problemi su nat dinamico

[ciscomanagement]

Ragazzi, mi ritrovo un problema, devo fare uscire un tot macchine da un indirizzo di loopback
Armo il tutto a dovere però mi esce sempre con il primo indirizzo della mask pubblica.

Codice: Seleziona tutto

interface Loopback0
 ip address XXXXXXXXXXX 255.255.255.255
interface Dialer0
 bandwidth 7000
 ip address XXXXXXXXXX XXXXXXXXXX
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname XXXXXXXXXXX
 ppp chap password 0 XXXXXXXXXXXX
 ppp pap sent-username XXXXXXXXXX password 0 XXXXXXXXXXX
 ppp multilink
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!         
ip http server
ip http authentication local
ip http secure-server
ip flow-export version 5
!         
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 interface Loopback0 overload
!         
access-list 1 permit 192.168.0.0 0.0.15.255
access-list 101 permit ip 192.168.2.170 0.0.0.5 any
dialer-list 1 protocol ip permit

Dove sbaglio?

[Gianremo.Smisek]

saranno 20 volte che lo dico

e' preferibile fare un pool statico con un singolo indirizzo IP ed usare quello al posto della loopback


prova!


ciao

[ciscomanagement]

Ciao intel,
dunque, ho provato, ma non va, esce sempre con il 1° indirizzo della mask

Codice: Seleziona tutto

ip nat pool 1 xxxxxxxx xxxxxxxxx netmask 255.255.255.255
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 pool 1
!         
access-list 1 permit 192.168.0.0 0.0.15.255
access-list 101 permit ip 192.168.2.170 0.0.0.5 any
dialer-list 1 protocol ip permit 

[Gianremo.Smisek]

Codice: Seleziona tutto

ip nat pool 1 xxxxxxxx xxxxxxxxx netmask 255.255.255.255
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 pool 1
!         
access-list 1 permit 192.168.0.0 0.0.15.255
access-list 101 permit ip 192.168.2.170 0.0.0.5 any
dialer-list 1 protocol ip permit 

occhio...

tu nell'ACL della dialer0 (quindi pubblico) hai la wc 0.0.15.255 che convertita in mask e' 255.255.240.0 quindi una /20

192.168.0.0/20 ha un range di .0.1 .15.254

cosi' facendo ti comprende anche la rete 192.168.2.0 e non va' nell'altra regola di NAT (quella con il pool 1)


ciao!

[ciscomanagement]

Ho modifcato l'access-list 1 a:

Codice: Seleziona tutto

access-list 1 permit 192.168.3.0 0.0.12.255

adesso però, nessuno dei 5 ip che dovrebbero navigare nell'access-list 101, funziona più, non navigano

Aggiornamento :

Ok ho fatto delle prove, ed ora con il nat nella loopback0 funziona, i 5 ip della lan escono con il solo ip dello loopback.
Invece per il pool 1 niente da fare, non ne vuole sapere, non capisco...

[Gianremo.Smisek]

Codice: Seleziona tutto

access-list 1 permit 192.168.3.0 0.0.12.255

equivale a quello di cui sopra! .0.1 - .15.254!

attento, perche' stai facendo confusione con le wc ^_^

[ciscomanagement]

Ma con 192.168.3.0 e 0.0.12.255 non dovrebbe coprire da :

192.168.3.1 a 192.168.15.254

Lasciando cosi fuori :

192.168.0.0/254
192.168.1.0/254
192.168.2.0/254

Oltretutto con la nuova access-list 1 permit 192.168.3.0 0.0.12.255, la loopback0 che prima non funzionava, adesso funziona. E' solo il pool che non va...

Mi sto confendendo

[Gianremo.Smisek]

0.0.12.255 = 255.255.243.0

io sta mask non l'ho mai vista

ed anche se fosse 0.0.15.255 e quindi 255.255.240.0, la rete madre e' sempre 192.168.0.0 e 192.168.3.0 e' un normale host

[ciscomanagement]

Ho portato la rete cosi adesso :

Codice: Seleziona tutto

ip nat pool 1 xxxxxxxx xxxxxxxxxxxxx netmask 255.255.255.255
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 101 pool 1 overload
!         
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.2.170 0.0.0.5 any
dialer-list 1 protocol ip permit

ma la list 101 non naviga ancora [/quote]

[Gianremo.Smisek]

che wc strane che usi O_o

perche' 0.0.0.5 ??

devi far navigare un solo host? usa "permit ip host x.y.z.k"

altrimenti 0.0.0.255 per /24 o una wc corretta calcolata dalla propria sm.

ciao!

[ciscomanagement]

penso di essere risalito al problema, ognuno dei pool che ho creato con mask /32 non funzionano.
Per funzionare vogliono almeno la mask /30, soltanto che ad ogni pool, il 1° e l'ultimo ip diventano inutilizzabili.

Intel, sono piu' host; precisamente 6 per ogni indirizzo esterno

[Gianremo.Smisek]

ok... 6 host.. ma secondo me 0.0.0.5 e' un wc errata per quel che devi fare

[ciscomanagement]

Si, sicuramente non è conforme e corretta, però bene o male funziona per l'uso che devo fare (mi accontento )

Il problema è che mi gioco 1 ip (l'iniziale) ad ogni mask /30, con la /32 non ne vuole sapere di funzionare.

Ci sono alternative conosciute?

[Gianremo.Smisek]

che versione hai di IOS? Io avevo usato la stessa soluzione, tempo fa (pool con /32), su un 1841 12.4, funzionava senza colpo ferire


se proprio non va', rimetti la loopback... pero' come soluzione non mi piace :/

ciao!

[ciscomanagement]

ios 12.4 (23)
Ma a te funzionava con il pool a mask /32 ?
Io ho fatto delle prove ed è sufficiente avere l'ip fisso e mask /30, cioe' cosi :

80.90.70.52.88 80.90.70.52 netmask 255.255.255.252

e lui si prende l'ip esterno 80.90.70.53, lasciando disponibile anche il 54
Magari con le acl poi gioco per fare uscire un tot pc sul 53 ed un altro tot col 54.

Il problema e' che l'ip 52 non lo posso utilizzare, ovviamente avendo più mask, mi ritrovo a perdere 1 ip per ogni mask.

In serata vedo di provare con le loopback, in effetti volevo evitare pure io le loop, ma se non ci sono altre alternative, vada per questa.

Vi farò sapere