Gestione IP Fisso

[lephio]

Prima di tutto, ciao a tutto il forum! Eccomi qua al mio primo post. Vorrei cercare di migliorare un pò l'efficienza del mio mitico Cisco 827 (pagato ben 850.000 lire!!!) che da anni funziona egregiamente, ma che da altrettanti anni non è sfruttato al meglio

Veniamo al dunque.

Attualmente con la mia adsl ho a disposizione due ip fissi e uno dinamico. Quello dinamico viene assegnato automaticamente a Dialer0, mentre quelli fissi li ho assegnati come indirizzi secondari di Ethernet0.

Mi rendo conto che la cosa non è molto pulita, ma almeno ai tempi aveva funzionato alla prima!

Il router fa un classicissimo NAT su 192.168.1.0. Inoltre gira la porta 80 dell'ip fisso su un server interno.

Il problema è che con questa configurazione, quando voglio raggiungere il server sull'ip fisso (pubblico) dalla lan, mi viene dato un bel due di picche. Nonostante questo riesco a pingarlo senza problemi.

Mi sapete quindi indicare come configurare il router affinchè dalla rete interna si possa raggiungere il server attraverso l'ip pubblico? ovviamente mantenendo il server dietro al nat.

Spero di essermi spiegato.
Grazie in anticipo!

Posto qui i punti salienti della conf:

Codice: Seleziona tutto

Current configuration : 4329 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname melee
!
boot-start-marker
boot-end-marker
!
enable secret 5 ...................
!
username router secret 5 ......................
no aaa new-model
ip subnet-zero
ip domain name ngi.it.
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip dhcp excluded-address 192.168.1.1 192.168.1.29
!
ip dhcp pool LOCAL
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 88.149.128.12 88.149.128.22
   lease 30
!
ip dhcp pool WEBSERVER
   host 192.168.1.11 255.255.255.0
   hardware-address 000b.4e7a.3a72
   default-router 192.168.1.1
   dns-server 88.149.128.12 88.149.128.22
!
!
!
!
interface Ethernet0
 ip address xxx.xxx.xxx.xxx 255.255.255.252 secondary
 ip address yyy.yyy.yyy.yyy 255.255.255.252 secondary
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no logging event link-status
 hold-queue 100 out
!
interface ATM0
 no ip address
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5snap
  protocol ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
 hold-queue 224 in
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp pap sent-username .... password 0 .....
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.11 80 xxx.xxx.xxx.xxx 80 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
!
line con 0
 transport preferred all
 transport output all
 stopbits 1
line vty 0 4
 access-class 10 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end

[Wizard]

Il problema è che con questa configurazione, quando voglio raggiungere il server sull'ip fisso (pubblico) dalla lan, mi viene dato un bel due di picche. Nonostante questo riesco a pingarlo senza problemi.

Mi sapete quindi indicare come configurare il router affinchè dalla rete interna si possa raggiungere il server attraverso l'ip pubblico? ovviamente mantenendo il server dietro al nat.

Ma che ti serve?
I server interni contattali sul ip privato non pubblico dalla lan

[lephio]

perchè su quelle macchine ci sono dei siti pubblici. quindi gli utonti della rete interna non possono consultarli "cliccando vu vu vu punto sito punto it"

e non posso modificare gli lmhosts di windows (o come si chiamano non mi ricordo mai) di ogni macchina! ho bisogno di una soluzione centralizzata (anche perchè magari, come è già successo, mi cambiano gli ip pubblici..) quindi pensavo ad una config scritta meglio, visto che qualcuno mi aveva fatto notare l'utilizzo "poco pulito" degli ip pubblici come secondary di eth0

[Wizard]

Alla eth dai solo ip interno
Per i 2 ip pubblici crea 2 loopback

[lephio]

ho spostato gli ip pubblici sulle loopback, ma credo che mi manchi qualche altra regola da definire perchè il problema non è risolto.

ho pensato quindi che in qualche modo bisognerà traslare dall'eth0 a lo0. ho quindi "mutuato" le regole del Dia0 su Lo0 in questo modo:

Codice: Seleziona tutto

interface Loopback0
 ip address xxx.xxx.xxx.xxz 255.255.255.255
 ip nat outside
!
interface Loopback1
 ip address xxx.xxx.xxx.xxy 255.255.255.255
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no logging event link-status
 hold-queue 100 out
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp pap [..]
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list 102 interface Loopback0 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
logging trap debugging
logging facility local2
logging 192.168.1.11
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
snmp-server community cisco RO 10
snmp-server enable traps tty

Se però provo dalla rete locale ad accedere ad un servizio su xxx.xxx.xxx.xxz, non ci riesco. (pingare pinga sempre..)

Dove sbaglio?

edit: dimenticavo di dire che dalla lan vorrei uscire su internet con l'ip dinamico assegnato a Dia0 e non con l'ip pubblico statico.

[Wizard]

Togli il nat outside dalla loopback e lascialo sulla dialer.
Prova a fare il pat su un indirizzo statico (della stessa subnet dove sono i server pubblicati) e prova così...
Se nn va così puoi provare a configurare un "nat outside"

[orion]

perchè su quelle macchine ci sono dei siti pubblici. quindi gli utonti della rete interna non possono consultarli "cliccando vu vu vu punto sito punto it"

e non posso modificare gli lmhosts di windows (o come si chiamano non mi ricordo mai) di ogni macchina! ho bisogno di una soluzione centralizzata (anche perchè magari, come è già successo, mi cambiano gli ip pubblici..) quindi pensavo ad una config scritta meglio, visto che qualcuno mi aveva fatto notare l'utilizzo "poco pulito" degli ip pubblici come secondary di eth0

ciao,
anche io ho il tuo problema, al momento unica soluzione che ho trovato è quella di sfruttare il dns server interno alla rete per mappare il "vu vu vu punto ...." con l'indirizzo IP locale del server in questione.

[lephio]

eh già.. è solo che dover mettere su una macchina per il dns mi pareva eccessivo. non ci sono IOS con un dns interno?

ps. bell'avatar. il mitico orion.. se non sbaglio era il primo a viaggiare a 1/1000 di secondo.. o qualcosa del genere.. eheh..

[orion]

eh già.. è solo che dover mettere su una macchina per il dns mi pareva eccessivo. non ci sono IOS con un dns interno?

beh, giocavo in casa, il DNS server era già installato e funzionante, ho solo aggiunto una linea.
Se hai un numero di PC ridotto (3 o 4 max) modifica i file locali di windows: C:\WINDOWS\system32\drivers\etc\hosts (o di linux: /etc/hosts). Non ti so dire se ci sono IOS con DNS. Prova col features navigator sul sito cisco

ps. bell'avatar. il mitico orion.. se non sbaglio era il primo a viaggiare a 1/1000 di secondo.. o qualcosa del genere.. eheh..

si, I° cavaliere di Asgard!