CiscoForums.it

Ciao a tutti,

sono alle prese con la configurazione di un cisco 1600 per una connessione con Hdsl da 2 Mbit.

Il provider mi ha assegnato un pacchetto di 8 ip statici pubblici.
La connessione e' una Hdsl gestita da un apparato aethera che esce con una V35.

Configurando il tutto mi sono venute un paio di curiosita'.
Premetto che so che la cosa che mi e' venuta in mente non tiene assolutamente in conto la sicurezza e non so se sia tecnicamente fattibile, per cui chiedo lumi agli esperti del forum.

Vorrei sapere se è possibile configurare l'interfaccia eth0 del router con un doppio indirizzo, uno pubblico per fare routing su un server interno che dovra' essere esposto, ed un privato per fare nat sulla rete interna.


aethera -------- cisco 1600 ser0 ---- cisco 1600 eth0 ------lan
--------- V35 ----- ip PtP ------------- 192.168.0.1 --------- 192.168.0.x
----------------------------------------- 11.11.11.1 ----------- 11.11.11.2
In eth0 metterei:
ip address 192.168.0.1 mask 255.255.255.0
ip address 11.11.11.1 mask 255.255.255.240 secondary

Puo' funzionare il nat con questo metodo continuando a fare il routing ?
Se funzionasse mi converrebbe mettere come ip secondario il pubblico o il privato ?

In alternativa potrei assegnare all'eth0 del 1600 tutti gli ip pubblici e fare port forwarding su un indirizzo della lan privata ?
In questo caso posso mettere piu' indirizzi secondari (tutti gli 8 disponibili) oppure no ?

Grazie a tutti in anticipo per le risposte.

ma la rete di indirizzi pubblici che ti ha assegnato il provider qual'è??

la 11.11.11.0/28???

Vorrei sapere se è possibile configurare l'interfaccia eth0 del router con un doppio indirizzo, uno pubblico per fare routing su un server interno che dovra' essere esposto, ed un privato per fare nat sulla rete interna.

Si, lo puoi fare.
In questo modo puoi gestire anche il nat su quella interfaccia.
Anche se personalmente non mi piace, io ti direi di mettere l'ip provato nella eth0 che farà nat inside e i server pubblici li natti fuori solo con le porte che servono.

hashashin ha scritto:ma la rete di indirizzi pubblici che ti ha assegnato il provider qual'è??

la 11.11.11.0/28???

No sono finti.
Li ho messi come esempio per far capire che sono pubblici. In realta' gli indirizzi sono diversi.
Scrivere su un forum gli indirizzi reali non mi sembra molto "sicuro".

Wizard ha scritto:

Vorrei sapere se è possibile configurare l'interfaccia eth0 del router con un doppio indirizzo, uno pubblico per fare routing su un server interno che dovra' essere esposto, ed un privato per fare nat sulla rete interna.

Si, lo puoi fare.
In questo modo puoi gestire anche il nat su quella interfaccia.
Anche se personalmente non mi piace, io ti direi di mettere l'ip provato nella eth0 che farà nat inside e i server pubblici li natti fuori solo con le porte che servono.

Sono d'accordo con te per la preferenza.
Ero curioso per la possibilita' di fare nat e routing contemporaneamente.

A questo punto pero' entra in gioco l'altra domanda che avevo posto: posso assegnare piu' indirizzi ip pubblici alla seriale con il secondary e poi pubblicare (nattare) un server con indirizzo privato tramite l'indirizzo eth0 ?
In questo modo assegno tutti gli ip pubblici al cisco e faccio port forwarding sugli ip e le porte che mi interessano in lan.

Ciao e grazie

posso assegnare piu' indirizzi ip pubblici alla seriale con il secondary e poi pubblicare (nattare) un server con indirizzo privato tramite l'indirizzo eth0 ?

Sinceramente non capisco il motivo del fatto che tu voglia dare un ip secondario alla seriale.
Tu devi configurare:
- serial0 (no ip address)
- serial.01 (ip iddress della punto-punto)
- eth0 (ip interno che sarò il gateway e farà nat)
- loopback0 (ip pubblico disponibile)

Wizard ha scritto:

posso assegnare piu' indirizzi ip pubblici alla seriale con il secondary e poi pubblicare (nattare) un server con indirizzo privato tramite l'indirizzo eth0 ?

Sinceramente non capisco il motivo del fatto che tu voglia dare un ip secondario alla seriale.
Tu devi configurare:
- serial0 (no ip address)
- serial.01 (ip iddress della punto-punto)
- eth0 (ip interno che sarò il gateway e farà nat)
- loopback0 (ip pubblico disponibile)

Forse mi manca qualcosa.
Come faccio ad intercettare i pacchetti diretti da Internet ad un certo ip pubblico (poniamo il quarto del mio blocco pubblico 11.11.11.4) se nessuna interfaccia del cisco ha quell'indirizzo ?
Ignorantemente penso che sia necessario che l'ip pubblico sia gestito da qualcosa per poter prendere i pacchetti ed inviarli via nat al server con ip privato.
Metto tutti gli ip pubblici sulla loopback ?

Grazie ancora.

Non mi lasciate col dubbio!!!!!

Forse mi manca qualcosa.
Come faccio ad intercettare i pacchetti diretti da Internet ad un certo ip pubblico (poniamo il quarto del mio blocco pubblico 11.11.11.4) se nessuna interfaccia del cisco ha quell'indirizzo ?
Ignorantemente penso che sia necessario che l'ip pubblico sia gestito da qualcosa per poter prendere i pacchetti ed inviarli via nat al server con ip privato.
Metto tutti gli ip pubblici sulla loopback?

Allora, il traffico in realtà lo gestisce la atm0.1 però su quella interfaccia devi dare l'ip della punto-punto che non può fare traffico di solito (acl su apparati isp). La loopback0 server per fare raggiungere il router dal esterno e/o nattare fuori la rete interna sul suo indirizzo (appartenente alla lan pubblica).
Quindi, o tu configuri n interfaccie loopback oppure (meglio) ne configuri una per gestire il nat e l'accesso al router da esterno e gli altri ip pubblici li gestisci tramite le regole di nat statico.

Allora, il traffico in realtà lo gestisce la atm0.1 però...

Ok. Mi si stanno chiarendo le idee.
Ora mi mettero' a smanettare per capire meglio.

Grazie ancora delle preziose info.

Ho completato la config per il router.

L'idea e' di cominciare a sfruttare il primo degli 8 ip pubblici per uscire su internet via nat e pubblicare anche una specifica porta di un server interno tramite pat.
Se ho capito bene il tutto, dopo si potranno aggiungere in modo semplice gli ulteriori ip pubblici perche' sto usando la loopback per questi.

Una nota strana. Se esco da uno dei pc della rete l'esterno mi "vede" tramite l'ip pubblico, mentre se esco direttamente dal router, vengo visto con l'ip PtP di serial0.1. E' normale o no ?

Posto la mia config. Mi dite se e' tutto ok e se ho ragione per gli ulteriori indirizzi ip ?

Un grazie anticipato a tutti.


Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname gw-bios
!
enable secret 5 $zzzzzzzzzzzzzzzzzzzzzzzzzz.
!
ip subnet-zero
!
!
!
!
interface Loopback0
ip address xx.xx.45.241 255.255.255.240
no ip directed-broadcast
!
interface Ethernet0
ip address 192.168.0.251 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface Serial0
bandwidth 2048
no ip address
no ip directed-broadcast
encapsulation frame-relay IETF
!
interface Serial0.1 point-to-point
ip address yy.yy.46.250 255.255.255.252
no ip directed-broadcast
ip nat outside
frame-relay interface-dlci 20 IETF
!
ip nat inside source list 1 interface Loopback0 overload
ip nat inside source static udp 192.168.0.250 80 xx.xx.45.241 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
line con 0
transport input none
line 1
line vty 0 4
password aaaaaaaaaaaa
login
!
end

Si, va bene.
Per sfruttare gli altri ip vai di regole di nat statico oppure fai un pool per il pat.