E' indispensabile definire gli IP Pubblici da nattare

[brunol]

Ciao a tutti

Non essendo di mestiere ma non trovando neanche pagando qualcuno disponibile a configurarmi un Cisco 871-K9 ho cercato di arrangiarmi usando dei Tools Esterni ed interni al router

Nel Form per indicare il NAT dei vari IP pubblici e' necessario definire il range che verra' nattato
Ne viene una riga di CFG cosi' scritta
ip nat pool IP_PUBBLICI x.y.z.131 x.y.z.142 netmask 255.255.255.240
Di seguito poi i vari ip nat
ip nat inside source static 192.168.1.2 x.y.z.131

In precedenza ho avuto altri 2 router Cisco non miei ma datimi in comodato e sempre con un range di IP nattati
Nessuna delle precedenti CFG pero' prevedeva la riga ip nat pool

C'erano i nat e basta

Posso Toglierla ??
Il motivo e' che la suddetta definizione mi impedisce di nattare alcune porte dell'IP pubblico del router che e' x.y.z.130
Nello stesso tempo mi impedisce di inserire il 130 perche' e' l'IP del Router

Vi ringrazio anticipatamente per l'aiuto

Bruno L.

[paolomat75]

Ciao,
si possono fare diversi tipi di NAT. Posta la configurazione, ma da quello che ho capito il problema è che il 130 è sulla interfaccia inside invece che outside.

[brunol]

Ciao,
il problema è che il 130 è sulla interfaccia inside invece che outside.

Intanto grazie
Non mi sembra ( per quello che ne capisco io )
La VLAN1 raggruppa le eth0--3 come fossero uno switch ( mia deduzione )
Comunque ecco la CFG ; ho messo solo la parte che credo interessi .
=============
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address x.y.z.130 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip default-gateway x.y.z.129
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.y.z.129
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
Questa di seguito e' la riga incriminata che negli altri router NON e' mai esistita
ip nat pool IP_PUBBLICI x.y.z.131 x.y.z.142 netmask 255.255.255.240

ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source static 192.168.1.2 x.y.z.131
ip nat inside source static 192.168.1.3 x.y.z.132
ip nat inside source static 192.168.1.4 x.y.z.133
ip nat inside source static 192.168.1.5 x.y.z.134
ip nat inside source static 192.168.1.6 x.y.z.135
ip nat inside source static 192.168.1.7 x.y.z.136
ip nat inside source static 192.168.1.8 x.y.z.137
ip nat inside source static 192.168.1.9 x.y.z.138
ip nat inside source static 192.168.1.10 x.y.z.139
ip nat inside source static 192.168.1.11 x.y.z.140
ip nat inside source static 192.168.1.12 x.y.z.141
ip nat inside source static 192.168.1.13 x.y.z.142
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17182104
ntp server 193.204.114.232 key 0 prefer
end
=================

Gli IP pubblici sono 16 ( -2 )
Il .129 e' in realta' l'antenna del WISP e fa parte dei 16
Il successivo 130 e' il router ; come si vede
Seguono poi i 12 IP nattati 1:1

Rigrazie

[paolomat75]

Ciao,
il pool non lo usi perciò puoi eliminarlo.
Comunque prova a creare le conversioni statiche con la parola extendable

Paolo

[brunol]

il pool non lo usi perciò puoi eliminarlo.

Chissa' pero' perche' il tool che appare collegandosi a http://192.168.1.1 ti obbliga a metterlo , pena l'impossibilta' di iserire i NAT 1:1

Comunque prova a creare le conversioni statiche con la parola extendable

Per prova avevo inserito questa che sarebbe quella che vorrei portare sul 130
========
ip nat inside source static tcp 192.168.1.3 4001 x.y.z.132 4001 extendable
====
Dici di inserire extendable su tutte le righe ??

Bisogna per' toglierle e rimettererle immagino ; non sono editabili o riscrivibili da Telnet

Per toglierle se ben ricordo necessita scrivere NO e poi la riga cosi' come e'

Ti ringrazio ancora

[paolomat75]

Io non uso il tool. Da CLI io i pool non li ho usati nelle statiche e funzionava lo stesso, cmq per maggiore leggibilità o stile può essere una buona cosa dichiararli.
Per levare basta mettere no davanti, comunque non server. Poi riscrivere la riga con extandable e aggiorna quella.

[brunol]

Io non uso il tool. Da CLI io i pool non li ho usati nelle statiche e funzionava lo stesso

Infatti nelle precedenti CFG non c'e' ed hanno sempre funzionato come questa del resto dopo averlo tolto
Ho inserito pero' queste righe
ip nat inside source static tcp 192.168.1.81 4001 x.y.z.130 4001 extendable
ip nat inside source static udp 192.168.1.81 4001 x.y.z.130 4001 extendable
ip nat inside source static tcp 192.168.1.81 4001 x.y.z.131 4001 extendable
ip nat inside source static udp 192.168.1.81 4001 x.y.z.131 4001 extendable

Il 130 e' l'IP del router mentre il 131 e' uno degli IP disponibili
Un tentativo di connessione pero' fallisce su ambedue gli IP

Come si puo' fare il classico port forwarding ??
Dovevo poi aggiungere
ip nat inside source static tcp 192.168.1.83 4001 x.y.z.130 4011 extendable
ip nat inside source static udp 192.168.1.83 4001 x.y.z.130 4011 extendable

Vale a dire che se mi collego alla porta 4001 vado sulla 4001 del .81 mentre se mi colleggo alla 4011 vado sulla 4001 del .83
Mi pare impossibile che non si possa fare

Ti ringrazio

[paolomat75]

Hai provato a cancellare le transations del nat?
Se fai un

Codice: Seleziona tutto

sh ip nat translations

cosa ti esce?

[brunol]

Se fai un

Codice: Seleziona tutto

sh ip nat translations

cosa ti esce?

Ecco qua a caldo ; fatto subito dopo un clear altrimenti .... che scodazzo
=======
Router#clear ip nat tra *
Router#sh ip nat tra
Pro Inside global Inside local Outside local Outside global
--- x.y.z.132 192.168.1.3 --- ---
--- x.y.z.133 192.168.1.4 --- ---
--- x.y.z.134 192.168.1.5 --- ---
--- x.y.z.135 192.168.1.6 --- ---
--- x.y.z.136 192.168.1.7 --- ---
--- x.y.z.137 192.168.1.8 --- ---
--- x.y.z.138 192.168.1.9 --- ---
--- x.y.z.139 192.168.1.10 --- ---
--- x.y.z.140 192.168.1.11 --- ---
--- x.y.z.141 192.168.1.12 --- ---
--- x.y.z.142 192.168.1.13 --- ---
udp x.y.z.130:56033 192.168.1.24:56033 95.116.201.147:6012 95.116.201.147:6012
tcp x.y.z.130:4001 192.168.1.81:4001 --- ---
udp x.y.z.130:4001 192.168.1.81:4001 --- ---
tcp x.y.z.130:4011 192.168.1.83:4001 --- ---
udp x.y.z.130:4011 192.168.1.83:4001 --- ---
tcp x.y.z.131:4001 192.168.1.81:4001 --- ---
udp x.y.z.131:4001 192.168.1.81:4001 --- ---
Router#
=======

[paolomat75]

Con questa tabella dovrebbe andare il port forward.

Sicuro che non va?

Domani, se non risolvi prima, provo a simulare qua in ditta la cosa

Ciao

[brunol]

Con questa tabella dovrebbe andare il port forward.
Sicuro che non va?
Domani, se non risolvi prima, provo a simulare qua in ditta la cosa
Ciao

Oggi ho fatto fare ad altri delle prove da una postazione esterna alla mia rete
Domani provo io da fuori visto che sono in trasferta

Ti ringrazio per la pazienza

[brunol]

Con questa tabella dovrebbe andare il port forward.
Sicuro che non va?

Funziona
non ho capito se chi provava aveva le traveggole
Mi sono connesso ad una macchina remota di cui ho il controllo e da li ho fatto le prove verso la mia rete
Ho dato anche un nome al router sul DNS e funziona sia con IP che con URL

Non funziona dall'interno della rete
Strano perche' se digito http://webcam.webveneto.org funziona anche se e' all'interno della rete
Ma non mi cruccio piu' di tanto ; a me interessa che sia raggiungibile da fuori perche' qui posso usare l'IP locale senza problemi

Adesso devo aggiungere le porte dei CN

Ti ringrazio per la disponibilita'

[paolomat75]

Ok perfetto!

Buona giornata