# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  cisco 887va failover με fritz 4g router

## mspant

Χριστός Ανέστη , χρόνια πολλά και καλά με υγεία σάς εύχομαι ,

θα ήθελα τη βοήθειά σας σε 2 προβλήματα αναφορικά με τον cisco 887va ,

1. έχω σε debian στο lan μου έναν https web server με ip 192.168.1.10, έχω τα αντίστοιχα nat (ip nat inside source static tcp 192.168.1.10 443 interface Dialer0 443) 
και με τη βοήθεια του noip βλέπω την σελίδα από το internet (έχω δημιουργήσει με το letsencrypt certificate), 
αλλά από το lan μου τη βλέπω μόνο μέσω  https://192.168.1.10 , δε με αφήνει με το https://πραγματικό όνομα, ενώ με nslookup την κάνω resolve με την public ip.
Mπορεί να διoρθωθεί με κάποιον τρόπο από τον cisco ;
2. στην fa2 έχω συνδέει ένα fritz 4g router αλλά όταν ρίχνω τον dialer0 ενώ ο router μέσω του fa2 έχει ping replies πχ από 8.8.8.8, κανείς άλλος σταθμός από το lan δεν έχει internet πρόσβαση.

Παραθέτω το startup-config.

Σάς ευχαριστώ και συγγνώμη για το μακροσκελές,


*Spoiler:*






Off Topic


		!
! Last configuration change at 00:35:39 EET Mon Apr 27 2020 by xxxxxxxxxxxxxxx
! NVRAM config last updated at 00:38:14 EET Mon Apr 27 2020 by xxxxxxxxxxxxxxx
!
version 15.7
no service pad
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
!
hostname xxxxxxxxxxxxxxx
!
boot-start-marker
boot system flash c800-universalk9-mz.SPA.157-3.M6.bin
boot-end-marker
!
!
security authentication failure rate 5 log
logging count
logging buffered 50000
enable secret 5 xxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
!
aaa session-id common
clock timezone EET 2 0
clock summer-time EET recurring last Sun Mar 3:00 last Sun Oct 3:00
service-module wlan-ap 0 bootimage autonomous
!
crypto pki trustpoint TP-self-signed-2039298027
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2039298027
 revocation-check none
 rsakeypair TP-self-signed-2039298027
!
!
crypto pki certificate chain TP-self-signed-2039298027
 certificate self-signed 01 nvram:IOS-Self-Sig#E.cer
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!




!
ip dhcp excluded-address 192.168.1.1 192.168.1.10
!
ip dhcp pool LAN
 import all
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 192.168.1.1
 lease infinite
!
ip dhcp pool VPN_ROUTER
 import all
 host 192.168.2.2 255.255.255.0
 client-identifier 0124.f5a2.2d7f.19
 default-router 192.168.2.1
 dns-server 192.168.2.1
 client-name VPN_ROUTER
 lease infinite
!
!
!
ip name-server 1.1.1.1
ip name-server 1.0.0.1
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip ddns update method sdm_ddns1
 HTTP
  add http://xxxxxxxxxxxxxxx
  remove http://xxxxxxxxxxxxxxx
 interval maximum 0 1 0 0
 interval minimum 0 0 5 0
!
ip cef
no ip igmp snooping
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C887VA-W-E-K9 sn xxxxxxxxxxxxxxx
!
!
archive
 log config
  hidekeys
username xxxxxxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxxxxx
!
redundancy
!
!
!
!
!
controller VDSL 0
 operating mode vdsl2
no cdp run
!
track 1 ip sla 1 reachability
!
!
!
!
!
!
!
bridge irb
!
!
!
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly in
 shutdown
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 ip virtual-reassembly in
 shutdown
 pvc 8/35
  encapsulation aal5snap
  pppoe-client dial-pool-number 1
 !
!
interface Ethernet0
 no ip address
 no ip redirects
!
interface Ethernet0.835
 encapsulation dot1Q 835
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet0
 description lan
 switchport mode access
 no ip address
 no cdp enable
!
interface FastEthernet1
 description vpn
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface FastEthernet2
 description ### Backup 4G ###
 switchport trunk native vlan 5
 switchport mode trunk
 no ip address
 no cdp enable
!
interface FastEthernet3
 description ### VoIP ###
 switchport access vlan 3
 switchport voice vlan 3
 no ip address
 no cdp enable
 spanning-tree portfast
!
interface Wlan-GigabitEthernet0
 switchport access vlan 4
 switchport mode access
 no ip address
 no cdp enable
!
interface wlan-ap0
 description Service module interface to manage the embedded AP
 ip unnumbered Vlan4
!
interface Vlan1
 description lan LAN
 ip address 192.168.1.1 255.255.255.0
 ip broadcast-address 192.168.1.255
 ip nbar protocol-discovery
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan2
 description vpn LAN
 ip address 192.168.2.1 255.255.255.0
 ip broadcast-address 192.168.2.255
 ip nbar protocol-discovery
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan3
 description VOIP LAN
 ip address 192.168.3.1 255.255.255.248
 ip broadcast-address 192.168.3.7
 ip nbar protocol-discovery
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan4
 description WLAN
 ip address 192.168.4.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan5
 description ### Backup 4G 192.168.6.0/24 ###
 ip address dhcp
 ip nbar protocol-discovery
 ip nat outside
 ip virtual-reassembly in
!
interface Dialer0
 mtu 1454
 ip ddns update hostname xxxxxxxxxxxxxxx
 ip ddns update sdm_ddns1
 ip address negotiated
 ip access-group 111 in
 ip nbar protocol-discovery
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in max-reassemblies 64
 encapsulation ppp
 ip tcp adjust-mss 1414
 shutdown
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 no cdp enable
 ppp authentication pap chap callin
 ppp chap hostname xxxxxxxxxxxxxxx
 ppp chap password xxxxxxxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxx
!
ip local policy route-map SLA_ICMP
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat pool voip 192.168.3.2 192.168.3.3 netmask 255.255.255.248 type rotary
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 2 interface Dialer0 overload
ip nat inside source list 3 interface Dialer0 overload
ip nat inside source list 4 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 443 interface Dialer0 443
ip nat inside source route-map WAN_BACKUP interface Vlan5 overload
ip nat inside source route-map WAN_PRIMARY interface Dialer0 overload
ip nat inside destination list voip pool voip
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 Vlan5 dhcp 10
ip ssh maxstartups 2
ip ssh time-out 10
ip ssh version 2
ip scp server enable
!
ip access-list extended voip
 permit udp any any range 10000 65000
!
ip sla 1
 icmp-echo 8.8.8.8 source-interface Dialer0
 frequency 10
ip sla schedule 1 life forever start-time now
logging trap debugging
dialer-list 1 protocol ip permit
ipv6 ioam timestamp
!
route-map WAN_BACKUP permit 10
 match ip address 100
 match interface Vlan5
!
route-map SLA_ICMP permit 10
 match ip address 101
 set interface Dialer0
!
route-map WAN_PRIMARY permit 10
 match ip address 100
 match interface Dialer0
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 remark SDM_ACL Category=2
access-list 3 permit 192.168.3.0 0.0.0.7
access-list 4 remark SDM_ACL Category=2
access-list 4 permit 192.168.4.0 0.0.0.255
access-list 5 permit 192.168.6.0 0.0.0.255
access-list 23 permit 194.110.218.101
access-list 23 remark CCP_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.4.0 0.0.0.255 any
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
access-list 100 permit ip 192.168.3.0 0.0.0.7 any
access-list 101 permit icmp any host 8.8.8.8
access-list 111 remark CCP_ACL Category=17
access-list 111 bla bla bla
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
alias exec speed show controllers vdSL 0 | include Speed
alias exec noise show controllers vdSL 0 | include Noise
alias exec ap service-module wlan-ap0 session
alias exec vdsl show controllers vdSL 0
alias exec uptime show version | include uptime
alias exec clients show ip dhcp binding
alias exec cpu show processes cpu history
alias exec aliases show running-config | include alias
alias exec temp show environment all
alias exec updown show logging | include %CONTROLLER-5-UPDOWN: Controller VDSL 0
alias exec attainable show controllers vdSL 0 | include Attainable
alias exec attenuation show controllers vdsl 0 | include Attenuation
alias exec nslookup tclsh flash:nslookupv3.tcl
alias exec FECC show controllers vdSL 0 | include FECC
alias exec CRC show controllers vdSL 0 | include CRC
alias exec errors show controllers vdSL 0 | include Errors:
alias exec mspant ssh -l xxxxxxxxx -p 5400 xxxxxxxx
alias exec clearcounters clear controller vdSL 0
alias exec espant ssh -l xxxxx xxxxxx
banner exec ^C
You have entered device $(hostname).$(domain) at line $(line) $(line-desc)


^C
banner login ^C




                Welcome Authorized Users , Unauthorized access to this device is prohibited!
^C
!
line con 0
 exec-timeout 0 0
 privilege level 15
 no modem enable
 transport preferred none
 speed 115200
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input telnet ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 0 0
 privilege level 15
 length 0
 transport preferred none
 transport input ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
ntp server 62.103.129.253
ntp server 194.177.210.54 minpoll 10
!
!
!
!
!
!
event manager applet Fritz_Down
 event track 1 state up
 action 1.0 cli command "enable"
 action 2.0 mail server "192.168.1.10" to "xxxxxxxxxxxxxxx@localhost" from "xxxxxxxxxxxxxxx@localhost" subject "ip sla restored" body "primary line restored"
 action 3.0 cli command "clear ip nat translation forced"
 action 4.0 cli command "exit"
event manager applet Dialer0_Down
 event track 1 state down
 action 1.0 cli command "enable"
 action 2.0 mail server "192.168.1.10" to "xxxxxxxxxxxxxxx@localhost" from "xxxxxxxxxxxxxxx@localhost" subject "ip sla timeout" body "timeout on primary line"
 action 3.0 cli command "clear ip nat translation forced"
 action 4.0 cli command "exit"
!
end

----------


## stzanlis

Καλημέρα,

*ΛΟΙΠΟΝ, το πρόβλημα σου ΔΕΝ έχει να κάνει με τις ρυθμίσεις του CISCO.*
Όταν προσπαθείς να ανοίξεις μία σελίδα που βρίσκετε σε Web Server που είναι στο *ΙΔΙΟ LAN* με τον υπολογιστή σου, χρησιμοποιώντας ένα FQDN "Fully Qualified Domain Name", τότε συμβαίνουν τα εξής:

1) Ο browser να στείλει ένα DNS querry στον DNS Server.
2) O DNS Server απαντάει με την PUBLIC IP της σελίδας που ζητάς. (που την βρίσκει από το NoIP).
3) Ο browser προσπαθεί να ανοίξει την WEB σελίδα μέσω της public IP.
4) Το αίτημα του browser φτάνει στον Dialer Interface του CISCO, το οποίο βλέπει ότι ΔΕΝ γνωρίζει τίποτα για αυτό που ζητάει ο browser και έτσι στέλνει τα πακέτα στο DEFAULT GATEWAY του Dialer αντί να τα εισάγει πάλι πίσω προς το LAN, εφόσον υπάρχει η εντολή "ip route 0.0.0.0 0.0.0.0 Dialer 1" Φυσικά ο default gateway που βρίσκετε στον πάροχο, ΔΕΝ γνωρίζει τίποτα για το siteμας και εφόσον οι router οταν δρομολογούν πακέτα ΔΕΝ τα στέλνουν ποτέ πίσω στην ίδια πόρτα από όπου τα έλαβαν, τα πακέτα πάνε στον Καιάδα....

*Το "WORKARROUND"*
 Για να δεις λοιπόν τον WEB Server που βρίσκετε στο ίδιο LAN με το PC (ή πίσω από τον ίδιο router για την ακρίβεια), πρέπει να βάλεις μία εγγραφή στο αρχείο "*hosts*" με την ΕΣΩΤΕΡΙΚΗ IP του WEB Server και μετά το πλήρες όνομα του WEB Site. Έτσι όποτε γράφεις το ΟΝΟΜΑ του site σου, ο υπολογιστής θα βλέπει το αρχείο "hosts" και θα παίρνει την LOCAL IP αντί για την Public IP.
Με αυτό το αρχείο μπορείς να φτιάξεις ΠΟΛΛΑ virtual web sites στον Apache και να ανοίγεις το κάθε site me to όνομα του, έχοντας ΟΛΑ τα site την ίδια IP.
Για παράδειγμα, αν έχεις πέντε virtual sites στον Apache, μπορείς να χρησιμοποιήσεις το παρακάτω "hosts" αρχείο.


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
192.168.1.10  www.mysite1.com
192.168.1.10  www.mysite2.com
192.168.1.10  www.mysite3.com
192.168.1.10  www.mysite4.com
192.168.1.10  www.mysite5.com

Με αυτό το "hosts" όταν στον browser δίνεις *www.mysite1.com* θα σου ανοίγει το site 1, ενώ όταν στον browser δίνεις *www.mysite4.com* θα σου ανοίγει το site 4, ΠΑΡΟΛΟ που και τα δύο έχουν την ΙΔΙΑ IP.


Το αρχείο "hosts" βρίσκετε στο C:\Windows\System32\Drivers\etc


.

- - - Updated - - -

*ΕΠΙΣΗΣ, στο θέμα του FRITZ Failover, το πρόβλημα ΔΕΝ είναι στο configuration του CISCO, αλλά στο FRITZ.*

Αυτό που συμβαίνει όταν πέφτει ο dialer στο cisco είναι το εξής:

1) Τα local PC που βρίσκονται στο δίκτυο 192.168.1.0 255.255.255.0 ζητάν να ανοίξουν μία σελίδα στο internet.
2) Για να συμβεί αυτό, το PC στέλνει ένα http request στο Default gateway, το οποίο είναι ο CISCO Router με Source Address την IP του PC (για παράδειγμα το 192.168.1.55) και destination address την public IP της σελίδας. 
3) Ο Cisco router κάνει encapsulation το πακέτο και το στέλνει στο δικό του default gateway που είναι το FRITZ, με Source Address την IP του Cisco router (για παράδειγμα το 192.168.6.1) και destination address την public IP της σελίδας. 
4) Το FRITZ στέλνει το request στο δικό του gateway που είναι ο provider και ούτω καθ' εξής.... Μέχρι το http request να φτάσει στον Web Server.

Όταν ο Web Server λάβει τελικά το http request στέλνει ένα reply στο FRITZ που (ΠΟΛΥ Χοντρικά) του λέει ότι είναι έτοιμος να στείλει την σελίδα στο IP 192.168.1.55 που την ζήτησε.
ΑΛΛΑ το routing table του FRITZ, *ΔΕΝ ΞΕΡΕΙ ΤΙΠΟΤΑ για το δίκτυο 192.168.1.0 /24* οπότε και κάνει drop τα πακέτα που λαμβάνει από τον Web Server !!!!


*Η ΛΥΣΗ:*
Πρέπει να φτιάξεις ένα Static Route στο FRITZ που να λέει στο FRITZ ότι πρέπει να δρομολογήσει όλα τα πακέτα που λαμβάνει, στον CISCO Router.
Δεν γνωρίζω πώς γίνετε αυτό στο FRITZ, αλλά αν ήταν CISCO η εντολή θα ήταν "ip route 192.168.1.0 0.0.0.0 192.168.6.2" όπου το 192.168.6.2 είναι η IP του VLAN 5 στον CISCO.
*Το VLAN 5 πρέπει να έχει static IP (όχι από DHCP) και ΔΕΝ πρέπει να κάνει NAT, εφόσον είναι μόνο μια σύνδεση μεταξύ δύο routers.*

*ΕΝΑΛΑΚΤΙΚΑ:*
Μπορείς να ενεργοποιήσεις ΚΑΙ στους δύο routers το πρωτόκολλο RIP οπότε γλιτώνεις το static route στο FRITZ.

Αν χρειάζεσαι περισσότερη βοήθεια, εδώ είμαι....

.

----------

