Cisco 1921 con modem esterno Telecom VDSL2 (fibra)

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Buongiorno a tutti,
visto che telecom ha portato la "fibra" anche nel mio paesino, ho abbandonato la cara vecchia adsl a 2mbit...
In realtà si tratta di fibra fino all'armadio, e poi dall'armadio a casa mia va in VDSL2, a 30mbit, con ip pubblico dinamico. Effettivamente va davvero bene, con tempi di ping bassissimi e un upload effettivo.
Comunque... con la vecchia ADSL, avevo il mio cisco 1921 con HWIC adsl, e alcune VPN IPSEC site-to-site, dynamic dns, e altre amenità.
Trattandosi però ora di VDSL, ci sono due possibilità:
1) o mi compro la WIC VDSL, la scheda FXS (la fonia è in VOIP), e una IOS aggiornata, sperando di riuscire a configurare il tutto in conformità con Telecom
2) oppure lascio tutto come sta, e semplicemente utilizzo il modem/router fornito gratuitamente da Telecom, in cascata al mio, sfruttandolo come "modem" e come VOIP.

Tempo fa, sicuramente, mi sarei imbarcato nella avventura di cui al punto 1... adesso come adesso però non ho proprio tempo.... ho deciso quindi per il punto 2.

Allora... se utilizzo il modem Telecom in routed, lascio fare la connessione lui, si prende l'indirizzo ip pubblico e posso scordarmi le VPN ipsec. Giusto?
Quindi dovrei "disattivare" la connessione automatica, in questo modo dovrebbe andare in "bridged", e configurare sul 1921 un dialer pppoe, in modo da far assegnare l'ip pubblico al telecom, e poterci appoggiare la crypto map.

È questa la strada, giusto? O ci sono altre possibilità?

Grazie

Andrea
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
non conosco il router Telecom VDSL, ma se può funzionare da bridge sicuramente la seconda soluzione è più economica e veloce.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

ciao Paolo!
il router telecom è un Technicolor, se non vado errato.

Cmq ho fatto alcune prove, seguendo la seconda strada.

Ora la connessione PPPoE viene stabilita, e viene assegnato un indirizzo ip pubblico al Dialer0
Ho fatto il debug "PPP authentication" e "negotiation" e sembra tutto ok.
Però il pc non naviga.... o meglio, naviga a pezzi.... alcune pagine si aprono parzialmente, altre per niente.
Con il ping -t ho visto che nessun pacchetto viene perduto.
Se mi collego in desktop remoto su qualche server, funziona.
Sospetto sia un problema di MTU ma è impostato a 1450.... non capisco dove sta il problema, se è legato al protocollo o a cosa...

Ti posto la config:

Codice: Seleziona tutto

version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname XXXXXXXX
!
boot-start-marker
boot-end-marker
!
logging buffered 52000
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
ip dhcp excluded-address 192.168.68.1 192.168.68.149
ip dhcp excluded-address 192.168.68.200 192.168.68.254
!
ip dhcp pool pool_dhcp_1921
   network 192.168.68.0 255.255.255.0
   default-router 192.168.68.1 
   dns-server 208.67.222.222 208.67.220.220 
!
!
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
multilink bundle-name authenticated
!
license udi pid CISCO1921/K9 sn XXXXXXXXXX
!
username XXXXXX privilege xxxxxxxxxxxxxxxxxxxxxxxxxx
!
redundancy
!
interface GigabitEthernet0/0
 ip address 192.168.68.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
interface GigabitEthernet0/1
 no ip address
 ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 !
!
interface Dialer0
 ip address negotiated
 ip mtu 1450
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname aliceadsl
 ppp chap password 0 aliceadsl
 ppp pap sent-username aliceadsl password 0 aliceadsl
 no cdp enable
 !
!
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source route-map MY_RMAP_1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip access-list extended acl_nat_lisciocasa
 permit ip 192.168.68.0 0.0.0.255 any
!
route-map MY_RMAP_1 permit 1
 match ip address acl_nat_lisciocasa
!
control-plane
 !
!
line con 0
line aux 0
line vty 0 4
 login local
 transport input telnet
!
scheduler allocate 20000 1000
end

Grazie mille :)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Allora il

Codice: Seleziona tutto

dialer-group 1
non dovrebbe servire.
Prova a sostituire

Codice: Seleziona tutto

ip mtu 1450
con

Codice: Seleziona tutto

mtu 1492
.
Fammi sapere.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Ciao Paolo
Provato entrambi, niente da fare.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

liscio ha scritto:Ciao Paolo
Provato entrambi, niente da fare.
Puoi darmi l'accesso in remoto?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

edit: doppio post
Ultima modifica di liscio il mer 09 apr , 2014 7:49 pm, modificato 1 volta in totale.
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Ciao Paolo
certo! per l'accesso remoto non ho problemi.
ma credo di aver appena risolto!

... mi sono messo a rivedere le vecchie configurazioni (quelle con adsl e scheda HWIC) e ho visto che sul dialer avevo:

Codice: Seleziona tutto

ip mtu 1492
mentre invece sulla GigabitEth0/0 (ovvero quella verso la LAN) avevo:

Codice: Seleziona tutto

ip tcp adjust-mss 1412
così ho provato a mettere nel nuovo dialer questo:

Codice: Seleziona tutto

ip tcp adjust-mss 1420
e.... magia! tutto ha ripreso a funzionare....

allora ho tolto gli "adjust-mss" e abbassato ancora l'MTU del dialer:

Codice: Seleziona tutto

mtu 1420
e sembrava ok.... ma non proprio. alcune pagine web non andavano comunque bene.

così ho messo

Codice: Seleziona tutto

ip tcp adjust-mss 1412
e sembra andare meglio...

a parte la magia, c'è una spiegazione?
che differenza c'è tra "adjusti-mss" e "mtu"?
perchè ho dovuto abbassarlo? come faccio ad essere sicuro del valore "migliore"?

grazie mille, come sempre

Andrea
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
fai un ping esteso con dimensioni sempre maggiori e il bit df, così trovi la dimensione massima.
Oppure imposta MTU a 1400 e dovresti andare sul sicuro in tutte le sittuazioni (anche header IPSec).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Ok. Domani faccio delle prove.
Ma come mai devo abbassarlo così tanto?
Abbasso mtu o mss?
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

liscio ha scritto:Ok. Domani faccio delle prove.
Ma come mai devo abbassarlo così tanto?
Abbasso mtu o mss?
Potrebbe esserci qualche tunnel di mezzo nell'infrastruttura Telecom (magari non hanno ancora finito alcuni lavori nella rete).
Lavora su MTU (anche se MSS è correlato a MTU).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Hai provato?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Non ancora.... è stata una settimana pesante.
Conto di riuscire a fare dei test approfonditi, tra stasera e il weekend.

Grazie :)
liscio
Cisco fan
Messaggi: 73
Iscritto il: mer 29 mar , 2006 5:43 pm
Località: ancona

Ciao Paolo,
finalmente ho avuto un po' di tempo per fare dei test.... allora:

Tolto tutti i comandi MTU e adjust-mss da tutte le interfacce
Non navigo.
Utilizzando dal router il ping esteso, risulta OK.... non so se ho sbagliato a usare il comando... per sicurezza te lo riporto qui:

Codice: Seleziona tutto

Liscio1921#ping                          
Protocol [ip]: 
Target IP address: www.repubblica.it
Translating "www.repubblica.it"...domain server (208.67.222.222) [OK]
Repeat count [5]: 
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands [n]: y 
Source address or interface: 
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.92.16.171, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/24/24 ms
Ho provato ad utilizzare dal mio pc l'utility "mturoute.exe" ottengo un valore MTU di 1492

Imposto "MTU 1492" sulla dialer 0
Non navigo.

Imposto "MTU 1452" sulla dialer 0
Non navigo.

Imposto "MTU 1400" sulla dialer 0
Non navigo.

Imposto sulla dialer 0 "MTU 1492" e "ip tcp adjust-mss 1452"
Funziona tutto alla grande.

In sostanza.... posso abbassare MTU quanto voglio, non cambia nulla.... devo per forza settare adjust-mss.

Ho provato a leggere un po' di documentazione sul'mss... ma non è che ci ho capito molto.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

liscio ha scritto: In sostanza.... posso abbassare MTU quanto voglio, non cambia nulla.... devo per forza settare adjust-mss.
L'importante è che hai risolto. Se non sbaglio adjust-mss obbliga il PC e i server a non generare pacchetti con dati più di quanto impostato con il comando. Invece con MTU il router fragmenta (meno performante).
Ma non avevi già impostato il mss a 1452 e non andava?
Forse avevo capito male.

Paolo

P.S. Sono andato a ripassare. Meglio usare MSS per diversi motivi ;-)
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi