Configurazione 1721 con SDM

[webcisco]

Ho configurato un router 1721 per ADSL (alice business con indirizzo IP statico) la configurazione credo di averla fatta giusta ma il router non si connette e quando faccio il test della connessione mi da il seguente risultato:

Test Activity Details

Activity Status
Checking interface status... Up
Interface physical status :Up
Line protocol status :Up
Checking for DNS settings... Successful
DNS lookup set :Yes
Statically configured DNS servers : 212.216.112.112 212.216.172.62
Dynamically imported DNS servers :None
Checking interface IP address.. Successful
Interface IP address :(ometto il mio IP - mi pare che è il caso di ometterlo)
Interface IP address Type :Static
Checking exit interface... Failed
Exit interface found :None
Exit interface found :None

Failure Reason(s)
To test connectivity, SDM tries to ping the configured DNS servers. However, there is no configured route to any of the DNS servers through the selected interface.

Recommended Action(s)
Select 'User-specified' option or add a 'host specific/network specific/default' route through this interface and retest connection.

Qualcuno mi può dare una dritta, grazie.

[MaiO]

Al quanto pare manca la defoult route.

Prova ad andare sulle rotte e ad aggiunge una rotta 0.0.0.0 0.0.0.0 tramite l'interfaccia ATM0.1 (poi dipende su che slot si trova l'interfaccia ATM).

Cmq è difficile dirlo dal messaggio dell'SDM, dovresti postare la configurazione del router per determinare l'eventale problema.


Ciao

[webcisco]

Ed allora vediamo se risolviamo questo problema che mi sta facendo perdere i capelli (in realtà ne ho già pochi)

Questa è la show version:

!This is the show version output of the router: show version
!----------------------------------------------------------------------------
Cisco Internetwork Operating System Software
IOS (tm) C1700 Software (C1700-IPBASE-M), Version 12.3(6c), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Tue 20-Jul-04 07:00 by kellythw
Image text-base: 0x80008120, data-base: 0x80C74650

ROM: System Bootstrap, Version 12.2(7r)XM2, RELEASE SOFTWARE (fc1)

****** uptime is 8 minutes
System returned to ROM by power-on
System restarted at 15:52:52 UTC Fri Jun 23 2006
System image file is "flash:c1700-ipbase-mz.123-6c.bin"

cisco 1721 (MPC860P) processor (revision 0x400) with 81920K/16384K bytes of memory.
Processor board ID FOC08310F4W (2653537981), with hardware revision 0000
MPC860P processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
1 Serial(sync/async) network interface(s)
1 ATM network interface(s)
32K bytes of non-volatile configuration memory.
32768K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

Questa invece è la configurazione:

!This is the show startup-config output of the router: show startup-config
!----------------------------------------------------------------------------

Using 1698 out of 29688 bytes
!
! Last configuration change at 15:51:31 UTC Fri Jun 23 2006 by ******
! NVRAM config last updated at 15:52:09 UTC Fri Jun 23 2006 by ******
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ******
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 ********************
enable password ******
!
username ****** privilege 15 password 0 ******
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
!
ip name-server 212.216.112.112
ip name-server 212.216.172.62
no ftp-server write-enable
!
!
!
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address **.**.***.** 255.255.255.0
no ip route-cache
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
description $ETH-LAN$
ip address **.**.***.*** 255.255.255.248
ip nat inside
no ip route-cache
speed auto
full-duplex
!
interface Serial0
no ip address
no ip route-cache
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
!
access-list 1 remark SDM_ACL Category=3
access-list 1 permit 88.45.101.184 0.0.0.7
access-list 189 remark permit PPTP passthrough
access-list 189 remark SDM_ACL Category=1
access-list 189 permit tcp any any eq 1723
access-list 189 permit gre any any
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password ******
login local
transport input telnet
!
!
end


Dov'è questo problema che non mi fa navigare verso internet?

In attesa di attesissima risoluzione, porgo distinti saluti.

P.S. - il tutto per un accesso ADSL Alice business con indirizzo IP fisso dove al momento per la medesima configurazione è usato un Router CISCO ADSL SB107 che funziona perfettamente, infatti i parametri di configurazioni sono identici

[MaiO]

Ma dopo il router c'è un PIX?

Guarda che il route non effettua il nat.


Adesso sono in office e ho da fare. Se non trovi la soluzione te posto le modifiche da fare.


Ciao

[Wizard]

Se dietro al router non hai un firewall metti queste righe:

interface ATM0.1 point-to-point
ip nat outside

Se invece hai un firewall non metterle e leva "ip nat inside" anche dalla eth

[MaiO]

No no, wizard, se guarda sulla ETH desumo abbia un IP pubblico
ip address **.**.***.*** 255.255.255.248

e sulla atm0.1 il punto punto

Ha bisogno di assegnare alla eth l'ip privato (gatway per i tuoi pc), e un secondary alla punto punto.

Dopodiche può (deve) fare il nat.

La configurazione che ha andrebbe bene nel caso ci fosse un FW davanti che faccia il nat al posto del router.

Ciao

[Wizard]

Se vuole usare il router come gateway si ma se dietro ha un firewall il router non deve fare nat ma da "modem".
In tutti i casi se vuole fare fare il nat al router io gli consgilio di impostare nella eth l'ip interno con "ip nat inside", nella atm0.1 la punto punto con "ip nat outside" e creare un interfaccia loopback dove mettere l'ip pubblico che può fare traffico.
Il Pat lo farò poi sull' ip della loopback o su un altro ip disponibile.

[webcisco]

Ed allora, ricapitolando, ho effettuato le seguenti modifiche come segnalate da Wizard

Se dietro al router non hai un firewall metti queste righe:

interface ATM0.1 point-to-point
ip nat outside

Se invece hai un firewall non metterle e leva "ip nat inside" anche dalla eth

Ma non naviga; ma la cosa strana,come detto prima, le stesse impostazioni funzionano perfettamente con il router CISCO SB107 magari se ritenete posto la configurazione di questo router per determinare eventuali differenze.

[webcisco]

No no, wizard, se guarda sulla ETH desumo abbia un IP pubblico
ip address **.**.***.*** 255.255.255.248

e sulla atm0.1 il punto punto

Ha bisogno di assegnare alla eth l'ip privato (gatway per i tuoi pc), e un secondary alla punto punto.

Dopodiche può (deve) fare il nat.

La configurazione che ha andrebbe bene nel caso ci fosse un FW davanti che faccia il nat al posto del router.

Ciao

Si giusto ho un IP pubblico

[Wizard]

Secondo me manca la acl per il NAT (sottolineata).
Sotto una config minima per la tua linea



int loopback0
ip address IP_CHE_FA_TRAFFICO 255.255.255.248

interface ATM0
no ip address
atm vc-per-vp 256
no atm ilmi-keepalive
dsl operating-mode auto
no fair-queue

interface ATM0.1 point-to-point
ip address xx.xx.xx.xx
ip nat outside
pvc 8/35

interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside

ip nat inside source list ACL-NAT interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server

ip access-list extended ACL-NAT
permit ip 192.168.1.0 0.0.0.255 any

line con 0
password quelchetipare
login
line vty 0 4
password quelchetipare
login

[webcisco]

Vi ringrazio veramente di cuore per gli aiuti, ma il mio problema permane e non so più come risolverlo; volelvo dirvi che programmo questo router con SDM di CISCO non essendo evidentemente un esperto con HiperTerminal e quindi con le varie sintassi dei comandi da eseguire e credo che con questo sistema dovrebbe essere pià facile programmare il router (mi pare che è fatto appositamente da CISCO per utenti non professionisti come me) e le indicazioni che in questo post mi avete dato ho cercato di impostarle ma il risultato non è arrivato. Sicuaremente è qualche spunta in qualeche posto che mi manca , ma dove? Posso credere che questo router con SDM non si possa configurare quando è proprio per questo che serve? Resto sempre in attesa di una Vostra info e vi ringrazio anticipatamente.

In ogni caso Vi posto la configurazione del CISCO SB107 dove tutto funziona perfettamente:

show run
Building configuration...

Current configuration : 1960 bytes
!
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Clemente
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 *****
!
username ****** privilege 15 secret 5 ******
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
no ip source-route
!
!
ip tcp synwait-time 10
ip cef
ip domain name ***********
no ip bootp server
no aaa new-model
!
!
!
!
!
!
!
interface Ethernet0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$$ES_LAN$$FW_INSI
DE$
ip address **.**.***.*** 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $FW_OUTSIDE$$ES_WAN$
ip address **.**.***.** 255.255.255.0
pvc 8/35
encapsulation aal5snap
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
logging trap debugging
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport preferred all
transport output telnet
line aux 0
login local
transport preferred all
transport output telnet
line vty 0 4
privilege level 15
login local
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
scheduler interval 500
end

[Wizard]

Nella tua ultima configurazione non c'è niente che riguarda il nat quindi deduco che ai pc dietro al router dai direttamente un ip pubblico, giusto?!
Se è così togli il nat dalla eth, dalla atm e la acl del nat.
In tutti i casi io ti conioglierei di configurare il nat perchè è più sicuro!

[webcisco]

Nella tua ultima configurazione non c'è niente che riguarda il nat quindi deduco che ai pc dietro al router dai direttamente un ip pubblico, giusto?!
Se è così togli il nat dalla eth, dalla atm e la acl del nat.
In tutti i casi io ti conioglierei di configurare il nat perchè è più sicuro!

Si esatto nel router CISCO SB107 (quello dove funziona tutto) il NAT è disattivato e ti spiego perchè, se NAT è attivo viene identificato dall'esterno l'indirizzo IP punto punto che mi ha assegnato telecom, mentre invece con NAT disattivata viene identificato un indirizzo IP di quelli pubblici disponibili che io ho assegnato ad un Freecom FSG-3 che mi serve da ftp.server per condividere dei file dal'esterno, quindi qual'è la configurazione giusta che devo assegnare al 1721 per farlo funzionare?

[Wizard]

Ripeto ancora...
Caso 1 (NAT Abilitato)

ip inspect name IDS-OUT udp
ip inspect name IDS-OUT tcp
ip inspect name IDS-IN udp
ip inspect name IDS-IN tcp
ip inspect name IDS-IN ftp

int eth0
ip nat inside
ip address IP_INTERNO 255.255.255.0
ip inspect IDS-OUT in

int atm0.1
ip nat outside
ip address IP_PUNTO_PUNTO 255.255.255.252 o 255.255.255.0
ip inspect IDS-IN in

int loopback0
IP_DEL_POOL_PUBBLICO 255.255.255.248

ip nat inside source list 101 interface loopback0 overload

access-l 101 remark *** ACL PER PAT RETE INTRNA ***
access-l 101 permit ip RETE_INTERNA 255.255.255.0

ip nat inside source static tcp IP_SERVER_FTP 21 interface loopback0 21
ip nat inside source static tcp IP_SERVER_FTP 20 interface loopback0 20

access-l 131 remark *** ACL IN INGRESSO ***
access-l 131 permit tcp any any eq 21
access-l 131 permit tcp any any eq 20
access-l 131 permit ...
access-l 131 deny ip any any log

Chiaramente dovrai dare degli ip interni alla LAN

Caso 2 (senza NAT)

ip inspect name IDS-IN udp
ip inspect name IDS-IN tcp
ip inspect name IDS-IN ftp

int eth0
IP_DEL_POOL_PUBBLICO 255.255.255.248

int atm0.1
ip address IP_PUNTO_PUNTO 255.255.255.252 o 255.255.255.0
ip inspect IDS-IN in

Dai alle macchine dietro al router gli ip pubblici rimasti dando come gateway l' ip della eth


Per Mai0 e co.: Corregetemi se sbaglio qualcosa!

[webcisco]

Vi ringrazio per gli unnumerevoli consigli ma come si suol dire sono in panne, non so pià da dove partire ad esempio devo attivare NAT o disatticvarla, devo utilizzare loopback0 on non lo devo utilizzare, etc. ; dicendovi questo Vi chiedo se è possibile avere una sintesi operativa ed esclusiva (eslusiva nel senso delle cose che non devo fare); capisco, inoltre, che Voi operate la programmazione per comandi diretti, presumo utilizzando HiperTerminal, ma le stesse cose , come ben sapete si possono impostare con SDM operando le relative spunte, ma quali sono queste spunte? Vi dico questo in quanto ho impostato il CISCO SB107 con SDM e tutto è andato ok, è anche vero che ho notato che le impostazioni in SDM per il 1721 sono più complete e quindi è l'utente che li deve selezionare mentre con il SB107 ho inserito i vari indirizzi e ha fatto tutto da solo. In attesa di una Vs. risolutiva segnalazione colgo l'occasione per porgere distinti saluti e ringraziarvi nuovamente.