CiscoForums.it

Dopo giorni di prove .... e letture e riletture del vostro furum ho creato ( con qualche suggerimento ) una configurazione funzionante e vorrei postarla.

Questo per sentire altri pareri e capire se ci sono parti da togliere / implementare / migliorare .

Fatemi sapere.....

I DATI SONO :

ADSL Alice Business CLICK
IP Assegnati : 99.99.99.136 <-> 143 NetMask 255.255.255.248
default Gat : 99.99.99.137
Punto Punto : 33.33.33.54 NetMask 255.255.255.252
IP Lan interna : 10.52.4.x 255.255.255.0
DHCP abilitato

ROUTER 877


---------------------------------------------------------------------------------
---------------------------------------------------------------------------------
---------------------------------------------------------------------------------
myRouter#
myRouter#
myRouter#
myRouter#sh run
Building configuration...

Current configuration : 3698 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
hostname myRouter
!
boot-start-marker
boot-end-marker
!
no logging on
enable secret 5 **password**
!
no aaa new-model
!
resource policy
!
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 99.99.99.137
ip dhcp excluded-address 10.52.4.1
ip dhcp excluded-address 10.52.4.1 10.52.4.180
!
ip dhcp pool CLIENT
network 10.52.4.0 255.255.255.0
default-router 10.52.4.1
domain-name VLAN3.it
dns-server 151.99.125.2 151.99.125.3
lease 0 2
!
!
ip domain name VLAN3.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 99.99.99.137 255.255.255.248
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $FW_OUTSIDE$$ES_WAN$
bandwidth 4096
ip address 33.33.33.54 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $FW_INSIDE$
ip address 10.52.4.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http secure-server
ip nat pool mypool 99.99.99.137 99.99.99.137 netmask 255.255.255.248
ip nat inside source list 102 pool mypool overload
ip nat inside source static 10.52.4.1 99.99.99.137
!
ip access-list logging interval 10
access-list 1 permit 10.52.4.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 33.33.33.52 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 deny ip 99.99.99.136 0.0.0.7 any
access-list 101 permit icmp any host 33.33.33.54 echo-reply
access-list 101 permit icmp any host 33.33.33.54 time-exceeded
access-list 101 permit icmp any host 33.33.33.54 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 permit ip host 10.52.4.3 any
access-list 102 permit ip host 10.52.4.5 any
access-list 102 permit ip host 10.52.4.10 any
access-list 102 permit ip host 10.52.4.250 any
access-list 102 deny ip any any
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password **password**
login
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

myRouter#
myRouter#
---------------------------------------------------------------------------------
---------------------------------------------------------------------------------
---------------------------------------------------------------------------------

scusa la mia ignoranza, da quanto posso vedere hai assegnato un ip pubblico al tuo router sull'interfaccia loopback0, come si fa ad assegnare gli altri ip ad altre macchine: cioè per esempio se voglio collegare un firewall sulla prima ethernet del cisco, come faccio a dirgli che deve poter usare l'ip pubblico (uno di quelli liberi) e non quello privato?

grazie

Io abiliterei la critografia delle password
Poi non serve perché non fa parte della rete che hai attribuito al server DHCP
non serve perché viene già usato quel indirizzo per il nat in generale, naturalmente devi includere l'indirizzo sorgente nella ACL 102

Ti consiglio anche di usare SSH 2 sulle vty e , se la rete te lo permette invece dell'incapsulamento aal5snap usare aal5mux (ti mangia menon banda).

Le mie conoscenze finiscono quà.

crisman ha scritto:scusa la mia ignoranza, da quanto posso vedere hai assegnato un ip pubblico al tuo router sull'interfaccia loopback0, come si fa ad assegnare gli altri ip ad altre macchine: cioè per esempio se voglio collegare un firewall sulla prima ethernet del cisco, come faccio a dirgli che deve poter usare l'ip pubblico (uno di quelli liberi) e non quello privato?

grazie

Invece che usare l'interfaccia di loopback, metti l'IP pubblico all'interfaccia Fastethernet del router come IP aggiuntivo (secondary) ed il gioco è fatto.

Ciao
Paolo

paolomat75 ha scritto: Invece che usare l'interfaccia di loopback, metti l'IP pubblico all'interfaccia Fastethernet del router come IP aggiuntivo (secondary) ed il gioco è fatto.

Ciao
Paolo

intendi qualcosa del tipo: ma in questo modo se io poi collego una macchina alla prima ethernet, la macchina stessa uscirà col suo ip pubblico oppure l'ip verrà mascherato dall'interfaccia atm0, in cui c'è il nat outside?
oltre all'ip è necessario specificare altro nella fastethernet0? tipo access-group,ecc?

grazie

crisman ha scritto:
ma in questo modo se io poi collego una macchina alla prima ethernet, la macchina stessa uscirà col suo ip pubblico oppure l'ip verrà mascherato dall'interfaccia atm0, in cui c'è il nat outside?
oltre all'ip è necessario specificare altro nella fastethernet0? tipo access-group,ecc?

grazie

Per farlo uscire con IP pubblico non devi far niente perché hai già la route di dafault e gli indirizzi non sono stati specificati da nattare.
Naturalmente puoi creare delle tue ACL se ti serve bloccare qualcosa.

Ciao

paolomat75 ha scritto:

crisman ha scritto:
ma in questo modo se io poi collego una macchina alla prima ethernet, la macchina stessa uscirà col suo ip pubblico oppure l'ip verrà mascherato dall'interfaccia atm0, in cui c'è il nat outside?
oltre all'ip è necessario specificare altro nella fastethernet0? tipo access-group,ecc?

grazie

Per farlo uscire con IP pubblico non devi far niente perché hai già la route di dafault e gli indirizzi non sono stati specificati da nattare.
Naturalmente puoi creare delle tue ACL se ti serve bloccare qualcosa.

Ciao

Qui non capisco....

nella mia configurazione il route ha l'indizzo 99.99.99.137 255.255.255.248 ed è quello con cui esco in internet.

Ora ho altri indirizzi assegnati da telecom ... prendiamo un esempio concreto, il 99.99.99.138 255.255.255.248

Ora vorrei sulla mia rete usarlo per in ingresso puntare ad un ipotetico server con sulla rete interna l'indirizzo 10.52.4.10 ....... che devo fare ?
In modo che se una persona su internet facci un ping o altro al 99.99.99.138 risponda il mio 10.52.4.10 ????

Grazie mille.

Ciao allora avevo capito male

In quel caso basta che metti nella configurazione
Ciao
Paolo

paolomat75 ha scritto:Ciao allora avevo capito male

In quel caso basta che metti nella configurazione

Codice: Seleziona tutto

ip nat inside source static 10.52.4.10 99.99.99.138 

Ciao
Paolo

Grazie mille .. come pensavo ....

una cosa vorrei chiederti ( anzi 2 ) :

1) Potrei assegnare ad un pc interno proprio un indirizzo pubblico ? e quindi creare una piccola rete con gli 8 ip che escano in internet ?

2) Non ho mai configurato un VPN server e mi servirebbe farlo per potermi collegare dall'esterno alla mia rete.
Hai qualche riferimento di qualche configurazione da spulciarmi ( per capire un po' la cosa ) .......

Grazie mille ancora .

Ale

Ok perfetto.

Per il primo punto è quello che ti ho risposto prima. Un IP address pubblico lo devi mettere sull'interfaccia ethernet come secondario.
Sul PC metti un altro IP pubblico con gateway l'IP pubblico del router

Per il secondo punto ti metto parte della mia configurazione che ho usato:
Spero di non essermi scordato niente perché sono un pò di fretta

Ciao

paolomat75 ha scritto:Ok perfetto.

Per il primo punto è quello che ti ho risposto prima. Un IP address pubblico lo devi mettere sull'interfaccia ethernet come secondario.
Sul PC metti un altro IP pubblico con gateway l'IP pubblico del router

Per il secondo punto ti metto parte della mia configurazione che ho usato:

Spero di non essermi scordato niente perché sono un pò di fretta

Ciao

Si , ho letto altre volte questa soluzione, di mettere gli ip pubblici aggiuntivi come secondari sulla ethernet.
Ma io ho il problema che la ethernet non la ho ( cisco 877 ) ma ho solo le fastethernet ( le quali non accettano ip ) e l'indirizzo del gateway lo ho dato alla loopback0.

Il range di indirizzi interli li ho assegnati alla vlan1 .......

Per la tua configurazione ..... dopo provo ... ,ma una domanda: con che utente e password ci sia autentica alla vpn ?

Premetto che non ho mai configurato router della serie 800.
Ho lavorato su 1721 e 2651.
Non capisco però quando dici che non puoi assegnare IP sulla fastethernet.
Dando un'occhiata veloce mi sembra che puoi farlo senza problemi.
Che IOS hai?

Per l'accesso così usi gli user impostati nel router, assegnane uso con pochi privilegi

Scusatemi se mi intrometto....

La configurazione è alquanto semplice e i consigli dati da paolomat75 sono stati ottimi...

Ho notato però che c'è un uso improprio dei termini...

nella mia configurazione il route ha l'indizzo 99.99.99.137 255.255.255.248 ed è quello con cui esco in internet.

forse intendi dire...nella mia configurazione la default route è 99.99.99.137....

Ma io ho il problema che la ethernet non la ho ( cisco 877 ) ma ho solo le fastethernet ( le quali non accettano ip ) e l'indirizzo del gateway lo ho dato alla loopback0.

Ethernet, FastEthernet, GigabitEthernet etc... indicano solo la "velocità" dell'interfaccia...
E' la modalità operativa che cambia e può essere "managed switch" o "routed"....quello che intendi è che essendo managed switched e non routed hai 4 interfacce che in realtà sono come uno switch...

Puoi comunque tranquillamente crearti l'interfaccia virtuale VLan1 e assegnargli un indirizzo per il gateway interno...

Per ciò che concerne i metodi di autenticazione puoi utilizzare diverse tipologie:

1) Local
2) Radius
3) Tacacs+

Local significa che crei gli utenti direttamente sul router con il comando:

username <username> privilege <0-15> secret (password 0) <password>

Radius invece hai bisogno di un Radius Server interno (e/o remoto) su cui fai l'autenticazione (es. Se hai Active directory puoi gestire gli utenti di un gruppo ad esempio "Router_Admin" direttamente dal server) dovrai poi configurare il router per rimandare l'autenticazione al server.

Tacacs+ è un protocollo proprietario Cisco e per implementarlo hai bisogno dell'ACS (Cisco Secure Access Control Server)...più info qui

Ciao

Ottima risposta

Scusate se sono stato un pò troppo stringato, ma ho poco tempo

Beh, per prima cosa voreri ringraziarti Paolomat75 per i consigli.

Ora la VPN si stabilisce ( testato tra iphone e router ) e mi viene assegnato un ip ma non riesco a raggiungere nulla ( pingare )

Ti posto la mia configurazione .... magari hai qualche idea :

( ti metto in rosso le parti aggiunte per la PPTP )

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
myRouter#
myRouter#
myRouter#sh run
Building configuration...

Current configuration : 5885 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname myRouter
!
boot-start-marker
boot-end-marker
!
no logging on
enable secret 5 **Password**
!
no aaa new-model
!
resource policy
!
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.52.4.1
ip dhcp excluded-address 10.52.4.1 10.52.4.180
!
ip dhcp pool CLIENT
network 10.52.4.0 255.255.255.0
default-router 10.52.4.1
domain-name myVLAN3.it
dns-server 151.99.125.2 151.99.125.3
lease 0 2
!
!
ip domain name myVLAN3.it
ip name-server 151.99.125.2
ip name-server 151.99.0.100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

login on-success

vpdn enable!

vpdn-group C857W-VPN
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!!
!
crypto pki trustpoint TP-self-signed-2413152846
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2413152846
revocation-check none
rsakeypair TP-self-signed-2413152846
!
!
crypto pki certificate chain TP-self-signed-2413152846
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32343133 31353238 3436301E 170D3130 30383235 30373533
33385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 34313331
35323834 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C246 DB59BBB1 24A10592 46A4AF3D 89FCB944 FB2006DC CFCEC0B9 EF6E0800
F31AC3F8 0E1EFF89 2768D67D 7D33A42F 61F831F1 6257BEBB C8EBB1BF 88AB4669
C7D82B01 C441BD17 977B77DE F33AE748 7B897F63 8D0B326E C8D85950 5A10FF7C
4A0C06BC CDF89B39 9FD013D9 E7631EE4 54A4BB6B E8F47971 DCEF9DB7 CD5544CF
2EA50203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 18646F72 6D657252 6F762E44 6F726D65 72564C41 4E332E69
74301F06 03551D23 04183016 80148054 44429DF9 B2A4C759 D525D14D 1B57C970
F726301D 0603551D 0E041604 14805444 429DF9B2 A4C759D5 25D14D1B 57C970F7
26300D06 092A8648 86F70D01 01040500 03818100 2F5C5CDE CC60D2FB B3245FC6
A7B4DFD1 6C907EA6 3010C860 F53708EE 17DB24F7 6310D226 0D7DAAC2 FB27EB15
6E2C7F23 F15DAA08 9A944064 705A6C3A 74882F4F 48A34FFD 95120CC4 701DD193
493579F2 6DCCAD96 928E7BCA 9E793AB6 AE82A241 E87C2113 B9832357 62B83391
88C94529 409DB5FE CDE31843 B9C01FCB 1895E36A
quit
username pippo password 7 pluto
username pippo1 password 7 pluto1!
!
!
!
!
!
interface Loopback0
ip address 99.99.99.137 255.255.255.248
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $FW_OUTSIDE$$ES_WAN$
bandwidth 4096
ip address 33.33.33.54 255.255.255.252
ip access-group 101 in
ip verify unicast reverse-path
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1
ip unnumbered FastEthernet0
peer default ip address pool VPN
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!

interface Vlan1
description $FW_INSIDE$
ip address 10.52.4.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
ip local pool VPN 10.52.4.210 10.52.4.212
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http secure-server
ip nat pool mypool 99.99.99.137 99.99.99.137 netmask 255.255.255.248
ip nat inside source list 102 pool mypool overload
!
ip access-list logging interval 10
access-list 1 permit 10.52.4.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 33.33.33.52 0.0.0.3 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit tcp any any eq 1723
access-list 101 permit udp any eq isakmp any eq isakmp
access-list 101 permit gre any any
access-list 101 deny ip 99.99.99.136 0.0.0.7 any
access-list 101 permit icmp any host 33.33.33.54 echo-reply
access-list 101 permit icmp any host 33.33.33.54 time-exceeded
access-list 101 permit icmp any host 33.33.33.54 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 permit ip host 10.52.4.3 any
access-list 102 permit ip host 10.52.4.5 any
access-list 102 permit ip host 10.52.4.10 any
access-list 102 permit ip host 10.52.4.250 any
access-list 102 deny ip any any
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login local
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

myRouter#
myRouter#
myRouter#
myRouter#

--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------

Idee ????

Ho provato cambiando :

ip unnumbered FastEthernet0
con
ip unnumbered VLan1

ma non cambia nulla