CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

problemi con nat

https://www.ciscoforums.it/viewtopic.php?f=10&t=3851

Pagina 1 di 1

problemi con nat

Inviato: ven 29 dic , 2006 9:08 pm
da tda8191
Prima di tutto un saluto e tanti Auguri a tutti

avevo postato qualche giorno fà per la configurazione di un 827 con ip statico, per navigare va tutto bene ma stò trovando problemi a rendere accessibili dall'esterno alcuni servizi forniti dalle macchine interne. Poichè devo poter arrivare via ssh ad un server, ho provato ad inserire le righe seguenti alla mia configurazione che riporto più avanti.
Se inserisco la riga sottostante non ho nessun risultato:

ip nat inside source static tcp 10.0.0.100 22 interface ATM 0.1 22

cioè trovo la porta 22 chiusa verso l'esterno.

Se invece inserisco questa riga

ip nat inside source static tcp 10.0.0.100 22 n.n.n.193 22 (dove n.n.n.193 è il mio ip visto dall'esterno)

la porta risulta aperta verso l'esterno ma il client ssh rimane in attesa fino alla scadenza del timeout.

La configurazione è:

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname routeradsl
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxx
no aaa new-model
ip subnet-zero
no ip domain lookup
!
!
!
!
interface Ethernet0
ip address 10.0.0.201 255.0.0.0 secondary
ip address x.x.x.193 255.255.255.248
ip nat inside
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
ip nat outside
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address n.n.n.201 255.255.255.252
ip nat outside
pvc 8/35
protocol ip n.n.n.201 broadcast
encapsulation aal5snap
!
!
ip nat pool NET x.x.x.193 x.x.x.193 netmask 255.255.255.248
ip nat inside source list 1 pool NET overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
!
access-list 1 permit 10.0.0.0 0.0.0.255
no cdp run
!
line con 0
password 7 xxxxxxxxxxxxxxxxxxxx
logging synchronous
login
stopbits 1
line vty 0 4
password 7 xxxxxxxxxxxxxxxxxxx
login
!
scheduler max-task-time 5000
end

ho fatto varie prove ma non ci sono ancora riuscito,
vi chiedo ancora un aiuto
grazie a tutti

Inviato: sab 30 dic , 2006 12:56 am
da Rickert
il fatto che non funzioni con:
ip nat inside source static tcp 10.0.0.100 22 interface ATM 0.1 22
è del tutto normale dato che natteresti le richieste indirizzate al n.n.n.201 che non ti interessa,
con
ip nat inside source static tcp 10.0.0.100 22 n.n.n.193 22

dovrebbe andare, cmq da # dai un

clear ip nat translation *

e poi dopo un tentativo di connessione ssh:

sh ip nat translations verbose

e vedi se ti ritorna il match.

Inviato: sab 30 dic , 2006 8:48 am
da tda8191
Buongiorno


ti ringrazio,

effettuo la prova e ti facco sapere

Inviato: sab 30 dic , 2006 1:06 pm
da tda8191
continuo ad avere problemi, mi sono accorto in oltre che dalla lan privata riesco a navigare senza problemi e riesco a pingare l'esterno, ma se con il router voglio pingare la rete privata o quella pubblica non ci riesco

riporto lo show translation


Pro Inside global Inside local Outside local Outside global
tcp x.x.x.193:22 10.0.0.100:22 --- ---
create 04:01:40, use 00:00:06,
flags:
static, extended, extendable, use_count: 1
tcp x.x.x.193:22 10.0.0.100:22 x.x.x.71:1548 x.x.x.71:1548
create 00:00:06, use 00:00:03, left 00:00:56,
flags:
extended, use_count: 0

non riesco a capire dove ho sbagliato ( sono un ignorante !!!)

Inviato: sab 30 dic , 2006 2:22 pm
da Rickert
Non so bene il perchè di questa conf su la e0(a meno che di particolari condizioni dell'isp):
interface Ethernet0
ip address 10.0.0.201 255.0.0.0 secondary
ip address x.x.x.193 255.255.255.248

teoricamente non dovresti aver bisogno di una ip secondary e di assegnare il pubblico li, inoltre se natti la 10.0.0.0 255.255.255.0 non vedo il perchè di assegnare una subnet diversa alla e0...

gli ip dei tuoi host sono per caso:

ip: 10.0.0.x
sub: 255.255.255.0
gate: 10.0.0.201

?


in questo caso dovresti:
conf t
interface Ethernet0
no ip address 10.0.0.201 255.0.0.0 secondary
no ip address x.x.x.193 255.255.255.248
ip address 10.0.0.201 255.255.255.0
end

prova senza salvare, mal che vada dai un copy start run e sei di nuovo come prima.

Inviato: sab 30 dic , 2006 6:41 pm
da tda8191
ti ringrazio delle risposte tempestive,

no non ho un motivo particolare, è colpa della mia poca esperienza, ho guardato altre configurazioni, e in questo modo sono riuscito a farlo funzionare,

ora ci provo

grazie ancora

Inviato: sab 30 dic , 2006 6:53 pm
da tda8191
ne riparliamo il 2 gennaio !!!

ho fatto una cavolata e siccome il router si trova in sede distaccata operavo con il telnet via internet mi sono chiuso fuori !!! :evil: :evil: che somaro !!!

almeno questi due giorni faccio festa ci sentiamo il 2 ...

grazie di tutto Rickert, auguro a tutti un Buon 2007

Inviato: mar 02 gen , 2007 11:10 am
da tda8191
Buon Anno a Tutti !!!

ho apportato le correzione e ora sembra funzionare tutto correttamente

grazie a tutti

Inviato: mar 02 gen , 2007 12:08 pm
da Rickert
felice per l'aiuto, buon anno anche a te
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it