Prima di tutto un saluto e tanti Auguri a tutti
avevo postato qualche giorno fà per la configurazione di un 827 con ip statico, per navigare va tutto bene ma stò trovando problemi a rendere accessibili dall'esterno alcuni servizi forniti dalle macchine interne. Poichè devo poter arrivare via ssh ad un server, ho provato ad inserire le righe seguenti alla mia configurazione che riporto più avanti.
Se inserisco la riga sottostante non ho nessun risultato:
ip nat inside source static tcp 10.0.0.100 22 interface ATM 0.1 22
cioè trovo la porta 22 chiusa verso l'esterno.
Se invece inserisco questa riga
ip nat inside source static tcp 10.0.0.100 22 n.n.n.193 22 (dove n.n.n.193 è il mio ip visto dall'esterno)
la porta risulta aperta verso l'esterno ma il client ssh rimane in attesa fino alla scadenza del timeout.
La configurazione è:
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname routeradsl
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxx
no aaa new-model
ip subnet-zero
no ip domain lookup
!
!
!
!
interface Ethernet0
ip address 10.0.0.201 255.0.0.0 secondary
ip address x.x.x.193 255.255.255.248
ip nat inside
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
ip nat outside
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address n.n.n.201 255.255.255.252
ip nat outside
pvc 8/35
protocol ip n.n.n.201 broadcast
encapsulation aal5snap
!
!
ip nat pool NET x.x.x.193 x.x.x.193 netmask 255.255.255.248
ip nat inside source list 1 pool NET overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
!
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!
line con 0
password 7 xxxxxxxxxxxxxxxxxxxx
logging synchronous
login
stopbits 1
line vty 0 4
password 7 xxxxxxxxxxxxxxxxxxx
login
!
scheduler max-task-time 5000
end
ho fatto varie prove ma non ci sono ancora riuscito,
vi chiedo ancora un aiuto
grazie a tutti
problemi con nat
Moderatore: Federico.Lagni
-
Rickert
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 28 dic , 2006 3:49 pm
il fatto che non funzioni con:
ip nat inside source static tcp 10.0.0.100 22 interface ATM 0.1 22
è del tutto normale dato che natteresti le richieste indirizzate al n.n.n.201 che non ti interessa,
con
ip nat inside source static tcp 10.0.0.100 22 n.n.n.193 22
dovrebbe andare, cmq da # dai un
clear ip nat translation *
e poi dopo un tentativo di connessione ssh:
sh ip nat translations verbose
e vedi se ti ritorna il match.
ip nat inside source static tcp 10.0.0.100 22 interface ATM 0.1 22
è del tutto normale dato che natteresti le richieste indirizzate al n.n.n.201 che non ti interessa,
con
ip nat inside source static tcp 10.0.0.100 22 n.n.n.193 22
dovrebbe andare, cmq da # dai un
clear ip nat translation *
e poi dopo un tentativo di connessione ssh:
sh ip nat translations verbose
e vedi se ti ritorna il match.
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
continuo ad avere problemi, mi sono accorto in oltre che dalla lan privata riesco a navigare senza problemi e riesco a pingare l'esterno, ma se con il router voglio pingare la rete privata o quella pubblica non ci riesco
riporto lo show translation
Pro Inside global Inside local Outside local Outside global
tcp x.x.x.193:22 10.0.0.100:22 --- ---
create 04:01:40, use 00:00:06,
flags:
static, extended, extendable, use_count: 1
tcp x.x.x.193:22 10.0.0.100:22 x.x.x.71:1548 x.x.x.71:1548
create 00:00:06, use 00:00:03, left 00:00:56,
flags:
extended, use_count: 0
non riesco a capire dove ho sbagliato ( sono un ignorante !!!)
riporto lo show translation
Pro Inside global Inside local Outside local Outside global
tcp x.x.x.193:22 10.0.0.100:22 --- ---
create 04:01:40, use 00:00:06,
flags:
static, extended, extendable, use_count: 1
tcp x.x.x.193:22 10.0.0.100:22 x.x.x.71:1548 x.x.x.71:1548
create 00:00:06, use 00:00:03, left 00:00:56,
flags:
extended, use_count: 0
non riesco a capire dove ho sbagliato ( sono un ignorante !!!)
-
Rickert
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 28 dic , 2006 3:49 pm
Non so bene il perchè di questa conf su la e0(a meno che di particolari condizioni dell'isp):
interface Ethernet0
ip address 10.0.0.201 255.0.0.0 secondary
ip address x.x.x.193 255.255.255.248
teoricamente non dovresti aver bisogno di una ip secondary e di assegnare il pubblico li, inoltre se natti la 10.0.0.0 255.255.255.0 non vedo il perchè di assegnare una subnet diversa alla e0...
gli ip dei tuoi host sono per caso:
ip: 10.0.0.x
sub: 255.255.255.0
gate: 10.0.0.201
?
in questo caso dovresti:
conf t
interface Ethernet0
no ip address 10.0.0.201 255.0.0.0 secondary
no ip address x.x.x.193 255.255.255.248
ip address 10.0.0.201 255.255.255.0
end
prova senza salvare, mal che vada dai un copy start run e sei di nuovo come prima.
interface Ethernet0
ip address 10.0.0.201 255.0.0.0 secondary
ip address x.x.x.193 255.255.255.248
teoricamente non dovresti aver bisogno di una ip secondary e di assegnare il pubblico li, inoltre se natti la 10.0.0.0 255.255.255.0 non vedo il perchè di assegnare una subnet diversa alla e0...
gli ip dei tuoi host sono per caso:
ip: 10.0.0.x
sub: 255.255.255.0
gate: 10.0.0.201
?
in questo caso dovresti:
conf t
interface Ethernet0
no ip address 10.0.0.201 255.0.0.0 secondary
no ip address x.x.x.193 255.255.255.248
ip address 10.0.0.201 255.255.255.0
end
prova senza salvare, mal che vada dai un copy start run e sei di nuovo come prima.
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
ti ringrazio delle risposte tempestive,
no non ho un motivo particolare, è colpa della mia poca esperienza, ho guardato altre configurazioni, e in questo modo sono riuscito a farlo funzionare,
ora ci provo
grazie ancora
no non ho un motivo particolare, è colpa della mia poca esperienza, ho guardato altre configurazioni, e in questo modo sono riuscito a farlo funzionare,
ora ci provo
grazie ancora
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
ne riparliamo il 2 gennaio !!!
ho fatto una cavolata e siccome il router si trova in sede distaccata operavo con il telnet via internet mi sono chiuso fuori !!!
che somaro !!!
almeno questi due giorni faccio festa ci sentiamo il 2 ...
grazie di tutto Rickert, auguro a tutti un Buon 2007
ho fatto una cavolata e siccome il router si trova in sede distaccata operavo con il telnet via internet mi sono chiuso fuori !!!
che somaro !!!almeno questi due giorni faccio festa ci sentiamo il 2 ...
grazie di tutto Rickert, auguro a tutti un Buon 2007
