Cisco 1841 con 2 ISP e NAT Statico

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

Salve,
allora vi spiego il mio ambiente in breve:
ISP1 - Adsl classe ip pubblica "A"
ISP2 - Adls classe ip pubblica "B"

Cisco1841:
FastEth0/0 : LAN 10.14.0.0/24
FastEth0/1.10 - Link a ISP1
FastEth0/1.11 - Link a ISP2

Navigazione in bilanciamento con
ip route 0.0.0.0 0.0.0.0 ISP1 10
ip route 0.0.0.0 0.0.0.0 ISP2 20

ip nat inside source route-map primary-isp interface FastEthernet0/1.10 overload
ip nat inside source route-map secondary-isp interface FastEthernet0/1.11 overload

!
route-map primary-isp permit 10
match ip address 110
match interface FastEthernet0/1.10
!
route-map secondary-isp permit 10
match ip address 110
match interface FastEthernet0/1.11
!
access-list 110 remark IPSec Rule
access-list 110 deny ip 10.14.0.0 0.0.0.255 10.14.10.0 0.0.0.255 log
access-list 110 permit ip 10.14.0.0 0.0.0.255 any


E fin qui tutto ok. I pc navigano e se mando in "shut" la interfacci 1.10 vanno sulla 1.11 e viceversa.

Pubblico ora un server
ip nat inside source static 10.14.0.4 ISP1-PUBBLIC extendable

E dall'esterno funziona tutto!


QUI INIZIA IL MIO PROBLEMA.

Sul router dell'ISP2, attaccato ad una porta di rete (il router è un CISCO 857 con 4 fast) ho un altro apparato non cisco che mi da navigazione ad un'altra rete diversa dalla mia e indipendente dalla mia.(10.15.0.0/24)

Sul loro firewall nella wan ho inserito un ip pubblico del pool che telecom mi ha dato.

Qui il problema:
DA QUESTA RETE IO NON VEDO IL MIO SERVER PUBBLICO NATTATO!

Vedo arrivare le richieste al server ma dai pc non vedo nulla.

Sicuramente mi manca un pezzo di configurazione. Ma quale?

Spero possiate aiutarmi.

Grazie mille!!!!!!! :D
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

thefusa ha scritto: Cisco1841:
FastEth0/0 : LAN 10.14.0.0/24
FastEth0/1.10 - Link a ISP1
FastEth0/1.11 - Link a ISP2

Navigazione in bilanciamento con
ip route 0.0.0.0 0.0.0.0 ISP1 10
ip route 0.0.0.0 0.0.0.0 ISP2 20
Ciao, scusa se mi permetto: da quel che vedo le due ADSL sono divise dalle VLAN, quindi la fa0/1 e' connessa ad uno switch. Cosi' come hai configurato il routing, nel caso uno dei due router (delle adsl) andasse giu', il 1841 non toglierebbe la rotta statica perche' vedrebbe sempre l'interfaccia UP dato che riceve il datalink dallo switch (e quindi non navigheresti). Ti consiglierei un processo di routing in modo da annunciargli la default.

Per quanto riguarda il problema del server, secondo me la causa e' del firewall che gestisce la rete 10.15.x e non del router.


Ciao!
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

Ti consiglierei un processo di routing in modo da annunciargli la default.

Hai perfettamente ragione!Che imbranato che sono! come dici tu che configurazione dovrei adottare??? :D
<<<<<<<<<<<<<<<<<<<<<

Per quanto riguarda il problema del server, secondo me la causa e' del firewall che gestisce la rete 10.15.x.

<<<<<<<<<<<<<<
Adesso ho rimesso il vecchio firewall che devo sostituire (Sonicwall) e dalla rete 10.15. vedo tutto.Quindi non può essere un problema del loro firewall...:(
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

thefusa ha scritto: Hai perfettamente ragione!Che imbranato che sono! come dici tu che configurazione dovrei adottare??? :D
Io userei EIGRP su tutti e tre i router (il tuo, ISP1 ed ISP2) se sono Cisco (gli altri due). Poi, su ISP1 e ISP2 configurerei sotto il processo EIGRP il redistribute static per distribuire la default route. Puoi giocare con le routemap per configurare le metriche diverse (per es. ISP1 metrica 100, ISP2 metrica 110) e quindi annunciarle con 'peso' differente al 1841.
thefusa ha scritto: Adesso ho rimesso il vecchio firewall che devo sostituire (Sonicwall) e dalla rete 10.15. vedo tutto.Quindi non può essere un problema del loro firewall...:(
scusa, ip nat inside e ip nat outside li hai messi? puoi postare la cfg del 1841?
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

non posso! il cisco 857 non mi supporta l' EIGRP (ci avevo pensato in fase di progetto)

Ti allego lo sh run del 1841.

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname FWL1841
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
enable secret blablabla
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
clock timezone Berlin 1
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
!
no ip bootp server
ip domain name net.dpsonline.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-452009351
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-452009351
revocation-check none
rsakeypair TP-self-signed-452009351
!
username admin privilege 15 secret blablabla
archive
log config
hidekeys
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
authentication pre-share
group 2
crypto isakmp key blablabla address CCC.CCC.CCC.CCC
!
crypto isakmp client configuration group IO-VPN
key blablabla
dns 10.14.0.254 10.14.0.4
wins 10.14.0.4
domain dps.local
pool SSL-VPN-POOL
acl 107
save-password
crypto isakmp profile sdm-ike-profile-1
match identity group IO-VPN
client authentication list sdm_vpn_xauth_ml_3
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set FARM esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to CCC.CCC.CCC.CCC
set peer CCC.CCC.CCC.CCC
set transform-set FARM
match address 102
!
!
!
ip tcp synwait-time 10
!
class-map type inspect match-any SDM_AH
match access-group name SDM_AH
class-map type inspect match-any SDM_ESP
match access-group name SDM_ESP
class-map type inspect match-any SDM_EASY_VPN_SERVER_TRAFFIC
match protocol isakmp
match protocol ipsec-msft
match class-map SDM_AH
match class-map SDM_ESP
class-map type inspect match-all SDM_EASY_VPN_SERVER_PT
match class-map SDM_EASY_VPN_SERVER_TRAFFIC
!
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description Link to LAN 10.14.0.0/24$FW_INSIDE$
ip address 10.14.0.253 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description Link to ISPs
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1.10
description Primary ISP$FW_OUTSIDE$
encapsulation dot1Q 10
ip address XXX.XXX.XXX.212 255.255.255.248
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
shutdown
crypto map SDM_CMAP_1
!
interface FastEthernet0/1.11
description Secondary ISP$FW_OUTSIDE$
encapsulation dot1Q 11
ip address YYY.YYY.YYY.178 255.255.255.248
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1.10
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
ip local pool SSL-VPN-POOL 10.14.1.10 10.14.1.50
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.209 10
ip route 0.0.0.0 0.0.0.0 YYY.YYY.YYY.177 20
!
!
ip http server
ip http access-class 8
ip http secure-server
ip nat inside source route-map primary-isp interface FastEthernet0/1.10 overload
ip nat inside source route-map secondary-isp interface FastEthernet0/1.11 overload
!
ip access-list extended SDM_AH
remark SDM_ACL Category=1
permit ahp any any
ip access-list extended SDM_ESP
remark SDM_ACL Category=1
permit esp any any
ip access-list extended SDM_WEBVPN
remark SDM_ACL Category=1
permit tcp any any eq 443
permit tcp any any eq www
!
access-list 1 permit 10.14.0.0 0.0.0.255
access-list 2 permit 10.14.0.0 0.0.0.255
access-list 3 remark Auto generated by SDM Management Access feature
access-list 3 remark SDM_ACL Category=1
access-list 3 permit 10.14.0.0 0.0.0.255
access-list 4 remark Auto generated by SDM Management Access feature
access-list 4 remark SDM_ACL Category=1
access-list 4 permit 10.14.10.0 0.0.0.255
access-list 4 permit 10.14.0.0 0.0.0.255
access-list 5 remark Auto generated by SDM Management Access feature
access-list 5 remark SDM_ACL Category=1
access-list 5 permit 10.14.0.0 0.0.0.255
access-list 5 permit 10.14.10.0 0.0.0.255
access-list 6 remark Auto generated by SDM Management Access feature
access-list 6 remark SDM_ACL Category=1
access-list 6 permit 10.14.10.0 0.0.0.255
access-list 6 permit 10.14.0.0 0.0.0.255
access-list 7 remark Auto generated by SDM Management Access feature
access-list 7 remark SDM_ACL Category=1
access-list 7 permit 10.14.10.0 0.0.0.255
access-list 7 permit 10.14.0.0 0.0.0.255
access-list 8 remark HTTP Access-class list
access-list 8 remark SDM_ACL Category=1
access-list 8 permit 10.14.0.0 0.0.0.255
access-list 8 deny any
access-list 100 remark SDM Management Access feature
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp 10.14.10.0 0.0.0.255 host 10.14.0.253 eq telnet
access-list 100 permit tcp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq telnet
access-list 100 permit tcp 10.14.10.0 0.0.0.255 host 10.14.0.253 eq 22
access-list 100 permit tcp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq 22
access-list 100 permit tcp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq www
access-list 100 permit tcp 10.14.10.0 0.0.0.255 host 10.14.0.253 eq www
access-list 100 permit tcp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq 443
access-list 100 permit tcp 10.14.10.0 0.0.0.255 host 10.14.0.253 eq 443
access-list 100 permit tcp 10.14.10.0 0.0.0.255 host 10.14.0.253 eq cmd
access-list 100 permit tcp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq cmd
access-list 100 permit udp 10.14.0.0 0.0.0.255 host 10.14.0.253 eq snmp
access-list 100 deny tcp any host 10.14.0.253 eq telnet
access-list 100 deny tcp any host 10.14.0.253 eq 22
access-list 100 deny tcp any host 10.14.0.253 eq www
access-list 100 deny tcp any host 10.14.0.253 eq 443
access-list 100 deny tcp any host 10.14.0.253 eq cmd
access-list 100 deny udp any host 10.14.0.253 eq snmp
access-list 100 permit ip any host 10.14.0.253
access-list 100 permit ip any any
access-list 101 remark Auto generated by SDM Management Access feature
access-list 101 remark SDM_ACL Category=1
access-list 101 permit ip 10.14.10.0 0.0.0.255 any
access-list 101 permit ip 10.14.0.0 0.0.0.255 any
access-list 102 remark SDM_ACL Category=4
access-list 102 remark IPSec Rule
access-list 102 permit ip 10.14.0.0 0.0.0.255 10.14.10.0 0.0.0.255 log
access-list 107 remark SDM_ACL Category=4
access-list 107 permit ip 10.14.0.0 0.0.0.255 any
access-list 107 permit ip 10.14.10.0 0.0.0.255 any
access-list 110 remark SDM_ACL Category=18
access-list 110 remark IPSec Rule
access-list 110 deny ip 10.14.0.0 0.0.0.255 10.14.10.0 0.0.0.255 log
access-list 110 permit ip 10.14.0.0 0.0.0.255 any
no cdp run
!
!
!
route-map primary-isp permit 10
match ip address 110
match interface FastEthernet0/1.10
!
route-map secondary-isp permit 10
match ip address 110
match interface FastEthernet0/1.11
!
!
!
!
control-plane
!
!
banner login ^CFWL - Accesso Riservato^C
!
line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 101 in
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 10.14.0.254 source FastEthernet0/0 prefer
!
end
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

un bel casotto con quelle acl :D

Hai provato a disabilitarle momentaneamente?

Per quanto riguarda EIGRP puoi aggiornare l'IOS (il supporto dipende solo dall'IOS non dall'hw) e se non puoi, vai di RIP version 2.

ciao!
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

Si come noti non esistono intefaccie con le ACL abilitate

Per l'EIGRP ho già le ios attive.
Per la configurazione puoi darmi una mano?

Grazie
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

interface FastEthernet0/0
ip access-group 100 in


e' attiva invece! :)

cmq, prova a tirar giu' una paio di righe con EIGRP + redistribution con route-map

cosi' le correggiamo insieme.
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

disattivata.....ma nulla :(

sono totalmente a digiuno...non è che mi abbozzi qualcosa?
:D
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

per abbozzarti qualcosa, ho bisogno dell'indirizzamento tra il 1841, router ISP1 e router ISP2.. puoi postarmi gli indirizzi?
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

ADSL1:

Eth0 router: 87.31.134.209

FastEth0/1.10 1841: 87.31.134.212 / 248

ADSL2 :
Eth0 router: 87.44.96.177

FastEth0/1.11 1841. 87.44.96.178
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

thefusa ha scritto:ADSL1:

Eth0 router: 87.31.134.209

FastEth0/1.10 1841: 87.31.134.212 / 248

ADSL2 :
Eth0 router: 87.44.96.177

FastEth0/1.11 1841. 87.44.96.178
adsl1:
router eigrp 125
network 87.31.134.209 0.0.0.0
redistribute static metric 110

adsl2:
router eigrp 125
network 87.44.96.177 0.0.0.0
redistribute static metric 120

1841:
router eigrp 125
network 87.31.134.212 0.0.0.0
network 87.31.134.248 0.0.0.0
network 87.44.96.178 0.0.0.0
eigrp stub

prova cosi'.
se preferisci uscire con l'adsl2, cambia la metrica.

P.S. FastEth0/1.10 1841: 87.31.134.212 / 248, intendi dire da 212 a 248 ?
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

no no era / 248 la subnet....non mi ha preso la "/" :)


per il mio problema? non ne esco vero?
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

per ora sistemiamo questo :D


puoi correggere l'ip? perche' non ho capito cosa intendi dire. E' molto importante per configurarlo sotto EIGRP.
Top
thefusa
Cisco fan
Messaggi: 33
Iscritto il: gio 02 lug , 2009 12:01 pm

basta solo correggere così
1841:
router eigrp 125
network 87.31.134.212 0.0.0.0
network 87.44.96.178 0.0.0.0
eigrp stub
edistriubte static subnet (serve questo giusto?)
Top
Rispondi

Torna a “Configurazioni”