Добрый день всем!

Помогите советом: пришёл в контору работать. Сделана сеть в разных зданиях на разных улицах, объединена микротиками через EoIP в режиме бриджа. Но пароль от микротиков утерян во мраке времён. В "головном" офисе есть самба. По команде "сверху" пришлось сбрасывать микротик и восстанавливать конфигурацию. В принципе, всё поднялось - интернет бегает, но вот на сервер самбы из сегмента сети за микротиком зайти никак не могу. Ни по smb, ни по ssh. Пакетики на самбе вижу как входящие, так и исходящие; на микротике - тоже. Но на клиенте адреса самба-сервера в списке арп-ов нет. :( Где-то что-то я не доделал. : К сожалению, опыта работы с микротиками нет - есть некоторое понимание происходящего на базе знаний по линуксу, но местами микротики специфичные. :(

Список правил на микротике (возможно что-то лишнее):

/ip firewall filter add action=accept chain=output comment="eoip to main office" dst-address=xx.xx.46.58 out-interface=WAN protocol=gre src-address=xx.xx.251.158
/ip firewall filter add action=accept chain=input comment="winbox access" dst-port=8291 protocol=tcp
/ip firewall filter add action=accept chain=input comment="web access" dst-port=80 in-interface=!WAN protocol=tcp
/ip firewall filter add action=reject chain=input comment="SSH for secure shell" in-interface=WAN protocol=tcp reject-with=icmp-network-unreachable src-port=22
/ip firewall filter add action=accept chain=input dst-port=22 protocol=tcp
/ip firewall filter add action=accept chain=input comment="Accept established connections" connection-state=established
/ip firewall filter add action=accept chain=input comment="Accept related connections" connection-state=related
/ip firewall filter add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
/ip firewall filter add action=accept chain=input comment=ping protocol=icmp
/ip firewall filter add action=accept chain=forward comment="local net" src-address=10.40.10.0/24
/ip firewall filter add action=drop chain=input comment="Drop everything else"
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN
/ip firewall nat add action=netmap chain=dstnat comment=DVR dst-address=xx.xx.251.158 dst-port=64080 in-interface=WAN protocol=tcp to-addresses=10.40.10.200 to-ports=80

Сейчас такой стек:
* 1 30    WS-C3750E-24TD     12.2(55)SE1           C3750E-IPBASEK9-M        
     2 54    WS-C3750X-48       12.2(55)SE1           C3750E-IPBASEK9-M        
     3 28    WS-C3750G-24TS-1U  12.2(55)SE1           C3750-IPBASEK9-M        
     4 28    WS-C3750G-24TS-1U  12.2(55)SE1           C3750-IPBASEK9-M
Последние два коммутатора доживают свой срок, а вот 3750E 3750X несут модули 10G для связи в разные стороны.
Может ли WS-C3850 работать в одном стеке с 3750E? с 3750X?

Какая из подмоделей WS-C3850 может одновременно нести 4 линка на 10Гб (как можно дешевле)?
Я не понимаю, описание Optional Network Module тут:
https://www.cisco.com/c/en/us/products/switches/catalyst-385...
Например,  4 x 1 GE  2 x 10 GE  означает, что или 4 SFP-порта на 1Гб, или два на 10Гб.
А что означает приписанное дальше 4 x 10 GE?

Здравствуйте, есть ASA5506, где настройки авторизации такие:

aaa-server server1 protocol radius
aaa-server server1 (inside) host 192.168.2.3
key *****
user-identity default-domain LOCAL
aaa authentication ssh console server1 LOCAL

На server1 настроен NPS и соответствующий radius-клиент создан, в политике в аттрибутах добавлено shell:priv-lvl=15

Когда захожу на роутер 2101 под логином в домене, попадаю сразу в enable, а на  этот файерволл ASA5506 нет. Может кто сталкивался?

aaa authorization exec authentication-server auto-enable

не помогает

Понимаю, что тема изжована вдоль и поперек, но у меня есть проблема при сохранении конфига на  FTP

На виндовом сервере поднят FTP сервер
Через тотал командер без проблем захожу, создаю и удаляю файлы. Соответственно пара логин и пароль работает корректно.
Далее на железках 2960 прописываю
archive
path ftp://10.33.30.52/SW-1-1-1
write-memory

и
ip ftp username cisco
ip ftp password cisco

Набираю команду - wr

получаю сообщение
SW.1.1.1#wr
Building configuration...
[OK]
Writing SW-1-1-1Jul-17-08-12-15-1

Но на FTP сервере конфига нет
Пинга с 2960 до ftp сервера нет
Но при этом на 4948 пинга нет до фтп, но конфиг без проблем кладется
на 3850 пинг есть и конфиг кладется.
Где промахнулся? Сможете подсказать? Все же банально просто, но не работает.
Спасибо!

Здравствуйте Уважаемые знатоки!
Прошу помощи для решения проблемы.
Имею 1 центральный офис (cisco 2921+3560) и 5 отделений (cisco 881). Отделения с центром соединены через L2 канал.Каждое отделение отдельный Vlan. В каждом отделении свой провайдер интернет.
1 отдел - 10.2.30.0/24
2 отд - 10.2.40.0/24
3 - 10.2.50.0/24
4 - 10.2.60.0/24
5 - 10.2.70.0/24
На центральном офисе есть 2 провайдера (новый и старый). Новый подключен к 2921, старый - Mikrotik.
Все пользователи в центральном офисе работают через новый провайдер. НО есть некоторые сайты которые открываются только через старый провайдер.
Периодически на некоторых отделениях отваливается интернет.
Вопрос: Есть ли какой то механизм который позволит прокинуть маршрут в интернет одного отделения(881 -> 2921 -> 3560 -> Mikrotik) через микторик не заципая всех остальных? Например какое-то правило типа если сеть источник 10.2.50.0/24 то все запросы в интернет отправляй на микротик.

Здравствуйте, есть несколько маршрутизаторов в разных офисах cisco 29XX, соеденены между собой посредством nhrp, в облаке vpn поднята backbone area ospf, в нее роутеры ретранслируют маршруты других протоколов в lsa5. На DR в этой зоне сделал фильтрацию acl:

access-list 11 permit 192.168.21.0 0.0.0.255
access-list 11 permit 192.168.22.0 0.0.0.255
access-list 11 permit 192.168.23.0 0.0.0.255
access-list 11 permit 192.168.24.0 0.0.0.255
access-list 11 permit 192.168.25.0 0.0.0.255
access-list 11 permit 192.168.26.0 0.0.0.255
access-list 11 permit 192.168.27.0 0.0.0.255
access-list 11 permit 192.168.190.0 0.0.0.255
access-list 11 deny   any

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
no passive-interface Tunnel 1
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0
distribute-list 11 out

Но вижу, что в ip ospf database на других роутерах с этого роутера попадают все маршруты, а не только те, что разрешил фильтром. ПОрылся в инете, вроде пишут, что lsa 5 не получается фильтровать. Кто-нибудь сталкивался? Как-то можно это побороть фильтрами?
Или сделать 2 процесса ospf и из area2 в area например 10 сделать ретрансляцию с фильтом acl?

Здравствуйте!

С древних времен VPN создан на cisco 2800, которая перенаправляла запросы на радиус сервер, где проходит авторизация. Т.е на nps сервере добавлена группа AD. Чисто случайно заметил, что человек не состоящий в доменной группе, настроил и подключился к VPN используя свои логин и пароль домена.

На радиус сервере циска как клиент присутствует.

В свойствах учетной записи пользователя, на вкладке Входящие звонки параметр Разрешить доступ стоит - Управление доступом на основе политики сети NPS

Вывод с циски

2811#sh run | i radius
aaa authentication ppp default group radius local
radius-server host 10.3.0.34 auth-port 1645 acct-port 1646   - это радиус другого домена
radius-server host 10.3.0.23 auth-port 1645 acct-port 1646   - это мой радиус
radius-server key 7

Мой НПС сервер по мимо ВПН, еще и к корпоративному wifi доступ разрешает.

Соответственно в логах помимо ВПН еще и вайфайное подключение фигурирует по юзеру - BAA

Посмотрел логи до интересующей меня даты в них нет строки с "NPS" и с названием группы "VPN Allow"

Можете подсказать в решении проблемы?
Как мне правильно debug посмотреть на cisco?

В тестовых целях на тоннеле был поднят PMTUD:
interface Tunnel103
description Encrypted tunnel
ip address xxx.21.1.23 255.255.255.240
no ip redirects
no ip proxy-arp
ip mtu 1416
ip nhrp authentication men3tat!
ip nhrp map multicast dynamic
ip nhrp map xxx.21.1.17 xxx.30.0.2
ip nhrp map multicast xxx.30.0.2
ip nhrp network-id 1921
ip nhrp nhs xxx.21.1.17
ip nhrp registration no-unique
ip tcp adjust-mss 1376
tunnel source xxx.30.3.2
tunnel mode gre multipoint
tunnel key 798
tunnel path-mtu-discovery
tunnel path-mtu-discovery min-mtu 1416
tunnel protection ipsec profile _vtprofile
tunnel bandwidth transmit 10000
tunnel bandwidth receive 10000

после чего в выводе sh int tun103:
Fast tunneling enabled
  Path MTU Discovery, ager 10 mins, min MTU 1416
  Path destination 172.30.0.2: MTU 0, expires never

И наблюдаются некоторые странности в прохождении больших пакетов..
Пытаюсь отключить PMTUD:
в интерфейсе тоннеля даю команду
no tunnel path-mtu-discovery
и всё, тоннель отваливается и больше не строится, спасает только ранее запланированная перезагрузка удалённого роутера.
Как правильно отключить PMTUD?

Есть два филиала и центральная точка, на базе Cisco 2811 подняты multipoint gre+ipsec туннели, их настройка, идентичная на всех трёх роутерах:

interface Tunnel103
description
ip address
no ip redirects
ip mtu 1416
ip tcp adjust-mss 1376
ip nhrp authentication men3tat!
ip nhrp map multicast dynamic
ip nhrp map
ip nhrp map multicast
ip nhrp network-id 1921
ip nhrp nhs
ip nhrp registration no-unique
tunnel source
tunnel mode gre multipoint
tunnel key 798
tunnel protection ipsec profile _vtprofile
!

Туннели работают, всё хорошо, но!
Если из сетей филиала пинговать узлы центрального офиса командой
ping -M do -s 1450 и подбирать размер, то при превышении размера одного пакета в одном филиале получаем в выводе команды максимальный MTU 1446, в другом - 1416. Почему так может быть? Всё одинаковое на узлах, кроме оборудования провайдера, в нём может быть причина? Откуда берётся значение 1446?
Выводы sh ip int одинаковы в части MTU

Здравствуйте.
Как такое может быть?
Catalyst 4510. На vlan интерфейсе применена ip access-group VALN-910-OUT out

interface Vlan910
description TEST
ip dhcp relay information trusted
ip address 172.23.240.254 255.255.255.0
ip access-group VALN-910-OUT out

Вот сам ACL:

sh access-lists VALN-910-OUT
Extended IP access list VALN-910-OUT
    10 permit ip any 172.23.240.0 0.0.0.255 (529 matches)
    20 permit ip 172.23.240.0 0.0.0.255 any (6 matches)

Каким образом в ACL отрабатывают оба правила в разных направлениях? Ведь должен рассматриваться
только трафик по первому правилу - из интерфейса в vlan.

Подскажите. Можно ли настроить, чтоб маршрутизатор автоматически разрывал vpn сессии, которые пользователь забыл отключить? Неактивные сеансы. Либо к примеру, раз в сутки разрыв всех сессий.

Желаю Здравие,

Вот случившие, маршрутизатор H соединен с маршрутизатором I, который соединен к 2 другим маршрутизаторов, L и M.

маршрутизатор M не под моей власти.

Есть 2 ip телефона подключены к L и они соединяются к cucm на маршрутизаторе M так как маршрутизатор M имеет статистические маршруты для них и маршрутизатор H имеет статистические маршруты для cucm.

А теперь, одного телефона переместили к сети маршрутизатора H. Место того чтоб настроить статистический маршрут на маршрутизаторе M для новой сети, На нас нагрузили сделать нат для существующию сеть в новом месте.

Так вот в чем дело: Телефон регистрируется но звук слышен только в одну сторону. А именно, если мы звоним кого нибудь который подключен к маршрутизатору L, тогда только они слышат нас. Если позвоним кому нибудь на маршрутизаторе M, тогда только они могут слышать нас! Я подключил ноутбук к ip телефону и запустил wireshark, и не получил rtp сообщения, и это меня наводит на идею что rtp сообщения не переключается в нужное направления.

И вот Конфигурация:

маршрутизатор H:

vpn tunnel 10

ip nat outside

int G0/0.5
description Voice
encapsulation dot1Q 5
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in

ip nat inside source static 192.168.1.1 192.168.101.1

сеть 192.168.101.0/24 подключена на subinterface на маршрутизаторе L.

маршрутизатор H

sh ip route | i 192.168.101

      192.168.101.0/32 is subnetted, 1 subnets
S        192.168.101.1 [1/0] via 192.168.198.1

default route получен из других маршрутизаторов

  0.0.0.0/0 [***/54217] via 172.19.147.1, 1w0d, Tunnel1

маршрутизатор I :

sh ip rout | i 192.168.101
      192.168.101.0/24 is variably subnetted, 2 subnets, 2 masks

        192.168.101.0/24 [***/2024] via 10.26.11.2, 7w0d, Port-channel10.27
        192.168.101.7/32 [***/53046] via 172.19.147.17, 1w0d, Tunnel1

Зная что старое местность соединяется  без проблем к маршрутизатору M!

Я пробовал добавить:

ip nat service sip tcp 5060

ip nat service allow-sip-even-rtp-ports

Но они и так по умолчанию являются.

Кто нибудь сталкивался с таким? надо ли делать port forwarding?

Казалось бы, тем раскрыта, но за два дня не смог ничего сделать.
Сделаны multipoint gre + ipsec туннели, в филиалах стоят 2811 с VPN модулями.
И в одном филиале при прокачке трафика в одну сторону - честные 10 мегабит при низкой загрузке, в обратную - еле 5 мегабит и загрузка 99/60, в задачах - ip input 50% cpu
только при прокачке в медленную сторону по sh ip traf растёт счётчик fragmented.
почитал доки, проверил в тоннеле ip mtu 1416 и ip tcp adjust-mss 1376.
С этими же настройками другие филиалы работают быстро, а один - нет.
cef включен.
Снял дебаг во время высокой загрузки - ничего оттуда не вынес...
*Jul 5 10:46:56.269: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:56.269: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB
*Jul 5 10:46:56.269: IP: s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), len 104, sending, proto=47
*Jul 5 10:46:56.473: IP: tableid=0, s=xxx.30.0.2 (FastEthernet0/1), d=xxx.30.3.2 (FastEthernet0/1), routed via RIB
*Jul 5 10:46:56.473: IP: s=xxx.30.0.2 (FastEthernet0/1), d=xxx.30.3.2 (FastEthernet0/1), len 68, rcvd 3, proto=47
*Jul 5 10:46:57.269: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:57.269: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB
*Jul 5 10:46:57.269: IP: s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), len 604, sending, proto=47
*Jul 5 10:46:57.269: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:57.269: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB
*Jul 5 10:46:57.269: IP: s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), len 604, sending, proto=47
*Jul 5 10:46:57.273: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:57.273: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB
*Jul 5 10:46:57.273: IP: s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), len 72, sending, proto=47
*Jul 5 10:46:57.277: IP: tableid=0, s=xxx.30.0.2 (FastEthernet0/1), d=xxx.30.3.2 (FastEthernet0/1), routed via RIB
*Jul 5 10:46:57.277: IP: s=xxx.30.0.2 (FastEthernet0/1), d=xxx.30.3.2 (FastEthernet0/1), len 68, rcvd 3, proto=47
*Jul 5 10:46:57.281: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:57.281: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB
*Jul 5 10:46:57.281: IP: s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), len 604, sending, proto=47
*Jul 5 10:46:57.285: IP: tableid=0, s=10.36.163.130 (local), d=10.36.240.21 (Tunnel103), routed via FIB
*Jul 5 10:46:57.285: IP: tableid=0, s=xxx.30.3.2 (local), d=xxx.30.0.2 (FastEthernet0/1), routed via FIB

Народ, у кого используются 6500 и 7600, в последнее время у вас не появились частые перезагрузки?
у меня 2 железки начиная с 25 июня периодически по 2-3 раза в день переходя в перезагрузку без всяких  видимых причин.
софт уже обновил. конфиг 100раз перепроверил, крешфайлы почитал.  танцы с бубном устраивал. во всех случаях  перезагрузка вызвана программным сбоем.
что может быть?

Здравствуйте, есть 2 роутера cisco 29XX, между ними поднят nhrp, первый в режиме хаба, второй спок. В dmvpn поднят ospf и вижу что с хаба на спок приходит ненужный маршрут, не пойму почему такое происходит. Вот конфиг хаба:

interface Tunnel1
ip address 192.168.35.1 255.255.255.240
no ip redirects
ip nhrp authentication 111
ip nhrp network-id 123123
ip ospf network broadcast
ip ospf hello-interval 60
ip ospf priority 10
ip ospf mtu-ignore
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 123123

interface GigabitEthernet0/0
description LAN
ip address 192.168.32.18 255.255.255.248
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip policy route-map rt_inet
duplex auto
speed auto
!
interface GigabitEthernet0/1
description WAN 1
ip address X.X.26.164 255.255.255.248 secondary
ip address X.X.26.163 255.255.255.248
ip access-group incoming in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in max-fragments 64 max-reassemblies 1024
ip virtual-reassembly out max-fragments 64 max-reassemblies 1024
duplex auto
speed auto
no cdp tlv app
!
interface GigabitEthernet0/2
description RT
ip address Z.Z.88.114 255.255.255.248
ip access-group incoming in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in max-fragments 64 max-reassemblies 1024
ip virtual-reassembly out max-fragments 64 max-reassemblies 1024
duplex auto
speed auto
no cdp tlv app

!
router ospf 11
router-id 192.168.32.18
passive-interface default

no passive-interface Tunnel 1
no passive-interface GigabitEthernet0/0
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0
!

Т.е. он по ospf в dmvpn зону backbone 0 пересылает маршруты из area 2 и соотвественно сети указанные в router ospf 11.

На споке конфиг:

interface Tunnel1
ip address 192.168.35.7 255.255.255.240
no ip redirects
ip nhrp authentication 111
ip nhrp map multicast Z.Z.88.114
ip nhrp map 192.168.35.1 Z.Z.88.114
ip nhrp network-id 123123
ip nhrp holdtime 60
ip nhrp nhs 192.168.35.1
ip nhrp registration timeout 60
ip ospf network broadcast
ip ospf hello-interval 60
ip ospf priority 0
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 123123

!

interface GigabitEthernet0/0
description WANMain
ip address Y.Y.123.165 255.255.255.192
ip access-group incoming in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in max-fragments 64 max-reassemblies 1024
ip virtual-reassembly out max-fragments 64 max-reassemblies 1024
ip tcp adjust-mss 1460
duplex auto
speed 100
no cdp tlv app
!
interface GigabitEthernet0/1
description LAN
ip address 192.168.32.2 255.255.255.248
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip policy route-map rostelekom-inet
duplex auto
speed auto
!
interface GigabitEthernet0/2
description BACKUP WAN
ip address Y.Y.208.154 255.255.255.248
ip access-group incoming in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp tlv app

!

router ospf 11
router-id 192.168.32.2
passive-interface default
no passive-interface GigabitEthernet0/1

no passive-interface Tunnel 1
network 192.168.32.0 0.0.0.7 area 1
network 192.168.35.0 0.0.0.15 area 0
!

Но на споке при поднятом ospf backbone 0 вижу маршрут от хаба:

O E2 X.X.26.160/29 [110/20] via 192.168.35.1, 00:04:59, Tunnel1

эта сеть закреплена на интерфейсе GigabitEthernet0/1 хаба, который не участвует в ospf.

Как такое может быть тогда?

Ребята, привет. Все форумы облазил. Ответа не нашел. Может тут подскажут.
В общем на границе сети есть ASA 5510 (версия 9.1)
В DMZ находиться сервер, к которому с наружи по 443 подключаются клиенты.
Вопрос вот в чем, на серваке иногда нужно смотреть адрес, откуда к нему приходило подключение.
Так вот, внешний адрес я не вижу, вместо него вижу адрес шлюза DMZ.

Уже не знаю куда копать, перед прошивкой на версию 9.1 проблем не было.
Я так понимаю тут либо access-list, либо NAT как то не так настроен,либо еще что то.
Может есть мысли?
Спасибо!

Здравствуйте, эксплуатируем файерволл cisco ASA5506. НИкаких шейперов не настроено, но заметил, что с недавних пор эта железка стала резать исходящую скорость. ПРовайдер предоставляет 100Мбит/с, исходящая мереется в районе 4-5Мбитс.

Cisco Adaptive Security Appliance Software Version 9.6(4)6
Device Manager Version 7.9(1)151

interface GigabitEthernet1/1
nameif r2921
security-level 95
ip address 192.168.32.1 255.255.255.248
ospf priority 0
!
interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 192.168.31.10 255.255.255.248
policy-route route-map pbr_inet_via_asa
!
route-map pbr_inet_via_asa permit 9
match ip address pbr_to_cme
set ip next-hop 192.168.32.2
set interface r2921

!
route-map pbr_inet_via_asa permit 10
match ip address pbr_to_infolada
set ip next-hop 192.168.32.2
set interface r2921

!

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect pptp
  inspect ftp
policy-map rate-limit
!
service-policy global_policy global
prompt hostname context

Кто-нибудь сталкивался с таким поведением ASA5506?

Здравствуйте, есть 2 роутера, между которыми поднято 2 dmvpn. Настройки HUB

interface Tunnel1
ip address 192.168.35.1 255.255.255.240
no ip redirects
ip nhrp authentication 11111111
ip nhrp network-id 11111111
ip ospf network broadcast
ip ospf hello-interval 60
ip ospf priority 10
ip ospf mtu-ignore
cdp enable
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 11111111
!
interface Tunnel2
ip address 192.168.36.1 255.255.255.240
no ip redirects
ip nhrp authentication 22222222
ip nhrp network-id 22222222
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 22222222
!

Настройки спока:

interface Tunnel1
ip address 192.168.35.7 255.255.255.240
no ip redirects
ip nhrp authentication 11111111
ip nhrp map multicast x.x.x.163
ip nhrp map 192.168.35.1 x.x.x.163
ip nhrp network-id 11111111
ip nhrp holdtime 60
ip nhrp nhs 192.168.35.1
ip nhrp registration timeout 60
ip ospf network broadcast
ip ospf hello-interval 60
ip ospf priority 0
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 11111111
!
interface Tunnel2
ip address 192.168.36.7 255.255.255.240
no ip redirects
ip nhrp authentication 22222222
ip nhrp map multicast x.x.x.114
ip nhrp map 192.168.36.1 x.x.x.114
ip nhrp network-id 22222222
ip nhrp holdtime 60
ip nhrp nhs 192.168.36.1
ip nhrp registration timeout 60
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 22222222

Так вот из сети за споком я пингую адрес хаба в туннеле 1 (192.168.35.1), а адрес хаба в туннеле 2 (192.168.36.1) не пингую. Из сети за хабом я пингую все интерфейсы туннелей спока.
Также со всех интерфейсов спока я пингую адрес хаба в туннеле 2. почему же из сети за споком недотупен 192.168.36.1

!
interface GigabitEthernet0/0
description $ETH-WAN$
ip address xxx.xxx.xxx.xxx 255.255.255.248 // ISP1
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
service-policy output Voice-QoS
!
interface GigabitEthernet0/1
description $ETH-WAN$
ip address yyy.yyy.yyy.yyy 255.255.255.0 //ISP2
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface Vlan1
description Dvuhetashka
ip address 192.168.1.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Vlan2
description AZSVod20
ip address 10.10.0.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
!
router ospf 1
log-adjacency-changes
passive-interface GigabitEthernet0/0
passive-interface Vlan2
network 10.0.0.0 0.0.0.255 area 0
network 10.10.0.0 0.0.0.255 area 1
!
ip local policy route-map local-policy
ip local pool test 192.168.1.100 192.168.1.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xx1 permanent // Getway ISP1
!
ip nat inside source list 3 interface GigabitEthernet0/0 overload
ip nat inside source route-map prov1 interface GigabitEthernet0/0 overload
ip nat inside source route-map prov2 interface GigabitEthernet0/1 overload
!
access-list 1 permit xxx.xxx.xxx.xxx
access-list 2 permit yyy.yyy.yyy.yyy
access-list 3 permit any
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit any
access-list 101 permit ip 10.10.0.0 0.0.0.255 any
access-list 102 permit ip 192.168.0.0 0.0.255.255 any
snmp-server community n RO
!
route-map prov2 permit 20
match ip address 102
match interface GigabitEthernet0/1
!
route-map prov1 permit 10
match ip address 101
match interface GigabitEthernet0/0
!
route-map local-policy permit 10
match ip address 1
set ip next-hop xxx.xxx.xxx.xx1
!
route-map local-policy permit 20
match ip address 2
set ip next-hop yyy.yyy.yyy.yy1
!

Добрый день, в сети много тем про настройку sip-ua для 2х операторов, но вот заметил

есть конструкция

sip-ua
credentials username user1 password 7 passwd1 realm sip1.example.com
authentication username user1 password 7 passwd1 realm sip1.example.com
registrar dns:sip1.example.com expires 3600
sip-server dns:sip1.example.com
!

Если я изменяю registrar на registrar 1, чтобы потом добавить данные для регистрации у второго оператора. То звонки через первого перестают проходить, отбиваются как forbidden, хотя show sip-ua register status показывает что регистрация есть:

--------------------- Registrar-Index  1 ---------------------

Line                             peer       expires(sec) reg survival P-Associ-URI
================================ ========== ============ === ======== ============
3101                             20001      144          no  normal
3196                             20006      144          no  normal
3197                             20004      144          no  normal
user1                       -1         348          yes normal

Вот и вопрос почему так, если по документации registrar 1 - 6 это просто список серверов регистрации. Или потом надо указвать какой конкретно registrar использовать?

Всем доброго дня!

Есть ли возможность создавать видеоконференции на Cisco 2921 с PVDM3-32?
Понимаю, что этих ресурсов очень мало, интересна сама возможность, а DSP, если нужно прикупим.
В инете полно упоминаний, что такое возможно, есть даже DSP-калькулятор для расчета необходимых ресурсов под разные типы применений, в том числе и видеоконференций.
Но вот, чего никак не могу найти, это примеров конфигураций, схем применения и т.п. Если кто-то имеет опыт/информацию/ссылки, поделитесь, пожалуйста...

Добрый день,

Никак не могу понять кусок этого конфига(см.ниже). Искал много, читал про PKI и, не сорву, много чего не понял, но много и понял, но сейчас не об этом.
Что это за кусок кода? Что он делает? Зачем он нужен? Буду благодарен за любую помощь

crypto pki trustpoint TP-self-signed-3816933621
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3816933621
revocation-check none
rsakeypair TP-self-signed-3816933621
!
!
crypto pki certificate chain TP-self-signed-3816933621
certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33383136 39333336 3231301E 170D3134 30333238 30343435
  30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 38313639
  33333632 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100CAE8 72634640 2F10E362 3BF9381B 7F274CFC 6AA368F2 43565A9B 309BB461
  FD2FD9F3 D727512B 045B1D0F 0EA289DB 1F2F5D26 60C17F8D 0CBB69F2 92CCFD30
  19EF8504 678CFBA5 FE088988 9F5DBB6C 424DD81F 8C9D64E6 3545ECCE 53AAA918
  7EC406A7 EE31BC98 58297208 DF679E85 F33E2FF0 C45D2903 21B7BF28 72EFE56A
  C14D0203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
  551D1104 18301682 144D4B4D 47522D52 542E4D4B 4D47522E 6C6F6361 6C301F06
  03551D23 04183016 80141871 67C5C367 0F960828 53352131 87C58929 175E301D
  0603551D 0E041604 14187167 C5C3670F 96082853 35213187 C5892917 5E300D06
  092A8648 86F70D01 01040500 03818100 5B37A739 6C75B4E3 D2D5D0A0 8A1396CC
  A4956272 F1718B32 5D26D7B7 A4B58B13 25A45CF5 55153424 B354E1C3 4CD74A1D
  F37BA445 6D53B0D8 76B27A5B F9E3AADF C39D8C57 51FD2F69 097E12EE 277EDAE0
  33EF9FEF 7D52B214 793A4D70 B6ADC7CF BB6A5CA6 DD9241B2 AA32A620 941FDE70
  0F60CF64 0FE87B91 026845ED B97A221D
      quit

Здравствуйте, возник такой вопрос. Между 7ю офисами на cisco 29ХХ организован dmvpn (nhrs) в сети 192.168.35.0/28.
Пытаюсь поднять обмемн маршрутами по ospf area 0 в vpn.
На хабе:

interface Tunnel1
ip address 192.168.35.1 255.255.255.240
no ip redirects
ip nhrp authentication xxx
ip nhrp network-id 111
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
cdp enable
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 123123

router ospf 11
router-id 192.168.32.18
passive-interface default
no passive-interface GigabitEthernet0/0
no passive-interface Tunnel 1
network 192.168.32.16 0.0.0.7 area 2
network 192.168.35.0 0.0.0.15 area 0

На споке, который поднимает нормально зону 0:
interface Tunnel1
ip address 192.168.35.7 255.255.255.240
no ip redirects
ip nhrp authentication xxx
ip nhrp map multicast X.X.X.X
ip nhrp map 192.168.35.1 X.X.X.X
ip nhrp network-id 111
ip nhrp holdtime 60
ip nhrp nhs 192.168.35.1
ip nhrp registration timeout 60
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
cdp enable
tunnel source GigabitEthernet0/2
tunnel mode gre multipoint
tunnel key 123123

router ospf 11
router-id 192.168.32.2
passive-interface default
no passive-interface GigabitEthernet0/1
no passive-interface Tunnel1
network 192.168.32.0 0.0.0.7 area 1
network 192.168.35.0 0.0.0.15 area 0

А на остальных споках ospf в  area 0 не поднимается, кроме того рвется vpn, а в логах появляются сообщения о петле:
000182: Jun 14 21:03:52.845 MSK: %ADJ-5-PARENT: Midchain parent maintenance for IP midchain out of Tunnel1, addr 192.168.35.1 - looped chain attempting to stack
000183: Jun 14 21:06:58.137 MSK: %OSPF-5-ADJCHG: Process 11, Nbr 192.168.32.18 on Tunnel1 from LOADING to FULL, Loading Done

конфиг на споке, который отваливается:
interface Tunnel1
ip address 192.168.35.6 255.255.255.240
no ip redirects
ip nhrp authentication xxx
ip nhrp map multicast X.X.X.X
ip nhrp map 192.168.35.1 X.X.X.X
ip nhrp network-id 111
ip nhrp nhs 192.168.35.1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
cdp enable
tunnel source FastEthernet0/1/0
tunnel mode gre multipoint
tunnel key 123123

router ospf 11
router-id 192.168.8.254
passive-interface default
no passive-interface Tunnel1
network 192.168.35.0 0.0.0.15 area 0

Как будто приходит маршрут к споку по ospf, что хаб 192.168.35.1 находится в туннеле, и vpn рвется. В общем непонятно, как бы это решить.

Cisco 881 pci k9. Добрый вечер. Не получается настроить трафик через VPN туннель. Сразу покажу как настраивал. Конфиг нашел в инете:

aaa new-model
aaa authentication login USER-EVPN local
aaa authorization network GROUP-EVPN local
!
username user password 0 12345678

ip local pool VPN-POOL 192.168.1.1 192.168.1.50

!
crypto isakmp policy 10
authentication pre-share
hash md5
group 2

crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac

access-list 120 permit ip 192.168.1.0 0.0.0.255 any
crypto isakmp client configuration group EVPN-GROUP
key 12345678
pool VPN-POOL
acl 120

crypto isakmp profile VPN-CLIENT
   match identity group EVPN-GROUP
   client authentication list USER-EVPN
   isakmp authorization list GROUP-EVPN
   client configuration address respond

crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route

crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP

int FA4
crypto map DMAP

route rip
redistribute static

access-list 170 permit esp any any
access-list 170 permit udp any any eq isakmp
access-list 170 permit udp any any eq non500-isakmp
---------------------------------------------------------

После ввода команд. Запускаю из дома cisco vpn client. Ввожу логин EVPN-GROUP и пароль. Далее логиню пользователя. Соединение происходит. В сетевых подключениях появляется vpn подключение с заданными настройками в маршрутизаторе. Но пинг не в офис не из офиса не происходит. Статистика на vpn клиенте encrypted и decrypted показывает 0. На маршрутизаторе:
sh cry sess detail
Interface: FastEthernet4
Username: EVPN
Profile: VPN-CLIENT
Group: EVPN-GROUP
Assigned address: 192.168.1.1
Uptime: 00:33:58
Session status: UP-ACTIVE
Peer: 109.72.*.*(дом.ip) port 51603 fvrf: (none) ivrf: (none)
      Phase1_id: EVPN-GROUP
      Desc: (none)
  IKEv1 SA: local 84.47.*.*/4500 remote 109.72.*.*/51603 Active
          Capabilities:CXN connid:2014 lifetime:23:25:54
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.1.1
        Active SAs: 2, origin: dynamic crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4388316/1561
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4388316/1561
---------------------------------------------
sh cryp engi connect active
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
    9  IPsec   3DES+MD5                  0        0        0 84.47.*.*
   10  IPsec   3DES+MD5                  0        0        0 84.47.*.*
2001  IKE     MD5+DES                   0        0        0 84.47.*.*
2002  IKE     MD5+DES                   0        0        0 84.47.*.*
2003  IKE     MD5+DES                   0        0        0 84.47.*.*
2004  IKE     MD5+DES                   0        0        0 84.47.*.*
2005  IKE     MD5+DES                   0        0        0 84.47.*.*
2007  IKE     MD5+DES                   0        0        0 84.47.*.*
2011  IKE     MD5+DES                   0        0        0 84.47.*.*
2014  IKE     MD5+DES                   0        0        0 84.47.*.*
-------------------------------------------------------

sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
84.47.*.*    109.72.*.* (дом.ip)   QM_IDLE           2014 ACTIVE VPN-CLIENT
84.47.*.*    109.72.*.*   QM_IDLE           2011 ACTIVE VPN-CLIENT
84.47.*.*    109.72.*.*   QM_IDLE           2007 ACTIVE VPN-CLIENT
--------------------------------------------------------

sh crypto ipsec sa

interface: FastEthernet4
    Crypto map tag: DMAP, local addr 84.47.*.*

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0)
   current_peer 109.72.*.* port 51603
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 84.47.*.*, remote crypto endpt.: 109.72.*.*
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x88F87139(2297983289)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xF54D33E9(4115477481)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 9, flow_id: Onboard VPN:9, sibling_flags 80000046, crypto map: DMAP
        sa timing: remaining key lifetime (k/sec): (4388316/1053)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
------------------------------------
sh crypto map
Crypto Map IPv4 "DMAP" 1 ipsec-isakmp
        Dynamic map template tag: DYNMAP

Crypto Map IPv4 "DMAP" 65536 ipsec-isakmp
        Peer = 109.72.*.*
        ISAKMP Profile: VPN-CLIENT
        Extended IP access list
            access-list  permit ip any host 192.168.1.1
            dynamic (created from dynamic map DYNMAP/10)
        Current peer: 109.72.*.*
        Security association lifetime: 4608000 kilobytes/3600 seconds
        Responder-Only (Y/N): N
        PFS (Y/N): N
        Transform sets={
                3DES-MD5:  { esp-3des esp-md5-hmac  } ,
        }
        Reverse Route Injection Enabled
        Interfaces using crypto map DMAP:
                FastEthernet1

                FastEthernet4

В инете много примеров как организовывается резервирование интернет-канала при двух провайдерах. Возникла задачка посложней:
Есть cisco 29XX и целых 3 аплинка к разным операторам. К тому же поднят vpn до удаленного офиса.
Первый канал основной и два резервных.
Созданы ip sla на мониторинг шлюзов по умолчанию и внешних ресурсов. Треки прикреплены к первым двум дефолтным маршрутам.
Также созданы эвенты:
1. евент срабатывает, когда падает первый канал и переносит vpn-туннель и nat на второй.
2. евент срабатывает, если появляется связь по первому провайдеру и переносит nat и vpn обратно на первый канал.
3. евент срабатывает, если падают первые 2 провайдера и переносит все на третий канал.

Но возникают ситуации, когда упали 2 первых канала, связь перестроилась на третьего, а потом поднялся второй канал, как бы сделать, чтобы все переключалось на него.
Система трек-листов позволяет только логические "и" и "или", а надо сделать так, чтобы проверялось условие что track B state up при том, что track A все еще down.

Если сделать просто track B state up, то в ситуации, когда при рабочем первом канале второй канал упал-поднялся, EEM переведет nat и vpn на второй.

Добрый день.
cisco 881 pci k9
В маршрутизаторе настроен правила проброса портов во внутреннюю сеть типа:
ip nat inside source static tcp 192.168.3.2 3389 interface FastEthernet4 9965
И т.д. Как можно сделать доступ к пробросу только с определенных адресов?

Пробовал сделать так:
ip nat inside source static tcp 192.168.3.2 3389 interface 84.47.*.* 9965

Далее:
ip access-list extended dostup-rdp
permit tcp host 67.343.53.8 host 84.47.*.* eq 3154
deny   ip any any

Не срабатывает. Доступ остается у всех.

Добрый день.
Допустимо ли подключить 2 разных NPE-G2 в один 7206VXR (одну подключить с лицевой стороны и вторую с обратной). Все порты будут видны?
Спасибо.

Доброго вам здоровьеца, соколики, подсобите коли не сложно советом, куда смотреть.
Есть 2 провайдера (Я назвал их Махнетом и Спуди. Махнет - основной 1.1.1.37/28, спуди 2.2.2.2/24 - резервный) и одна циска с 2мя портами. Ge0/1, который смотрит в Lan и другой Ge0/0 - в Wan на 2 провайдера, один идёт нетегом (спуди), другой тегом (Махнет). Очень хотелось настроить резервирование, но не знаю, получилось или нет (скорее нет, чем да.), т.к. явилась проблема, откуда не ждали. Каждый провайдер работает, если прописать только его. Инет есть на внутренней локалке, но вот если пускать через кофиг резервирования, спуди отказывается проводить пропинговку по ip sla и пишет таймауты везде, где только можно. На конфиге, который я ниже скину, работает один провайдер. Махнет и инет от него есть. Если вырубить, Спуди машет ушами и отказывается робить. Пробовал переводить всё в поток, эффект тот же. Всё что знал - испробовал, но то ли знал мало, то ли не так пробовал. В общем в тупике я, соколики. Помогите, люди добрые, направьте на путь истины.
За ересь в конфиге прошу отнестись снисходительно. Сами мы не местные...
За помощь в наставлении - очищение всех грехов вплоть до 7го колена вашим внукам и внучкам. И внучатым племянницам, что уж тут.

Мahnet - ip 1.1.1.37/28 gw: 1.1.1.33
Spoody - ip 2.2.2.150/24 gw 2.2.2.254

--Конфиг

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R2901
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging userinfo
logging buffered 51200 warnings
no logging console
!
aaa new-model
!
!
aaa authentication password-prompt "---password: "
aaa authentication username-prompt "---login as: "
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
clock timezone Moscow 3
!
no ipv6 cef
no ip source-route
ip cef
!
!
!
ip dhcp pool CR
   network 172.18.100.0 255.255.255.0
   dns-server 77.88.8.8
   default-router 172.18.100.1
!
!
no ip bootp server
ip domain name R2901.domain
ip name-server 8.8.8.8
ip name-server 77.88.8.8
login block-for 60 attempts 3 within 30
login delay 1
login on-failure log
login on-success log
!
multilink bundle-name authenticated
!
!
!
crypto pki server MAIN-R2901
shutdown
!
crypto pki trustpoint trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
crypto pki trustpoint TP-self-signed
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-CR
revocation-check none
rsakeypair TP-self-signed-CR
!
crypto pki trustpoint MAIN-R2901
revocation-check crl
rsakeypair MAIN-R2901
!
!

license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
archive
log config
  logging enable
  hidekeys
username root privilege 15 secret 5 11111111
!
redundancy
!
!
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 30 ip sla 3 reachability
!
track 100 list boolean or
object 10
object 20
object 30
delay down 10 up 5
!
track 110 ip sla 11 reachability
!
track 120 ip sla 12 reachability
!
track 130 ip sla 13 reachability
!
track 200 list boolean or
object 110
object 120
object 130
delay down 10 up 5
!
!
!
!
!
!
!
interface GigabitEthernet0/0
description Spoody Uplink
ip address 2.2.2.150 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
history BPS
no mop enabled
!
interface GigabitEthernet0/0.299
description Mahnet Uplink
encapsulation dot1Q 299
ip address 1.1.1.37 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
description LAN
ip address 11.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/1.10
description CCTV
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip access-group 99 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
no cdp enable
no routing dynamic
!
interface GigabitEthernet0/1.95
description DefaultWorkLAN
encapsulation dot1Q 95
ip address 192.168.95.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1.100
description WorkLan
encapsulation dot1Q 100
ip address 172.18.100.1 255.255.0.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
no cdp enable
!
!
ip local policy route-map Mahnet
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat translation timeout 120
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat inside source route-map Mahnet interface GigabitEthernet0/0.299 overload
ip nat inside source route-map Spoody interface GigabitEthernet0/0 overload
ip nat inside source static tcp 172.18.100.10 3389 1.1.1.37 28028 route-map Mahnet extendable
ip nat inside source static tcp 172.18.100.5 35300 1.1.1.37 35300 route-map Mahnet extendable
ip nat inside source static tcp 172.18.100.10 3389 2.2.2.150 28028 route-map Spoody extendable
ip nat inside source static tcp 172.18.100.5 35300 2.2.2.150 35300 route-map Spoody extendable
ip route 0.0.0.0 0.0.0.0 1.1.1.33 track 100
ip route 0.0.0.0 0.0.0.0 2.2.2.254 track 200
ip route 8.8.8.8 255.255.255.255 1.1.1.33
ip route 77.88.8.8 255.255.255.255 1.1.1.33
!
ip access-list extended SLA1_ACL
permit icmp host 1.1.1.37 host 8.8.8.8
permit icmp host 1.1.1.37 host 77.88.8.8
permit icmp host 1.1.1.37 host 4.4.4.4
ip access-list extended SLA2_ACL
permit icmp host 2.2.2.150 host 8.8.8.8
permit icmp host 2.2.2.150 host 77.88.8.8
permit icmp host 2.2.2.150 host 4.4.4.4
ip access-list extended acl_nat
permit ip 192.168.95.0 0.0.0.255 any
permit ip 172.18.100.0 0.0.0.255 any
deny   ip any any
!
ip sla 1
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0.299
threshold 1000
timeout 1500
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 77.88.8.8 source-interface GigabitEthernet0/0.299
threshold 1000
timeout 1500
frequency 3
ip sla schedule 2 life forever start-time now
ip sla 3
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/0.299
threshold 1000
timeout 1500
frequency 3
ip sla schedule 3 life forever start-time now
ip sla 11
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
threshold 1000
timeout 1500
frequency 3
ip sla schedule 11 life forever start-time now
ip sla 12
icmp-echo 77.88.8.8 source-interface GigabitEthernet0/0
threshold 1000
timeout 1500
frequency 3
ip sla schedule 12 life forever start-time now
ip sla 13
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/0
threshold 1000
timeout 1500
frequency 3
ip sla schedule 13 life forever start-time now
access-list 1 permit 172.18.100.0 0.0.0.255
access-list 1 permit 11.0.0.0 0.0.0.255
access-list 1 deny   any
!
!
!
!
route-map Spoody permit 10
match ip address acl_nat
match interface GigabitEthernet0/0
!
route-map Mahnet permit 10
match ip address acl_nat
match interface GigabitEthernet0/0.299
!
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop 1.1.1.33
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop 2.2.2.254
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp authenticate
event manager applet Mahnet_UP
event track 100 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "Mahnet is UP"
event manager applet Mahnet_DOWN
event track 100 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "Mahnet is DOWN"
event manager applet Spoody_UP
event track 200 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "Spoody is UP"
event manager applet Spoody_DOWN
event track 200 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat translation *"
action 003 syslog msg "Spoody is DOWN"
!
end

--Вывод IP SLA Statistics
IPSLAs Latest Operation Statistics

IPSLA operation id: 1
        Latest RTT: 3 milliseconds
Latest operation start time: *16:15:56.504 Moscow Fri Jun 8 2018
Latest operation return code: OK
Number of successes: 1097
Number of failures: 0
Operation time to live: Forever

IPSLA operation id: 2
        Latest RTT: 8 milliseconds
Latest operation start time: *16:15:56.504 Moscow Fri Jun 8 2018
Latest operation return code: OK
Number of successes: 1097
Number of failures: 0
Operation time to live: Forever

IPSLA operation id: 3
        Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *16:15:56.504 Moscow Fri Jun 8 2018
Latest operation return code: Timeout
Number of successes: 0
Number of failures: 1097
Operation time to live: Forever

IPSLA operation id: 11
        Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *16:15:56.504 Moscow Fri Jun 8 2018
Latest operation return code: Timeout
Number of successes: 0
Number of failures: 1097
Operation time to live: Forever

IPSLA operation id: 12
        Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *16:15:56.508 Moscow Fri Jun 8 2018
Latest operation return code: Timeout
Number of successes: 0
Number of failures: 1097
Operation time to live: Forever

IPSLA operation id: 13
        Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *16:15:56.508 Moscow Fri Jun 8 2018
Latest operation return code: Timeout
Number of successes: 0
Number of failures: 1097
Operation time to live: Forever

-- SHOW ROUTE-MAP all

STATIC routemaps
route-map Spoody, permit, sequence 10
  Match clauses:
    ip address (access-lists): acl_nat
    interface GigabitEthernet0/0
  Set clauses:
  Policy routing matches: 0 packets, 0 bytes
route-map Mahnet, permit, sequence 10
  Match clauses:
    ip address (access-lists): acl_nat
    interface GigabitEthernet0/0.299
  Set clauses:
  Policy routing matches: 303 packets, 52062 bytes
route-map PBR_SLA, permit, sequence 10
  Match clauses:
    ip address (access-lists): SLA1_ACL
  Set clauses:
    ip next-hop 5.23.101.33
  Policy routing matches: 0 packets, 0 bytes
route-map PBR_SLA, permit, sequence 20
  Match clauses:
    ip address (access-lists): SLA2_ACL
  Set clauses:
    ip next-hop 10.54.185.254
  Policy routing matches: 0 packets, 0 bytes
DYNAMIC routemaps
Current active dynamic routemaps = 0

Есть точка доступа: 1852i.

Version - AIR-AP1850-K9-8-7-106-0

Как контролллер её заставить получать ip из dhcp windows 2012 R2 и как клиентов wifi заставить получать адрес там же?

Здравствуйте.

В микротик подключено несколько провайдеров.
Через одного провайдера идет трафик пользователей.
Через другого провайдера голос.

Голос маркируем:

chain=prerouting action=mark-routing new-routing-mark=ast-main passthrough=yes src-address=10.10.0.2 log=no log-prefix=""

в роутах его фигачим:

dst-address=0.0.0.0/0 gateway=195.58.хх.хх gateway-status=195.58.хх.хх reachable via  ether1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=ast-main

Ну и натим:

chain=srcnat action=masquerade src-address=10.10.0.0/24 out-interface=ether1 log=no

В роутинге присутствуют на каждого провайдера маршруты на 0.0.0.0/0 без указания routing-mark и  distance=1

И довольно часто пакеты с голосом уходят через нужный интерфейс но с адресом источника от провайдера с данными т.е. от другого провайдера.

Большинство, можно сказать процентов 98% трафика нормально натом обрабатывается.
Глюк прошивки?

Или убрать маскардинг поставить src-nat ? Сервис должен работать практически круглосуточно, не хотелось бы на авось эксперименты ставить.

Сможет кто-нибуть прокоментировать такое поведение?