2 Router e instradamento traffico a seconda della destinaz..

mazzuand · mar 19 ago , 2008 5:42 pm

Salve a tutti.

Premetto che non sono un esperto di questo campo...

Ho il seguente problema:

Un router 2811 collegato ad internet e un altro 877 blindato con una connessione ad internet fornita dalla regione

ho la necessità di far passare il traffico verso alcuni siti/servizi per il router blindato

Codice: Seleziona tutto

INTERNET 1   INTERNET 2
|                       |
|                       |
|                       | 
2811----------------877
|
|
LAN

la mia conf per sommi capi è:

interface FastEthernet0/0
description ************** LAN *******************
ip address 172.18.1.254 255.255.255.0
ip access-group 100 in
ip nat inside
duplex full
speed 100
no keepalive
!

[..]

interface FastEthernet0/2/3
description ************** LAN SERVICE 4 (VLAN4)*********
switchport access vlan 4
no ip address
duplex full
speed 100
no keepalive
!
[..]

!
interface ATM0/3/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/3/0.1 point-to-point
description ******** TGU: 0578-13340485 *********
ip address 88.39.X.X 255.255.255.252
ip access-group FROM-INTERNET in
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!

[..]

interface Vlan4
ip address 159.213.X.X 255.255.255.240
ip access-group FROM-RTRT in
ip nat outside
!

[..]

ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/3/0.1
ip route 80.82.0.0 255.255.254.0 159.213.X.Y
ip route 80.82.3.0 255.255.255.0 159.213.X.Y
ip route 80.82.4.0 255.255.252.0 159.213.X.Y
ip route 80.82.8.0 255.255.248.0 159.213.X.Y
ip route 80.253.32.0 255.255.240.0 159.213.X.Y <-- ip pubblico del 877

[..]

ip nat pool INTERNET 88.39.X.X 88.39.X. netmask 255.255.255.248
ip nat pool RTRT 159.213.X.X 159.213.X.X netmask 255.255.255.240
ip nat inside source list TO-INTERNET pool INTERNET overload
ip nat inside source list TO-RTRT pool RTRT overload

[..]

ip access-list extended FROM-INTERNET
permit ip any host 88.39.X.X
[..]
ip access-list extended FROM-RTRT
permit ip any host 159.213.X.X <-- ip pubblico assegnato alla Vlan4
[..]
ip access-list extended TO-INTERNET
permit ip 172.18.1.0 0.0.0.255 any
[..]
ip access-list extended TO-RTRT
permit ip 172.18.1.0 0.0.0.255 any
!

Solo che se collego un pc al router 877 e gli do un ip pubblico navigo tranquillamente sui siti che mi interessano (per cui il router 877 è configurato bene)

Con la configurazione di cui sopra con un qualsiasi pc della lan riesco a pingare il 877 ma non mi permette di navigare sui siti che mi interessano

dove sbaglio?

Wizard · mar 19 ago , 2008 10:24 pm

159.213.X.Y è l'IP della vlan 1 del 877?

mazzuand · mer 20 ago , 2008 7:41 am

Wizard ha scritto:159.213.X.Y è l'IP della vlan 1 del 877?

esatto!

Wizard · mer 20 ago , 2008 9:08 am

Il problema non è nella acl FROM-RTRT?
Prova a levare l'access group e riprovare...

Il resto (rotta e nat) direi che sono a posto...

mazzuand · mer 20 ago , 2008 9:28 am

Wizard ha scritto:Il problema non è nella acl FROM-RTRT?
Prova a levare l'access group e riprovare...

Il resto (rotta e nat) direi che sono a posto...

ho provato ma non cambia nulla...

ho provato a fare un traceroute su uno dei siti che mi interessano e mi risponde correttamente.
L' instradamento avviene ma non riesco comunque a navigare...

Credo proprio che mi manchi una riga che dica in Cischese :

"Bas...do di un router, fai passare TUTTO il traffico che va verso X e ritorna da X per quella strada!"

Wizard · mer 20 ago , 2008 9:38 am

Se il trace è tutto corretto (cioè, arriva a destinazione) vuole dire che il routing è corretto...

mazzuand · mer 20 ago , 2008 10:11 am

Si, ma che cosa è che non mi fa navigare?

Wizard · mer 20 ago , 2008 10:17 am

Bella domanda...
In sostanza, se provi un trace o un ping ad un sito funziona ma se provi a navigare no?

mazzuand · mer 20 ago , 2008 10:48 am

******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2

*****Correzione/Precisazione 2...

Ho provato a fare una rotta per passare dal router 2 quando vado su un mio server (diverso da quello della regione)

ip route 69.4.237.36 255.255.255.255 159.213.X.Y

e questo non mi risponde ne a ping ne a trace

la prova del trace di prima probabilmente non era attendibile perchè la destinazione era su un sito della regione e aveva un ip della stessa classe del mio ip pubblico sul router 2

ricapitolando:
trace su sito regionale dirottato --->ok
navigazione su sito regionale dirottato --->no

trace su sito mio dirottato --->no
navigazione su sito mio dirottato --->no

Wizard · mer 20 ago , 2008 9:47 pm

******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2

Già questa cosa non ha senso!
Se levi l access-gr levi tutte le acl da quella vlan e quindi è tutto permesso...

Mocuisla82 · gio 21 ago , 2008 8:05 am

mazzuand ha scritto:******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2

*****Correzione/Precisazione 2...

Ho provato a fare una rotta per passare dal router 2 quando vado su un mio server (diverso da quello della regione)

ip route 69.4.237.36 255.255.255.255 159.213.X.Y

e questo non mi risponde ne a ping ne a trace

la prova del trace di prima probabilmente non era attendibile perchè la destinazione era su un sito della regione e aveva un ip della stessa classe del mio ip pubblico sul router 2

ricapitolando:
trace su sito regionale dirottato --->ok
navigazione su sito regionale dirottato --->no

trace su sito mio dirottato --->no
navigazione su sito mio dirottato --->no

Ciao
Forse sto per dire una minchiata mah cmq
hai provato a fare una telnet sul sito uscendo sia come LAN che come WAN ? Magari specificando la porta ?

mazzuand · gio 21 ago , 2008 10:58 am

nuove info:

sh ip nat translation | include 172.18.1.180
mentre faccio un ping verso un sito di quelli interessati...

vedo che mi natta con l' ip pubblico sbagliato
quello che mi assegna con la connessione primaria (INTERNET)
e non quello che mi dovrebbe assegnare con lla connessione (RTRT)
nonostante la rotta assegnata sia giusta (tracert)

Wizard · gio 21 ago , 2008 11:03 am

ip nat inside source list TO-INTERNET pool INTERNET overload
ip nat inside source list TO-RTRT pool RTRT overload

ip access-list extended TO-INTERNET
permit ip 172.18.1.0 0.0.0.255 any

ip access-list extended TO-RTRT
permit ip 172.18.1.0 0.0.0.255 any

Io proverei con una policy map invece che in questo modo!

mazzuand · gio 21 ago , 2008 11:05 am

Ciao
Forse sto per dire una minchiata mah cmq
hai provato a fare una telnet sul sito uscendo sia come LAN che come WAN ? Magari specificando la porta ?

niente da fare dalla lan...

se mi do un ip pubblico e mi collego direttamente al router blindato funziona tutto

Wizard · gio 21 ago , 2008 11:32 am

Io proverei una policy map fatta così:

Codice: Seleziona tutto

access-list 101 permit ip 172.18.1.0 0.0.0.255 80.82.0.0 0.0.1.255
access-list 101 permit ip 172.18.1.0 0.0.0.255 ....

route-map 877 permit 10
 match ip address 101
 set ip precedence priority
 set ip next-hop 159.213.X.Y

interface xxx
ip policy route-map 877

Chiaramente devi pulire la config dalle rotte statiche di troppo

2 Router e instradamento traffico a seconda della destinaz..

Login • Iscriviti