Traduzione IP Pubblici

senyek · ven 22 giu , 2007 11:36 am

Salve, spero di poter ricevere aiuto da qualcuno perchè ne ho davvero bisogno!!
Ho una connessione HDSL con 16 indirizzi IP Pubblici, questi indirizzi IP cerco di di NATTARLI sul router associando ad un IP privato un IP pubblico, ma quando faccio questo il pc non riesce neanche a navigare su internet, devo dire al router di tradurre "outside" da quella porta ethernet? Eppure che io sappia l'unica porta che va in OUTSIDE è quella seriale!

Dunque ho chiesto al provider che mi ha consigliato di non usare il NAT ma di dare direttamente alla macchina l'indirizzo IP Pubblico alla macchina, di usare la subnet mask indicata da loro, e di dare come gateway alla macchina il primo degli indirizzi ip pubblici che loro hanno configurato sull'interfaccia ethernet del LORO router......ho provato ma naturalmente i risultati sono stati inutili, qualcuno sa che configurazione dovrei dare alla porta ethernet che deve tradurre gli indirizzi pubblici su internet?
Per quanto riguarda il NAT di indirizzi pubblici sono nuovo....e spero che qualcuno possa consigliarmi come fare, o anche una buona guida esauriente che io non sono riuscito a trovare.
Grazie a tutti, Saluti!

Francesco87 · ven 22 giu , 2007 2:23 pm

In realtà devi usare il NAT INSIDE (devi tradurre gli indirizzi della rete interna).

In particolare se vuoi un NAT statico devi utilizzare, per ogni IP che vuoi tradurre, una roba del tipo:

ip nat inside source static <IPPrivatoInterno> <IPPubblicoEsterno>

Dopo aver definito il NAT, dichiari l'interfaccia LAN come inside per il NAT e quella WAN come outside:

interface fastethernet 0/0 (o cmq la lan)
ip nat inside

interface serial 0/0 (o cmq la wan)
ip nat outside

Per verificare il funzionamento del NATting, generi del traffico e ti assicuri che esca su internet. Contemporaneamente dai uno

sh ip nat tra

per vedere quali traduzioni sta facendo.

senyek · ven 22 giu , 2007 3:39 pm

il traffico è abilitato per 192.168.1.1-192.168.1.255, infatti la macchina naviga tranquillamente e risulta l'ip statico della porta seriale.

(usando come mi hai suggerito il NAT INSIDE per la porta ethernet e outside per quella seriale)

Ho seguito le tue istruzioni alla lettera ma una volta dato:

ip nat inside source <IPPrivato> <IPPubblico>

la macchina smette di avere la connessione, e per controllare quali traduzioni sta facendo ho dato:

sh ip nat tra

ma il router mi ha restituito questo messaggio:

% invalid input detected at '^' marker.

Non capisco davvero!

Francesco87 · ven 22 giu , 2007 4:16 pm

Forse hai dimenticato uno 'static' nella configurazione del nat statico?
Se navigando dal PC (con ip privato) risulta l'IP della seriale (ip pubblico) il router dovrebbe essere già configurato per nattare.

Quello che avevo in mente era una roba del tipo:

interface FastEthernet0/0
!
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
!
interface Serial0/0
!
ip address <pubblico1> <mask>
ip nat outside
!
!
!
!
ip nat inside source static 192.168.1.<privatoN> <pubblicoN>
ip nat inside source static 192.168.1.<privatoM> <pubblicoM>
!
!

Il comando che ti ho pastato per la visualizzazione delle traduzioni era abbreviato (a memoria), forse non è univoco

Quello completo è:
Router#show ip nat translations

senyek · ven 22 giu , 2007 5:06 pm

Dunque, ho seguito ancora una volta tutte le tue istruzioni alla lettera, ma ancora nulla...sono anche entrato su SDM per vedere com'era impostata la regola data su telnet...puoi vedere in allegato....insomma niente, non appena do quella configurazione internet smette di passare su tutta la 192.168.1.x mentre la 192.168.0.x continua a funzionare (ho un 1841 ha due porte ethrnet) poi non appena cancello la regola di nat con l'indirizzo IP pubblico che voglio usare ricomincia a funzionare normalmente.....non so davvero che pensare, potrebbe dipendere dal provider? per qualche motivo mi hanno sconsigliato NAT e mi hanno detto di mettere l'indirizzo IP pubblico direttamente sulla macchina a cui voglio assegnarlo :/
Grazie per l'aiuto, aspetto ulteriore risposta.

p.s.
per l'allegato l'ultima regola di nat 192.168.1.64 è quella che secondo le istruzioni indicate precedentemente dovrebbe nattare l'ip pubblico

Francesco87 · ven 22 giu , 2007 8:00 pm

Scusa, prova a postare uno show run della conf funzionante e di quella non funzionante.

Dall'immagine pare che entrambe le reti siano già nattate dinamicamente, oltre che con le regole statiche.

un'altra domanda: come default gw sulle macchine delle due reti cosa hai impostato?

senyek · ven 22 giu , 2007 11:52 pm

Il seguente è un post dello show run NON FUNZIONANTE, dove la porta fastethernet 0/1 è impostata per nattare UN SOLO indirizzo IP pubblico staticamente per un solo indirizzo IP privato, non è configurata per nattare dinamicamente (comunque non funziona in nessuno dei due modi, quindi è uguale), al posto delle X.X.X.X vi sono gli IP Pubblici:

Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!

Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip nat source inside static 192.168.1.64 151.13.218.140
^
% Invalid input detected at '^' marker.

Router(config)#ip nat inside source static 192.168.1.64 151.13.218.140
Router(config)#exit
Router#show run
Building configuration...

Current configuration : 3613 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$NVk2$SpRjPfxr0GuMOZ1hc0k/c/
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
no ip dhcp use vrf connected
!
!
no ip bootp server
ip domain name lmicom.com
ip name-server 193.70.152.15
ip name-server 193.70.152.25
!
username senyek privilege 15 secret 5 $1$BAmu$52H4ALsEz6cYq.Su0fCr31
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation frame-relay
ip route-cache flow
!
interface Serial0/0/0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address X.X.X.X 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
frame-relay interface-dlci 140 IETF
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Serial0/0/0.1 overload
ip nat inside source static udp 192.168.0.2 4672 interface Serial0/0/0.1 4672
ip nat inside source static tcp 192.168.0.2 4662 interface Serial0/0/0.1 4662
ip nat inside source static tcp 192.168.0.2 60000 interface Serial0/0/0.1 60000
ip nat inside source static udp 192.168.0.2 6003 interface Serial0/0/0.1 6003
ip nat inside source static tcp 192.168.0.2 6003 interface Serial0/0/0.1 6003
ip nat inside source static udp 192.168.0.2 6002 interface Serial0/0/0.1 6002
ip nat inside source static tcp 192.168.0.2 6002 interface Serial0/0/0.1 6002
ip nat inside source static udp 192.168.0.2 6001 interface Serial0/0/0.1 6001
ip nat inside source static tcp 192.168.0.2 6001 interface Serial0/0/0.1 6001
ip nat inside source static udp 192.168.0.2 6000 interface Serial0/0/0.1 6000
ip nat inside source static tcp 192.168.0.2 6000 interface Serial0/0/0.1 6000
ip nat inside source static 192.168.1.64 X.X.X.X
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.1.0 0.0.0.255
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 4000 1000
end

------------------------------------------------------------------------
Questo invece è il posto dello show run nattato dinamicamente senza IP Pubblici (solo quello della porta seriale)

Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!

Current configuration : 3701 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$NVk2$SpRjPfxr0GuMOZ1hc0k/c/
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
no ip dhcp use vrf connected
!
!
no ip bootp server
ip domain name lmicom.com
ip name-server 193.70.152.15
ip name-server 193.70.152.25
!
username senyek privilege 15 secret 5 $1$BAmu$52H4ALsEz6cYq.Su0fCr31
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface Serial0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation frame-relay
ip route-cache flow
!
interface Serial0/0/0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
ip address X.X.X.X 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
frame-relay interface-dlci 140 IETF
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Serial0/0/0.1 overload
ip nat inside source list 3 interface Serial0/0/0.1 overload
ip nat inside source static udp 192.168.0.2 4672 interface Serial0/0/0.1 4672
ip nat inside source static tcp 192.168.0.2 4662 interface Serial0/0/0.1 4662
ip nat inside source static tcp 192.168.0.2 60000 interface Serial0/0/0.1 60000
ip nat inside source static udp 192.168.0.2 6003 interface Serial0/0/0.1 6003
ip nat inside source static tcp 192.168.0.2 6003 interface Serial0/0/0.1 6003
ip nat inside source static udp 192.168.0.2 6002 interface Serial0/0/0.1 6002
ip nat inside source static tcp 192.168.0.2 6002 interface Serial0/0/0.1 6002
ip nat inside source static udp 192.168.0.2 6001 interface Serial0/0/0.1 6001
ip nat inside source static tcp 192.168.0.2 6001 interface Serial0/0/0.1 6001
ip nat inside source static udp 192.168.0.2 6000 interface Serial0/0/0.1 6000
ip nat inside source static tcp 192.168.0.2 6000 interface Serial0/0/0.1 6000
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 3 remark SDM_ACL Category=2
access-list 3 permit 192.168.1.0 0.0.0.255
no cdp run
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 4000 1000
end
------------------------------------------------------------------------------
Rispondo alla tua ultima domanda, entrambe le reti come gateway hanno rispettivamente:
192.168.0.1
192.168.1.1

^_^ Spero di essere stato abbastanza esauriente e di riuscere a risolvere....grazie ancora per l'aiuto

senyek · sab 23 giu , 2007 12:26 am

Nel primo post dell show run ho inavvertitamente pubblicato l'IP Pubblico che voglio usare...spero non sia un problema

qwerty · lun 02 lug , 2007 12:09 am

no problem al massimo leggeranno:
Disconnect IMMEDIATELY if you are not an authorized user!

scherzo...son sicuro che il mod ha tolto l'ip

tranquillo

Traduzione IP Pubblici

Login • Iscriviti