config router 877

b.secur · Participant Inscrit le: 11 Oct 2005 Messages: 47

Bonjour,
J'essaie de configurer un router 877 pour chez moi, avec une ligne Orange.

en me servant de cette doc :
http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/pppoanat.html#wp1233942
et d'un peu de sdm j'obtiens cette config mais ca ne fonctionne pas. Je pense que j'ai un soucis avec lees acces vers le net... depuis l'interface inside du routeur, je en ping pas les dns orange...

Padawan · Posté le: Lun Avr 21, 2008 12:22 pm Sujet du message:

Salut,

Fais un "erase start" puis un "reload" pour repartir de zero.
Puis utilise le lien que tu as cité et la CLI. Pas SDM, qui risque d'aller causer des problèmes dans les ACLs.

A+

Padawan

b.secur · Participant Inscrit le: 11 Oct 2005 Messages: 47

Ok je fais ca ce soir.

Mais j'ai deja installer des 836 avec Sdm et tout c'est bien passé... tu ne l'aime pas le Sdm un !!! ;o)

de plus mes voyant Rx Tx clignotent de temps en temps mais pas continuellement... manque de traffic peu être ?

j'ai l'impression que ma connexion est bien parametre mais que qq choses m'empeche de sortir pourtant mes acl ne me parraissent pas fausses.
_________________
Cordialement.
_____________________________

b.secur · Participant Inscrit le: 11 Oct 2005 Messages: 47

J'ai repris ma conf a=comme tu me l'a suggerer

tjrs pas de connexion au net, mais les led Rx Tx clignotent en permanece.

la config:

Padawan · Posté le: Lun Avr 21, 2008 10:08 pm Sujet du message:

Bien, c'est beaucoup plus propre maintenant.
Par contre, pourquoi le MTU est-il fixé à 128 ?
Pour du PPPoE, il doit être à 1492, et pour du PPPoA il doit être à 1472.
La valeur du TCP-MSS doit être à 1452.

Ensuite, depuis le routeur, tu arrives à joindre un serveur Internet (tente un ping par exemple) ?
Et depuis un poste du LAN, tu arrives à joindre le routeur ? Et un serveur Internet ?

A+

Padawan

Olivier02400 · Visiteur Inscrit le: 19 Avr 2008 Messages: 3

Je ne suis pas assez pointu pour détecter une éventuelle erreur dans ta config, mais je te joins la mienne (sur un 877W). Elle fonctionne à merveille sur Orange (y compris en WiFi). Je te laisse virer tout ce qui traite du WiFi :

!This is the running config of the router: 192.168.1.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname 877W
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxxxx
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 association mac-list 700
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
domain-name xxxxxxxxx
dns-server 80.10.246.1 80.10.246.132
!
!
ip inspect log drop-pkt
ip inspect name SDM_HIGH appfw SDM_HIGH
ip inspect name SDM_HIGH icmp
ip inspect name SDM_HIGH dns
ip inspect name SDM_HIGH esmtp
ip inspect name SDM_HIGH https
ip inspect name SDM_HIGH imap reset
ip inspect name SDM_HIGH pop3 reset
ip inspect name SDM_HIGH tcp
ip inspect name SDM_HIGH udp
ip tcp synwait-time 10
no ip bootp server
ip domain name xxxxxxxxxx
ip name-server 80.10.246.132
ip name-server 80.10.246.1
ip ssh time-out 60
ip ssh authentication-retries 2
!
appfw policy-name SDM_HIGH
application im aol
service default action reset alarm
service text-chat action reset alarm
server deny name login.oscar.aol.com
server deny name toc.oscar.aol.com
server deny name oam-d09a.blue.aol.com
audit-trail on
application http
port-misuse im action reset alarm
port-misuse p2p action reset alarm
port-misuse tunneling action reset alarm
application im yahoo
service default action reset alarm
service text-chat action reset alarm
server deny name scs.msg.yahoo.com
server deny name scsa.msg.yahoo.com
server deny name scsb.msg.yahoo.com
server deny name scsc.msg.yahoo.com
server deny name scsd.msg.yahoo.com
server deny name cs16.msg.dcn.yahoo.com
server deny name cs19.msg.dcn.yahoo.com
server deny name cs42.msg.dcn.yahoo.com
server deny name cs53.msg.dcn.yahoo.com
server deny name cs54.msg.dcn.yahoo.com
server deny name ads1.vip.scd.yahoo.com
server deny name radio1.launch.vip.dal.yahoo.com
server deny name in1.msg.vip.re2.yahoo.com
server deny name data1.my.vip.sc5.yahoo.com
server deny name address1.pim.vip.mud.yahoo.com
server deny name edit.messenger.yahoo.com
server deny name messenger.yahoo.com
server deny name http.pager.yahoo.com
server deny name privacy.yahoo.com
server deny name csa.yahoo.com
server deny name csb.yahoo.com
server deny name csc.yahoo.com
audit-trail on
!
!
crypto pki trustpoint TP-self-signed-149884254
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-149884254
revocation-check none
rsakeypair TP-self-signed-149884254
!
!
crypto pki certificate chain TP-self-signed-149884254
certificate self-signed 01
(bla bla bla xxxxxxxxxxxxxxxxxxxx)
quit
username xxxxxxx privilege 15 secret 5 xxxxxxxxxx
!
!
!
bridge irb
!
!
interface Null0
no ip unreachables
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description Connexion ADSL$FW_OUTSIDE$$ES_WAN$
no ip redirects
no ip unreachables
no ip proxy-arp
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
description xxxxxxxxxxxxx
!
interface FastEthernet1
description Serveur xxxxxxxxxxx
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
description Point d'acces WiFi
no ip address
!
ssid xxxxxxxxxxxxxxxxxxxxxx
authentication open
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
rts threshold 2346
beacon dtim-period 1
station-role root
l2-filter bridge-group-acl
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
ip tcp adjust-mss 1452
bridge-group 1
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_HIGH out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxx password xxxxxxxxxxxx
!
interface BVI1
description Reseau$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip flow-top-talkers
top 10
sort-by bytes
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.6 xxxx interface Dialer0 xxxx
ip nat inside source static udp 192.168.1.6 xxxx interface Dialer0 xxxx
ip nat inside source static udp 192.168.1.6 xxxx interface Dialer0 xxxx
ip nat inside source static udp 192.168.1.5 xxxx interface Dialer0 xxxx
ip nat inside source static tcp 192.168.1.5 xxxx interface Dialer0 xxxx
ip nat inside source static udp 192.168.1.8 xxxx interface Dialer0 xxxx
ip nat inside source static tcp 192.168.1.8 xxxx interface Dialer0 xxxx
ip nat inside source static tcp 192.168.1.7 xxxx interface Dialer0 xxxx
!
logging trap debugging
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 remark HTTP Access-class list
access-list 2 remark SDM_ACL Category=1
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny any
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any any eq www
access-list 101 remark Serveur web
access-list 101 permit tcp any eq www host 192.168.1.xx eq www
access-list 101 permit udp host 80.10.246.132 eq domain any
access-list 101 permit udp host 80.10.246.1 eq domain any
access-list 101 deny ip 192.168.1.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 102 remark VTY Access-class list
access-list 102 remark SDM_ACL Category=1
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip any any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 permit tcp any any eq ftp
access-list 103 permit tcp host xxx.xxx.xxx.xxx any
access-list 103 permit udp any any eq xxxx
access-list 103 permit udp any any eq xxxx
access-list 103 permit udp any any eq xxxx
access-list 103 permit tcp any any eq xxxx
access-list 103 permit udp any any eq xxxx
access-list 103 permit tcp any any eq xxxx
access-list 103 permit tcp any any eq www
access-list 103 permit udp host 80.10.246.132 eq domain any
access-list 103 permit udp host 80.10.246.1 eq domain any
access-list 103 deny ip 192.168.1.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip host 0.0.0.0 any
access-list 103 deny ip any any log
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 permit xxx 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
access-list 701 permit xxx 0000.0000.0000
access-list 701 permit xxx 0000.0000.0000
access-list 701 deny 0000.0000.0000 ffff.ffff.ffff
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you want to
use.

-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only.
Disconnect IMMEDIATELY if you are not an authorized user !
*****************************
ATTENTION, acces restreint !
Veuillez vous deconnecter IMMEDIATEMENT si vous n'etes pas un utilisateur autorise !
^C
!
line con 0
login authentication local_authen
no modem enable
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 102 in
authorization exec local_author
login authentication local_authen
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

b.secur · Participant Inscrit le: 11 Oct 2005 Messages: 47

j'ai modifier la valeur du MTU par contre je ne trouve pas comment modifier le tcp-mss !!!

je fais tous mes test de ping depui le router c'est pas la peine d'aller plus loin tant que l'interface outside ne répond pas.

je ping 2 adresses ip qui répondent derriere mon routeur 3Com.
88.191.59.66 --> www.ixus.fr
198.133.219.23 --> ;o)

merci
_________________
Cordialement.
_____________________________

Padawan · Posté le: Lun Avr 21, 2008 10:54 pm Sujet du message:

Pour le tcp-mss, c'est simple...
"ip tcp mss 1452".

Si j'ai bien compris, il y a un problème au niveau de la config de l'interface outside ?
T'as regardé du côté des "sh int" ?

Et depuis un poste du LAN, tu joins le routeur ? Juste question qu'on sache si de ce côté là c'est OK, au moins.

A+

Padawan

b.secur · Participant Inscrit le: 11 Oct 2005 Messages: 47

j'ai modifier "ip tcp...." comme tu me le indiqué.

Padawan · Posté le: Mar Avr 22, 2008 12:47 pm Sujet du message:

Il manque un truc dans ta config, mais qui est dans la conf de Olivier02400. Regarde :

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto

interface ATM0.1 point-to-point
description -- WAN --
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1

A+

Padawan

ftp.fadil · Posté le: Mar Avr 22, 2008 10:12 pm Sujet du message:

Salut, Mohamed je suis un administrateur Réseau j'habite à Maroc
s'il vous plaît j'ai un problème dans mes routeurs qui me dérangent bp.je vais vous expliquer quand je redémarre le routeur soi (R 837,2800,.. )
la connexion internet disparue et je consulte le routeur par telnet je trouve pas l'adresse ip public de FAI d'internet.
alors la solution que j'ai fais et a été marché est de changer le protocole comme ci-dessus:
-------------------------------pppoe à pppoa---------------------
interface atm0/0/0
pvc 8/35
no encapsulation aal5snap
no pppoe-client dial-pool-number 1
encapsulation aal5mux ppp dialer
dialer pool-member 1

interface Dialer0
no ppp chap hostname xxxxxxxxx
no ppp chap password xxxxx
no ppp pap sent-username xxxxxxx password xxxxxx

ppp chap hostname xxxxxxxxx
ppp chap password xxxx
ppp pap sent-username xxxxxxxxx password xxxx

--------------de pppoa à pppoe---------------------

interface atm0/0/0
pvc 8/35
no encapsulation aal5mux ppp dialer
no dialer pool-member 1
encapsulation aal5snap
pppoe-client dial-pool-number 1

interface Dialer0
no ppp chap hostname xxxxxxxxxx
no ppp chap password xxxxx
no ppp pap sent-username xxxxxx password xxxxxx

ppp chap hostname xxxxxxxxxx
ppp chap password xxxxx
ppp pap sent-username xxxxxxxxx password xxxxx

et voici la config de l'interface ATM0
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5snap
protocol pppoe

----------------------------dialer0---
interface Dialer0
ip address negotiated
ip accounting output-packets
ip nat outside
no ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 101
down-when-looped
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxx password xxxxxxxxxxxxx
crypto map monmap

Alors avec cette config de ATM et Dialer la connexion marche trés bien
mais quand je redémarre ---> pas de connexion je dois le sortir de pppoe à pppoa puis de pppoa à pppoe pour quelle récupères l'adresse ip public puis Internet .

s'il vous trouvez moi une solution, peut le routeur mal configuré .
merci bp
Cordialment
_________________
Salut, Ciao, Salam

Padawan · Posté le: Mar Avr 22, 2008 10:28 pm Sujet du message:

Ah bah on peut dire que c'est du propre. Tu devrais tenter sur un routeur cœur d'opérateur. Mr. Green

Il faut que je le retienne celui-là, il est excellent. Administrateur réseau...

A+

Padawan

ftp.fadil · Posté le: Mer Avr 23, 2008 10:24 am Sujet du message:

bonjour merci pour le commentaire, je suis un administrateur de tout ce qui est système (Windows 2003...........) j'ai pas des expériences au niveau de cisco .si tu as des problèmes avec 2003 server je suis prés de données des solutions.
Merci Monsieur de me donner une solution s'il vous plaît .
si non merci. Smile

_________________
Salut, Ciao, Salam

Padawan · Posté le: Mer Avr 23, 2008 11:09 am Sujet du message:

Oh t'en fais pas, je ne suis pas près d'avoir des problèmes avec Windows 2003 server sachant que ce n'est pas le genre de trucs que j'utilise dans une architecture de prod.
Généralement, quand on me parle d'administrateur système, je pense à sysadmin et à UNIX/Linux et tout ce qui tourne autour. Pas à Windows.

Enfin de toutes façons, tu avais parlé d'administrateur réseau dans ton premier message... mais tu ne sais pas bosser avec le matériel pour lequel tu es recruté (Cisco).

Concernant ton problème, si t'as une adresse fixe tu peux directement la définir sur l'interface. Si l'adresse doit être dynamiquement allouée, alors il te faut juste renouveler le bail DHCP...

A+

Padawan

ftp.fadil · Posté le: Mer Avr 23, 2008 3:19 pm Sujet du message:

Oui, merci
j'ai une adresse ip Fixe mais comment je le fixe
comme ça:
interface dialer0
ip static ip fixe

donnes moi la commande s'il te plait merci
et bonne journée
_________________
Salut, Ciao, Salam