CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

La mia prima volta... Cisco SR520 e Alice Business 20M

https://www.ciscoforums.it/viewtopic.php?f=22&t=28664

Pagina 1 di 1

La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: mer 12 ott , 2011 12:32 pm
da garetjax76
Visti i continui problemi che avevo con Zyxel, ho preso la decisione drastica di passare a Cisco.
"Così faccio anche un po' di esperienza", mi sono detto.
Voglio sostituire un 662H con un SR520... ho studiato un po' in giro, mi sono messo di buzzo buono e pensavo di essere a buon punto.
Ho buttato giù una configurazione basata su un post che ho trovato qui, oggi l'ho provata e ovviamente non funziona una cippa.
Non pinga i dns, non pinga il point-to-point, niente di niente.
Per ora non vorrei fare niente di trascendentale, mi basta far uscire l'intera LAN in internet con uno dei 6 ip pubblici assegnatimi.
Mi date una mano a capire dove sbaglio? (immagino che nella config ci siano parecchie cose che non servono, ma per non saper né leggere né scrivere ho toccato solo quello di cui credevo di aver capito qualcosa)

Codice: Seleziona tutto

Current configuration : 6226 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
enable secret 5 $1$zaaf$uZBmDFBsofIMVZv09tMnt/
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-3423622799
enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3423622799
 revocation-check none
 rsakeypair TP-self-signed-3423622799
!
!
crypto pki certificate chain TP-self-signed-3423622799
 certificate self-signed 01
  3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33343233 36323237 3939301E 170D3032 30333031 30303036 
  33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34323336 
  32323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100E9A6 E76B8424 7445BF4E 358DAC91 F08A89CF 66D9CADE C1C019C3 B2676666 
  0B27CE1D B1A09F7B 619402F1 96DD1810 93792CC3 CD36B7CE 6E138A7C EA25EEC0 
  B187F065 CA415F1B 02A975BA A300B55D 90B4929E A86D8A9B E3DDF25F 3FC814AC 
  90138831 6D538BCB 318AD86D 28EBD90C F04E12F7 7846E48B 94FA72E6 E7DC55DA 
  9DED0203 010001A3 65306330 0F060355 1D130101 FF040530 030101FF 30100603 
  551D1104 09300782 05535235 3230301F 0603551D 23041830 168014D7 7060E2C0 
  69923857 BDCBD22A CB5D6716 812EEA30 1D060355 1D0E0416 0414D770 60E2C069 
  923857BD CBD22ACB 5D671681 2EEA300D 06092A86 4886F70D 01010405 00038181 
  00C36A5E F83ACF6C 36DBF9D8 A40F24F8 52F82D0C 4CD71A7D 3262E5FB F9C85AC0 
  DC071384 182D22F6 2AE0F708 8AA6A59D 5F078ADB 6B17EFB6 909E9208 92FC7800 
  C606C93B 25DC857D 6BB62EFB 46A560B6 BD2F17DB C73964AC 7AB6F057 5496A302 
  CD2363B8 77D11F7C 1E9414ED 17675B76 623BDDD3 02E64E89 F4D52A76 3D4FBE69 88
  	quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 151.99.125.3
ip name-server 8.8.8.8
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$yqj.$sNxUEIzKodIr7vet2YKwp0
! 
!
!
archive
 log config
  logging enable
  logging size 600
  hidekeys
!
!
!
class-map type inspect match-any SDM-Voice-permit
 match protocol h323
 match protocol skinny
 match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-invalid-src
 match access-group 100
class-map type inspect match-all sdm-protocol-http
 match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect sdm-cls-icmp-access
  inspect 
 class class-default
  pass
policy-map type inspect sdm-inspect
 class type inspect sdm-invalid-src
  drop log
 class type inspect sdm-cls-insp-traffic
  inspect 
 class type inspect sdm-protocol-http
  inspect 
 class type inspect SDM-Voice-permit
  pass
 class class-default
  pass
policy-map type inspect sdm-inspect-voip-in
 class type inspect SDM-Voice-permit
  pass
 class class-default
  drop
policy-map type inspect sdm-permit
 class class-default
  drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
zone-pair security sdm-zp-out-in source out-zone destination in-zone
 service-policy type inspect sdm-inspect-voip-in
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 ip address <indirizzo-punto-punto-fornito-da-telecom> 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 zone-member security out-zone
 no ip mroute-cache
 snmp trap ip verify drop-rate
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description LAN 192.168.0.0/24
 ip address 192.168.0.3 255.255.255.0
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NAT-1 <primo-ip-pubblico> <primo-ip-pubblico> netmask 255.255.255.248
ip nat inside source list 100 pool NAT-1 overload
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 131 deny ip any any
access-list 131 permit tcp any host 192.168.0.11 eq 143
access-list 131 permit tcp any host 192.168.0.11 eq smtp
!
!
!
!
!
control-plane
!
^C
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: mer 12 ott , 2011 3:49 pm
da sanga
lo stato delle interfacce come sono ?
i pc pingano almeno il loro gateway (indirizzo eth del router)

l'Acl 103 direi che non va bene :
access-list 131 deny ip any any
access-list 131 permit tcp any host 192.168.0.11 eq 143
access-list 131 permit tcp any host 192.168.0.11 eq smtp

riscrivila cosi se non vuoi che venga bloccato tutto il traffico:

access-list 131 permit tcp any host 192.168.0.11 eq 143
access-list 131 permit tcp any host 192.168.0.11 eq smtp
access-list 131 deny ip any any

ma cosa dovrebbe fare questa acl ? è applicata in ingresso sulla ATM0.1 ma cosi scritta non ha senso....

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: mer 12 ott , 2011 4:02 pm
da garetjax76
sanga ha scritto:lo stato delle interfacce come sono ?
i pc pingano almeno il loro gateway (indirizzo eth del router)
Si, quello si :) e tutte le interfacce sono up.
l'Acl 103 direi che non va bene :
access-list 131 deny ip any any
access-list 131 permit tcp any host 192.168.0.11 eq 143
access-list 131 permit tcp any host 192.168.0.11 eq smtp

riscrivila cosi se non vuoi che venga bloccato tutto il traffico:

access-list 131 permit tcp any host 192.168.0.11 eq 143
access-list 131 permit tcp any host 192.168.0.11 eq smtp
access-list 131 deny ip any any
Davvero ha importanza la posizione della riga? E se un domani volessi aggiungere delle eccezioni?
ma cosa dovrebbe fare questa acl ? è applicata in ingresso sulla ATM0.1 ma cosi scritta non ha senso....
Hai ragione, non l'ho spiegata: era un maldestro tentativo di fare un NAPT, ossia di mappare le porte 25 e 143 sull'ip 192.168.0.11
Immagino che quello sia solo il primo passo, l'ho lasciata perché non credo che influenzi molto la configurazione... O sbaglio?

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: gio 13 ott , 2011 9:17 am
da sanga
assolutamente si l'ACL viene letta dalla prima riga, quando un' ACL è applicata su un interfaccia, il router verifica che il pacchetto "matchi" con le condizioni scritte nell'ACL partendo dall'alto, quando trova una condizione "vera" applica quanto scritto in quella riga... se la condizione non è "vera" passa alla riga successiva.
Attenzione anche alla direzione in cui l'ACL viene applicata , può essere IN oppure OUT, dipende in che direzione vuoi bloccare (o permettere) il traffico, naturalmente tieni in considerazione il traffico source e destination....
L'ho riassunto in quattro righe spero di non averti confuso le idee.... C'è un bel po di teoria nelle Acl, vale la pena documentarsi un attimo prima di mettere in produzione senza sapere bene il loro funzionamento.
Cmq nel tuo caso togli quell'ACL , verifica dal router riesci a fare un ping verso l'esterno, il NAT dovrebbe essere giusto per la rete interna, poi pensiamo a come lasciare aperte le porte 25 e 143 sull'IP 192.168.0.11

ciao S.

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: gio 13 ott , 2011 12:25 pm
da garetjax76
sanga ha scritto:assolutamente si l'ACL viene letta dalla prima riga, quando un' ACL è applicata su un interfaccia, il router verifica che il pacchetto "matchi" con le condizioni scritte nell'ACL partendo dall'alto, quando trova una condizione "vera" applica quanto scritto in quella riga... se la condizione non è "vera" passa alla riga successiva.
Attenzione anche alla direzione in cui l'ACL viene applicata , può essere IN oppure OUT, dipende in che direzione vuoi bloccare (o permettere) il traffico, naturalmente tieni in considerazione il traffico source e destination....
L'ho riassunto in quattro righe spero di non averti confuso le idee.... C'è un bel po di teoria nelle Acl, vale la pena documentarsi un attimo prima di mettere in produzione senza sapere bene il loro funzionamento.
Assolutamente. Per questo voglio essere ben sicuro di quello che faccio e voglio fare un passettino alla volta.
Intanto grazie ai tuoi consigli ti sto scrivendo utilizzando il nuovo router 8)
sanga ha scritto:Cmq nel tuo caso togli quell'ACL , verifica dal router riesci a fare un ping verso l'esterno, il NAT dovrebbe essere giusto per la rete interna, poi pensiamo a come lasciare aperte le porte 25 e 143 sull'IP 192.168.0.11
Allora, per poter navigare ho dovuto togliere anche la riga "zone-member security out-zone" dall'ATM0.1, chiaramente la parte firewall di questo router dovrò studiarmela e vedere se vale la pena o no implementarla.
Ho anche cancellato l'access list 131, adesso come dovrei configurarlo per fare un port forwarding a diversi pc interni alla LAN?
Più che la configurazione pronta mi piacerebbe avere chiaro il "concetto", anche perché devo farlo non solo per quelle due porte...

(e non siamo ancora arrivati alle VPN, lì ci sarà da ridere! :roll: )

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: gio 13 ott , 2011 12:59 pm
da sanga
devi configurare il NAT statico :

ip nat inside source static tcp (ip interno) 25 (ip pubblico) 25

25 è la porta tcp nattata... puoi metterci quello che vuoi in base alle esigenze naturalmente
fammi sapere
ciao S.

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: gio 13 ott , 2011 4:26 pm
da garetjax76
sanga ha scritto:devi configurare il NAT statico :

ip nat inside source static tcp (ip interno) 25 (ip pubblico) 25

25 è la porta tcp nattata... puoi metterci quello che vuoi in base alle esigenze naturalmente
fammi sapere
ciao S.
Ok, domani provo.
Sega mentale mia: se avessi per esempio 10 porte da aprire sullo stesso ip, posso fare qualcosa di più elegante di
ip nat inside source static tcp (ip interno) 25 (ip pubblico) 25
ripetuto 10 volte?
Non so, tipo definire un'access list in cui specifico il range di porte e poi lo applico con una sola istruzione ip nat inside source static... ? Vaneggio?

Re: La mia prima volta... Cisco SR520 e Alice Business 20M

Inviato: ven 14 ott , 2011 2:41 pm
da garetjax76
garetjax76 ha scritto:
sanga ha scritto:devi configurare il NAT statico :

ip nat inside source static tcp (ip interno) 25 (ip pubblico) 25

25 è la porta tcp nattata... puoi metterci quello che vuoi in base alle esigenze naturalmente
fammi sapere
ciao S.
Ok, domani provo.
Funziona perfettamente, GRAZIE!

Adesso viene il bello, ossia configurare le 9 VPN verso le filiali.
Ho fatto una prova con il Cisco Config Professional, ma mi ha un po' cambiato la configurazione del NAT e non navigavo più.
Queste le modifiche apportate alla config funzionante (la filiale ha la subnet 172.24.0.64/26):

Codice: Seleziona tutto

access-list 101 remark CCP_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.0.0 0.0.0.255 172.24.0.64 0.0.0.63
no access-list 100
access-list 100 remark CCP_ACL Category=16
access-list 100 remark IPSec Rule
access-list 100 deny ip 192.168.0.0 0.0.0.255 172.24.0.64 0.0.0.63
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode tunnel
 exit
crypto map SDM_CMAP_1 1 ipsec-isakmp
 set transform-set ESP-3DES-SHA
 set peer <ip_della_filiale>
 match address 101
 exit
interface ATM0.1
 no crypto map
 crypto map SDM_CMAP_1
 exit
route-map SDM_RMAP_1 permit 1
 match ip address 100
 exit
interface Vlan1
 no ip nat inside
 exit
interface ATM0.1
 no ip nat outside
 exit
do clear ip nat translation forced
no ip nat inside source list 100 pool NAT-1 overload
ip nat inside source route-map SDM_RMAP_1 pool NAT-1
interface Vlan1
 ip nat inside
 exit
interface ATM0.1
 ip nat outside
 exit
crypto isakmp key ************** address <ip_della_filiale>
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit
Apro un altro thread per le VPN?
Comunque adesso mi studio route-map e compagnia bella...
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it