[RISOLTO] Cisco 1801 e Telecom Italia Business

[Blue Ice]

Salve a tutti, sto cercando di configurare il router in questione ma senza successo, o almeno in parte...
è la prima volta che configuro un cisco e quindi sono neofita. ho letto un po' in giro sul forum e mi sono documentato, cercando di creare una configurazione iniziale per farlo funzionare, sono riuscito a far funzionare i pc ma mi navigavano uscendo dalla punto punto, mentre invece le mie necessità sono un po' differenti... avendo 16 ip pubblici avrei la necessità di configurare un NAT e alcuni PAT per alcuni singoli ip, nel modo seguente:

80.21.***.17 192.168.0.0 - 192.168.0.255
80.21.***.20 192.168.0.100
80.21.***.21 192.168.0.99
80.21.***.22 192.168.0.253
80.21.***.23 192.168.0.95
80.21.***.25 192.168.0.104
80.21.***.26 192.168.0.105
80.21.***.27 192.168.0.106
80.21.***.30 192.168.0.107

andando poi a definire sul firewall le porte aperte in entrata per i singoli ip pubblici...

ho creato una configurazione iniziale ma non riesco a navigare, al momento non ho creato alcuna regola di PAT, visto che non so nemmeno come si configurano, intanto mi accontenterei del utilizzare il NAT sul primo ip pubblico in uscita e non uscire più con la punto punto... di seguito trovate la conf che ho creato.

Codice: Seleziona tutto

version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 *****
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3672678414
 revocation-check none
 rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
 certificate self-signed 01
  30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33363732 36373834 3134301E 170D3130 30333137 31313032
  32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36373236
  37383431 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  81009F8F 6D01659B 953ACAF4 AADDFBB7 B2090498 0E618944 4175E6F6 C6AE4772
  1043FDB4 98DFDC57 E8FD3484 5467FF92 3007D3B2 B869D0DD 411CA798 6BD96F9F
  175A12B6 3C7774D4 0EB29896 ADD4A3C7 BD8F513F E24AB0EA 216BF69E E1110419
  07AB03E9 E5411090 A41A9B5E 5F9686EA 18F92F80 67D571DE 4CB29038 F1ECB81A
  6E930203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
  551D1104 15301382 11485447 524F5550 2E636973 636F2E63 6F6D301F 0603551D
  23041830 16801485 8C726A6C 51C9A032 78402C0A 8C31EC11 BA78B030 1D060355
  1D0E0416 0414858C 726A6C51 C9A03278 402C0A8C 31EC11BA 78B0300D 06092A86
  4886F70D 01010405 00038181 0023C246 69D71F33 D8FBE96E 17EC7EF8 A9317CFD
  A4D9D77E 2AC57EEC E80C12F0 98958711 6B07488A B1CF46D2 3358A284 C2A8110B
  12EB89EF E1B44242 C0BD2E19 16936DF7 7EAF5E9F A435A66B B21FF956 DE328E1F
  02052151 47B63CAE 1D40D2F6 8CF373C8 7D17199D 5CF7C30D C9DB0B54 0FD597BE
  B062D2E5 136A9906 98AAA6F2 FE
        quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
username ##### privilege 15 secret 5 *****
!
!
archive
 log config
  hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
 description INTERFACCIA VIRTUALE END-POINT VPN
 ip address 80.21.***.17 255.255.255.240
!
interface Null0
 no ip unreachables
!
interface FastEthernet0
 no ip address
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 description ALICE BUSINESS 20 Mbps - TGU:
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 mtu 1500
 ip address 88.48.***.178 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip inspect IDS out
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35
  encapsulation aal5snap
 !
!
interface Vlan1
 description CONNESSIONE LAN HT
 ip address 192.168.0.254 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool INTERNET 80.21.***.17 80.21.***.30 netmask 255.255.255.240
ip nat pool LAN 192.168.0.0 192.168.0.255 netmask 255.255.255.0
ip nat inside source list 100 pool INTERNET overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL VERSO SERVER WEB
access-list 131 permit tcp any any eq www
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny   ip any any log
!
!
!
!
!
!
control-plane
!
banner motd ^CC
****************************************************************
----------------------------------------------------------------
* ***   ROUTER PERIMETRALE ----      ***   *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
 exec-timeout 120 0
 login local
 transport output ssh
 stopbits 1
line aux 0
 login local
 transport output ssh
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

di seguito posto pure uno stato delle porte:

Codice: Seleziona tutto

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              unassigned      YES manual up                    down
BRI0                       unassigned      YES unset  administratively down down
BRI0:1                     unassigned      YES unset  administratively down down
BRI0:2                     unassigned      YES unset  administratively down down
FastEthernet1              unassigned      YES unset  up                    up
FastEthernet2              unassigned      YES unset  up                    down
FastEthernet3              unassigned      YES unset  up                    down
FastEthernet4              unassigned      YES unset  up                    down
FastEthernet5              unassigned      YES unset  up                    down
FastEthernet6              unassigned      YES unset  up                    down
FastEthernet7              unassigned      YES unset  up                    down
FastEthernet8              unassigned      YES unset  up                    down
ATM0                       unassigned      YES manual up                    up
ATM0.1                     88.48.***.178    YES manual up                    up
Vlan1                      192.168.0.254   YES manual up                    up
Loopback0                  80.21.***.17     YES manual up                    up
NVI0                       unassigned      NO  unset  up                    up

Grazie per l'eventuale aiuto

[Blue Ice]

nessuno che riesce a darmi un aiuto?
ho provato a fare diverse configurazioni, prendendo spunto dalle altre conf postate qua sul forum ma non riesco ad uscire utilizzando un determinato ip pubblico di quelli assegnatimi...

riesco solo ad uscire con la punto punto, ma non è quello che vorrei

[Blue Ice]

Ciao!
intanto ti ringrazio per l'aiuto, come prima cosa
poi per rispondere alle tue domande io vorrei definire sia un nat dinamico, che permetta all'intera rete di navigare all'esterno tramite un ip pubblico da me definito, che alcuni nat statici che mi servono per pubblicare dei servizi all'esterno, quali exchange, voip, hyper-v etc etc

chiedo scusa per la "maccheronicità" dei termini, ma è la prima volta che lavoro su cisco e soluzioni di così alto livello, e sono abituato ai router in comodato d'uso o ai netgear e similari, tutti con la loro "comoda" gui con tanto di wizard

anche se, mi sto rendendo conto ora che ci sto smazzando dietro, che una volta che si ha la dimestichezza con questi apparati si ha veramente un altro livello di conoscenza delle reti, piuttosto che dei servizi che su essi viaggiano

ora modifico la conf come mi hai detto te e ti dico a minuti il risultato, spero positivo

[jullare81]

Ciao,
se vuoi fare il nat della LAN con gli ip pubblici assegnati devi mettere la stringa di comando

ip nat inside source list 100 interface loopback0 overload

uscirai così su internet con l'ip dell'interfaccia di loopback

per il nat statico devi mettere il comando che ti ha detto didigno, ma l'ip outside deve essere uno di quelli pubblici a tua disposizione

ad es.:

ip nat inside source static 192.168.0.100 80.21.***.20
e via discorrendo

[Blue Ice]

vi ringrazio per l'aiuto che mi state dando, ho provato un po' di settaggi ma sono fermo al punto di prima, ovvero esco solo tramite la punto punto...

posto la conf attuale e vi dico le prove che ho fatto:

Codice: Seleziona tutto

!
! Last configuration change at 16:14:18 MET Sun Mar 21 2010
! NVRAM config last updated at 16:08:55 MET Sun Mar 21 2010
!
version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret *****
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3672678414
 revocation-check none
 rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
 certificate self-signed 01
  30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33363732 36373834 3134301E 170D3130 30333137 31313032
  32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36373236
  37383431 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  81009F8F 6D01659B 953ACAF4 AADDFBB7 B2090498 0E618944 4175E6F6 C6AE4772
  1043FDB4 98DFDC57 E8FD3484 5467FF92 3007D3B2 B869D0DD 411CA798 6BD96F9F
  175A12B6 3C7774D4 0EB29896 ADD4A3C7 BD8F513F E24AB0EA 216BF69E E1110419
  07AB03E9 E5411090 A41A9B5E 5F9686EA 18F92F80 67D571DE 4CB29038 F1ECB81A
  6E930203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
  551D1104 15301382 11485447 524F5550 2E636973 636F2E63 6F6D301F 0603551D
  23041830 16801485 8C726A6C 51C9A032 78402C0A 8C31EC11 BA78B030 1D060355
  1D0E0416 0414858C 726A6C51 C9A03278 402C0A8C 31EC11BA 78B0300D 06092A86
  4886F70D 01010405 00038181 0023C246 69D71F33 D8FBE96E 17EC7EF8 A9317CFD
  A4D9D77E 2AC57EEC E80C12F0 98958711 6B07488A B1CF46D2 3358A284 C2A8110B
  12EB89EF E1B44242 C0BD2E19 16936DF7 7EAF5E9F A435A66B B21FF956 DE328E1F
  02052151 47B63CAE 1D40D2F6 8CF373C8 7D17199D 5CF7C30D C9DB0B54 0FD597BE
  B062D2E5 136A9906 98AAA6F2 FE
        quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
username ##### privilege 15 secret *****
!
!
archive
 log config
  hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
 ip address 80.21.***.19 255.255.255.240
 ip nat outside
 ip virtual-reassembly
!
interface Null0
 no ip unreachables
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 description ALICE BUSINESS 20 Mbps - TGU:
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 mtu 1500
 ip address 88.48.***.178 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip inspect IDS out
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35
  encapsulation aal5snap
 !
!
interface Vlan1
 description CONNESSIONE LAN HT
 ip address 192.168.0.254 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface ATM0.1 overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
banner motd ^CCC
****************************************************************
----------------------------------------------------------------
* ***   ROUTER PERIMETRALE ----      ***   *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
 exec-timeout 120 0
 login local
 transport output ssh
 stopbits 1
line aux 0
 login local
 transport output ssh
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

ho eliminato tutte le acl della lista 131, per evitare problemi di blocchi dovuti ad esse...
ho configurato la loopback0 su uno degli ip pubblici assegnatimi, non è il primo ip ma tipo il 3° disponibile (mi è stato assegnato 80.21.***.16 / 255.255.255.240)
ho provato a sostituire:

Codice: Seleziona tutto

ip nat inside source list 100 interface ATM0.1 overload

con

Codice: Seleziona tutto

ip nat inside source list 100 interface LoopBack0 overload

ma non navigo più in quel caso, ho anche provato a mettere ip nat outside sulla loopback in combinata con la regola di nat, ma non cambia...

ho anche provato ad usare il nat statico con e senza la loopback ma non navigo, anzi, se lo metto in aggiunta alla regola di nat " ip nat inside source list 100 interface ATM0.1 overload" il pc pinga all'esterno ma non naviga da nessuna parte...

è come se alla loopback0 mancassero i dati per navigare...

ho anche provato a fare solo una rotta statica sulla atm0.1 nel seguente modo e funziona:
ip nat inside source static 192.168.0.204 interface ATM0.1
se provo a farla sulla loopback invece non va...

dove sta l'inghippo?

[Gianremo.Smisek]

segui i comandi che ti dato didigno. Se non funziona, IMHO vuol dire che telecom non annuncia la tua classe al mondo. Per cui chiamali e digli che non riesci a navigare con il public-pool a te assegnato. In alternativa, fai una prova, per escludere il cisco: metti un secondary ip address sull'interfaccia di LAN con l'IP della classe pubblica ed assegna ad una macchina di testing un IP di suddetta classe: vedi se riesci a navigare. Se neanche cosi' funziona, vuol dire che telecom non annuncia la classe.

ciao!

P.S. la interfaccia di loopback NON si usa nel NAT. Non ha motivo di esistere in questo caso. E' una practice errata. Il router alloca gli IP del NAT POOL anche senza interfaccia (deve solo riscrivere l'header del layer3!)

[jullare81]

leva il comando ip nat outside sotto l'interfaccia di loopback e poi fai questa prova

fai un ping all' ip della p2p lato telecom ( il .179) con source loopback0

se il ping non risponde il problema e' di TI che non ha inserito la rotta di ritorno per la tua network pubblica.

La configurazione mi sembra corretta ad eccezione del nat che adesso e' impostato per uscire con l'ip della p2p TI

[Blue Ice]

grazie per l'aiuto, ho effettuato le prove che mi avete detto e ora vado a riportare gli esiti:
rimosso ip nat outside dalla loopback0 e pingato l'altro capo della p2p, che risulta essere il .177, ping positivo
rimossa loopback0, configurato ip secondary pubblico sulla vlan1, assegnato ip pubblico a pc interno con gateway uguale sia alla punto punto che al ip pubblico usato dalla vlan1, nessun ping esterno, ma pingo l'altro capo della punto punto (il .177)

quindi il problema dovrebbe stare lato telecom, giusto?
e dire che è una settimana che ci smazzo dietro dando la colpa alla mia ignoranza e all'apprecchio che appariva essere "scrauso" visto che non navigavo... domani chiamo telecom... nel frattempo avete qlc altra idea di prova che posso fare?

[jullare81]

se il ping ha esito positivo il problema e' sulla configurazione, perchè vuol dire che TI ha inserito la rotta della tua network e conosce il percorso inverso per la risposta.

[Gianremo.Smisek]

se il ping ha esito positivo il problema e' sulla configurazione, perchè vuol dire che TI ha inserito la rotta della tua network e conosce il percorso inverso per la risposta.

pinga il router telecom, grazie... e' la stessa rete! ma se telecom non l'annuncia al mondo esterno, gli altri non lo vedranno mai!

IMHO deve chiamare il call center e farsi aprire un ticket sul routing di quel pool!

ciao

[Blue Ice]

Codice: Seleziona tutto

!
!
! Last configuration change at 21:40:22 MET Sun Mar 21 2010 by gmoretti
! NVRAM config last updated at 22:13:38 MET Sun Mar 21 2010 by gmoretti
!
version 12.4
service config
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname HTGROUP
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3672678414
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3672678414
 revocation-check none
 rsakeypair TP-self-signed-3672678414
!
!
crypto pki certificate chain TP-self-signed-3672678414
 certificate self-signed 01 nvram:IOS-Self-Sig#6.cer
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
multilink bundle-name authenticated
!
!
!
!
archive
 log config
  hidekeys
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
 no ip address
 shutdown
!
interface Null0
 no ip unreachables
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 description ALICE BUSINESS 20 Mbps - TGU:
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 mtu 1500
 ip address 88.48.29.178 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip inspect IDS out
 ip virtual-reassembly
 no ip mroute-cache
 pvc 8/35
  encapsulation aal5snap
 !
!
interface Vlan1
 description CONNESSIONE LAN HT
 ip address 80.21.44.20 255.255.255.240 secondary
 ip address 192.168.0.254 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 hold-queue 100 out
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface ATM0.1 overload
!
!
access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
banner motd ^CCC
****************************************************************
----------------------------------------------------------------
* ***   ROUTER PERIMETRALE ----      ***   *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C
!
line con 0
 exec-timeout 120 0
 login local
 transport output ssh
 stopbits 1
line aux 0
 login local
 transport output ssh
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end

eccola, integrale come sta adesso... ho un pc di test il quale se lo configuro sulla lan interna esce, se lo configuro con ip pubblico 80.21.44.21 / 255.255.255.240 e gw 80.21.44.20 arriva all'altro capo della punto punto ma non oltre


se dall'esterno invece faccio un ping alla punto punto risponde, se lo faccio ad uno dei due ip pubblici utilizzati invece non risponde, con il traceroute si vede che arrivo su telecom ma non arrivo alla mia punto punto ma il trace muore prima su altri ip...
quindi mi vien da pensare che il problema sia di telecom, o no?

[Gianremo.Smisek]

...
il traceroute si vede che arrivo su telecom ma non arrivo alla mia punto punto ma il trace muore prima su altri ip...
quindi mi vien da pensare che il problema sia di telecom, o no?

ecco, appunto. perche' secondo me il .177 (router telecom) non redistribuisce al mondo intero la rotta statica del tuo pool che punta verso l'interfaccia/next hop della tua connessione.


Per capirci:

Codice: Seleziona tutto

TUA RETE ---- TUO ROUTER ---- 1° HOP TI ---- AS IB/TI ---- MONDO INTERO

il 1° HOP (.177) avra' una rotta verso la tua rete tipo:

ip route 88.48.***.176 255.255.255.252 88.48.***.178

ora questa rotta non l'annuncia al mondo intero, ergo tu non navighi perche' non sanno come raggiungerti (da quel pool)


dalla macchina di testing, riesci a pingare .177 perche' lui ha la rotta verso di te, quindi e' giusto che funzioni. Ma i router all'esterno no.

saluti

[Blue Ice]

oggi ho provato pure con un altro cisco 1801 configurandolo con la stessa conf, risultato uguale... ho chiamato il servizio assistenza e dovrebbero richiamarmi domattina, vi tengo aggiornati