CiscoForums.it

Ciao, sono alle prese con la prima installazione di un 827 con la linea Alice Busoness.
Telecom mi ha dato i parametri della linea:
punto-punto: 88.47.106.xxx/24
ip lan: 88.55.254.xxx/29 (pubblici assegnati da telecom)

ip lan privati: 192.1.1.x

Guardano sul forum sono riuscito a costruire una configurazione che permette la navigazione...però non funziona tutto perfettamente.
In pratica ho bisogno di assegnare un ip privato secondario alla eth0 e contemporaneamente assegnare un ip pubblico a una macchina visible su internet.

Ho provato a mettere due ip sulla eth0 e inserire la nat statica...però non ha funzionato...allora sbirciando sul forum ho provato a inserire due ATM0 point-to-point.
In questo modo gli utenti della lan escono...peccato non risco a mettere l'ip pubblico sulla eth0..!!

Credo di aver fatto un pò di casino..!!!

Ecco la configurazione:

!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging rate-limit console 10 except errors
enable secret 5 $1$8/7N$.TtU5kPQqjLgle.Qan3Em0
enable password 7 121608461119030A787A
!
ip subnet-zero
no ip finger
!
no ip dhcp-client network-discovery
!
!
!
!
interface Ethernet0
ip address 192.1.1.254 255.255.255.0
ip nat inside
no cdp enable
!
interface ATM0
no ip address
ip broadcast-address 0.0.0.0
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.106.51 255.255.255.0
ip broadcast-address 88.47.106.0
ip nat outside
no ip mroute-cache
pvc 8/35
broadcast
encapsulation aal5snap
!
!
!
interface Ethernet0
ip address 192.1.1.254 255.255.255.0
ip nat inside
no cdp enable
!
interface ATM0
no ip address
ip broadcast-address 0.0.0.0
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.106.51 255.255.255.0
ip broadcast-address 88.47.106.0
ip nat outside
no ip mroute-cache
pvc 8/35
broadcast
encapsulation aal5snap
!
!
!
interface ATM0.2 point-to-point
ip address 88.55.254.50 255.255.255.248
ip nat inside
no ip mroute-cache
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 0.0.0.0 0.0.0.0 ATM0.2
no ip http server
!
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source list 2 interface ATM0.2 overload
ip nat inside source static tcp 192.1.1.254 80 88.55.254.50 80 extendable
ip nat inside source static tcp 192.1.1.254 13013 88.55.254.50 13013 extendable
ip nat inside source static tcp 192.1.1.254 22 88.55.254.50 22 extendable
ip nat inside source static tcp 192.1.1.254 2323 88.55.254.50 2323 extendable
ip nat inside source static tcp 192.1.1.254 999 88.55.254.50 999 extendable
access-list 1 permit 88.55.254.0 0.0.0.248
access-list 2 permit 192.1.1.0 0.0.0.255
no cdp run
!
line con 0
transport input none
stopbits 1
line vty 0 4
login
!
scheduler max-task-time 5000
end

no no no, calma.
Serve 1 interfaccia atm point-to-point al quale assegnare l'indirizzo ip point-to-point.
Assegnare all'ethernet un ip pubblico (ip address <ip_pubblico>).
Assegnare all'ethernet un ip privato secondario (ip address <ip_privato> secondary).
Modifica la configurazione second questi parametri e ripostala che si capisce poco.

Ciao, Grazie per avermi risposto.
In effetti ho fatto un pò di confusione...ho guardato con più attenzione il forum e ci sono alcune configurazioni che portebbero andare bene...

Il mio 827 una volta configurato dovrebbe fare questo:

Fare da default gw alla lan con ip privati: 192.1.1.x

avere sulla lan uno dei 6 ip pubblici che telecom assegna: 88.55.254.xxx/28 ed essere raggiungibile da remoto

collegare al router eventuali server pubblci usando gli ip assegnati:
88.55.254.xxx/28

La cosa importante mi sembra che sia assenare due ip alla et0
uno con il secondo ip libero degli otto che rilascia telecom e l'altro con il mio ip privato.
Asegnare al ATM0.1 point-to-point l'ip sempre assegnato da telecom 88.47.106.xxx/24 (stranamente /24).
Creare le regole di NAT e access list.

Ho provata a creare una configurazione...che ne dite?
!! GRAZIE !!

!
version 12.2
no parser cache
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco
!
logging queue-limit 100
enable secret 5 $1$V4Qi$ZpXDVhiIH0qXKES7hAc4H.
enable password 7 0822455D0A16
!
ip subnet-zero
ip tcp path-mtu-discovery
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip dhcp excluded-address 192.168.100.1
!
ip dhcp pool CLIENT
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 151.99.125.1 151.99.0.100
!
!
!
interface Ethernet0
ip address 192.1.1.254 255.255.255.0 secondary
ip address 85.41.219.177 255.255.255.248
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.106.51 255.255.255.0
ip nat outside
pvc 8/35
vbr-nrt 640 640 1
encapsulation aal5snap
!
!
ip nat pool net-ibs 88.55.254.5x 88.55.254.5x netmask 255.255.255.248
ip nat inside source list 10 pool net-ibs overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
access-list 10 permit 85.55.254.5x 0.0.0.15
access-list 10 permit 192.1.1.0 0.0.0.255
!
line con 0
exec-timeout 240 0
password 7 1511021F0725
login
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 240 0
password 7 01100F175804
login
!
scheduler max-task-time 5000
!
end

Qui stiamo facendo un po' di confusione.
Scopri le differenze:

ip dhcp pool CLIENT
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 151.99.125.1 151.99.0.100

interface Ethernet0
ip address 192.1.1.254 255.255.255.0 secondary

access-list 10 permit 192.1.1.0 0.0.0.255

Ciao, mi scuso con i partecipanti del forum per il ritardo nella risposta.

Ho modificato la configurazioe:

!
version 12.2
no parser cache
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco
!
logging queue-limit 100
enable secret 5 $1$V4Qi$ZpXDVhiIH0qXKES7hAc4H.
enable password 7 0822455D0A16
!
ip subnet-zero
ip tcp path-mtu-discovery
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip dhcp excluded-address 192.1.1.254
!
ip dhcp pool CLIENT
network 192.1.1.0 255.255.255.0
default-router 192.1.1.254
dns-server 151.99.125.1 151.99.0.100
!
!
!
interface Ethernet0
ip address 192.1.1.254 255.255.255.0 secondary
ip address 85.41.219.177 255.255.255.248
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.47.106.51 255.255.255.0
ip nat outside
pvc 8/35
vbr-nrt 640 640 1
encapsulation aal5snap
!
!
ip nat pool net-ibs 88.55.254.5x 88.55.254.5x netmask 255.255.255.248
ip nat inside source list 10 pool net-ibs overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
access-list 10 permit 85.55.254.5x 0.0.0.15
access-list 10 permit 192.1.1.0 0.0.0.255
!
line con 0
exec-timeout 240 0
password 7 1511021F0725
login
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 240 0
password 7 01100F175804
login
!
scheduler max-task-time 5000
!
end

Ho cominciato da poco con i cisco.
RiLeggendo varie configurazione ho provato questa che mi funziona...
Posso migliorarla?
Grazie.

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname adsl256
!
enable secret 5 pinco
enable password pallino
!
ip subnet-zero
no ip domain-lookup
!
no ip bootp server
!
!
!
interface Ethernet0
ip address 10.10.10.254 255.255.255.0
ip nat inside
no cdp enable
hold-queue 100 out
!
interface ATM0
ip address 88.xxx.xxx.xx0 255.255.255.0
ip nat outside
no atm ilmi-keepalive
pvc 8/35
protocol ip 88.xxx.xxx.xx1 broadcast
encapsulation aal5snap
!
dsl operating-mode auto
!
ip nat inside source list 1 interface ATM0 overload
ip nat inside source static tcp 10.10.10.100 10000 interface ATM0 20000
ip classless
ip route 0.0.0.0 0.0.0.0 88.52.xxx.xx1
no ip http server
!
!
access-list 1 permit 10.10.10.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
no cdp run
!
line con 0
exec-timeout 0 0
stopbits 1
line vty 0 4
password tizio
login
!
scheduler max-task-time 5000
end

Si, per cominciare con un service password-encryption che ti cripterà le password ora visibili nella configurazioen, dopodichè potresti metterci un'acl.Che router è?

Dato che è un 827 con la ios c820-osy656i-mz.121-3.XG6.bin puoi onfigurare la parte base del firewall che ti farebbe comodo.

827 -> c820-oy6-mz.122-4.YA4.bin
Aveva ios c820-k2osy6-mz.121-3.XG4, aggiornato perche credevo che non funzionava, invece era per colpa della telecom.
Non ho inserito il ppp o atm0.1 point to point perche leggendo uno dei manuali ho visto che potevo usare un solo ip con il nat ( o pap come scritto nel manuale).
Funziona su una ditta con una decina di pc.
Le ACL ancora le devo capire...
Avevo letto che su questo modello non c'era il firewall...
Come chiudo il telnet per l'esterno lasciandolo solo in locale?
Vi ringrazio per la disponibilita'.

Come chiudo il telnet per l'esterno lasciandolo solo in locale?

Io direi che se deve solo bloccare il telnet metti una acess-class sulla line vty 0 4. Se invece vuoi creare le acl sulla interfaccia pubblica del router (consigliato) senza configurare la parte firewall allora devi ricordarti di mettere le acl x il ritorno dei pacchetti altrimenti non esce nessuno perchè alla fine c'è un bel "deny ip any any" implicito.