NAT forwardind

[webhome]

Ciao a tutti sono nuovo su questo forum, vi pomgo un problema relativo un cisco 801.
Mi trovo in queste condizioni di rete:

ROUTER (Cisco 801)-----FIREWAL------HUB-------LAN

Il router si connette con un indirizzo dinamico, l' interfaccia eth del cisco ha un ip privato stessa classe la wan del firewall,,come anche sulla lan, ma di classe diversa.
Vorrei gestire sul router il NAT in modo che tutti gli accessi dal'esterno sia rediretti sulla porta wan del firewaall. Come si fa?

[webhome]

Spiego meglio la situazione in cui mi trovo

Riepilogando, la rete fra eth del router e WAN del Firewall ha una classe privata del tipo 10.0.0.x/24, mentre la rete fra LAN Firewall e Lan PC ha un' altra rete anche privata del tipo 192.168.1.x/24.
Ora dovrei far accedere da remoto determinati ip dall' esterno per la gestione remota sulla rete LAN. Il firewall è stato configurato con i vari permessi di accesso, ma la connessione dall' esterno verso le macchine interne non avviene, credo che il problema sia il doppio NAT, configurato sul router e sul Firewall,.
Come posso risolvere il problema?

[TheIrish]

Qui in realtà non si tratta di una questione di NAT.
Io farei così:

Router: NAT wan<-->192.168.1.x (la lan resta 10.0.0.x)
Firewall: (no NAT) wan(10.0.0.x) lan(192.168.1.x)

Ora, il router fa il NAT verso 192.168.1.x, ma ha connesso una rete 10.0.0.x. Non rimane che informare il router che la lan di destinazione è dietro 10.0.0.x, aggiungendo una rotta statica (ip route).
Quindi, il firewall deve essere informato che per raggiungere internet, deve passare per 10.0.0.x, con la stessa tecnica.

[webhome]

La LAN ha una classe 192.168.1.x l' interfaccia LAN del Firewall ha ip 192.168.1.1, mntre la wan del firewall ha ip 10.0.0.2 e la eth del router ha ip 10.0.0.1.
Forse non ho chiaro la tua soluzione, tu faresti così

Router:NAT verso la 10.0.01 (WAN del firewall)
ed elimineresti il NAt sul firewall????

La situazione sul router è questa

interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside

interface Dialer1

ip address negotiated
ip nat outside

ip nat inside source list xxinterface Dialer1 overload

access-list xx permit 10.0.0.0 0.0.0.255


Cosa cambieresti

[TheIrish]

Router:NAT verso la 10.0.01 (WAN del firewall)
ed elimineresti il NAt sul firewall????

Aspetta aspetta. Il NAT non vuol dire GIRARE un pacchetto verso una porta o un indirizzo, significa tradurre indirizzi.

-Router-
WAN: xxx.xxx.xxx.xxx
LAN: 10.0.0.1
NAT xxx.xxx.xxx.xxx <->192.168.1.x
Rotta per 192.168.1.x: 10.0.0.2

-Firewall-
WAN: 10.0.0.2
LAN: 192.168.1.1
Rotta per 0.0.0.0 : 10.0.0.1

Tutto qui

[webhome]

Tradotto in linguaggio CISCO come faresti, io è quello che non rirco a capire

[TheIrish]

L'ethernet del router va bene così:

Codice: Seleziona tutto

interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside 

Bisogna creare una ACL che sostituisca quella che viene usata dal NAT:

Codice: Seleziona tutto

access-list xx permit 192.168.1.0 0.0.0.255

Ora diciamo al router come si arriva a 192.168.1.0:

Codice: Seleziona tutto

ip route 192.168.1.0 0.0.0.255 10.0.0.2

Quindi, devi dire al firewall di non fare il NAT. Dovrebbe già esserci una rotta statica per raggiungere internet.

Tutto questo, se non ci sono altri impedimenti nella tua conf, se la posti per interno forse possiamo accertarlo.

[webhome]

Ciao TheIrish, ho provato a modificare la configurazione come mi hai consigliato , ho anche eliminato il NAT sul firewall, ma dall' esterno non si riesce ad accedere. Questa è la configurazione del router:

Codice: Seleziona tutto

 interface Ethernet0
 ip address 10.0.0.1 255.255.255.0
 no ip proxy-arp
 ip nat inside
!
interface BRI0
 no ip address
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 ppp authentication chap pap callin
!
interface Dialer1
 description ISP
 ip address negotiated
 ip access-group 101 in
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 300
 dialer string xxxxxxx class DialClass
 dialer hold-queue 10
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxx
 ppp chap password xxxxxx
 ppp pap sent-username xxxxxxxx password xxxxxxx
!
ip nat inside source list 18 interface Dialer1 overload
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static tcp (ip pubblico) 5631 192.168.1.5 5631 extendable
ip nat inside source static udp (ip pubblico) 5632 192.168.1.5 5632 extendable
ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.1.0 255.255.255.0 10.0.0.2
ip http server
!
!
!
map-class dialer DialClass
access-list 18 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip any any log
dialer-list 1 protocol ip permit

(ip pubblico)= indirizzo IP che deve accedere per la teleassistenza

Sicuramente è un po incasinata, ma non sono riuscito a capire dove sia l'errore.

Grazie mille per la tua disponibilità

[TheIrish]

ok, un passo alla volta. Accezion fatta per l'accesso dall'esterno, si riesce ad uscire tranquillamente verso internet?

[webhome]

si, si naviga senza alcun problema

[webhome]

Allora nessuno e in grado di darmi una mano o un suggerimento?

[MrCisco]

di per sé la cosa dovrebbe funzionare, prova a vedere se per caso non sia il firewall a bloccare.

[webhome]

Il Firewall funziona se la configurazione del router fosse correta, sui log del firewall ci sarebbero traccie di tenativi di accesso, ma questo non avviene.

[MrDish]

che tipo di firewall usi?
Iptables con Linux o altro?

P.S. Il router sembra configurato bene.

P.P.S. Non è detto che il firewall debba per forza loggare gli accessi.....

[webhome]

Ho risolto, il problema era sul router ho modificato la configurazione e ora va tutto bene