Alice Business cisco 857

[omniamatica]

Salve a tutti ragazzi,
premetto che è la prima volta che scrivo in un forum per risolvere un problema.
Ho attivato una linea alice business 7M,e sto cercando di farla funzionare con un CISCO 857,il tecnico mi ha lasciato un foglio con i seguenti dati:


IP Lan(network) : 94.88.x.232 -- 255.255.255.248 gateway 94.88.x.233
IP Wan(punto-punto) : 94.86.x.251 -- 255.255.255.0
Loopback 80.21.x.100
DNS 151.99.125.1 151.99.0.100
enc: LLC Snap
VpVc 8/35

la rete interna degli uffici ha come indirizzamento 192.168.0.x 255.255.255.0

CISCO 857 IOS: 12.4(15)T9 - ADSL: 3.0.014 - ROM: 12.3(8R)YI4.

Questa è la configurazione che ho creato:
--------------------------------------------------------------------------------
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname bonn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $1$hAg.$jnPmv3iPU9MxZ1647cPpw0
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-2077746666
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2077746666
revocation-check none
rsakeypair TP-self-signed-2077746666
!
!
crypto pki certificate chain TP-self-signed-2077746666
certificate self-signed 01 nvram:IOS-Self-Sig#C.cer
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username 123456 privilege 15 secret 5 $1$X1OE$svVPXEwgKwsbmvzNxwWof1
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 94.86.73.253 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
protocol ip 94.86.73.252 broadcast
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 94.88.28.234 255.255.255.248 secondary
ip address 192.168.0.100 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
dialer pool 1
no cdp enable
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface ATM0.1 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 19.168.0.0 0.0.0.255
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip 94.88.28.232 0.0.0.4 any
access-list 101 remark SDM_ACL Category=128
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip 94.88.28.232 0.0.0.4 any
access-list 102 remark SDM_ACL Category=128
access-list 102 permit ip any any
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.

banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
----------------------------------------------------------------------------------


Potete aiutarmi a capire perchè non funziona?


Grazie mille a tutti per il vostro tempo.

[CiscoBGP]

Ciao

Sarei curioso di sapere come hai messo assieme questa conf...

Togli l'interfaccia dialer 0 , hai una sola connettività e per di più con IP Fissi

no interface dialer 0

Elimina la riga:

ip route 0.0.0.0 0.0.0.0 dialer 0

Nella acl 1 togli le righe:

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 19.168.0.0 0.0.0.255
access-list 1 remark SDM_ACL Category=2



lascia la riga:

access-list 1 permit 192.168.0.0 0.0.0.255

Dovresti navigare

[omniamatica]

Grazie Mille per la celere risposta,
questo è cio che ho ottenuto dopo le modifiche che mi hai suggerito:


version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname bonn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $1$hAg.$jnPmv3iPU9MxZ1647cPpw0
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-2077746666
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2077746666
revocation-check none
rsakeypair TP-self-signed-2077746666
!
!
crypto pki certificate chain TP-self-signed-2077746666
certificate self-signed 01 nvram:IOS-Self-Sig#C.cer
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username 123456 privilege 15 secret 5 $1$X1OE$svVPXEwgKwsbmvzNxwWof1
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 94.86.xxx.253 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
protocol ip 94.86.xxx.252 broadcast
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 94.88.xxx.234 255.255.255.248 secondary
ip address 192.168.0.100 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface ATM0.1 overload
!
logging trap debugging
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip 94.88.xxx.232 0.0.0.4 any
access-list 101 remark SDM_ACL Category=128
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip 94.88.xxx.232 0.0.0.4 any
access-list 102 remark SDM_ACL Category=128
access-list 102 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
----------------------------------

Grazie ancora!!
Adesso non rimane che provarla.......poi vi farò sapere.

[omniamatica]

Salve a tutti,
la configurazione sopra riportata continua a non funzionare.....
E' sicuramente un problema di indirizzi IP. ma telecom non da delucidazioni in merito.

[lorbellu]

Ciao,

cito dal tuo post iniziale:

IP Lan(network) : 94.88.x.232 -- 255.255.255.248 gateway 94.88.x.233
IP Wan(punto-punto) : 94.86.x.251 -- 255.255.255.0

Dalla tua conf risultano alcuni errori:
1)L'interfaccia atm0.1 ha l'indirizzo sbagliato

interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 94.86.xxx.253 255.255.255.0

2)Quando si ha un indirizzo ip statico a maschera aperta (NON 255.255.255.252) sulla punto punto, non si fa il NAT su tale indirizzo in quanto il PE (il router di centrale) non sempre (anzi in questi casi quasi mai) redistribuisce su Internet tale indirizzo ma solo la LAN pubblica che ti é stata assegnata, pertanto devi fare il nat su uno degli indirizzi 94.88.xx.yy, ad esempio assegnandolo ad una loopback
3)A seguito della modifica dell'indirizzo di NAT al punto 2, devi modificare la configurazione del NAT in modo da eseguire il NAT non sulla punto punto ma sulla loopback

di seguito un abbozzo di configurazione minima:

Codice: Seleziona tutto

interface atm0.1
 ip address 94.86.x.251 255.255.255.0
 ip nat outside
interface loopback0
 ip address 94.88.x.233 255.255.255.255
interface vlan1
 ip address 192.168.0.100 255.255.255.0
 ip nat inside
!
ip route 0.0.0.0 0.0.0.0 atm0.1
access-list 1 permit 192.168.0.0 0.0.0.255
ip nat inside source list 1 interface loopback0 overload

Saluti

[omniamatica]

Grazie mille per la delucidazione...
ero certo che ci fosse qualche cosa che non andava sugli IP ma non riuscivo a reperire le informazioni da telecom.
ora modifico la configurazione e poi la posto per eventuali correzioni.

[omniamatica]

ho ricreato la configurazione.
Ho ottenuto questo:


version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname bonn
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $1$AQo8$gdnK6Y3drfv3ZwGD2vur0/
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-2077746666
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2077746666
revocation-check none
rsakeypair TP-self-signed-2077746666
!
!
crypto pki certificate chain TP-self-signed-2077746666
certificate self-signed 01 nvram:IOS-Self-Sig#D.cer
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
!
!
username 123456 privilege 15 secret 5 $1$TF0f$ekbPqsGuWy5wJ1PEpANSx.
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface Loopback0
ip address 94.88.xx.233 255.255.255.255
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address 94.86.xx.251 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.100 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Loopback0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------


^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

bonn#
-----------------------

Grazie mille per il suppporto!

Così funziona benissimo.

[slowped]

Buongiorno a tutti,

questo è il mio primo post sul forum e lo utilizzo per sottoporvi un problema simile Spero che (a dire il vero mi sono registrato principalmente per questo motivo, spero di poter dare un contributo più costruttivo in futuro).

Come ho indicato, un problema simile complicato dal fatto che non ho accesso fisico alla LAN n questione e che quindi posso agire solo da remoto.

Descrizione del problema: un mio caro amico (sta a Milano) ha sottoscritto un contratto Alice Business con 16 indirizzi IP pubblici. I dati forniti da Telecom sono i seguenti

---------------------------------------------------
Configurazione lato WAN (punto-punto):
---------------------------------------------------
IP ADDRESS a.b.c.194
SUBNET MAKS 255.255.255.252
GATEWAY a.b.c.193

---------------------------------------------------
Configurazione lato LAN
---------------------------------------------------
16 IP pubblici da d.e.f.240 a d.e.f.254 subnet mask 255.255.255.240

Il router è un Cisco 857

Esigenze particolari: un host (d.e.f.253) deve poter ricevere connessioni sulla porta 4005

Chi ha configurato la rete non è stato in grado di rendere raggiungibili gli indirizzi IP pubblici: tutte le macchine della LAN escono con l'indirizzo IP della punto-punto.

Accedendo dall'esterno all'indirizzo della punto-punto risponde il router.

Questa mattina ho ottenuto le credenziali per accedere al router e, dando un'occhiata alla configurazione, ho scoperto il motivo del comportamento: errata configurazione. In pratica gli indirizzi pubblici sono nattati. Ecco un frammento della configurazione

Codice: Seleziona tutto

interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address a.b.c.194 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 pvc 8/35 
  protocol ip a.b.c.193 broadcast
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address d.e.f.254 255.255.255.240
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
access-list 2 remark SDM_ACL Category=2
access-list 2 permit d.e.f.240 0.0.0.15
access-list 3 remark SDM_ACL Category=2
access-list 3 permit d.e.f.240 0.0.0.15

Premeso che non sono ferratissimo l'IOS (lo conosco ma non ho mai lavorato su un router), la mia prima domanda è: è giusta la mia diagnosi?
Ossia, gli IP pubblici vengono visti dall'esterno con l'indirizzo della punto-punto perché essi sono nattati?

Se la risposta è affermativa, vorrei capire quali modifiche apportare alla configurazione. È sufficiente eliminare il nat e lasciare un indirizzo pubblico all'interfaccia VLAN1?

Questa configurazione potrebbe funzionare? (le modifiche sono: a) eliminazione di "ip nat outside" dalla definizione dell'interfaccia ATM0.1; b) eliminazione di "ip nat inside" dalla definizione dell'interfaccia VLAN1; c) eliminazione di tutte le access-list

Codice: Seleziona tutto

interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address a.b.c.194 255.255.255.252
 ip virtual-reassembly
 pvc 8/35 
  protocol ip a.b.c.193 broadcast
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address d.e.f.254 255.255.255.240
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1

Si tenga presente che, come indicato in precedenza, attualmente riesco ad accedere al router tramite l'indirizzo della punto-punto e che sono a centinaia di km di distanza per cui posso solo agire da remoto.

Avrei ancora un paio di domandine ma le tengo in serbo per dopo, se qualcuno avrà tempo/voglia di rispondermi.

Buona giornata,

[lorbellu]

Ciao Slowped,

Questa configurazione potrebbe funzionare? (le modifiche sono: a) eliminazione di "ip nat outside" dalla definizione dell'interfaccia ATM0.1; b) eliminazione di "ip nat inside" dalla definizione dell'interfaccia VLAN1; c) eliminazione di tutte le access-list

La risposta é SI a tutte le domande.
Chi ha configurato il router (credo lo abbia fatto con il maledetto SDM) ha previsto (erroneamente) di nattare gli indirizzi pubblici comprati dal tuo amico con l'indirizzo della punto punto (in un altro post ho già spiegato perche questo é sbagliato).
Comunque la tua diagnosi é corretta e anche la risoluzione da te proposta, ti raccomando solo due accortezze:
1) Non avendo accesso diretto al router ma solo da remoto immetti un bel reload a tempo prima di fare qualsiasi cosa, in modo che se qualcosa va strorto e perdi il router, tempo di riavvio e lo recuperi. Per farlo usa il comando reload in X (dove X é il numero di minuti entro il quale fare il riavvio). Ovvio prima di iniziare salva la configurazione attuale.
2) Cito dal tuo post

interface ATM0.1 point-to-point
ip address a.b.c.194 255.255.255.252
ip virtual-reassembly
pvc 8/35
protocol ip a.b.c.193 broadcast
encapsulation aal5snap

Il comando in grassetto praticamente non serve a nulla, io lo leverei.
Infine fai caso che nella conf (non l'hai postata ma c'è sicuramente) devi anche eliminare la riga ip nat inside source list ....

Saluti e Buon Natale