CISCO 837 e NAT.... SONO ALLA FRUTTA!!!!

[exdd]

Gente... ho bisogno di una mano!!!
Ecco la storia: ho un Cisco 837 con 32RAM 12Flash e dopo 3 anni di onorato servizio con IOS 12.2(13)ZH2 e con questa configurazione "scarsa" fatta con il CRWS:

Codice: Seleziona tutto

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname RouterEutelia
!
logging queue-limit 100
logging buffered 4096 informational
no logging console
enable secret 5 $1$VdP/$YVsnoaJ2.l6PFQWHe03XS/
!
username RouterEutelia password 7 xxxxxxxxxxxxxxxxxxxx
username CRWS_Santhosh privilege 15 password 7 08651D0A3E48033656045D0B190E34296264744556445054000D
ip subnet-zero
ip name-server 62.94.0.1
ip name-server 62.94.0.2
ip dhcp excluded-address 192.168.0.106
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this:192.168.0.254-255.255.255.0
 ip address 192.168.0.254 255.255.255.0 secondary
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 13014E1D1E0600252E33
 ppp pap sent-username [email protected] password 7 xxxxxxxxxxxxxxxxxx
 hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.106 4711 interface Dialer1 4711
ip nat inside source static tcp 192.168.0.106 7161 interface Dialer1 7161
ip nat inside source static udp 192.168.0.106 11291 interface Dialer1 11291
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit udp any any eq 11291
access-list 111 permit tcp any any eq 7161
access-list 111 permit tcp any any eq 4711
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
 transport input all
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
!
end

ho deciso di aggiornare l'IOS in vista di attivare una VPN e di creare una configurazione un po' più "decente"!!!

Ho preso l'IOS 12.3.(4)T4... di più non posso mettere visto i soli 32 MB di RAM (sto cercando una espansione per portarlo almeno a 48 MB... ma per il momento non ce l'ho!!) e tramite quello che un poco conoscevo, questo forum, ed un aiuto dal SDM (che poi non è così schifo schifo...) ho tirato giù questa configurazione:

Codice: Seleziona tutto

!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname RouterEutelia
!
boot-start-marker
boot-end-marker
!
logging buffered informational
no logging console
enable secret 5 $1$VdP/$YVsnoaJ2.l6PFQWHe03XS/
!
username RouterAdmin privilege 15 secret 5 $1$haXx$kV83i5XgMWToOC5B3MJfC0
username RouterEutelia secret 5 $1$2quG$aAtYZRjo6Bv9ikmkuT.3o/
no aaa new-model
ip subnet-zero
ip domain name stingamb.it
ip name-server 62.94.0.1
ip name-server 62.94.0.2
!
!
!
ip inspect name FW-OUT tcp
ip inspect name FW-OUT udp
ip audit notify log
ip audit po max-events 100
ip ssh break-string 
no ftp-server write-enable
!
!
! 
no crypto isakmp enable
!
!
!
!
interface Ethernet0
 description Interfaccia LAN$ETH-LAN$
 ip address 192.168.0.254 255.255.255.0
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip flow ingress
 ip inspect FW-OUT in
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 description Interfaccia WAN
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address xx.xxx.xx.xxx 255.255.255.248
 ip access-group 131 in
 ip nat outside
 ip flow ingress
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname [email protected]
 ppp chap password 7 xxxxxxxxxxxxxxxxxx
 ppp pap sent-username [email protected] password 7 xxxxxxxxxxxxxxxx
 hold-queue 224 in
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static udp 192.168.0.106 11291 interface Dialer1 11291
ip nat inside source static tcp 192.168.0.106 4711 interface Dialer1 4711
ip nat inside source static tcp 192.168.0.106 7161 interface Dialer1 7161
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip http access-class 2
ip http secure-server
!
!
logging 192.168.0.105
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark *** ACCESSO GESTIONE SERVER ROUTER HTTP ***
access-list 2 remark SDM_ACL Category=1
access-list 2 remark *** Permesso accesso server HTTP access-list # ***
access-list 2 permit 192.168.0.0 0.0.0.255
access-list 100 remark *** ACCESSO GESTIONE ETH0 ***
access-list 100 remark SDM_ACL Category=1
access-list 100 remark *** Acesso gestione Telnet ***
access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.254 eq telnet
access-list 100 remark *** Accesso gestione SSH ***
access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.254 eq 22
access-list 100 remark *** Accesso gestione HTTP ***
access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.254 eq www
access-list 100 remark *** Accesso gestione SHTTP ***
access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.254 eq 443
access-list 100 remark *** Accesso gestione RCP ***
access-list 100 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.254 eq cmd
access-list 100 remark *** Nega altri IP accesso gestione Telnet ***
access-list 100 deny   tcp any host 192.168.0.254 eq telnet
access-list 100 remark *** Nega altri IP accesso gestione SSH ***
access-list 100 deny   tcp any host 192.168.0.254 eq 22
access-list 100 remark *** Nega altri IP accesso gestione HTTP ***
access-list 100 deny   tcp any host 192.168.0.254 eq www
access-list 100 remark *** Nega altri IP accesso gestione SHTTP ***
access-list 100 deny   tcp any host 192.168.0.254 eq 443
access-list 100 remark *** Nega altri IP accesso gestione RCP ***
access-list 100 deny   tcp any host 192.168.0.254 eq cmd
access-list 100 remark *** Nega altri IP accesso gestione SNMP ***
access-list 100 deny   udp any host 192.168.0.254 eq snmp
access-list 100 remark *** Permesso transito IP ***
access-list 100 permit ip any any
access-list 101 remark *** ACCESSO LINEE VTY ***
access-list 101 remark SDM_ACL Category=1
access-list 101 remark *** Permette accesso linee VTY ***
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 131 remark *** PERMESSI EMULE ***
access-list 131 permit udp any any eq 11291
access-list 131 permit tcp any any eq 7161
access-list 131 permit tcp any any eq 4711
access-list 131 remark *** ACL ANTI-SPOOFING *** 
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP *** 
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark *** ACL PER BLOCCARE WORM *** 
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 8888
access-list 131 deny   tcp any any eq 8594
access-list 131 deny   tcp any any eq 8563
access-list 131 deny   tcp any any eq 7778
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI *** 
access-list 131 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 access-class 101 in
 exec-timeout 120 0
 privilege level 15
 login local
 length 0
 transport preferred all
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
sntp server 193.204.114.233
sntp server 192.53.103.104
sntp server 193.204.114.232
!
end

Qual'è il problema????
Non mi si vuole aprire nessuna porta neanche sbattendoci contro!!!

Ho provato con quelle di emule (le più banali del mondo!!), provando anche a cambiare quelle di default (non si sa' mai...), ma non c'è niente da fare non si vogliono aprire... ma proprio per niente... nel senso non che ricevo un ID basso... neache mi accettano la connessione i server!!!!

Visto che non riesco ad aprire queste porte.. sto già cominciando a piangere al pensiero della VPN!!!!

Non è che un anima buona e gentile mi dà un occhio alla configurazione e mi spiega l'arcano??? che c'è che non funziona???

... Ahhh... questa configurazione deriva da una progressiva implementazione che parte da quella vecchia.. il comportamento delle due è del tutto identico per quanto riguarda l'apertura delle porte!!!
La porta 11291 è la upd 4672 reindirizzata, mentre la la 7161 è la 4662 a sua volta reindirizzata (naturalmente anche su emule!!).

Grazie a tutti quelli che avranno la pazienza di leggere e... magari di darmi una mano!!!

[andrewp]

Sicuro che sul tuo pc hai "192.168.0.106"?! Firewall, o altre cose?!

[exdd]

Sicurissimo!!! Non ho toccato l'Ip del 192.168.0.106 e non c'è nessun firewall sopra (tra l'altro ha un win2000!!)!!! per sicurezza l'ho anche appena pingato.. ed è proprio lui!!! e fino a venerdì... prima della malsana idea... con IOS 12.2 funzionava tutto!!!

[andrewp]

Mi pare strano che un IOS, a meno di bug, si comporti così...

E poi mi pare strano questo:

ip nat inside source list 1 interface Dialer1 overload

[exdd]

Ti pare strano???
Io ho seguito i consigli dati da [Dj][DMX] su di un altro 3D:

Per il resto in linea di massima è giusto ciò che ti ha detto circoloco, a parte:

ip nat inside source list 9 interface Dialer0 overload

correggi in

ip nat inside source list 1 interface Dialer0 overload

e si è dimenticato:

access-list 1 permit 192.168.1.0 0.0.0.255

Per il resto dovrebbe andare tutto ok.

Ho seguito questo consiglio!!!

Tu che avresti messo???

[exdd]

E poi... dai grafici di SDM, è un oretta che l'interfaccia Dialer1 ha un occupazione di banda del 100%, mentre la Eth0 è 0,4 - 0,5!!!

[[Dj][DMX]]

Allora, diciamo che è quasi tutto giusto, a parte un paio di """cosette""" e che è un gran casino!
L'errore è che stai applicando l'acl sulla ethernet in direzione IN, e cioè dalla tua rete verso il mondo esterno (per parlare chiaro), mentre andrebbe applicata in direzione OUT!

Quindi cambia

ip access-group 100 in

IN

ip access-group 100 out

Dopodichè il casino enorme sta proprio nelle acl:
non puoi scriverle facendo copia incolla da qualche parte, le acl sono una cosa personale, è come se delegassi te a prendermi le sigarette!
Nell'acl 131 che applichi in entrata sul dialer (che diciamo essere il tuo preservativo verso il mondo esterno) non puoi negare metà del protocollo tcp e udp (si fa per dire naturalmente) e poi infondo negare tutto, io fossi nel tuo router mi spegnerei per protesta!
DI SOLITO si creano 2 acl, una da applicare sull'interfaccia """di frontiera""" che nel tuo caso è il dialer, dove si nega tutto ciò che sicuramente non si vuole entri, e tutto il resto si permette, e un'altra acl da applicare sulla ethernet dove fai la selezione vera e propria, anche a seconda dei reali bisogni dei pc.

In conclusione di tutto ciò ti do dei consigli:

1)Procurati ram e aggiorna l'IOS, anche perchè appesantire un router con quella dotazione anche con l'ip inspect mi sembra un po' eccessivo!
2)Leggiti un po' di guide sulle acl e scrivile a mano.
3)Se ti è possibile lascia stare SDM, anche se non fa poi così schifo!

[exdd]

Ok...

andiamo per ordine:
1) l'ACL 100 è stata generata dal SDM per la "protezione dell'accesso di gestione del router" dalla rete interna, infatti 192.168.0.254 è l'IP del router e viene consentito ai pacchetti che hanno l'intestazione 192.168.x.x di accedere alle porte di gestione del ruoter stesso 22(SSH), 23(Telnet), 80(HTTP), 443(SHTTP) e 514(RCP), mentre viene negato l'accesso alle stesse porte dai pacchetti che non hanno l'intestazione della rete interna.
Mi sembra corretto che il SDM abbia applicato l'access-list in ingresso all'interfaccia interna eth0. Perchè dovrebbe metterla in OUT?
Eventualmente mi viene il dubbio: ma l'indirizzo stesso del router viene considerato come un qualsiasi host, e quindi ininfluente alla gestione del traffico? (spero che SI!!)
Voglio dire, scrivere:
access-list 100 deny tcp any host 192.168.0.254 eq 23
sarebbe stato come scrivere:
access-list 100 deny tcp any any eq 23
visto che 192.168.0.254 è il router stesso e quindi la regola impedirebbe ai pacchetti tcp di entrare nel router (e poi eventualmente uscire verso altre destinazioni)???? (Spero che NO!!!)

2) non sto facendo un copia ed incolla a casaccio, se hai letto bene il mio post iniziale ho detto che sono partito dalla configurazione che avevo prima con lo IOS 12.2 e poi, a seguito di varie prove (e ti giuro che ne ho fatte veramente tante!! non ultima quella di spianare completamente la configurazione e di riscriverla da 0!!) sono arrivato a quella che ho riportato per seconda, prendendo spunto da quello che ho trovato in questo e da altri forum e da molteplici siti (compreso quello della Cisco) per tutta la rete!!! L'ACL 131 l'ho ripresa da una configurazione che ha scritto Wizard in un altro post, ritendola "sicura", ma che ho ritrovato simile anche sul GARR.

3) non so che rapporto hai tu con le sigarette... ma io non mi sono mai peritato a chiedere a qualcuno di prendermi le sigarette, ne ho mai negato a qualcuno che me lo chiedesse di comprargliele!!!

4) hai perfettamente ragione sul discorso che la ACL 131 alla fine nega tutto (ma c'è chi dice che così dovrebbe sempre essere!!!). Ma allora com'è che che riesco a scrivere questo post??? La porta 80 dovrebbe essere chiusa in ingresso al Dialer1 e quindi questa pagina web manco la dovrei vedere!!! Da quel che ho capito è proprio la ip inspect che permette che ciò avvenga (cioè che riesco a navigare!!)

5) la ram la sto cercando... non voglio spendere i 200 e passa Euro che vuole Cisco per 16 miseri MB. Anche perchè farei prima a comprare un Router nuovo!!! Ma sembra che almeno in Italia quel tipo di ram non la venda nessuno e Kingston non l'ha più nel suo catalogo!!

6) sto leggendo.. sto leggendo... e sto scrivendo.. sto scrivendo!!!

7) continuo a pensare che SDM non fa proprio schifo!!!

mi sta venedo il dubbio che lo IOS che ho messo abbia dei problemi!!!

Un saluto ed un ringraziamento.. per adesso!!!

[exdd]

E poi mi pare strano questo:

ip nat inside source list 1 interface Dialer1 overload

Scusa se rompo Andrea...
ma non ho capito questo tuo commento!!! cosa c'è che ti pare strano???

[exdd]

AGGIORNAMENTO!!

Allora... sono tornato indietro... ambedue le configurazione che ho postato con IOS 12.2(13)ZH2 funzionano perfettamentementre (nel senso che mi aprono le porte!!) se invece le faccio eseguire con IOS 12.3.(4)T4 nessuna delle due ne vuol sapere di nattare alcuna porta!!!

Vi risulta che vi siano incompatibilità su versioni successive dell'IOS???