857W e Linea Telecom Business

[Fumetto]

ALEEEEEEEEEEEEEE!!!!!!!!!!!!!!!!!
EVVIVAAAAAAAAAAAAAA!!!!!!!!!!!!!!!!!!!!!!!!!

Scusate ma proprio mi escono dal cuore... collegamento effettuato e funzionante, sistemo la configurazione, faccio un pò di prove e poi posto il tutto con le spiegazioni che so dare...
Non ho trovato da nessuna parte una conf funzionante per questo router magari aiuto qualcuno...

Grazie telma... ma non hai ancora finito con me...

[telma]

Sono contento che vada.

E più importente capire ciò che si fà (sbucciandosela) piuttosto che avere
una risposta da copiare.

spero che tu abbia capito a cosa ti serve il pool net, l'ip route, etc.

facci capire cosa devi continuare a fare.

[Fumetto]

Dunque dunque... cominciamo... con il resettare il router!!! :p

Da console e con i permessi di gestione (quindi dopo aver inserito "enable") digitare

Codice: Seleziona tutto

#erase startup-config

confermare e poi digitare

Codice: Seleziona tutto

#reload

non salvare nulla e annullare il successivo avvio della procedura di configurazione automatica.
Al riavvio con un sh startup-config ci ritroveremo in questa situazione

Codice: Seleziona tutto

Router#show running-config
Building configuration...

Current configuration : 825 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
!
! 
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Vlan1
 no ip address
!
ip classless
!
no ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

Router#

Bene, adesso passiamo alla configurazione vera e propria...

Codice: Seleziona tutto

hostname cisco857w
no logging buffered
no logging rate-limit

con queste istruziona chiameramo il ns router "cisco857w" e dsattiveremo i servizi di logging (almeno adesso a me non servivano e li ho disabilitati)

Codice: Seleziona tutto

no ip source-route
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100

Con questi comandi impostiamo il dominio e i server DNS di Telecom; il comando "no ip source-route" non ho capito a che serve... :p

Codice: Seleziona tutto

interface ATM0
 no shutdown
 exit

Con questi comandi attiviamo e rendiamo stabilmente attiva l'interfaccia ATM (che sarebbe quella dell'ADSL).

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 bandwidth 4096
 ip address 88.xx.xx.xx 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
  exit
 exit

con questa sequenza di istruzioni configuriamo l'interfaccia punto-punto inserendo l'indirizzo che ci è stato fornito da Telecom con la relativa netmask.

Codice: Seleziona tutto

interface Vlan1
 ip address 192.168.1.1 255.255.255.0 secondary
 ip address 88.xx.xx.241 255.255.255.248
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
 exit

Con quest'altra serie di istruzioni configuriamo l'interfaccia che si occupa di gestire l'accesso via web al router e che ci fa da gateway per la rete interna; l'indirizzo assegnato 88.xx.xx.xx e relativa netmask è quello fornito da Telecom come gateway ed è, almeno nel mio caso, il secondo degli 8 IP assegnati.

Codice: Seleziona tutto

ip route 0.0.0.0 0.0.0.0 ATM0.1
ip nat pool net-ibs 88.xx.xx.242 88.xx.xx.242 netmask 255.255.255.248
ip nat inside source list 2 interface ATM0.1 overload

Con questi comandi abilitiamo il NAT specificando che l'IP d'uscita sarà quello con finale 242 (nel mio caso il terzo degli IP assegnati); per saper chi può collegarsi dobbiamo anche specificarlo aggiungendo due righe di access-list che sono

Codice: Seleziona tutto

access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 permit 88.xx.xx.240 0.0.0.7

la prima permette l'uscita degli IP assegnati, la seconda l'uscita della lan interna.

Quello che ho scritto si basa sull'esperienza fatta in due settimane circa grazie all'aiuto di telma e ad alcune ricerche fatte, spero di non aver scritto cavolate, se le ho scritte non me ne vogliate; l'unico intento di questo post è quello di aiutare chi come me deve configurare il router in oggetto senza avere le conoscenze necessarie per farlo (come me d'altronde).

[Fumetto]

Aggiungo la configurazione per abilitare il DHCP...

Codice: Seleziona tutto

ip dhcp pool user
 network 192.168.1.0 255.255.255.0
 dns-server 151.99.125.2 151.99.0.100
 default-router 192.168.1.1
 import all
 lease 0 0 5
 exit
ip dhcp excluded-address 192.168.1.1 192.168.1.149
ip dhcp excluded-address 192.168.1.160 192.168.1.254
exit

[Fumetto]

Riuppo questo 3d per dire che... CI SONO RIUSCITO!!!

Alur... il mio problema era, dopo le configurazioni di cui sopra, riuscire a sfruttare un ip degli 8 assegnati per uscire direttamente con quello su internet e non con quello della punto-punto come fino ad ora
Quindi i passi che ho seguito sono:

Codice: Seleziona tutto

#copy run confokold

con questo comando mi sono salvato la configurazione attuale sulla flash in un file di nome confokold... hai visto mai faccio casini almeo posso tornare indietro... poi

Codice: Seleziona tutto

#erase nvram

con questo cancello la startup-config

Codice: Seleziona tutto

#reload

facciamo il reboot e mi ritrovo con la configurazione standard, come se lo avessi comprato adesso

Codice: Seleziona tutto

#config t
#service password-encryption
#enable secret xxxxxxxx
#ip domain-name interbusinnes.it
#ip name-server 151.99.125.2
#ip name-server 151.99.0.100
#interface vlan1
# ip address xxx.xxx.xxx.xxx 255.255.255.248 (secondo ip del pool assegnato)
# ip access-group 102 out
# no cdp enable
# hold-queue 100 out
# no shutdown
# exit
#interface ATM0
# no shutdown
# exit
#interface ATM0.1 point-to-point
# ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.252 (IP punto-punto e netmask)
# ip access-group 103 out
# pvc 8/35
# encapsulation aal5snap
# exit
#ip route 0.0.0.0 0.0.0.0 ATM0.1
#exit

Così facendo se attacco a una delle porte ethernet un server linux avente per ip il terzo del pool assegnato e per gateway l'ip della vlan1... MIRACOLO!!! (per me), esco con l'ip del server linux (nel caso specifico IpCop).

Sono proprio contento!!!

Ora una domanda se qualcuno sa... a parte la messa in sicurezza del router (impossibilità di raggiugere il router da fuori il pool assegnato) cosa altro posso fare per migliorare la situazione?
Mi spiego... spero...
Considerato che la sicurezza della lan interna è adesso demandata al serverino IpCop il roouter Cisco adesso è "senza lavoro"... posso sfruttarlo per... diciamo mettere due firewalll in cascata?
Prima sfruttavo il firewall integrato per proteggere la rete interna, posso proteggere l'IP pubblico del router con il Cisco? Se non ho capito male il firewall del Cisco può funzionare direttamente sull'ATM e quindi prima che i pacchetti arrivino sull'ip pubblico, giusto?
Consigli, link... ogni cosa è ben accetta!!!

Grazie a tutti per questo splendido punto di supporto... c'ho messo un po ma ci sono riuscito!!!

[Fumetto]

...e aggiungo...

Situazione attuale...

Codice: Seleziona tutto

Internet---Cisco--- server linux--- lan

il router si collega tramite punto-punto a internet e il server linux tramite il gateway esce (e viene visto) con l'ip pubblico. Lato lan ip privato che funge da gateway per la rete interna.
Il router ha la Vlan (che se ho capito bene è l'equivalente della ethernet0 dell'837) come periferica virtuale, il mio gateway internet...
Il server è attaccato a una delle porte fastethernet del router e fa da filtro verso la lan...
[ ip route 0.0.0.0 0.0.0.0 ATM0.1 ] "ruota" tutti i pacchetti in transito sull'atm0.1 giusto?


E' possibile attaccare direttamente un altro cavo tra lan e router bypassando il server linux e sfruttando questo collegamento per far andare su internet un singolo pc della lan con un indirizzo del pool assegnato rimasto libero?

Codice: Seleziona tutto

Internet---Cisco--- server linux--- lan_switch
         |                           |
         -----------------------------

Mi spiego... 193.x.x.10 in lan, piuttosto che avere come gateway il server linux che fa da ponte potrebbe direttamente collegarsi a una vlan2 con (ipotizzo) ip primario e secondario uno pubblico e uno privato facendo appunto nat da e per quel solo pc in lan? Senza arrecare disturbo agli altri pc e senza essere visto dalla rete (con una accesslist che magari non risponda se non a segnali provenienti da quel pc e non mandi paccketti se non a quel pc?)
O mi vanno in conflitto i pacchetti e "imputtanisco" tutto?!?!
E' teoricamente possibile?!?! posso cominciare a sperimentare o ci evito di perdere tempo?

[Fumetto]

....mmm...

Ammetto di avere scritto un paio di inesattezze... il router Cisco in questo caso si sta comportando da collegamento fisico tra il server linux e la rete internet quindi penso che non passa fare da ulteriore filtro per l'ip pubblico con il quale esce il server su internet...

Ma resta l'ipotesi del secondo cavo che scavalca il server e arriva direttamente in lan... è possibile?
Su...su... non ditemi che non sapete darmi una risposta o un'indicazione...

[Fumetto]

Riuppo... posso impostare acl per proteggere il pool assegnato a partire dall'ATM (le acl sono accoppiate al funzionamento dell'ATM).

...configurazione copiata da una "configurazione pronta" postata da un guru...

Resta il dubbio se posso collegare direttamente il Cisco alla lan con una Vlan2... non è il massimo ma vorrei sperimentare... attualmente gli ho collegato un secondo server con uno degli ip assegnati e funzia, ne ho ancora 3 liberi e vorrei vedeer di sfruttarli... magari solo per fare prove...