Cisco 877 fastweb NAT verso firewall

[daniess]

Buongiorno a tutti,
ho un problema nel configurare un NAT tra la WAN (ATM0.1) e il firewall interno (192.168.1.20) che è collegato tramite la FastEthernet (VLAN1 192.168.1.50) al Cisco.
La configurazione funzionante per la connessione internet è questa:
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-300447900
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-300447900
revocation-check none
rsakeypair TP-self-signed-300447900
!
!
crypto pki certificate chain TP-self-signed-300447900
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 ........
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 208.67.220.220
ip name-server 208.67.222.222
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
username USER privilege 15 password 0 PASSWORD
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address dhcp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
atm route-bridged ip
pvc 8/36
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.50 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 dhcp
ip http server
ip http authentication local
ip http secure-server
!
!
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source static 192.168.1.20 2.236.128.111

access-list 1 permit 192.168.1.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Cosi navigo.. Ora vorrei pero inoltrare tutto verso il firewall.. Come devo agire secondo voi? Inoltro tutte le porte? NAT 1:1 ?
Ho tentato entrambe le strade ma alcune porte, sopratutto quelle alte, come la 10000, non ho modo di renderla disponibile dall'esterno.

I mio ultimo tentativo è stato:
ip nat pool PORTFWD 192.168.1.20 192.168.1.20 netmask 255.255.255.0 type rotary
access-list 100 permit tcp any any range 1 20000
access-list 100 permit udp any any range 1 20000
ip nat inside destination list 100 pool PORTFWD

infondo alla configurazione, e sebbene riesco ad entrare nel firewall tramite la porta dedicata (81) non riesco a raggiungere la porta 10000 .

Potete cortesemente dirmi la vostra su questa configurazione e in che modo posso raggiungere il mio scopo?
Premetto che sono ancora a digiuno di IOS, e questo è l'inizio con questo SO ma se non parto da una configurazione sensata e funzionante, mi è difficile capirne logica e funzionamento.. la documentazione anche se ricca tutta in inglese e quindi richiede piu tempo per essere appresa nella sua totale sostanza..

[Rizio]

Lavorando con il NAT ti complichi la vita (oltre al fatto che non sò se sia possibile rinattare proprio tutto), usa semplicemente il routing.
Se il firewall è un pezzo della tua rete e stà tra i tuoi client e il cisco di semplicemente al cisco che la rete interna la può trovare attraverso il tuo firewall e istruisci il firewall di conseguenza (ossia default route verso il cisco ma la lan verso un aporta specifica).

Se ho capito bene il problema io lo gestirei così: il router fà routing e il firewall firewalla

Rizio

[daniess]

Hai capito benissimo, ed è proprio quello che voorei fare.. cioè il cisco routta ed il firewall firewalla!!

Ma come arrivo a questo?

Cisco ATM 0.1 dhcp (Anche se ora dovrebbero avermi dato un ip statico, ma non ne conosco ancora il gateway, percio rimane cosi per adesso)

Cisco VLAN1 192.168.1.50

Firewall OUTSIDE 192.168.1.20
Firewall INSIDE 192.168.0.100

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-300447900
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-300447900
revocation-check none
rsakeypair TP-self-signed-300447900
!
!
crypto pki certificate chain TP-self-signed-300447900
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 ........
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 208.67.220.220
ip name-server 208.67.222.222
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
username USER privilege 15 password 0 PASSWORD
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address dhcp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
atm route-bridged ip
pvc 8/36
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.50 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 dhcp
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
end

Cosi il Cisco navigherebbe ma il firewall non ancora, cosa dovro suggerire al CISCO per dire routta tutto verso 192.168.1.20 senza preoccuparti di niente?

Grazie

[Rizio]

Sul router cisco dovrai dire

Codice: Seleziona tutto

ip route 192.168.0.0 255.255.255.0 192.168.1.20

Sul firewall (che non sò cosa sia) dovrai dare come default gw il router (ossia il 192.168.1.50)

Questo dovrebbe essere sufficiente.
Rizio

[daniess]

No aspetta.. forse non ti ho spiegato bene una cosa..
Il Cisco la rete 192.168.0.0/24 non ne è assolutamente a conoscenza perchè la rete è collegata ad uno switch che sta dietro al firewall (PfSense).
Quindi io al Cisco dovrei dire routta tutto senza preoccuparti di niente all'ip 192.168.1.20,
il firewall ha come gateway l'interfaccia VLAN1 del Cisco quindi 192.168.1.50 come suggerisci.

Codice: Seleziona tutto

              ATM0.1              VLAN1-- ETH1               ETH2--SWITCH-- Access Point

internet ----------- CISCO -------------------- Firewall ---------rete locale

quindi la rete locale è fisicamente invisibile da VLAN1 o ATM0.1

Alla luce di cio cosi può andare ?

ip route 0.0.0.0 192.168.1.20

Ho tolto la subnetmask, è sbagliato?

[Rizio]

No aspetta.. forse non ti ho spiegato bene una cosa..
Il Cisco la rete 192.168.0.0/24 non ne è assolutamente a conoscenza perchè la rete è collegata ad uno switch che sta dietro al firewall (PfSense).
Quindi io al Cisco dovrei dire routta tutto senza preoccuparti di niente all'ip 192.168.1.20,
il firewall ha come gateway l'interfaccia VLAN1 del Cisco quindi 192.168.1.50 come suggerisci.

In un contesto come il tuo senza routing dinamico o altre complicazioni va bene così. Al Cisco non gliene frega nulla di dove sia quella rete, lui sà che la trova dietro quell'hop lì.

ip route 0.0.0.0 192.168.1.20
Ho tolto la subnetmask, è sbagliato?

No, se togli la netmask il Cisco non ti prende il comando, è sintatticamente errato. Inoltre è sbagliato anche praticamente e non ti interessa farlo, è giusto usare le netmask per definire l'"ampiezza" di quella determinata rete.
L'importate è che tu dia al pfsense il router come default gw (l'ip dell'interfaccia vlan1 del Cisco).

Rizio

[daniess]

Complimenti intanto per la firma

quindi risultato finale:

ip route 0.0.0.0 255.255.255.0 192.168.1.20

Giusto?
Configurazione finale :

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-300447900
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-300447900
revocation-check none
rsakeypair TP-self-signed-300447900
!
!
crypto pki certificate chain TP-self-signed-300447900
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 ........
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 208.67.220.220
ip name-server 208.67.222.222
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
username USER privilege 15 password 0 PASSWORD
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address dhcp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
atm route-bridged ip
pvc 8/36
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.50 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 dhcp
ip http server
ip http authentication local
ip http secure-server
!
!
ip route 0.0.0.0 255.255.255.0 192.168.1.20
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end


Quindi sostituisco il nat con quel route, oppure per navigare quel NAT devo lasciarlo?

[Rizio]

Complimenti intanto per la firma

Tnk's

quindi risultato finale:

ip route 0.0.0.0 255.255.255.0 192.168.1.20

Giusto?

Nope! Così giri tutti gli ultimi 8 bit della rete 0.0.0.0 al tuo firewall, no buono (e non sò nemmeno cosa ci venga fuori)
La riga è proprio quella che ti avevo scritto prima, esattamente come l'avevo scritta io.

Quindi sostituisco il nat con quel route, oppure per navigare quel NAT devo lasciarlo?

Del NAT ne hai bisogno per navigare perchè da una rete privata (la 192.168.1.x) vai verso la pubblica e devi "mascherarti" con l'ip che ti assegna dinamicamente il tuo provider.

Rizio

[daniess]

Beh che stupido, il NAT almeno per uscire

Quindi basta che aggiungo in fondo alla configurazione funzionante il route, risultato finale dovrebbe essere questo:

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-300447900
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-300447900
revocation-check none
rsakeypair TP-self-signed-300447900
!
!
crypto pki certificate chain TP-self-signed-300447900
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 ........
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 208.67.220.220
ip name-server 208.67.222.222
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
username USER privilege 15 password 0 PASSWORD
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address dhcp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
atm route-bridged ip
pvc 8/36
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
ip address 192.168.1.50 255.255.255.0
ip mtu 1492
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 dhcp
ip http server
ip http authentication local
ip http secure-server
!
!
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source static 192.168.1.20 2.236.128.111
access-list 1 permit 192.168.1.0 0.0.0.255
ip route 192.168.0.0 255.255.255.0 192.168.1.20
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Solo che non capisco perchè devo informare il CISCO su una rete che a lui non deve assolutamente preoccupare, e come cio dovrebbe risolvere il mio problema..

con questo ip route 192.168.0.0 255.255.255.0 192.168.1.20 non informo solo il cisco che dietro al firewall c'è la rete 192.168.0.0/24, che però non arriverà mai al router..

[Rizio]

Quindi basta che aggiungo in fondo alla configurazione funzionante il route, risultato finale dovrebbe essere questo:

Codice: Seleziona tutto

ip nat inside source static 192.168.1.20 2.236.128.111

Occhio qui, verifica che questo nat vada bene. Natti il tuo firewall fuori con un ip statico, è quello che vuoi fare?
Detto questo si, teoricamente dovrebbe andare bene così

Solo che non capisco perchè devo informare il CISCO su una rete che a lui non deve assolutamente preoccupare, e come cio dovrebbe risolvere il mio problema..

Devi informare il cisco perchè altrimenti lui non sà dove mandare i pacchetti che arrivano per quella rete. I pacchetti DI quella rete dovrebbero arrivargli dal pfsense che li ruota verso il cisco dalla sua interfaccia sulla lan e a ritroso il Cisco deve fare altrettanto.

con questo ip route 192.168.0.0 255.255.255.0 192.168.1.20 non informo solo il cisco che dietro al firewall c'è la rete 192.168.0.0/24, che però non arriverà mai al router..

Questa non l'ho capita.
Rizio

[daniess]

La mia LAN è collegata al pfsense il quale ha due schede di rete, una collegata ad una fastethernet del cisco e l'altra ad uno switch, perciò la mia rete non passsa minimamente dal cisco, perchè devo aggiungere quella route??? Cioè al cisco non verra mai e poi mai chiesto di trattare i pacchetti della mia LAN, ma solo di buttare tutto dentro il pfsense.

Si, praticamente vorrei che al mio IP pubblico (statico da quello che mi dicono, anche se ora lo ottengo dal dhcp di Fastweb) risponda ed intervenga solo il mio Pfsense.

[Rizio]

OK, ho capito e siamo d'accordo che il funzionamento debba essere quello ma visto che il tuo router ha come rotta di default internet devi dirgli che la tua lan interna (192.168.0.x) si trova dietro ad un ip che lui conosce (192.168.1.20) altrimenti lui non sà dove buttare i pacchetti che gli arrivano dal tuo pfsense (che sono ruotati dalla lan attraverso una funzione di routing non di natting)

Fai una cosa, per toglierti il dubbio prova:

Codice: Seleziona tutto

ip access-l ext TEST
 permit ip any any log
int vlan 1
 ip access-group TEST in
term mon

queste righe ti creano un'access-list di monitoring che fà transitare tutto però loggandolo, poi ti applica l'access-l alla vlan 1 (l'interfaccia della tua LAN) poi abilita il monitoring a schermo per vedere scorrere quello che matcha con l'access-l (ossia tutto).
Guardati un pò lo schermo e dai un'occhiata ai pacchetti che passano con i relativi indirizzi poi mi racconti cosa vedi ok?

Rizio

[daniess]

Questo mi piace.. Vediamo se gli arrivano richieste per la mia LAN, però ripeto che non potranno arrivar gli perché la LAN è fisicamente separata tramite il pfsense .. Ti aggiorno appena sono davanti al server, da remoto non me la sento... A dopo