ACCESS LIST e probabilmente qualche altro problema... :(

[Tradynger]

La configurazione qui sotto in un certo sennso funziona, pero' in upload va lentissimo è una 2Mb HDSL il test mi da 0.05Mb e se abilito le access list con "ip access-group 105 in" sulla seriale non navigo +.

Mi date una mano please.Un'altra cosa che non va e che dovrebbe essere correlata è la necessita di ruotare su ip interni determinate porte, e anche sull'altro router lo faccio cosi':
ip nat inside source static tcp 192.168.1.110 21 88.XX.XX.169 21 extendable
Ma qua non funziona
Allego configurazione:

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging message-counter syslog
logging userinfo
logging queue-limit 10000
logging buffered 150000 informational
logging console notifications
enable secret 5 *****
enable password 7 ****
!
no aaa new-model
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
!
!
no ip cef
ip domain name itv.local
ip name-server 8.8.8.8
ip name-server 208.67.220.220
multilink bundle-name authenticated
!
!
username root password 7 011A0B015A0F0F59
username guido password 7 050C13062543
archive
 log config
  hidekeys
!
!
!
!
!
interface Loopback0
 ip address 88.XX.XX.214 255.255.255.252
!
interface FastEthernet0/0
 description Interfaccia rete locale
 ip address 192.168.1.251 255.255.255.0
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 duplex auto
speed auto
 no cdp enable
 no mop enabled
 hold-queue 100 out
!
interface FastEthernet0/1
 no ip address
 no ip route-cache
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1/0
 description ALICE IMPRESA HDSL 2Mbps
 bandwidth 2048
 no ip address
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 encapsulation frame-relay
 no ip route-cache
 no ip mroute-cache
 load-interval 30
 no fair-queue
 frame-relay traffic-shaping
 frame-relay lmi-type ansi
!
interface Serial0/1/0.1 point-to-point
 description PUNTO-PUNTO HDSL
 bandwidth 2048
 ip address 88.XX.XX.169 255.255.255.248
[color=#FF0000] ip access-group 105 in[/color][color=#4040FF]Se inserisco l'access list nella configurazione non navigo +[/color]
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 no ip mroute-cache
 snmp trap link-status
 no cdp enable
 no arp frame-relay
 frame-relay class CIR1024
 frame-relay interface-dlci 257 IETF
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Serial0/1/0.1
!
!
ip http server
ip nat pool natpool 88.XX.XX.169 88.XX.XX.169 netmask 255.255.255.248
ip nat inside source list 102 interface Serial0/1/0.1 overload
ip nat inside source static tcp 192.168.1.110 21 88.XX.X.169 21 extendable
ip nat inside source static tcp 192.168.1.119 1720 88.XX.XX.169 1720 extendable
ip nat inside source static udp 192.168.1.119 1720 88.XX.XX.169 1720 extendable
......
altri ip nat inside
!
!
map-class frame-relay CIR1024
access-list 11 permit 89.XX.XX.154
access-list 11 permit 213.XX.XX.10
..... altri ip singoli
access-list 11 permit 192.168.1.0 0.0.0.255
access-list 11 permit any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit icmp 192.168.0.0 0.0.0.255 any
access-list 101 deny   ip any any log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 105 deny   ip 224.0.0.0 15.255.255.255 any
access-list 105 deny   ip 240.0.0.0 15.255.255.255 any
access-list 105 deny   ip 0.0.0.0 0.255.255.255 any
access-list 105 deny   ip 169.254.0.0 0.0.255.255 any
access-list 105 deny   ip 127.0.0.0 0.255.255.255 any
access-list 105 permit tcp any any eq ftp-data
access-list 105 permit tcp any any eq ftp
access-list 105 permit tcp host 95.xx.xx.189 host 88.35.136.169 eq 8090
access-list 105 permit udp host 95.xx.xx.189 host 88.35.136.169 eq 8090
access-list 105 permit tcp any host 88.xx.xx.169 eq 7008
access-list 105 permit udp any host 88.xx.xx.169 eq 7008
access-list 105 permit tcp any host 88.xx.xx.169 eq 8080
access-list 105 permit udp any host 88.xX.xx.169 eq 8080
access-list 105 deny   ip any any log
snmp-server community public RO
no cdp run

!
!
control-plane
!
banner motd ^C
* * * * * * * * * * * * W A R N I N G * * * * * * * * * * * * * * * * * * * *
THIS SYSTEM IS RESTRICTED TO AUTHORIZED USERS FOR AUTHORIZED USE
      ONLY. UNAUTHORIZED ACCESS IS STRICTLY PROHIBITED AND MAY BE
      PUNISHABLE UNDER THE COMPUTER FRAUD AND ABUSE ACT OF 1986 OR
      OTHER APPLICABLE LAWS. IF NOT AUTHORIZED TO ACCESS THIS SYSTEM,
      DISCONNECT NOW. BY CONTINUING, YOU CONSENT TO YOUR KEYSTROKES
      AND DATA CONTENT BEING MONITORED. ALL PERSONS ARE HEREBY
      NOTIFIED THAT THE USE OF THIS SYSTEM CONSTITUTES CONSENT TO
      MONITORING AND AUDITING.
* * * * * * * * * * * * W A R N I N G * * * * * * * * * * * * * * * * * * * *
^C
!
line con 0
 exec-timeout 120 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class 11 in
 exec-timeout 0 0
 password 7 ***
 login
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

Per cui ricapitolando, senza ip access-group navigo anche se in upload vado pianissimo, se abilitò ip access-group non navigo nemmeno +.

Mi riuscite ad aiutare?
grazie

[paolomat75]

Io leverei il traffic shaping (che Telecom non gestisce)e sulla seriale metterei l'indirizzo della punto-punto.
Vedi se migliora upload.

Ciao
Paolo

[Tradynger]

togliendo
frame-relay traffic-shaping
Mi cadone l'interfaccia e il protocollo, una volta ritirati su non navigo... nel senso che le pagine da pc risultano irragiungibili....

una volta ripristinato e ritirate su le interfacce rifunziona la navigazione....

Per la seconda cosa io ho provato anche questa configurazione che mi permette di navigare
http://www.ciscoforums.it/viewtopic.php?f=10&t=28761

ma poi mi dice che come indirizzo per navigare uso il punto punto e non uno degli ip assegnati....

Ma perchè non mi funziona :

ip nat inside source static tcp 192.168.1.110 21 88.XX.X.169 21 extendable
???????

[anubisg1]

Io leverei il traffic shaping (che Telecom non gestisce)e sulla seriale metterei l'indirizzo della punto-punto.
Vedi se migliora upload.

Ciao
Paolo

io proverei ad aggiungere un "log" per ogni deny nell'access list cosi' che tu possa analizzare esattamente quale tipo di traffico ti viene negato..

magari l'access list non fa quello che tu ti aspetti per qualche linea non abbastanza dettagliata..

uno sh access-list, ti dovrebbe mostrare anche quali linee fanno match bloccandoti il traffico

[paolomat75]

togliendo
frame-relay traffic-shaping
Mi cadone l'interfaccia e il protocollo, una volta ritirati su non navigo... nel senso che le pagine da pc risultano irragiungibili....

una volta ripristinato e ritirate su le interfacce rifunziona la navigazione....

Per la seconda cosa io ho provato anche questa configurazione che mi permette di navigare
http://www.ciscoforums.it/viewtopic.php?f=10&t=28761

ma poi mi dice che come indirizzo per navigare uso il punto punto e non uno degli ip assegnati....

Ma perchè non mi funziona :

ip nat inside source static tcp 192.168.1.110 21 88.XX.X.169 21 extendable
???????

Quando parli di navigare intendi la velocità giusta di upload o no? Non è corretto che levando il traffic shaping vadano giù le interfacce.

In merito al problema del NAT bisognerebbe fare un po' di debug. Ma prima risolviamo la velocità

[Tradynger]

ecco lo show

Standard IP access list 11
20 permit 89.97.165.154
30 permit 213.255.60.10
40 permit 82.59.219.242
50 permit 151.38.3.240
90 permit 95.226.84.189
60 permit 217.220.71.55
70 permit 87.11.29.227
100 permit 93.42.229.91
80 permit 217.58.6.1
10 permit 93.42.228.99
110 permit 192.168.1.0, wildcard bits 0.0.0.255 (4 matches)
120 permit any (8 matches)
Extended IP access list 101
10 permit ip 192.168.1.0 0.0.0.255 any
20 permit icmp 192.168.0.0 0.0.0.255 any
30 deny ip any any log
Extended IP access list 102
10 permit ip 192.168.1.0 0.0.0.255 any (321 matches)
Extended IP access list 105
10 deny ip 224.0.0.0 15.255.255.255 any
20 deny ip 240.0.0.0 15.255.255.255 any
30 deny ip 0.0.0.0 0.255.255.255 any


Ecco lo show , la colpa è di questa?
30 deny ip 0.0.0.0 0.255.255.255 any?

Ribadisco il fatto che se scrivo
no frame-relay traffic-shaping
una volta entrato nella seriale cade il protocollo e l'interfaccia, il perchè mi è ignaro!


Per chiarezza questa è una 2mb simmetrica, sembra che la navvigazione normale funzioni, nel senso che non ho rallentamenti evidenti nel vedere siti, ho pero' la banda in upload praticamente 0 e siccome mi serve per inviare file via ftp devo capire perchè non va come dovrebbe, tutti i test adsl mi danno un upload di 5-6 Kb al massimo....

Ora se vuoi che provi l'indirizzo punto punto come indirizzo per la seriale, che indirizzo metto nella loopback? uno di quelli assegnati?

Nell'altra configurazione sinceramente non ho fatto le prove in Upload perchè non mi "piaceva" nel senso che questa è molto simile a quella che uso sull'adsl e la "ritenevo" più affidabile....

[Tradynger]

Ho tolto tutto
Questo è lo show access list dopo

#show access-lists
Extended IP access list 102
10 permit ip 192.168.1.0 0.0.0.255 any (369 matches)

Test di navigazione dopo UP 1,76Mb down 0.06 MB
ping 19ms

Dall'esterno non riesco sempre ad entrare dall'FTP!!

c'e' un problema col route indipendente dalle access list!

[paolomat75]

Io configurerei la seriale in modo standard (senza traffic shaping e usando la PP).
Se anche così non va proverei a fare una segnalazione a Telecom.

[Tradynger]

Ho fatto come hao scritto paolo, grazie

ho semplicemente sostuito l'ip della seriale con quello della punto punto.

Ora navigando vengo identificato come "l'ip della punto punto", ho tolto il traffic shaping e funziona, ovvero ho 2mb up e 2mb down +o meno.

Pero' dall'esterno non entro lo stesso....puntando come ip questa volta quello della punto punto....


ho sostituito a
ip nat pool natpool 88.xx.xx.169 88.xx.xx.169 netmask 255.255.255.248
l' ip della punto punto

Ho messo messo nella LoopBack0 l'indirizzo ip assegnato al posto della punto punto

ho poi modificato togliendo l'ip dedicato e sostituendolo con l'interfaccia
ip nat inside source static tcp 192.168.1.110 21 interface Serial0/1/0.1 21

ma dall'esterno pingo sia il punto punto 214 che il 169 che sarebbe l'ip assegnato ma non entro con entrambi.

Il server ftp nella lan funziona e ho provato..... su su che manca poco me lo sento....Grazie

[paolomat75]

E se cambi il comando

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.110 21 interface Serial0/1/0.1 21

in

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.110 21 interface Loopback 21

?

Ma comunque puoi levare la loopback e metterlo direttamente sul NAT.
Comunque prova così.

[Tradynger]

Se sostituisco solo quello
ip nat inside source static tcp 192.168.1.110 21 interface Loopback 21

non mi entra lo stesso.

Ho provato ad aggiungere anche questo
#ip nat inside source static tcp 192.168.1.110 21 88.35.136.169 21 extendable
%Non-Static entry already exists
ma mi da errore.

Il discorso di mettee l'ip assegnato nella Loopback0 è che se non lo metto li quell'indirizzo alla fine non lo posso pingare perchè non è assegnato a nulla, visto che la seriale ha il punto punto, per cui o lo metto sulla Loopback0 o lo metto sulla Fastethernet.

Paolo sai perchè se faccio lo show dell'interfaccia mi dice che non c'e' la loopback?

show interfaces Serial 0/1/0
Serial0/1/0 is up, line protocol is up
Hardware is GT96K Serial
Description: ALICE IMPRESA HDSL 2Mbps
MTU 1500 bytes, BW 2048 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 73/255, rxload 2/255
Encapsulation FRAME-RELAY, loopback not set
Keepalive set (10 sec)
CRC checking enabled
LMI enq sent 24052, LMI stat recvd 23829, LMI upd recvd 0, DTE LMI up
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0
LMI DLCI 0 LMI type is ANSI Annex D frame relay DTE segmentation inactive
Broadcast queue 0/64, broadcasts sent/dropped 126/0, interface broadcasts 126
Last input 00:00:04, output 00:00:04, output hang never
Last clearing of "show interface" counters 2d19h
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 26
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/4/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
Available Bandwidth 1536 kilobits/sec
30 second input rate 19000 bits/sec, 37 packets/sec
30 second output rate 594000 bits/sec, 59 packets/sec
2958545 packets input, 241189003 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
45 input errors, 45 CRC, 12 frame, 9 overrun, 0 ignored, 21 abort
4800219 packets output, 1807050408 bytes, 0 underruns
0 output errors, 0 collisions, 90 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
8 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up

_______________________________________________________

Facendo uno show mi sono trovato:
interface Loopback21
no ip address

ma io non l'ho creata, da dove è mai uscita questa?

ps: puo' essere che siccome mi hai scritto
ip nat inside source static tcp 192.168.1.110 21 interface Loopback 21
mentre quello giusto era
ip nat inside source static tcp 192.168.1.110 21 interface Loopback0 21

lui in automatico ha creato l'interfaccia Loopback21? strano perchè mi aveva dato errore e mi sono accorto subito che mancava lo 0....

[paolomat75]

Quel loopback che vedi sulla seriale ti dice se la linea è stata messa in loop (si fa per test del ultimo miglio).
Si mi sono dimenticato lo 0 dopo Loopback. Sorry.

Scusa ma sono un po' di corsa durante il lavoro. Nel weekend sono più disponibile

[Tradynger]

Ora ho provato

ip nat inside source static tcp 88.xx.XX.169 21 192.168.1.110 21 extended

in pratica mettendo all'esterno il mio indirizzo 192.168.1.110, ho subito avuto conflitto di indirizzi ip per cui lo fa!

Ricapitolando io ho
Loopback0 con indirizzo esterno
Serial 0/1/0.1 con indirizzo 88.xx.xx.214
ho
ip nat pool natpool 88.XX.XX.214 88.xx.xx.214 netmask 255.255.255.252

ho
ip route 0.0.0.0 0.0.0.0 Serial0/1/0.1

che mi gira la seriale su qualunque indirizzo
ho
ip nat inside source static tcp 192.168.1.110 21 interface Loopback0 21

ho la loopBack che in teoria mi dovrebbe girare all'interno la porta 21.
Ma dal basso della mia ignoranza manca qualcosa che dica alla loopback che il 192.168.1.110 sta sulla Fastethernet0/0.

per cui le possibilità sono 2 o metto l'ip 88.xx.xx.169 sulla fastethernet come secondary e allora dovrebbe funzionare o non so che comando posso usare per instradare i pacchetti dall loopback alla fastethernet.

si puo' usare
ip route Fastethernet0/0 LoopBack0 ??


ps: Paolo no problem, non è stato assolutamente un problema...