877W + PIX + TiscaliIP e overload

[sylehc]

Salve a tutti, ho da poco riconfigurato il mio 877 per utilizzare i 14 ip pubblici fornitimi da Tiscali. Tolto il NAT overload sul router ho lasciato al PIX la gestione della traslazione degli indirizzi. La conversione degli indirizzi statici non e' un problema ma il PAT che uso sul PIX trasla gli indirizzi interni utilizzando l'interfaccia esterna del firewall. Vorrei configurare il Router/Firewall per utilizzare l'indirizzo (sempre statico ma appartenente ad un'altra subnet) che viene restituito al router dal PPoA (quello per intenderci che usavo in overload) poiche' viene utilizzato sull'internet per l'autenticazione della connessione (che non gestisco io e che quindi mi risulterebbe difficile da modificare).
Esiste un modo per far condividere il NAT overload con il NAT statico ?
Grazie

[andrewp]

Uhm...vediamo se ho capito, togli l'indirizzo che ti serve dal pool di quelli che PATti in overload e dovresti aver risolto.

[sylehc]

Uhm...vediamo se ho capito, togli l'indirizzo che ti serve dal pool di quelli che PATti in overload e dovresti aver risolto.

Ciao Andrea e grazie per la risposta rapidissima, in realta' non ho un pool di indirizzi per il PAT ma solo un:

Codice: Seleziona tutto

global (outside) 1 interface

sul PIX.

Per capirci 217.133.100.100 e' l'indirizzo della Dialer0 del router 877 che usavo in overload e che mi viene assegnato dal provider (statico anche questo).
Il pool di indirizzi pubblici e' tipo 217.133.200.192/28 che in generale uso solo con il NAT statico.
217.133.200.193 e' l'indirizzo della VLAN1 dell'877 e 217.133.200.194 e' l'indirizzo del PIX collegato a quell'interfaccia. Quest'ultimo viene usato dalla global (di sopra) per il PAT.
L'indirizzo della Dialer0, dal momento che ho tolto l'overload sul router 877 in uscita (ed in entrata perche' lo fa il PIX), non so come poterlo continuare ad utilizzare per il PAT.
Grazie

[sylehc]

Scusate se insisto ma sono abbastanza incasinato. Qualcuno sa come definire una qualche regola di nat per continuare ad usare l'indirizzo assegnato alla Dialer0 insieme ad un set di indirizzi pubblici ?

Ad esempio se:
217.133.100.100 e' l'indirizzo assegnato alla Dialer0
e
217.133.200.192/28 e' il range di IP pubblici
e' possibile configurare il router per usare con nat dinamico (pat) la Dialer0 e con quello statico il pool di ip pubblici ?

La mia configurazione e' questa.

Codice: Seleziona tutto

              Cisco 877w          Cisco877w           PIX515E             PIX515E
(internet)--- 217.133.100.100 --- 217.133.200.193 --- 217.133.200.194 --- 192.168.1.1
              Dialer0             VLan1               outside             inside 

Il default gw del router e' la Dialer0.

Grazie.

[Wizard]

Certo che si può...
Per il PAT (es):

ip nat insde source list 101 int dialer0 overload

Per il nat 1:1

ip nat inside source static udp 10.0.1.2 9654 88.87.75.9 9654

[sylehc]

Ciao Wizard, il problema e' che io mi trovo dietro al PIX. Se l'IP da nattare con l'overload e' ad esempio il 192.168.1.20 come faccio a farlo passare dal PIX al Router (877) ? L'interfaccia outside del PIX (come ho disegnato su) ha gia' un indirizzo pubblico ed il nat e' fatto proprio sul pix.

Di seguito ti riporto la configurazione dell'877:

Codice: Seleziona tutto

interface Vlan1
 description Back2Back Firewall
 ip address 217.133.200.193 255.255.255.240
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452

interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname xxx
 ppp chap password 7 xxx
 ppp pap sent-username xxx password 7 xxx
 ppp ipcp dns request

ip route 0.0.0.0 0.0.0.0 Dialer0

ip nat inside source list 1 interface Dialer0 overload

access-list 1 permit 217.133.200.192 0.0.0.16

Grazie.

[Wizard]

Provo a spiegare...
Fai un doppio nat:

nat statico 1:1 sul pix (es. 1.1.1.1 su 2.2.2.2*)
* 2.2.2.2 è nella stessa subnet della int outside del pix e inside del router

nat statico 1:1 sul pix (es. 1.1.1.2 su 2.2.2.3)
...

Sul router:

access-l 101 permit ip host 2.2.2.2 any
ip nat insde source list 101 int dialer0 overload

ip nat inside source static ip 2.2.2.3 88.87.75.9* extendable
* ip del pool di ip statici

[sylehc]

Grazie Wizard, con il tuo aiuto ho risolto. Ho lasciato il NAT statico/dinamico sul PIX e l'indirizzo del PAT del PIX l'ho messo in overload sull'877 (spero di non aver fatto casino ma sembra che funzioni tutto).
Scusa l'ignoranza ma la access-list che usavo era la 1 che non prevedeva le opzioni della 101 che mi hai postato tu.
Eliminando la 1 e mettendo la 101 ha funzionato tutto alla perfezione.
Grazie.

[Wizard]

Ottimo!
In efftti la acl "1" è di tipo standard mente la "101" è estesa!