1721 con IP dinamico e server FTP interno

[henrysea]

Ciao a tutti, finalmente ho scoperto una cosa che mi interessava e faccio i complimenti ai tecnici del forum. Ho cercato in vari punti la risoluzione al mio problema ma non riesco ancora a capire qualcosa. Ho un cisco 1721 (anche se adesso navigo perfettamente con un commercialissimo Hamlet da 60 Euri che fa benissimo il suo lavoro) ma siccome sono abbastanza testardo, vorrei davvero far funzionare questo Cisco. Finite le premesse, il mio problema è che vorrei accedere dall'esterno al mio FTP in casa. Con l'Hamlet ed il virtual server interno, gli dico che il mio PC 192.168.1.165 ha bisogno di passare i dati da henrysea.dyndns.org e nessun problema. Sul cisco, in allegato vi posto la config. e se qualcuno propone cambiamenti li accetterò volentieri, riesco a far passare tutti i dati di Emule (tant'è che lui viaggia senza bende sugli occhi) ma avendo un Ip dinamico, non riesco ad accedere al server FTP e al mio PC 192.168.1.165 tramite vnc. Qualcuno che non è ancora in vacanza può aiutarmi per favore, magarimettendomi una config. sana? Grazie a tutti anticipatamente.
N.B. la mia connessione è una comunissima alice

[Renato.Efrati]

la cfg si legge male se la riposti e' meglio cmq se mi contatti su msn penso ke possiamo risolvere in 5 min credo sia solo una questione di nat credo.

[henrysea]

ciao sono nuovamente qui perche con questa conig. che gentilmente hai provato ieri, la navigazione è lentissima, credo il prob. risieda nei server dns se qualcuno ha voglia di dare una occhiata (alice adsl):

sh run
Building configuration...

Current configuration : 3628 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname F5ADSL-Router
!
boot-start-marker
boot system flash c1700-y7-mz.123-9.bin
boot-end-marker
!
enable secret xxxxxxxxxxxxxxxxx
enable password xxxxxxxxxxxxx
!
username xxxxxxxxxxx password xxxxxxxxxxxxxxx
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
o aaa new-model
ip subnet-zero
!
!
ip domain name ngi.it.
ip name-server 213.92.5.54
ip name-server 194.185.88.5
ip name-server 222.48.4.15
ip dhcp excluded-address 192.168.1.1
!ip dhcp pool LOCAL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 213.92.5.54 194.185.88.5
!
ip dhcp pool 1
domain-name CASA
default-router 192.168.1.1
!
ip cef
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
description connected to EthernetLAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip route-cache cef
no ip route-cache
speed auto
half-duplex
no cdp enable
!
interface Serial0
bandwidth 64
ip address 172.16.0.2 255.255.0.0
encapsulation ppp
no fair-queue
!
interface Virtual-Template1
no ip address
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap hostname xxxxxxxxx
ppp chap password xxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxx password xxxxxxxxxxxx
!
router rip
version 2
network 192.168.1.0
no auto-summary
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.120 18908 interface Dialer0 18908
ip nat inside source static udp 192.168.1.120 18908 interface Dialer0 18908
ip nat inside source static tcp 192.168.1.155 34097 interface Dialer0 34097
ip nat inside source static udp 192.168.1.155 34097 interface Dialer0 34097
ip nat inside source static tcp 192.168.1.165 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.1.165 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.165 20 interface Dialer0 20
ip nat inside source static udp 192.168.1.165 4679 interface Dialer0 4679
ip nat inside source static tcp 192.168.1.165 4673 interface Dialer0 4673
ip nat inside source static udp 192.168.1.165 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.165 5900 interface Dialer0 5900
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 0.0.0.0 0.0.0.0 FastEthernet0
no ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny tcp host 192.168.1.165 any eq ftp-data
--More-- access-list 101 deny tcp host 192.168.1.165 any eq ftp
access-list 101 deny tcp host 192.168.1.165 any eq telnet
access-list 101 deny tcp host 192.168.1.165 any eq 5900
access-list 101 deny tcp host 192.168.1.165 any eq 4673
access-list 101 deny tcp host 192.168.1.165 any eq 4662
access-list 101 deny udp host 192.168.1.165 any eq 4679
access-list 101 deny udp host 192.168.1.165 any eq 4672
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server enable traps tty
banner motd ^CC
Benvenuti sul Router F5ADSL
^C
!
line con 0
exec-timeout 0 0
password xxxxxxxxxxxx
login
line aux 0
password xxxxxxxxxxxx
login
line vty 0 4
password xxxxxxxxxxxxxxxx
login
!
end

F5ADSL-Router#

[Renato.Efrati]

l'abbiamo risolta ieri sera no?

[henrysea]

Si grazie ma dopo averlo spento è diventato lentissimo ad aprire le pagine o addirittura la posta per quello pensavo che fosse un problema di dns

[henrysea]

viene un dubbio ma il cisco deve imparare e quindi lasciarlo in funzione migliora le sue capacità?

[marckalex]

Re:

Ciao,

E' come il vino...più invecchia e più diventa buono.


Parola di chi lavora in cisco.

By Marckalex - Cisco Systems Engineer

[henrysea]

Dopo due giorni pero continua ad essere lentissimo, probabilmente c'e qualche problema o blocco

[TheIrish]

Una cosa è sicura. Ammeno che non sia imposto da una struttura particolare, bisognerebbe evitare di usare il NAT come filtro.
Tu scrivi:

ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload

Prima cosa che mi viene da pensare è che tu abbia due network, ma poi:

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny tcp host 192.168.1.165 any eq ftp-data
access-list 101 deny tcp host 192.168.1.165 any eq ftp
access-list 101 deny tcp host 192.168.1.165 any eq telnet
access-list 101 deny tcp host 192.168.1.165 any eq 5900
access-list 101 deny tcp host 192.168.1.165 any eq 4673
access-list 101 deny tcp host 192.168.1.165 any eq 4662
access-list 101 deny udp host 192.168.1.165 any eq 4679
access-list 101 deny udp host 192.168.1.165 any eq 4672

Le liste che inserisci nelle istruzioni di NAT hanno lo scopo di descrivere gli indirizzi che utilizzerai nell'operazione di traduzione.
L'access-list 1 fa il suo dovere. Gli indirizzi che userai sono 192.168.10 255.255.255.0. Ergo, la seconda istruzione di NAT dinamico è completamente superflua se non dannosa.

[henrysea]

Quindi (ti prego aiuta un novello) come scriveresti le cose?

[TheIrish]

intanto comincia con il levare ip nat inside source list 101 interface Dialer0 overload e vediamo se la situazione migliora.
Per quanto riguarda la protezione, ne parliamo quando avremo risolto il problema prestazionale che, nonostante tutto, non credo sia inficiato da questa incorrettezza

[henrysea]

allora ho fatto
no ip nat inside source list 101 interface Dialer0 overload
e in effetto sembra vada meglio, questa è la configurazione attuale:

sh run
Building configuration...

Current configuration : 4373 bytes
!
! Last configuration change at 07:23:14 UTC Mon Aug 8 2005
! NVRAM config last updated at 05:44:14 UTC Mon Aug 8 2005
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname F5ADSL-Router
!
boot-start-marker
boot system flash c1700-y7-mz.123-9.bin
boot-end-marker
!
enable secret xxxxxxxxxxxxxxx
enable password xxxxxxxxxxxxxxxxxx
!
username xxxxxxxxxxxx password xxxxxxxxxxxxxxxxx
memory-size iomem 25
mmi polling-interval 60
--More-- no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
ip domain lookup source-interface ATM0
ip name-server 212.12.35.242
ip name-server 62.94.0.1
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LOCAL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 213.92.5.54 194.185.88.5
!
ip dhcp pool 1
domain-name CASA
default-router 192.168.1.1
!
ip cef
!
--More-- !
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
description connected to EthernetLAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip route-cache cef
no ip route-cache
speed auto
half-duplex
no cdp enable
--More-- !
interface Serial0
bandwidth 64
ip address 172.16.0.2 255.255.0.0
encapsulation ppp
no fair-queue
!
interface Virtual-Template1
no ip address
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap hostname xxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxx password xxxxxxxxxxx
!
router rip
version 2
--More-- network 192.168.1.0
no auto-summary
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.120 5802 interface Dialer0 5802
ip nat inside source static tcp 192.168.1.120 5902 interface Dialer0 5902
ip nat inside source static tcp 192.168.1.155 5801 interface Dialer0 5801
ip nat inside source static tcp 192.168.1.155 5901 interface Dialer0 5901
ip nat inside source static tcp 192.168.1.165 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.120 18908 interface Dialer0 18908
ip nat inside source static udp 192.168.1.120 18908 interface Dialer0 18908
ip nat inside source static tcp 192.168.1.155 34097 interface Dialer0 34097
ip nat inside source static udp 192.168.1.155 34097 interface Dialer0 34097
ip nat inside source static tcp 192.168.1.165 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.1.165 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.165 20 interface Dialer0 20
ip nat inside source static udp 192.168.1.165 4679 interface Dialer0 4679
ip nat inside source static tcp 192.168.1.165 4673 interface Dialer0 4673
ip nat inside source static udp 192.168.1.165 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.165 5900 interface Dialer0 5900
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 Dialer0
--More-- ip route 0.0.0.0 0.0.0.0 FastEthernet0
no ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny tcp host 192.168.1.165 any eq ftp-data
access-list 101 deny tcp host 192.168.1.165 any eq ftp
access-list 101 deny tcp host 192.168.1.165 any eq telnet
access-list 101 deny tcp host 192.168.1.165 any eq 5900
access-list 101 deny tcp host 192.168.1.165 any eq 4673
access-list 101 deny tcp host 192.168.1.165 any eq 4662
access-list 101 deny udp host 192.168.1.165 any eq 4679
access-list 101 deny udp host 192.168.1.165 any eq 4672
access-list 101 deny tcp host 192.168.1.165 any eq 5800
access-list 101 deny tcp host 192.168.1.155 any eq 5901
access-list 101 deny tcp host 192.168.1.120 any eq 5902
access-list 101 deny tcp host 192.168.1.155 any eq 5801
access-list 101 deny tcp host 192.168.1.120 any eq 5802
access-list 101 permit ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server enable traps tty
banner motd ^CC
--More-- Benvenuti sul Router F5ADSL
^C
!
line con 0
exec-timeout 0 0
password xxxxxxxxxxxxxxx
login
line aux 0
password xxxxxxxxxxxxxxxx
login
line vty 0 4
password xxxxxxxxxxxx
login
!
end

F5ADSL-Router#

[Renato.Efrati]

rimetti l'access-list 101 cm era e leva la 1 xke senno' cosi' nn funzionano i servizzi

[TheIrish]

ho il sospetto che ti sbagli, ispa

[Renato.Efrati]

il nat va discriminito tra pat statico e pat overload