Cisco 1841 e ADSL Telecom

[candrea77]

Ciao a tutti,
ho recuperato tramite ebay un Cisco 1841 che vorrei usare presso la mia abitazione.
Dispongo di connettivita TELECOM 7Mbit

Il router è il seguente :

Cisco IOS Software, 1841 Software (C1841-SPSERVICESK9-M), Version 12.4(6)T11, RELEASE SOFTWARE (fc2)

Cisco 1841 (revision 7.0) with 115712K/15360K bytes of memory.
Processor board ID XXXXXX
2 FastEthernet interfaces
1 ISDN Basic Rate interface
1 ATM interface
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
500472K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Non ci devo fare molto, solo ADSL senza Backup ISDN

Non ho bisogno di ddns

Ecco la mia configurazione :

Codice: Seleziona tutto

Current configuration : 1535 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging on
enable password XXXX
!
no aaa new-model
!
resource policy
!
ip cef
!
interface FastEthernet0/0
 ip address 172.16.0.254 255.255.0.0
 ip nat inside
 no ip mroute-cache
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0/0/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface ATM0/1/0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no atm ilmi-keepalive
 bundle-enable
 dsl operating-mode auto 
 hold-queue 224 in
!
interface ATM0/1/0.1 point-to-point
 no ip route-cache
 no snmp trap link-status
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip address negotiated
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username xxxx password 0 xxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit tcp any any
access-list 101 permit udp any any
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 password xxxx
 login
!
scheduler allocate 20000 1000
end

Ora, con questa configurazione, mi collego ad internet, ma stranamente navigo solo su http://www.google.it e pochissimi altri siti ..... qualcuno sa dirmi se il problema è nella configurazione oppure se è dovuto (magari vista la provenienza) al device magari difettoso ?

Notate l'access-list .... doveva essere un access-list ip network to any, ma ho voluto provare singolarmente tcp any2any (ed anche sui singoli ip di destinazione per vedere se matchava) .....

Inoltre se faccio uno sh ip nat transaltion, vedo regolarmente le entry per tutti gli IP che tento di visitare ......

BOH !!!!!

[Rizio]

Di base rimetti l'acl 101 come doveva essere per fare nat su tutta la lan (perciò rimetti "permit IP") e prova e verificare sul sito del tuo provider di recuperare le impostazioni corrette "per lui".
Inoltre configura correttamente il forward dns (se è quello che vuoi fare davvero con il comando dns server):

Codice: Seleziona tutto

ip dns spoofing
ip domain name lan.interna
ip name-server 8.8.8.8
ip name-server 8.8.4.4

Un semplice ping ti risponde valori coerenti o è "sballato" tra un pacchetto ed un'altro?

Rizio

[candrea77]

Di base rimetti l'acl 101 come doveva essere per fare nat su tutta la lan (perciò rimetti "permit IP") e prova e verificare sul sito del tuo provider di recuperare le impostazioni corrette "per lui".
Inoltre configura correttamente il forward dns (se è quello che vuoi fare davvero con il comando dns server):

Codice: Seleziona tutto

ip dns spoofing
ip domain name lan.interna
ip name-server 8.8.8.8
ip name-server 8.8.4.4

Un semplice ping ti risponde valori coerenti o è "sballato" tra un pacchetto ed un'altro?

Rizio

Ciao, la parte DNS era configurata a metà perché ho un bind installato su QNAP che mi fa da DNS interno e forwarda direttamente su internet. Quindi non uso il DNS del Cisco. Diciamo che è un refuso.

Il ping funziona correttamente sia da PC che direttamente dal Cisco.

Grazie per ora

[candrea77]

Innanzi tutto prova a modificare la acl 101 (quella che usi per il nat) in questo modo:

Codice: Seleziona tutto

access-list 101 permit ip 172.60.0.0 0.0.255.255 any 

Imaggino poi che le xxxxx di username e password nascondano aliceadsl sia per lo username che per la password, se non è così prova ad impostarli così.
Vedi se con queste modifiche cambia nulla e facci sapere.
P.S. che DNS stai utilizzando sui client?

Ciao, questa era la configurazione originale (non l'ho cambiata dopo per pigrizia) .... diciamo che non funziona .... e si ho provato anche aliceadsl come nomeutente e password ma ho lo stesso problema.

Mi sta faceno diventare matto .... la config mi sembra buona ..... apro www.google.it, www.youtube.it ......
Attenzione, non fatevi ingannare, non è un problema di DNS ..... anche se faccio un wget da un IP di un sito che non apro non ottengo nulla ...... ma sia ping che tracert funzionano.....

Di nuovo ..... BOH ?!?!?!?

[Rizio]

Il ping funziona correttamente sia da PC che direttamente dal Cisco.

Capisco, però è strano che alcuni siti vadano e altri no. E' questo che non mi torna e mi faceva pensare a dei problemi di dns tra il pc che hai sato per la prova e il router.

Con "il ping funziona" intendi che i valori sono sempre coerenti tra loro anche su un numero di pacchetti relativamente alto (Es. 1000) o che semplicemente vengono risolti gli host e ti danno il ritorno?
Quanti siti hai provato? Se pinghi un sito su cui non riesci a navigare cosa ti risponde il ping? E forzando la dimensione del pacchetto maggiore?
Perchè ripeto: è strano che alcuni siti vadano e altri no....

Rizio

[candrea77]

Capisco, però è strano che alcuni siti vadano e altri no. E' questo che non mi torna e mi faceva pensare a dei problemi di dns tra il pc che hai sato per la prova e il router.

Già, sta facendo diventare matto anche a me ......

Con "il ping funziona" intendi che i valori sono sempre coerenti tra loro anche su un numero di pacchetti relativamente alto (Es. 1000) o che semplicemente vengono risolti gli host e ti danno il ritorno?
Quanti siti hai provato? Se pinghi un sito su cui non riesci a navigare cosa ti risponde il ping? E forzando la dimensione del pacchetto maggiore?
Perchè ripeto: è strano che alcuni siti vadano e altri no....
Rizio

Guarda, in serata faccio ancora altre prove (ora non posso) ..... e posto per benino tutti i risultati passo dopo passo :
Ping e Tracert da PC e da Router verso sito OK
Ping e Tracert da PC e da Router verso sito BAD
Inoltre verifico una volta ancora anche il wget da un sito come google ecc.ecc. e da uno che non funziona .....

Una altra piccola nota .... ho fatto anche questa prova :
Ho collegato il Cisco alla aola rete LAN (senza ADSL quindi) ; poi ho impostato sul Cisco la rotta 0.0.0.0 verso il router attualmente funzionante .... sui PC ho impostato come gateway il Cisco : ovviamente navigo su tutti i siti senza nessun problema.

Qualcuno ha in mente qualche comando per fare debug ?

Grazie

[Rizio]

Qualcuno ha in mente qualche comando per fare debug ?

Mah, per il debug ip potresti provare un

Codice: Seleziona tutto

debug ip packet

però uccidi il router e non sò se poi ti è utile, nemmeno legandolo ad un'acl.

Hai provato a sniffare il traffico con uno sniffer?

La butto lì: l'MTU? Hai verificato che quello del router attualmente funzionante sia uguale con quello impostato di default sul cisco?

Rizio

[candrea77]

La butto lì: l'MTU? Hai verificato che quello del router attualmente funzionante sia uguale con quello impostato di default sul cisco?

Rizio

Effettivamente questo è un controllo che non ho fatto .....

The problem occurs because many web servers block ICMP messages, which causes the server to continuously send 1500-byte packets. These packets are dropped, and as a result, the requested web site does not load. If the web server is properly configured and ICMP messages are not blocked, the server adjusts its MTU and retransmits until the page loads completely.

Direi che almeno una prova vale la pena di farla ...... vi tengo aggiornati .....

[candrea77]

Non vorrei illudermi, cmq un breve controllo alle 14.00 in attesa delle modifiche di questa sera :

Codice: Seleziona tutto

Dialer0 is up (spoofing), line protocol is up (spoofing)
  Hardware is Unknown
  Internet address will be negotiated using IPCP
  MTU 1500 bytes, BW 56 Kbit, DLY 20000 usec,

Ovvio che l'ADSL è staccato, ma l'mtu a 1500 mi sembra già cannato di suo .....

Spero di non illudermi per nulla !!!! Col vecchio router ho i classici 1492 della xDSL.
Sulla eth anche li ho i 1500, ma li credo proprio di poterli lasciare !!!!

Saluti

[Rizio]

Spero di non illudermi per nulla !!!! Col vecchio router ho i classici 1492 della xDSL.
Sulla eth anche li ho i 1500, ma li credo proprio di poterli lasciare !!!!

Confermo, anch'io li cambierei solo sul modem DSL.

Facci sapere.
Rizio

[candrea77]

ARGH !!!!!!!

Non funziona !!!!

Non sono riuscito a fare molti test .... ma dai pochi test fatti mi viene sempre più da pensare che sia un problema di frammentazione dei pacchetti .....

Ma perchè non va ?

Ho provato ad impostare MTU su :

Dialer0
ATM0/1/0
ATM0/1/0.1
(sulla fast mi sembra di capire che non ha effetto e resta a 1500 base)

dal valore di 1400 fino al valore di 1492 ... (ho messo anche 2000 in un momento di sconforto, sapendo che avrei peggiorato le cose) .....

Quello che è certo è che se pingo http://www.google.it con -l maggiore di 1400 comincio ad avere risposte a singhiozzo ...... (col router adesso in produzione pingo anche a 10000 byte)

Ho provato anche a mettere la WIC ADSL nello slot 0 ..... tentativo nullo.

Qualcuno mi illumina su che prove posso fare stanotte ?

Grazie in anticipo a tutti quanti !!!!

[candrea77]

NOVITA' ....

E' sicuramente un problema legato all'MTU

Settando in windows sulla scheda di rete l'MTU a 1492 tramite questo comando :

Codice: Seleziona tutto

netsh interface ipv4 set subinterface "NAME" mtu=1492

ho risolto i miei problemi.

Solo che non è una soluzione .....

Potrebbe essere la versione di FW del 1841 ad essere buggata ?

Accetto ancora consigli ..... anche perchè ripeto non posso settare mtu su tutti i PC della rete ...... (esx, vm, qnap, portatili ecc. ecc.) : troppe cose !!!!

Saluti

[candrea77]

SOLVED !!!!

La soluzione era sotto ai miei occhi ... nel documento tecnico cisco letto prima !!!!
Bastava aggiungere alla ETH0/0 la seguente configurazione :

Codice: Seleziona tutto

ip tcp adjust-mss 1410

Posto qui di seguito la configurazione corretta

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname C1841
!
boot-start-marker
boot-end-marker
!
no logging on
enable password XXXXXX
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
ip cef
!
!
!
!
ip domain name crippaandrea.it
ip name-server 172.16.0.252
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
username xxxx password 0 xxxx
!
!
!
!
interface FastEthernet0/0
 ip address 172.16.0.254 255.255.0.0
 ip nat inside
 ip tcp adjust-mss 1410
 no ip mroute-cache
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0/0/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface ATM0/1/0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no atm ilmi-keepalive
 atm pppatm link reset
 bundle-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0/1/0.1 point-to-point
 no ip route-cache
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip address negotiated
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username xxxx password 0 xxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp xxxx xx interface Dialer0 xx
ip nat inside source static tcp xxxx xx interface Dialer0 xx
!
access-list 101 permit ip 172.16.0.0 0.0.255.255 any
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
banner motd ^C
*************************
*** This is My_Router ***
*************************
^C
!
line con 0
line aux 0
line vty 0 4
 password xxxx
 transport input ssh
!
scheduler allocate 20000 1000
end

Grazie a tutti !!!

[Rizio]

SOLVED !!!!

La soluzione era sotto ai miei occhi ... nel documento tecnico cisco letto prima !!!!
Bastava aggiungere alla ETH0/0 la seguente configurazione :

Codice: Seleziona tutto

ip tcp adjust-mss 1410

Ottimo!!!

Per completezza aggiungo la spegazione che dà Cisco del mss:

TCP MSS Adjustment
First Published: October 15, 2001
Last Updated: June 19, 2006

The TCP MSS Adjustment feature enables the configuration of the maximum segment size (MSS) for transient packets that traverse a router, specifically TCP segments in the SYN bit set, when PPP over Ethernet (PPPoE) is being used in the network. PPPoE truncates the Ethernet maximum transmission unit (MTU) 1492, and if the effective MTU on the hosts (PCs) is not changed, the router in between the host and the server can terminate the TCP sessions. The ip tcp adjust-mss command specifies the MSS value on the intermediate router of the SYN packets to avoid truncation.

Rif. http://www.cisco.com/en/US/docs/ios/12_ ... admss.html

Così la prossima volta ce ne ricordiamo subito tutti
Rizio