Aiuto per config adsl alice su 877

[ZaZi]

Intanto un saluto a tutta la board.
Ora vengo al mio problema che ho su un cisco 877
datomi da un amico e che vorrei mettere al posto del mio d-link.

innanzitutto ho collegato 877 con seriale su hyper terminal
sono entrato in ROMMON 1> e digitato 0x2142 + invio
poi reset.....una volta riavviato e essermi posto in ROUTER>
ho fatto enable e entrato in ROUTER# ho fatto un wr erase
poi reload per riavviare.......
una volta riavviato sono ritornato in ROMMON> e digitato confreg 0x2102.

A questo punto ho fatto conf t da router# ed ho messo la mia config
che ho preparato dopo tante letture e scaricamenti vari, ho spento
e attaccato l'877 alla linea adsl ma........aimè nn riesco neanche a navigare.
Vi posto la conf che ho messo e magari se potete indicarmi dove sbaglio o
ho sbagliato a configurare ve ne sarei molto grato anche perchè sicuramente
troverete tanti errori ma........sono qui per imparare e la voglia nn manca.
GRAZIE a tutti in anticipo.

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname seccoleo
!
boot-start-marker
boot-end-marker
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool POOL01
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1 
   dns-server 208.67.220.220 8.8.4.4 
   lease infinite
!
ip inspect log drop-pkt
ip inspect name Firewall cuseeme
ip inspect name Firewall dns
ip inspect name Firewall ftp
ip inspect name Firewall h323
ip inspect name Firewall https
ip inspect name Firewall icmp
ip inspect name Firewall imap
ip inspect name Firewall pop3
ip inspect name Firewall rcmd
ip inspect name Firewall realaudio
ip inspect name Firewall rtsp
ip inspect name Firewall esmtp
ip inspect name Firewall sqlnet
ip inspect name Firewall streamworks
ip inspect name Firewall tftp
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall vdolive
ip name-server 208.67.220.220
ip name-server 8.8.4.4
ip ddns update method ddns
!
username bitartlo privilege 15 password 0 geronimo
!
archive
log config
hidekeys
!
bridge irb
!
interface ATM0
ip nat inside
ip address
ip virtual-reassembly
no atm ilmi-keepalive
pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode adsl2+
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 192.168.1.254 255.255.255.0
 ip access-group 102 in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface Dialer0
ip ddns update hostname [vostro host].dyndns.org
ip ddns update ddns
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip nat outside
ip inspect Firewall out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication chap callin
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.4 33696 interface Dialer0 33696
ip nat inside source static udp 192.168.1.4 33696 interface Dialer0 33696
ip nat inside source static tcp 192.168.1.4 22889 interface Dialer0 22889
ip nat inside source static udp 192.168.1.4 22889 interface Dialer0 22889
ip nat inside source static tcp 192.168.1.4 16969 interface Dialer0 16969
ip nat inside source static udp 192.168.1.4 16969 interface Dialer0 16969
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit udp host 208.67.220.220 eq domain any
access-list 101 permit udp host 8.8.4.4 eq domain any
access-list 101 permit tcp host 204.13.248.111 eq www any log
access-list 101 permit udp host 193.204.114.232 eq ntp any
access-list 101 permit tcp any any eq 33696
access-list 101 permit udp any any eq 33696
access-list 101 permit tcp any any eq 22889
access-list 101 permit udp any any eq 22889
access-list 101 permit tcp any any eq 16969
access-list 101 permit udp any any eq 16969
access-list 101 permit gre any any
access-list 101 permit udp any any eq discard
access-list 101 deny   ip 0.0.0.0 0.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 169.254.0.0 0.0.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.0.2.0 0.0.0.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 198.18.0.0 0.1.255.255 any
access-list 101 deny   ip 224.0.0.0 0.15.255.255 any
access-list 101 deny   ip any host 255.255.255.255
access-list 101 deny   icmp any any echo
access-list 101 deny   ip any any log
access-list 102 remark Traffico abilitato ad entrare dalla ethernet
access-list 102 permit ip any host 192.168.1.1
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any host 255.255.255.255
access-list 102 deny   ip any host 192.168.1.255
access-list 102 deny   udp any any eq tftp log
access-list 102 deny   ip any 0.0.0.0 0.255.255.255 log
access-list 102 deny   ip any 10.0.0.0 0.255.255.255 log
access-list 102 deny   ip any 127.0.0.0 0.255.255.255 log
access-list 102 deny   ip any 169.254.0.0 0.0.255.255 log
access-list 102 deny   ip any 172.16.0.0 0.15.255.255 log
access-list 102 deny   ip any 192.0.2.0 0.0.0.255 log
access-list 102 deny   ip any 192.168.0.0 0.0.255.255 log
access-list 102 deny   ip any 198.18.0.0 0.1.255.255 log
access-list 102 deny   udp any any eq 135 log
access-list 102 deny   tcp any any eq 135 log
access-list 102 deny   udp any any eq netbios-ns log
access-list 102 deny   udp any any eq netbios-dgm log
access-list 102 deny   tcp any any eq 445 log
access-list 102 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
 login local
 no modem enable
line aux 0
 login local
line vty 0 4
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17183740
ntp server 193.204.114.232
end

[ZaZi]

Nessuno che riesca a darmi una mano?

[Rizio]

E' che in linea di massima non sembra esserci nulla che non vada nella conf.

Prova intanto a capire se l'atm è up e prova a togliere le access list sulle interfacce.
La conf, a grandi linee sembra non avere grossi problemi però ammetto che non mi sono messo lì a verificare l'esattezza delle acl e la loro congruità sugli ip che hai configurato. Quelle dipendono molto dal tipo di rete che hai e da come la vuoi configurare/proteggere.
Però se il problema è che non riesci proprio ad uscire devi procedere per gradi e andare di debug.
Intanto verifica come prima cosa se interfaccia adsl è up con il comando

Codice: Seleziona tutto

sh dsl int

e

Codice: Seleziona tutto

sh atm int atm 0

Se sei in dubbio posta il risultato che ci guardiamo tutti insieme.

Rizio

[ZaZi]

Ciao
Scusami per il ritardo ma lavorando fuori nn sempre riesco
ad essere presente.......cmq ti incollo quì sotto tutto il
log con le risposte ai comandi che mi hai indicato.
Intanto un GRAZIE anticipato x il tuo interesse.

Codice: Seleziona tutto

System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.


C870 series (Board ID: 1-148) platform with 131072 Kbytes of main memory


Booting flash:/c870-advsecurityk9-mz.124-22.T.bin

Self decompressing the image : ############################################################################ [OK]


              Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

           cisco Systems, Inc.
           170 West Tasman Drive
           San Jose, California 95134-1706



Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 10-Oct-08 12:57 by prod_rel_team


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
[email protected].

Installed image archive
Cisco 877 (MPC8272) processor (revision 0x300) with 118784K/12288K bytes of memory.
Processor board ID FCZ124591UR
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
128K bytes of non-volatile configuration memory.
24576K bytes of processor board System flash (Intel Strataflash)

 
 
 
 
 
 
 
SETUP: new interface NVI0 placed in "shutdown" state


Press RETURN to get started!


*Mar  1 00:00:10.075: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Initialized 
*Mar  1 00:00:10.079: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Enabled 
*Mar  1 00:00:11.663: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, changed state to down
*Mar  1 00:00:12.011: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
*Mar  1 00:00:13.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to up
*Mar  1 00:00:37.959: %LINEPROTO-5-UPDOWN: Line protocol on Interface SSLVPN-VIF0, changed state to up
*Mar  1 00:00:39.255: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:00:39 UTC Fri Mar 1 2002 to 01:00:39 MET Fri Mar 1 2002, configured from console by console.
*Mar  1 00:00:39.259: %SYS-6-CLOCKUPDATE: System clock has been updated from 01:00:39 MET Fri Mar 1 2002 to 01:00:39 MET Fri Mar 1 2002, configured from console by console.
*Mar  1 00:00:39.663: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*Mar  1 00:00:40.227: %SYS-5-CONFIG_I: Configured from memory by console
*Jan 28 02:31:47.003: %FW-6-INIT: Firewall inspection startup completed; beginning operation.
*Jan 28 02:31:47.375: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to down
*Jan 28 02:31:47.375: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Jan 28 02:31:47.595: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 10-Oct-08 12:57 by prod_rel_team
*Jan 28 02:31:47.595: %SNMP-5-COLDSTART: SNMP agent on host seccoleo is undergoing a cold start
*Jan 28 02:31:47.691: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
*Jan 28 02:31:47.691: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
*Jan 28 02:31:48.319: %LINK-5-CHANGED: Interface ATM0, changed state to administratively down
*Jan 28 02:31:48.519: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up
*Jan 28 02:31:48.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
*Jan 28 02:31:48.871: %LINK-5-CHANGED: Interface NVI0, changed state to administratively down
*Jan 28 02:31:48.951: %LINK-3-UPDOWN: Interface FastEthernet3, changed state to up
*Jan 28 02:31:48.959: %LINK-3-UPDOWN: Interface FastEthernet2, changed state to up
*Jan 28 02:31:48.963: %LINK-3-UPDOWN: Interface FastEthernet1, changed state to up
*Jan 28 02:31:49.951: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet3, changed state to down
*Jan 28 02:31:49.959: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet2, changed state to down
*Jan 28 02:31:49.963: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1, changed state to down
*Jan 28 02:31:49.967: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to up
seccoleo>en
seccoleo#
seccoleo#
seccoleo#
seccoleo#
seccoleo#sh dsl int
ATM0
Alcatel 20190 chipset information

Line has not yet been activated.

Modem Status:	 Down (DMTDSL_STOP)
DSL Mode:	 Unknown
Interrupts:	 4124 (0 spurious)
PHY Access Err:	 0
Activations:	 0
LED Status:	 OFF
LED On Time:	 500
LED Off Time:	 500
Init FW:	 init_AMR-3.0.014_no_bist.bin
Operation FW:	 AMR-3.0.014.bin
FW Source:	 embedded

DSL: Training log buffer capability is not enabled
seccoleo#
seccoleo#
seccoleo#
seccoleo#
seccoleo#sh atm int atm 0
Interface ATM0:
AAL enabled:  AAL5   AAL2, Maximum VCs: 10, Current VCCs: 0

VCIs per VPI: 1024, 
Max. Datagram Size: 4528
PLIM Type: ADSL - 4608Kbps Upstream, DMT, TX clocking: LINE
0 input, 0 output, 0 IN fast, 0 OUT fast
 Avail bw = 4608 
Config. is ACTIVE
seccoleo#
seccoleo#
seccoleo#

[Rizio]

L'interfaccia ATM non è in stato SHOWTIME, non è up perciò il problema di certo è lì.
Verifica con il tuo provider che tipo di connessione ti ha dato. e cambia di conseguenza questa parte qui:

Codice: Seleziona tutto

nterface ATM0
pvc 8/35
  encapsulation aal5mux ppp dialer

tieni anche presente che hai una riga "strana" sotto l'atm che indica l'ip address ma senza averlo inserito. Non sò se l'hai tagliat otu per postare la conf o se era così davvero ma nel secondo caso non va bene: o metti l'indirizzo ip statico (perciò l'aggiungi) o la lasci in dhcp (perciò modifichi la linea correttamente).

Rizio

[ZaZi]

Ciao Rizio
rieccomi con il mio router che ora anche grazie al tuo aiuto e ad un amico
viaggia egregiamente in rete.
Ora superato questo scoglio c'è da superarne un'altro......quello delle porte.

vorrei aprire delle porte e ho provato inizialmente con SDM ma nn sono riuscito
a capire gran che, allora ho provato da riga comando facendo questa procedura

config t poi config-register 0x2102 messo queste stringhe

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.1.4 33696 interface Dialer0 33696
ip nat inside source static udp 192.168.1.4 33696 interface Dialer0 33696
ip nat inside source static tcp 192.168.1.4 22889 interface Dialer0 22889
ip nat inside source static udp 192.168.1.4 22889 interface Dialer0 22889
ip nat inside source static tcp 192.168.1.4 16969 interface Dialer0 16969
ip nat inside source static udp 192.168.1.4 16969 interface Dialer0 16969

e poi queste

Codice: Seleziona tutto

access-list 101 permit tcp any any eq 33696
access-list 101 permit udp any any eq 33696
access-list 101 permit tcp any any eq 22889
access-list 101 permit udp any any eq 22889
access-list 101 permit tcp any any eq 16969
access-list 101 permit udp any any eq 16969

poi ho confermato il tutto e fatto un riavvio del router
solo che il risultato è negativo e infatti da SDM vedo questo



La domanda sorge spontanea........dove ho sbagliato?
Inoltre, se voglio ora cancellare tutte quelle righe dalla sez NAT
come faccio visto che da SDM non riesco a trovare il modo di editare nulla?
GRAZIE

[Rizio]

Ciao,
le righe di nat vanno bene, prova a fare uno

Codice: Seleziona tutto

sh ip nat trans

e posta il risultato che vediamo.
Riguardo all'istruzione che hai dato prima, il config-register, non c'entra niente però. Quell'istruzione serve per poter riavviare il router in uno stato di ROMMON che server per effettuare la procedura di password recovery.
Cerca sul sito cisco qual'è il valore corretto per il tuo router (non sò se possono essere differenti tra i diversi router e non vorrei darti indicazioni sbagliate) di quel particolare registro e reimpostalo com'era di default.

Rizio

[ZaZi]

Ciao,
le righe di nat vanno bene, prova a fare uno

Codice: Seleziona tutto

sh ip nat trans

e posta il risultato che vediamo.

Codice: Seleziona tutto

login as: xxxxxx
Using keyboard-interactive authentication.
Password:

Router#sh ip nat trans
Pro Inside global      Inside local       Outside local      Outside global
tcp 79.2.185.205:49167 192.168.1.13:49167 23.14.93.63:80     23.14.93.63:80
udp 79.2.185.205:59933 192.168.1.13:59933 8.8.8.8:53         8.8.8.8:53
tcp 79.2.185.205:61504 192.168.1.13:61504 173.194.35.40:80   173.194.35.40:80
tcp 79.2.185.205:61505 192.168.1.13:61505 173.194.39.36:80   173.194.39.36:80
tcp 79.2.185.205:61507 192.168.1.13:61507 173.194.39.33:80   173.194.39.33:80
udp 79.2.185.205:123   192.168.1.14:123   91.189.94.4:123    91.189.94.4:123
tcp 79.2.185.205:35066 192.168.1.14:35066 194.183.73.106:15862 194.183.73.106:15862
tcp 79.2.185.205:35070 192.168.1.14:35070 194.183.73.106:15862 194.183.73.106:15862
udp 79.2.185.205:37167 192.168.1.14:37167 8.8.8.8:53         8.8.8.8:53
udp 79.2.185.205:38007 192.168.1.14:38007 8.8.8.8:53         8.8.8.8:53
udp 79.2.185.205:38940 192.168.1.14:38940 8.8.8.8:53         8.8.8.8:53
tcp 79.2.185.205:41358 192.168.1.14:41358 151.62.156.251:12000 151.62.156.251:12000
udp 79.2.185.205:41769 192.168.1.14:41769 8.8.8.8:53         8.8.8.8:53
tcp 79.2.185.205:43918 192.168.1.14:43918 8.23.224.120:8245  8.23.224.120:8245
tcp 79.2.185.205:43919 192.168.1.14:43919 8.23.224.120:8245  8.23.224.120:8245
tcp 79.2.185.205:43920 192.168.1.14:43920 8.23.224.120:8245  8.23.224.120:8245
udp 79.2.185.205:44000 192.168.1.14:44000 8.8.8.8:53         8.8.8.8:53
tcp 79.2.185.205:51003 192.168.1.14:51003 194.183.73.106:15862 194.183.73.106:15862
tcp 79.2.185.205:51004 192.168.1.14:51004 194.183.73.106:15862 194.183.73.106:15862
tcp 79.2.185.205:51005 192.168.1.14:51005 194.183.73.106:15862 194.183.73.106:15862
tcp 79.2.185.205:51006 192.168.1.14:51006 194.183.73.106:15862 194.183.73.106:15862
udp 79.2.185.205:52191 192.168.1.14:52191 8.8.8.8:53         8.8.8.8:53
udp 79.2.185.205:52476 192.168.1.14:52476 8.8.8.8:53         8.8.8.8:53
udp 79.2.185.205:55592 192.168.1.14:55592 8.8.8.8:53         8.8.8.8:53
udp 79.2.185.205:59189 192.168.1.14:59189 8.8.8.8:53         8.8.8.8:53
Router#
Router#

per questo invece sinceramente nn ho afferrato cosa vuoi dire

Cerca sul sito cisco qual'è il valore corretto per il tuo router (non sò se possono essere differenti tra i diversi router e non vorrei darti indicazioni sbagliate) di quel particolare registro e reimpostalo com'era di default.

Rizio

Cmq ti inserisco una serie di Show fatti sperando
che tu abbia la gentilezza di controllare e darmi qlche dritta in merito.

N.B.ti invio in PM la passwd del file .zip
GRAZIE

[Rizio]

Riguarda bene la conf perchè in quella che hai postato all'inizio la definizione della dialer con le regole di nat erano corretta mentre in quella che hai allegato nell'ultimo zip hai cambiato nome alla dialer0 in dialer1 senza aggiornare le regole di nat.
Nel risultato dello show ip nat translation si vede chiaramente che il router non stà facendo nat sull'ip dell'host che gli hai indicato.
Metti a posto questo e dovrebbe andare.

Rizio