Problema connessione esterno verso interno Router 1841

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

Salve ragazzi il problema è il seguente non riesco ad effettuare il telnet ad un server interno,
la configurazione è la seguente:

Codice: Seleziona tutto

Current configuration : 3692 bytes
!
! Last configuration change at 10:14:42 CET Thu Dec 15 2011
! NVRAM config last updated at 12:07:37 CET Wed Dec 14 2011
!
version 12.4
service timestamps debug datetime
service timestamps log datetime
no service password-encryption
!
hostname Deltarouter
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 $1$Y8.N$qyvtK3n7jx9VvbWDiaI9m/
enable password cisco
!
no aaa new-model
!
resource policy
!
clock timezone CET 1
clock summer-time CETDST recurring last Sun Mar 3:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server 82.113.193.3
ip name-server 82.113.193.4
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!         
!
!
!
interface Loopback1
 no ip address
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ES_LAN$
 ip address 10.20.61.254 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Serial0/0/0
 no ip address
 encapsulation frame-relay IETF
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no fair-queue
 frame-relay lmi-type cisco
!
interface Serial0/0/0.1 point-to-point
 ip address 82.113.207.202 255.255.255.252
 ip nat outside
 no ip route-cache
 no ip mroute-cache
 no cdp enable
 no arp frame-relay
 frame-relay interface-dlci 100 IETF   
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
!
!
ip http server
no ip http secure-server
ip nat inside source list 50 interface Serial0/0/0.1 overload
ip nat inside source static tcp 10.20.61.110 8479 interface Serial0/0/0.1 8479
ip nat inside source static tcp 10.20.61.110 8478 interface Serial0/0/0.1 8478
ip nat inside source static tcp 10.20.61.110 8477 interface Serial0/0/0.1 8477
ip nat inside source static tcp 10.20.61.110 8476 interface Serial0/0/0.1 8476
ip nat inside source static tcp 10.20.61.110 8475 interface Serial0/0/0.1 8475
ip nat inside source static tcp 10.20.61.110 8474 interface Serial0/0/0.1 8474
ip nat inside source static tcp 10.20.61.110 8473 interface Serial0/0/0.1 8473
ip nat inside source static tcp 10.20.61.110 8472 interface Serial0/0/0.1 8472
ip nat inside source static tcp 10.20.61.110 8471 interface Serial0/0/0.1 8471
ip nat inside source static tcp 10.20.61.110 8470 interface Serial0/0/0.1 8470
ip nat inside source static tcp 10.20.61.110 449 interface Serial0/0/0.1 449
ip nat inside source static tcp 10.20.61.110 446 interface Serial0/0/0.1 446
ip nat inside source static tcp 10.20.61.110 23 interface Serial0/0/0.1 23
ip nat inside source static tcp 10.20.61.110 21 interface Serial0/0/0.1 21
ip nat inside source static tcp 10.20.61.110 20 interface Serial0/0/0.1 20
!
access-list 10 permit any
access-list 50 permit 10.20.61.0 0.0.0.255
no cdp run
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 password *********
 login
 rotary 50
!
ntp clock-period 17178291
ntp server 193.204.114.232
ntp server 193.204.114.233
end
Grazie per un qualsiasi aiuto
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
il telnet dall'indirizzo interno funziona?
Dai un

Codice: Seleziona tutto

sh ip nat translation
e posta il risultato.
Prova adisabilitare il telnet sul router.

Codice: Seleziona tutto

line vty 0 4
transport input none
. Se mi ricordo bene prima viene fatto il NAT perciò non dovrebbe dipendere da questo.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

Se faccio telnet dal router al server tutto funziona, mentre se lo faccio da remoto non va

questo è il risultato di

show ip nat translations:

Codice: Seleziona tutto

tcp 82.113.207.202:20  10.20.61.110:20    ---                ---
tcp 82.113.207.202:21  10.20.61.110:21    ---                ---
tcp 82.113.207.202:23  10.20.61.110:23    78.7.150.89:45330  78.7.150.89:45330
tcp 82.113.207.202:23  10.20.61.110:23    82.49.112.146:14772 82.49.112.146:14772
tcp 82.113.207.202:23  10.20.61.110:23    ---                ---
tcp 82.113.207.202:446 10.20.61.110:446   ---                ---
tcp 82.113.207.202:449 10.20.61.110:449   ---                ---
tcp 82.113.207.202:8470 10.20.61.110:8470 ---                ---
tcp 82.113.207.202:8471 10.20.61.110:8471 ---                ---
tcp 82.113.207.202:8472 10.20.61.110:8472 ---                ---
tcp 82.113.207.202:8473 10.20.61.110:8473 ---                ---
tcp 82.113.207.202:8474 10.20.61.110:8474 ---                ---
tcp 82.113.207.202:8475 10.20.61.110:8475 ---                ---
tcp 82.113.207.202:8476 10.20.61.110:8476 ---                ---
tcp 82.113.207.202:8477 10.20.61.110:8477 ---                ---
tcp 82.113.207.202:8478 10.20.61.110:8478 ---                ---
tcp 82.113.207.202:8479 10.20.61.110:8479 ---                ---
Se disabilito l'accesso telnet al router non posso più accedervi :)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Sembra che il NAT funzioni. Non è che hai qualche firewall che ti blocca?
Prova a sniffare i pacchetti.

Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

Quindi lasciando momentaneamente accantonato il problema del NAT ho suggerito ad un utente della rete interna di utilizzare come gw l'indirizzo della interfaccia FastEthernet del router in modo da verificare la bontà della connessione dall'interno verso l'esterno.

L'utente mi ha riportato una lentezza disarmante nella navigazione web, e non è stato neppure in grado di effettuare uno speed test essendo andato in time-out l'utility utilizzata.

Vorrei sapere come verificare la connessione dal router avendo come unica possibilità l'accesso da remoto dal router.

Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Classico ping e traceroute.
Controlla la banda utilizzata sulla seriale.

Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

paolomat75 ha scritto:Controlla la banda utilizzata sulla seriale.
Ciao
Questo lo faccio da show interface?
Quali parametri devo verificare?

Io ho collegato l'interfaccia serial al router (che non gestisco io) e inserito la configurazione datami dall'isp per la configurazione della stessa:

Codice: Seleziona tutto

interface Serial0/0/0
 no ip address
 encapsulation frame-relay IETF
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 no fair-queue
 frame-relay lmi-type cisco
!
interface Serial0/0/0.1 point-to-point
 ip address 82.113.207.XXX 255.255.255.252
 ip nat outside
 no ip route-cache
 no ip mroute-cache
 no cdp enable
 no arp frame-relay
 frame-relay interface-dlci 100 IETF 
Grazie
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

Il telnet da remoto non va pur avendo nattato la porta 23, la connessione va in time out non ricevo nessun pacchetto in risposta quando avvio una richiesta da remoto mentre se la faccio dal router e quindi dall'interno tutto sembra andare.

Avete qualche soluzione da propormi??

Grazie
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

sei fai telnet al server dal router facendo prima "ip telnet source-interface"
(con l'interfaccia esterna) funziona?
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

ghira ha scritto:sei fai telnet al server dal router facendo prima "ip telnet source-interface"
(con l'interfaccia esterna) funziona?
Se lo faccio con Serial/0/0/0 si
Se lo faccio con Serial/0/0/0.1 no
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

perche' tutti quei comandi "no ip route-cache"?
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

ghira ha scritto:perche' tutti quei comandi "no ip route-cache"?
Non so ma non credo sia la causa del problema
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

Quindi come già sospettato il problema non era del router ma bensì del server interno il quale aveva 2 indirizzi ip per gw e andava in panne non indirizzando i pacchetti al router.

Ora mi hanno domandato di modificare l'indirizzo del router con un ip non appartenente alla rete locale a cui e collegato, ma facendo questo perderei la connettività con la rete locale giusto??

avevo pensato di impostare un interfaccia di loopback con l'indirizzo che mi avevano chiesto ma pur facendo così dall'esterno è impossibile comunicare con il server interno.

Qualche soluzione?

Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Doppio ip sull'interfaccia? Basta che l'aggiungi come secondary.

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
fratellonero
n00b
Messaggi: 21
Iscritto il: gio 15 dic , 2011 10:13 am

paolomat75 ha scritto:Doppio ip sull'interfaccia? Basta che l'aggiungi come secondary.

Ciao
Paolo
Grazie non sapevo si potesse fare
Rispondi