Assegnazione indirizzi pubblici su Router ADSL

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
lucentsound
n00b
Messaggi: 9
Iscritto il: ven 23 lug , 2010 4:44 pm

Buongiorno a tutti,
perdonate la mia domanda banale ma sono alle prime armi nella configurazione dei router e vi chiedo di portare pazienza.

Dispongo di una ADSL Alice Business 20M da far funzionare con un router Cisco con i seguenti parametri:

Indirizzi assegnati: 151.99.x.80 - 87 netmask 255.255.255.248
Default gatway: 151.99.x.81
Punto Punto : 80.17.78.x netmask 255.255.255.252

Suppongo di avere la rete interna eth0 192.168.1.0/24 e di volerna nattare sul primo ip pubblico (router effettua NAT senza un firewall)

A questo punto, ipotizzando di avere un 1841 o un 2811, mi chiedo.

a) Dagli 8 indirizzi pubblici, tolto la rete e il broadcast, devo togliere anche il default gatway perche non usabile (il .81 per intenderci)? E’ solo una curiosità giusto per avere la conferma che degli 8 ip in realtà me ne rimangono utilizzabili solo 5

b) Veniamo all’assegnazione degli indirizzo/i pubblici. Dove devono essere assegnati?
Su un sito ho trovato questo esempio (in cui il default gatway veniva assegnato come indirizzo secondario all’interfaccia interna):
interface Ethernet0
ip address 151.99.x.81 255.255.255.248 secondary
ip address 192.168.1.1 255.255.255.0
ip nat inside


Ha senso?Che vuol dire assegnarlo come secondario? Mi sembra strano dal momento che mi aspetterei di assegnarlo/i sull’interfaccia wan e non sulla ethernet.Si possono assegnare direttamente sull'interfaccia esterna gli IP pubblici? E in questo caso come?

c) Il punto punto dovrei, se non erro, gestirlo così:

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 80.17.78.X 255.255.255.252
ip nat outside
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap

ip nat pool inter 151.99.x.81 inter 151.99.x.81 netmask 255.255.255.248
ip nat inside source list 50 pool inter overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1

access-list 50 permit 192.168.1.0 0.0.0.255

Grazie anticipatamente per l'aiuto e scusate di nuovo per la domanda!
Buon pomeriggio
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

cerco di risponderti punto per punto:
Domanda a
Se il tuo router (come credo) è di terminazione della linea ADSL, allora gli indirizzi che puoi utilizzare sono 6 con una maschera 255.255.255.248 (alias /29) dal 151.99.x.81 al .86 con .80 come rete e .87 come broadcast della subnet.
Domanda b
Telecom ti ha assegnato una "public LAN" (151.99.x.80/29) tutti questi indirizzi il mondo sa che sono routati (leggi raggiungibili) transitando per l'IP 80.17.78.X+2 (la tua punto punto), quindi l'interfaccia WAN DEVE avere il suo indirizzo, gli altri possono essere gestiti sul router (come NAT) oppure no, in generale comunque questi IP risiedono a valle del router.
L'assegnazione di uno degli IP assegnati all'ethernet è un vecchio trucco degli ISP per verificare che il cavo di rete del router sia collegato, inoltre permette la fruizione degli IP pubblici direttamente in LAN garantendo anche connettività ad una rete privata sottoposta a NAT (in questo caso PAT).
Personalmente NON amo questa configurazione in quanto "mangia" un IP pubblico che (almeno in teoria) vengono acquistati per uno scopo reale (pubblicazione di sistemi diversi che realmente necessitano di indirizzamento pubblico), per la sola navigazione altrimenti te ne basta uno e nemmeno hai bisogno che sia statico.
Dato che nel 99% dei casi anche l'P di punto punto viene annunciato da Telecom verso Internet, puoi utilizzare quello per la navigazione, lasciando gli IP pubblici per altri scopi.
Domanda c
La tua configurazione non funziona se utilizzi l'IP .81 sull'ethernet come evidenziato al punto b. Se non lo usi, lasciando l'ethernet solo con l'IP privato, allora funziona.
Come ti ho detto al punto b, in questo modo però utilizzi un IP LAN per navigare e te lo puoi risparmiare, al suo posto ti suggerisco la seguente configurazione:

Codice: Seleziona tutto

ip nat inside source list 50 interface atm0/0/0.1 overload
Chiaramente a quel punto puoi eliminate l'ip nat pool inter

Nota aggiuntiva: dalla P/P puoi tranquillamente rimuovere i controlli di linea con le celle oam

Codice: Seleziona tutto

oam-pvc manage
oam retry 5 5
Questi venivano eseguiti sulle vecchie Alice Business 7 Mbs quando i POP erano Cisco 10008; le "nuove" Alice Business 20 Mbs, spesso sono attestate a nodi Juniper che NON gestiscono l'invio di celle oam, anzi, a volte si incasinano pure facendo "saltellare" l'allineamento.

Saluti
Lorbellu
lucentsound
n00b
Messaggi: 9
Iscritto il: ven 23 lug , 2010 4:44 pm

Ciao, grazie infinite per la tua ampia ed esaustiva risposta.
Quindi, anche se attribuire un indirizzo pubblico come secondario alla ethernet vorrebbe dire specarlo,
cosa dovrei aggiungere per farlo funzionare (tu dici che la configurazione non funzionerebbe se assegnassi il pubblico alla eth0)? L’indirizzo con cui uscirei in navigazione sarebbe in questo caso l’ip pubblico “sprecato” e non quello punto punto….corretto?

D’altra parte mi viene da dire che, nella architettura standard di un router a valle del quale si trova un firewall, in genere un ip pubblico si “perde” dandolo alla ethernet del router e un altro si perde dando alla ethernet del firewall che guarda il router.Quindi anche in questo caso perdo due indirizzi pubblici inutilmente.

Se invece ad esempio volessi assegnare l’ip pubblico (es. 151.99.x.81 )per pubblicare un servizio interno alla lan (ad esempio un server web) in questo caso che default gatway avrebbe la macchina?

Ancora grazie infinite per le spiegazioni, ciao
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Dunque, cerchiamo di andare per punti, prima di tutto però deve essere chiaro quello che devi realizzare, inoltre come tutto in "informatica" anche nella configurazione dei router non esiste il modo giusto, si possono avere numerose configurazioni diverse che realizzano lo stesso scopo, il farlo in un modo anziché in un altro tuttavia restituisce effetti diversi che possono essere voluti o indesiderati.
tornando all'esempio, se configuri come di seguito:

Codice: Seleziona tutto

interface Ethernet0
ip address 151.99.x.81 255.255.255.248 secondary
ip address 192.168.1.1 255.255.255.0
ip nat inside
interface ATM0.1 point-to-point
ip address 80.17.78.X 255.255.255.252
ip nat outside
ip nat pool inter 151.99.x.81 inter 151.99.x.81 netmask 255.255.255.248
ip nat inside source list 50 pool inter overload
Ottieni che una configurazione FUNZIONANTE ma che ti mangia un IP pubblico assegnato per un compito minimo come la navigazione quando invece potrebbe essere più utile per nattare un server in DMZ. In più realizzi un modo che può tornare utile per verificare che il cavo ethernet sia connesso a qualcosa.
Tutto dipende dalla filosofia e da ciò che vuoi fare.
Come ho già detto personalmente non amo questa configurazione con l'ip pubblico secondario sull'ethernet, se ti serve solo navigare, ti propongo la soluzione di nattare direttamente con l'ip pubblico (peraltro essendo una Alice Business, anch'esso é statico) della ATM0.1, il codice dovrebbe quindi essere questo:

Codice: Seleziona tutto

interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
interface ATM0.1 point-to-point
ip address 80.17.78.X 255.255.255.252
ip nat outside
ip nat inside source list 50 interface atm0.1 overload
.
Per quanto riguarda il discorso sulle configurazioni "standard", molto dipende dal fatto che generalmente, chi gestisce un firewall privato NON é responsabile del router che altresì é in gestione all'ISP. L'ISP quindi utilizza uno degli IP pubblici per la LAN per il duplice scopo di verificare che il cavo sia connesso e SOPRATUTTO per "semplificarsi la vita".
Nella mia azienda ad esempio, il firewall NON ha IP pubblico sulla WAN, ma un IP di una subnet privata /30, il router connesso alla linea, routa gli IP pubblici tramite una statica che punta all'IP privato del firewall. Poi sul firewall, gli stessi IP vengono gestiti in modo puntuale con dei NAT specifici.
Sicuramente é più complicato che fare la configurazione standard, ma mi consente di utilizzare IP pubblici per scopi assai diversi come ad esempio, nattare clienti diversi con IP pubblici diversi.

Infine, per il discorso del server web, se metti l'IP .81 sulla eth0, puoi agire SEMPRE in due modi:
1) Sul server imposti il .82 e gli dai il gw .81, in questo modo pubblichi il server a diritto su Internet senza bisogno di NAT, non é il massimo per la sicurezza ma funziona di sicuro
2) Sul server imposti un IP privato della LAN ed imposti un port-forwarding sul router, in questo modo, almeno il server non é direttamente esposto a port scan, prima che me lo chieda il codice é:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.2 80 151.99.x.82 80
Saluti
Lorbellu
Lorbellu
lucentsound
n00b
Messaggi: 9
Iscritto il: ven 23 lug , 2010 4:44 pm

Ciao, non so davvero come ringraziarti per il tempo che mi hai dedicato rispondendomi.
Ora è tutto più chiaro … mi aveva portato fuori strada questa tua frase :

Domanda c
La tua configurazione non funziona se utilizzi l'IP .81 sull'ethernet come evidenziato al punto b. Se non lo usi, lasciando l'ethernet solo con l'IP privato, allora funziona.


Approfitto della tua disponibilità solo per un ultimo chiarimento.

Ti risulta che, se su una linea Alice Telecom come quella da me sopra indicata, volessi sostituire il router fornito da Telecom con uno di mia proprietà (vedi un 1841 o un 2811 etrambi con WIC-1ADSL) dovrei inserire del codice di autenticazione PAP che contenga il MAC ADDRESS del router fornito da Telecom?
CiscoEVPN
Cisco power user
Messaggi: 76
Iscritto il: sab 08 nov , 2014 11:12 am

Ciao Lucent,

Ridpondo io all'ultimo quesito:
Puoi sostituire il Router di Telecom con un Cisco senza problemi in quanto il tuo è un contratto Business non Retail. NON è richiesta l'autenticazione tramite protocollo PAP o CHAP

Saluti
lucentsound
n00b
Messaggi: 9
Iscritto il: ven 23 lug , 2010 4:44 pm

Ti ringrazio CiscoEVPN e ringrazio ancora Lorbellu per tutte le spiegazioni fornite.
Buona giornata ad entrambi.
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Confermo quanto detto da CiscoEVPN, qui non c'entra l'autenticazione (che comunque sulle linee Telecom NON é basata sulle credenziali utente ma sul numero chiamante), la configurazione é Routed IP Over ATM.
Il problema però é che la scheda da te indicata non va bene.
I collegamenti 20 Mbs Business sono attestati su DSLAM ADSL2+, protocollo non compatibile con la tua scheda WIC-1ADSL che supporta solo l'ADSL.
In queste condizioni, se sostituisci un il router Telecom con qualsiasi router con la suddetta scheda si possono presentare due casi:
  1. Il DSLAM "capisce" che il router lato cliente è ADSL e quindi abbassa il profilo di connessione - risultato NON vai a 20 Mbs ma a 7
  2. 2) Il DSLAM non "capisce" quanto al punto 1 e quindi il router non allinea
Il mio consiglio è quello di procurarti una HWIC-1ADSL che supporta l'ADSL2+ e che può essere sostenuta dal tuo router con l'IOS giusto, per orientarti guarda nella tabella 2 del seguente link.
NON fare l'errore di acquistare una EHWIC-VA-DSL per avere in futuro la possibilità di scalare la connessione a VDSL2+ (gli attuali link Tuttofibra sono in realtà FTTCab poi VDSL2+ su doppino in casa utente), questa scheda NON E' SUPPORTATA dagli ISR1 (leggi router X8XX come i tuoi).

Saluti
Lorbellu
Lorbellu
lucentsound
n00b
Messaggi: 9
Iscritto il: ven 23 lug , 2010 4:44 pm

Accidenti, hai ragione, non ci avevo pensato!

Ecco perchè avevo trovato delle WIC-1ADSL a quattro soldi su ebay!!!

Grazie ancora e ciao
nata
n00b
Messaggi: 3
Iscritto il: gio 23 lug , 2015 8:02 pm

Buongiorno, se permettete mi intrometto a questo post, avrei qualche domanda a lorbellu
“L'assegnazione di uno degli IP assegnati alla ethernet è un vecchio trucco degli ISP” qual è il motivo di un ISP sapere se il cavo di rete è collegato quando hanno la possibilità di controllare la wan ed eventualmente telnettare il router e fare una diagnosi.
Poi trovo molto interessante la config ,per non rubare un ip pubblico,di routare tramite una statica che punta all ip privato del firewall, potresti sempre se ti è possibile mostrare qualche riga di config del router. Un grazie in anticipo a tutti.
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

provo a risponderti.
Immagina di dover verificare velocemente se un cliente può "navigare", la cosa più semplice è fare un ping al primo indirizzo della sua public subnet; in questo modo, in un sol colpo verifichi:
  1. Allineamento linea WAN
  2. Verifica instradamento IP
  3. Verifica se il router é connesso a qualcosa
Per chi fa assistenza, sopratutto dai call-center, non è sempre possibile fare telnet sui router, quindi con una semplice prova di questo tipo puoi evitare di dover scalare la chiamata agli specialisti.

Per quando riguarda la configurazione per non perdere IP non mi sembra onestamente granchè, comunque fai conto di avere:

PE=RouterA<------------------------->CE=RouterB<----------------->CPE=RouterC

Di seguito l'elenco dei dati IP:
  • Una public subnet di indirizzi assegnati A.B.C.D /29
  • Una public subnet di punto-punto X.Y.Z.W / 30
  • Una link privato CE-CPE - es. 10.0.0.0 / 30
  • Due private LAN (su VLAN 10 e 20) 192.168.10.0/24 e 192.168.20.0/24 entrambe con CPE come GW con IP .1 finale
  • Uscita su internet con IP diversi per le due VLAN
Quindi avremo:

Su RouterA

Codice: Seleziona tutto

ip route A.B.C.D 255.255.255.248 X.Y.Z.W+2
Su RouterB

Codice: Seleziona tutto

interface atm0.1
 ip address X.Y.Z.W+2 255.255.255.252
interface fast0/0
 ip address 10.0.0.1 255.255.255.252
ip route 0.0.0.0 0.0.0.0 atm0.1
ip route A.B.C.D 255.255.255.248 10.0.0.2
Su RouterC

Codice: Seleziona tutto

interface fast0/0
 ip address 10.0.0.2 255.255.255.252
 ip nat outside
interface fast0/1.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
interface fast0/1.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
interface loop10
 ip address A.B.C.D+1 255.255.255.255
interface loop20
 ip address A.B.C.D+2 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
access-list 1 remark *** ACL per NAT VLAN 10***
access-list 1 permit 192.168.10.0 0.0.0.255
!
access-list 2 remark *** ACL per NAT VLAN 20***
access-list 1 permit 192.168.20.0 0.0.0.255
!
ip nat inside source list 1 interface loop10 overload
ip nat inside source list 2 interface loop20 overload
Chiaramente questo è un esempio puramente didattico, in cui il NAT è demandato completamente a RouterC ad esempio per nattare clienti diversi di uno stesso edificio che condividono la connessione.
Un altro caso potrebbe essere uno in cui RouterB (con 2 ethernet per semplicità) funge da GW per la LAN 192.168.10.0/24 mentre RouterC funge da GW per la DMZ su cui tutti i server hanno IP privati 192.168.20.0/24:
Su RouterB

Codice: Seleziona tutto

interface atm0.1
 ip address X.Y.Z.W+2 255.255.255.252
 ip nat outside
interface fast0/0
 description Verso DMZ
 ip address 10.0.0.1 255.255.255.252
interface fast0/1
 description Verso LAN
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
!
ip route 0.0.0.0 0.0.0.0 atm0.1
ip route A.B.C.D 255.255.255.248 10.0.0.2
!
access-list 1 remark *** ACL per NAT LAN ***
access-list 1 permit 192.168.10.0 0.0.0.255
!
ip nat inside source list 1 interface atm0.1 overload
Su RouterC

Codice: Seleziona tutto

interface fast0/0
 description Verso Internet
 ip address 10.0.0.2 255.255.255.252
 ip nat outside
interface fast0/1
 description Verso DMZ
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
ip nat source static 192.168.20.2 A.B.C.D+1
ip nat source static 192.168.20.3 A.B.C.D+2
ip nat source static tcp 192.68.20.4 3389 A.B.C.D+3 3389
ip nat source static tcp 192.168.20.5 22 A.B.C.D+3 22
In questo secondo caso il NAT è suddiviso tra i router a seconda della funzione, in particolare i NAT per la DMZ sono statici su tutto lo stack per i server 192.168.20.2 e .3 che per una qualche ragione necessitano di tutto lo stack (magari ospitano tanti servizi quindi è più semplice operare così) mentre verso 192.168.20.4 e .5 si usa lo stesso ip pubblic nattando porte diverse dello stack TCP.

Spero che basti
Saluti
Lorbellu
Lorbellu
nata
n00b
Messaggi: 3
Iscritto il: gio 23 lug , 2015 8:02 pm

Grazie per la veloce risposta, ma non so se tutti i ISP usano per convenzione il primo indirizzo utile della subnet assegnata, tempo fa T.I. usava per alcuni contratti l ultimo indirizzo ip utile, credo che la cosa più veloce sia andare a controllare sul pop se l’interfaccia wan sia Up o Down, però sinceramente non ho esperienza call-center. Cosa pensi di assegnare un indirizzo pubblico ad una loopback e poi eventualmente farci il nat ? Ok per la config senza perdere Ip pubblici
Gentilissimo
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,
cito dal tuo post
tempo fa T.I. usava per alcuni contratti l ultimo indirizzo ip utile
L'ho visto fare anch'io, diciamo che una regola precisa al 100% non c'e, tuttavia nelle connessioni business che vedo solitamente si usa il primo.

Riguardo la possibilità di utilizzare una loopback per nattare, assolutamente si, anche perché è il mezzo più semplice per creare un pool ad indirizzo singolo.

Saluti
Lorbellu
Lorbellu
nata
n00b
Messaggi: 3
Iscritto il: gio 23 lug , 2015 8:02 pm

Ok,grazie.
Rispondi