Cisco 1700

[raisdragon]

Premetto che sono nuovo del forum e anche dei router Cisco , ma aimè devo configurare dei servizi ad un cliente quindi grazie a chiunque mi suggerisce delle dritte.

Veniamo ora al problema il cliente ha un router cisco 1700 , dopo varie peripezzie siamo riusciti a trovare un "fogliettino" con sopra scritto:

Le credenziali per l'accesso al router sono:
1. livello: xyxyxyxyx
2. livello: xyxyxyxyx

Dovrei far si che i PC interni possano pingare ed avere risposta da un determinato indirizzo IP esterno .

Sono sicuro che è il router che blocca la comunicazione , ma prima di metterci le mani se potreste darmi qualche dritta o link su cosa devo fare .
Visto che adesso tutto funziona tranne questo Ping non vorrei fare danni, chiudere ciò che non devo o aprire cose che non vanno aperte .

Grazie per l'aiuto

[TheIrish]

Beh, per prima cosa serve un cavo console da collegare al router e ad un pc con un emulatore terminale.
Quindi, se tutto va bene, dovresti trovarti con un prompt simile a: router>
Quindi batti enable e prova ad inserire la password.
A questo punto batti uno show run e posta il risultato, omettendo le password (anche se cifrate).

[MaiO]

Damn Right Irish,

cmq se il router è funzionante, potresti provare ad collegarti in telnet.

La prima password che hai trovato è quella "del telnet",

una volta collegato, come diceva irish, troverai Router> o qualcosa di simile che finisce con >; digita enable e premi invio.
Adesso ti chiederà una seconda password, inseriscila. Il prompt adesso dovrebbe essere cambiato ed alla fine dovresti trovarti qualcosa come Router#. Impartisci il commando show run e posta il contenuto.


Ciao

[raisdragon]

innanzi tutto grazie .
veniamo al punto dolente.

Mi connetto tramite Telnet , do la prima password e mi viene

router> immetto la seconda password ma mi sa che è errata in quanto al 3 tentativo mi dice .

%bad secret.

Stiamo cercando altri fogliettini nascosti

[MaiO]

Ottimo già sei a buon punto.

Una volta che ti compare Router> digita "enable" e ti chiederà della seconda password. Inserendola avrai accesso come una sorta di "admin" al router.

P.S.

prova anche con la prima password.


Ciao

[raisdragon]

ok trovato altro fogliettino con password giusta

risultato:

Current configuration : 1432 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
enable secret 5
enable password
!
ip subnet-zero
!
!
!
!
interface FastEthernet0
ip address 192.168.16.1 255.255.255.0 secondary
ip address xx.xxx.xxx.xxx 255.255.255.240
ip access-group 110 out
ip nat inside
speed auto
full-duplex
!
interface Serial0
no ip address
encapsulation frame-relay IETF
!
interface Serial0.1 point-to-point
ip address 81.115.70.226 255.255.255.252
ip nat outside
frame-relay interface-dlci 107 IETF
!
ip nat inside source static 192.168.16.3 xx.xxx.xx.243
ip nat inside source static 192.168.16.2 xx.xxx.xx.242
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
!
access-list 110 permit tcp any any established
access-list 110 permit udp any eq domain any
access-list 110 permit tcp any any eq smtp
access-list 110 permit tcp any any eq www
access-list 110 permit tcp any any eq pop3
access-list 110 permit tcp any any eq 443
access-list 110 permit tcp any any eq ftp-data
access-list 110 permit tcp any any eq ftp
access-list 110 permit tcp any any eq nntp
access-list 110 permit tcp 193.205.4.0 0.0.0.255 any eq 3389
access-list 110 permit tcp host 151.1.24.15 any eq 3389
access-list 110 deny ip any any
snmp-server community public RO
!
line con 0
line aux 0
line vty 0 4

unica cosa è che ho dovuto come comando dargli show run-config
per avere questo risultato.

da quello che leggo sembra tutto permesso o sbaglio?

[MaiO]

ok trovato altro fogliettino con password giusta

risultato:

Current configuration : 1432 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname router
!
enable secret 5
enable password
!
ip subnet-zero
!
!
!
!
interface FastEthernet0
ip address 192.168.16.1 255.255.255.0 secondary
ip address xx.xxx.xxx.xxx 255.255.255.240
ip access-group 110 out
ip nat inside
speed auto
full-duplex
!
interface Serial0
no ip address
encapsulation frame-relay IETF
!
interface Serial0.1 point-to-point
ip address 81.115.70.226 255.255.255.252
ip nat outside
frame-relay interface-dlci 107 IETF
!
ip nat inside source static 192.168.16.3 xx.xxx.xx.243
ip nat inside source static 192.168.16.2 xx.xxx.xx.242
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
!
access-list 110 permit tcp any any established
access-list 110 permit udp any eq domain any
access-list 110 permit tcp any any eq smtp
access-list 110 permit tcp any any eq www
access-list 110 permit tcp any any eq pop3
access-list 110 permit tcp any any eq 443
access-list 110 permit tcp any any eq ftp-data
access-list 110 permit tcp any any eq ftp
access-list 110 permit tcp any any eq nntp
access-list 110 permit tcp 193.205.4.0 0.0.0.255 any eq 3389
access-list 110 permit tcp host 151.1.24.15 any eq 3389
access-list 110 deny ip any any
snmp-server community public RO
!
line con 0
line aux 0
line vty 0 4

unica cosa è che ho dovuto come comando dargli show run-config
per avere questo risultato.

da quello che leggo sembra tutto permesso o sbaglio?

Dovresti aggiungere la seguente cosa.

access-list 110 permit icmp any any

Ti rimando alla lettura dell'articolo sulle ACL a IT-Blog http://www.ciscoforums.it/ITBlog/index.php

Ciao

[raisdragon]

grazie , ottima lettura .

Vediamo se sono stato un bravo studente

allora se nel caso volessi far si che il ping si effettuasse solo verso un indirizzo esterno preciso dovrei aggingere.

access-list 110 permit icmp host xxx.yyy.xxx.yyy any

e nel caso in fondo eq per indicare la porta precisa di comunicazione giusto?

altra cosa ho letto che è importante l'ordine delle access list , ma in questo caso credo sia indifferente .

Grazie ancora

P.S. ma per inserire access list ? devo dopo aver digitato la seconda password digitare access-list 110 permit icmp xxx.yyy.xxx.yyy any

ho provato ma mi da :
% Invalid input detected at '^' marker

[MaiO]

devi entrare in modalità di configurazione con "conf term"

Poi dovresti togliere access-list 110 deny ip any any in fondo, ovvero ICMP statmen deve comparire prima di questo. Attento metre cancelli ACL, se gli dai no access-list 110 di cancellera tutta la ACL (e l'unico modo) e dovrai inserire tutti gli statmant.

Ecco i commandi da impartire:

conf term
no access-list 110
access-list 110 permit icmp any any
access-list 110 permit tcp any any established
access-list 110 permit udp any eq domain any
access-list 110 permit tcp any any eq smtp
access-list 110 permit tcp any any eq www
access-list 110 permit tcp any any eq pop3
access-list 110 permit tcp any any eq 443
access-list 110 permit tcp any any eq ftp-data
access-list 110 permit tcp any any eq ftp
access-list 110 permit tcp any any eq nntp
access-list 110 permit tcp 193.205.4.0 0.0.0.255 any eq 3389
access-list 110 permit tcp host 151.1.24.15 any eq 3389
access-list 110 deny ip any any

poi fare anche un copia e incolla.

Facci sapere

Ciao

[raisdragon]

grazie tutto ok

detto troppo prestt

spero sia ultimo sforzo .

Per aprire la comunicazione tcp verso quel PC sulla porta 3000 ?

access-list 110 permit TCP host xxx.yyy.xxx.yyy any eq 3000

Giusto?

[raisdragon]

ne approfitto ancora , ma se volessi modificare solo una linea delle access list cosa devo fare?

[TheIrish]

Con le numbered control-access-list non è possibile, direttamente da terminale.
Per fare ciò dovresti installare in una macchina un server tftp, scaricare la configurazione, modificarla, e ri-uploadarla nel router.

[raisdragon]

quindi le ricancello tutte e le riscrivo tutte con copia incolla modificando la riga che mi interessa?

giusto?

[TheIrish]

Può essere una soluzione, anche se un serverino tftp non farebbe male, anche per avere un comodo backup della configurazione.