Pagina 1 di 1
877W + PIX + TiscaliIP e overload
Inviato: lun 14 gen , 2008 12:32 pm
da sylehc
Salve a tutti, ho da poco riconfigurato il mio 877 per utilizzare i 14 ip pubblici fornitimi da Tiscali. Tolto il NAT overload sul router ho lasciato al PIX la gestione della traslazione degli indirizzi. La conversione degli indirizzi statici non e' un problema ma il PAT che uso sul PIX trasla gli indirizzi interni utilizzando l'interfaccia esterna del firewall. Vorrei configurare il Router/Firewall per utilizzare l'indirizzo (sempre statico ma appartenente ad un'altra subnet) che viene restituito al router dal PPoA (quello per intenderci che usavo in overload) poiche' viene utilizzato sull'internet per l'autenticazione della connessione (che non gestisco io e che quindi mi risulterebbe difficile da modificare).
Esiste un modo per far condividere il NAT overload con il NAT statico ?
Grazie
Inviato: lun 14 gen , 2008 12:54 pm
da andrewp
Uhm...vediamo se ho capito, togli l'indirizzo che ti serve dal pool di quelli che PATti in overload e dovresti aver risolto.
Inviato: lun 14 gen , 2008 1:11 pm
da sylehc
Andrea.Pezzotti ha scritto:Uhm...vediamo se ho capito, togli l'indirizzo che ti serve dal pool di quelli che PATti in overload e dovresti aver risolto.
Ciao Andrea e grazie per la risposta rapidissima, in realta' non ho un pool di indirizzi per il PAT ma solo un:
sul PIX.
Per capirci 217.133.100.100 e' l'indirizzo della Dialer0 del router 877 che usavo in overload e che mi viene assegnato dal provider (statico anche questo).
Il pool di indirizzi pubblici e' tipo 217.133.200.192/28 che in generale uso solo con il NAT statico.
217.133.200.193 e' l'indirizzo della VLAN1 dell'877 e 217.133.200.194 e' l'indirizzo del PIX collegato a quell'interfaccia. Quest'ultimo viene usato dalla global (di sopra) per il PAT.
L'indirizzo della Dialer0, dal momento che ho tolto l'overload sul router 877 in uscita (ed in entrata perche' lo fa il PIX), non so come poterlo continuare ad utilizzare per il PAT.
Grazie
Inviato: mer 16 gen , 2008 2:44 pm
da sylehc
Scusate se insisto ma sono abbastanza incasinato. Qualcuno sa come definire una qualche regola di nat per continuare ad usare l'indirizzo assegnato alla Dialer0 insieme ad un set di indirizzi pubblici ?
Ad esempio se:
217.133.100.100 e' l'indirizzo assegnato alla Dialer0
e
217.133.200.192/28 e' il range di IP pubblici
e' possibile configurare il router per usare con nat dinamico (pat) la Dialer0 e con quello statico il pool di ip pubblici ?
La mia configurazione e' questa.
Codice: Seleziona tutto
Cisco 877w Cisco877w PIX515E PIX515E
(internet)--- 217.133.100.100 --- 217.133.200.193 --- 217.133.200.194 --- 192.168.1.1
Dialer0 VLan1 outside inside
Il default gw del router e' la Dialer0.
Grazie.
Inviato: gio 17 gen , 2008 12:45 pm
da Wizard
Certo che si può...
Per il PAT (es):
ip nat insde source list 101 int dialer0 overload
Per il nat 1:1
ip nat inside source static udp 10.0.1.2 9654 88.87.75.9 9654
Inviato: gio 17 gen , 2008 7:36 pm
da sylehc
Ciao Wizard, il problema e' che io mi trovo dietro al PIX. Se l'IP da nattare con l'overload e' ad esempio il 192.168.1.20 come faccio a farlo passare dal PIX al Router (877) ? L'interfaccia outside del PIX (come ho disegnato su) ha gia' un indirizzo pubblico ed il nat e' fatto proprio sul pix.
Di seguito ti riporto la configurazione dell'877:
Codice: Seleziona tutto
interface Vlan1
description Back2Back Firewall
ip address 217.133.200.193 255.255.255.240
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
ppp ipcp dns request
ip route 0.0.0.0 0.0.0.0 Dialer0
ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit 217.133.200.192 0.0.0.16
Grazie.
Inviato: ven 18 gen , 2008 10:37 am
da Wizard
Provo a spiegare...
Fai un doppio nat:
nat statico 1:1 sul pix (es. 1.1.1.1 su 2.2.2.2*)
* 2.2.2.2 è nella stessa subnet della int outside del pix e inside del router
nat statico 1:1 sul pix (es. 1.1.1.2 su 2.2.2.3)
...
Sul router:
access-l 101 permit ip host 2.2.2.2 any
ip nat insde source list 101 int dialer0 overload
ip nat inside source static ip 2.2.2.3 88.87.75.9* extendable
* ip del pool di ip statici
Inviato: ven 18 gen , 2008 6:09 pm
da sylehc
Grazie Wizard, con il tuo aiuto ho risolto. Ho lasciato il NAT statico/dinamico sul PIX e l'indirizzo del PAT del PIX l'ho messo in overload sull'877 (spero di non aver fatto casino ma sembra che funzioni tutto).
Scusa l'ignoranza ma la access-list che usavo era la 1 che non prevedeva le opzioni della 101 che mi hai postato tu.
Eliminando la 1 e mettendo la 101 ha funzionato tutto alla perfezione.
Grazie.
Inviato: lun 21 gen , 2008 11:09 am
da Wizard
Ottimo!
In efftti la acl "1" è di tipo standard mente la "101" è estesa!