Le tabelle di routing si "trovano" nella RAM e non nella Flash.
Ciao
Cisco soho77 e Alice 4Mbit
Moderatore: Federico.Lagni
-
MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
-=] MaiO [=-
-
Babbazzi
- n00b
- Messaggi: 12
- Iscritto il: ven 04 ago , 2006 10:25 am
Ciao,
io ho i file nella webflash, ho la JVM installata, ma non mi funziona più l'ambiente via web.
Sicuramente perchè avevo rimosso l'utente che si era creato. come posso ripristinarlo?
Allego sh run:
saluti
io ho i file nella webflash, ho la JVM installata, ma non mi funziona più l'ambiente via web.
Sicuramente perchè avevo rimosso l'utente che si era creato. come posso ripristinarlo?
Allego sh run:
Codice: Seleziona tutto
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.2
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
ip cef
!
!
!
username router privilege 15 secret 5 xxxxxxxxxxxxxx
!
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip access-group 102 out
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address negotiated
ip access-group 103 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
ip nat translation timeout 4800
ip nat translation tcp-timeout 4800
ip nat translation udp-timeout 4800
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip nat inside source static tcp 10.10.10.2 32459 interface Dialer0 32459
ip nat inside source static udp 10.10.10.2 6257 interface Dialer0 6257
ip nat inside source static tcp 10.10.10.2 6699 interface Dialer0 6699
ip nat inside source static tcp 10.10.10.2 7070 interface Dialer0 7070
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer0 4662
ip nat inside source static udp 10.10.10.2 4672 interface Dialer0 4672
ip nat inside source static tcp 10.10.10.2 8081 interface Dialer0 8081
ip nat inside source static tcp 10.10.10.2 21 interface Dialer0 21
ip nat inside source static tcp 10.10.10.2 1755 interface Dialer0 1755
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 permit tcp any 10.10.10.0 0.0.0.255 established
access-list 102 permit udp any eq domain 10.10.10.0 0.0.0.255
access-list 102 permit tcp any host 10.10.10.2 eq 4662
access-list 102 permit tcp any host 10.10.10.2 eq 6699
access-list 102 permit udp any host 10.10.10.2 eq 6257
access-list 102 permit udp any host 10.10.10.2 eq 4762
access-list 103 deny icmp any any echo
access-list 103 permit ip any any
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Io sono buono e tranquillo, ma ogni tanto...
e questo cos'è??no ip http server
-
Babbazzi
- n00b
- Messaggi: 12
- Iscritto il: ven 04 ago , 2006 10:25 am
e chi lo aveva messo? 
forse prendendo spunto da una delle vostre illuminanti configurazioni.
ti chiedo di essere paziente con me xè sono novello.
a proposito, come puoi notare le mi acl sono "figlie tue".
però continuo ad avere problemi con il p2p. emule è lentissimo (quando è in grazia di dio arriva a 10k/s) e il kad si connette "firewalled". torrent non parte nemmeno.
ho cercato in vari post ed in altri siti col fine di ottenere quello che ora è il mio sh run.
hai suggerimenti?
ti ringrazio x la celerità della risposta
forse prendendo spunto da una delle vostre illuminanti configurazioni.
ti chiedo di essere paziente con me xè sono novello.
a proposito, come puoi notare le mi acl sono "figlie tue".
però continuo ad avere problemi con il p2p. emule è lentissimo (quando è in grazia di dio arriva a 10k/s) e il kad si connette "firewalled". torrent non parte nemmeno.
ho cercato in vari post ed in altri siti col fine di ottenere quello che ora è il mio sh run.
hai suggerimenti?
ti ringrazio x la celerità della risposta
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Sono delle tempistiche mostruosamente alte, considerando che il default è 3600 ed è un eccesso di per sé.ip nat translation timeout 4800
ip nat translation tcp-timeout 4800
ip nat translation udp-timeout 4800
c'è qualcuno di buona volontà disposto a spendere qualche euro l'anno per registrare www.no-max-entries.com?ip nat translation max-entries 4096
Scusa la battuta (non è certo colpa tua), ma è la quinta volta in due giorni.
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer0 4662
ip nat inside source static udp 10.10.10.2 4672 interface Dialer0 4672
Scovate le differenzeaccess-list 102 permit tcp any host 10.10.10.2 eq 4662
access-list 102 permit udp any host 10.10.10.2 eq 4762
-
Babbazzi
- n00b
- Messaggi: 12
- Iscritto il: ven 04 ago , 2006 10:25 am
allora,
abbasso i valori
ip nat translation timeout 4800
ip nat translation tcp-timeout 4800
ip nat translation udp-timeout 4800
a 3600? va bene o è meglio abbassarli ulteriormente?
le altre citazioni sinceramente non ho capito cosa intendi.
ciao
abbasso i valori
ip nat translation timeout 4800
ip nat translation tcp-timeout 4800
ip nat translation udp-timeout 4800
a 3600? va bene o è meglio abbassarli ulteriormente?
le altre citazioni sinceramente non ho capito cosa intendi.
ciao
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
LEVA QUESTA RIGA:
NATti la 4672:ip nat translation max-entries 4096
ma lasci passare la 4762:ip nat inside source static udp 10.10.10.2 4672 interface Dialer0 4672
hai invertito le ultime due cifre.access-list 102 permit udp any host 10.10.10.2 eq 4762
-
Babbazzi
- n00b
- Messaggi: 12
- Iscritto il: ven 04 ago , 2006 10:25 am
ho seguito il tuo ragionamento anche per bittorrent:
l'ho impostato per utilizzare la TCP 32459 ed ho inserito
ip nat inside source static tcp 10.10.10.2 32459 interface Dialer0 32459
e
access-list 102 permit tcp any host 10.10.10.2 eq 32459
dove
ip access-group 102 out
è in
interface Ethernet0
non capisco come mai sia una ACL in uscita sulla eth e non in ingresso.
io dalle acl 103 permetto a tutti i pacchetti IP (tranne gli ICMP) provenienti da qualsiasi indirizzo di accedere al router via WAN, dopodichè il router li routa alla eth che lascia passare solo quelli che dico io con le acl.
1) concettualmente.. non sarebbe in ingresso sulla eth?
2) non sarebbe + intelligente filtrare le porte che mi servono sull'interfaccia wan per poi ruotare i pacchetti alla eth, invece che far ruotare tutto a prescindere x poi scartare in base alle acl sulla eth?
Intanto ti posso dire che torrent ora pare funzionare!
ti ringrazio per il supporto!
l'ho impostato per utilizzare la TCP 32459 ed ho inserito
ip nat inside source static tcp 10.10.10.2 32459 interface Dialer0 32459
e
access-list 102 permit tcp any host 10.10.10.2 eq 32459
dove
ip access-group 102 out
è in
interface Ethernet0
non capisco come mai sia una ACL in uscita sulla eth e non in ingresso.
io dalle acl 103 permetto a tutti i pacchetti IP (tranne gli ICMP) provenienti da qualsiasi indirizzo di accedere al router via WAN, dopodichè il router li routa alla eth che lascia passare solo quelli che dico io con le acl.
1) concettualmente.. non sarebbe in ingresso sulla eth?
2) non sarebbe + intelligente filtrare le porte che mi servono sull'interfaccia wan per poi ruotare i pacchetti alla eth, invece che far ruotare tutto a prescindere x poi scartare in base alle acl sulla eth?
Intanto ti posso dire che torrent ora pare funzionare!
ti ringrazio per il supporto!
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Devi considerare le ACL come se ti trovassi all'interno del router.
Ciò vuol dire che sulla WAN, quando un pacchetto entra è in direzione IN, mentre se esce è in direzione OUT.
Applicando l'acl alla ethernet, se un pacchetto va verso la LAN la direzione è OUT, se invece dalla LAN un pacchetto entra nel router (presumibilmente per andare verso fuori), la direzione è IN.
Il ragionamento di mettere i filtri sulla WAN non fa una piega tranne per un particolare: il NAT avviene dopo l'ingresso/accettazione dei pacchetti. Ciò vuol dire che se vuoi discriminare la destinazione di un pacchetto entrante, dovrai porre l'ACL dopo il NAT, e quindi per forza sulla ethernet. Se invece la destinazione non ti interessa, puoi metterla tranquillamente sulla LAN.
Ciò vuol dire che sulla WAN, quando un pacchetto entra è in direzione IN, mentre se esce è in direzione OUT.
Applicando l'acl alla ethernet, se un pacchetto va verso la LAN la direzione è OUT, se invece dalla LAN un pacchetto entra nel router (presumibilmente per andare verso fuori), la direzione è IN.
Il ragionamento di mettere i filtri sulla WAN non fa una piega tranne per un particolare: il NAT avviene dopo l'ingresso/accettazione dei pacchetti. Ciò vuol dire che se vuoi discriminare la destinazione di un pacchetto entrante, dovrai porre l'ACL dopo il NAT, e quindi per forza sulla ethernet. Se invece la destinazione non ti interessa, puoi metterla tranquillamente sulla LAN.
-
prisoner
- Cisco fan
- Messaggi: 35
- Iscritto il: ven 21 lug , 2006 12:34 am
- Località: Brescia
beh, visto che siete nei dintorni mi servirebbero un paio di comandi che non riesco a trovare da nessuna parte; se volessi vedere lo stato delle connessioni, della memoria, e delle interfacce? cosa dovrei fare?
spiego nel dettaglio... voglio capire se il router è stabile e quindi l'uptime della connessione ppp; secondo, vorrei vedere quanta memoria stà utilizzando il router per le tabelle con emule aperto su uno dei pc; ultima ma non meno importante vorrei monitorare lo stato di salute del router insomma, sapere se va tutto bene. Non trovo nessun how to che mi aiuti a farlo.
Ringrazio in anticipo
spiego nel dettaglio... voglio capire se il router è stabile e quindi l'uptime della connessione ppp; secondo, vorrei vedere quanta memoria stà utilizzando il router per le tabelle con emule aperto su uno dei pc; ultima ma non meno importante vorrei monitorare lo stato di salute del router insomma, sapere se va tutto bene. Non trovo nessun how to che mi aiuti a farlo.
Ringrazio in anticipo
-
mavelot
- Cisco fan
- Messaggi: 34
- Iscritto il: mar 08 ago , 2006 11:30 am
Sto anche io imparando con un soho77. Volevo rispondere a chi ha problemi con l'interfaccia web, cosa ho fatto io per farla funzionare.
Premesso che ho completamente cancellato la flash, la webflash e la nvram. Ho installato IOS 12.3.15, il CWRS 3.3.31 scaricato dal sito Cisco.
Per far funzionare l'interfaccia web è insispensabile avere la JVM Microsoft, e SOPRATTUTTO copiare come startup-config la configurazione che viene fornita insieme al CWRS, nel file ConfigExp.cfg
Solo in questo modo il router si trova realmente nelle condizioni "nuovo di fabbrica" ed è l'unico modo in cui il CWRS funziona. Al primo avvio il router avrà user cisco/cisco e si potrà procedere alla configurazione.
Una puntualizzazione: quando flashate il CWRS, ricordatevi di fare copy tftp webflah: in questo modo userete i 2Mb di flash appositamente destinati all'interfaccia web senza sprecare spazio sulla flash principale, e soprattutto rendendo "indipendenti" eventuali erase che si rendano necessari sull'una o sull'altra partizione della flash.
...ora torno un po' a leggere come si configura per benino Alice...poi nel w-e passo alla pratica
Premesso che ho completamente cancellato la flash, la webflash e la nvram. Ho installato IOS 12.3.15, il CWRS 3.3.31 scaricato dal sito Cisco.
Per far funzionare l'interfaccia web è insispensabile avere la JVM Microsoft, e SOPRATTUTTO copiare come startup-config la configurazione che viene fornita insieme al CWRS, nel file ConfigExp.cfg
Solo in questo modo il router si trova realmente nelle condizioni "nuovo di fabbrica" ed è l'unico modo in cui il CWRS funziona. Al primo avvio il router avrà user cisco/cisco e si potrà procedere alla configurazione.
Una puntualizzazione: quando flashate il CWRS, ricordatevi di fare copy tftp webflah: in questo modo userete i 2Mb di flash appositamente destinati all'interfaccia web senza sprecare spazio sulla flash principale, e soprattutto rendendo "indipendenti" eventuali erase che si rendano necessari sull'una o sull'altra partizione della flash.
...ora torno un po' a leggere come si configura per benino Alice...poi nel w-e passo alla pratica
-
Babbazzi
- n00b
- Messaggi: 12
- Iscritto il: ven 04 ago , 2006 10:25 am
Irish,
sai per caso come far funzionare la chiamata vocale e il file transfer di MSN Messenger?
Io ho trovato le porte che bengono utilizzate ed ho inserito le acl e i nat in questo modo, ma non funge:
come vedi ho invertito le ACLs rispetto all'altra volta.
Creo un blocco in ingresso sulla in Dialer0 e lascio passare solo ciò che ho cominciato io le porte che mi servono x emule bittorrent a msn e queste le natto verso il mio pc.
Funziona tutto tranne MSN.
Mi sapresti aiutare?
Grazie
sai per caso come far funzionare la chiamata vocale e il file transfer di MSN Messenger?
Io ho trovato le porte che bengono utilizzate ed ho inserito le acl e i nat in questo modo, ma non funge:
Codice: Seleziona tutto
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.2
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
ip cef
!
!
!
username router privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxx
!
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
ip nat translation timeout 2400
ip nat translation tcp-timeout 2400
ip nat translation udp-timeout 2400
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 32459 interface Dialer0 32459
ip nat inside source static udp 10.10.10.2 6901 interface Dialer0 6901
ip nat inside source static tcp 10.10.10.2 6901 interface Dialer0 6901
ip nat inside source static tcp 10.10.10.2 6893 interface Dialer0 6893
ip nat inside source static tcp 10.10.10.2 6892 interface Dialer0 6892
ip nat inside source static tcp 10.10.10.2 6891 interface Dialer0 6891
ip nat inside source static tcp 10.10.10.2 6699 interface Dialer0 6699
ip nat inside source static udp 10.10.10.2 6257 interface Dialer0 6257
ip nat inside source static udp 10.10.10.2 4672 interface Dialer0 4672
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer0 4662
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip nat inside source static tcp 10.10.10.2 1893 interface Dialer0 1893
ip nat inside source static tcp 10.10.10.2 21 interface Dialer0 21
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 permit tcp any any established
access-list 102 permit udp any eq domain any
access-list 102 permit tcp any any eq 1863
access-list 102 permit tcp any any eq 4662
access-list 102 permit udp any any eq 4672
access-list 102 permit udp any any eq 6257
access-list 102 permit tcp any any eq 6699
access-list 102 permit tcp any any range 6891 6893
access-list 102 permit tcp any any eq 6901
access-list 102 permit udp any any eq 6901
access-list 102 permit tcp any any eq 32459
access-list 102 permit tcp any any eq telnet
access-list 102 permit icmp any any echo-reply
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end
come vedi ho invertito le ACLs rispetto all'altra volta.
Creo un blocco in ingresso sulla in Dialer0 e lascio passare solo ciò che ho cominciato io le porte che mi servono x emule bittorrent a msn e queste le natto verso il mio pc.
Funziona tutto tranne MSN.
Mi sapresti aiutare?
Grazie
