aggiungo che con un ping esteso all'indirizzo di google ho un misero 93% 234/250
Cosa dici è solo colpa della connessione che va male (ho aperto un ticket al riguardo ancore venerdì), avevo, misurando la banda con i misuratori, valori in upload a volte inferiori ai 34kbps (20kbps) e in media stavo sui 32-34k
P.S. Grazie della risposta di Domenica, Grazie Mille dell'aiuto!!!
router 7200 collegato mediante fastethernet 1/0 non naviga
Moderatore: Federico.Lagni
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
La doc sul sito cisco e' ottima, a mio avviso; di libri in italiano non ne conosco. Ti consiglio quelli su ciscopress.com.ErGasti ha scritto:
per capire dato che io il nat così lo avevo fatto mettendo però 110 e non 120
che sono sempre estese perchè col 120 va (almeno in parte) e 110 no?
Oltre alla documentazione sul sito della cisco hai qualche libro, magari in italiano da consigliarmi?
Per quanto riguarda le ACL, con la 110 e' sbagliata la logica. In presenza di NAT+VPN, IOS, di default, da precedenza all'algoritmo di natting e dopo a quello di IPsec. Per cui bisogna non nattare il traffico verso le reti VPN.
Per quanto riguarda i packet loss in rete locale, i primi 2 pacchetti su 5 e' normale perderli perche' il router e' in fase di learning del mac-address.
ciao
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
rettifico sono un ignurant non avevo tolto il routing sull'interfaccia bri (fino ad ora usavo l'isdn)ErGasti ha scritto:c'è ancora qualcosa che non va, la connessione ora è ok 1/1M
ma con un ping esteso (dal router) ho 90/250 36%
dal portatile collegato al router non pingo niente
tolto il routing sulla bri e lasciato solo quello sulla F1/0 (sul router centrale) da router a router ho ping 100% ma dai pc dietro i router non pingo niente.
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
riposta la config...
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
eccola:intel ha scritto:riposta la config...
Codice: Seleziona tutto
router>sh run
^
% Invalid input detected at '^' marker.
router>en
Password:
router#sh run
Building configuration...
Current configuration : 2639 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxGGnQ8A.
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ip subnet-zero
ip source-route
ip cef
!
!
!
!
no ip domain lookup
ip domain name router.com
ip name-server 195.47.199.18
ip name-server 195.25.178.30
ip name-server 151.99.125.2
!
!
multilink bundle-name authenticated
call rsvp-sync
!
!
!
!
!
!
!
username router password 7 xxxxxxxxxxxxxxxx09
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key router address 82.xxx.xxx.xxx 255.255.255.0
!
!
crypto ipsec transform-set VPN_router esp-3des esp-sha-hmac
!
crypto map STATIC_router local-address FastEthernet1/0
crypto map STATIC_router 1 ipsec-isakmp
set peer 82.xxx.xxx.xxx
set transform-set VPN_router
match address 101
!
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet1/0
ip address 94.xxx.xxx.xxx 255.255.255.240
ip nat outside
no ip route-cache cef
duplex full
no keepalive
crypto map STATIC_router
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
ip address 192.168.6.1 255.255.255.0
ip nat inside
duplex full
no keepalive
!
ip default-gateway 94.xxx.xxx.209
ip nat inside source list 120 interface FastEthernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 94.xxx.xxx.209
no ip http server
no ip http secure-server
!
!
!
access-list 1 permit 192.168.6.0 0.0.0.255
access-list 2 permit 82.xxx.xxx.xxx
access-list 2 permit 192.168.6.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 3 deny 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 deny ip 192.168.6.0 0.0.0.255 any
access-list 120 deny ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 120 deny ip 192.168.6.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 120 permit ip 192.168.6.0 0.0.0.255 any
!
!
control-plane
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
password 7 xxxxxxxxxxxxxxx135B5E
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 2 in
password 7 xxxxxxxxxxxxxxxxx4957
transport input ssh
!
end
router#
Ultima modifica di ErGasti il mar 22 set , 2009 10:18 pm, modificato 2 volte in totale.
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
sotto la fa0/1 scrivi:
elimina poi:
perche' non servono piu'.
anche
perche' superfluo.
ciao
P.S. per le reti dietro ai router, devi impostare una rotta statica oppure un processo di routing.
Codice: Seleziona tutto
default ip route-cache cef
default keepaliveCodice: Seleziona tutto
ip default-gateway 94.73.100.209
access-list 1 permit 192.168.6.0 0.0.0.255
access-list 2 permit 82.xxx.xxx.xxx
access-list 2 permit 192.168.6.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 3 deny 192.168.1.0 0.0.0.255 anche
Codice: Seleziona tutto
access-list 101 deny ip 192.168.6.0 0.0.0.255 any ciao
P.S. per le reti dietro ai router, devi impostare una rotta statica oppure un processo di routing.
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
fatto anche se non ho capito:
1:
il primo non è il defalut per i router 7200?
il secondo keepalive serve a far andare down la f1/0 se vede il cavo ethernet staccato o sbaglio?
2:
la prima ok capisco dato che il gw l'ho messo qui:
ip route 0.0.0.0 0.0.0.0 94.xxx.xxx.209
e la access-list tre è un errore che non mi ero nemmeno accorto di averla messa,
ma le access-list 2 le ho messe per restringere l'accesso ssh a solo quegli ip
se le tolgo mi risponde all'ssh a tutti gli ip 
così comunque non pingano più nemmeno i due router
questa è la conf risultante:
1:
Codice: Seleziona tutto
default ip route-cache cef
default keepaliveil secondo keepalive serve a far andare down la f1/0 se vede il cavo ethernet staccato o sbaglio?
2:
Codice: Seleziona tutto
elimina poi:
Codice:
ip default-gateway 94.xxx.xxx.209
access-list 1 permit 192.168.6.0 0.0.0.255
access-list 2 permit 82.xxx.xxx.xxx
access-list 2 permit 192.168.6.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 3 deny 192.168.1.0 0.0.0.255
perche' non servono piu'. ip route 0.0.0.0 0.0.0.0 94.xxx.xxx.209
e la access-list tre è un errore che non mi ero nemmeno accorto di averla messa,
ma le access-list 2 le ho messe per restringere l'accesso ssh a solo quegli ip
Codice: Seleziona tutto
line vty 0 4
access-class 2 in
password 7 xxxxxxxxxxxxxxxxx4957
transport input ssh
!
end così comunque non pingano più nemmeno i due router
Codice: Seleziona tutto
#ping
Protocol [ip]:
Target IP address: 192.168.1.21
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.6.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.21, timeout is 2 seconds:
Packet sent with a source address of 192.168.6.1
.....
Success rate is 0 percent (0/5)
Codice: Seleziona tutto
#sh run
Building configuration...
Current configuration : 2173 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxGnQ8A.
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ip subnet-zero
ip source-route
ip cef
!
!
!
!
no ip domain lookup
ip domain name router.com
ip name-server 195.47.199.18
ip name-server 195.25.178.30
ip name-server 151.99.125.2
!
!
multilink bundle-name authenticated
call rsvp-sync
!
!
!
!
!
!
!
username router password 7 zxxxxxxxxxx4709
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key router address 82.xxx.xxx.xxx 255.255.255.0
!
!
crypto ipsec transform-set VPN_router esp-3des esp-sha-hmac
!
crypto map STATIC_router 1 ipsec-isakmp
set peer 82.xxx.xxx.xxx
set transform-set VPN_router
match address 101
!
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet1/0
ip address 94.xxx.xxx.xxx 255.255.255.240
ip nat outside
duplex full
crypto map STATIC_router
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
ip address 192.168.6.1 255.255.255.0
ip nat inside
duplex full
no keepalive
!
ip nat inside source list 120 interface FastEthernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 94.xxx.xxx.209
no ip http server
no ip http secure-server
!
!
!
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 120 deny ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 120 deny ip 192.168.6.0 0.0.0.255 192.168.254.0 0.0.0.255
access-list 120 permit ip 192.168.6.0 0.0.0.255 any
!
!
control-plane
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
password 7 xxxxxxxxxxxxxxxxB5E
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 2 in
password 7 xxxxxxxxxxxxxx4957
transport input ssh
!
end
Ultima modifica di ErGasti il mar 22 set , 2009 10:19 pm, modificato 2 volte in totale.
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
questo è dopo il reload alla conf di prima:
e questo il ping dal server dietro il router centrale:
Codice: Seleziona tutto
#ping
Protocol [ip]:
Target IP address: 192.168.1.21
Repeat count [5]: 20
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.6.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 192.168.1.21, timeout is 2 seconds:
Packet sent with a source address of 192.168.6.1
!!.!!!!!!!!!!!!!!!!!
Success rate is 95 percent (19/20), round-trip min/avg/max = 36/58/80 ms
Codice: Seleziona tutto
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.
C:\Documents and Settings\User>ping 192.168.6.1
Pinging 192.168.6.1 with 32 bytes of data:
Reply from 192.168.6.1: bytes=32 time=52ms TTL=254
Reply from 192.168.6.1: bytes=32 time=54ms TTL=254
Reply from 192.168.6.1: bytes=32 time=59ms TTL=254
Reply from 192.168.6.1: bytes=32 time=52ms TTL=254
Ping statistics for 192.168.6.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 52ms, Maximum = 59ms, Average = 54ms
C:\Documents and Settings\User>-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
come gia' ti ho scrittto nel P.S. del post precedente, devi inserire le rotte statiche per raggiungere le reti non direttamente connesso al router. Tu stai cercando di raggiungere 192.168.1.x che non e' direttamente connessa al 7200.
ciao
ciao
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
cosa intendi? questo?:devi inserire le rotte statiche per raggiungere le reti non direttamente connesso al router
ip route 192.168.1.0 255.255.255.0 FastEthernet1/0
lo avevo già messo ma non ne vuol sapere
Poi
lasciando intoccata la conf ma aggiungendo nella f1/0 e nella f3/0:
ip route-cache cef
ora pingo il router e 2 ip della 192.168.6.x
ma è possibile che configurando la vpn tra un router cisco centrale ed altri di modello differente, ogni volta che cambi modello di router cisco (es. 857w e poi 7200) le conf usate per il primo sul secondo non vanno più?
[/code]
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
ma infatti il CEF te l'ho fatto riabilitare...
cmq per le rotte, sicuramente l'altro router ce l'hai sull'altra interfaccia.. e non sul fa1/0.
cmq per le rotte, sicuramente l'altro router ce l'hai sull'altra interfaccia.. e non sul fa1/0.
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
intel ha scritto:ma infatti il CEF te l'ho fatto riabilitare...
cmq per le rotte, sicuramente l'altro router ce l'hai sull'altra interfaccia.. e non sul fa1/0.
la f1/0 è l'interfaccia con ip pubblico e crypto map...
la f3/0 è l'int lan 192.168.6.1
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
e le reti che vuoi raggiungere? senti, dato che non ci sto capendo piu' nulla, fai un schemino topologico con l'indirizzamento? grazie.
-
ErGasti
- Cisco fan
- Messaggi: 50
- Iscritto il: ven 27 feb , 2009 4:36 pm
ok scusa, allora:intel ha scritto:e le reti che vuoi raggiungere? senti, dato che non ci sto capendo piu' nulla, fai un schemino topologico con l'indirizzamento? grazie.
rete sede A (router Centrale):
router:192.168.1.1 (f1/0)
rete lan 192.168.1.0/24
ip pubblico 82.xxx.xxx...... (atm0)
da qui debbo raggiungere la rete dietro al 7200= 192.168.6.0/32
rete sede B (router client):
router:192.168.6.1 (f3/0)
rete lan 192.168.6.0/24
ip pubblico 94.xxx.xxx...... (f1/0)
da qui debbo raggiungere la rete = 192.168.1.0/32
