CiscoForums.it

Inviato: **sab 12 giu , 2010 10:07 am**

Ciao
Ho preso cisco 871 da installare in azienda.
Configurato e Riesco a navigare tranquillamente
Ho pubblicato il mio server e funziona
Adesso vorrei dare accesso alla mia rete soltanto ad alcuni ip pubblici e qui viene il casino perche appena inseriro acl 111 per il controllo dell'ip, mi blocca la navigazione in uscita

interface FastEthernet4
ip address x.x.x.82 255.255.255.0 (ip assegnato dal gestore )
ip access-group 111 in
ip nat outside
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.8.3 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.81 (gateway del gestore)
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool inter x.x.x.82 x.x.x.82 netmask 255.255.255.248
ip nat inside source static tcp 192.168.8.40 80 interface FastEthernet4 80
ip nat inside source list 102 pool inter overload
!
access-list 102 permit ip 192.168.8.0 0.0.0.255 any
access-list 111 permit tcp 192.168.8.0 0.0.0.255 any
access-list 111 permit tcp host x.x.x.23 any eq www
!

Qualcuno puo dirmi dove sbaglio ?

Inviato: **sab 12 giu , 2010 11:23 am**

devi attivare l'inspect.

se la versione dell'IOS lo permette, fai cosi':

Codice: Seleziona tutto

ip inspect name OUT tcp
ip inspect name OUT udp

poi lo abiliti nell'interfaccia LAN:

Codice: Seleziona tutto

ip inspect OUT in

nel caso non supportasse il comando ip inspect, devi far cosi':

Codice: Seleziona tutto

access-list 111 permit tcp any any established

ciao!

Inviato: **lun 14 giu , 2010 11:04 am**

Grazie per la risposta

Ho messo come da tuo consiglio

ip inspect name OUT tcp
ip inspect name OUT udp

ma cosa "name" cosa devo mettere?

e

ip inspect OUT in
va messo nella VLAN1? oppure nella wan?

perche li ho messi ma non cambia nulla

Inviato: **lun 14 giu , 2010 10:27 pm**

si, nella tua VLAN1

"name" fa parte del comando, non e' un nome inventato.

aggiungi anche questi:

Codice: Seleziona tutto

ip inspect name OUTBOUND dns
ip inspect name OUTBOUND http
ip inspect name OUTBOUND https

Inviato: **mar 15 giu , 2010 4:48 pm**

Ho messo come mi hai detto

ip inspect name OUT tcp
ip inspect name OUT udp
interface FastEthernet4
ip access-group 111 in
ip nat outside
interface Vlan1
ip inspect OUT in

Funziona alla perfezione.
Grazie mille dell'aiuto

Una curiosità, adesso ho due adsl, una la vorrei utilizzare per far collegare degli utenti remoti ad un Termisal Server e quella appena configurata per navigare su internet.

Utilizzando come gateway il router della navigazione, in questo modo non riesco a pubblicare il mio ts con l'indirizzo pubblico della seconda adsl
Devo per forza mettere una seconda scheda di rete sul ts o posso tentare qualche configurazione particolare?
Grazie

Inviato: **mar 15 giu , 2010 10:48 pm**

beh fai usare al server TS l'ip del router della prima ADSL come gateway..

ciao

Inviato: **mer 16 giu , 2010 8:31 am**

Ci ho pensato, ma se gli metto un gateway diverso tutte le applicazione locali potrebbere avere problemi di connessione (condivisioni, ecc. ) ?

Inviato: **mer 16 giu , 2010 8:14 pm**

eh, senza conoscere la tua rete e' impossibile dirlo...

Inviato: **gio 17 giu , 2010 9:49 am**

Scusa le mie continue domande ma adesso ho un altro problema, alcuni link web che devono per forza passare da una terza adsl, nel vecchio router avevo messo dei semplici "ip route" e il tutto funzionava, mettendolo in quello nuovo non funziona piu nulla, ovvero se faccio un ping lo raggiungo ma se provo a collegarmi con il browser, non si collega,

Puo essere solo un problema di acl ?
Ho messo cosi e sbagliato?

interface FastEthernet4
ip address x.x.x.82 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface Vlan1
ip address x.x.x.3 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect OUT in
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
router eigrp 1
auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.81
ip route x.x.x.0 255.255.255.0 x.x.x.5
ip route x.x.x.0 255.255.255.0 x.x.x.1
!
ip nat inside source static tcp x.x.x.167 80 interface FastEthernet4 80
!
access-list 100 permit x.x.x.0 x.x.x.255 any
access-list 102 permit ip x.x.x..0 x.x.x..255 any
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 9200
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 139
access-list 111 permit gre any any
access-list 111 deny ip any any
no cdp run

Inviato: **gio 17 giu , 2010 1:13 pm**

perche' usi established nell'ACL se gia' hai configurato l'inspect ?

comunque fai una prova, togli le ACL e vediamo se i siti funzionano. Magari hai fatto qualche casino con loro...

ciao

Inviato: **gio 17 giu , 2010 1:24 pm**

ho tolto tutte le acl ma nulla e cambiato, l'unica differenza che se tolto l'acl 100 localmente non navigo.
Però non capisco se faccio un ping verso la rete secondaria, questa risposte ma non va solo con il tcp

Qualche idea? perche non so + cosa fare !

Inviato: **gio 17 giu , 2010 2:45 pm**

l'ACL 100 probabilmente la usi per il NAT..

cmq devi esser piu' chiaro, posta magari la config completa ed il disegno topologico della tua rete ed i problemi che incontri, perche' cosi', tramite un forum, si brancola nel buio.

saluti

Inviato: **gio 17 giu , 2010 4:04 pm**

scusa ma delle volte vado in affanno e mi spiego male, provo a ricominciare
In azienda ho 2 adsl (ip a.a.a.3 -internet - ip a.a.b.15) + 1 mpls (ip a.a.a.1)per il collegamento con l'altra sede (ip a.a.b.0)

uso come gateway il a.a.a.3 perche l'uno non lo posso toccare,
mi serve che l'indirizzo 1.11.1 esca dalla adsl a.a.a.15 ed ovviamente accedere alla rete a.a.b.0 (se uso il a.a.a.1 come gateway non posso aggiungere delle rotte perche non lo gestisco io)

dot11 syslog
no ip source-route
ip cef
!

no ip bootp server
ip inspect name OUT tcp
ip inspect name OUT udp
ip inspect name OUT http
!
multilink bundle-name authenticated
!
!
ip tcp synwait-time 10
!
!
interface FastEthernet4
description $ES_WAN$
ip address x.x.x.82 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address a.a.a.3 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect OUT in
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
router eigrp 1
auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.81
ip route a.a.0.0 255.255.0.0 a.a.a.0
ip route a.a.b.0 255.255.255.0 a.a.a.1
ip route xx.xx.xx.0 255.255.255.0 a.a.a.15
!
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface FastEthernet4 overload
ip nat inside source static tcp a.a.a.167 80 interface FastEthernet4 80
!
logging trap debugging
access-list 23 permit a.a.a.0 0.0.0.255
access-list 100 permit ip a.a.a.0 0.0.0.255 any
access-list 100 permit ip a.a.b.0 0.0.0.255 any
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 9200
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 139
access-list 111 permit gre any any
access-list 111 deny ip any any
no cdp run
!

spero di essere stato chiaro

Grazie

Inviato: **gio 17 giu , 2010 4:17 pm**

sara' il caldo, ma ho capito poco..

cmq, le due adsl le gestisci con due CPE diverse? hai un router per adsl, giusto?

hai una cosa cosi'?

LAN Interna |--- router A--ADSL1--internet

LAN Interna |--- router B --ADSL2--internet

se cosi' fosse, come abbiamo detto prima, ti basta cambiare il gw sull'ip 1.1.1.1 in modo che esca con a.a.a.15 (adsl2)

ciao

Inviato: **gio 17 giu , 2010 4:30 pm**

Scusami ma e il caldo e un fuso

LAN Interna |--- router A--ADSL1--internet (ip a.a.b.3)

LAN Interna |--- router B --ADSL2--internet (ip a.a.b.15)

LAN Interna |--- router c --MPLS

il 1.1.1.1 corrisponde ad un sito web accessibile solo tramite il adsl2 (ip a.a.b.15)

Potrei mettere sulle macchine il gateway ip a.a.b.15 ma poi nessuno navigherebbe tramite ip a.a.b.3 e per questo che ho messo delle rotte

spero di essere stato chiaro

CiscoForums.it

Configurazione cisco 871 per ip pubblico

Configurazione cisco 871 per ip pubblico