RISOLTO Problema Load Balancing e FileOver

[sardinside]

Ecco la configurazione attuale stabile per il load balncing e il fileover ... Manca solo la possibilità di raggiungere gli indirizzi nattati con il pat dall'esterno ... Chiedo umilmente aiuto a tutti ... Grazie

Codice: Seleziona tutto

! Last configuration change at 10:55:12 UTC Tue Jan 12 2016 by comecar
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Comecar
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$i9CJ$ceQ41iBcdgnbPMjRljGXc.
!
no aaa new-model
!
no ip cef optimize neighbor resolution
ip cef
!
!
!
!
!
!
ip domain name comecar.local
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1921/K9 sn FGL1819205A
!
!
username comecar password 7 03075406035A754F4F1B58
!
redundancy
!
!
!
!
!
controller VDSL 0/0/0
!
controller VDSL 0/1/0
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 1 ip sla 1
 delay down 10 up 10
!
track 2 ip sla 2
 delay down 10 up 10
!
track 3 ip sla 3
 delay down 10 up 10
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 ip address 10.0.10.2 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 10.0.0.1 255.255.255.252 secondary
 ip address aa.aa.aa.aa 255.255.255.248
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no ip route-cache cef
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Ethernet0/0/0
 no ip address
 shutdown
!
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 2
 !
!
interface Ethernet0/1/0
 no ip address
 shutdown
!
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 ddddddddddddd
 no cdp enable
!
interface Dialer1
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp header-compression
 dialer pool 2
 dialer-group 2
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 dddddddddddd
 no cdp enable
!
ip local policy route-map IPSLA
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat pool tiscali aaaaaaaaaaa aaaaaaaaaaaa netmask 255.255.255.248
ip nat inside source route-map COMECAR_1 interface GigabitEthernet0/0 overload
ip nat inside source route-map DIAL0 interface Dialer0 overload
ip nat inside source route-map DIAL1 interface Dialer1 overload
ip nat inside source static tcp 10.0.5.2 25 bbbbbbbb 25 extendable
ip nat inside source static udp 10.0.5.2 25 bbbbbbbb 25 extendable
ip nat inside source static tcp 10.0.5.2 80 bbbbbbbb 80 extendable
ip nat inside source static udp 10.0.5.2 80 bbbbbbbb 80 extendable
ip nat inside source static tcp 10.0.5.2 443 bbbbbbbb 443 extendable
ip nat inside source static udp 10.0.5.2 443 bbbbbbbb 443 extendable
ip nat inside source static tcp 10.0.5.2 5004 bbbbbbbb 5004 extendable
ip nat inside source static udp 10.0.5.2 5004 bbbbbbbb 5004 extendable
ip nat inside source static tcp 10.0.5.2 8080 bbbbbbbb 8080 extendable
ip nat inside source static udp 10.0.5.2 8080 bbbbbbbb 8080 extendable
ip nat inside source static tcp 10.0.5.3 8016 cccccccc 8016 extendable
ip nat inside source static udp 10.0.5.3 8016 cccccccc 8016 extendable
ip nat inside source static tcp 10.0.5.3 8200 cccccccc 8200 extendable
ip nat inside source static udp 10.0.5.3 8200 cccccccc 8200 extendable
ip nat inside source static tcp 10.0.5.3 10019 cccccccc 10019 extendable
ip nat inside source static udp 10.0.5.3 10019 cccccccc 10019 extendable
ip nat inside source static tcp 10.0.5.3 10088 cccccccc 10088 extendable
ip nat inside source static udp 10.0.5.3 10088 cccccccc 10088 extendable
ip nat inside source static tcp 10.0.5.3 12088 cccccccc 12088 extendable
ip nat inside source static udp 10.0.5.3 12088 cccccccc 12088 extendable
ip nat inside source static tcp 10.0.5.4 80 ddddddddd 80 extendable
ip nat inside source static udp 10.0.5.4 80 ddddddddd 80 extendable
ip nat inside source static tcp 10.0.5.5 23 eeeeeeeee 23 extendable
ip nat inside source static udp 10.0.5.5 23 eeeeeeeee 23 extendable
ip nat inside source static tcp 10.0.5.5 80 eeeeeeeee 80 extendable
ip nat inside source static udp 10.0.5.5 80 eeeeeeeee 80 extendable
ip nat inside source static tcp 10.0.5.5 3300 eeeeeeeee 3300 extendable
ip nat inside source static udp 10.0.5.5 3300 eeeeeeeee 3300 extendable
ip nat inside source static tcp 10.0.5.6 7 ffffffffff 7 extendable
ip nat inside source static udp 10.0.5.6 7 ffffffffff 7 extendable
ip nat inside source static tcp 10.0.5.6 25 ffffffffff 25 extendable
ip nat inside source static udp 10.0.5.6 25 ffffffffff 25 extendable
ip nat inside source static tcp 10.0.5.6 80 ffffffffff 80 extendable
ip nat inside source static udp 10.0.5.6 80 ffffffffff 80 extendable
ip nat inside source static tcp 10.0.5.6 6036 ffffffffff 6036 extendable
ip nat inside source static udp 10.0.5.6 6036 ffffffffff 6036 extendable
ip nat inside source static tcp 10.0.5.6 9008 ffffffffff 9008 extendable
ip nat inside source static udp 10.0.5.6 9008 ffffffffff 9008 extendable
ip nat inside source static tcp 10.0.5.6 10002 ffffffffff 10002 extendable
ip nat inside source static udp 10.0.5.6 10002 ffffffffff 10002 extendable
ip nat outside source static 10.0.5.2 bbbbbbbbb
ip nat outside source static 10.0.5.3 ccccccccc
ip nat outside source static 10.0.5.4 ddddddddd
ip nat outside source static 10.0.5.5 eeeeeeeee
ip nat outside source static 10.0.5.6 fffffffff
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 track 2
ip route 0.0.0.0 0.0.0.0 10.0.10.1 track 3
ip route 4.2.2.2 255.255.255.255 GigabitEthernet0/0
ip route 10.0.2.0 255.255.255.0 10.0.0.2
ip route 10.0.3.0 255.255.255.224 10.0.0.2
ip route 10.0.4.0 255.255.255.192 10.0.0.2
ip route 10.0.5.0 255.255.255.0 10.0.0.2
ip route 10.0.10.0 255.255.255.252 10.0.0.2
!
ip access-list extended SLA1
 permit icmp any host 8.8.8.8 echo
ip access-list extended SLA2
 permit icmp any host 8.8.4.4 echo
ip access-list extended SLA3
 permit icmp any host 4.2.2.2 echo
!
ip sla auto discovery
ip sla 1
 icmp-echo 8.8.8.8 source-interface Dialer0
 threshold 500
 frequency 5
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo 8.8.4.4 source-interface Dialer1
 threshold 500
 frequency 5
ip sla schedule 2 life forever start-time now
ip sla 3
 icmp-echo 4.2.2.2 source-interface GigabitEthernet0/0
 threshold 500
 frequency 5
ip sla schedule 3 life forever start-time now
access-list 1 permit 10.0.2.0 0.0.0.255
access-list 1 permit 10.0.3.0 0.0.0.31
access-list 1 permit 10.0.4.0 0.0.0.63
access-list 1 permit 10.0.5.0 0.0.0.255
access-list 1 permit 10.0.10.0 0.0.0.3
!
route-map DIAL0 permit 10
 match ip address 1
 match interface Dialer0
!
route-map DIAL1 permit 10
 match ip address 1
 match interface Dialer1
!
route-map COMECAR_1 permit 10
 match ip address 1
 match interface GigabitEthernet0/0
!
route-map IPSLA permit 10
 match ip address SLA1
 set interface Dialer0
!
route-map IPSLA permit 20
 match ip address SLA2
 set interface Dialer1
!
route-map IPSLA permit 30
 set interface GigabitEthernet0/0
!
!
!
control-plane
!
!
banner motd ^C











^C
!
line con 0
 password 7 xxxxxxxxxx
 logging synchronous
 login local
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 xxxxxxxxxxx
 login local
 transport input ssh
line vty 5 15
 password 7 xxxxxxxxxxx
 login local
 transport input ssh
!
scheduler allocate 20000 1000
!
end

[paolomat75]

Ciao ragazzi.
Oggi sono incasinato con il lavoro. Se stasera nessuno vi ha dato una mano ci provo io.

Buona giornata
Paolo

[sardinside]

Speriamo... Io continuo a provare in attesa di una mano ...

[sardinside]

Grazie Paolo... attenderò con ansia.... Davvero gentilissimo

[paolomat75]

Scusa ma ieri sera non sono stato a casa.
Ti scrivo stasera se sarò davanti al PC.

Paolo

[sardinside]

Perfetto aspetto con impazienza... E grazie in anticipo ...

[paolomat75]

Ciao.
Ho guardato la tua configurazione. Se non ho capito male hai fatto dei nat statici su gli ip pubblici che ti ha dato un isp, mappandoli 3 volte. Non ha senso. Quegli ip "funzionano" solo quando quella linea è up. Fai un solo un nat per ogni servizio. Crea un route-map per far uscire quel traffico sulla linea del gestore che ti ha dato gli IP.
Una altra soluzione o mettere gli IP pubblici direttamente sulle macchine, configurando il firewall di conseguenza.

Spero di non aver detto cavolate perché sono stanco.

Paolo

[sardinside]

Come mappati 3 volte? Hanno sempre funzionato così però... Sono nattati con il pat mentre uno è sulla gi 0/1 ... Ho provato mille route-map (contando che gli ip pubblici sono sulla dia 0) senza risoluzione... potrei chiederti gentilmente come creare questa route-map? Usare direttamente gli ip pubblici direi di no perchè sono sotto una vlan e dovrei apportare troppe modifiche particolari (perchè si parla di centralini allarme ups e quant'altro)....

Grazie per la disponibilità

[paolomat75]

Ti ho detto che ero stanco. Non ho fatto caso che hai mappato sia il TCP che UDP della stessa porta (non so perché l'hai fatto).
Prova

Codice: Seleziona tutto

access-list 100 permit tcp host 10.0.5.2 eq 80 any
route-map WWWSERVICE permit 10
 match ip address 100
 set interface Dialer0
interface GigabitEthernet0/1
ip policy route-map WWWSERVICE

Se funziona aggiungi tutte le ACE per i vari servizi.

Paolo

[sardinside]

Pensavo fosse giusto aprire le porte per entrambi i protocolli ... Tempo fa notai lentezza ... Riproverò a modificare...
Stasera se riesco ad andare in azienda faccio i test... Ti ringrazio e come sempre sei gentilissimo...

[sardinside]

Niente Paolo non raggiungo nulla...

[paolomat75]

Bisogna collegarsi per capire dove sta il problema.

Paolo

[sardinside]

se spengo dialer 1 e gi 0/0 riesco a darti un accesso in ssh

[sardinside]

Perfetto Paolo con quell'acl funziona tutta... resta ancora una cosa... come faccio a collegarmi dall'esterno sul router? ho un contratto con ip statico sulla dialer0 per adesso... successivamente anche sulla dialer 1 ma non riesco ad accedere da remoto...

Grazie

Ciaooo

[paolomat75]

Ottimo! E' per quello che non mi hai dato teamviewer. Per l'accesso devi aggiungere nella ACL SLA1 l'entri per il ssh con l'IP del dial0.

Ciao
Paolo