Problema di routing o acl ?

[lluca]

Ciao a tutti,
ho fatto una configurazione su un cisco 871 per avere due vlan: una dedicata alla LAN e una per la DMZ (non nattata).
La DMZ funziona che è una meraviglia: se collego sulla porta FE3 (VLAN10 nella config) un server con ip pubblico, questo va su internet direttamente.
Il mio problema è situato invece nella parte LAN (VLAN1): riesco a pingare il suo gateway (10.10.1.1), ma non riesco ad andare su internet. Problema di NAT o ACL ? Forse il comando ip route 0.0.0.0 0.0.0.0 Dialer0 è sbagliato ?

Vi ringrazio in anticipo per l'aiuto.

version 12.4
no parser cache
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
logging userinfo
logging buffered 32000 informational
logging console informational
logging monitor informational
enable secret 5 <REMOVED>
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login admin local
!
!
aaa session-id common
!
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
no ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.1.1 10.10.1.59
ip dhcp excluded-address 10.10.1.100 10.10.1.254
!
ip dhcp pool VLAN1
import all
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
domain-name <REMOVED>
dns-server 212.90.199.2 212.90.192.190
lease 0 2
!
!
no ip bootp server
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
ip inspect max-incomplete high 1100
ip inspect max-incomplete low 1100
ip inspect one-minute high 1100
ip inspect one-minute low 1100
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 tcp
login block-for 60 attempts 3 within 30
login on-failure log
login on-success log
!
multilink bundle-name authenticated
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
no crypto isakmp enable
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 1
ip ssh version 2
!
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
description DMZ port
switchport access vlan 10
no cdp enable
!
interface FastEthernet4
description WAN port
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Vlan1
description Local Area Network
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan10
description DMZ Network
ip address xxx.yyy.zzz.249 255.255.255.248
no ip proxy-arp
no ip mroute-cache
ntp broadcast
hold-queue 100 out
!
interface Dialer0
ip unnumbered Vlan10
ip access-group 101 in
ip access-group 102 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 7 <REMOVED>
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip any any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner motd ^CC
This is machine name. Unauthorised access to this
machine is strictly prohibited. Please disconnect now unless
you have received prior authorisation for use. The systems
administrator is your name on Your phone number.
^C
!
line con 0
login authentication admin
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 5 0
login authentication admin
transport input ssh
!
scheduler max-task-time 5000
ntp logging
ntp clock-period 17179869
ntp source Dialer0
ntp peer 212.90.197.226 prefer
end

[Wizard]

1) Ti mancano le regole di nat x fare uscire la vlan1 con l'ip della dialer

2) Cosa ti serve una dmz se sulla dialer hai le acl che permettono tutto?! (una cosa del genere è da galera...)

[lluca]

Ciao Wizard,
grazie per avermi risposto.

Al riguardo della tua domanda: al momento ho lasciato tutto aperto visto che non riesco ad andare su internet partendo dalla LAN (VLAN1). volevo partire sicuro che non vi fosse una qualche acl che bloccasse tutto...
Poi, mettero le acl in modo tale che i server che si trovano nella VLAN10 con gli ip pubblici saranno accessibili unicamente sulle porte dei servizi che devono erogare.

Per le regole di nat: mi potresti indicare cosa manca, perché per arrivare a questa configurazione mi sono fuso il cervello e continuo a girare in tondo senza vedere cosa devo fare/aggiungere...

Ti ringrazio.
Luca

[k4mik4ze]

a occhio e croce:

- dichiarazione dell'interfaccia inside
- dichiarazione dell'interfaccia outside
- dichiarazione dell'ACL da usare per discernere CHI va nattato
- pool di indirizzi da associare a quelli privati.


altro?

[lluca]

a occhio e croce:

- dichiarazione dell'interfaccia inside
- dichiarazione dell'interfaccia outside

mmmhhh... ma non è il comando ip nat inside che c'è già nella Vlan1 rispettivamente ip nat outside nel Dialer 0 ?

- dichiarazione dell'ACL da usare per discernere CHI va nattato
- pool di indirizzi da associare a quelli privati.

altro?

Mi puoi fare un esempio per favore ?
Calcola che sono partito con poche conoscenze per fare questa configurazione

[Wizard]

Ti manca questo:

ip nat inside source list 101 interface Dialer0 overload

access-list 101 remark *** ACL PER PAT ***
access-list 101 permit ip 10.10.1.0 0.0.0.255 any

[lluca]

già meglio, nel senso che adesso oltre al gateway della lan (10.10.1.1) riesco a pingare anche l'ip pubblico del gateway (xxx.yyy.zzz.249) della subnet assegnatami dal provider... ma comunque la LAN non va ancora su internet ne riesco a pingare un server che è già online sull'ip pubblico xxx.yyy.zzz.250...

[Wizard]

Sai che il resto (x la navigazione) mi sa a posto...
Prova a fare dal router:

ping 151.1.1.1 source Vlan1

[lluca]

nessuna risposta...

ping 151.1.1.1 source Vlan1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 151.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.1.1
.....
Success rate is 0 percent (0/5)

[lluca]

tra l'altro, per info: ho cancellato tutta la configurazione e reinserito quanto postato + le tue 3 linee... quindi la configurazione è pulita, ma non funziona.

ti posto le seguenti info, magari possono servire...

#sh ip interface brief
Any interface listed with OK? value "NO" does not have a valid configuration

Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset up down
FastEthernet2 unassigned YES unset up down
FastEthernet3 unassigned YES unset up up
FastEthernet4 unassigned YES manual up up
Vlan1 10.10.1.1 YES manual up up
NVI0 unassigned NO unset up up
Vlan10 xxx.yyy.zzz.249 YES manual up up
Dialer0 xxx.yyy.zzz.249 YES TFTP up up
Virtual-Access1 unassigned YES unset up up

#sh ip route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

xxx.0.0.0/29 is subnetted, 1 subnets
C xxx.yyy.zzz.248 is directly connected, Vlan10
10.0.0.0/24 is subnetted, 1 subnets
C 10.10.1.0 is directly connected, Vlan1
212.90.201.0/32 is subnetted, 1 subnets
C 212.90.201.241 is directly connected, Dialer0
S* 0.0.0.0/0 is directly connected, Dialer0

[Wizard]

Mhm...
Fammi vedere la config attuale...

[lluca]

Eccola...

version 12.4
no parser cache
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
logging userinfo
logging buffered 32000 informational
logging console informational
logging monitor informational
enable secret 5 <REMOVED>
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login admin local
!
!
aaa session-id common
!
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
no ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.1.1 10.10.1.59
ip dhcp excluded-address 10.10.1.100 10.10.1.254
!
ip dhcp pool VLAN1
import all
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
domain-name <REMOVED>
dns-server 212.90.199.2 212.90.192.190
lease 0 2
!
!
no ip bootp server
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
ip inspect max-incomplete high 1100
ip inspect max-incomplete low 1100
ip inspect one-minute high 1100
ip inspect one-minute low 1100
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 tcp
login block-for 60 attempts 3 within 30
login on-failure log
login on-success log
!
multilink bundle-name authenticated
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
no crypto isakmp enable
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 1
ip ssh version 2
!
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
description DMZ port
switchport access vlan 10
no cdp enable
!
interface FastEthernet4
description WAN port
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Vlan1
description Local Area Network
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan10
description DMZ Network
ip address xxx.yyy.zzz..249 255.255.255.248
no ip proxy-arp
no ip mroute-cache
ntp broadcast
hold-queue 100 out
!
interface Dialer0
ip unnumbered Vlan10
ip access-group 101 in
ip access-group 102 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 7 <REMOVED>
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
!
!
ip nat inside source list 101 interface Dialer0 overload

access-list 101 remark *** ACL PER PAT ***
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 101 permit ip any any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner motd ^CC
This is machine name. Unauthorised access to this
machine is strictly prohibited. Please disconnect now unless
you have received prior authorisation for use. The systems
administrator is your name on Your phone number.
^C
!
line con 0
login authentication admin
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 5 0
login authentication admin
transport input ssh
!
scheduler max-task-time 5000
ntp logging
ntp clock-period 17179869
ntp source Dialer0
ntp peer 212.90.197.226 prefer
end

[Helix]

prova a configurare così:

!
bridge 1 protocol ieee
bridge 1 route ip
!


interface BVI1
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
interface Vlan1
no ip address
ip tcp adjust-mss 1452
bridge-group 1
!

poi dalla ACL del nat togli il permit ip any any e lascia solo:

access-list 101 remark *** ACL PER PAT ***
access-list 101 permit ip 10.10.1.0 0.0.0.255 any

[lluca]

mmmhh... ma cosi facendo faccio un bridge nella LAN (VLAN1) se ho capito bene... e poi è errato da quanto vedo:
c'è solo un'interfaccia nel bridge-group 1 e cosi non potrà funzionare (per fare bridge devono essere 2 porte nel gruppo, altrimenti che ponte può fare ?)

piuttosto dovrei farlo tra il Dialer0 e la Vlan10, ma ho già provato senza successo...
Ho macinato diversa documentazione in questa settimana e per fare quello che desidero, ovvero avere una parte per la LAN nattata e una parte per la DMZ dove posso usare gli ip pubblici e filtrarli, sono arrivato a 2 possibili vie:

_ usare bridge irb
_ usare ip unnumbered

infatti, all'inizio avevo preso la via utilizzando bridge irb, ma poi ho letto che per il mio obiettivo era meglio usare ip unnumbered.
Infatti, da quanto letto e capito, bridge irb lavora a layer 2, quindi poi avrei avuto problemi ad applicare le acl per la dmz.
In realtà, ci sarebbe stato il sistema per applicare anche in questo caso le acl, però non con questa semplice configurazione che mi hai postato. Ho quindi abbandonato la via di bridge irb per andare su quella del ip unnumbered che era la soluzione piu idonea al mio caso.

Correggetemi se ho detto qualche fesseria... perché, come detto dall'inizio di questo post, sono partito da un livello basso di conoscenze in ambito cisco e mi sono divorato paginate di documentazione

Tra l'altro, una nota per Wizard: mi è sembrato di capire che questa configurazione che ho postato non è proprio ottimale. Infatti, l'ip pubblico del router lo assegno alla VLAN10 e il DIALER0 fa un IP UNNUMBERED sulla VLAN10.
Come configurazione sta in piedi, se non che qualora la VLAN10 va in stato down, questa mancherebbe e DIALER0 non avrebbe piu un ip pubblico con la conseguenza che non andrebbe neanche piu la VLAN1 (LAN).
È solo un dettaglio, se ho capito bene, dovrei creare un interfaccia LOOPBACK e assegnarle a lei l'ip pubblico, eseguendo poi un IP UNNUMBERED dal DIALER0 e VLAN10 verso l'interfaccia LOOPBACK. Come detto, dovrebbe essere solo un dettaglio, prima di cambiare la config, vorrei riuscire a far funzionare la LAN nattata in modo tale da capire cosa mancava e come funziona.

[Helix]

Sugli 870 dovrebbe essere quella la configurazione... Se a te non va e non vuoi provare allora non so che dirti!

Buona configurazione