CiscoForums.it

Inviato: **dom 03 feb , 2008 6:01 pm**

Ciao ragazzi!
Finalmente devo fare una configurazione semi seria per un'azienda di un amico e così eccomi quà a chiedervi consiglio...oppure un po' di consigli...!
Si tratta di un Cisco 2610 con 16 mb di flash e 64 mb di ram e 1 wic 1adsl.
Ufficialmente l'IOS più aggiornato disponibile sarebbe una 12.3 (io disporrei della C2600-ik9o3s3-mz.123-3a.bin) ma si può pacificamente caricare una 12.4 o addirittura una 12.4T che sarebbero per 2610XM, ma girano tranquillamente pur avendo qualche accorgimento per l'utilizzo della ram perchè questi IOS necessiterebbero di 128 mb.
Detto questo, se concordate, monterei la c2600-advsecurityk9-mz.124-2.T1.bin
oppure la
c2600-advsecurityk9-mz.124-17.bin

Le necessità che ho sono:
- supporto della wic adsl (e sono tutte e tre ok);
- la possibilità di realizzare una connessione remota da casa al router in modo da poterlo configurare;
- realizzare una VPN con casa sua dove ha un soho 77 con ip dinamico

La linea in questione è una ALICE BUSINESS 20M ADAPTIVE 40F con 8 IP statici.
Spero proprio che essendo una adsl 2+ vada semplicemente ad 8 mbits con la wic 1adsl, senza causare problemi.
Vi posto intanto la mia bozza di configurazione attuale:

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxxxxxx
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
no ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect tcp synwait-time 20
ip inspect name fw ftp
ip inspect name fw appleqtc
ip inspect name fw netshow
ip inspect name fw realaudio
ip inspect name fw icmp
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
no ip bootp server
ip domain name xxxxxxx
!
!
!
!
!
! 
!
!
!
interface ATM0/0
 description ***ALICE ADSL 20 Mbits***
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0.1 point-to-point
 description ***INTERFACCIA POINT-TO-POINT***
 ip address 88.60.xxx.xx 255.255.255.xxx
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect fw out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35 
  encapsulation aal5snap
 !
!
interface Ethernet0/0
 ip address dhcp
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 full-duplex
 hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
!
no ip http server
no ip http secure-server
!
!
!
control-plane
!
!
!
!
line con 0
 speed 115200
line aux 0
line vty 0 4
 login
!
!
end

Partiamo con un paio di quesiti:

1) La Telecom ci ha fornito un pool di appunto 8 IP da poter utilizzare, supponiamo da xxx.xxx.xxx.001 a xxx.xxx.xxx.008 e mask 255.255.255.248
Mi consigliate di utilizzare 1 di essi per la ethernet e altri 7 per i vari pc, oppure (cosa che mi sembrerebbe più logica) 1 per la ethernet, alla quale assegnare anche un indirizzo secondario della classe 192.168.0.x, 1 al server interno (che in futuro farà da server http ed ftp) e gli altri pc nattarli tutti su di un terzo indirizzo pubblico?
Ed inoltre a cosa servirebbe il default gateway da loro indicato che fa parte di questo pool di 8 indirizzi?

2) Ci è stato anche fornito un indirizzo ip per la punto punto che ho già assegnato all'atm 0/0.1 point-to-point, ma la mask indicata dalla telecom non è valida (255.255.255.255), questo perchè bisogna utilizzare la .252 immagino?!?

3) Secondo voi è il caso di appesantire il router con un IP inspect TCP e/o UDP oppure è meglio configurare semplicemente delle ACL? Perchè se avessi ram libera non avrei dubbi, ma così....?!?

Grazie 1000

Inviato: **mar 05 feb , 2008 2:50 pm**

Ok, ho provato ad andare un po' avanti.
Vediamo se ho fatto giusto:
loro mi hanno assegnato come pool di indirizzi ip
88.xxx.xxx.224 <...> 88.xxx.xxx.231
con mask 255.255.255.248
e default gateway 88.xxx.xxx.225

inoltre mi hanno assegnato come indirizzo ip point-to-point
88.yyy.yyy.41
e mask
255.255.255.255

Ora, se ho capito qualcosa, l'indirizzo ip della point-to-point è da assegnare appunto all'ATM point-to-point ma con mask 255.255.255.252
Ho assegnato alla ethernet un indirizzo ip privato 192.168.0.1 perchè ho scelto di nattare tutti i pc su di un solo indirizzo ip pubblico assegnato, almeno per ora!
Ho scritto la regola di nat in modo da utilizzare il secondo indirizzo ip disponibile (da loro definito default gateway) che è anche logico visto che il primo è l'indirizzo di network e l'ultimo di broadcast, giusto?
Con la seguente configurazione il router dovrebbe connettersi ed essere raggiungbile dall'esterno sull'ip 88.xxx.xxx.225 vero?

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
!
no aaa new-model
!
resource policy
!
no ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect tcp synwait-time 20
ip inspect name fw ftp
ip inspect name fw appleqtc
ip inspect name fw netshow
ip inspect name fw realaudio
ip inspect name fw icmp
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool UFFICIO
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1 
   dns-server 151.99.125.1 151.99.125.2 
   lease infinite
!
!
no ip ips deny-action ips-interface
no ip bootp server
ip domain name xxx
ip name-server 151.99.125.1
ip name-server 151.99.125.2
!
!
!
!
!
! 
!
!
!
interface ATM0/0
 description ***ALICE ADSL 20 Mbits***
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0.1 point-to-point
 description ***INTERFACCIA POINT-TO-POINT***
 ip address 88.yyy.yyyy.41 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect fw out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35 
  encapsulation aal5snap
 !
!
interface Ethernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 full-duplex
 hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
!
no ip http server
no ip http secure-server
ip nat translation timeout 500
ip nat translation tcp-timeout 250
ip nat translation udp-timeout 150
ip nat pool NET 88.xxx.xxx.225 88.xxx.xxx.225 netmask 255.255.255.248
ip nat inside source list 100 pool NET overload
!
access-list 100 remark **********ACL PER NAT**********
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
!
!
!
line con 0
 speed 115200
line aux 0
line vty 0 4
 login
!
!
end

E i dns sono quelli giusti per alice business?

Grazie 1000

Inviato: **mar 05 feb , 2008 5:41 pm**

Si, i dns vanno bene!
Che problemi hai ora?

1) La Telecom ci ha fornito un pool di appunto 8 IP da poter utilizzare, supponiamo da xxx.xxx.xxx.001 a xxx.xxx.xxx.008 e mask 255.255.255.248
Mi consigliate di utilizzare 1 di essi per la ethernet e altri 7 per i vari pc, oppure (cosa che mi sembrerebbe più logica) 1 per la ethernet, alla quale assegnare anche un indirizzo secondario della classe 192.168.0.x, 1 al server interno (che in futuro farà da server http ed ftp) e gli altri pc nattarli tutti su di un terzo indirizzo pubblico?
Ed inoltre a cosa servirebbe il default gateway da loro indicato che fa parte di questo pool di 8 indirizzi?

2) Ci è stato anche fornito un indirizzo ip per la punto punto che ho già assegnato all'atm 0/0.1 point-to-point, ma la mask indicata dalla telecom non è valida (255.255.255.255), questo perchè bisogna utilizzare la .252 immagino?!?

3) Secondo voi è il caso di appesantire il router con un IP inspect TCP e/o UDP oppure è meglio configurare semplicemente delle ACL? Perchè se avessi ram libera non avrei dubbi, ma così....?!?

Risp. 1) Alla eth dai solo ip interno. Un ip usabile lo dai alla int loopback0 e lo usi anche x il nat

Risp. 2) Come maschera dovrebbe essere una /30 ma anche una /24

Risp. 3) Prova a configurarlo ip inspect

Inviato: **mar 05 feb , 2008 11:47 pm**

Ok, come da te indicato è stato necessario assegnare l'indirizzo ip alla loopback e così è andato tutto!
I dns purtroppo non sono corretti e per ora ho messo il 212.216.112.112 che funziona.
La configurazione aggiornata è:

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
!
no aaa new-model
!
resource policy
!
no ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect tcp synwait-time 20
ip inspect name fw ftp
ip inspect name fw appleqtc
ip inspect name fw netshow
ip inspect name fw realaudio
ip inspect name fw icmp
ip inspect name fw tcp
ip inspect name fw udp
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.100
ip dhcp excluded-address 192.168.0.250
!
ip dhcp pool UFFICIO
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1 
   dns-server 212.216.112.112
   lease infinite
!
!
no ip ips deny-action ips-interface
no ip bootp server
ip domain name xxx
ip name-server 212.216.112.112
!
!
!
!
!
! 
!
!
!
interface Loopback0
 ip address 88.xxx.xxx.225 255.255.255.255
!
interface ATM0/0
 description ***ALICE ADSL 20 Mbits***
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0.1 point-to-point
 description ***INTERFACCIA POINT-TO-POINT***
 ip address 88.yyy.yyy.41 255.255.255.252
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect fw out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35 
  encapsulation aal5snap
 !
!
interface Ethernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 full-duplex
 hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
!
no ip http server
no ip http secure-server
ip nat translation timeout 500
ip nat translation tcp-timeout 250
ip nat translation udp-timeout 150
ip nat pool NET 88.xxx.xxx.225 88.xxx.xxx.225 netmask 255.255.255.248
ip nat inside source list 100 pool NET overload
!
access-list 100 remark **********ACL PER NAT**********
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark **********ACL PER TRAFFICO IN ENTRATA**********
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 192.0.2.0 0.0.0.255 any
access-list 101 deny   ip 224.0.0.0 0.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any administratively-prohibited
access-list 101 deny   icmp any any
no cdp run
!
!
control-plane
!
!
!
!
line con 0
 speed 115200
line aux 0
line vty 0 4
 login
!
!
end

Ora i problemi sono:
1)uno show dsl int atm 0/0 restituisce una velocità negoziata di download di 9300 kbits, ma i download non superano i 200 kb/s, avete idea del perchè?
2)avrei la necessità di procedere con l'installazione del router in azienda, e quindi di continuare la configurazione da remoto; fermo restando che continuerò a cercare spunti sul forum, avete consigli su come realizzare la cosa?

Grazie

Inviato: **mer 06 feb , 2008 2:36 pm**

1)uno show dsl int atm 0/0 restituisce una velocità negoziata di download di 9300 kbits, ma i download non superano i 200 kb/s, avete idea del perchè?

2)avrei la necessità di procedere con l'installazione del router in azienda, e quindi di continuare la configurazione da remoto; fermo restando che continuerò a cercare spunti sul forum, avete consigli su come realizzare la cosa?

Risp 1) Inatanto apri una chiamata in Telecom

Risp 2) Per le connessioni da remoto le soluzioni sono un tot:

a) configuri ssh, pass seria e accesso in ssh da any
b) configuri ssh e telnet , pass seria e accesso in ssh e telnet da un ip pubblico statico
c) configuri una vpn client

Inviato: **mer 06 feb , 2008 6:32 pm**

I DNS dovrebbero essere 151.99.0.100 e 151.99.125.2... almeno sulla mia linea è così...

Inviato: **mer 06 feb , 2008 8:46 pm**

Grazie per i dns, li proverò!E aprirò una chiamata in Telecom per il discorso della velocità.
Per quanto riguarda l'assistenza remota girovagando sul forum avevo intuito queste possibili soluzioni, e sinceramente avevo promosso quella della vpn, che se non ho capito male consiste nel far fare da easy vpn client al cisco e poi ad utilizzare un programmino sul pc remoto per aprire il tunnel, oppure usare l'utility di winzozz, soluzione che non mi ispira molto!
Ma tra il dire e il fare c'è di mezzo il mare...
Per il discorso vpn ho aperto un post a parte, quindi preferisco continuarlo la, perciò quà parliamo delle altre soluzioni:

1)Ssh...non ne so nulla quindi mi rimetto alla clemenza di chi volesse illuminarmi
2)Telnet: con questo metodo mi pare di aver capito che mi sarebbe sufficiente aggiungere una regola alle acl in entrata del tipo "permit tcp [IP DAL QUALE FARO' ASSISTENZA REMOTA] 192.168.0.1 eq telnet"
Però non mi sembra la soluzione più sicura!

Approfitto per aggiungere una domanda: l'ip inspect lo devo applicare sull'interfaccia sul quale deve stare in ascolto per il traffico in uscita e non per quello in entrata giusto?Perciò è la atm0/0.1 point-to-point oppure la loopback0?

Grazie a tutti

Inviato: **gio 07 feb , 2008 5:45 pm**

Ad oggi la configurazione è questa:

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
!
no aaa new-model
!
resource policy
!
no ip subnet-zero
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect tcp synwait-time 20
ip inspect name fw ftp
ip inspect name fw appleqtc
ip inspect name fw netshow
ip inspect name fw realaudio
ip inspect name fw icmp
ip inspect name fw tcp
ip inspect name fw udp
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.100
ip dhcp excluded-address 192.168.0.250
!
ip dhcp pool UFFICIO
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1 
   dns-server 151.99.0.100 151.99.125.2 
   lease infinite
!
!
no ip ips deny-action ips-interface
no ip bootp server
ip domain name xxx
ip name-server 151.99.0.100
ip name-server 151.99.125.2
!
!
!
!
!
! 
!
!
!
interface Loopback0
 ip address 88.xxx.xxx.225 255.255.255.255
!
interface ATM0/0
 description ***ALICE ADSL 20 Mbits***
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0.1 point-to-point
 description ***INTERFACCIA POINT-TO-POINT***
 ip address 88.yyy.yyy.41 255.255.255.252
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect fw out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35 
  encapsulation aal5snap
 !
!
interface Ethernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 2008 out
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 full-duplex
 hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
!
no ip http server
no ip http secure-server
ip nat translation timeout 500
ip nat translation tcp-timeout 250
ip nat translation udp-timeout 150
ip nat translation finrst-timeout 50
ip nat translation syn-timeout 20
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 100
ip nat pool NET 88.xxx.xxx.225 88.xxx.xxx.225 netmask 255.255.255.248
ip nat inside source list 100 pool NET overload
!
access-list 100 remark **********ACL PER NAT**********
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark **********ACL PER TRAFFICO IN ENTRATA**********
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 192.0.2.0 0.0.0.255 any
access-list 101 deny   ip 224.0.0.0 0.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 permit tcp any any eq telnet
access-list 101 deny   tcp any any lt 1024
access-list 101 deny   udp any any lt 1024
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any administratively-prohibited
access-list 101 deny   icmp any any
access-list 101 deny   udp any any eq netbios-dgm
access-list 101 deny   udp any any eq netbios-ns
access-list 101 deny   udp any any eq netbios-ss
access-list 101 permit ip any any
access-list 2008 remark ******ACL PER TRAFFICO IN ENTRATA SULLA ETHERNET******
access-list 2008 permit udp any eq domain any
access-list 2008 permit tcp any any established
access-list 2008 permit icmp any any
access-list 2008 deny   ip any any
no cdp run
!
!
control-plane
!
!
!
!
line con 0
 stopbits 1
 speed 115200
line aux 0
line vty 0 4
 password 7 xxx
 login
!
!
end

Ma sono sicuro ci sia ancora molto da fare!

Inviato: **gio 07 feb , 2008 5:47 pm**

Approfitto per aggiungere una domanda: l'ip inspect lo devo applicare sull'interfaccia sul quale deve stare in ascolto per il traffico in uscita e non per quello in entrata giusto?Perciò è la atm0/0.1 point-to-point oppure la loopback0?

Impostalo sulla atm0.1 in uscita.
Se dovrai pubblicare dei servizi sarà meglio che abiliti l'ip inspect anche in entrata...

Inviato: **gio 07 feb , 2008 5:53 pm**

Grazie!
E per il discorso ssh?
Come puoi vedere per ora ho semplicemente permesso il traffico telnet in entrata con una riga nell'acl, ma temo che così il segnale passi in chiaro vero?

Inviato: **sab 09 feb , 2008 9:28 pm**

Si, il protocollo telnet è in chiaro e quindi le password girano in chiaro...
Per ssh devi configurare la parte server sul router e aggiungere una alc per il traffico verso la porta 22 tcp

Inviato: **dom 10 feb , 2008 2:56 pm**

Un esempietto...?!?

Inviato: **dom 10 feb , 2008 8:35 pm**

X la acl è semplicemente così:

access-list 101 permit tcp any any eq telnet

Per la line vty 04

line vty 0 4
transport input telnet ssh

Inviato: **lun 11 feb , 2008 10:49 am**

Per abilitre ssh server:

Codice: Seleziona tutto

hostname ***
ip domain name cisco.com
crypto key generate rsa
ip ssh logging events
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3

CiscoForums.it

Configurazione completa Cisco 2610 (ndr. consigli ?)

Configurazione completa Cisco 2610 (ndr. consigli ?)

Vediamo se ho capito...