Problemi configurazione Router Cisco 1801/K9 IOS 15.0

[andrea.meconi]

Buongiorno a tutti.
Ho veramente necessità del vostro aiuto. Premetto che non mi occupo di Networking e che per la prima volta sto cercando di configurare un router cisco. Leggendo penso ormai per centinaia di volte i vostri post e suggerimenti ora so muovermi tramite telnet e tramite CCP, ho imparato diversi concetti e sono riuscito a buttare giù una configurazione funzionante (almeno mi sembra).
Purtroppo non riesco ad accedere agli host interni alla rete in nessuna maniera, premetto che ho provato a:
-creare ip access-group 101 in sulle interfacce in uscita
-creare ip access-group XXX in sulla Vlan1
-creare ip nat inside source static tcp ecc.ecc. sul NAT
insomma ho provato tutto ciò che ho trovato nei post ma senza successo.
Ovviamente ho provato anche a lasciare la sola configurazione base senza load balancing e failover ma non riesco a entrare ugualmente.
Ho visto che la tendenza del forum è giustamente quella di dare imput per stimolarci a trovare una soluzione da soli ma ormai ho provato di tutto e dato che il router lo devo installare il più presto possibile in un piccolo ufficio (di mia moglie!!!) se non trovo qualche anima pia che mi aiuta dovrò rivolgermi a qualcuno che lo fa di mestiere perchè ormai non so più cosa provare.
Grazie a tutti quanti e scusate la lunghezza della premessa!

Codice: Seleziona tutto

version 15.0
!
………………………
!

dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name sailfitness.lan
ip name-server 213.205.32.70
ip name-server 212.17.192.216
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out tcp router-traffic
ip inspect name inspection-out udp router-traffic
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp router-traffic
ip inspect name inspection-out bittorrent
ip inspect name inspection-out edonkey
ip inspect name inspection-out http java-list 50
ip inspect name inspection-out imap
ip inspect name inspection-out irc
ip inspect name inspection-out l2tp
ip inspect name inspection-out pptp
ip inspect name inspection-out pop3
ip inspect name inspection-out smtp
ip inspect name inspection-out telnet
login block-for 300 attempts 3 within 30
login on-failure log
no ipv6 cef
!
!
track 1 interface Dialer0 ip routing
 delay down 5 up 30
!
track 2 ip sla 2 reachability
 delay down 1 up 1
!
!
interface ATM0
 description ***Link to ISP TISCALI***
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no atm ilmi-keepalive
 !
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 description ***Link to ISP BTITALIA***
 ip address 10.0.1.1 255.255.255.252
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip inspect inspection-out out
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
interface FastEthernet1
 !
!
interface FastEthernet2
 !
!
interface FastEthernet3
 !
!
interface FastEthernet4
 !
!
interface FastEthernet5
 !
!
interface FastEthernet6
 !
!
interface FastEthernet7
 !
!
interface FastEthernet8
 !
!
interface Vlan1
 description ***Inside LAN***
 ip address 192.168.210.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 !
!
interface Dialer0
 description ***Link to ISP TISCALI***
 ip address negotiated
 ip access-group 101 in
 ip nat outside
 ip inspect inspection-out out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname ………….@...............
 ppp chap password 7 ………………………
 ppp pap sent-username ………………..@............... password 7 ………………..
 no cdp enable
 !
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source static tcp 192.168.210.100 33891 interface Dialer0 33891
ip nat inside source static tcp 192.168.210.106 33892 interface Dialer0 33892
ip nat inside source static tcp 192.168.210.80 33893 interface Dialer0 33893
!
ip nat inside source list 100 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 10.0.1.2 10 track 2
!
!
ip sla 2
 icmp-echo 10.0.1.2
 timeout 500
 threshold 2
 frequency 3
ip sla schedule 2 life forever start-time now
logging 192.168.210.100
access-list 100 permit ip 192.168.210.0 0.0.0.255 any
access-list 101 remark *** ACL Anti-Spoofing ***
access-list 101 deny   ip host 0.0.0.0 any log
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 101 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 101 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 101 remark *** ACL per VPN ***
access-list 101 permit tcp any any eq 1723
access-list 101 permit udp any eq isakmp any eq isakmp
access-list 101 permit gre any any
access-list 101 remark *** ACL Servizi ***
access-list 101 permit tcp any any eq 33891
access-list 101 permit tcp any any eq 33892
access-list 101 permit tcp any any eq 33893
access-list 101 permit tcp any any eq telnet
access-list 101 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any traceroute
access-list 101 deny   icmp any any
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
!
control-plane
 !
!
line con 0
 login local
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 password 7 0207075A0F575C6B1D
 login
 transport input telnet ssh
line vty 5 15
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
ntp server 193.204.114.232
ntp server 193.204.114.233
event manager applet BTITALIA_DOWN
 event track 2 state down
 action 1.0 syslog msg "ISP BTITALIA DOWN"
 action 2.0 cli command "enable"
 action 2.1 cli command "conf t"
 action 3.0 cli command "ip nat inside source static tcp 192.168.210.100 33891 i
nterface dialer0 33891"
 action 3.1 cli command "ip nat inside source static tcp 192.168.210.106 33892 i
nterface dialer0 33892"
 action 3.2 cli command "ip nat inside source static tcp 192.168.210.80 33893 in
terface dialer0 33893"
 action 5.0 exit
event manager applet BTITALIA_UP
 event track 2 state up
 action 1.0 syslog msg "ISP BTITALIA UP"
 action 2.0 cli command "enable"
 action 2.1 cli command "conf t"
 action 3.0 cli command "ip nat inside source static tcp 192.168.210.100 33891 interface fastethernet0 33891"
 action 3.1 cli command "ip nat inside source static tcp 192.168.210.106 33892 interface fastethernet0 33892"
 action 3.2 cli command "ip nat inside source static tcp 192.168.210.80 33893 interface fastethernet0 33893"
 action 5.0 cli command "exit"
!
end

[andrea.meconi]

L'ACL 101 funziona e anche il NAT mi spiegate per favore perchè non riesco a collegarmi dall'esterno!
Grazie a tutti.

Codice: Seleziona tutto

rcr#sh access-list 101
Extended IP access list 101
    10 permit udp host 213.205.32.70 eq domain any (6 matches)
    20 permit udp host 212.17.192.216 eq domain any
    30 permit tcp any any established (33 matches)
    40 permit tcp any any eq 33891
    50 permit tcp any any eq 33892 (3 matches)
    60 permit tcp any any eq 33893

Codice: Seleziona tutto

tcp 217.133.XXX.XXX:33893 192.168.210.80:33893 ---            ---
tcp 217.133.XXX.XXX:33891 192.168.210.100:33891 ---           ---
tcp 217.133.XXX.XXX:33892 192.168.210.106:33892 XXX.XXX.XXX.XXX:53997 XXX.XXX.XXX.X:53997
tcp 217.133.XXX.XXX:33892 192.168.210.106:33892 ---           ---

[Rizio]

Per quanto ti posso dire io la configurazione dei nat mi sembra corretta. L'unica cosa su cui proverei io a lavorare riguarda i problemi per i due isp che usi, non vorrei che il router si incasinasse a causa di quello.

Se togli l'acl funziona ?
Hai provato ad accedere alla lan al servizio che vuoi pubblicare sulla dialer ?
E se provi a pubblicare un altro servizio (es. un web server buttato su alla buona solo per vedere la pagina di "it's works") funziona ?

Secondo me la conf dei nat è corretta perciò io cercherei il problema altrove.

Ciao
RIzio

[andrea.meconi]

Grazie dell'interessamento Rizio,
il servizio funziona perfettamente perchè attualmente lo utilizzo con un'altra connessione ADSL non transitante per il router che mi permette i collegamenti RDP sugli host interni.
Ho provato anche una configurazione base con una sola interfaccia e senza ACL ma senza successo.
Il tutto si blocca all'interno del router.
Non so se devo inserire qualcosa sulla Vlan1.
Il collegamento attuale è il seguente:

--->Tiscali(dialer0)--->Router Cisco 1801
--->BTItalia(Fastethernet0)--->Router Cisco 1801
Router Cisco 1801(Vlan1)--->Switch--->host

Ho provato anche a spegnere il modem con cui mi collego via RDP per paura che mi bloccasse le porte inserite nel NAT Statico del Cisco.

Mi dite se posso attivare qualche Debug o comando particolare per vedere dov'è il blocco.
Grazie.
Ciao

[paolomat75]

Prova ad aggiungere

Codice: Seleziona tutto

access-list 101 permit ip any any

Ciao

[andrea.meconi]

ok oggi provo
grazie mille sei sempre molto disponibile

buona giornata

[Rizio]

il servizio funziona perfettamente perchè attualmente lo utilizzo con un'altra connessione ADSL non transitante per il router che mi permette i collegamenti RDP sugli host interni.
Ho provato anche una configurazione base con una sola interfaccia e senza ACL ma senza successo.
Il tutto si blocca all'interno del router.

Io a questo punto proverei ad elimiare tutte le varie route-map, anche solo per la parte di debug. Le togli, provi con solo un isp configurato poi, se funziona provi ad aggiungere l'altro, poi le route-map poi il resto.
La tua configurazione, per la mia [miserrima] esperienza è un pò incasinata da leggere (e forse anche per il router visto il risultato )

Non so se devo inserire qualcosa sulla Vlan1.

Io, sempre per provare, toglierei questi:

Codice: Seleziona tutto

no ip redirects
no ip unreachables
no ip proxy-arp
ip tcp adjust-mss 1452

soprattutto l'ultimo, sei certo di dover rimpostare il mss ?

Mi dite se posso attivare qualche Debug o comando particolare per vedere dov'è il blocco.

con il debug io purtroppo c'ho sempre litigato tanto perciò non ti posso aiutare, trovo difficoltoso attivare il debug corretto per l'occorrenza che mi serve. Puoi sempre provare un "debug ip nat" e vedere cosa dice...

Rizio

[andrea.meconi]

ok...grazie mille Rizio....questa sera provo e vi faccio sapere
ciao

[andrea.meconi]

Ragazzi sono riuscito a provare ora ma nessuna delle due soluzioni ha risolto il problema!!

Altri spunti????

[andrea.meconi]

...ammazza che vita che c'è in questo forum!!

il fatto che tra router e host interni alla rete c'è uno stupidissimo switch da 8 porte può essere lui a creare problemi al raggiungimento degli host dall'esterno??

ho provato a togliere tutto, vedi conf sotto

grazie

Codice: Seleziona tutto

ip cef
no ip bootp server

!
interface ATM0
 description ***Link to ISP TISCALI***
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no atm ilmi-keepalive
 !
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation hdlc
 shutdown
 !
!
interface FastEthernet0
 description ***Link to ISP BTITALIA***
 ip address 10.0.1.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
interface FastEthernet1
 !
!

interface Vlan1
 description ***Inside LAN***
 ip address 192.168.210.10 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 !
!
interface Dialer0
 description ***Link to ISP TISCALI***
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp chap hostname [email protected]
 ppp chap password 7 
 ppp pap sent-username ...............
 no cdp enable
 !
!
ip forward-protocol nd

!
ip nat inside source list 100 interface dialer0 overload
ip nat inside source static tcp 192.168.210.80 33893 interface dialer0 33893
ip route 0.0.0.0 0.0.0.0 dialer0
!
!
logging trap debugging
access-list 100 permit ip 192.168.210.0 0.0.0.255 any
no cdp run

!end

[paolomat75]

Lo switch escludiamolo.

Prova ad aggiungere alle righe del NAT statico extendable.

Ciao
Paolo

[andrea.meconi]

Ciao Paolo e grazie della risposta.
Ho risolto....mentre facevo le prove avevo lasciato attivo l'altro router che pur se con indirizzo ip diverso e PAT disattivato evidentemente creava dei conflitti.
Ora riesco ad accedere tranquillamente agli host interni.

Ciao

[paolomat75]

Meno male che hai risolto.
Non capivo perché non andava. Mi preoccupavo che nella IOS 15, che non l'ho mai usata, avessero cambiato qualcosa.

Ciao