Salve a tutti
ormai disperato dall'incapacità di configurare correttamente i miei due apparati, vi supplico, se potete, di guardare benevoli a questa email
ho cercato in google "forum cisco" con la precisa intenzione di trovare un benefattore che abbia la pazienza di rispondermi
Nella mia piccola aziendina mi hanno installato (e acquistato) un router Cisco 827 e un Firewall Pix 503, funziona tutto (adsl ok) ma ho la necessita di collegarmi dall'esterno su di un server in VNC
non sono ovviamente un esperto del campo quindi perdonatemi a priorio nel caso in cui non sia preciso o utilizzi termini non specifici
lo schema in uscita è pressapoco questo:
internet <--< (ip dinamico) Router827 (192.168.1.1/255.255.255.0) <--< (192.168.1.11/255.255.255.0) Firewall503(192.168.115.1/255.255.255.0)<--<intranet
In internet ci navigo alla grande ma vorrei avere la possibilità di poter collegarmi sulla porta 5800 di un pc nell'intranet per poter visualizzarne il desktop tramite VNC
lo schema in ingresso dovrebbe essere:
miopc-->internet-->(ip dinamico ma è conosciuto) Router827 (192.168.1.1/255.255.255.0) --> (192.168.1.11/255.255.255.0) Firewall503(192.168.115.1/255.255.255.0)-->(192.168.115.250:5800) Server VNC
Sarà più di 3 mesi che cerco di risolvere la cosa sono solo arrivato a delle parole chiave come overload e nat
sul router ho:
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
access-list 1 permit 192.168.1.11
E' sufficiente o serve una cosa del genere:
ip nat outside interface Dialer0 source list 1 overload
mi fermo qui perché se non supero il router è inutile insistere
Grazie a chi vorrà illuminarmi
Configurazione Router 827 e Pix 503
Moderatore: Federico.Lagni
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Sarebbe indispensabile vedere la configurazione attuale dei due apparati.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Hai una configurazione come a casa mia.
Intanto che io sappia i pix 503 non esistono, ci sono i 501 o 506.
Tu devi fare un doppio nat!
Fai il nat statico del server vnc su un ip della classe della outside del pix (quella che natta il router) poi sul router fai un pat delle porte di vnc sull' ip della interfaccia pubblica (quello dinamico) e crei le dovute acl sul router e pix.
Per l'ip dinamico fai un salto su www-no-ip.com
Se vuoi fare una cosa fatta meglio io configurerei una vpn client sul pix e creerei le regole di nat sul router x fare passare la vpn al pix, le porte della vpn sono la 500 e 4500 udp + il protocollo esp.
Cmq tranquillo, quello che devi fare si può fare senza grossi problemi!
Intanto che io sappia i pix 503 non esistono, ci sono i 501 o 506.
Tu devi fare un doppio nat!
Fai il nat statico del server vnc su un ip della classe della outside del pix (quella che natta il router) poi sul router fai un pat delle porte di vnc sull' ip della interfaccia pubblica (quello dinamico) e crei le dovute acl sul router e pix.
Per l'ip dinamico fai un salto su www-no-ip.com
Se vuoi fare una cosa fatta meglio io configurerei una vpn client sul pix e creerei le regole di nat sul router x fare passare la vpn al pix, le porte della vpn sono la 500 e 4500 udp + il protocollo esp.
Cmq tranquillo, quello che devi fare si può fare senza grossi problemi!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 6
- Iscritto il: mer 21 feb , 2007 10:43 am
- Località: Reggio Emilia
Scusatemi per l'introduzione improvvisa in un forum gia' aperto da altri... ma ho l'identico problema....Wizard ha scritto:Hai una configurazione come a casa mia.
Intanto che io sappia i pix 503 non esistono, ci sono i 501 o 506.
Tu devi fare un doppio nat!
Fai il nat statico del server vnc su un ip della classe della outside del pix (quella che natta il router) poi sul router fai un pat delle porte di vnc sull' ip della interfaccia pubblica (quello dinamico) e crei le dovute acl sul router e pix.
Per l'ip dinamico fai un salto su www-no-ip.com
Se vuoi fare una cosa fatta meglio io configurerei una vpn client sul pix e creerei le regole di nat sul router x fare passare la vpn al pix, le porte della vpn sono la 500 e 4500 udp + il protocollo esp.
Cmq tranquillo, quello che devi fare si può fare senza grossi problemi!
Vorrei raggiungere un server web dall'esterno ma la cosa non funziona.
Vi faccio un sunto della configurazione :
Internet -> Router 827 -> Pix 506E -> web server (porta 80)
Router 827 - IP 10.0.0.254 (inside)
Pix 506E - IP 10.0.0.1 (outside)
Pix 506E - IP 192.168.1.254 (inside)
Web Server - IP 192.168.1.1
Il router 827 dichiara staticamente il web server in questo modo:
ip nat inside source static tcp 10.0.0.1 80 PUBBLICO 80 extendable
Sul Pix, invece, i settaggi sono i seguenti:
access-list web_access permit tcp any host PUBBLICO eq www
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) PUBBLICO 192.168.1.1 netmask 255.255.255.255 0 0
access-group web_access in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
Se qualcuno sapesse come risolvere il problema mi solleverebbe di peso enorme che porto da mesi.
Grazie anticipatamente, Alex.
-
- n00b
- Messaggi: 6
- Iscritto il: mer 21 feb , 2007 10:43 am
- Località: Reggio Emilia
Sto provando altre soluzioni ma niente da fare... Dall'interno tutti i servizi Internet funzionano ma dell'esterno non c'e' possibilita' di accesso.
Ho pensato, pero', che forse andrebbe fatta una modifica, ma mi si pianta tutto... Pensavo che come logica poteva andare bene il seguente:
sul router, anziche'
ip nat inside source static tcp 10.0.0.1 80 PUBBLICO 80 extendable
si potrebbe mettere
ip nat inside source static tcp 10.0.0.(altro) 80 PUBBLICO 80 extendable
e sul Pix, anziche'
static (inside,outside) PUBBLICO 192.168.1.1 netmask 255.255.255.255 0
si potrebbe mettere
static (inside,outside) 10.0.0.(altro) 192.168.1.1 netmask 255.255.255.255 0
Cosa ne pensate? E' questa la strada da seguire (dopo opportune modifiche che spero di possiate suggerire) o devo cercare l'errore in altre zone della configurazione?
Grazie in anticipo a tutti.
Saluti.
Ho pensato, pero', che forse andrebbe fatta una modifica, ma mi si pianta tutto... Pensavo che come logica poteva andare bene il seguente:
sul router, anziche'
ip nat inside source static tcp 10.0.0.1 80 PUBBLICO 80 extendable
si potrebbe mettere
ip nat inside source static tcp 10.0.0.(altro) 80 PUBBLICO 80 extendable
e sul Pix, anziche'
static (inside,outside) PUBBLICO 192.168.1.1 netmask 255.255.255.255 0
si potrebbe mettere
static (inside,outside) 10.0.0.(altro) 192.168.1.1 netmask 255.255.255.255 0
Cosa ne pensate? E' questa la strada da seguire (dopo opportune modifiche che spero di possiate suggerire) o devo cercare l'errore in altre zone della configurazione?
Grazie in anticipo a tutti.
Saluti.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Devi fare:
- nattare il server web su un ip della subnet della outside del pix
es:
inside pix 192.168.0.0\24
outside pix 192.168.1.0\24
ip iside pix: 192.168.0.254
ip outside pix: 192.168.1.1
ip eth router: 192.168.1.2
ip srv web: 192.168.0.10
fai un nat statico di 192.168.0.10 su 192.168.1.10
- crei le regole in entrata sul pix per permettere le porte che ti servono verso 192.168.1.10 (il nat fa il resto)
- sul router natti le porte che ti servono dall'ip della interfaccia pubblica a 192.168.1.10
- sul router crei le acl per le porte che ti servono in entrata
- nattare il server web su un ip della subnet della outside del pix
es:
inside pix 192.168.0.0\24
outside pix 192.168.1.0\24
ip iside pix: 192.168.0.254
ip outside pix: 192.168.1.1
ip eth router: 192.168.1.2
ip srv web: 192.168.0.10
fai un nat statico di 192.168.0.10 su 192.168.1.10
- crei le regole in entrata sul pix per permettere le porte che ti servono verso 192.168.1.10 (il nat fa il resto)
- sul router natti le porte che ti servono dall'ip della interfaccia pubblica a 192.168.1.10
- sul router crei le acl per le porte che ti servono in entrata
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- n00b
- Messaggi: 6
- Iscritto il: mer 21 feb , 2007 10:43 am
- Località: Reggio Emilia
Grazie tante per la risposta. Adesso l'accesso web funziona perfettamente.Wizard ha scritto:Devi fare:
- nattare il server web su un ip della subnet della outside del pix
fai un nat statico di 192.168.0.10 su 192.168.1.10
- crei le regole in entrata sul pix per permettere le porte che ti servono verso 192.168.1.10 (il nat fa il resto)
- sul router natti le porte che ti servono dall'ip della interfaccia pubblica a 192.168.1.10
- sul router crei le acl per le porte che ti servono in entrata
Adesso, mi resta soltanto di far funzionare la VPN... ma mi sa che il router filtra l'accesso al Pix...
Grazie ancora, saluti.