CiscoForums.it

Ciao a tutti, premetto che sono un neofita della configurazione dei router cisco, ma prima di scrivere questo post ho girato un pò all'interno del forum per raccogliere alcune nozioni di base e dare un'occhiata a delle configurazioni di altri utenti, ma non sono riuscito (magari per colpa mia) a trovare una configurazione chiara e commentata, ma tante postate dagli utenti e talvolta incomplete o errate.
Il mio problema è il seguente:
Dovrei sostituire l'attuale telindus in comodato telecom con il cisco 837.
La configurazione del telindus però non mi è dato conoscerla perche le password sono nazionali e non le rilasciano e ogni qualvolta dobbiamo aggiungere una nat bisogna chiamare a loro.
La mia rete è composta da 10 pc con indirizzo ip statico 192.5.0.x, e sono sotto un firewall cisco pix 506 che ha sulla inside un ip 192.5.0.128, e non fa nat (nat0), fa filtra solo gli ip in uscita e entrata.
Sulla Outside del router è impostato un ip 192.4.0.254.
Sulla scheda di reteinside (lan) del telindus è impostato un ip statico 192.4.0.128 (che vorrei mantenere con l'837) ed è il router che si occupa di fare nat verso la porta del firewall.
Con l'abbonamento nuovo adsl interbusiness mi sono stati forniti i seguenti parametri :
(posto degli Valori puramente casuali)

------------------------------------------------
Punto-Punto: 82.40.120.46
Sub Mask: 255.255.255.252
Pool di 8 ip: 82.48.107.16-82.48.107.23
Sub Mask: 255.255.255.248
Gatway: 82.48.107.17
Sub Mask: 255.255.255.248
Dns1: 151.99.125.1
Dns2: 151.99.0.100
------------------------------------------------

A questo punto da come dice telecom e da come mi sembra di capire dal forum il primo e l'ultimo ip del pool fornitomi da telecom non devono essere usati (82.48.107.23 è l'indirizzo di brodcast).
L'indirizzo 82.48.107.17 è l'indirizzo pubblico che devo assegnare alla ethernet inside del router 837 insieme al 192.4.0.128 come gatway, nell'eventualità che voglia utilizzare all'interno della mia rete sotto il firewall uno degli indirizzi pubblici assegnatomi da telecom per offrire un servizio pubblico.
Sull'interfaccia wan (ATM0.1), dovrò impostare l'indirizzi punto-punto fornitomi da telecom 82.40.120.46.
Spero di aver capito bene e ho costruito questa configurazione:
-------------------------------------------------------------------------
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip audit notify log
no crypto isakmp enable
!
!
!
interface Ethernet0
ip address 192.4.0.128 255.255.255.0 secondary
ip address 82.48.107.17 255.255.255.248
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 82.40.120.46 255.255.255.252
ip nat outside
pvc 8/35
encapsulation aal5snap
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto

interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat pool telecom 82.48.107.16 82.48.107.22 netmask 255.255.255.248
ip nat inside source list 50 pool telecom overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route 82.48.107.17 255.255.255.248 ATM0.1
ip route 151.99.0.0 255.255.0.0 ATM0.1
ip http server
no ip http secure-server
!
!
access-list 50 permit 192.4.0.0 0.0.0.255
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
line vty 0 4
!
scheduler max-task-time 5000

end
----------------------------------------------------------------
Ora questa configurazione non l'ho impostata sul mio nuovo router perchè non so se è corretta e perchè penso manchi il nat verso la porta (non so se la inside o la outside) del firewall pix 506.
Sarai grato se qualcuno del forum o qualche admin potrebbe aiutarmi.

Grazie Mille.

Dovrebbe mancare una rotta.
Il router non sa dov'è 192.5.0.x,

Come posso fare a far instradare il traffico di ritorno verso la mia lan interna attraverso il firewall?
Devo fare una nat? Verso che interfaccia?
E sopprattutto secondo voi la mia onfigurazione è corretta?


Aiuto!!!!!!!!!


Ciao e Grazie.

Partiamo dal principio che ti sei inventato degli indirizzi ip privati e questo è sbagliato. 192.4.x.x non è un indirizzo privato, 192.168.4.x è un indirizzo privato. Ma passiamo oltre, vedrai tu di correggere.
tu già fai un'istruzione di NAT nel router.
Natti tutto il tuo range di ip su una gamma descritta da

access-list 50 permit 192.4.0.0 0.0.0.255

Se ho capito bene, la tua lan è su network 192.5.0.0 255.255.255.0 mentre l'interfaccia interna del router è su una network 192.4.0.0 255.255.255.0. Ciò vuol dire che il firewall ha una interfaccia nella maschera 192.5.0.0 e una nella maschera 192.4.0.0.
Ora, il router sa da che parte si va per internet (0.0.0.0, verso atm0.1) e sa da che parte si va verso 192.4.x.x ... non sa però dove si trova 192.5.x.x!
Dei semplicemente inserire una rotta statica che spieghi al router che per arrivare a 192.5.x.x deve passare per il firewall.
Idem con patate, devi informare il firewall che per raggiungere 0.0.0.0 deve passare per il router.

mmhhh...domanda...usando questa configurazione sul mio 837, il router è visibile su internet, naviga etc etc, ma i client interni non riescono. Qualcuno sa spiegarmi il perkè? La conf è identica tranne per gli ip ovviamente.

AsPyd3 ha scritto:mmhhh...domanda...usando questa configurazione sul mio 837, il router è visibile su internet, naviga etc etc, ma i client interni non riescono. Qualcuno sa spiegarmi il perkè? La conf è identica tranne per gli ip ovviamente.

Allora, se il Router natta dinamicamente con subnet 192.168.4.x e il pix natta a sua volta con subnet 192.168.5.x, il problema è quello identificato dall'irish, devi aggiungere le rotte statiche

No nel mio caso non c'è un firewall tra i client e il ruoter. solo che se provo ad accedere via telnet da un'altra linea il router risulta visibile, se provo a pingare dal router verso un indirizzo esterno non pinga e se da qualsiasi client provo a navigare non naviga.

Il router non pinga ed è giusto così (se vuoi te lo spiego dopo che abbiamo risolto il problema).
Tu dici:

sono sotto un firewall cisco pix 506

e allora??

Aspè,non ci sto capendo + nulla. L'utente che ha postato sta configurazione da quello che ho capito usa un firewall tra i client e il firewall, e cmq ha già risolto aggiungendo la rotta statica mancante (se vedi c'è un'altro 3d al riguardo).

Ora ho usato la stessa configurazione (tranne la rotta statica, dato che non uso un firewall tra client e router) solo che credo abbia combinato qualche casino nella configurazione del nat perkè il router via internet risulta visibile, pingabile e telnettabile, però i client non riescono a navigare. dove sta l'errore?

posto la mia attuale conf .

aah, scusami, sono addormentato.
Così ad occhio ci sono solo un paio di cose che mi lasciano un po' perplesso ovvero:
l'indirizzo pubblico assegnato all'ethernet è anche nella pool telecom. Non so che risultati possa avere questo, ma non mi piace.
Poi, sempre nel pool, ho il sospetto (non mi metto a far conti) che siano stati inseriti anche gli ip di network e di broadcast. Ora, i calcoli in tal senso, basandosi sulla maschera, dovrebbe farli il router, ma visto che la cosa ancora non funziona, bisogna provarle tutte!

Si nel pool telecom ho inserito tutti gli ip che mi sono stati assegnati da telecom. Per quanto riguarda l'indirizzo ip pubblico sulla ethernet0 l'ho inserito basandomi sulla configurazione che ha postato l'altro utente (a cui pare funzioni. Cmq proverò a togliere l'indirizzo ip pubblico sulla ethernet0 e a mettere nel pool telecom solo il defautl gateway vediamo se funge. Ma mi consigli di indicare una rotta statica che specifichi quale sia la mia lan interna?