Sujet Précédent Sujet Suivant

Probleme connexion DSL sur routeur 887 avec 4G en backup

Fermé
PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017 - 8 mars 2017 à 17:31
brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024 - 24 mars 2017 à 15:44
Bonjour,

J'ai un problème d’accès INTERNET avec un routeur 887 configuré avec une connexion principale DSL sur l'interface ATM et une secondaire de backup en 4G. L'interface Dialer 2 (ATM 0.1) récupérè bien une IP publique mais je n'ai pas d’accès Internet dessus. L'interface cellular 0 de Backup fonctionne correctement.

J'ai pensé a un problème d'ACL mais je ne vois pas le souci.

Voici la configuration du routeur:

!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
backup interface Cellular0
description PrimaryWANDesc_PPPoE
pvc 8/35
pppoe-client dial-pool-number 2
!
interface Cellular0
description SecondaryWANDesc_4G
ip address negotiated
ip nat outside
encapsulation slip
dialer in-band
dialer string lte
dialer-group 1
async mode interactive
no shutdown
!
!
interface Vlan1
description $ETH_LAN$
ip address 192.168.x.y 255.255.255.0
ip access-group 100 in
ip nat inside
ip tcp adjust-mss 1412
!
interface Dialer2
description PrimaryWANDesc_PPPoE_ATM0.1
mtu 1456
ip mtu 1452
encapsulation ppp
ip tcp adjust-mss 1412
ip address negotiated
ip nat outside
dialer pool 2
dialer-group 2
ppp mtu adaptive
ppp authentication chap pap callin
ppp chap hostname xxxxxxx
ppp chap password 0 yyyyyyyyy
ppp pap sent-username xxxxxxx password 0 yyyyyyyyy
ppp ipcp dns request
no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
!
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip local policy route-map track-primary-if
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 Cellular0 254
!!
ip nat inside source route-map nat2cell interface Cellular0 overload
ip nat inside source route-map nat2dsl interface Dialer2 overload
!
ip sla 1
icmp-echo 8.8.8.8 source-interface Dialer2
timeout 5000
frequency 5000
ip sla schedule 1 life forever start-time now
access-list 1 permit any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit ip 192.168.x.y 0.0.0.255 any
access-list 102 permit icmp any host 8.8.8.8
dialer-list 1 protocol ip list 1
dialer-list 2 protocol ip permit
!!
route-map track-primary-if permit 10
match ip address 102
set interface Dialer2
!
route-map nat2dsl permit 10
match ip address 101
match interface Dialer2
!
route-map nat2cell permit 10
match ip address 101
match interface Cellular0
!
!
line con 0
login local
no modem enable
!
line aux 0
!
line 2
no activation-character
no exec
transport preferred none
transport input all
stopbits 1
!
line 3
exec-timeout 0 0
script dialer lte
modem InOut
no exec
transport input all
transport output all
!
line 8
no exec

J’espère que vous pourrez m'aider.

Merci par avance.
A voir également:

2 réponses

Réponse 1 / 2
brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024 13 792
9 mars 2017 à 09:59
Salut,
on ne voit pas les ports ethernet mais, bon on va dire qu'ils sont là.
je penserais à un problème de nat
tu es sûr pour ce genre de commandes:
ip nat inside source route-map nat2dsl interface Dialer2 overload
jamais vu ça avec un route-map
0
Réponse 2 / 2
PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017
9 mars 2017 à 10:49
Salut,

Déjà, merci de ta réponse rapide.

Un précision j'ai un retour ICMP lorsque je fait un ping de l'IP publique de Dialer2 depuis le LAN mais pas lorsque c'est une autre IP publique dans Internet...

Sinon :
ip nat inside source route-map nat2dsl interface Dialer2 overload

Vient de la documentation officielle de Cisco pour la mise en place d'une connexion sur l'interface ATM 0.1 en principale et une sur Cellular 0 en Backup avec bascule automatique quand la connexion DSL ne ping pas IP, dans ce cas le DNS de Goggle.

De plus la connexion en 4G fonctionne correctement alors que elle utilise, ip nat inside source route-map nat2cell interface Cellular0 overload , qui est équivalente et les deux route-map nat2cell et nat2dsl sont sensiblement pareils...


Voici l'exemple dont je me suis inspiré tiré de la doc officielle, CISCO_800_Series_4G_LTE_-_ehwic-4g-ltesw-book.pdf , qui en plus de l'interface de Backup utilise IPSec mais dans mon cas je ne mets pas en place de tunnel :

4G-LTE Wireless WAN as Backup with NAT and IPSec

The following example shows how to configure the 4G-LTE wireless WAN on the router as backup with
NAT and IPSec:

The receive and transmit speeds cannot be configured. The actual throughput depends on the cellular
network service.
Note

ip dhcp excluded-address 10.4.0.254
!
ip dhcp pool lan-pool
network 10.4.0.0 255.255.0.0
dns-server 10.4.0.254
default-router 10.4.0.254
!!
chat-script lte "" "AT!CALL" TIMEOUT 20 "OK"
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key address a.b.c.d
!!
crypto ipsec transform-set ah-sha-hmac esp-3des
!
crypto map gsm1 10 ipsec-isakmp
set peer a.b.c.d
set transform-set
match address 103
!!
interface ATM0/0/0
no ip address
ip virtual-reassembly
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
backup interface Cellular0/3/0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 0/35
pppoe-client dial-pool-number 2
!
!
interface Cellular0/3/0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation slip
no ip mroute-cache
dialer in-band
dialer idle-timeout 0
dialer string lte
dialer-group 1
async mode interactive
crypto map gsm1
!
Cisco 4G LTE Software Configuration Guide
109
Cisco 4G LTE Software Configuration
Configuration Examples for 4G LTE
interface Vlan104
description used as default gateway address for DHCP clients
ip address 10.4.0.254 255.255.0.0
ip nat inside
ip virtual-reassembly
!
interface Dialer2
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
load-interval 30
dialer pool 2
dialer-group 2
ppp authentication chap callin
ppp chap hostname cisco@dsl.com
ppp chap password 0 cisco
ppp ipcp dns request
crypto map gsm1
!
ip local policy route-map track-primary-if
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 Cellular0/3/0 254
!!
ip nat inside source route-map nat2cell interface Cellular0/3/0 overload
ip nat inside source route-map nat2dsl interface Dialer2 overload
!
ip sla 1
icmp-echo 2.2.2.2 source-interface Dialer2
timeout 1000
frequency 2
ip sla schedule 1 life forever start-time now
access-list 1 permit any
access-list 101 deny ip 10.4.0.0 0.0.255.255 10.0.0.0 0.255.255.255
access-list 101 permit ip 10.4.0.0 0.0.255.255 any
access-list 102 permit icmp any host 2.2.2.2
access-list 103 permit ip 10.4.0.0 0.0.255.255 10.0.0.0 0.255.255.255
dialer-list 1 protocol ip list 1
dialer-list 2 protocol ip permit
!!
route-map track-primary-if permit 10
match ip address 102
set interface Dialer2
!
route-map nat2dsl permit 10
match ip address 101
match interface Dialer2
!
route-map nat2cell permit 10
match ip address 101
match interface Cellular0/3/0
!
line 0/3/0
exec-timeout 0 0
script dialer lte
login
modem InOut

PS : Par rapport a cette dernière il manque un ip nat outside sur l'interface ATM0.1 mais j'ai déjà essayé avec et ça ne fonctionne pas mieux et étant donné que la commande ip nat inside source route-map nat2dsl interface Dialer2 overload , fait référence à Dialer2 je pense, peut être à tort, que ça ne vient pas de là.

Voici les interfaces manquantes mais en fait c'est l'interface Vlan1 qui fait le taf coté LAN :

!
interface Cellular1
no ip address
encapsulation slip
!
interface Ethernet0
no ip address
no shutdown
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
description $ETH_LAN$
ip address 192.168.x.y 255.255.255.0
ip access-group 100 in
ip nat inside
ip tcp adjust-mss 1412
!


Encore merci :)
0
brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024 13 792
Modifié par brupala le 9/03/2017 à 14:40
non, le nat outside est bien l'interface dialer 2, pas de souci là dessus, l'interface ATM n'a pas de protocole ip
Pour le ping depuis l'internet, ça ne veut rien dire, il se peut que le FAI bloque le ping vers son adresse wan.
au fait,
c'est une adresse privée ou une adresse publique que tu as sur dialer 2 ?
je ne maitrise pas bien ces méthodes de routage et nat sur des route-map.
Ton problème est intéressant, on va étudier ça.
que donne un show ip nat tra ?
et des debugs sur le nat histoire de ...
0
PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017 > brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024
Modifié par PelaoFr le 9/03/2017 à 17:51
L'interface Dialer 2 a une IP Publique.

Sinon show ip nat tra ne renvoie rien, bizarre....

et debug nat64 translation detail non plus...

Par contre si je bascule à l'interface Cellular0 de backup j'ai bien show ip nat tra qui m'affiche les traductions d'adresse...

Je pense que tu as mis le doigt sur le problème et que tu avais raison c'est bien un problème de NAT...

Faudrait-t-il ajouter un ip nat inside aux interfaces LAN ??

Quand je suis en SSH sur le routeur j'ai bien des retours ICMP sans perte des paquets si je fais un ping 8.8.8.8.
0
brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024 13 792 > PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017
9 mars 2017 à 20:20
debug nat64, pourquoi nat64 ? tu nas pas de passage par ipv6 sur ton routeur.
debup ip nat tout court doit suffire ....
non non, pas de nat inside sur les interfaces de niveau 2
peut-etre le ping sortant est autorisé, mais pas le ping entrant, les FAI font ce qu'ils veulent à ce niveau si tu n'as pas de réseau privé.
0
PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017 > brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024
10 mars 2017 à 07:59
En fait je pense m'être exprimé mal sur les ping... Quand je suis dans le LAN et je ping 8.8.8.8 j'ai rien.
Quand je ping 8.8.8.8 depuis le routeur en SSH ça repond.
Si je suis dans le LAN et je ping l'IP publique de l'interface Dialer2 ça répond aussi.

Tout ça lorsque c'est la connexion principale DSL qui est active.

Toute à l'heure Je t'envoie le retour de la commande : debug ip nat
0
brupala Messages postés 110282 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 30 septembre 2024 13 792 > PelaoFr Messages postés 9 Date d'inscription mercredi 8 mars 2017 Statut Membre Dernière intervention 24 mars 2017
10 mars 2017 à 08:12
c'est quoi comme icmp ?
0

Discussions similaires

Connexion impossible sur coco.fr
Folya -
Xileh -

6 réponses
Coco chat connexion sur mobile, le tchat est fermé ?
Pisceneo -
brucine -

24 réponses
Formaté mais pas de connexion Internet ?
VissErale -
VissErale -

4 réponses
Problème 4g : ma Free mobile a un débit très lent
Problmedbit -
brupala -

12 réponses