Conf ADSL 20 Mb e Cisco 877

[giocomail]

Grazissimoooooo

e.....a buon rendere

Forse va ip prima di access group 121 in?

Ciaooooooo

[stefano88ferrari]

Salve a tutti!
Sono un principiante, vi chiedo se potete darmi una mano. In azienda abbiamo acquistato una linea Alice 20Mb della Telecom (ip pubblici da 94.**.**.176 a 94.**.**.182, default gateway 94.**.**.177), ho provato questa configurazione su un cisco 877, ma non funziona.
Questi i problemi:
dal router riesco a pingare ip pubblici, (per esepio quello di google), ma non a pingare i domini (www.google.it); ho provato anche con altri server dns;
dal pc non riesco a navigare e non pinga nessun ip pubblico, riesco solo a pingare l'ip della vlan1 del router (192.168.1.1).
Il pc ha indirizzo 192.168.1.10 e il default gateway è 192.168.1.1.

Questa è la configrazione del router

service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers

hostname RTR-DRG

boot-start-marker
boot-end-marker

logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 ******

no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000

ip cef
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
login block-for 1 attempts 3 within 30
login on-failure
login on-success

username ****** privilege 15 secret 5 ******
archive
log config
hidekeys

ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10

interface Loopback0
description INTERFACCIA VIRTUALE END-POINT VPN
ip address 94.**.**.177 255.255.255.248

interface Null0
no ip unreachables

interface ATM0
description ALICE BUSINESS 20 Mbps - TGU:
mtu 1500
no ip address
no shutdown
no atm ilmi-keepalive
dsl operating-mode auto

interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.50.***.*** 255.255.255.252
ip access-group 131 in
ip verify unicast reverse-path
no shutdown
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip inspect IDS out
ip nat outside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap

interface FastEthernet0

interface FastEthernet1

interface FastEthernet2

interface FastEthernet3

interface Vlan1
description CONNESSIONE LAN DRG
ip address 192.168.1.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
no shutdown
hold-queue 100 out

ip route 0.0.0.0 0.0.0.0 ATM0.1

ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool INTERNET 94.**.**.177 94.**.**.177 netmask 255.255.255.248
ip nat pool LAN 192.168.1.0 192.168.1.255 netmask 255.255.255.0
ip nat inside source list 100 pool INTERNET overload

access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 remark ************************************************************
access-list 131 remark *** ACL VERSO SERVER WEB
access-list 131 permit tcp any any 80
access-list 131 remark****************************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554
access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny ip any any log

control-plane

banner motd ^C
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C

line con 0
exec-timeout 120 0
login local
no modem enable
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh

scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

Sto facendo qualche errore da pivello? Grazie.

[stefano88ferrari]

Nessuno riesce ad aiutarmi? Devo pensare che ci sia qualche problema...

[MircoT]

Nessuno riesce ad aiutarmi? Devo pensare che ci sia qualche problema...

sono neofita anche io di cisco, quindi prendi quello che scrivo con le pinze, ma nella tua configurazione mi pare di capire che manca l'acl che autorizza il traffico dns (porta 53) verso internet... vedo autorizzato solo l'80 (e l'https, 443?). questo spiegherebbe perchè dal router pinghi ip pubblici ma non risolvi i nomi.

per la navigazione dei pc, mi sembra di non vedere in nessun posto l'autorizzazione ad uscire per la classe 192.168.1.x.... ma qui non so dove vada messa l'acl 100... io uso una configurazione ad ip dinamico e quindi la configurazione è assai diversa.

controlla nel forum: ci dovrebbero essere delle configurazioni pronte sia per ip fisso che dinamico.


ciauzzz!

[Wizard]

Ci credo che nn va nullla!
Manca la applicazione del ip inspect:

Codice: Seleziona tutto

interface Vlan1
ip inspect IDS in

[stefano88ferrari]

Ciao. Grazie per la risposta.
Ho provato ad aggiungere le regole, ma niente.
Ho anche rifatto la configurazione senza NAT, perchè in azienda vogliono uscire con ip pubblici.
Credo che il problema sia sulle acl: ho provato a non impostare nessuna access-list e così riesco a pingare i nomi di dominio, ma ancora dai pc non riesco a uscire.

[MircoT]

...
Ho anche rifatto la configurazione senza NAT, perchè in azienda vogliono uscire con ip pubblici....

ciumbia, credo che sia masochismo puro....

[Wizard]

Scusa spe, la config ip inspect era giusta, hai "ip inspect IDS out " sulla atm quindi ok.
Rimuovi il comando che ti ho dato sulla vlan1.
Non togliere il nat x l'amor di Dio!

[stefano88ferrari]

Grazie Wizard. Sono d'accordo con te ma la scelta non è mia. Abbiamo già dei server di sviluppo con ip pubblici...

Comunque ho provato ancora, ma riesco sempre e solo ad uscire dal router in console, pc e router si vedono ma il pc non riesce ad uscire.
Inoltre come ho detto, riesce a risolvere i nomi di dominio solo togliendo le acl (sulla atm0.1 no ip access-group in) , ma che me ne faccio se non riesco a navigare
Viva la sicurezza...

[Wizard]

Bel bisogna trovare un buon compromesso (come sempre).
Se dai router pinghi ip pubblici ma dai client no i problemi possono essere 2:

1) nat
2) ip inspect

Fai così:

lancia un ping -t a 151.1.1.1 da un pc e sul router dai prima questo comando:

sh ip nat translation

e controlla se si popola la tabella di nat

poi un bel

sh ip inspect session

e vedi ce ci sn le sessioni icmp (metti ip inspect anche su icmp va)

[stefano88ferrari]

Ciao Wizard.
Ho rimesso la configurazione con il nat. Per ora sto lasciando il tutto senza acl. Ho provato a lanciare i comandi che mi hai detto. Ho questi risultati:

sh ip inspect session
Session 83881BA8 (192.168.1.10:1026)=>(192.168.0.100:161) udp SIS_OPENING
Session 838818F0 (192.168.1.10:8)=>(151.1.1.1:0) icmp SIS_OPENING

sh ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 94.**.**.179:512 192.168.1.10:512 151.1.1.1:512 151.1.1.1:512
udp 94.**.**.179:1026 192.168.1.10:1026 192.168.0.100:161 192.168.0.100:161
udp 94.**.**.179:54187 192.168.1.10:54187 151.99.0.100:53 151.99.0.100:53
udp 94.**.**.179:56663 192.168.1.10:56663 151.99.0.100:53 151.99.0.100:53
udp 94.**.**.179:64261 192.168.1.10:64261 151.99.0.100:53 151.99.0.100:53
udp 94.**.**.179:65023 192.168.1.10:65023 151.99.0.100:53 151.99.0.100:53

Cosa mi puoi dire?
Ho cambiato due indirizzi, ti riposto la conf.

service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers

hostname CiscoAct

boot-start-marker
boot-end-marker

logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 ****

no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000

ip cef
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
ip inspect name IDS icmp
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
login block-for 1 attempts 3 within 30
login on-failure
login on-success

username admin privilege 15 secret 5 ***
archive
log config
hidekeys

ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10

interface Loopback0
description INTERFACCIA VIRTUALE END-POINT VPN
ip address 94.**.**.178 255.255.255.248

interface Null0
no ip unreachables

interface ATM0
description ALICE BUSINESS 20 Mbps - TGU:
mtu 1500
no ip address
no shutdown
no atm ilmi-keepalive
dsl operating-mode auto

interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.50.226.14 255.255.255.252
ip verify unicast reverse-path
no shutdown
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip inspect IDS out
ip nat outside
ip virtual-reassembly
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap

interface FastEthernet0

interface FastEthernet1

interface FastEthernet2

interface FastEthernet3

interface Vlan1
description CONNESSIONE LAN DRG
ip address 192.168.1.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
no shutdown
hold-queue 100 out

ip route 0.0.0.0 0.0.0.0 ATM0.1

ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool INTERNET 94.**.**.179 94.**.**.182 netmask 255.255.255.248
ip nat pool LAN 192.168.1.0 192.168.1.255 netmask 255.255.255.0
ip nat inside source list 100 pool INTERNET overload

access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.1.0 0.0.0.255 any


control-plane

banner motd ^C
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C

line con 0
exec-timeout 120 0
login local
no modem enable
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh

scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

[stefano88ferrari]

Ho fatto dei cambiamenti.
Sono entrato nell'interfaccia web (lo so che non si deve fare, ma le ho provate tutte), ho fato un reset di fabbrica, sono rientrato ed ho seguito il wizard.
Al termine della configurazione, con mio stupore, il pc era riuscito ad andare in internet, ma sorpresa: vado su my ip e mi da come ip l'ip punto punto!
Nella configurazione, ci sono queste differenze:
nella atm0.1

Codice: Seleziona tutto

pvc 8/35
 protocol ip 88.50.226.13 broadcast

ovvero il gateway che mi ha chiesto nella conf guidata (ip punto punto -1) e

Codice: Seleziona tutto

ip nat inside source list 1 interface ATM0.1 overload

In pratica, tutto il traffico è nattato sulla atm0.1, ma questo non è corretto, vero? Mi pareva anzi che non fosse possibile navigare con l'ip punto punto... Cosa sbaglio con gli ip pubblici?

[Wizard]

Eh nn lo so se sbagli con gli ip pubblici, ricontrolla sulla scheda tecnica della linea adsl di nn avere digitato male...

[stefano88ferrari]

No gli ip sono giusti (li so ad occhi chiusi). Ho provato a configurare il router con gli stessi indirizzi di quello dell'altra linea telecom per i server, quindi l'ho sostituito e come immaginavo ha funzionato tutto corettamente. A questo punto è un problema di linea e chiameremo la telecom. Vi ringrazio comunque del supporto.

[stefano88ferrari]

Come immaginavo alla fine era un problema di Telecom: non erano annunciati gli indirizzi sul pop, quindi il traffico arrivava al gateway ma non tornava indietro. Problema risolto al volo dall'operatore e tutto funzionante.
Ora in questi giorni ho fatto una modifica: ho abilitato il Nat come mi suggerivate, con delle regole di nat statico (ip pubblico -> ip privato). Però ho notato una cosa: i server si vedono tranquillamente dall'esterno con l'ip pubblico, si vedono tra i loro con gli ip interni della lan, ma non si vedono tra di loro con gli ip pubblici: cioè, se io tento di pingare dal server A il server B sul suo ip pubblico, non ho risposta (e questo può essere un problema per certe applicazioni).
E' un problema o è normale avendo configurato il nat? Vi ripeto, non sono sistemista e sono alle prime armi...