Pagina 1 di 2
NAT forwardind
Inviato: gio 13 apr , 2006 3:27 pm
da webhome
Ciao a tutti sono nuovo su questo forum, vi pomgo un problema relativo un cisco 801.
Mi trovo in queste condizioni di rete:
ROUTER (Cisco 801)-----FIREWAL------HUB-------LAN
Il router si connette con un indirizzo dinamico, l' interfaccia eth del cisco ha un ip privato stessa classe la wan del firewall,,come anche sulla lan, ma di classe diversa.
Vorrei gestire sul router il NAT in modo che tutti gli accessi dal'esterno sia rediretti sulla porta wan del firewaall. Come si fa?
Inviato: ven 14 apr , 2006 10:34 am
da webhome
Spiego meglio la situazione in cui mi trovo
Riepilogando, la rete fra eth del router e WAN del Firewall ha una classe privata del tipo 10.0.0.x/24, mentre la rete fra LAN Firewall e Lan PC ha un' altra rete anche privata del tipo 192.168.1.x/24.
Ora dovrei far accedere da remoto determinati ip dall' esterno per la gestione remota sulla rete LAN. Il firewall è stato configurato con i vari permessi di accesso, ma la connessione dall' esterno verso le macchine interne non avviene, credo che il problema sia il doppio NAT, configurato sul router e sul Firewall,.
Come posso risolvere il problema?
Inviato: ven 14 apr , 2006 12:07 pm
da TheIrish
Qui in realtà non si tratta di una questione di NAT.
Io farei così:
Router: NAT wan<-->192.168.1.x (la lan resta 10.0.0.x)
Firewall: (no NAT) wan(10.0.0.x) lan(192.168.1.x)
Ora, il router fa il NAT verso 192.168.1.x, ma ha connesso una rete 10.0.0.x. Non rimane che informare il router che la lan di destinazione è dietro 10.0.0.x, aggiungendo una rotta statica (ip route).
Quindi, il firewall deve essere informato che per raggiungere internet, deve passare per 10.0.0.x, con la stessa tecnica.
Inviato: ven 14 apr , 2006 1:42 pm
da webhome
La LAN ha una classe 192.168.1.x l' interfaccia LAN del Firewall ha ip 192.168.1.1, mntre la wan del firewall ha ip 10.0.0.2 e la eth del router ha ip 10.0.0.1.
Forse non ho chiaro la tua soluzione, tu faresti così
Router:NAT verso la 10.0.01 (WAN del firewall)
ed elimineresti il NAt sul firewall????
La situazione sul router è questa
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
interface Dialer1
ip address negotiated
ip nat outside
ip nat inside source list xxinterface Dialer1 overload
access-list xx permit 10.0.0.0 0.0.0.255
Cosa cambieresti
Inviato: ven 14 apr , 2006 1:46 pm
da TheIrish
Router:NAT verso la 10.0.01 (WAN del firewall)
ed elimineresti il NAt sul firewall????
Aspetta aspetta. Il NAT non vuol dire GIRARE un pacchetto verso una porta o un indirizzo, significa tradurre indirizzi.
-Router-
WAN: xxx.xxx.xxx.xxx
LAN: 10.0.0.1
NAT xxx.xxx.xxx.xxx <->192.168.1.x
Rotta per 192.168.1.x: 10.0.0.2
-Firewall-
WAN: 10.0.0.2
LAN: 192.168.1.1
Rotta per 0.0.0.0 : 10.0.0.1
Tutto qui
Inviato: ven 14 apr , 2006 2:05 pm
da webhome
Tradotto in linguaggio CISCO come faresti, io è quello che non rirco a capire
Inviato: ven 14 apr , 2006 2:41 pm
da TheIrish
L'ethernet del router va bene così:
Codice: Seleziona tutto
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
Bisogna creare una ACL che sostituisca quella che viene usata dal NAT:
Ora diciamo al router come si arriva a 192.168.1.0:
Quindi, devi dire al firewall di non fare il NAT. Dovrebbe già esserci una rotta statica per raggiungere internet.
Tutto questo, se non ci sono altri impedimenti nella tua conf, se la posti per interno forse possiamo accertarlo.
Inviato: mar 18 apr , 2006 3:16 pm
da webhome
Ciao TheIrish, ho provato a modificare la configurazione come mi hai consigliato , ho anche eliminato il NAT sul firewall, ma dall' esterno non si riesce ad accedere. Questa è la configurazione del router:
Codice: Seleziona tutto
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
!
interface Dialer1
description ISP
ip address negotiated
ip access-group 101 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 300
dialer string xxxxxxx class DialClass
dialer hold-queue 10
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxx
ppp chap password xxxxxx
ppp pap sent-username xxxxxxxx password xxxxxxx
!
ip nat inside source list 18 interface Dialer1 overload
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.1.0 255.255.255.0 10.0.0.2
ip http server
!
!
!
map-class dialer DialClass
access-list 18 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any log
dialer-list 1 protocol ip permit
(ip pubblico)= indirizzo IP che deve accedere per la teleassistenza
Sicuramente è un po incasinata, ma non sono riuscito a capire dove sia l'errore.
Grazie mille per la tua disponibilità
Inviato: mar 18 apr , 2006 4:35 pm
da TheIrish
ok, un passo alla volta. Accezion fatta per l'accesso dall'esterno, si riesce ad uscire tranquillamente verso internet?
Inviato: mar 18 apr , 2006 4:50 pm
da webhome
si, si naviga senza alcun problema
Inviato: gio 20 apr , 2006 1:28 pm
da webhome
Allora nessuno e in grado di darmi una mano o un suggerimento?
Inviato: gio 20 apr , 2006 4:55 pm
da MrCisco
di per sé la cosa dovrebbe funzionare, prova a vedere se per caso non sia il firewall a bloccare.
Inviato: gio 20 apr , 2006 9:51 pm
da webhome
Il Firewall funziona se la configurazione del router fosse correta, sui log del firewall ci sarebbero traccie di tenativi di accesso, ma questo non avviene.
Inviato: ven 21 apr , 2006 10:17 am
da MrDish
che tipo di firewall usi?
Iptables con Linux o altro?
P.S. Il router sembra configurato bene.
P.P.S. Non è detto che il firewall debba per forza loggare gli accessi.....
Inviato: gio 27 apr , 2006 9:54 am
da webhome
Ho risolto, il problema era sul router ho modificato la configurazione e ora va tutto bene
