Cisco 887 ip aggiuntivi

blocscorr · lun 16 feb , 2015 2:50 pm

Ciao a tutti, complimenti al forum, sono al mio primo post e vi chiedo pazienza se sparo

Ho una linea Telecom 20Mb con i classici 4 IP assegnati e il router Cisco 887 + un Firewall, tutto funziona regolarmente, ecco schemino:
IP Telecom assegnati A.B.C.1/30
Cisco 887 è A.B.C.2
Firewall è A.B.C.3
tutto funziona regolarmente i PC della rete escono con l'IP A.B.C.3, ORA, devo aggiungere e configurare degli IP aggiuntivi (8 chiaramente 6 disponibili), come devo procedere, grazie mille a chi mi aiuta.

Ecco la mia configurazione:

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
no ip source-route
!
ip cef
no ip bootp server
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.125.2
no ipv6 cef
!
license udi pid CISCO887-K9 sn xxxxxxxxxxxx
!
username xxxxxxxx privilege 15 view root secret 5 xxxxxxxxxxxxxxxxxxx
username xxxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
description PUNTO-PUNTO
ip address 1.2.3.4 255.255.255.252
ip flow ingress
ip nat outside
ip virtual-reassembly in
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
description LAN-WAN
ip address 192.168.3.3 255.255.255.0 secondary
ip address A.B.C.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface ATM0.1 overload
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.3.0 0.0.0.255
no cdp run
!
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

emiliano · mar 17 feb , 2015 9:01 am

A.B.C.2 è un ip pubblico o privato?
Come hai allocato gli attuali ip?
Al firewall hai dato un ip pubblico?
Quanti ip pubblici può gestire il tuo firewall?
Dalla tua config sembrerebbe che sul'interfaccia VLAN 1 dell' 877 hai allocati sia ip privati che pubblici, sbaglio?

Emiliano

blocscorr · mar 17 feb , 2015 10:06 am

Ciao Emiliano e grazie per l'aiuto...allora:

rispondo alle tue domande 1,2,3:
l'indirizzo IP A.B.C.2 è pubblico, Telecom mi ha assegnato inizialmente 4 indirizzi IP:
A.B.C.1/30 (A.B.C.1/255.255.255.252) non posso usarlo.
A.B.C.2 è il successivo indirizzo IP pubblico è il router Cisco 887.
A.B.C.3 è il successivo indirizzo IP pubblico è il firewall.

rispondo alla tua domanda 4:
il firewall ha 2 interfacce WAN (WAN1 e WAN2) io ho configurato solo la WAN1 assegnado l'indirizzo IP pubblico A.B.C.3/255.255.255.252
il firewall ha 4 interfacce LAN (LAN1,2,3,4) io ho configurato solo la LAN1 assegnando l'indirizzo IP privato 192.168.3.1/255.255.255.0
i PC della rete sono tutti configurati con 192.168.3.X e come GATEWAY 192.168.3.1
i PC della rete quando navigano in internet escono con IP pubblico A.B.C.3

rispondo alla tua domanda 5:
confermo, ho configurato in VLAN1, gli IP del router Cisco 887 quindi A.B.C.2/255.255.255.252 e 192.168.3.3/255.255.255.0

Ora Telecom mi ha assegnato altri (8 indirizzi IP pubblici, ne posso usare solo 6), come devo configurarli per fare in modo che eseguano il DELIVERY sulla configurazione attuale, io normalmente uso nel firewall il servizio denominato (Virtual IP) in pratica "mappare" un indirizzo IP pubblico ad un indirizzo IP privato, esempio:
configurazione (Virtual IP) X.Y.Z.2 > 192.168.3.10
indirizzi IP pubblici aggiuntivi: X.Y.Z.1/255.255.255.248
-X.Y.Z.1 non lo posso usare.
-X.Y.Z.2 pubblicare https
-X.Y.Z.3 pubblicare ftp
-X.Y.Z.4 pubblicare posta
-X.Y.Z.5 pubblicare rdp
-X.Y.Z.6 pubblicare http
-X.Y.Z.7 non lo posso usare.
all'interno delle rete ho dei server con delle applicazioni e le devo pubblicare usando i nuovi indirizzi IP assegnati.

spero di essermi spiegato...sono a completa disposizione per qualsiasi domande o dubbi e grazie 1000.
Mario

emiliano · mar 17 feb , 2015 10:49 am

Bene, partiamo dal punto 4.
Avendo tu 2 interfacce WAN sul firewall e potendo gestire solo 1 ip ad interfaccia (bisognerebbe vedere peraltro se in load balancing o in failover) tu di fatto puoi asegnare al tuo firewall solo 2 ip pubblici.
Prendiamo in esame il nuovo pacchetto di IP, potresti creare la VLAN2 e assegnargli un ip con subnet 255.255.255.252 e l'altro assegnarlo all'interfaccia del firewall, bene gli altri ip non riesci ad utilizzarli poichè sul firewall lato wan puoi configurare uno ed un solo ip per interfaccia (mi pare di capire), quindi alcuni degli ip che ti hanno assegnato (3 + l'ip di loopback) rimarrebbero inutilizzati.
Schematizzando, poniamo che il nuovo pool sia 2.2.2.1 - 8 (è sbagliato lo so, è puramente indicativo)
Potresti assegnare alla vlan 2 l'ip 2.2.2.2 255.255.255.252 e al firewall l'ip 2.2.2.3 255.255.255.252, potresti gestire attivamente (port forwarding) solo il 2.2.2.3
Nel caso tu voglia (giustamente!) gestire tutti gli ip che ti vengono assegnati, o prendi un firewall su cui puoi configurare più ip o semplicemente un pool di nat, oppure rivedi la tua configurazione, cioè tiogli il firewall lasci gli ip pubblici sul Router e sempre sullo stesso abiliti le funzioni di firewall.
Spero di essere stato abbastanza chiaro.
Per qualsiasi dubbio sono a disposizione.

Emiliano

P.S. se puoi mi diresti che firewall utilizzi?

blocscorr · mar 17 feb , 2015 11:34 am

Aggiungo che ho appena sentito Telecom, la quale mi conferma che il router Cisco 887 è configurato correttamente, devo SOLO configurare nel router Cisco 887 il nuovo pacchetto agguntivo di 8 IP pubblici..!!
TUTTO SEMPLICE per loro..

mi hanno anche verificato che nelle loro configurazioni e confermato che:
Gli IP aggiuntivi 2.2.2.1/255.255.255.248 (sono già presenti in A.B.C.1/255.255.255.252)

Esattamente dal punto 4, confernmo ho 2 interfacce WAN1 e WAN2, posso gestire solo un indirizzo IP per ogni interfaccia e posso usare il failover, quindi confermo che posso assegnare solo 2 indirizzi Pubblici.

INTERESSANTE la VLAN2 non ci ho pensato....ma potrei configurare la VALN 2 così:

2.2.2.1/255.255.255.248 non lo posso usare
2.2.2.2/255.255.255.248 il router Cisco 887
2.2.2.3/255.255.255.248 il firewall Fortinet 60B
così facendo nel firewall dispongo degli altri indirizzi IP:
2.2.2.4
2.2.2.5
2.2.2.6
2.2.2.7
2.2.2.8 non lo posso usare

grazie, Mario

emiliano · mar 17 feb , 2015 11:45 am

Ciao Mario.
La risposta Telecom signifa solo che gli IP aggiuntivi sono già disponibili sulla tua linea ma che di fatto non sono scritti da nessuna parte.
Rispetto agli ip utilizzabili la subnet 255.255.255.252 comprende di fatto 4 ip quindi dal 2.2.2.1 al 2.2.2.4 compresi (ne puoi usare solo 2, il 2 e d il 3 rispettivamente per il router ed i firewall), il 5 il 6 il 7 e l'8 (ip di broadcast che non utilizzeresti comunque) rimangono di fatto inutilizzati.
Se il tuo firewaal non prevede l'asseganzione di un pool di nat e vuoi utilizzare tutti gli ip devi togliere il firewall e far gestire tutto al router.
Appena ho un attimo mi guardo il Fortinet 60B e vediamo di capirci meglio.

Emiliano

paolomat75 · mar 17 feb , 2015 11:46 am

Scusate se mi intrometto.
Ma non puoi mettere gli IP nuovi sul firewall, e nel router mettere una rotta statica o protocollo di routing?

Paolo

emiliano · mar 17 feb , 2015 11:53 am

Ciao Paolo, come va?
Mi sembra di capire è che l'interfaccai WAN del firewall può "prendersi" un solo IP, per fare quello che dici tu dovrebbe utilizzare la DMZ ed assegnare ai server direttamenteun IP pubblico (senza passare da NAT e/o PORT FORWARDING) ma la cosa mi sembra un pò rischiosa (visto anche l'HW coinvolto), tu che ne pensi?
Emiliano

paolomat75 · mar 17 feb , 2015 12:02 pm

Ciao Emiano. Tutto abbastanza bene. Te?
Non cosnosco quel firewall, ma mi sembra che con gli ASA si possa far fare il NAT/PAT usando un pool (in questo caso i nuovi IP), senza assegnarli ad una interfaccia. Facendo così può sfruttare più IP.
Ma potrei aver detto una cavolata.

emiliano · mar 17 feb , 2015 12:13 pm

Ciao Paolo, tutto bene anche io grazie

Il problema è porprio il firewaal, con un asa avresti potuto assegnargli tutto il pool e poi, come hai già premesso tu, conuna rotta statica o cun un protocollo di routing giravi il traffico al firewall.
Dal momento che l'hw in questione gestisce, a menon che non erro, ho lavorato solo una volta con una macchina fortinet di quella categoria, uno ed un solo ip.
Quindi ho pubblichi i server con ip pubblico tramite dmz o ti mangi la metà del pacchetto IP che hai acquistato.
Io, a meno di poter acquistare un asa o similare, toglierei il fortinet e farei gestire il tutto all'877 con ZBF opportunamente configurato.
Ma questa è solo la mia opinione

Emiliano

blocscorr · mar 17 feb , 2015 12:18 pm

grazie Emiliano e ottima intrusione a Paolomat75:

x paolomat75, ho già configurato nel firewall i nuovi indirizzi IP (come faccio solitamente) usando il (Virtual IP), ma come ben descrivi manca nel router Cisco 887 la configurazione che permetta il DELIVERY di questi indirizzi IP pubblici, mi spiego:

VIRTUAL IP:
External pubblic IP: 2.2.2.3
Mapped internal Ip: 192.168.3.10
quando però provo a navigare dal server che risponde all'indirro (IP lan 192.168.3.10) esco ancora con il A.B.C.3

x Emiliano, l'interfaccia WAN, NON prende un solo IP ma dipende dalla mascheratura, mi spiego:

-se imposto un indirizzo IP la cui mask è .252, allora ho solo 2 IP utilizzabili.
-se imposto un indirizzo IP la cui mask è .248, allora ho 6 IP utilizzabili.

se nella WAN imposto così:
2.2.2.1/255.255.255.248 non lo posso usare
2.2.2.2/255.255.255.248 il router Cisco 887
2.2.2.3/255.255.255.248 il firewall Fortinet 60B
così facendo nel firewall dispongo degli altri indirizzi IP:
2.2.2.4
2.2.2.5
2.2.2.6
2.2.2.7
2.2.2.8 non lo posso usare

grazie ragazzi...
Mario

paolomat75 · mar 17 feb , 2015 12:29 pm

Beh, o provi con una route statica, o metti su gli IP su un'altra VLAN. Ma qui mi fermo perché non conosco quel firewall.

Paolo

blocscorr · mar 17 feb , 2015 1:31 pm

Spero di potervi illuminare, segnalandovi che di configurazioni con Router Cisco 887 e firewall Fortinet 60B ne ho altre 3 tutte funzionanti, l'unica differnza e che la Telecom da subito mi ha dato gli 8 indirizzi IP pubblici e vi spiego come sono funzionanti e configurate:

ESEMPIO:
PUNTO-PUNTO: 1.2.3.4/255.255.255.252
INDIRIZZI IP ASSEGNATI: 8 indirizzi IP pubblici 3.3.3.1/255.255.255.248

3.3.3.1/255.255.255.248 non lo posso usare
3.3.3.2/255.255.255.248 è il router Cisco 887 configurato in VLAN1
3.3.3.3/255.255.255.248 il firewall Fortinet 60B configurato in WAN1
3.3.3.4 > Virtual IP > indirizzo IP lan 192.168.3.10
3.3.3.5 > Virtual IP > indirizzo IP lan 192.168.3.X
3.3.3.6 > Virtual IP > indirizzo IP lan 192.168.3.Y
3.3.3.7 > Virtual IP > indirizzo IP lan 192.168.3.Z
3.3.3.8 non lo posso usare

la configurazione del router Cisco 887 sarebbe:

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
memory-size iomem 10
crypto pki token default removal timeout 0
!
no ip source-route
!
ip cef
no ip bootp server
ip domain name interbusiness.it
ip name-server 151.99.125.1
ip name-server 151.99.125.2
no ipv6 cef
!
license udi pid CISCO887-K9 sn xxxxxxxxxxxx
!
username xxxxxxxx privilege 15 view root secret 5 xxxxxxxxxxxxxxxxxxx
username xxxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
description PUNTO-PUNTO
ip address 1.2.3.4 255.255.255.252
ip flow ingress
ip nat outside
ip virtual-reassembly in
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
description LAN-WAN
ip address 192.168.3.3 255.255.255.0 secondary
ip address 3.3.3.2 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface ATM0.1 overload
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.3.0 0.0.0.255
no cdp run
!
^C
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

emiliano · mar 17 feb , 2015 1:48 pm

@Mario,
quindi giusto per caipre, tu all'interfaccia wan 1 del tuo firewall puoi assegnare sia l'ip 1.1.1.3 255.255.255.252 che l' ip 2.2.2.1 255.255.255.248?
In alternativa puoi creare sul firewall delle interfacce virtuali a cui assegnare l'intero pool nuovo?
Se è cos'ì, come ti ha già suggerito il buon Paolo, basta mettere la rotta statica, altrimenti torniamo indietro di 5 caselle e si riparte dal discorso di partenza...

Per la rotta staica quindi avrai qualcosa tipo

Codice: Seleziona tutto

ip route 2.2.2.1 255.255.255.248 a.b.c.3

Emiliano

blocscorr · mer 18 feb , 2015 3:11 pm

Ciao Emiliano e Paolo,
ho risolto come da vostre indicazioni inserendo e assegnando alla WAN1 del firewall anche il secondo IP 2.2.2.1 255.255.255.248

NON ho dovuto inserire nessuna "rotta statica" sul router Cisco 887

grazie 1000 e buona giornata.
Mario

Cisco 887 ip aggiuntivi

Login • Iscriviti