Chiarimento su NAT

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Buongiorno a tutti.
Grazie a un bel po di studio e a questo forum :wink: sono riuscito a config un 1751v con un adsl NGI e utilizzare un account messagenet.
Ho però due domande da porvi in merito al NAT; intanto la config:

Codice: Seleziona tutto


version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname R1751
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$slKk$JE0W9kaBh4Uheo2c1W1J.0
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
voice-card 2
!
ip cef
!
!
ip name-server 88.149.128.12
ip name-server 88.149.128.22
!
!
interface Loopback0
 ip address XX.YY.ZZ.WW 255.255.255.255
!
interface ATM0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto 
 hold-queue 224 in
 pvc 8/35 
  encapsulation aal5snap
  protocol ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
!
interface Dialer0
 ip unnumbered Loopback0
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp pap sent-username XXXXXXX password 7 YYYYYYYYYYYYY
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation max-entries 4096
ip nat inside source list 101 interface Loopback0 overload
ip nat inside source static 192.168.10.2 XX.YY.ZZ.WW
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
!
voice-port 2/0
 echo-cancel coverage 32
 playout-delay nominal 100
 playout-delay mode fixed
 cptone IT
 timeouts interdigit 3
 timeouts call-disconnect 0
 music-threshold -70
 caller-id enable
!
voice-port 2/1
!
!
!
dial-peer voice 1 voip
 destination-pattern .T
 session protocol sipv2
 session target sip-server
 session transport udp
 dtmf-relay sip-notify
!
dial-peer voice 2 pots
 destination-pattern 5333464
 port 2/0
!
sip-ua 
 authentication username KKKKKKK password YYYYYYYY
 retry invite 4
 retry response 3
 retry bye 2
 retry cancel 2
 registrar dns:sip.messagenet.it:5061 expires 3600
 sip-server dns:sip.messagenet.it:5061
!
!
line con 0
line aux 0
line vty 0 4
 password 7 141E111F41547B2731
 login
!
end
Accetto ovviamente critiche, proposte di miglioramento ecc ecc sulla configurazione,.... le domande sono:
1) Il provider mi ha assegnato un ip statico XX.YY.ZZ.WW 255.255.255.255 che però non sono riuscito ad attestare sulla Dialer (mi da un errore Bad /32 mask), googolando un po ho trovato la soluzione di passare per la Loopback ... è corretto? crea qualche tipo di problema?

2) A valle del router ho un pix e volevo nattare tutte le porte sull' outside del pix con un:
ip nat inside source static 192.168.10.2 XX.YY.ZZ.WW
il problema è che non appena do questo comando il router smette di navigare su internet (e ovviamente messagenet non va) mentre il pix naviga correttamente. C'è modo di nattare tutte le porte sul pix mantenendo la funzionalità voice del router?

mi scuso per il post un po lungo, ma non ho proprio trovato risposte a questi miei dubbi; grazie a chi vorrà darmi una mano o un link dove studiare un po il problema... :wink:

Un saluto a tutti
Luca P
Top
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

ciao a tutti...
nessuno riesce a darmi anche solo una dritta per il problem di cui sopra... ?
non ci credo che un "signor Cisco" non riesce a fare una cosa che un 3com da 50€ fa tranquillamente.....

grazie a chi vorra darmi una mano, un saluto a tutti
Luca
Top
simones
n00b
Messaggi: 9
Iscritto il: lun 14 gen , 2008 10:19 pm
Località: Roma

Ciao,

non devi nattare il router sull'interfaccia outside del pix.

Do per scontato che l'interfaccia outside del pix sia sulla stessa sottorete dell'interfaccia ethernet del router.

Pertanto devi semplicemente inserire una regola di routing per raggiungere la rete lan interna.

Es.

Interfaccia Eth router: 192.168.10.1 255.255.255.252
Interf. outside del pix 192.168.10.2 255.255.255.252
Interf. Inside del pix: 192.168.1.0 255.255.255.0
Lan Interna: 192.168.1.0 255.255.255.0

Sul router inserisci:

ip route 192.168.1.0 255.255.255.0 192.168.10.2


Per quanto riguarda l'IP statico sul router non è consigliabile inserirlo sulla loopback.
Ip scriverei "ip address negotiated" sulla dialer 0

Ovviamente accetto critiche/miglioramenti anche io, visto che sono un autodidatta.

Spero di esserti stato utile....

Ciao :wink:
Top
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Ciao...
innanzitutto grazie per la risposta!!! :wink:
Ho eliminato la loopback0 e utilizzato l' ip negotiated e tutto sembra funzionare bene... anche se non capisco il perchè la Dialer0 non accetti un ip con subnet 255.255.255.255 ...

per quanto riguarda il discorso del nat degli indirizzi io vorrei poter permettere al traffico proveniente da Internet di raggiungere l'outside del pix (dove configurerò una vpn), potrei fare una nat statica sulle porte usate dalle VPN ma mi piacerebbe capire come poter nattare tutte le connessioni in arrivo da Internet sull'outside del pix, senza però perdere le funzionalita "voice" del 1751.
Pensi sia fattibile?? io ho trovato solo come nattare un range di porte ma.. credo mi manchi qualcosa. :?

Grazie ancora, ciao ciao
Luca
Top
Rispondi

Torna a “Configurazioni”