Router 871 - transparent firewall on DMZ port/PPPOE auth/LAN

Questa sezione dovrà contenere case study completi di "quotidiana guerra" nel networking

Moderators: Federico.Lagni, Wizard, andrewp

Router 871 - transparent firewall on DMZ port/PPPOE auth/LAN

Postby lluca » Sat 25 Oct , 2008 10:08 pm

Ciao a tutti, se ho capito bene questa sezione serve per lavorare un po tutti insieme su dei casi reali.
io provo a postare il seguente caso in quanto penso che possa presentarsi ed interessare a diverse persone.

La mia situazione:
_ collegamento VDSL 20'000/1'000
_ bridge VDSL della Zyxel (P-870M)
_ router Cisco 871 (CISCO871-SEC-K9)

Subnet IP pubblici (assegnata dal provider)
Subnet: xxx.yyy.zzz.248
Router IP: xxx.yyy.zzz.249
Available IPs: xxx.yyy.zzz.250 .. xxx.yyy.zzz.254
Broadcast: xxx.yyy.zzz.255
Netmask: 255.255.255.248

Subnet LAN
Subnet: 10.10.1.0
Gateway: 10.10.1.1
Netmask: 255.255.255.0

NOTA: l'ip xxx.yyy.zzz.249 è assegnato alla porta WAN dell'apparecchio che usa il PPPOE client (in questo caso il router 871).

Obiettivo:
_ configurare la porta WAN del router 871 per l'autentificazione PPPOE (che prenderà dall'ISP l'ip xxx.yyy.zzz.249)
_ configurare FE0/FE1/FE2 per la LAN
_ configurare FE4 per la DMZ in modalità transparent per collegarvi dei server con gli ip publici restanti (xxx.yyy.zzz.250 .. xxx.yyy.zzz.254)
_ configurare un ACL d'esempio per raggiungere sulla porta 80 l'ip xxx.yyy.zzz.250 nella DMZ
_ configurare le ACL per abilitare il pieno accesso da LAN verso DMZ e da LAN verso WAN

Come procedo per la configurazione del mio router ?
lluca
Cisco fan
 
Posts: 43
Joined: Sun 23 Apr , 2006 2:16 am
Location: Locarno / CH

Postby lluca » Mon 03 Nov , 2008 5:17 pm

non vedo un gran successo in questa sezione :-)
va bé, io ho cercato di mettere giu una configurazione, ma non funziona.
qui la config, subito dopo i messaggi che ricevo al momento che cerca di fare il collegamento pppoe.

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 <REMOVED>
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
!
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.1.1 10.10.1.59
ip dhcp excluded-address 10.10.1.100 10.10.1.254
!
ip dhcp pool VLAN1
import all
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
domain-name <REMOVED>
lease 4
!
!
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface FastEthernet0
description LAN Interface
!
interface FastEthernet1
description LAN Interface
!
interface FastEthernet2
description LAN Interface
!
interface FastEthernet3
description DMZ Interface
no ip route-cache
speed auto
bridge-group 1
!
interface FastEthernet4
description TO ADSL BRIDGE
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
description LAN network
ip address 10.10.1.1 255.255.255.0
!
interface Dialer1
ip address negotiated
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 0 <REMOVED>
ppp pap sent-username <REMOVED> password 0 <REMOVED>
bridge-group 1
!
interface BVI1
ip address 10.10.2.1 255.255.255.0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
no ip http secure-server
!
!
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

**************************************
Se mi collego alle porte 0-2, ricevo un ip dal dhcp che ho configurato.
sulla console però vedo che cerca di fare il collegamento pppoe, senza successo... questo il messaggio.

*Mar 4 03:34:48.043: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
*Mar 4 03:34:48.047: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Mar 4 03:34:48.599: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Mar 4 03:34:48.603: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down


qualche buon anima mi può dare una mano per correggermi la config del pppoe e per vedere se la mia configurazione per creare la dmz (transparent bridge) sulla FE3 è giusto? Vi ringrazio
Ciao
Luca
lluca
Cisco fan
 
Posts: 43
Joined: Sun 23 Apr , 2006 2:16 am
Location: Locarno / CH

Postby lluca » Tue 04 Nov , 2008 8:23 pm

continuo il monologo...
l'errore

*Mar 4 03:34:48.043: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
*Mar 4 03:34:48.047: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Mar 4 03:34:48.599: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Mar 4 03:34:48.603: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down


sono riuscito a rimuoverlo. era dovuto ad un errata trascrizione dell'utente pppoe.
L'interfaccia Dialer1 è up, il collegamento pppoe è ok.

se però eseguo il comando debug ppp negotiation ricevo il seguente messaggio:

Outbound ieee-st packet dropped

se mi collego sulle porte FE0-FE2 ricevo l'ip della lan da parte del dhcp, ma non riesco a navigare.

se mi collego alla porta FE3 (DMZ), immettendo nel mio pc l'ip statico publico, non riesco anche da qui ad andare su internet...

non so piu da che parte sbattere la testa... qualcuno sa darmi una mano ?
Vi ringrazio

Luca
lluca
Cisco fan
 
Posts: 43
Joined: Sun 23 Apr , 2006 2:16 am
Location: Locarno / CH

Postby xanio » Tue 04 Nov , 2008 11:59 pm

ma non riesci ad andare su internet tramite browser oppure non ping niente?

Prova a pingare un ip pubblico, magare il gw della p-t-p .

Magari è un problema dns.
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
User avatar
xanio
Cisco power user
 
Posts: 113
Joined: Tue 24 Jun , 2008 11:21 am
Location: Messina

Postby lluca » Wed 05 Nov , 2008 6:34 pm

Ciao xanio,
allora, nel frattempo ho rifatto un po tutto e sto ripartendo da zero.
Ho deciso di innazitutto far funzionare

_ FE4 con pppoe verso il mio bridge xDSL
_ FE0-3 configurato con un dhcp per la mia lan
_ abilitare il nat

tutto configurato come segue, ma:
_ dal mio pc nella lan riesco a pingare il gateway della mia lan 10.10.10.1 e l'ip assegnato dal provider al'interfaccia Dialer0. fuori da questo non riesco a pingare niente.
_ dal router, riesco a pingare tutto verso internet.

Probabilmente c'è qualcosa che mi sfugge, riesci a vedere cosa? Ti ringrazio. Di seguito la configurazione di base che sto usando attualmente.

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 warnings
enable secret 5 <REMOVED>
!
no aaa new-model
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
!
multilink bundle-name authenticated
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 7 <REMOVED>
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
End
lluca
Cisco fan
 
Posts: 43
Joined: Sun 23 Apr , 2006 2:16 am
Location: Locarno / CH

Postby k4mik4ze » Thu 06 Nov , 2008 9:57 am

Mmh, in che senso non riesci a pingare niente?

Unreachable o cosa?

[Fermo restando che di PPP0E e Dialer non ne so mezza]
User avatar
k4mik4ze
Cisco pathologically enlightened user
 
Posts: 196
Joined: Tue 20 May , 2008 1:24 am

Postby lluca » Thu 06 Nov , 2008 8:37 pm

risolto, mancavano questi comandi

access-list 1 permit 10.10.10.0 0.0.0.255
ip nat inside source list 1 interface dialer 0 overload

Ora procedo con la configurazione della porta FE3 in bridge con la porta WAN (se ci riesco)...
lluca
Cisco fan
 
Posts: 43
Joined: Sun 23 Apr , 2006 2:16 am
Location: Locarno / CH


Return to Case Study

Who is online

Users browsing this forum: No registered users and 1 guest

cron