Nat doppio su due indirizzi ip pubblici

[maudam]

Ciao a tutti,

sto leggendo info in giro da alcuni giorni ma non sono riuscito a capire se una cosa che ho in mente sia o meno fattibile, quindi chiedo agli esperti del forum.

Il router e' un cisco 877
La connessione ha 1 ip pubblico ottenuto in dhcp da dialer0
e 16 ip pubblici statici aggiuntivi da poter attivare.

Lo schema di quello che vorrei ottenere e' questo:

ip pub 1.1.1.1 assegnato a dialer 0 dal provider e ip pub per il primo nat
ip pub 2.2.2.1 gateway del blocco da 16 ip pubblici
ip pub 2.2.2.2 indirizzo ip pub per il secondo nat

ip pri 192.168.0.100 (nat con 1.1.1.1)
ip pri 192.168.0.200 (nat con 2.2.2.2)

Questi 5 ip dovrebbero essere assegnati tutti al router cosi' che i pc che usano come gw 192.168.0.100 escono con ip 1.1.1.1 mentre i pc che usano come gw il 192.168.0.200 escono con ip 2.2.2.2

Si puo' fare una config del genere ?

Grazie.

[Rizio]

Non ho mai provato ma direi di si, basta che lavori con le acl a cui leghi il nat in uscita.

Rizio

[maudam]

Ho provato a configurare le interfacce come avevo in mente ma al momento di aggiungere un indirizzo mi genera un errore:

Dialer0: ip address negotiated
Loopback1: ip address 192.168.0.249 255.255.255.0 (interna ip privato1)
Loopback10: ip address 2.2.2.2 255.255.255.240 (esterna ip pubblico 1)


Quando vado a configurare la loopback2:

(config-if)#ip address 192.168.0.248 255.255.255.0 (interna ip privato2)
% 192.168.0.0 overlaps with Loopback1

Da quanto ho visto non si possono mettere due indirizzi ip appartenenti alla stessa subnet sul router. Come posso configurare le interfacce per le mie necessita' ?

Saluti

[Rizio]

Nel tuo caso non mi sembra abbia senso configurare un indirizzo di loopback come /24.
Non sò cosa stai provando a fare ma "solitamente" (con le virgolette per le opportune eccezioni) un indirizzo di loopback è usato con un IP secco (/32) e in questo caso ha ragione lui: se tu dai un'intera classe alla sua interfaccia virtuale Loopback10 non puoi poi chiedergli di mettere un'altro indirizzo della stessa classe ad un altra interfaccia, gli hai già detto che tutta la net la gestisce la prima interfaccia.....

Rizio

[scolpi]

Come ti ha detto Rizio e da quello che intuisco dalla richiesta è fattibile, però mi sembra chiaro che c'è molta confusione.

Intanto i due ip 192.168.0.100 e 192.168.0.200 se la rete è la 192.168.0.0/24 non possono essere assegnati contemporaneamente al router e quindi già questo è un problema. Se invece usi delle /25 (255.255.25.128) allora può andare e puoi dare uno dei 2 ip come secondary alla vlan 1. Meglio ancora, creare una seconda vlan e usare una delle restanti 3 ethernt per tale vlan o se hai uno switch che parla 802.1q, fare un trunk.

Deciso questo si può capire meglio e procedere col discorso

[maudam]

Ciao Scolpi e grazie per la risposta.

Non c'e' confusione, ho le idee chiare sull'obbiettivo ma credo che il router non possa fare quello che voglio.

In pratica a me servirebbe avere un doppio ip 192.168.0.1 e 192.168.0.2 entrambi con /24 e assegnarli entrambi a due interfacce del router cosi' che i pacchetti in arrivo al primo ip vengano nattati tramite il primo ip pubblico (1.1.1.1) mentre i pacchetti in arrivo al secondo ip vengano nattati con il secondo ip pubblico (2.2.2.2).

Credo che questa cosa non sia fattibile, quindi immagino che l'unica soluzione sara' di aggiungere un secondo router a valle del primo che si occupi esclusivamente del secondo nat mentre il primo fara' da primo nat e da router per l'ip statico pubblico assegnato al secondo router.

Dimmi se e' corretto cosi' passo avanti.
Saluti

[scolpi]

In pratica a me servirebbe avere un doppio ip 192.168.0.1 e 192.168.0.2 entrambi con /24 e assegnarli entrambi a due interfacce del route

Questo non può essere fatto visto che un router non permette che a due interfacce siano assegnati allo stesso istante due indirizzi nella stessa rete.

Ma se tu assegni gli ip staticamente ai vari pc puoi fare in modo di raggrupparli in 2 gruppi, ad esempio: metà che abbiano ip nel ranage 192.168.0.1-128 e l'altra metà nel range 192.168.0.129-254 poi usando una acl determini quale range nattare con 1.1.1.1 e quale con 2.2.2.2

[Rizio]

In pratica a me servirebbe avere un doppio ip 192.168.0.1 e 192.168.0.2 entrambi con /24 e assegnarli entrambi a due interfacce del router cosi' che i pacchetti in arrivo al primo ip vengano nattati tramite il primo ip pubblico (1.1.1.1) mentre i pacchetti in arrivo al secondo ip vengano nattati con il secondo ip pubblico (2.2.2.2).

Secondo me potresti provare a fare quello che ti dice scolpi sulle loopback (loopback1: 192.168.0.1/25 e loopback2: 192.168.0.129/25) effettuando poi tutto il routing e il natting su queste interfacce logiche però non la vedo una soluzione particolarmente comoda nè tanto meno pratica....

Rizio

[paolomat75]

Ciao,
non servono neanche i 2 ip per nattare su 2 indirizzi. Ti bastano 2 ACL ah hoc.

Paolo

[Rizio]

non servono neanche i 2 ip per nattare su 2 indirizzi. Ti bastano 2 ACL ah hoc.

Forse ho capito male io ma credo che lui abbia anche bisogno di usare quegli IP come GW per due diverse reti.....credo ehh....non sò

Rizio

[paolomat75]

non servono neanche i 2 ip per nattare su 2 indirizzi. Ti bastano 2 ACL ah hoc.

Forse ho capito male io ma credo che lui abbia anche bisogno di usare quegli IP come GW per due diverse reti.....credo ehh....non sò

Rizio

Può essere, se mai ho capito amle io

Ciao
Paolo

[maudam]

non servono neanche i 2 ip per nattare su 2 indirizzi. Ti bastano 2 ACL ah hoc.

Forse ho capito male io ma credo che lui abbia anche bisogno di usare quegli IP come GW per due diverse reti.....credo ehh....non sò

Rizio

Può essere, se mai ho capito amle io

Ciao
Paolo

L'idea era proprio quella di fare in modo che, in base al default gateway del pc, questo uscisse tramite un indirizzo pubblico piuttosto che un altro.
Quindi i pc con gateway 192.168.1.1 uscirebbero in nat su 1.1.1.1 mentre i pc con gateway 192.168.0.2 uscirebbero in nat su 2.2.2.2.

Ciao

[paolomat75]

Ok, allora fai come ti hanno detto scolpi e Rizio.

Paolo

[scolpi]

la config risulta sempilice se usi i due range, vado a memoria:

Codice: Seleziona tutto

ip access-list extend RANGE-1
permit ip 192.168.1.0 0.0.0.127 any 

ip access-list extend RANGE-2
permit ip 192.168.1.128 0.0.0.127 any

ip nat pool POLL1 1.1.1.1 1.1.1.1 netmask 255.255.255.0
ip nat pool POLL2 2.2.2.2 2.2.2.2 netmask 255.255.255.0

ip nat inside source list RANGE-1 pool POOL1 overload
ip nat inside source list RANGE-2 pool POOL2 overload

int vlan 1
ip nat inside

interface dial 1 (o quella che usi per uscire)
ip nat outside 

Dovrebbe funzionare prova.

[Rizio]

Si, anch'io me lo immaginavo così.

Rizio