Salve.
Ho un router 877 con una punto punto adsl su dialer
Poi sulla vlan1 ho impostato una subnet di 4 ip pubblici che mi ha fornito l'ISP
(il primo non usato, il secondo sono io, il terzo è il firewall il quarto non usato)
E fin qui tutto ok
Dialer e Vlan ovviamente non hanno nat. Route tutto su dialer
Funziona tutto
Mi trovo però a dover agigungere un device con ip privato fuori firewall
(per intenderci devo mettere un apparato con ip 192.168.1.2 e che abbia gateway 192.168.1.1)
Ora io ho messo sulla vlan1 il 192.168.1.1 come secondary, ma naturalmente senza il nat inside/outside e l'overload non funziona nemmeno se piango. Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
Avevo pensato di fare una access list che consentisse il traffico e nattasse tutto degli ip piubblici.... ma non ho idea nè se è una idea fattibile nè se possa funzionare.
Avete qualche idea, qualche worksaround da potermi suggerire ?
PS: il device con 192.168.1.2 deve stare fuori dal firewall, se vorrete suggerirmi di usarlo dentro firewall... ahimè la risposta è che non lo posso fare (altrimenti lo facevo )
Grazie anticipatamente
Ip pubblici e privati insieme
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Buongiorno.davide0522 ha scritto: ...
Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
...
Hai sbagliato il nat. Se metti la ACL che natta solo gli IP privati non perdi nessuna raggiungibilità.
Posta la configurazione del nat e vediamo dove sbagli.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
- davide0522
- Cisco fan
- Messaggi: 47
- Iscritto il: mer 31 mar , 2010 4:22 pm
Ciao, al momento sono messo così... non molto elegante
La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile
Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........
La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile
Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........
Codice: Seleziona tutto
interface Vlan1
ip address 192.168.21.1 255.255.255.0 secondary
ip address 185.16.135.81 255.255.255.248
no autostate
!
interface Dialer1
description PPPoE per FTTC VDSL2
ip address negotiated
encapsulation ppp
dialer pool 1
no ppp chap wait
ppp pap sent-username xxx password 0 xxx
no ppp pap wait
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 101 permit ip any any
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Se crei una ACL solo per il traffico da 192.168.21.0/24, gli ip pubblici non vengono toccati.
Naturalmente devi mettere anche nat inside / outside sulle interfacce corrette.
Paolo
Codice: Seleziona tutto
access-list 102 permit ip 192.168.21.0 0.0.0.255 any
ip nat inside source list 102 interface Dialer1 overload
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
- davide0522
- Cisco fan
- Messaggi: 47
- Iscritto il: mer 31 mar , 2010 4:22 pm
Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Sidavide0522 ha scritto:Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
Non cade foglia che l'inconscio non voglia (S.B.)
- davide0522
- Cisco fan
- Messaggi: 47
- Iscritto il: mer 31 mar , 2010 4:22 pm
Metto subito alla prova! Grazie mille !
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Prego
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Sei riuscito?
Non cade foglia che l'inconscio non voglia (S.B.)
- davide0522
- Cisco fan
- Messaggi: 47
- Iscritto il: mer 31 mar , 2010 4:22 pm
Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
Il mio "subito" è stato scalzato da altre urgenze....
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
News?davide0522 ha scritto:Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
- davide0522
- Cisco fan
- Messaggi: 47
- Iscritto il: mer 31 mar , 2010 4:22 pm
Ciao, ecco, finalmente ho provato
La cosa funziona.
Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer
Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla
Ma ora ci lavoro un po
La cosa funziona.
Codice: Seleziona tutto
interface Ethernet0
ip address 88.88.88.1 255.255.255.248 secondary
ip address 10.0.0.100 255.255.255.0
ip nat inside
ip inspect myfw in
no cdp enable
hold-queue 100 out
Codice: Seleziona tutto
interface Dialer0
ip address negotiated
ip nat outside
ip flow ingress
encapsulation ppp
dialer pool 1
no cdp enable
no ppp chap wait
ppp pap sent-username xxx
no ppp pap wait
Codice: Seleziona tutto
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.32 3389 interface dialer0 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer
Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla
Ma ora ci lavoro un po
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ottimo.
Buona giornata
Paolo
Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)