 2 02:39:09.379: Vi1 PPP: Session handle[1D000008] Session id[4]
*Mar 2 02:39:09.379: Vi1 PPP: Phase is ESTABLISHING, Active Open
*Mar 2 02:39:09.379: Vi1 LCP: O CONFREQ [Closed] id 11 len 10
*Mar 2 02:39:09.379: Vi1 LCP: MagicNumber 0x1D372DB2 (0x05061D372DB2)
*Mar 2 02:39:09.391: Vi1 LCP: I CONFREQ [REQsent] id 1 len 14
*Mar 2 02:39:09.395: Vi1 LCP: AuthProto PAP (0x0304C023)
*Mar 2 02:39:09.395: Vi1 LCP: MagicNumber 0xAD49201B (0x0506AD49201B)
*Mar 2 02:39:09.395: Vi1 LCP: O CONFACK [REQsent] id 1 len 14
*Mar 2 02:39:09.395: Vi1 LCP: AuthProto PAP (0x0304C023)
*Mar 2 02:39:09.395: Vi1 LCP: MagicNumber 0xAD49201B (0x0506AD49201B)
*Mar 2 02:39:11.371: Vi1 LCP: TIMEout: State ACKsent
*Mar 2 02:39:11.371: Vi1 LCP: O CONFREQ [ACKsent] id 12 len 10
*Mar 2 02:39:11.371: Vi1 LCP: MagicNumber 0x1D372DB2 (0x05061D372DB2)
*Mar 2 02:39:11.379: Vi1 LCP: I CONFACK [ACKsent] id 12 len 10
*Mar 2 02:39:11.379: Vi1 LCP: MagicNumber 0x1D372DB2 (0x05061D372DB2)
*Mar 2 02:39:11.379: Vi1 LCP: State is Open
*Mar 2 02:39:11.383: Vi1 PPP: Phase is AUTHENTICATING, by the peer
*Mar 2 02:39:11.383: Vi1 PAP: Using hostname from interface PAP
*Mar 2 02:39:11.383: Vi1 PAP: Using password from interface PAP
*Mar 2 02:39:11.383: Vi1 PAP: O AUTH-REQ id 2 len 18 from "<USERNAME CODE>"
*Mar 2 02:39:12.943: Vi1 PAP: I AUTH-ACK id 2 len 5
*Mar 2 02:39:12.943: Vi1 PPP: Phase is FORWARDING, Attempting Forward
*Mar 2 02:39:12.943: Vi1 PPP: Queue IPCP code[1] id[1]
*Mar 2 02:39:12.943: Vi1 PPP: Phase is ESTABLISHING, Finish LCP
*Mar 2 02:39:12.943: Vi1 PPP: Phase is UP
*Mar 2 02:39:12.947: Vi1 IPCP: O CONFREQ [Closed] id 1 len 10
*Mar 2 02:39:12.947: Vi1 IPCP: Address 0.0.0.0 (0x030600000000)
*Mar 2 02:39:12.947: Vi1 PPP: Process pending ncp packets
*Mar 2 02:39:12.947: Vi1 IPCP: Redirect packet to Vi1
*Mar 2 02:39:12.947: Vi1 IPCP: I CONFREQ [REQsent] id 1 len 10
*Mar 2 02:39:12.947: Vi1 IPCP: Address X.Y.Z.K (0x0306D5158136)
*Mar 2 02:39:12.947: Vi1 IPCP: O CONFACK [REQsent] id 1 len 10
*Mar 2 02:39:12.947: Vi1 IPCP: Address X.Y.Z.K (0x0306D5158136)
*Mar 2 02:39:12.955: Vi1 IPCP: I CONFNAK [ACKsent] id 1 len 10
*Mar 2 02:39:12.955: Vi1 IPCP: Address 192.168.11.132 (0x0306C0A80B84)
*Mar 2 02:39:12.959: Vi1 IPCP: O CONFREQ [ACKsent] id 2 len 10
*Mar 2 02:39:12.959: Vi1 IPCP: Address 192.168.11.132 (0x0306C0A80B84)
*Mar 2 02:39:12.967: Vi1 IPCP: I CONFACK [ACKsent] id 2 len 10
*Mar 2 02:39:12.967: Vi1 IPCP: Address 192.168.11.132 (0x0306C0A80B84)
*Mar 2 02:39:12.967: Vi1 IPCP: State is Open
*Mar 2 02:39:12.971: Vi1 IPCP: Install negotiated IP interface address 192.168.11.132
*Mar 2 02:39:12.971: Vi1 IPCP: Install default route thru X.Y.Z.K
*Mar 2 02:39:12.975: Vi1 IPCP: Install route to X.Y.Z.K
*Mar 2 02:39:12.975: Vi1 IPCP: Add link info for cef entry X.Y.Z.K
*Mar 2 02:39:13.943: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to p

[paolomat75]

Guarda il messaggio

Codice: Seleziona tutto

I CONFNAK [ACKsent] id 1 len 10

dovrebbe indicare che il sistema locale e quello remoto non combaciano come impostazioni.

Come ti ho detto di norma non uso PPP sulle HDSL, però se il template te l'hanno dato loro è strano che non combaciano.

[Hesse99]

Guarda il messaggio

Codice: Seleziona tutto

I CONFNAK [ACKsent] id 1 len 10

dovrebbe indicare che il sistema locale e quello remoto non combaciano come impostazioni.

Come ti ho detto di norma non uso PPP sulle HDSL, però se il template te l'hanno dato loro è strano che non combaciano.

L'ultima conf. è un po' rimaneggiata, quindi ho rimesso quella iniziale e rieseguito il debug.. tutto uguale! Stessa tabella delle rotte e stesso ouput del comando "sh frame-relay pvc".

Sei sicuro che il log che hai indicato indichi un problema? A occhio non mi dice niente.. solo che il messaggio con ID 1 è lungo 10.

Ora che ci penso: l'istallazione della linea ha impegnato un tecnico telecom per più di un giorno.. diceva frasi come "si sincronizza ma.." eppoi non capivo niente. Ha dovuto fare almeno un paio di interventi in azienda. Spero non ci sia un problema a monte

[Hesse99]

Sei sicuro che il log che hai indicato indichi un problema? A occhio non mi dice niente.. solo che il messaggio con ID 1 è lungo 10.

Mi rispondo da solo

http://www.cisco.com/en/US/tech/tk175/t ... a69d.shtml

"
Whether it is an I or an O packet, a Configure-Negative-Acknowledge (CONFNAK) is indicative of a PPP configuration mismatch.
...
If the CONFNAK is sent by your ISP (indicated by "I CONFNAK"), you have configured an option on the Cisco DSL Router that your ISP is not willing to perform.
...
The line after the CONFNAK describes the option that is rejected
"

anche se per ora non mi è di grande aiuto

[paolomat75]

Guarda da quanto ne so quel errore può essere per un problema di configurazione del ISP.
Prova a sentirli e fammi sapere quello che ti dicono.

Buona serata

[Hesse99]

Funziona! O quasi..
Sono tornato alla prima configurazione, quella dove FastEthernet0 era pubblicata su internet.

Ho collegato un pc alla lan del router, gli ho messo il gateway che ho visto nella configurazione del router X.Y.Z.K (ma che l'ISP non mi aveva dato), e gli ho impostato un'altro ip pubblico A.B.C.D+1

Risultato: il pc naviga benissimo!

Il problema è che dal router non riesco comunque a pingare niente! Che senso ha? Traceroute riesce comunque a ottenere qualcosa, ma il ping no.

Mi prende un dubbio: ho comprato il 1721 usato, non ha ancora nessuna password, e ho supposto che fosse "pulito".. non ci sarà, al contrario, qualche settaggio che può dar noia? Oppure con "show run" vedo già tutto?

Domani chiamo l'ISP, sento cosa mi dice.

Non sto a testare l'ultima configurazione (lan+wan) perchè dovrei configurare il nat e non sono sicuro di saperlo fare velocemente.

[paolomat75]

Ok. Fammi sapere cosa ti dicono.

[Hesse99]

Sono stato messo in contatto con i tecnici MC-Link, ed ecco qua le risposte relative alla prima configurazione, cioè quella di "test" che forniscono loro e che sono riuscito a far funzionare ( http://www.mclink.it/download/acrobat/h ... DSL_TI.txt )

- collegando un pc sulla lan del cisco devo mettere come gateway l'ip che ho messo sul router, sotto FastEthernet0, che sarebbe poi l'ip pubblico del cisco. Ecco perchè loro non forniscono il gateway X.Y.Z.K che viene ottenuto dal cisco dai loro server in fase di collegamente: non serve, e probabilmente non è fisso (ma questo non l'ho chiesto). Ho testato il "nuovo" gateway e funziona.

- il ping non funziona perchè "il back-2-back è interno.. manca l'indirizzo di broadcast.. aspe', guardo.." (che ha detto?).. soluzione: devo usare gli "extended commands" del ping, fornendo come source l'ip pubblico del router, ved. sotto:

Router#ping
Protocol [ip]:
Target IP address: 8.8.8.8
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: FastEthernet0
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of A.B.C.D
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/50/52 ms


Da notare che con questa configurazione il ping non funziona fino a quando non c'e' collegato un pc, anche usando gli extented.
Se non c'e' un pc collegato non è possibile nemmeno pingare il cisco da internet, e nemmeno connettersi in telnet.. insomma, la conf. di test a me non piace affatto.

Comunque ora funziona e mi è stato spiegato tutto.
Viaggia a 1.7Mb up/down, più o meno.

Ora riconfiguro tutto passando a lan+wan con nat 1:1 o 1:n
Se avrò problemi col nat aprirò un altro thread ma, tolti i problemi con l'isp, il cisco non mi sembra poi così ostico da configurare.

Buona giornata

[paolomat75]

- il ping non funziona perchè "il back-2-back è interno.. manca l'indirizzo di broadcast.. aspe', guardo.." (che ha detto?).. soluzione: devo usare gli "extended commands" del ping, fornendo come source l'ip pubblico del router, ved. sotto:

Questa cosa del indirizzo di broadcast non l'ho capita. Probabilmente siccome loro usano indirizzi privati sul link naturalmente non puoi uscire con quel IP in internet. Per la cosa del gateway sono pienamente d'accordo che devi usare l'indirizzo sulla Fastethernet.

Ok se hai bisogno sono qua.

Ciao

P.S. Beato te che hai 1,7Mb . Io con un mega garantito non vado più di 1,35 in down ed esagerando 1,2 in UP (spesso 0,5 in up).

[Hesse99]

Può darsi che con "broadcast" parlasse a ruota libera cercando di capire.. certamente io non ho capito nulla, mai visto un collegamento così

Andremo anche a 1.7Mb, ma in questa zona ci lasciano a piedi quasi due o tre giorni l'anno! Due anni fa abbiamo avuto a terra 5 isdn e due adsl per 4 giorni consecutivi..

Ora, ovviamente, il nat non funziona. Potrei scommettere che è questa connessione particolare a non farmi nattare..