CISCO 837 prima installazione nella vita.. No Cisco No party

[citycomputerservice]

Buonasera a tutti! Per prima cosa volevamo ringraziarvi per il contenuto informativo del forum che ci è stato veramente utile nell'avvicinarci al mondo Cisco, in particolare alle indicazioni di TheIrish nelle sue molteplici risposte ai post del forum.

Veniamo al dunque... Ieri per la prima volta ci siamo cimentati nella nostra prima configurazione di un router CISCO 837. In realtà la nostra esigenza parte dalla necessità di disporre di una wan di backup e, non avendo conoscenze sui router Cisco, ci eravamo indirazzati nell'acquisto di un prodotto semi professionale: il draytek 2820 (2 wan: 1 rj11 + 1 rj45).
Avevamo anche visto alcuni modelli della Cisco con la doppia wan (non ricordo ora il modello), ma proprio per la mancanza di esperienza con i prodotti Cisco ci siamo un pò fremati.

Poi un nostro cliente ci ha regalato un Cisco 837 ed abbiamo incominciato a giocare...

Fin ora abbiamo provveduto, tramite comandi telnet, ad aggiornare l'IOS (in 4 tutto ieri!!!):
System Bootstrap, Version 12.2(11r)YV3, RELEASE SOFTWARE (fc2)
Cisco IOS Software, C837 Software (C837-K9O3Y6-M), Version 12.4(15)T10, RELEASE
SOFTWARE (fc3)

Abbiamo anche scaricato ed installato CRWS che in realtà e leggendo anche in alcuni vostri post non ci è sembrato molto più intuitivo dei comandi in telnet! Per altro, l'ultima versione di CRWS è troppo grande per essere flashata sulla memoria del nostro 837.
Cosa ancor più strana, stamattina non riusciamo più ad accedere al router tramite CRWS... sob

E veniamo ai quesiti, anzi ad una descrizione di quello che vorremmo fare:
tutti i client sono gestiti da un server Linux ( 192.168.1.x) in dhcp.
Il server, su un'altra sk di rete, prende la connessione ADSL da un modem su indirizzo 192.168.0.x
Il nostro provider internet è Tiscali con il quale abbiamo 1 ip pubblico (213.xxx.xxx.xxx) + 8 aggiuntivi (dal 89.xxx.xxx.002 al 89.xxx.xxx.10).

Quali comandi dobbiamo utilizzare???

Inoltre, secondo voi, qual'è la migliore configurazione possibile del router per permettere di far lavore il server come webserver (per sviluppo ma non per produzione) senza rinunciare ad un pò di sicurezza???

Un saluto a tutti!

Dario

[lorbellu]

Ciao,


Capisco che la configurazione via strumenti grafici sia preferibile quando non si ha ben presente cosa fare, tuttavia, io la sconsiglio sempre in quanto la CLI consente di avere un accesso completo alle funzionalità, bisogna sapere però sia ciò che si vuole fare sia avere un idea su come realizzare tale scopo.
Premesso questo, dalla descrizione che hai postato, capisco che volete configurare un 837 come collegamento Internet per una rete privata 192.168.1.x tramite server Linux (che funge sia da DHCP server che da firewall).
Il server Linux "vede" Internet tramite una scheda di rete apposta.

Per come la vedo io ci sono due possibile soluzioni:
1 (la più semplice) - Impostare l'indirizzo 213.xxx.xxx.xxx sull'interfaccia ATM, ed impostare il primo degli 8 IP aggiuntivi sull'interfaccia ethernet del router. Modificare l'indirizzo IP della scheda "Internet side" del server linux impostando il 2° IP aggiuntivo.
In questo modo si fa il NAT della rete 192.168.1.x sulla rete pubblica del tuo collegamento Internet già a livello Server Linux
2 - Impostare l'indirizzo 213.xxx.xxx.xxx sull'interfaccia ATM, ed impostare il primo degli 8 IP aggiuntivi su un interfaccia virtuale loopback (vedi http://www.ciscoforums.it/viewtopic.php?t=11711). Impostare un indirizzo compatibile con la scheda "Internet side" del server sull'interfaccia ethernet del router (tipo 192.168.0.254) e nattare la LAN 192.168.0.X sull'interfaccia Loopback.

Per quanto riguarda le sicurezze da te citate non capisco a cosa ti riferisca di preciso in quanto qui la LAN é (immagino) isolata dal server linux.

Saluti

[citycomputerservice]

Ciao Lorbellum,

grazie per l'aiuto. Dopo un intero weekend a studiare i comandi telnet ed a documentarmi sul sito di supporto Cisco ho tirato fuori questa configurazione ma non va! Ci rinuncio...
Potrebbe essere che l'837 è incompatibile con ADSL2+?

CCS>enable
Password:

Building configuration...
[OK]
CCS#show running-config
Building configuration...

Current configuration : 1981 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CCS
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$AiBt$CjyFbi584q1U8oWeohWCA/
enable password xxxxxxxxxxx
!
no aaa new-model
no ip source-route
no ip routing
no ip dhcp use vrf connected
!
ip dhcp pool local
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
!
!
no ip cef
no ip domain lookup
ip name-server 213.205.32.70
ip name-server 213.205.36.70
!
multilink bundle-name authenticated
!
!
archive
log config
hidekeys
!
!
!
!
!
!
!
interface Ethernet0
description CCS
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
hold-queue 100 out
!
interface Ethernet2
no ip address
no ip route-cache
shutdown
hold-queue 100 out
!
interface ATM0
description ADSL INTERFACCIA ATM
no ip address
no ip route-cache
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
description LAN1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
description CONNESSIONE ADSL TISCALI 24M
ip address xxx.xxx.xxx.xxx 255.255.255.248 (in realtà dovrebbe essere 255.255.255.255 ma mi restituisce errore bad mask!)
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no cdp enable
ppp chap hostname [email protected]
ppp chap password 0 xxxxxxxxx
ppp pap sent-username [email protected] password 0 xxxxxxxxxxxxx
!
interface Dialer1
no ip address
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer1 overload
!
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password xxxxxxxxx
login
!
scheduler max-task-time 5000
end

CCS#show ip interface brief
Interface IP-Address OK? Method Status Prot
ocol
FastEthernet1 unassigned YES unset up up

FastEthernet2 unassigned YES unset down down

FastEthernet3 unassigned YES unset down down

FastEthernet4 unassigned YES unset down down

Ethernet0 192.168.0.1 YES NVRAM up up

ATM0 unassigned YES NVRAM up up

Ethernet2 unassigned YES NVRAM administratively down down

NVI0 192.168.0.1 YES unset up up

Dialer0 xxx.xxx.xxx.xxx YES NVRAM up up

Virtual-Access1 unassigned YES unset up up

Dialer1 unassigned YES NVRAM up up

Virtual-Access2 unassigned YES unset up up

[lorbellu]

Ciao,

Capisco lo scoramento ma, se puoi, potrebbe valere la pena insistere.
Ci sono però alcune domande che mi sorgono:
1) Che tipo di collegamento é quello di Tiscali? Dalla descrizione sembra un collegamento di tipo flat con 8 IP pubblici assegnati + un indirizzo geografico. Se é effettivamente così non c'è bisogno di fare dialer in quanto la connessione é sempre attiva.

2)Il router sarà collegato al server ed al modem di Tiscali o (come credo) solo al server Linux?

Nel caso in cui tuo router 837 vada a sostituire quello di Tiscali la configurazione da dare é questa (di massima), ovvero una interfaccia LAN privata connessa al server, una interfaccia punto punto geografica, una interfaccia loopback da utilizzare come sorgente per il NAT della lan privata su un indirizzo pubblico assegnato dal provider.
Importante, questa ipotesi prevede che il server linux oltre che da firewall faccia il NAT della LAN interna dei PC (192.168.1.X) sull'indirizzo 192.168.0.1. In caso contrario dovrai aggiungere una seconda rotta statica verso la LAN dei PC (comando ip route 192.168.1.0 0.0.0.255 192.168.0.1) per gestire il traffico di ritorno verso la LAN interna.

Codice: Seleziona tutto

Interface eth0
 ip address 192.168.0.2 255.255.255.0
 ip nat inside
 no shut
Interface atm0
 dsl operating-mode auto
 no atm ilmi keep-alive
 no ip address
interface atm0.1
 ip address 213.xxx.xxx.xxx 255.255.255.0 (non é sbagliato, se non é specificata una maschera dal contratto si assume questa)
 ip nat outside
 pvc 8/35
  encapsulation aal5snap
Interface Loopback0
 description Interfaccia per il NAT su iP pubblico
 ip address 89.xxx.xxx.003 255.255.255.255 (non é sbagliata anche se da contratto é prevista una 255.255.255.248 in quanto così si usa solo questo indirizzo per il NAT)
 ip nat outside
!
ip route 0.0.0.0 0.0.0.0 atm0.1
ip nat inside source list 1 interface loop0 overload
access-list 1 permit 192.168.0.0 0.0.0.255

Per rispondere invece alla domanda se l'837 può andare bene in quanto non ADSL2+, dipende da due cose:
1) Dal contratto con Tiscali. Se é per 20 Mbs allora non va bene ci vuole un 877
2) Se ti si allinea la portante ADSL. Lo verifichi (oltre che dal LED) con il comando sh dsl int atm0

Saluti

[citycomputerservice]

Ciao,

Capisco lo scoramento ma, se puoi, potrebbe valere la pena insistere.
Ci sono però alcune domande che mi sorgono:
1) Che tipo di collegamento é quello di Tiscali? Dalla descrizione sembra un collegamento di tipo flat con 8 IP pubblici assegnati + un indirizzo geografico. Se é effettivamente così non c'è bisogno di fare dialer in quanto la connessione é sempre attiva.

SI è una connessione con 1 IP pubblico + 8 agggiuntivi (gli 8 aggiuntivi li gestisce il server Linux)
2)Il router sarà collegato al server ed al modem di Tiscali o (come credo) solo al server Linux?

L'837 sostituisce il modem Tiscali. Sfrutterei la porta wan rj11 dell'837 e in dhcp assegnare un indirizzo al server Linux (router e una porta del server girano in 192.168.0.1)
Poi il server Linux assegna a tutti i client in DHCP indirizzi in sottorete 192.168.1.0

Tecnicamente a me basta che il server vada in internet con il Cisco perchè poi al resto pensa il server.

Nel caso in cui tuo router 837 vada a sostituire quello di Tiscali la configurazione da dare é questa (di massima), ovvero una interfaccia LAN privata connessa al server, una interfaccia punto punto geografica, una interfaccia loopback da utilizzare come sorgente per il NAT della lan privata su un indirizzo pubblico assegnato dal provider.
Importante, questa ipotesi prevede che il server linux oltre che da firewall faccia il NAT della LAN interna dei PC (192.168.1.X) sull'indirizzo 192.168.0.1. In caso contrario dovrai aggiungere una seconda rotta statica verso la LAN dei PC (comando ip route 192.168.1.0 0.0.0.255 192.168.0.1) per gestire il traffico di ritorno verso la LAN interna.

Codice: Seleziona tutto

Interface eth0
 ip address 192.168.0.2 255.255.255.0
 ip nat inside
 no shut
Interface atm0
 dsl operating-mode auto
 no atm ilmi keep-alive
 no ip address
interface atm0.1
 ip address 213.xxx.xxx.xxx 255.255.255.0 (non é sbagliato, se non é specificata una maschera dal contratto si assume questa)
 ip nat outside
 pvc 8/35
  encapsulation aal5snap
Interface Loopback0
 description Interfaccia per il NAT su iP pubblico
 ip address 89.xxx.xxx.003 255.255.255.255 (non é sbagliata anche se da contratto é prevista una 255.255.255.248 in quanto così si usa solo questo indirizzo per il NAT)
 ip nat outside
!
ip route 0.0.0.0 0.0.0.0 atm0.1
ip nat inside source list 1 interface loop0 overload
access-list 1 permit 192.168.0.0 0.0.0.255

Per rispondere invece alla domanda se l'837 può andare bene in quanto non ADSL2+, dipende da due cose:
1) Dal contratto con Tiscali. Se é per 20 Mbs allora non va bene ci vuole un 877 ho una connessione Tiscali 24mb adsl2+2) Se ti si allinea la portante ADSL. Lo verifichi (oltre che dal LED) con il comando sh dsl int atm0

Saluti