Ip pubblici aggiuntivi su adsl business

masterx81 · mer 17 giu , 2009 10:46 am

Wizard ha scritto:Si ma nn avevi gli ip aggiuntivi

Se li avevi in Telecom si erano dimenticati la config della acl, succede.

Gli ip aggiuntivi ce li avevo, peccato che li avevano dati a qualcun'altro! Hanno fatto un po' di casino. Cmq su tutte le smart che ho configurato navigavano tranquillamente con l'ip punto punto, ed io tuttora ci navigo, faccio partire e ricevere traffico da quell'ip senza problemi...
Cmq ora la config è così:

Codice: Seleziona tutto

interface Loopback0
 ip address x.x.x.225 255.255.255.255
 ip access-group 101 in
 ip virtual-reassembly
!
interface Loopback1
 ip ddns update hostname gecom.no-ip.com
 ip ddns update no-ip
 ip address x.x.x.226 255.255.255.255
 ip access-group 102 in
 ip virtual-reassembly
!

interface ATM0
 mtu 1492
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 hold-queue 224 in
!
interface ATM0.1 point-to-point
 ip address y.y.y.234 255.255.255.252
 ip access-group 100 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nbar protocol-discovery
 ip nat outside
 ip ips IPSRULE in
 ip ips IPSRULE out
 ip inspect inspection-out out
 ip virtual-reassembly
 snmp trap ip verify drop-rate
 pvc 8/35
  oam-pvc manage
  encapsulation aal5snap
 !
!

ip nat inside source list 120 interface ATM0.1 overload
ip nat inside source list 121 interface Loopback0 overload
ip nat inside source static tcp 192.168.200.1 20 interface Loopback1 20
ip nat inside source static tcp 192.168.200.1 3389 interface Loopback1 3389
ip nat inside source static tcp 192.168.200.1 8080 interface Loopback1 8080
ip nat inside source static tcp 192.168.200.1 80 interface Loopback1 80
ip nat inside source static tcp 192.168.200.1 21 interface Loopback1 21
ip nat inside source static tcp 192.168.200.1 143 interface Loopback1 143
ip nat inside source static tcp 192.168.200.1 443 interface Loopback1 443
ip nat inside source static tcp 192.168.200.1 25 interface Loopback1 25
ip nat inside source static 192.168.200.252 interface Loopback2

access-list 100 remark *** ACL GENERALE DELLA ADSL ***
access-list 100 remark *** ACL Anti-Spoofing ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL Anti-Seccatori ***
access-list 100 deny   ip 88.43.57.0 0.0.0.255 any log
access-list 100 remark *** ACL DEL SECONDO IP AGGIUNTIVO - SERVIZI - LOOPBACK 1***
access-list 100 remark *** ACL per applicazioni server ***
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 143
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any gt 1023 any eq ftp-data
access-list 100 remark *** ACL per VPN ***
access-list 100 permit tcp any any eq 1723
access-list 100 permit udp any eq isakmp any eq isakmp
access-list 100 permit gre any any
access-list 100 remark *** ACL DEL TERZO IP AGGIUNTIVO - VOIP - LOOPBACK2***
access-list 100 remark *** Permetto il traffico SIP in ingresso dal server voip EXSORSA***
access-list 100 permit tcp host 87.253.102.109 eq 5060 any
access-list 100 remark *** Permetto il traffico UDP in ingresso dal server voip EXSORSA***
access-list 100 permit udp host 87.253.102.109 any
access-list 101 remark *** ACL DEL PRIMO IP AGGIUNTIVO - NAVIGAZIONE  - LOOPBACK 0***
access-list 101 remark Non devo far passare nulla
access-list 101 deny   ip any any
access-list 102 remark *** ACL DEL SECONDO IP AGGIUNTIVO - SERVIZI - LOOPBACK 1***
access-list 102 remark *** ACL per applicazioni server ***
access-list 102 permit tcp any any eq 3389
access-list 102 permit tcp any any eq ftp
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq 8080
access-list 102 permit tcp any any eq 143
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any gt 1023 any eq ftp-data
access-list 102 remark tcp any eq ftp-data any gt 1023  ***non credo serva
access-list 102 remark *** ACL per VPN ***
access-list 102 permit tcp any any eq 1723
access-list 102 permit udp any eq isakmp any eq isakmp
access-list 102 permit gre any any
access-list 103 remark *** ACL DEL TERZO IP AGGIUNTIVO - VOIP - LOOPBACK2***
access-list 103 remark *** Permetto il traffico SIP in ingresso dal server voip EXSORSA***
access-list 103 permit tcp host 87.253.102.109 eq 5060 any
access-list 103 remark *** Permetto il traffico UDP in ingresso dal server voip EXSORSA***
access-list 103 permit udp host 87.253.102.109 any
access-list 120 remark *** NAT - IP ADSL PPP - SMTP in uscita ***
access-list 120 remark *** Permetto solo l'invio di posta solo dal server ***
access-list 120 permit tcp host 192.168.200.1 any eq smtp
access-list 121 remark *** NAT - PRIMO IP AGGIUNTIVO - Navigazione ***
access-list 121 remark *** Blocco l'invio di posta dal server e permetto tutto il resto del traffico
 ***
access-list 121 deny   tcp host 192.168.200.1 any eq smtp
access-list 121 permit ip any any
access-list 121 permit icmp any any
access-list 121 permit gre any any

Funzionano tutti i servizi in ingresso ma non la vpn pptp (il cisco fa da punto di accesso ed autentica tramite radius)... E non riesco a capire perchè!!!
Non va ne puntando l'ip della punto punto (che fino all'altro ieri, prima di utilizzare gli ip aggiuntivi, andava), ne puntando l'ip della loopback designata per i servizi in ingresso...

---EDIT---
Allora, ho provato a utilizzare questo pezzo di acl sulla atm0.1:

Codice: Seleziona tutto

access-list 100 remark *** ACL per VPN ***
access-list 100 permit tcp any any eq 1723 log
access-list 100 permit udp any eq isakmp any eq isakmp log
access-list 100 permit gre any any log

e questo pezzo di acl sulla loopback 2 (che è per i servizi in ingresso)

Codice: Seleziona tutto

access-list 102 remark *** ACL per VPN ***
access-list 102 permit tcp any any eq 1723 log
access-list 102 permit udp any eq isakmp any eq isakmp log
access-list 102 permit gre any any log

Praticamente loggo i pacchetti pptp mentre arrivano dall'esterno.
Sia puntando l'ip punto punto che l'ip della loopback mi logga solo traffico tcp/udp, ma non il gre...
Verso il punto punto:

Codice: Seleziona tutto

001743: Jun 17 17:59:53.761: %SEC-6-IPACCESSLOGP: list 100 permitted tcp r.r.r.65(34659) -> x.x.x.234(1723), 1 packet
001744: Jun 17 18:00:36.686: %SEC-6-IPACCESSLOGP: list 100 permitted udp r.r.r.65(500) -> x.x.x.234(500), 5 packets
001745: Jun 17 18:01:36.688: %SEC-6-IPACCESSLOGP: list 100 permitted tcp r.r.r.65(34616) -> x.x.x.226(1723), 2 packets

Verso la loopback:

Codice: Seleziona tutto

001736: Jun 17 17:53:30.823: %SEC-6-IPACCESSLOGP: list 100 permitted tcp r.r.r.65(34589) -> x.x.x.226(1723), 1 packet
001737: Jun 17 17:53:51.820: %SEC-6-IPACCESSLOGP: list 100 permitted udp r.r.r.65(500) -> x.x.x.226(500), 1 packet
001738: Jun 17 17:55:42.876: %SEC-6-IPACCESSLOGP: list 100 permitted tcp r.r.r.65(34616) -> x.x.x.226(1723), 1 packet

Noto pero' che la acl 102 (sulla loopback in ingresso) non registra traffico... Come mai? E precè non vedo mai il gre???

Grazie!!!

Wizard · mer 17 giu , 2009 9:37 pm

Allora, la loopback è solo una int logica che starà sempre up finchè saranno up le altre ma, le acl devono essere applicate alla atm0.1 e nn alle loopback.

Quindi, crea un singolo access-group x gli accessi da internet e associalo alla atm0.1!

La lo deve avere ip e description, basta!

masterx81 · mer 17 giu , 2009 11:22 pm

Wizard ha scritto:Allora, la loopback è solo una int logica che starà sempre up finchè saranno up le altre ma, le acl devono essere applicate alla atm0.1 e nn alle loopback.

Quindi, crea un singolo access-group x gli accessi da internet e associalo alla atm0.1!

La lo deve avere ip e description, basta!

E' vero!
Basta che utilizzo come destinazione l'ip pubblico di mio interesse anzichè applicare filtri alle loopback

Il traffico che voglio bloccare o far passare su tutte utilizzo come destinazione any...
Grazie per la dritta, domattina provo e faccio sapere le la vpn torna a funzionare...

masterx81 · gio 18 giu , 2009 11:33 am

Ok, sistemato le acl ma la vpn non ne vuole sapere...
Se mi collego alla vpn del router dall'interno funziona tutto, ma se lo faccio da fuori non ne vuole sapere...
Ecco le aprti rilevati della config:

Codice: Seleziona tutto

aaa group server radius VPNDialIn
 server 192.168.1.1 auth-port 1812 acct-port 1813
!
aaa authentication attempts login 5
aaa authentication login console none
aaa authentication login telnet local
aaa authentication ppp default group VPNDialIn
aaa authorization exec default local 
aaa authorization network default group VPNDialIn 

vpdn enable
!
vpdn-group VPNDialIn
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!

interface Loopback0
 description *** Interfaccia per la navigazione ***
 ip address x.x.x.225 255.255.255.255
 ip virtual-reassembly
!
interface Loopback1
 description *** Interfaccia per i servizi in ingresso ***
 ip ddns update hostname gecom.no-ip.com
 ip ddns update no-ip
 ip address x.x.x.226 255.255.255.255
 ip virtual-reassembly
!
interface Loopback2
 description *** Interfaccia per il VOIP ***
 no ip address
!

interface ATM0
 mtu 1492
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 hold-queue 224 in
!
interface ATM0.1 point-to-point
 description $ES_WAN$$FW_OUTSIDE$
 ip address y.y.y.234 255.255.255.252
 ip access-group 100 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nbar protocol-discovery
 ip nat outside
 ip ips IPSRULE in
 ip ips IPSRULE out
 ip inspect inspection-out out
 ip virtual-reassembly
 snmp trap ip verify drop-rate
 pvc 8/35 
  oam-pvc manage
  encapsulation aal5snap
 !


interface Virtual-Template1
 description $FW_OUTSIDE$
 ip unnumbered FastEthernet0
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 snmp trap ip verify drop-rate
 peer default ip address dhcp
 no keepalive
 compress mppc
 ppp encrypt mppe auto required
 ppp authentication ms-chap-v2 ms-chap callin VPNDialIn
 ppp authorization VPNDialIn
!

ip route 0.0.0.0 0.0.0.0 ATM0.1
ip nat inside source list 120 interface ATM0.1 overload
ip nat inside source list 121 interface Loopback0 overload
ip nat inside source static tcp 192.168.200.1 20 interface Loopback1 20
ip nat inside source static tcp 192.168.200.1 3389 interface Loopback1 3389
ip nat inside source static tcp 192.168.200.1 8080 interface Loopback1 8080
ip nat inside source static tcp 192.168.200.1 80 interface Loopback1 80
ip nat inside source static tcp 192.168.200.1 21 interface Loopback1 21
ip nat inside source static tcp 192.168.200.1 143 interface Loopback1 143
ip nat inside source static tcp 192.168.200.1 443 interface Loopback1 443
ip nat inside source static tcp 192.168.200.1 25 interface Loopback1 25
ip nat inside source static 192.168.200.252 interface Loopback2

access-list 100 remark *** ACL GENERALE DELLA ADSL ***
access-list 100 remark *** ACL Anti-Spoofing ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL Anti-Seccatori ***
access-list 100 deny   ip 88.43.57.0 0.0.0.255 any log
access-list 100 remark *** ACL DEL SECONDO IP AGGIUNTIVO - SERVIZI - LOOPBACK 1***
access-list 100 remark *** ACL per applicazioni server ***
access-list 100 permit tcp any host x.x.x.226 eq 3389
access-list 100 permit tcp any host x.x.x.226 eq ftp
access-list 100 permit tcp any host x.x.x.226 eq www
access-list 100 permit tcp any host x.x.x.226 eq 8080
access-list 100 permit tcp any host x.x.x.226 eq 143
access-list 100 permit tcp any host x.x.x.226 eq 443
access-list 100 permit tcp any host x.x.x.226 eq smtp
access-list 100 permit tcp any gt 1023 host x.x.x.226 eq ftp-data
access-list 100 remark tcp any eq ftp-data host x.x.x.226 gt 1023  ***non credo serva
access-list 100 remark *** ACL per VPN ***
access-list 100 permit tcp any host x.x.x.226 eq 1723 log
access-list 100 permit udp any eq isakmp host x.x.x.226 eq isakmp log
access-list 100 permit gre any host x.x.x.226 log
access-list 100 remark *** ACL DEL TERZO IP AGGIUNTIVO - VOIP - LOOPBACK2***
access-list 100 remark *** Permetto il traffico SIP in ingresso dal server voip EXSORSA***
access-list 100 permit tcp host 87.253.102.109 eq 5060 host x.x.x.227
access-list 100 remark *** Permetto il traffico UDP in ingresso dal server voip EXSORSA***
access-list 100 permit udp host 87.253.102.109 host x.x.x.227
access-list 120 remark *** NAT - IP ADSL PPP - SMTP in uscita ***
access-list 120 remark *** Permetto solo l'invio di posta solo dal server ***
access-list 120 permit tcp host 192.168.200.1 any eq smtp
access-list 121 remark *** NAT - PRIMO IP AGGIUNTIVO - Navigazione ***
access-list 121 remark *** Blocco l'invio di posta dal server e permetto tutto il resto del traffico ***
access-list 121 deny   tcp host 192.168.200.1 any eq smtp
access-list 121 permit ip any any
access-list 121 permit icmp any any
access-list 121 permit gre any any


radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key 7 xxxxxxxxx
radius-server vsa send accounting
radius-server vsa send authentication

Dovrebbe essere tutto cio' che riguarda gli ip e la vpn pptp...
Come mai non vedo mai traffico GRE nei log creati dalla acl 100 sezione *** ACL per VPN ***, ma vedo sia la tcp 1723 che la udp 500?
Per me rimane un mistero....

Wizard · gio 18 giu , 2009 11:56 am

In sostanza ora il problema è che nn si collega la vpn pptp terminata sul router?

Creare una bella vpn ipsec intanto?!

masterx81 · gio 18 giu , 2009 12:02 pm

Si, il problema è lo stesso di prima, ovvero funziona tutto ma non la vpn dall'esterno, che prima di differenziare il traffico sugli ip aggiuntivi (utlizzavo per tutto l'ip punto punto) funzionava alla perfezione...
Preferisco la pptp perchè su un qualsiasi client xp posso fare la connessione in 5 secondi, senza installare client cisco e cavolate varie.
Poi la pptp è gia' abbastanza sicura (solo la v1 aveva dei problemi di sicurezza)...

Wizard · gio 18 giu , 2009 1:41 pm

Inanto leva questa riga:

ip nat inside source list 120 interface ATM0.1 overload

Poi, fai un po' di pulizia nelle acl perchè così fanno schifo e tanto vale non averle!

Per la VPN poi mi sa che manca un comando che indichi di usare l'ip della loopback e non della atm0.1

Wizard · gio 18 giu , 2009 1:44 pm

Per le acl io direi:

Codice: Seleziona tutto

no access-list 120 

no access-list 121 

access-list 100 remark *** ACL GENERALE DELLA ADSL ***
access-list 100 remark *** ACL Anti-Spoofing ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL Anti-Seccatori ***
access-list 100 deny   ip *** any log
access-list 100 remark *** ACL DEL SECONDO IP AGGIUNTIVO - SERVIZI - LOOPBACK 1***
access-list 100 remark *** ACL per applicazioni server ***
access-list 100 permit tcp any host ***eq 3389
access-list 100 permit tcp any host ....
access-list 100 remark *** ACL per VPN ***
access-list 100 permit tcp any any 1723 log
access-list 100 permit udp any any eq isakmp log
access-list 100 permit gre any any log
access-list 100 remark *** ACL DEL TERZO IP AGGIUNTIVO - VOIP - LOOPBACK2***
access-list 100 remark *** Permetto il traffico SIP in ingresso dal server voip EXSORSA***
access-list 100 permit tcp host 87.253.102.109 eq 5060 host 85.32.172.227
access-list 100 remark *** Permetto il traffico UDP in ingresso dal server voip EXSORSA***
access-list 100 permit udp host *** host ***
access-list 100 remark *** Deny del resto***
access-list 100 deny ip any any log

masterx81 · gio 18 giu , 2009 2:07 pm

La pptp ascolta su tutte le interfacce, tant'e' che se lancio una connessione dal mio pc interno alla rete verso l'ip interno del router riesco a fare una connessione vpn... In teoria dovrei bloccare le interfacce interne, ma per ora non mi interessa

Percio' sulla loopback dovrebbe funzionare...
Tutte le parti che riguardano la vpn è integrata negli spezzoni di config postati poco sopra...

Per quello che riguarda le acl, non vedo perchè dovrei togliere la 120 e la 121, sono le 2 acl che mi permettono di far uscire la posta del server tramite l'ip del punto-punto (e funziona) ed il resto del traffico tramite il primo ip aggiuntivo... Forse sulla NAT

Codice: Seleziona tutto

ip nat inside source list 120 interface ATM0.1 overload

Potrei togliere l'overload (mi serve solo per far uscire la psota tramite quell'ip), ma per ora quella parte funziona, e prima di ottimizzare vorrei vedere anche la vpn funzionare...

Azzo, non mi ero accorto di non aver tolto i miei ip!!!!

Per l'access list 100, essendo che la vpn ascolta su tutte le interfacce, vorrei fare in modo che dall'esterno possa avvenire solo sull'interfaccia con l'ip che finisce per .226 (loopback 1). Se lascio l'access list con 'any' mi accetta connessioni anche sull'interfaccia punto-punto.

Per il resto mi sembra uguale alla mia, a parte il deny loggato al fondo (che comunque al fondo dell'access list sarebbe implicito il deny).

masterx81 · lun 22 giu , 2009 8:43 am

Il bello è che se faccio la vpn dall'interno verso l'indirizzo .226 della loopback mi parte normalmente la vpn, mentre se faccio una vpn dall'esterno non vedo mai traffico gre.
Ho provato anche ad aprire le acl come da te consigliato, e fare la vpn sia sul .226 che sull'indirizzo pptp (che ricordo, prima di 'differenziare' il traffico funzionava), ma nulla, vedo tutto il traffico ip (1723 ed isakmp) ma non logga nessun traffico gre.
Avete qualche idea?
Grazie!!!

Wizard · lun 22 giu , 2009 11:46 am

Nn è che il provider ti filtra il gre?!

masterx81 · lun 22 giu , 2009 11:48 am

Prima di differenziare il traffico tutto funzionava a meraviglia!
Posso provare a rimettere al config vecchia e vedere se va anche ora... Prima andava!!!

Scusami, puoi solo modificare il messaggio sopra e mettere qualche x sui miei ip nella acl che avevo dimenticato di togliere? Grazie mille

:):)

Wizard · lun 22 giu , 2009 11:52 am

Fatto!

Se hai 10 min prova con la conf di prima si

masterx81 · lun 22 giu , 2009 5:14 pm

Con la vecchia config si aggancia ma non passa l'autenticazione. Ma questo è un altro problema...
Perchè con la configurazione con le loopback non ci riesco???

Wizard · lun 22 giu , 2009 10:56 pm

Hai già provato e levare le acl in entrata?

Cmq il problema x me è che nella conf devi dire di usare la lo0 e nn la atm0.1 cm fa di default.

Nn mi chiedere il comando preciso perchè nn lo so e sinceramente le pptp le ho abbandonate da anni

Ip pubblici aggiuntivi su adsl business

Login • Iscriviti