Chinaunix

标题: pppoe 能拨上但不能上网。为何？ [打印本页]

作者: qdigrp 时间: 2011-10-11 17:02
标题: pppoe 能拨上但不能上网。为何？
本帖最后由 qdigrp 于 2011-10-12 10:58 编辑

小弟最近很无奈，要为公司里的某个部门搭建pppoe，哎，实在气人。还要尽量节约成本，于是我就在网上找相关资料，发现ros 可以实现这个功能，
接下去我就搭环境，用真机做实验。拓扑如下。

操作步骤
1.我在pppoe server 用winbox配置了相关信息，比如wan口的ip address lan口的ip address 以及ppp--->profile ip -firewall--nat--aution masquerade 等一些内容。

2.客户端也能正常的拨上来，并且也获取了正确的 ip address

3.客户端拨上之后，就是死活上不了网.

我也在分析为何上不了，看了网上的，我总结了一下，

1.是不是和网络环境有关，我的环境并不是adsl的，是lan .

2.是不是我应该将pppoe server直接放在公网上，不经过3750\\4506 \\firewall..然后在pppoe server这台服务中的wan网卡，给予公网地址，但这样的话好像很不安全，

最后请大家指点指点，我的问题到底出在哪里！

tracert.JPG (17.95 KB, 下载次数: 50)

pppoe.JPG (41.87 KB, 下载次数: 46)

ip.JPG (35.97 KB, 下载次数: 44)

作者: qdigrp 时间: 2011-10-11 17:19
我在想是否有必要将ros的配置一并发上来？

作者: qdigrp 时间: 2011-10-11 17:37
本帖最后由 qdigrp 于 2011-10-13 13:10 编辑

以下是我的ros的配置

1.给二张网卡配地址：
[admin@mikro tik ]>ip add
[admin@mikro tik ]/ip add>add add 192.168.4.0 netmask=255.255.255.0 interface=lan

[admin@mikro tik ]/ip add>add add 192.168.7.0 netmask=255.255.255.0 interface=wan

2。建立地址池
[admin@mikro tik ]>ip pool
[admin@mikro tik ]/ip pool>add name=pppoe ranges=192.168.4.2-192.168.4.254

3。建立用户类型
[admin@mikro tik ]>ppp
[admin@mikro tik ]/ppp>profile
[admin@mikro tik ]/ppp profile>add name=1m local-address=192.168.4.254 remote-address=pppoe dns-server=61.153.177.197 rate-limit=1m/1m only one=yes

4。建立帐号信息
[admin@mikro tik ]>ppp secret
[admin@mikro tik ]/ppp secret >add name test pass=test profile=1m service=pppoe

5。建立pppoe 服务器
[admin@mikro tik ]>interface pppoe-server server
[admin@mikro tik ]/interface pppoe-server server>add service-name=pppoe interface=lan default-profile=default-encryption one-session-per-host=yes

6。NAT封装上网
[admin@mikro tik ]>ip firewall
[admin@mikro tik ]i/ip firewall nat>action= masquerade
[admin@mikro tik ]>ip routes
[admin@mikro tik ]/ip routes>add dst-address 0.0.0.0/0 gateway 192.168.4.0 interfac=wan

作者: qdigrp 时间: 2011-10-11 17:52
对了，有一点需要和大家说明的是，只要将pppoe server 的能扔到3750就可以了，因为从3750至internet 都没有问题的

作者: ssffzz1 时间: 2011-10-11 22:38
PPPOE客户端的ipconfig /all贴上来。

作者: aplah 时间: 2011-10-12 08:17
回复 4# qdigrp

现在接的不正是3750?，我感觉是你路由的问题，你从获得pppoe的机器tracert一下看看

作者: qdigrp 时间: 2011-10-12 09:19
回复 6# aplah

感谢你的回复
现在的确接在3750上，另外路由绝对是没有问题的，因为3750到4506就是现在的主体网络，一切运行正常

可能你说的路由问题是否是ros 上的路由，这块我也在怀疑。

作者: qdigrp 时间: 2011-10-12 11:00
回复 5# ssffzz1

bz 我已经将ipconfig /all的内容贴上来，你看看

作者: qdigrp 时间: 2011-10-12 11:02
回复 6# aplah

你好，tracert 我也做过了，发现它可以到wan的地址，但不能直接tracert 到外面去，比如tracert www.google.com(74.125.71.99),谢谢

作者: ssffzz1 时间: 2011-10-12 18:40
也就是说DNS能够解析到外面的域名是吗？？？

ping www.163.com

ping 202.102.134.68

2个的结果看下。

作者: qdigrp 时间: 2011-10-13 08:59
回复 10# ssffzz1

客户端不能tracert www.163.com
如果可以的话，应该就能上网了。

我在想我这样的拓扑设计是否合理？是不是要将pppoe这台服务器直接接在外面的那个做透明的cisco交换机上。

作者: japgone 时间: 2011-10-13 10:35
请检查以下事项：

1. ROS 上是否启用了NAT?如已启用，只需检查ROS是否可以上网和NAT设置是否正确。
2. 如果ROS上没有启用NAT，首先需要检查做NAT的设备上是否已经把192.168.4.0/24加入到ACL，然后要确认相关的网络设备上有到192.168.4.0/24的正确路由条目。

作者: qdigrp 时间: 2011-10-13 11:28
感谢你的回复
ros上的NAT 我已做了，masquerade，但是ros上不了网
另外，我用我的笔记本电脑直接插在wan口级联的交换机（192。168。4。0/24）并且随便配了个ip
192。168。4。23/24 ，我的电脑就能上网，说明路由也是没有问题的。

作者: ssffzz1 时间: 2011-10-13 12:55
/ip routes>add dst-address 0.0.0.0/0 gateway 192.168.7.0 interfac=wan

192.168.7.0 是网关？？？？？

作者: qdigrp 时间: 2011-10-13 13:11
网关应该是4.254

作者: qdigrp 时间: 2011-10-13 13:12
这里我写错了

作者: qdigrp 时间: 2011-10-13 13:57
整个ros里面的nat，就只有如下图

nat.JPG (35.05 KB, 下载次数: 33)

作者: qdigrp 时间: 2011-10-13 14:09
ros 这台服务器ping www.163.com也不能通
提示：

[admin@mikrotik]>ping 122.227.209.17
no route to host
no route to host
no route to host
no route to host

作者: qdigrp 时间: 2011-10-13 14:30
现在改了，一下，pppoe这台服务器能上网了，因为他能ping 122。227。209。17

将原来的3.254 改成了3.1 3。1 这个地址是3750的vlan 3的网关地址！

untitled.JPG (29.56 KB, 下载次数: 25)

作者: qdigrp 时间: 2011-10-13 14:47
现在总结一下:
目前pppoe服务器已经ping 通外网了。但是底下的客户端还是不能上网，因为底下的客户端他只能拼通本机192。168。4。x/32和网关192.168.4.254 以及pppoe 服务器的地址（192。168。3。254）

如果底下的客户端能ping192。168。3。1 这个地址，我想就可以成功了，现在就卡在这里了，

come on ！

作者: ssffzz1 时间: 2011-10-13 15:22
你看看ROS的缺省路由。和NAT的配置。

作者: qdigrp 时间: 2011-10-13 15:35
缺省路由就是上图的这四条路由，而且后三条是不可更改的，只有第一条可更改

作者: ssffzz1 时间: 2011-10-13 15:39
关键是你LAN口为什么还是4段的地址呢？PPPOE服务器的LAN口不需要设置地址的。

作者: qdigrp 时间: 2011-10-13 15:42
回复 12# japgone

将4.0 加入哪里的acl，

作者: qdigrp 时间: 2011-10-13 16:57
回复 24# ssffzz1

那我去掉好了，可是还是没有用，问题可能不是这个原因引起的。

作者: ssffzz1 时间: 2011-10-13 17:19
你PPPOE拨号成功后

能ping 通ROS上192.168.3.X的那个地址吗？

能PING通192.168.3.1这个地址吗？

作者: qdigrp 时间: 2011-10-13 18:30
回复 27# ssffzz1

拨入成功后，我能ping 通192.168.3.254,但是不能ping 通192.168.3.1

作者: ssffzz1 时间: 2011-10-13 19:16
这么说你要检查NAT的设置了。抓图给我吧。

作者: qdigrp 时间: 2011-10-14 08:59
以下两幅图是ros的nat 和route

从图上ros的nat 似乎并没有启用，因为前面有一个“x”
但我不知道为什么不能启用，

nat.JPG (32.21 KB, 下载次数: 31)

route.JPG (25.96 KB, 下载次数: 32)

作者: zlj2208 时间: 2011-10-14 09:05
1. 既然已经有FW了,就在FW上在启用NAT,把 PPPoE Server(Ros) 上的NAT去掉;
2. 在FW,4506,3750上增加 PPPoE 地址池的回程路由;

回复 1# qdigrp

作者: ssffzz1 时间: 2011-10-14 09:57
不太明白为什么NAT不对，很久没摸过ROS了。要不你可以按照31楼的方法。

作者: qdigrp 时间: 2011-10-14 10:53
回复 31# zlj2208

如果客户端的数据包到不了FW ，你FW做什么样的type都没有用，
另外那些回指路由，我都做过了。

作者: ssffzz1 时间: 2011-10-14 11:27
你排查一下NAT那个条目为什么没生效啊。

作者: zlj2208 时间: 2011-10-15 10:17
本帖最后由 zlj2208 于 2011-10-15 10:21 编辑

像你这种类似用法,N年前我弄过.当时就在外网FW上做的NAT,没有问题的.

1. 在PPPoE客户端上拨号,然后分别 tracert 3750,4506,外网FW的内网IP和外网IP.
2. 在FW,3750,4506上 tracert PPPoE客户端.
通过trace肯定能找到问题所在,如果都通,证明路由没有问题,查FW的设置了;如果不通证明路由有问题,根据不同情况找原因吧.

把上面的结果贴上来,看到哪来有问题.

回复 33# qdigrp

作者: qdigrp 时间: 2011-10-17 12:46
回复 35# zlj2208

好的，我会把这些信息贴上来。给我点时间，

但在ros中的nat 里，为什么那一条做封装的条目不能生效？这个我就搞不明白了。/

你知道吗？

你可以参考我在上面的贴上来的图，看看。

作者: qdigrp 时间: 2011-10-18 10:25
本帖最后由 qdigrp 于 2011-10-18 10:42 编辑

以下两幅图是从4506和ns500 trac-route 到客户端的，都不通

我想这个原因就是那条nat 没有启用的关系。

从客户端到4506 、3750、fw都不通
。

是不是版本的问题引起的，我已经尽力了。各位

4506.JPG (13.12 KB, 下载次数: 35)

ns500.JPG (30.22 KB, 下载次数: 35)

作者: qdigrp 时间: 2011-10-18 10:37
从这幅图上看，这台ros服务器既可以ping能外网也可以ping通pppoe客户端4.254

是不是lan 和wan 两张网卡间要做桥接之类的。

ros.JPG (90.42 KB, 下载次数: 33)

作者: ssffzz1 时间: 2011-10-18 13:03
晕死。
这样吧，你把NAT的配置抓图我看下。

作者: qdigrp 时间: 2011-10-18 14:35
回复 39# ssffzz1

我上面已经发过好几张图了，现在我换了一个版本了ros 5.7的,弄好之后，情况还是一样，

客户端的数据包，只能到达ros服务上，到不了4506上

作者: qdigrp 时间: 2011-10-18 14:36
这一张NAT是 ros5.7 的图，可以看到他已经enable了，但。。。。。。。。。。。。。。。。

客户端的IP全部为192.168.4.2---254的，所以我这样配置，应该没有错的

44.JPG (30.92 KB, 下载次数: 29)

作者: ssffzz1 时间: 2011-10-18 14:48
给我那个NAT配置界面的我看下。dst address 那个可以不选吗？ chain选项还有啥？？

作者: qdigrp 时间: 2011-10-18 15:00
现在，又进步了一点，能ping 192。168。3。1（是4506 的vlan 3网关地址）原来是ping 不通的，
但是还不能上网，是不是ros需要破解才能正常工作，我的没有破解的，

作者: ssffzz1 时间: 2011-10-18 15:06
192.168.3.1 是4506的VLAN3网关地址。

你在4506上的192.168.4.0段的路由删掉看看NAT能正常工作不。如果不能可能还是上不了。

作者: qdigrp 时间: 2011-10-18 15:52
4506上其实没有一条为4.0/24写的路由

因为他有一条大的路由包含了4.0的网段。

我就想不明的，客户端都ping通了，vlan 3的网关地址怎么就不能上网了。

作者: qdigrp 时间: 2011-10-18 15:52

作者: ssffzz1 时间: 2011-10-18 16:18
4506上的路由表我看下。

下面的客户端现在：
ping www.163.com
ping 202.102.134.68
的结果看下了。

作者: qdigrp 时间: 2011-10-18 16:34
这些地址当然拼不通了，拼通了就好办了

作者: ssffzz1 时间: 2011-10-18 16:39
晕死了。45的路由表你倒是给我看下啊。
我要你帖结果。我是想知道域名能解析否？？

作者: qdigrp 时间: 2011-10-18 16:48
本帖最后由 qdigrp 于 2011-10-18 16:50 编辑

我在4506上加了一条route

192.168.4.0 255.255.255.0 192.168.3.254

结果pppoe客户端可以正常的ping 能4506 和fw 的内网的地址了。

然后从FW trace-route 192.168.4.254(client)也能通，

但是客户端还是上不了网

作者: ssffzz1 时间: 2011-10-18 17:07
因此我要你的这些东西啊。理论上NAT对了就可以了。

你要走路由过去的话。你的公网出口的那个NAT设备要允许4这个网段的。

作者: qdigrp 时间: 2011-10-18 17:09
本帖最后由 qdigrp 于 2011-10-18 17:53 编辑

这是所有的路由

作者: witingnet 时间: 2011-10-18 17:40
搭建pppoe？好搭建么啊？

作者: qdigrp 时间: 2011-10-18 17:46
好了，问题已解决,就是把FW里的，4网段允许出去，
哎，非常感谢

作者: qdigrp 时间: 2011-10-18 17:53
但是还有一个疑问，客户端通了之后，采用pppoe的方式上网，
为什么他又能拼通其他的内网的网段的，默认的情况下就能ping 通的吗？还是说需要在ros做相关的配置才行。
记得采用pppoe协议应试不会通的，又不是arp 广播出去的.

作者: qdigrp 时间: 2011-10-18 17:55
整个测试，然后给我的感觉就像ros 并没有启到太多的用途，只不过就一个pppoe，控制还是需要在我的fw上做的，

作者: ssffzz1 时间: 2011-10-18 18:10
唉，不想说啥了。

1、你ROS上的NAT肯定没启作用。你可以去掉试试。
2、你目前的组网挺好的，ROS起一个NAS的作用，路由模式。
3、你给我解释一下，它为什么要和内网不通呢？？？？？？？。PPPOE不能和以太网通的话，为什么呀？？

作者: qdigrp 时间: 2011-10-19 10:26
本帖最后由 qdigrp 于 2011-10-19 16:06 编辑

回复 57# ssffzz1

如你所说，的确ros上的nat disable掉，客户端也是能上网的，也就是说ros上的nat 根本要不要无所谓

我一直觉得采用pppoe上网的客户端绝对不能ping通其他的网段，除了ros的服务器和网关外，

现在，我拿两台客户端电脑做测试，获得不同的ip，（4。254 / 4。251）但他们之间可以互相ping 通，

这样的话，对我来说已经没意义了，我就是要让客户端之间不能互相通的，（从某种意义上讲可以有效的防止病毒的互染等。）

是不是我要在ros里设置相关的参数，才能满足我的要求。

其实我真不懂一些网络协议原理！

作者: jamesr 时间: 2011-10-19 23:05
提示: 作者被禁止或删除内容自动屏蔽

作者: ssffzz1 时间: 2011-10-20 08:57
回复 59# jamesr

难道你就不需要开放到外网的吗？？？？

应该是反过来，
1、放开到网关的。
2、DENY 4网段的。
3、放开所有。

作者: ssffzz1 时间: 2011-10-20 08:57
qdigrp

1、PPPOE不怕ARP病毒的。因为他压根就不用ARP协议。
2、如果要用户间不能通讯的话，在ROS上配FW是一个方法。另外如果你的交换机支持端口隔离的话也可以哦。

作者: 七锦十年 时间: 2011-10-20 12:02
提示: 作者被禁止或删除内容自动屏蔽

作者: 七锦十年 时间: 2011-10-20 12:03
提示: 作者被禁止或删除内容自动屏蔽

作者: 蝴蝶姐姐001 时间: 2011-10-20 16:38
改天回去试试。

作者: zmcjs 时间: 2011-10-21 14:46
是不是dns没有配好啊！

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)