Config "pronta" ADSL 20 Mbps su c857

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Il firewall non fa nat?!
Se è così (come deve essere) le connessioni di ritorno devono andare verso l'ip di pat o nat (pubblico) e nn verso la classe privata...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

si si fa nat ma mettendo quelle righe relative all'antispoofing non si riesce più a navigare, così ho pensato che forse visto che loto usano 172.16.16.0 come rete allora dovevo modificare la riga relativa alla rete 172.16.0.0 .
A daje e daje le cipolle diventan'aje!!!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Si OK a livello di logica ha senso ma a livello tecnico micca tanto...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Piuttosto che aprire quella regola che ti espone a spoofing farei 2 regole di ip inspect sul router
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
occhiostanco
n00b
Messaggi: 21
Iscritto il: ven 28 nov , 2008 2:52 pm

Newbye sono su cisco.

Sto cercando di configurare un 857 su linea adsl tiscali
"ADSL Professional 2plus"

Cosa si intende per
interface ATM0.1 point-to-point
che ip address devo specificare?

E' l'ip pubblico assegnato dal provider?

Grazie
Roberto
occhiostanco
n00b
Messaggi: 21
Iscritto il: ven 28 nov , 2008 2:52 pm

e sempre su 857, dove specifico i parametri che mi ha dato il provider
(e che vedo sul mio attuale zyxel).
Ecco cosa ho sullo zyxel (i valori tra parentesi sono quelli impostati)

mode [Routing] o Bridge
encapsulation [PPPoA] o PPPoE ecc...
multiplex [VC] o LLC
atm QoS time [UBR] o CBR
username ***
password ***

Grazie ancora!

ip statico
KMarco
n00b
Messaggi: 15
Iscritto il: gio 10 gen , 2008 10:23 am

Ciao a tutti,
ho utilizzato la configurazione "pronta" trovata in questo post per configurare il mio 1841. Funziona tutto correttamente se non
attivo l'ACL 131 altrimenti non riesco a navigare. Per il momento ho modificato l'ultima riga dell'ACL che dovrebbe essere:

Codice: Seleziona tutto

access-list 131 deny   ip any any
in:

Codice: Seleziona tutto

access-list 131 permit   ip any any
Ho letto che anche qualcun altro ha avuto il mio stesso problema... sapete darmi qualche dritta?

Ecco comunque la configurazione completa:

Codice: Seleziona tutto

no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router-CED
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 'lapassword'
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
!
no ip bootp server
ip name-server 151.99.0.100
ip name-server 151.99.125.1
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
crypto pki trustpoint TP-self-signed-146958177
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-146958177
 revocation-check none
 rsakeypair TP-self-signed-146958177
!
!
crypto pki certificate chain TP-self-signed-146958177
 certificate self-signed 01
  30820246 308201AF A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31343639 35383137 37301E17 0D303930 39313930 34323830
  385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3134 36393538
  31373730 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  C67FA57D 1B26C095 17926032 604A62BA A00FE7EF A814C1F7 4E24E85C 0BA06F8E
  7C2EA19F B334BC96 201CAB3F 54649188 FD7AC896 D24B769B 6DD2DD57 7CD081EF
  B4E1DECD 10CC2C19 B07A68D6 1565D6D6 3C254AAD 7687689B 559EE0B7 FEEB4623
  9ED8E54D 10F3DA32 326E02F9 E408BCA8 1A5C7EAB F46C5F4F 78A41FE7 51FCD181
  02030100 01A37030 6E300F06 03551D13 0101FF04 05300301 01FF301B 0603551D
  11041430 12821042 6572746F 6E65676C 6173732D 43454430 1F060355 1D230418
  30168014 879AB4C4 E91A556A 7A35EC5E 41274187 F6142F80 301D0603 551D0E04
  16041487 9AB4C4E9 1A556A7A 35EC5E41 274187F6 142F8030 0D06092A 864886F7
  0D010104 05000381 8100B42E C3B053EF BACCCA42 60CD8AEB FEB96F12 4032417E
  5A536F03 50713384 24FA1751 AD513710 52C4A66A 2860ABD7 B528B574 BFD9B45A
  39319AC7 83FFCDD2 FBB3B069 0E805361 1BE1908B DBB75551 D1D4D6A2 CA2BD25C
  C3EE25B9 B16B1720 99D3F9B3 0EF6C122 B549D618 E30F6D5F 3B0FC6F6 850AE962
  79BD720B C0009058 95A3
  quit
username 'utente' privilege 15 secret 5 'lapassword'
!
!
!
interface FastEthernet0/0
 description description CONNESSIONE LAN
 ip address 192.168.15.11 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip route-cache flow
 no ip mroute-cache
 duplex auto
 speed auto
 hold-queue 100 out
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface ATM0/0/0
 description ALICE BUSINESS - TGU: 'ilnumerodiTGU'
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 ip address 88.2*.**.158 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 no ip mroute-cache
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5snap
 !
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1
!
!
no ip http server
no ip http secure-server
ip nat pool INTERNET 88.3*.***.225 88.3*.***.230 netmask 255.255.255.248
ip nat inside source list 100 pool INTERNET overload
ip nat inside source static udp 192.168.15.1 500 88.3*.***.225 500 extendable
ip nat inside source static tcp 192.168.15.1 1723 88.3*.***.225 1723 extendable
ip nat inside source static tcp 192.168.15.1 3389 88.3*.***.225 3389 extendable
!
!
access-list 100 remark ***************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.15.0 0.0.0.255 any
access-list 131 remark ***************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip any host 0.0.0.0 log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark ***************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any 'utente'istratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark ***************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS ECC ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark ***************************************************
access-list 131 remark *** AUTORIZZO IL TRAFFICO INTERNET RIMANENTE ***
access-list 131 permit ip any any
!
!
!
control-plane
!
!
banner motd ^CC
****************************************************************
----------------------------------------------------------------
* ***   ROUTER PERIMETRALE ----      ***   *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
 exec-timeout 120 0
 login local
 transport output ssh
 stopbits 1
line aux 0
 login local
 transport output ssh
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
sntp server 193.204.114.232
sntp server 193.204.114.233
end
Grazie in anticipo a tutti!
Ciao ciao

Marco
l'indiano
Cisco fan
Messaggi: 27
Iscritto il: gio 08 dic , 2005 11:06 am

Ciao a tutti e complimenti per le configurazioni "belle e pronte".

Ho un problema a far funzionare un router Cisco con una nuova connessione Telecom.

Router Cisco 857 IOS version 12.4(6)T6

Premessa:
Indirizzi IP forniti da Telecom
85.xx.169.128
85.xx.169.129 gateway
85.xx.169.130 wan Cisco
con subnet mask 255.255.255.252

Telecom ha assegnato anche un'altra classe di indirizzi IP Pubblici che però a noi non servono e non vorremmo utilizzare.
La VLAN1 è configurata con una classe A privata.
Fino ad oggi siamo stati su un'altra rete Telecom con un unico indirizzo IP Pubblico statico ed il tutto funzionava.
La spia CD è accessa fissa.

vengo al dunque:

con la configurazione proposta in questo post la atm0.1 è up ma non mantiene l'indirizzo IP impostato nella configurazione.
Se provo a fare nuovamente
interface atm0.1
ip address 85.xx.169.130 255.255.255.252
mi restituisce 85.xx.169.128 overlaps with Loopback0

Ho provato anche a non utilizzare la Loopback0 ma a fare qualcosa del tipo:

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description INTERFACCIA PER ACCESSO AD INTERNET
ip address 85.xx.169.130 255.255.255.252
ip access-group 103 in
ip verify unicast reverse-path
ip inspect xxx_LOW out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
protocol ip 85.xx.169.129 broadcast
encapsulation aal5snap
!

Sembra avere più senso ma non esco su Internet e non riesco a pingare il gateway Telecom 85.xx.169.129
Qualunque ping io faccia verso un IP su Internet la risposta è:
Risposta da 85.xx.169.129: Rete di destinazione non raggiungibile.


Grazie a tutti
Claudio
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
come ti viene detto quel indirizzo è stato impostato sulla loopback0.
Cancella l'interfaccia e configura l'ip.
Se non funziona posta

Codice: Seleziona tutto

sh ip interface brief
sh ip route
Il NAT è configurato correttamente?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi