Pagina 1 di 2
[RISOLTO] Cisco 1801 e Telecom Italia Business
Inviato: mer 17 mar , 2010 12:48 pm
da Blue Ice
Salve a tutti, sto cercando di configurare il router in questione ma senza successo, o almeno in parte...
è la prima volta che configuro un cisco e quindi sono neofita. ho letto un po' in giro sul forum e mi sono documentato, cercando di creare una configurazione iniziale per farlo funzionare, sono riuscito a far funzionare i pc ma mi navigavano uscendo dalla punto punto, mentre invece le mie necessità sono un po' differenti... avendo 16 ip pubblici avrei la necessità di configurare un NAT e alcuni PAT per alcuni singoli ip, nel modo seguente:
80.21.***.17 192.168.0.0 - 192.168.0.255
80.21.***.20 192.168.0.100
80.21.***.21 192.168.0.99
80.21.***.22 192.168.0.253
80.21.***.23 192.168.0.95
80.21.***.25 192.168.0.104
80.21.***.26 192.168.0.105
80.21.***.27 192.168.0.106
80.21.***.30 192.168.0.107
andando poi a definire sul firewall le porte aperte in entrata per i singoli ip pubblici...
ho creato una configurazione iniziale ma non riesco a navigare, al momento non ho creato alcuna regola di PAT, visto che non so nemmeno come si configurano, intanto mi accontenterei del utilizzare il NAT sul primo ip pubblico in uscita e non uscire più con la punto punto... di seguito trovate la conf che ho creato.
Codice: Seleziona tutto
version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 *****
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3672678414
revocation-check none
rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33363732 36373834 3134301E 170D3130 30333137 31313032
32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36373236
37383431 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009F8F 6D01659B 953ACAF4 AADDFBB7 B2090498 0E618944 4175E6F6 C6AE4772
1043FDB4 98DFDC57 E8FD3484 5467FF92 3007D3B2 B869D0DD 411CA798 6BD96F9F
175A12B6 3C7774D4 0EB29896 ADD4A3C7 BD8F513F E24AB0EA 216BF69E E1110419
07AB03E9 E5411090 A41A9B5E 5F9686EA 18F92F80 67D571DE 4CB29038 F1ECB81A
6E930203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11485447 524F5550 2E636973 636F2E63 6F6D301F 0603551D
23041830 16801485 8C726A6C 51C9A032 78402C0A 8C31EC11 BA78B030 1D060355
1D0E0416 0414858C 726A6C51 C9A03278 402C0A8C 31EC11BA 78B0300D 06092A86
4886F70D 01010405 00038181 0023C246 69D71F33 D8FBE96E 17EC7EF8 A9317CFD
A4D9D77E 2AC57EEC E80C12F0 98958711 6B07488A B1CF46D2 3358A284 C2A8110B
12EB89EF E1B44242 C0BD2E19 16936DF7 7EAF5E9F A435A66B B21FF956 DE328E1F
02052151 47B63CAE 1D40D2F6 8CF373C8 7D17199D 5CF7C30D C9DB0B54 0FD597BE
B062D2E5 136A9906 98AAA6F2 FE
quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
username ##### privilege 15 secret 5 *****
!
!
archive
log config
hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
description INTERFACCIA VIRTUALE END-POINT VPN
ip address 80.21.***.17 255.255.255.240
!
interface Null0
no ip unreachables
!
interface FastEthernet0
no ip address
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
description ALICE BUSINESS 20 Mbps - TGU:
mtu 1500
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.48.***.178 255.255.255.252
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip nat outside
ip inspect IDS out
ip virtual-reassembly
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface Vlan1
description CONNESSIONE LAN HT
ip address 192.168.0.254 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool INTERNET 80.21.***.17 80.21.***.30 netmask 255.255.255.240
ip nat pool LAN 192.168.0.0 192.168.0.255 netmask 255.255.255.0
ip nat inside source list 100 pool INTERNET overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL VERSO SERVER WEB
access-list 131 permit tcp any any eq www
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554
access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny ip any any log
!
!
!
!
!
!
control-plane
!
banner motd ^CC
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
exec-timeout 120 0
login local
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end
di seguito posto pure uno stato delle porte:
Codice: Seleziona tutto
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES manual up down
BRI0 unassigned YES unset administratively down down
BRI0:1 unassigned YES unset administratively down down
BRI0:2 unassigned YES unset administratively down down
FastEthernet1 unassigned YES unset up up
FastEthernet2 unassigned YES unset up down
FastEthernet3 unassigned YES unset up down
FastEthernet4 unassigned YES unset up down
FastEthernet5 unassigned YES unset up down
FastEthernet6 unassigned YES unset up down
FastEthernet7 unassigned YES unset up down
FastEthernet8 unassigned YES unset up down
ATM0 unassigned YES manual up up
ATM0.1 88.48.***.178 YES manual up up
Vlan1 192.168.0.254 YES manual up up
Loopback0 80.21.***.17 YES manual up up
NVI0 unassigned NO unset up up
Grazie per l'eventuale aiuto
Inviato: dom 21 mar , 2010 12:20 pm
da Blue Ice
nessuno che riesce a darmi un aiuto?
ho provato a fare diverse configurazioni, prendendo spunto dalle altre conf postate qua sul forum ma non riesco ad uscire utilizzando un determinato ip pubblico di quelli assegnatimi...
riesco solo ad uscire con la punto punto, ma non è quello che vorrei
Inviato: dom 21 mar , 2010 3:13 pm
da Blue Ice
Ciao!
intanto ti ringrazio per l'aiuto, come prima cosa
poi per rispondere alle tue domande io vorrei definire sia un nat dinamico, che permetta all'intera rete di navigare all'esterno tramite un ip pubblico da me definito, che alcuni nat statici che mi servono per pubblicare dei servizi all'esterno, quali exchange, voip, hyper-v etc etc
chiedo scusa per la "maccheronicità" dei termini, ma è la prima volta che lavoro su cisco e soluzioni di così alto livello, e sono abituato ai router in comodato d'uso o ai netgear e similari, tutti con la loro "comoda" gui con tanto di wizard
anche se, mi sto rendendo conto ora che ci sto smazzando dietro, che una volta che si ha la dimestichezza con questi apparati si ha veramente un altro livello di conoscenza delle reti, piuttosto che dei servizi che su essi viaggiano
ora modifico la conf come mi hai detto te e ti dico a minuti il risultato, spero positivo
Inviato: dom 21 mar , 2010 3:49 pm
da jullare81
Ciao,
se vuoi fare il nat della LAN con gli ip pubblici assegnati devi mettere la stringa di comando
ip nat inside source list 100 interface loopback0 overload
uscirai così su internet con l'ip dell'interfaccia di loopback
per il nat statico devi mettere il comando che ti ha detto didigno, ma l'ip outside deve essere uno di quelli pubblici a tua disposizione
ad es.:
ip nat inside source static 192.168.0.100 80.21.***.20
e via discorrendo
Inviato: dom 21 mar , 2010 4:40 pm
da Blue Ice
vi ringrazio per l'aiuto che mi state dando, ho provato un po' di settaggi ma sono fermo al punto di prima, ovvero esco solo tramite la punto punto...
posto la conf attuale e vi dico le prove che ho fatto:
Codice: Seleziona tutto
!
! Last configuration change at 16:14:18 MET Sun Mar 21 2010
! NVRAM config last updated at 16:08:55 MET Sun Mar 21 2010
!
version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret *****
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3672678414
revocation-check none
rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33363732 36373834 3134301E 170D3130 30333137 31313032
32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36373236
37383431 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009F8F 6D01659B 953ACAF4 AADDFBB7 B2090498 0E618944 4175E6F6 C6AE4772
1043FDB4 98DFDC57 E8FD3484 5467FF92 3007D3B2 B869D0DD 411CA798 6BD96F9F
175A12B6 3C7774D4 0EB29896 ADD4A3C7 BD8F513F E24AB0EA 216BF69E E1110419
07AB03E9 E5411090 A41A9B5E 5F9686EA 18F92F80 67D571DE 4CB29038 F1ECB81A
6E930203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11485447 524F5550 2E636973 636F2E63 6F6D301F 0603551D
23041830 16801485 8C726A6C 51C9A032 78402C0A 8C31EC11 BA78B030 1D060355
1D0E0416 0414858C 726A6C51 C9A03278 402C0A8C 31EC11BA 78B0300D 06092A86
4886F70D 01010405 00038181 0023C246 69D71F33 D8FBE96E 17EC7EF8 A9317CFD
A4D9D77E 2AC57EEC E80C12F0 98958711 6B07488A B1CF46D2 3358A284 C2A8110B
12EB89EF E1B44242 C0BD2E19 16936DF7 7EAF5E9F A435A66B B21FF956 DE328E1F
02052151 47B63CAE 1D40D2F6 8CF373C8 7D17199D 5CF7C30D C9DB0B54 0FD597BE
B062D2E5 136A9906 98AAA6F2 FE
quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
username ##### privilege 15 secret *****
!
!
archive
log config
hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
ip address 80.21.***.19 255.255.255.240
ip nat outside
ip virtual-reassembly
!
interface Null0
no ip unreachables
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
description ALICE BUSINESS 20 Mbps - TGU:
mtu 1500
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.48.***.178 255.255.255.252
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip nat outside
ip inspect IDS out
ip virtual-reassembly
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface Vlan1
description CONNESSIONE LAN HT
ip address 192.168.0.254 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface ATM0.1 overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
banner motd ^CCC
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
exec-timeout 120 0
login local
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end
ho eliminato tutte le acl della lista 131, per evitare problemi di blocchi dovuti ad esse...
ho configurato la loopback0 su uno degli ip pubblici assegnatimi, non è il primo ip ma tipo il 3° disponibile (mi è stato assegnato 80.21.***.16 / 255.255.255.240)
ho provato a sostituire:
Codice: Seleziona tutto
ip nat inside source list 100 interface ATM0.1 overload
con
Codice: Seleziona tutto
ip nat inside source list 100 interface LoopBack0 overload
ma non navigo più in quel caso, ho anche provato a mettere ip nat outside sulla loopback in combinata con la regola di nat, ma non cambia...
ho anche provato ad usare il nat statico con e senza la loopback ma non navigo, anzi, se lo metto in aggiunta alla regola di nat " ip nat inside source list 100 interface ATM0.1 overload" il pc pinga all'esterno ma non naviga da nessuna parte...
è come se alla loopback0 mancassero i dati per navigare...
ho anche provato a fare solo una rotta statica sulla atm0.1 nel seguente modo e funziona:
ip nat inside source static 192.168.0.204 interface ATM0.1
se provo a farla sulla loopback invece non va...
dove sta l'inghippo?
Inviato: dom 21 mar , 2010 5:24 pm
da Gianremo.Smisek
segui i comandi che ti dato didigno. Se non funziona, IMHO vuol dire che telecom non annuncia la tua classe al mondo. Per cui chiamali e digli che non riesci a navigare con il public-pool a te assegnato. In alternativa, fai una prova, per escludere il cisco: metti un secondary ip address sull'interfaccia di LAN con l'IP della classe pubblica ed assegna ad una macchina di testing un IP di suddetta classe: vedi se riesci a navigare. Se neanche cosi' funziona, vuol dire che telecom non annuncia la classe.
ciao!
P.S. la interfaccia di loopback NON si usa nel NAT. Non ha motivo di esistere in questo caso. E' una practice errata. Il router alloca gli IP del NAT POOL anche senza interfaccia (deve solo riscrivere l'header del layer3!)
Inviato: dom 21 mar , 2010 5:31 pm
da jullare81
leva il comando ip nat outside sotto l'interfaccia di loopback e poi fai questa prova
fai un ping all' ip della p2p lato telecom ( il .179) con source loopback0
se il ping non risponde il problema e' di TI che non ha inserito la rotta di ritorno per la tua network pubblica.
La configurazione mi sembra corretta ad eccezione del nat che adesso e' impostato per uscire con l'ip della p2p TI
Inviato: dom 21 mar , 2010 9:49 pm
da Blue Ice
grazie per l'aiuto, ho effettuato le prove che mi avete detto e ora vado a riportare gli esiti:
rimosso ip nat outside dalla loopback0 e pingato l'altro capo della p2p, che risulta essere il .177, ping positivo
rimossa loopback0, configurato ip secondary pubblico sulla vlan1, assegnato ip pubblico a pc interno con gateway uguale sia alla punto punto che al ip pubblico usato dalla vlan1, nessun ping esterno, ma pingo l'altro capo della punto punto (il .177)
quindi il problema dovrebbe stare lato telecom, giusto?
e dire che è una settimana che ci smazzo dietro dando la colpa alla mia ignoranza e all'apprecchio che appariva essere "scrauso" visto che non navigavo... domani chiamo telecom... nel frattempo avete qlc altra idea di prova che posso fare?
Inviato: dom 21 mar , 2010 10:02 pm
da jullare81
se il ping ha esito positivo il problema e' sulla configurazione, perchè vuol dire che TI ha inserito la rotta della tua network e conosce il percorso inverso per la risposta.
Inviato: dom 21 mar , 2010 10:17 pm
da Gianremo.Smisek
jullare81 ha scritto:se il ping ha esito positivo il problema e' sulla configurazione, perchè vuol dire che TI ha inserito la rotta della tua network e conosce il percorso inverso per la risposta.
pinga il router telecom, grazie... e' la stessa rete! ma se telecom non l'annuncia al mondo esterno, gli altri non lo vedranno mai!
IMHO deve chiamare il call center e farsi aprire un ticket sul routing di quel pool!
ciao
Inviato: dom 21 mar , 2010 10:18 pm
da Blue Ice
Codice: Seleziona tutto
!
!
! Last configuration change at 21:40:22 MET Sun Mar 21 2010 by gmoretti
! NVRAM config last updated at 22:13:38 MET Sun Mar 21 2010 by gmoretti
!
version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3672678414
revocation-check none
rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
certificate self-signed 01 nvram:IOS-Self-Sig#6.cer
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
!
!
archive
log config
hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
no ip address
shutdown
!
interface Null0
no ip unreachables
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
description ALICE BUSINESS 20 Mbps - TGU:
mtu 1500
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
mtu 1500
ip address 88.48.29.178 255.255.255.252
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip nat outside
ip inspect IDS out
ip virtual-reassembly
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface Vlan1
description CONNESSIONE LAN HT
ip address 80.21.44.20 255.255.255.240 secondary
ip address 192.168.0.254 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface ATM0.1 overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
banner motd ^CCC
****************************************************************
----------------------------------------------------------------
* *** ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
exec-timeout 120 0
login local
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end
eccola, integrale come sta adesso... ho un pc di test il quale se lo configuro sulla lan interna esce, se lo configuro con ip pubblico 80.21.44.21 / 255.255.255.240 e gw 80.21.44.20 arriva all'altro capo della punto punto ma non oltre
se dall'esterno invece faccio un ping alla punto punto risponde, se lo faccio ad uno dei due ip pubblici utilizzati invece non risponde, con il traceroute si vede che arrivo su telecom ma non arrivo alla mia punto punto ma il trace muore prima su altri ip...
quindi mi vien da pensare che il problema sia di telecom, o no?
Inviato: dom 21 mar , 2010 10:23 pm
da Gianremo.Smisek
Blue Ice ha scritto:...
il traceroute si vede che arrivo su telecom ma non arrivo alla mia punto punto ma il trace muore prima su altri ip...
quindi mi vien da pensare che il problema sia di telecom, o no?
ecco, appunto. perche' secondo me il .177 (router telecom) non redistribuisce al mondo intero la rotta statica del tuo pool che punta verso l'interfaccia/next hop della tua connessione.
Per capirci:
Codice: Seleziona tutto
TUA RETE ---- TUO ROUTER ---- 1° HOP TI ---- AS IB/TI ---- MONDO INTERO
il 1° HOP (.177) avra' una rotta verso la tua rete tipo:
ip route 88.48.***.176 255.255.255.252 88.48.***.178
ora questa rotta non l'annuncia al mondo intero, ergo tu non navighi perche' non sanno come raggiungerti (da quel pool)
dalla macchina di testing, riesci a pingare .177 perche' lui ha la rotta verso di te, quindi e' giusto che funzioni. Ma i router all'esterno no.
saluti
Inviato: lun 22 mar , 2010 7:54 pm
da Blue Ice
oggi ho provato pure con un altro cisco 1801 configurandolo con la stessa conf, risultato uguale... ho chiamato il servizio assistenza e dovrebbero richiamarmi domattina, vi tengo aggiornati