Soho97 - utilizzo ip pubblici e nat

[jbg70]

Salve a tutti.
Ho configurato un soho97 su una adsl Telecom con 8 IP pubblici.
Il router assegna via dhcp gli indrizzi della lan privata ai vari computer, e tutto funziona benissimo. Riesco a raggiungere anche il router dall'esterno tramite il secondo degli IP pubblici forniti da Telecom (il primo e' la rete, l'ultimo il broadcast e non li ho usati).

Ora vorrei che il router mi permettesse di usare anche gli IP pubblici. L'assegnazione è manuale, quindi i 5 IP li assegno manualmente alle varie macchine.
La config sotto funziona benissimo con gli ip assegnati via dhcp, ma dagli host che assegno a mano (i pubblici), non riesco a pingare nemmeno il router.

Segue la conf... confido in un vostro aiuto.

Saluti e grazie.

Codice: Seleziona tutto

!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname soho97
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
no logging buffered
enable secret 5 XXXXXXXXXXX
!
no ip subnet-zero
no ip source-route
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
   network 192.168.0.0 255.255.255.0
   dns-server 151.99.125.2
   default-router 192.168.0.1
   lease 0 2
!
!
ip cef
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.125.1
no aaa new-model
!
!
username Router password 7 XXXXXXXX
!
!
no crypto isakmp ccm
!
!
!
interface Loopback1
 ip address 85.XX.XX.113 255.255.255.248
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 85.XX.XX.204 255.255.255.0
 ip nat outside
 pvc 8/35
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
ip nat pool NAT 85.XX.XX.113 85.XX.XX.118 netmask 255.255.255.248
ip nat inside source list 10 pool NAT overload
!
logging trap debugging
access-list 10 permit 192.168.0.0 0.0.0.255
snmp-server community public RO
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end

[djdylan78]

Che cosa devi farci con i 5 ip pubblici? immagino tu debba pubblicare qualche server interno, o mi sbaglio?

[jbg70]

Girando per il forum ho trovato la config funzionante che segue.

Il problema è che sebbene dall'esterno pingo l'ip pubblico del router, non riesco ad accederci via telnet/ssh/snmp. Inoltre gli host con gli ip pubblici sono irraggiungibili dall'esterno

Come risolvo questi due problemi?

Grazie.

Codice: Seleziona tutto

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname soho97
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
no logging buffered
enable secret 5 XXXXXXXXXXXXXXXXXX
!
ip subnet-zero
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
   network 192.168.0.0 255.255.255.0
   dns-server 151.99.125.2
   default-router 192.168.0.1
   lease 0 2
!
!
ip tcp path-mtu-discovery
ip cef
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
no aaa new-model
!
!
username Router password 7 XXXXXXXXXX
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0 secondary
 ip address 85.XX.XX.113 255.255.255.248
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 85.41.20.204 255.255.255.254
 ip nat outside
 pvc 8/35
  vbr-nrt 640 640 1
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
ip nat pool NAT 85.XX.XX.113 85.XX.XX.118 netmask 255.255.255.248
ip nat inside source list 10 pool NAT overload
!
logging trap debugging
access-list 10 permit 192.168.0.0 0.0.0.255
access-list 10 permit 85.XX.XX.112 0.0.0.15
snmp-server community community RO
snmp-server community giovannicapraro RW
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end

[jbg70]

Che cosa devi farci con i 5 ip pubblici? immagino tu debba pubblicare qualche server interno, o mi sbaglio?

Esatto. Ma dall'esterno non li raggiungo nè con la prima config, nè con l'ultima che ho appena postato.

Anzi con la prima accedevo almeno al router dall'esterno,ma con la seconda no.

Come proseguire?

Grazie.

[djdylan78]

Per pubblicare un server interno dovresti usare un nat statico del tipo:

ip nat inside source static 192.168.0.x a.b.c.d

Dove a.b.c.d è l'indirizzo pubblico
Eventualmente potresti anche specificare la porta, ad. esempio se hai un server web all'interno:

ip nat inside soruce tcp 192.168.168.x 80 a.b.c.d 80

Il fatto che non riesci ad accedere al router via telnet è dovuto a questo:

line vty 0 4
access-class 23 in <----

1.o non c'è l'acl 23 ?!?
2.o per attivare ssh devi genereare le chiavi e configurare le vty per accettare ssh

[jbg70]

Forse mi sono spiegato male. Ammettiamo che io abbia un server web/smtp od altro al quale voglio dedicare un ip pubblico del pool assegnatomi da Telecom. Assegnerei a mano l'ip pubblico a quel server ed ogni volta lo raggiugerei tramite quell'IP ed a sua volta il server uscirebbe con quell'IP. Il server web non voglio che abbia ip privato.

Non voglio fare un nat tipo ip pubblico--->ip locale.

Saluti.

[jbg70]

Ok ho risolto.

Ora gli ip della lan interna escono nattati con il primo ip pubblico.
Il router è raggiungibile tramite il primo ip pubblico.
Gli altri ip escono e sono raggiungibili dall'esterno direttamente.

Questa la config per chi ne avesse bisogno:

Codice: Seleziona tutto

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname soho97
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
no logging buffered
enable secret 5 XXXXXXXXXX
!
ip subnet-zero
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
   network 192.168.0.0 255.255.255.0
   dns-server 151.99.125.2
   default-router 192.168.0.1
   lease 0 2
!
!
ip tcp path-mtu-discovery
ip cef
ip domain name interbusiness.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
no aaa new-model
!
!
username Router password 7 XXXXXXXXXXXXXXXXXXX
!
!
no crypto isakmp ccm
!
!
!
interface Loopback0
 no ip address
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0 secondary
 ip address 85.xx.xx.113 255.255.255.248
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 85.41.20.204 255.255.255.254
 ip nat outside
 pvc 8/35
  vbr-nrt 640 640 1
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!
ip nat pool NAT 85.xx.xx.113 85.xx.xx.113 netmask 255.255.255.248
ip nat inside source list 10 pool NAT overload
!
access-list 10 permit 192.168.0.0 0.0.0.255
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end

Un giudizio ai 'guru' su come migliorarla?

Saluti e grazie.

[[Dj][DMX]]

Beh si potrebbe togliere ip subnet zero e, se non lo usi, ip http server.
Dopodichè si potrebbe scrivere un'acl.

[Shye]

In questa riga:

ip nat pool NAT 85.xx.xx.113 85.xx.xx.113 netmask 255.255.255.248

il Pool va da 113 a N (superiore a 113), vero?
Perchè scritto così non mi torna..