На просторах сети можно найти много информации по настройке оборудования CISCO для PPPoE, но нигде я не встретил настроек именно для Дом.RU. А нюансов выявилось прилично.
Поэтому я предлагаю своб новфигурацию, которая работает, которая заточена под особенности авторизации, MTU и MSS ЭР-Телекома.

И так — приступим.

 

Сама секция настроцки PPPoE не более чем тривиальна.

!
interface FastEthernet0/0
 description === WAN ===
 no ip address
 no ip proxy-arp
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 description === LAN ===
 ip address 10.10.45.1 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!         
interface Dialer0
 ip address negotiated
  no ip proxy-arp
 ip mtu 1492
 ip inspect INSPECT_OUT out
 ip ips sdm_ips_rule in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname ВАШ_ЛОГИН
 ppp chap password 7 ВАШ_ПАРОЛЬ
!         
ip nat inside source list NAT interface Dialer0 overload

Обратите внимание на праметр

 ip tcp adjust-mss 1452

Он задает максимальный размер блока при прохождении фрагментированных пактов. В Ethernet по умолчанию замер окна (MTU) 1500, но про подключении PPPoE он сокращается и в данном случае mtu = 1492, но как показала практика у оператора, или его провайдера на границе сетей стоит оборудование, которое использует еще меньший MTU и некоторые высоконагруженные ресурсы, такие как google или vkontakte, могут не открываться, или открываться не полностью (без картинок или части блоков). В итоге был подобрам максимальный комфортный размер окна, который надо было согласовать с внутренним интерфейсом на котором по умолчанию MTU 1500. для этого мы и спользовали параметр ip tcp adjust-mss 1452 на внутреннем интерфейсе.

Так же обнаружилось, что в сети ЭР-Телеком буйствуют некоторые довольно серьезные угрозы.
Например в своей подсети я отловил ДВА «левых» PPPoE сервера. Чем это грозит я думаю объяснять не надо.
Так же было замечено большое количество аномальной активности как внутри сегмента сети, так и за его пределами. У кого-то вирусы буйствуют, кто-то  не умеет работать с Nmap, а кто-то  и вовсе анонсит в сеть левые МАСи и IP. Что доставляет. (Админам сети на заметку)
Так как мое оборудование позволяло я настроил базовую защиту на уровне фаервола и поднял IPS-защиту, дабы обезопасить себя и свой роутер от всякого рода атак, осбенно DOS и DDoS. Это работает не тольок на стороне ЭРТК, но и на всех интерфейсах к котрорым у меня подведен интернет (а это 4 шнурка, если помните)

Кому интересно — вот конфиг полностью.

!
version 12.4
no service pad
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname nskc2801
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
clock timezone NOVST 7
no ip source-route
ip cef
!
!
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
!
!
ip ips sdf location flash://128MB.sdf
ip ips notify SDEE
ip ips name ips_rule
no ip bootp server
ip domain name name.domain.name
ip name-server 217.70.119.206
ip name-server 217.70.119.150
ip name-server 8.8.8.8
!
!
!
!
username cisco privilege 15 secret <ВАШ_ПАРОЛЬ>
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! 
!
!
!
interface FastEthernet0/0
 description === WAN ===
 no ip address
 no ip proxy-arp
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!         
interface FastEthernet0/3/0
!         
interface FastEthernet0/3/1
!         
interface FastEthernet0/3/2
!         
interface FastEthernet0/3/3
!         
interface Vlan1
 description === LAN ===
 ip address 10.10.45.1 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!         
interface Dialer0
 ip address negotiated
 ip access-group FIREWALL in
 no ip proxy-arp
 ip mtu 1492
 ip inspect INSPECT_OUT out
 ip ips ips_rule in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname ЛОГИН
 ppp chap password 7 ПАРОЛЬ
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!         
ip http server
no ip http secure-server
ip nat inside source list NAT interface Dialer0 overload
ip dns server
!         
ip access-list extended FIREWALL
!
! тут полотенце из правил - может создать свои   (по умолчанию все завпрещенно снаружи)
!
ip access-list extended NAT
 permit ip host 10.10.45.2 any
 permit ip host 10.10.45.3 any
! и еще куча хостов, динамический нат я не использую по ряду причин, но вы можете и заюзать
!         
dialer-list 1 protocol ip permit
!         
!         
control-plane
!         
banner login ^CCAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user! ^C
!         
line con 0
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!         
scheduler allocate 20000 1000
ntp clock-period 17179814
ntp update-calendar
ntp server 62.117.76.142
ntp server 10.10.45.2
end

На этом все! Роутер готов к употреблению интернета =)