Configurazione Router 827 e Pix 503

[hellas]

Salve a tutti
ormai disperato dall'incapacità di configurare correttamente i miei due apparati, vi supplico, se potete, di guardare benevoli a questa email
ho cercato in google "forum cisco" con la precisa intenzione di trovare un benefattore che abbia la pazienza di rispondermi

Nella mia piccola aziendina mi hanno installato (e acquistato) un router Cisco 827 e un Firewall Pix 503, funziona tutto (adsl ok) ma ho la necessita di collegarmi dall'esterno su di un server in VNC

non sono ovviamente un esperto del campo quindi perdonatemi a priorio nel caso in cui non sia preciso o utilizzi termini non specifici

lo schema in uscita è pressapoco questo:

internet <--< (ip dinamico) Router827 (192.168.1.1/255.255.255.0) <--< (192.168.1.11/255.255.255.0) Firewall503(192.168.115.1/255.255.255.0)<--<intranet

In internet ci navigo alla grande ma vorrei avere la possibilità di poter collegarmi sulla porta 5800 di un pc nell'intranet per poter visualizzarne il desktop tramite VNC

lo schema in ingresso dovrebbe essere:
miopc-->internet-->(ip dinamico ma è conosciuto) Router827 (192.168.1.1/255.255.255.0) --> (192.168.1.11/255.255.255.0) Firewall503(192.168.115.1/255.255.255.0)-->(192.168.115.250:5800) Server VNC

Sarà più di 3 mesi che cerco di risolvere la cosa sono solo arrivato a delle parole chiave come overload e nat

sul router ho:
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
access-list 1 permit 192.168.1.11
E' sufficiente o serve una cosa del genere:
ip nat outside interface Dialer0 source list 1 overload

mi fermo qui perché se non supero il router è inutile insistere

Grazie a chi vorrà illuminarmi

[TheIrish]

Sarebbe indispensabile vedere la configurazione attuale dei due apparati.

[Wizard]

Hai una configurazione come a casa mia.
Intanto che io sappia i pix 503 non esistono, ci sono i 501 o 506.
Tu devi fare un doppio nat!
Fai il nat statico del server vnc su un ip della classe della outside del pix (quella che natta il router) poi sul router fai un pat delle porte di vnc sull' ip della interfaccia pubblica (quello dinamico) e crei le dovute acl sul router e pix.
Per l'ip dinamico fai un salto su www-no-ip.com
Se vuoi fare una cosa fatta meglio io configurerei una vpn client sul pix e creerei le regole di nat sul router x fare passare la vpn al pix, le porte della vpn sono la 500 e 4500 udp + il protocollo esp.
Cmq tranquillo, quello che devi fare si può fare senza grossi problemi!

[hellas]

OK Lunedì 4 dicembre posterò le configurazioni dei due apparati

ma magari potessi fare una VPN non chiederei altro

purtroppo non sò farla il grosso problema stà tutto qui

[hellas]

ho dimenticato di ringraziare
GraziE

[alcisco]

Hai una configurazione come a casa mia.
Intanto che io sappia i pix 503 non esistono, ci sono i 501 o 506.
Tu devi fare un doppio nat!
Fai il nat statico del server vnc su un ip della classe della outside del pix (quella che natta il router) poi sul router fai un pat delle porte di vnc sull' ip della interfaccia pubblica (quello dinamico) e crei le dovute acl sul router e pix.
Per l'ip dinamico fai un salto su www-no-ip.com
Se vuoi fare una cosa fatta meglio io configurerei una vpn client sul pix e creerei le regole di nat sul router x fare passare la vpn al pix, le porte della vpn sono la 500 e 4500 udp + il protocollo esp.
Cmq tranquillo, quello che devi fare si può fare senza grossi problemi!

Scusatemi per l'introduzione improvvisa in un forum gia' aperto da altri... ma ho l'identico problema....
Vorrei raggiungere un server web dall'esterno ma la cosa non funziona.
Vi faccio un sunto della configurazione :

Internet -> Router 827 -> Pix 506E -> web server (porta 80)

Router 827 - IP 10.0.0.254 (inside)
Pix 506E - IP 10.0.0.1 (outside)
Pix 506E - IP 192.168.1.254 (inside)
Web Server - IP 192.168.1.1

Il router 827 dichiara staticamente il web server in questo modo:
ip nat inside source static tcp 10.0.0.1 80 PUBBLICO 80 extendable

Sul Pix, invece, i settaggi sono i seguenti:

access-list web_access permit tcp any host PUBBLICO eq www
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) PUBBLICO 192.168.1.1 netmask 255.255.255.255 0 0
access-group web_access in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1

Se qualcuno sapesse come risolvere il problema mi solleverebbe di peso enorme che porto da mesi.
Grazie anticipatamente, Alex.

[alcisco]

Sto provando altre soluzioni ma niente da fare... Dall'interno tutti i servizi Internet funzionano ma dell'esterno non c'e' possibilita' di accesso.

Ho pensato, pero', che forse andrebbe fatta una modifica, ma mi si pianta tutto... Pensavo che come logica poteva andare bene il seguente:

sul router, anziche'
ip nat inside source static tcp 10.0.0.1 80 PUBBLICO 80 extendable
si potrebbe mettere
ip nat inside source static tcp 10.0.0.(altro) 80 PUBBLICO 80 extendable

e sul Pix, anziche'
static (inside,outside) PUBBLICO 192.168.1.1 netmask 255.255.255.255 0
si potrebbe mettere
static (inside,outside) 10.0.0.(altro) 192.168.1.1 netmask 255.255.255.255 0

Cosa ne pensate? E' questa la strada da seguire (dopo opportune modifiche che spero di possiate suggerire) o devo cercare l'errore in altre zone della configurazione?

Grazie in anticipo a tutti.
Saluti.

[Wizard]

Devi fare:

- nattare il server web su un ip della subnet della outside del pix
es:

inside pix 192.168.0.0\24
outside pix 192.168.1.0\24
ip iside pix: 192.168.0.254
ip outside pix: 192.168.1.1
ip eth router: 192.168.1.2
ip srv web: 192.168.0.10

fai un nat statico di 192.168.0.10 su 192.168.1.10

- crei le regole in entrata sul pix per permettere le porte che ti servono verso 192.168.1.10 (il nat fa il resto)

- sul router natti le porte che ti servono dall'ip della interfaccia pubblica a 192.168.1.10

- sul router crei le acl per le porte che ti servono in entrata

[alcisco]

Devi fare:

- nattare il server web su un ip della subnet della outside del pix

fai un nat statico di 192.168.0.10 su 192.168.1.10

- crei le regole in entrata sul pix per permettere le porte che ti servono verso 192.168.1.10 (il nat fa il resto)

- sul router natti le porte che ti servono dall'ip della interfaccia pubblica a 192.168.1.10

- sul router crei le acl per le porte che ti servono in entrata

Grazie tante per la risposta. Adesso l'accesso web funziona perfettamente.
Adesso, mi resta soltanto di far funzionare la VPN... ma mi sa che il router filtra l'accesso al Pix...
Grazie ancora, saluti.