NAT pubblico privato

[saso]

ciao a tutti, vi posto la mia configurazione:
service timestamps log datetime localtime
service password-encryption
service udp-small-servers
username xxxxxx password xxxxxxxx
no service tcp-small-servers
!
hostname t-
!
enable secret 5 xxxxxxxxxxxxxxx
!
ip subnet-zero
no ip source-route
ip domain-name interbusiness.it
ip name-server 151.99.125.2
!
!
!
!
no ip dhcp pool CLIENT
no ip dhcp excluded-address 10.10.10.1
no access-list 23
!
!
!
interface Ethernet0
ip address 88.xxx.yyy.zzz 255.255.255.248
ip access-group 102 out
no shut
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
no shut
!
!
interface ATM0.1 point-to-point
ip address 88.ddd.eee.fff 255.255.255.252
ip access-group 103 out
ip access-group 104 in
no ip directed-broadcast
bandwidth 128
pvc 8/35
oam-pvc manage 10
oam retry 5 5 1
encapsulation aal5snap
no shut
!
!
ip route 0.0.0.0 0.0.0.0 Atm0.1
ip route 151.99.0.0 255.255.0.0 Atm0.1
ip route 88.xxx.yyy.0 255.255.255.0 Atm0.1
!
!
logging buffered
ip classless
!
access-list 18 permit 151.99.126.0 0.0.0.255
access-list 19 permit 151.99.126.0 0.0.0.255
access-list 30 permit 151.99.252.8
access-list 30 permit 88.ddd.eee.fff
access-list 30 permit 151.99.6.2
access-list 30 permit 151.99.9.6
access-list 30 permit 151.99.126.0 0.0.0.255
access-list 102 deny ip 88.ddd.eee.fff 0.0.0.7 any
access-list 102 permit tcp any 88.ddd.eee.fff 0.0.0.7 established
access-list 102 permit ip any 88.ddd.eee.fff 0.0.0.7
access-list 103 permit udp 88.ddd.eee.fff 0.0.0.7 151.99.125.0 0.0.0.31 eq domain
access-list 103 permit tcp 88.ddd.eee.fff 0.0.0.7 151.99.125.0 0.0.0.31 gt 1023
access-list 103 permit tcp 88.ddd.eee.fff 0.0.0.7 host 151.99.126.5 eq www
access-list 103 permit icmp 88.ddd.eee.fff 0.0.0.7 151.99.0.0 0.0.127.255
access-list 103 permit icmp 88.ddd.eee.fff 0.0.0.7 195.31.0.0 0.0.127.255
access-list 103 permit ip 88.ddd.eee.fff 0.0.0.7 151.99.0.96 0.0.0.31
access-list 103 permit ip 88.ddd.eee.fff 0.0.0.7 151.99.125.0 0.0.0.31
access-list 103 deny ip 88.ddd.eee.fff 0.0.0.7 151.99.0.0 0.0.127.255
access-list 103 deny ip 88.ddd.eee.fff 0.0.0.7 195.31.0.0 0.0.127.255
access-list 103 permit ip 88.ddd.eee.fff 0.0.0.7 any
access-list 104 deny tcp any any eq 2065
access-list 104 permit ip any any
tacacs-server host 151.99.126.2
tacacs-server last-resort password
tacacs-server extended
tacacs-server notify connections
tacacs-server notify enable
snmp-server community public RO 18
snmp-server community private RW 19
snmp-server host 151.99.126.2 private
!
!
!
line con 0
login local
line vty 0 4
access-class 30 in
login tacacs
exit


se sulla scheda di rete del mio pc metto un ip pubblico assegnatomi navigo tranquillo.
Vorrei fare in modo, pero' che la eth0 del router sia identificata anche con un ip privato, in modo da mettere su tutti i pc della rete che voglio fare accedere ad internet l' ip privato del router come gateway.
Grazie

[Fumetto]

Presumo...

Codice: Seleziona tutto

 config t
interface Eth0
ip address 192.168.1.1 255.255.255.0 secondary
exit
exit

C'ho beccato?

[TheIrish]

C'ho beccato?

Direi di no, manca tutta la parte sul NAT. Scusa se non ti rispondo stasera ma non ce la faccio proprio. Domani ti scrivo, se non lo fa qualcun altro.

[saso]

si devo aggiungere il secondo indirizzo ip sulla eth0, ma per la nat pensavo di fare una loopback alla quale assegnare uno dei miei ip pubblici e poi nattare gli ip privati locali sulla loopback, ho qualche dubbio pero'

[Fumetto]

Scusami saso se approfitto, io ho il problema contrario e sono pure niubbo...
Ho un router su cui ho fatto il nat ma vorrei uscire con un ip pubblico degli assegnati; quando metti uno degli ip assegnai sulla scheda di rete del pc cosa metti come gateway, quello fornito da telecom? E' lo stesso ip che hai assegnato alla eth0?

[TheIrish]

Venghino signori venghino!
Ok, un problema alla volta.
Nei contratti Telecom Italia con pool di ip statici, non si può usare l'ip punto-punto per uscire. Cosa significa? Che non si può fare un nat che lo coinvolge. Quindi dobbiamo eleggere uno degli indirizzi del pool come adibito al nat.
Per prima cosa, scegliamo quale classe di indirizzi privati vogliamo usare. Per fare l'esempio, io sceglierò 192.168.1.0 255.255.255.0.
Più avanti, dovremo comunicare ail router che useremo questo, quindi prendiamoci avanti e scriviamo una ACL che descriva la network.

Codice: Seleziona tutto

access-list 77 permit 192.168.1.0 0.0.0.255

Ora, scegliamo l'indirizzo/gli indirizzi con il/i quali vogliamo fare il nat.
Immaginiamo che gli utilizzabili sono da 100.0.0.1 a 100.0.0.6 e vogliamo usare gli ip 100.0.0.2 e 100.0.0.3 per fare il NAT. Perché due? Perché sì, per gusto di generalità.
Descriviamo questi due indirizzi con un pool:

Codice: Seleziona tutto

ip nat pool telecom 100.0.0.2 100.0.0.3 netmask 255.255.255.248

Ovvio che se invece vogliamo usare un IP solo, basta ripetere due volte lo stesso indirizzo.
A questo punto dobbiamo creare una regola di NAT:

Codice: Seleziona tutto

ip nat inside source list 77 pool telecom overload

Una volta assegnato l'IP secondario alla ethernet, dovremmo esserci.

[saso]

Scusami saso se approfitto, io ho il problema contrario e sono pure niubbo...
Ho un router su cui ho fatto il nat ma vorrei uscire con un ip pubblico degli assegnati; quando metti uno degli ip assegnai sulla scheda di rete del pc cosa metti come gateway, quello fornito da telecom? E' lo stesso ip che hai assegnato alla eth0?

perora assegno alla scheda del mio pc l' indirizzo ip pubblico, uno di quelli fornitimi, come gateway uso l' indirizzo pubblico che ho assegnato alla eth0 del router (88.xxx.yyy.zzz)

[saso]

Venghino signori venghino!
Ok, un problema alla volta.
Nei contratti Telecom Italia con pool di ip statici, non si può usare l'ip punto-punto per uscire. Cosa significa? Che non si può fare un nat che lo coinvolge. Quindi dobbiamo eleggere uno degli indirizzi del pool come adibito al nat.
Per prima cosa, scegliamo quale classe di indirizzi privati vogliamo usare. Per fare l'esempio, io sceglierò 192.168.1.0 255.255.255.0.
Più avanti, dovremo comunicare ail router che useremo questo, quindi prendiamoci avanti e scriviamo una ACL che descriva la network.

Codice: Seleziona tutto

access-list 77 permit 192.168.1.0 0.0.0.255

Ora, scegliamo l'indirizzo/gli indirizzi con il/i quali vogliamo fare il nat.
Immaginiamo che gli utilizzabili sono da 100.0.0.1 a 100.0.0.6 e vogliamo usare gli ip 100.0.0.2 e 100.0.0.3 per fare il NAT. Perché due? Perché sì, per gusto di generalità.
Descriviamo questi due indirizzi con un pool:

Codice: Seleziona tutto

ip nat pool telecom 100.0.0.2 100.0.0.3 netmask 255.255.255.248

Ovvio che se invece vogliamo usare un IP solo, basta ripetere due volte lo stesso indirizzo.
A questo punto dobbiamo creare una regola di NAT:

Codice: Seleziona tutto

ip nat inside source list 77 pool telecom overload

Una volta assegnato l'IP secondario alla ethernet, dovremmo esserci.

grazie TheIrish, appena provo ti faccio sapere

[Fumetto]

Venghino signori venghino!
Ok, un problema alla volta.
Nei contratti Telecom Italia con pool di ip statici, non si può usare l'ip punto-punto per uscire. Cosa significa? Che non si può fare un nat che lo coinvolge. Quindi dobbiamo eleggere uno degli indirizzi del pool come adibito al nat.

Non mi quadra quest'affermazione...
Io ho questa conf...

Codice: Seleziona tutto

!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.1 point-to-point
 bandwidth 2048
 ip address 88.xx.xx.10 255.255.255.252
 ip access-group 101 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip nat inside source list 2 interface ATM0.1 overload
!
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 100 deny   ip 88.xx.xx.8 0.0.0.3 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit udp host 151.99.0.100 eq domain host 88.xx.xx.10
access-list 101 permit udp host 151.99.125.2 eq domain host 88.xx.xx.10
access-list 101 deny   ip 88.zzz.zzz.240 0.0.0.7 any
access-list 101 permit icmp any host 88.xx.xx.10 echo-reply
access-list 101 permit icmp any host 88.xx.xx.10 time-exceeded
access-list 101 permit icmp any host 88.xx.xx.10 unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip any any log
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

ed esco su internet con l'IP della punto-punto...
approfitto e chiedo: con una conf così e avendo un pool 88.zzz.zzz.240 0.0.0.7
come faccio a far uscire un pc in rete con un indirizzo ip pubblico assegnatomi? devo metterlo come indirizzo nella scheda di rete? e con quale gateway? con il finale .241 assegnatomi da talecom che dovro anche mettere come secondary sulla Vlan?

[telma]

Venghino siori !!

visto l'invito..

Ora, scegliamo l'indirizzo/gli indirizzi con il/i quali vogliamo fare il nat.
Immaginiamo che gli utilizzabili sono da 100.0.0.1 a 100.0.0.6 e vogliamo usare gli ip 100.0.0.2 e 100.0.0.3 per fare il NAT. Perché due? Perché sì, per gusto di generalità.
Descriviamo questi due indirizzi con un pool:

BRRRRRR !!! per gusto ?

Scusa l'ironia ... me la spieghi questa

Perchè si possono usare più ip ? hai gettato il sasso e giusto che dai
una spigazione ai Niubbi

NON IRRITARTI !!