857 - Errore nella configurazione

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

Ciao a tutti,

mi chiamo Valerio, ho 26 anni, sono di Roma e da ottobre frequento il CCNA (all'Elis).

Seguo il forum da diversi mesi in modalità "passiva" :wink: , ora un po' per smanettare un po' per sostituire un netgear (che devo ammettere essere un vero trattore!) mi sono regalato un 857 (affarone su ebay!! solo 70€ sigillato, è buono no?) e facendo un bel collage di configurazioni (il 90% è la conf di Wizard, il quale ringrazio) sono riuscito a metterlo Up and running.

Ho passato le ultime due notti cercando di capire tutti i comandi presenti nel file di conf e devo dire che ho imparato tantissimo (il corso mi darà poi le basi concrete), non riesco però ad individuare quale sia il problema che continua a far si che ottenga un bel CONFIGURATION FAILED! all'avvio della macchina (e qui mi inginocchio sui ceci chiedendovi di darci uno sguardo).

Il router funziona "perfettamente" (metto le virgole perchè proprio quel failed mi mette il dubbio..), nel senso che da una prova fatta da un client navigo (poi dovrò sicuramente fare un po' di tweaking sui parametri ma questo moolto più in là).

Naturalmente siete liberi di correggere eventuali cappell..e!! (siate però magnanimi!!)

IOS: Version 12.4(15)T6
ADSL: Libero 20 mega

La start conf (ho verificato essere identica alla running)

Codice: Seleziona tutto

!
version 12.4
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ROUTER
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable password 7 OSCURATO
!
no aaa new-model
clock summer-time CET recurring last Sun Mar 1:00 last Sun Oct 1:00 1
!
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
ip domain name cisco.com
ip name-server 193.70.152.15
ip name-server 208.67.222.222
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
!
!
username OSCURATO password 7 OSCURATA
! 
!
archive
 log config
  hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
 description INTERFACCIA VIRTUALE END-POINT VPN
 ip address 11.11.11.11 255.255.255.255
!
interface Null0
 no ip unreachables
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode adsl2+ 
 hold-queue 224 in
!
interface ATM0.1 point-to-point
 mtu 1492
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip inspect IDS out
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description CONNESSIONE LAN
 ip address 192.168.0.1 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 hold-queue 100 out
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname OSCURATO@liberotop
 ppp chap password 7 OSCURATO
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer0 overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny   ip any any log
!
control-plane
!
banner motd 
***********************************************************************

	WARNING: System is RESTRICTED to authorized personnel ONLY!
	Unauthorized use of this system will be logged and
	prosecuted to the fullest extent of the law.

	If you are NOT authorized to use this system, LOG OFF NOW!

***********************************************************************

!
line con 0
 exec-timeout 120 0
 login local
 no modem enable
 transport output ssh
 stopbits 1
line aux 0
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end
Inoltre volevo domandarvi come dovrei settare gli MTU delle varie interfacce?

Grazie per l'attenzione,

Vale :D
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

Mah, come non detto, dagli host posso effettuare traffico ICMP ma la navigazione è impossibile (navigo bene solo google?! tutti gli altri siti impiegano 10 minuti o non caricano proprio....)

Può essere il NAT o le ACL?

Grazie,

Valerio
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

può essere un conflitto di config tra ip inspect IDS e le ACL 131?
Top
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

Forse ti manca solo il "tcp adjust-mss 1452" sotto l'interfaccia Vlan1.

Ciao!
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

provo!

grazie
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

ti posso fare una domanda?

avendo una connessione PPPoE ha senso avere anche l'interfaccia ATM0.1?
Top
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

Io tengo tutti i PVC dentro le sottointerfacce come hai fatto tu, per abitudine e per chiarezza. In questo caso, essendoci un PVC solo, non è necessario, però io lo preferisco. Inoltre, può essere d'aiuto volendo smanettare con diverse configurazioni e possibilità, cosa che tu gradirai certamente :)

La cosa che non serve è mettere delle opzioni IP: visto che né su ATM0 né su ATM0.1 sta funzionando il protocollo IP, credo che tu possa tranquillamente toglierle da quelle interfacce.

Ciao!
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

"tcp adjust-mss 1452" dove lo devo dare?

in IP dentro conf-if della Vlan?

comunque non riesco proprio a capire dove sia l'inghippo, tutto il traffico ICMP entra ed esce (ping, tracert etc), i DNS sono ok...

è strano perchè in pratica navigo normalmente tutto il sito di google (maps, immagini, qualsiasi pagina etc) mentre su qualsiasi altro sito dopo diversi minuti smetto di aspettare perchè é impossibile che sia così lento!!!
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

era lui!!! settato ed è andato tutto a posto!!!

GRAZIE!!!!
Top
kikko
n00b
Messaggi: 15
Iscritto il: mer 04 mar , 2009 12:49 am

ora navigo senza problemi (l'unico è la qualità della linea... per non avere troppo disconnessioni ora sono in ADSL2 a 12mbps) ma l'errore di configurazione lo vedo comunque..

qualche idea?

Grazie di tutto,

Vale
Top
Rispondi

Torna a “Configurazioni”