vlan1 nat inside e vlan2 nat outside

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

sto configurando un 877, mi serviva una interface per l'ip nat inside un'altra per l'ip nat outside, ma pare che con l'877 non si puo' fare

allora ho messo la fastethernet 3 nella vlan 2, e stavo configurando la vlan1 come inside e la vlan2 come outside

non capisco perche', ma non funziona
praticamente sulla vlan1 imposto un ip privato tipo 192.168...., sulla vlan2 un ip pubblico statico e poi devo impostare il nat per far navigare i pc con ip privato

su altri router che hanno la possibilita' di configurare per esempio fastethernet 0/0 e 0/1 riesco a fare la configurazione senza problemi.. qui con le vlan mi sto incartando
datemi una mano

questa e' una configurazione che non va, cioe' dal router pare che riesco a pingare per es. l'ip 8.8.8.8 e a fare anche traceroute, ma i pc non riescono a navigare

dove sto sbagliando??
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco877-240
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
!
no aaa new-model
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip cef
!
!
!
!
ip domain name xxx.it
ip name-server 151.99.0.100
ip name-server 151.99.125.1
!
multilink bundle-name authenticated
!
!
username cccc privilege 15 secret 5 xxxx
!
archive
log config
hidekeys
!
!
ip ssh version 2
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
description lan interna
ip address 192.168.10.240 255.255.0.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
description lan pubblica
ip address 70.60.50.76 255.255.255.248
ip nat outside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 70.60.50.78
!
!
no ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 10 interface Vlan2 overload
!
access-list 10 permit 192.168.0.0 0.0.255.255
no cdp run
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 1440 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 240 0
login local
transport input all
!
scheduler max-task-time 5000
end

inoltre:
cisco877-240#sh vlan-switch

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0, Fa1, Fa2
2 VLAN0002 active Fa3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
cisco877-240#
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

non so dove sbattere la testa.. potreste darmi qualche dritta?
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Riesci a pingare il tuo default GW?
Se sì, riesci a pingare 8.8.8.8?
Se si, riesci a pingare 8.8.8.8 con sorgente la vlan1?
In caso, pingando 8.8.8.8 da un PC, riesci a vedere incrementi nel match dell'ACL 10 con il comando show access-lists?
Qual'è lo status delle interfacce?
Puoi pubblicare lo show arp?
Puoi pubblicare lo show ip nat translations?
Lorbellu
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Dalla conf postata
a prima vista vedo un errore....
non hai associato nessuna interfaccia alla vlan1(Lan)
sulla Fe3 hai messo vlan2(Wan)
magari se metti la vlan1 sulla fe0 funziona.
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

no, tutte le porte stanno di default sulla vlan1
quindi per es. fe0 fe1 fe2 stanno sulla vlan1 e fe3 sta su vlan3

datemi una mano, vorrei riuscire a fare questa configurazione con un 877 che non fa rumore (al momento ho messo un 2811 che fa la un casino da pazzi)..


ma al posto di usare 2 vlan diverse, non c'e' altro modo di impostare tipo un'interfaccia virtuale tipo un dialer o altro con ip statico che stia fisso su up/up e che consenta di fare nat outside?
queste vlan mi fanno venire il mal di testa
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Ma con i PC riesci a pingare il router...
Dai PC fai un trace verso 8.8.8.8

Prova un ping dal router verso 8.8.8.8
Casomai posta il risultato di entrambe le prove...

Cmq prova a mettere lo stesso il comando switchport access VLAN 1 sulle altre interfacce...
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

Il PC riesce a pingare l'IP privato del router ma non riesce a pingare 8.8.8.8

Domani faccio altre prove e posto i risultati
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Forse svelato l'Arcano,
Prova a cambiare la tua default route in
IP router 0.0.0.0. 0.0.0.0 interface vlan2
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

a mezzogiorno provo.


perdona l'ignoranza, si deve usare solo switchport access, giusto?
non c'entra niente il trunking, vero?

l'ultima volta avevo provato anche a impostare il vlan trunking si e' bloccata tutta la rete
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

al momento con questa configurazione, dal router non riesco a pingare l'ip del gateway (quello che finisce con .78)

se provo a fare ping dal un cellulare, cioe' se provo a pingare l'ip pubblico impostato sulla vlan2, il router non risponde

Codice: Seleziona tutto


version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-877-36-1
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxx
!
no aaa new-model
crypto pki token default removal timeout 0
!
!
dot11 syslog
ip cef
!
!
!
!
ip domain name yourdomain.com
ip name-server 151.99.0.100
ip name-server 151.99.125.1
!
multilink bundle-name authenticated
!
!
username yyy privilege 15 secret 5 yyy
!
!
archive
 log config
  hidekeys
!
!
ip ssh version 2
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
 switchport access vlan 2
!
interface Vlan1
 description lan interna
 ip address 192.168.36.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan2
 description lan pubblica
 ip address 79.xxx.xxx.76 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 79.xxx.xxx.78
!
!
no ip http server
ip http authentication local
no ip http secure-server
!
access-list 10 permit 192.168.0.0 0.0.255.255
no cdp run
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 1440 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 240 0
 login local
 transport input all
!
scheduler max-task-time 5000
sntp server 91.189.94.4
end



a livello di cavi, la situazione e' questa:
sulla porta fe0 c'e' un cavo rj45 che va allo switch
sulla porta fe3 c'e' un cavo rj45 che va alla porta fe2
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

bah

ho fatto varie prove
ad un certo punto riuscivo a pingare 8.8.8.8 dal router
riuscivo a pingare l'ip del router dai pc, e anche l'ip della vlan2 dai pc
stavo sulla buona strada (dovevo solo riuscire a pingare 8.8.8.8 dai pc)...
ho salvato la configurazione, riavviato il router e non funziona piu'
mah


poi una cosa strana che ho notato e' che quando riavvio il router con un reload, succede una cosa strana:
per una decina di secondi e' come se si imballasse tutta la rete:
mi spiego: ho dei pc che escono con un altro router, quindi devono restare immuni dal fatto che il suddetto router si riavvia, invece succede che si blocca la connessione anche per i pc che escono con altri router
molto strano

cmq mi sto incasinando la vita con queste vlan :shock:
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Be a questo punto se riesci a farmi avere l'accesso da remoto posso fare 2 prove..
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Ti ho mandato un pm
punker
Cisco fan
Messaggi: 39
Iscritto il: mer 17 lug , 2013 10:58 pm

Immagino tu abbia risolto
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

scusa sono stato impegnato a fare altre cose, appena ho un po' di tempo di riprovo

l'altro giorno stavo riflettendo sul motivo per cui potrebbe succedere tutto il casino:
non e' che si verifica tutto il casino perche' questo router (877) ha quattro porte rj45 che hanno lo stesso mac-address, e se si collegano nello stesso switch va in conflitto qualcosa?
e' possibile che uno stesso mac-address abbia per esempio due ip differnenti?


secondo me il problema deriva in qualche modo dal fatto che ho fatto il ponticello tra le porte per collegare le due vlan..
appena mi libero un poco ti faccio sapere
Rispondi