CiscoForums.it

Ciao a tutti ,
da diversi giorni ho un problema di configurazione del Nat del mio 877.

volevo abilitare il nat statico della porta 80 per raggiungere un webserver della rete LAN interna

Ho inserito nel file di configurazione:
ip nat inside source static tcp 192.168.1.10 (indirizzo del webserver) 80 interface Dialer1 80

ed ho creato una ACL:
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 23
access-list 101 permit ip 192.168.1.1 0.0.0.255 any

ed ho inserito nell'interfaccia VLAN1
ip access-group 101 in

ma la porta risulta sempre chiusa sia sull'IP della WAN che della LAN. Ho provato a cancellare la regola di Nat relativa alla porta 80 ed attivare
ip HTTP server
con il webserver attivato il router è raggiungibile da internet perciò sebrerebbe che la regola di Nat verso l'ip 192.168.1.10 sia ignorata dal router anche se presente nella tabella delle traslazioni NAT visualizzata con Show IP Nat Translations
L' ACL sembrerebbe funzionare infatti senza la riga "access-list 101 permit tcp any any eq 23" il router non è raggiungibile con Telnet. Qualcuno riesce a capire dove sta l'errore di configurazione?

il server ha un firewall?

posta l'intera config del router

ciao

P.S. L'ACL 101 va' in IN nella dialer1...

Grazie per il suggerimeto ho inserito la ACL in Dialer1. La configurazione attuale risulta:
!
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname iltempioinformatico
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXX.XXXXX
!
no aaa new-model
!
!
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.9
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 193.70.192.25 151.99.125.2
default-router 192.168.1.1
!
!
ip name-server 193.70.192.25
ip name-server 151.99.125.2
!
!
crypto pki trustpoint TP-self-signed-756949576
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-756949576
revocation-check none
rsakeypair TP-self-signed-756949576
!
!
crypto pki certificate chain TP-self-signed-756949576
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 37353639 34393537 36301E17 0D313030 32313632 31333235
315A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3735 36393439
35373630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
B5B0004F 507A0270 470A0353 ABCB4316 1DC58769 3FD4BEBA 2CECBF11 553B956D
8F9FAC1B C7111248 DBE78D6B 07C81D5C 81A032B5 DA1BF490 CBBBAD6D D01FBE94
F280C20C 375BF8F0 8BE51772 A36E2E8D 6A5DF4AA 63136B36 F0BE9222 00819477
4864D745 BED8CF38 24917BA1 5B02605F DA4944ED 5E6C6A48 2B33E435 5B123F5D
02030100 01A37330 71300F06 03551D13 0101FF04 05300301 01FF301E 0603551D
11041730 15821369 6C74656D 70696F69 6E666F72 6D617469 636F301F 0603551D
23041830 168014C2 F327DA20 B25A8ACB 3878D9FA BF91812C B6BB0130 1D060355
1D0E0416 0414C2F3 27DA20B2 5A8ACB38 78D9FABF 91812CB6 BB01300D 06092A86
4886F70D 01010405 00038181 0022E9B0 404A3896 782BAC6A AD1A0793 B8ACD9CB
B6FF8932 0C5E0203 8B4CBA05 E54D6680 DE6C6AF4 7BC051E8 430A2400 A8C4F2EE
E178EC94 88621590 EB688403 5CD0825C C998ADF2 906FFEDF 08B48703 B596F211
E4019163 BE391401 C8E12EF9 F1A778B2 DD607569 E66264DD 8B39FDDB A32AB83B
78C479ED 57FC79D3 656B03AD 8B
quit
username xcxcxcx privilege 15 password 0 xxxxxx
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description LAN Interna
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly


!inserisce la acl 101
!
interface ATM0
no ip address
ip access-group 101 in
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
description WIC1-ADSL Dialer to Libero
ip address negotiated
ip access-group 101 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
ppp chap hostname xxxxxxxxx
ppp chap password 0 xxxxxxx
ppp pap sent-username xxxxxxxxx password 0 xxxxxxx
ppp ipcp dns request accept
ppp ipcp address accept
ip access-group 101 in
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.8 80 interface Dialer1 80
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
!
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 23
access-list 101 permit ip 192.168.1.1 0.0.0.255 any
access-list 101 permit tcp any any
access-list 101 permit ip any any
!
!
!
!
control-plane
!
!
line con 0
password xxxxxxxxx
no modem enable
line aux 0
password xxxxxxxxx
line vty 0 4
password xxxxxxxxx
login
!
scheduler max-task-time 5000
!
inoltre eseguendo sh ip nat trnslations ottengo:
Pro Inside global Inside local Outside local Outside global
tcp 151.53.65.255:1050 192.168.1.6:1050 64.4.34.84:1863 64.4.34.84:1863
tcp 151.53.65.255:1121 192.168.1.6:1121 62.50.35.241:30000 62.50.35.241:30000
tcp 151.53.65.255:1269 192.168.1.6:1269 65.54.172.174:1863 65.54.172.174:1863
tcp 151.53.65.255:1281 192.168.1.6:1281 212.48.3.234:80 212.48.3.234:80
tcp 151.53.65.255:80 192.168.1.8:80 --- ---
tcp 151.53.65.255:49220 192.168.1.8:49220 209.85.135.156:80 209.85.135.156:80
tcp 151.53.65.255:49250 192.168.1.8:49250 79.140.82.91:80 79.140.82.91:80
tcp 151.53.65.255:49393 192.168.1.8:49393 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49394 192.168.1.8:49394 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49395 192.168.1.8:49395 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49396 192.168.1.8:49396 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49397 192.168.1.8:49397 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49398 192.168.1.8:49398 217.133.112.28:80 217.133.112.28:80
tcp 151.53.65.255:49399 192.168.1.8:49399 66.211.168.128:80 66.211.168.128:80
tcp 151.53.65.255:49400 192.168.1.8:49400 213.199.161.250:443 213.199.161.250:44
3
tcp 151.53.65.255:49401 192.168.1.8:49401 213.199.161.250:443 213.199.161.250:44
3
udp 151.53.65.255:50170 192.168.1.8:50170 151.99.125.2:53 151.99.125.2:53
udp 151.53.65.255:57095 192.168.1.8:57095 151.99.125.2:53 151.99.125.2:53
il problema non dovrebbe essere nel firewall del webserver perchè se uso il vecchio router il server è raggiungibile.

la config mi pare giusta. quale errore ricevi in connessione sulla 80? timeout oppure refused?

ciao

P.S. togli anche ip http secure-server

Ciao.
Refused. Che lascerebbe pensare ad un problema sulle ACL . Giusto?

no.. refused significa che non natta proprio la porta oppure che viene nattata ma sulla macchina dell'httpd la porta e' chiusa (il demone magari non gira, e' crashato, etc).

Se fosse stato un problema di ACL, avresti riscontrato un bel timeout.

ciao!

Hai qualche suggerimento? In questi giorni ho provato di tutto. Potrebbe essere un bug dell'IOS?

hai tolto nel frattempo ip http secure-server ? non vorrei che interferisse in qualche modo. Che versione di IOS hai?

ciao

ciao
ho disabilitato ip http secure-server
la release ios è 12.4(6)T

senti, fai una prova. Cambia la porta 80 "esterna" con una diversa. Vediamo se cosi' funziona Se funge, ci concentriamo sul router. Altrimenti va' controllata la macchina.

ciao!

Ieri ho ricontrollato il webserver, che risponde con un altro router. Mentre con questo router non risponde su nessuna porta. Ho provato ad aprire una sessione di debug ip nat ma non mi resituice niente , solo il messaggio "IP NAT debugging is on" anche durante un tentativo di accesso sulla porta 80.
Questo è normale?
Inoltre da Sh ip nat traslations verbose ottengo per la traslazione sulla porta 80:
tcp 62.98.132.91:80 192.168.1.8:80 --- ---
create 05:05:36, use 05:05:36 timeout:0, timing-out,
flags:
è normale il timeout:0, timing-out?

inoltre attivando debug ip packet, ad un tentativo di accesso sull'ip della Wan mi ritrovo il seguente rsultato:
*Feb 18 18:58:24.310: IP: s=62.98.123.91 (local), d=192.168.1.9 (Vlan1), len 40,
sending
*Feb 18 18:58:24.310: TCP src=80, dst=51625, seq=0, ack=1530897244, win=0 AC
K RST
significa che il pacchetto entra sulla porta 80? arriva sulla porta indicata dalla regola di NAT ?

quando attivi il debug, non scordare di dare "terminal monitor"

cmq assurdo... prova ad eliminare la startup-config, un bel reload e rifarla da capo... vediamo come si comporta.


ciao

Ieri ho reinserito a configurazione, ma non ha prodotto risultati. Dopo ho aggiornato l' IOS con una relase successiva e neache questo tentativo ha prodotto risultati.

Ieri sono riuscito a far funzionare il nat con questa configurazione:


!
!
enable secret xxxxxx
!
!
resource policy
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.9
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 151.99.125.2 213.205.37.70
!
!
ip name-server 213.205.37.70
ip name-server 151.99.125.2
!
username iltempioinformatico privilege 15 xxxyyyzzz 0 xxxyyyzzz
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
!
interface Dialer1
description WIC1-ADSL Dialer to Tiscali
ip address negotiated
ip access-group 101 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
ppp chap hostname xxxyyyzzz
ppp chap password 0 xxxyyyzzz
ppp pap sent-username xxxyyyzzz password 0 xxxyyyzzz
ppp ipcp dns request accept
ppp ipcp address accept
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip http server
ip http port 8080
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.29 110 interface Dialer1 110
ip nat inside source static udp 192.168.1.29 110 interface Dialer1 110
ip nat inside source static tcp 192.168.1.29 143 interface Dialer1 143
ip nat inside source static udp 192.168.1.29 143 interface Dialer1 143
ip nat inside source static tcp 192.168.1.29 5631 interface Dialer1 5631
ip nat inside source static udp 192.168.1.29 5631 interface Dialer1 5631
ip nat inside source static tcp 192.168.1.29 5632 interface Dialer1 5632
ip nat inside source static udp 192.168.1.29 5632 interface Dialer1 5632
ip nat inside source static udp 192.168.1.2 3478 interface Dialer1 3478
ip nat inside source static udp 192.168.1.2 5060 interface Dialer1 5060
ip nat inside source static udp 192.168.1.2 8000 interface Dialer1 8000
ip nat inside source static udp 192.168.1.2 8001 interface Dialer1 8001
ip nat inside source static tcp 192.168.1.29 25 interface Dialer1 25
ip nat inside source static tcp 192.168.1.29 80 interface Dialer1 80
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit tcp any eq www any
access-list 101 permit ip any any
access-list 102 permit ip any any
!
!
!
!
control-plane
!
!
line con 0
password xxxyyyzzz
no modem enable
line aux 0
password xxxyyyzzz
line vty 0 4
password xxxyyyzzz
login
!
scheduler max-task-time 5000
end

purtroppo c'è ancora qualche punto che non funziona come avrei voluto, infatti il router esegue il NAT solo se le richieste provengono da un indirizzo ip esterno al router. Quelle che provengono dalla lan interna non vengono traslate. Questo provoca dei malfunzionamenti sui computer interni che devono scaricare la posta o accedere agli applicativi residenti sul webserver. Mi chiedevo esiste un modo per per rendere raggiungibile il webserver all'indirizzo ip assegnato dal provider al router anche dalla lan interna?