Problema con il nat ed il numero di client

[d520]

Ciao a tutti,

ho un problema sulla rete aziendale che devo assolutamente risolvere. Devo consentire ad un massimo di 10 pc alla volta di uscire nattati sulla rete di un fornitore (il fornitore mi ha infatti assegnato una classe 192.168.146.144/28) e posso utilizzare per i miei client dal 192.168.146.149 al 192.168.146.158.
Se potessi fare il nat uno-ad-uno non ci sarebbero problemi, ma il fatto è che devo consentire a qualunche ip della mia lan di poter uscire e in teoria
il router dovrebbe rifiutare la connessione quando l'11 client della mia LAN tenta di uscire. Qualcuno mi sa aiutare? Il router in questione è un 2600 con 2 ethernet, di seguito lo sh ver:

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IO3-M), Version 12.2(46a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Wed 11-Jul-07 20:22 by pwade
Image text-base: 0x8000808C, data-base: 0x80A72380

[andrewp]

Se potessi fare il nat uno-ad-uno non ci sarebbero problemi, ma il fatto è che devo consentire a qualunche ip della mia lan di poter uscire e in teoria
il router dovrebbe rifiutare la connessione quando l'11 client della mia LAN tenta di uscire. Qualcuno mi sa aiutare?

Solo in questo periodo ci sono due negazioni...che risultato vuoi ottenere si può sapere?!

Tutti devono navigare oppure dall'11° in poi devono essere rifiutati?!

[d520]

Ciao Andrea,

scusa se non mi sono spiegato: voglio che qualunque pc della mia rete possa andare su quella del fornitore ma voglio limitare le connessioni a 10 in quanto 10 sono gli IP che mi hanno assegnato. Con il nat statico sono limitato nel fatto che sempre e soltanto gli stessi 10 clients potranno uscire, io voglio che questi 10 pc siano "intercambiabili" a seconda della necessità dei vari utenti di usare o meno l'applicazione di rete.
Grazie

[andrewp]

Usa l'overload....e, comunque, non è che puoi usare più IP di quelli che ti assegnano

[d520]

Usa l'overload....e, comunque, non è che puoi usare più IP di quelli che ti assegnano

Ciao,
ho provato con :
ip nat pool AAAA 192.168.146.149 192.168.146.158 netmask 255.255.255.240
ip nat inside source list 102 pool AAAA overload
access-list 102 permit ip 192.168.1.0 0.0.0.255 any

ma "sh ip nat trans" mi da risultati come questi:

tcp 192.168.146.151:2336 192.168.1.165:2336 10.4.12.11:1531 10.4.12.11:1531
tcp 192.168.146.151:2347 192.168.1.165:2347 10.4.12.11:1531 10.4.12.11:1531
tcp 192.168.146.151:2348 192.168.1.165:2348 10.4.12.11:1531 10.4.12.11:1531
tcp 192.168.146.151:2011 192.168.1.244:2011 10.4.12.16:8082 10.4.12.16:8082
tcp 192.168.146.151:2012 192.168.1.244:2012 10.4.12.16:8082 10.4.12.16:8082
tcp 192.168.146.151:1462 192.168.1.175:1462 10.4.12.11:445 10.4.12.11:445
tcp 192.168.146.151:2524 192.168.1.177:2524 10.4.12.56:1521 10.4.12.56:1521
tcp 192.168.146.151:2649 192.168.1.179:2649 10.4.12.56:1521 10.4.12.56:1521
tcp 192.168.146.151:2818 192.168.1.174:2818 10.4.12.56:1521 10.4.12.56:1521
tcp 192.168.146.151:4998 192.168.1.165:4998 10.4.12.56:1521 10.4.12.56:1521
tcp 192.168.146.151:3005 192.168.1.179:3005 10.4.12.11:1532 10.4.12.11:1532
tcp 192.168.146.151:3009 192.168.1.179:3009 10.4.12.11:1532 10.4.12.11:1532
tcp 192.168.146.151:1031 192.168.1.165:2295 10.4.12.11:1531 10.4.12.11:1531

sembra che tutte le macchine escano con lo stesso IP (192.168.146.151).
Perchè non vengono utilizzati tutti gli ip del pool AAAA?

[andrewp]

Decide il router quando e quali IP gli piace utilizzare

[SunsetB]

Visto che hai 10 ip e vuoi fare uscire 10 pc al massimo, non serve il Pat (o NAT con overload), ma è sufficiente il NAT dinamico.

Dalla Global Configuration:

access-list 1 permit ip_address (dei PC sulla lan) wild_card_mask

ip nat pool Nome_pool Indirizzo_di_partenza (assegato dall'ISP) Ultimo_indirizzo netmask A.B.C.D (subnet-mask)

ip nat inside source list 1 pool Nome_pool

Così dovrebbe andare!

[SunsetB]

Per essere più chiaro, se nella tua LAN i PC hanno indirizzi 192.168.1.0 255.255.255.0, dai i seguenti comandi dalla Global Configuration:

access-list 1 permit 192.168.1.0 0.0.0.255
ip nat pool LAN 192.168.146.149 192.168.146.158 netmask 255.255.255.240
ip nat inside source list 1 pool LAN

All'11mo pc non sarà permesso di uscire, per mancanza di indirizzi nel pool. E' questo che volevi, vero?
Se hai già un'ACL 1 per altri motivi, ti ricordo che le ACL standard possono andare da 1-99 e da 1300 a 1999, quindi puoi optare per un altro numero.
Spero di esserti stato d'aiuto

[djdylan78]

Aggiungo solo che potrebbe essere necessario tarare il timeout delle nat transaction, visto che se 10 pc usano la connessione, praticamente per 24h dall'undicesimo in avanti non andranno dall'altra parte...

aggiungi semplicemente un:

ip nat translation timeout seconds
rif. http://www.cisco.com/univercd/cc/td/doc ... #wp1179323

magari non mettere 2secondi, prima prova a monitorare la situazione ed a trovare il "numero ideale"

[andrewp]

I pc sono più di 10.....non avete letto?!

[d520]

Grazie a tutti,
comunque ho provato ad usare il nat dinamico (senza pat) ed ho impostato il timeout, ma l'effetto è questo: quando l'11 pc si connette mi butta fuori un altro utente che era già collegato. Un altro problema è che impostando il timeout ad esempio a 5 minuti, se l'utente non fa traffico di rete per 5 minuti viene disconnesso dall'applicazione che tra l'atro utilizza un'autenticazione. Dovrei trovare un modo per poter dire al router di non far connettere più nessuno fin tanto che un indirizzo del pool di nat sia rilasciato e possa pertanto essere riutilizzato e che quando un utente non fa traffico di rete rimanga comunque nattato con l'indirizzo che ha preso quando ha aperto la connessione: penso però che una cosa simile non si possa fare. Secondo voi si potrebbe fare in modo che quando l'utente chiuda l'applicazione si esegua uno script che va a fare un clear ip nat translation ... si possono eseguire degli script in remoto sui cisco? Ho anche letto che esite un modo per autentificarsi sul router per aprire una connessione ma non ho provato e mi sembra un pò complesso: qualcuno sa se potrebbe essere una soluzione?

Per Andrea: i PC nella LAN sono più di dieci, ma quelli che debbono poter uscire contemporaneamente devono essere al massimo 10.

Grazie ancora di tutto.

[andrewp]

Per Andrea: i PC nella LAN sono più di dieci, ma quelli che debbono poter uscire contemporaneamente devono essere al massimo 10.

Perchè? Mi pare molto illogico.

[d520]

Perchè? Mi pare molto illogico.

I PC che accedono contemporaneamente alla rete del cliente sono al massimo 10 alla volta in quanto il cliente ha imposto che ogni PC connesso abbia almento 1Mbs di banda a disposizione (la linea è a 10Mbs): in effetti se il client ha meno di 1 Mbs a disposizione, l'utente passa delle ore ad aspettare che l'applicazione gli risponda.

[andrewp]

Ogni cosa è stata inventata per un motivo...tu puoi anche indirizzare il traffico shuttando a mano i link che non vuoi, ma sappi che ci sono i protocolli di routing

Se il NAT fa il NAT, e il PAT fa il PAT, perchè al QoS non gli fai fare il QoS?!

[d520]

Ogni cosa è stata inventata per un motivo...tu puoi anche indirizzare il traffico shuttando a mano i link che non vuoi, ma sappi che ci sono i protocolli di routing

Se il NAT fa il NAT, e il PAT fa il PAT, perchè al QoS non gli fai fare il QoS?!

non saprei da che parte cominciare, non sono un esperto di router, mi butti giù una traccia da seguire? Grazie