Ip pubblici aggiuntivi su adsl business

[masterx81]

Ciao a tutti...
Ho una domanda da porvi...
Dove lavoro ho una adsl business, con 8 ip pubblici (beh, maschera da , e so che per questo tipo di connessioni ci sono 2 tipi di configurazioni possibili: in una si mettono gli indirizzi aggiuntivi come indirizzi dell'interfaccia interna, nell'altra si mettono come secondary all'ip punto punto sull'interfaccia esterna...
Volendo utilzzare il secondo metodo (non so perchè ma mi sembra un po' piu' 'bello', nonostante i tecnici telecom preferiscano sempre mettere gli ip pubblici sull'interfaccia privata...), e volessi creare 2 vlan (con subnet diverse) dove da una esco con un ip pubblico e dall'altra con un altro ip pubblico, come posso fare?
Per ora ho solo messo l'ip secondario sull'interfaccia esterna... Devo creare due pool di nat, uno per ogni rete?

Praticamente alla mia dmz collego spesso dei pc anche infetti di virus, che possono sparare mail di spam a casaccio, e questo gia' un paio di volte mi è costato un blocco dei vari servizi antispam... Ora volevo sfruttare gli ip pubblici aggiuntivi per fare uscire i pc della dmz con un ip 'sacrificale' diverso da quello che uso per il server.
Per ora per ovviare il problema ho fatto una acl che dalla dmz non posso contattare nessun server esterno sulla porta 25, che di per se' è una cosa buona, ma vorrei evitare qualsiasi altro tipo di noia...

Grazie mille a tutti!!

[Wizard]

Tu gestisci sia il router che il firewall, solo il router, sl il firewall..?
Che apparati sn?

[masterx81]

Ops, scusa Ho dimenticato un po' di roba...
E' un 1801 che fa un po' di tutto:nat, ips,spi fw, etc ...
Praticamente volevo fare una vlan (1 o 2 porte dello switch ad 8 porte) per collegarci il server di posta, e le altre porte per le postazioni 'infette'. E fare utilizzare a queste 2 vlan indirizzi pubblici separati...

[Wizard]

Quindi fai tutto sul 1801: OK
Io farei così:

vlan1 (lan): ip privato lan interna (gw lan)
vlan2 (dmz): ip privato server in dmz (gw dmz)
vlan3 (virus): ip privato pc infetti (gw pc)
atm0: int fisica adsl
atm0.1: int dove configuri ip punto-punto
loopback0: ip pubblico 1
loopback1: ip pubblico 2
loopback2: ip pubblico 3

la vlan1 esce con l'ip della loopback 1 (pat)
la vlan2 esce con l'ip della loopback 2 (pat)
la vlan3 esce con l'ip della loopback 3 (pat)
Per i server della vlan 2 fai delle regole dinat statico x porta (ex la 25 tcp)

[masterx81]

Wow, non avevo pensato ad utilizzare le loopback! Rimane una cosa ancora piu' pulita!
Se non ricordo male l'ip dell'interfaccia di loopback è attivo su tutte le interfacce, giusto? Percio' sulla atm0.1 non devo fare assolutamente nulla, e per le loopback valgono le stesse acl della atm0.1...
Sarebbe davvero una cosa di fino
Poi per dare internet alla vlan mi basta fare un nat in overload verso la loopback dei pc 'infetti' con la acl per gli ip della rete 'infetta', ed un'altra in overload per la vlan diretta al server...

Gia', perchè il ns server di posta, non fa solo da server di posta (exchange, un server sbs 2003), ma fa anche da firewall (non isa) e da nat per la vera rete interna... Quindi avrei necessita di 2 sole vlan ufficialmente...

---

Ok, ho impostato l'ip della loopback, dalla rete interna la pingo, ma dall'esterno no
Non sono familiare con questo tipo di configurazioni
Provo a pasticciarci ancora un po'...

---

Ok, bello, ho provato pure a mettere come ip pubblico secondario quello dei mio 'pool' e non riesco comunque a pingarlo dall'esterno...
Possibile che la telecom mi ha fatto qualche casino con le route? Se faccio un tracert verso il mio ip punto-punto (finora utilizzavo l'ip punto-punto per navigare...) ottengo un ultimo ip raggiungibile diverso rispetto a quello facendo un tracert verso un qualsiasi ip del mio 'pool'... Puo' voler dire qualcosa?

[Wizard]

Fa vedere la config come è ora con vlan e loopback

[masterx81]

Ora sto aspettando che la telecom mi dica qualcosa... Hanno fatto qualche casino! Praticamente il mio range di ip pubblico (quello segnato sul foglio dell'attivazione) è stato assegnato ad un altra ditta, ed a nome della mia ditta (sono risalito tramite query al ripe) risulta tutto un altro range di ip... Ci credo che le route non funzionano!!!
Appena mi hanno confermato che è tutto a posto, provo a pasticciarcia ncora un po'!
Per ora grazie mille per gli spunti!!!

[Wizard]

Ma che tristezza...

[masterx81]

Ma che tristezza...

Mhuauauaua!
Dai, diciamolo, che sfiga!!!!

Ora ho dovuto chiamare il 191, e mandare il fax per attivare altri 8 ip nuovi... Mi hanno caldamente sconsigliato di cercare di ripristinare le route degli ip che attualmente mi sono assegnati (chissa a chi vanno a finire...)
A loro basterebbe cambiare una route, e manco fare una nuova registrazione al RIPE, invece preferiscono creare un pool nuovo... Mah...
Ora capisco perchè l'IP v4 non basta...
mhuauauauauau

Ed adesso so gia' che dovro' aspettare almeno 2 settimane...
Appena mi comunicherano il mio nuovo pool mi rimettero' a pasticciare per ora continuo ad uscire con l'ip del punto-punto... Gia' quando avevo configurato il router per la connessione avevo notato questo problema, ma allora avevo fretta di mettere su internet e non avevo stretta necessita di avere piu' ip pubblici, invece ora mi sarebbe davvero comodo... E vediamo un po' come va a finire!!!

[masterx81]

Uff, la telecom mi ha detto di aver sistemato le rotte...
Ma ora come prova 'veloce' ho messo come ip secondary sull'interfaccia internet quello del mio pool (come primario c'e' il punto-punto), ma non risco comunque a pingarmi (ovviamente ho aperto l'icmp in ingresso, ed un ping all'ip punto-punto risponde).
Ora provo a fare la loopback...
---EDIT---
Neanche creando una loopback con l'ip corretto mi risponde...

Domanda: Ma come mai la config 'standard' telecom prevede di mettere gli ip pubblici sull'interfaccia interna?

---ULTIMO EDIT---

OK, Finalmente funziona tutto impostanto la loopback!
Grazie mille Wizard per la dritta! Ora posso gestire delle ACL generiche sull'interfaccia esterna, ed acl piu' 'esclusive' sulle loopback.
Veramente fantastico!
Mi piace MOLTO di piu' così che il metodo della telecom di impostare gli ip pubblici sulle interfacce interne o come secondary sull'interfaccia esterna, permette un controllo motlo piu' fine e pulito.
GRAZIE ANCORA!!!

[infinity]

Scusate se mi intrometto...

Io dovrei fare la stessa cosa su di un 2811 con in più la terminazione di alcuni tunnel VPN verso uno di questi IP AGGIUNTIVI...

il 2811 non mi permette di creare Vlan che tipo di interfaccia dovrei usare ?

[masterx81]

Scusate se mi intrometto...

Io dovrei fare la stessa cosa su di un 2811 con in più la terminazione di alcuni tunnel VPN verso uno di questi IP AGGIUNTIVI...

il 2811 non mi permette di creare Vlan che tipo di interfaccia dovrei usare ?

Se non puoi tenere le reti separate con le vlan credo che puoi usare o delle subnet, oppure se non ti interesa tenere le reti separate, gestisci tutto con access list e NAT...

Io invece mi sto finalmente divertendo con i vari ip...
Allora... Non ho fatto le VLAN ed ho gestito tutto con NAT ed ACL...
Praticamente faccio così:

Codice: Seleziona tutto

interface Loopback0
 ip address x.x.x.225 255.255.255.255
 ip access-group 101 in
 ip nat outside
 ip virtual-reassembly
!
interface Loopback1
 ip ddns update hostname pippopluto.no-ip.com
 ip ddns update no-ip
 ip address x.x.x.226 255.255.255.255
 ip access-group 102 in
 ip nat outside
 ip virtual-reassembly
!
interface Loopback2
 no ip address
!
interface ATM0.1 point-to-point
 ip address y.y.y.234 255.255.255.252
 ip access-group 100 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip ips IPSRULE in
 ip ips IPSRULE out
 ip inspect inspection-out out
 ip virtual-reassembly
 snmp trap ip verify drop-rate
 pvc 8/35
  oam-pvc manage
  encapsulation aal5snap
 !
!
ip nat inside source list 120 interface ATM0.1 overload
ip nat inside source list 121 interface Loopback0 overload
ip nat inside source static tcp 192.168.200.1 20 interface Loopback1 20
ip nat inside source static tcp 192.168.200.1 3389 interface Loopback1 3389
ip nat inside source static tcp 192.168.200.1 8080 interface Loopback1 8080
ip nat inside source static tcp 192.168.200.1 80 interface Loopback1 80
ip nat inside source static tcp 192.168.200.1 21 interface Loopback1 21
ip nat inside source static tcp 192.168.200.1 143 interface Loopback1 143
ip nat inside source static tcp 192.168.200.1 443 interface Loopback1 443
ip nat inside source static tcp 192.168.200.1 25 interface Loopback1 25
ip nat inside source static 192.168.200.252 interface Loopback2

access-list 100 remark *** ACL GENERALE DELLA ADSL ***
access-list 100 remark *** ACL Anti-Spoofing ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL Anti-Seccatori ***
access-list 100 deny   ip 88.43.57.0 0.0.0.255 any log
access-list 100 remark *** Permetto tutto il resto del traffico (diretto alle Loopback) ***
access-list 100 permit ip any any
access-list 100 permit gre any any
access-list 101 remark *** ACL DEL PRIMO IP AGGIUNTIVO - NAVIGAZIONE  - LOOPBACK 0***
access-list 101 remark Non devo far passare nulla
access-list 101 deny   ip any any
access-list 101 deny   icmp any any
access-list 101 deny   gre any any
access-list 102 remark *** ACL DEL SECONDO IP AGGIUNTIVO - SERVIZI - LOOPBACK 1***
access-list 102 remark *** ACL per applicazioni server ***
access-list 102 permit tcp any any eq 3389
access-list 102 permit tcp any any eq ftp
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq 8080
access-list 102 permit tcp any any eq 143
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any gt 1023 any eq ftp-data
access-list 102 remark tcp any eq ftp-data any gt 1023  ***non credo serva
access-list 102 remark *** ACL per VPN ***
access-list 102 permit tcp any any eq 1723
access-list 102 permit udp any eq isakmp any eq isakmp
access-list 102 permit gre any any
access-list 103 remark *** ACL DEL TERZO IP AGGIUNTIVO - VOIP - LOOPBACK2***
access-list 103 remark *** Permetto il traffico SIP in ingresso dal server voip ***
access-list 103 permit tcp host v.v.v.v eq 5060 any
access-list 103 remark *** Permetto il traffico UDP in ingresso dal server voip ***
access-list 103 permit udp host v.v.v.v any
access-list 120 remark *** NAT - IP ADSL PPP - SMTP in uscita ***
access-list 120 remark *** Permetto solo l'invio di posta solo dal server ***
access-list 120 permit tcp host 192.168.200.1 any eq smtp
access-list 121 remark *** NAT - PRIMO IP AGGIUNTIVO - Navigazione ***
access-list 121 remark *** Blocco l'invio di posta dal server e permetto tutto il resto del traffico
 ***
access-list 121 deny   tcp host 192.168.200.1 any eq smtp
access-list 121 permit ip any any
access-list 121 permit icmp any any
access-list 121 permit gre any any

Da notare che è ancora in via sperimentale, ma funziona abbastanza...
Praticamente con una acl ho fanno uscire sulla atm0.1 il solo traffico di posta proveniente dal server (preferisco farla uscire con l'ip del punto punto, finora non ha dato problemi e non voglio fare esperimenti ), e tutto il resto del traffico esce con l'ip della loopback 0. Sulla loopback 1 ho i servizi in ingresso. Sulla 2 tutto il traffico che arrivera' andra' a finire verso un centralino voip (SPA9001) e ci faro' il qos in modo che il traffico che arriva dal centralino voip vada a finire su una porta ethernet dello switch del 1801 (faro' una vlan a parte), e di li per uscire avra' qos.

Ora, vengono le domande
Il server di posta (nel caso specifico 192.168.200.1) non fa da server di posta, ma fa anche da firewall e nat per le postazioni 'sicure'. Io volevo fare in modo che le connessioni smtp provenienti dai singoli pc nella rete sicura non diretti verso il server smtp interno uscissero con l'ip 'da battaglia' (il x.x.x.225)... Peccato che il server 192.168.200.1 quando fa il nat fa uscire i pacchetti con il suo ip, con destinazione la porta 25, così frega l'access list 120 e me le fa uscire con l'ip utilizzato solo per spedire la posta. Non è un problema troppo grave, ma volevo vedere se a qualcuno viene in mente un'idea piu' furba
L'altro problema è che l' access list sull'interfaccia loopback0 non va!
Ovvero, se da un host esterno pingo la loopback 0, nonostante la acl 101 dovrebbe bloccarmi tutto il traffico, lei risponde lo stesso!
Invece la loopback1 non risponde e tutti i servizi dietro di essa funzionano normalmente...

Se non ho capito male, dagli esperimento che ho fatto, le loopback sono viste come 'sottointerfacce' della atm0.1 (che a sua volta è una specie di 'sottointerfaccia' della atm0), pero' un po di cose non le capisco. Ad esempio, com'e' fatta ora il router dovrebbe rispondere all'ip della atm0.1, invece non risponde, ed inspiegabilmente risponde all'ip della loopback0!!! In piu' se sposto la default router del router dall'interfaccia atm0.1 alla loopback0 nulla riesce piu' ad uscire...
Qualcuno puo' illuminarmi?
Grazie mille!!!

[Wizard]

com'e' fatta ora il router dovrebbe rispondere all'ip della atm0.1, invece non risponde, ed inspiegabilmente risponde all'ip della loopback0!!!

Giusto, l'ip della atm0.1 è l'ip della punto-punto che nn può fare traffico ma serve appunto solo come punto-punto con il provider.

L'ip della punto punto in queste linee nn può fare traffico perchè è bloccata da una acl in telecom

[masterx81]

com'e' fatta ora il router dovrebbe rispondere all'ip della atm0.1, invece non risponde, ed inspiegabilmente risponde all'ip della loopback0!!!

Giusto, l'ip della atm0.1 è l'ip della punto-punto che nn può fare traffico ma serve appunto solo come punto-punto con il provider.

L'ip della punto punto in queste linee nn può fare traffico perchè è bloccata da una acl in telecom

Sbagliato!
Ci ho navigato per mesi ed il traffico arrivava a meraviglia e partiva a meraviglia!
Sapevo anche io di questa cosa del blocco, pero' in tutte le smart che ho messo si navigava tranquillamente col punto punto...

[Wizard]

Si ma nn avevi gli ip aggiuntivi

Se li avevi in Telecom si erano dimenticati la config della acl, succede.