Ciao a tutti,
da completo ignorante nel mondo Cisco, finalmente sono riuscito a configurare il mio router Cisco 877 per tutto ciò che mi occorre.
Adesso mi sorge un dubbio... Ma la mia config è ben fatta? E' sicura?
Potete darci un'occhiata Voi esperti se secondo Voi c'è qualcosa che è bene cambiare?
Grazie!
p.s. Ho sostituito il mio ip pubblico Telecom con mioIpStatico
!
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$TmGl$te.tv6h0RDAX6VdjxeOnw/
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1671754495
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1671754495
revocation-check none
rsakeypair TP-self-signed-1671754495
!
!
crypto pki certificate chain TP-self-signed-1671754495
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363731 37353434 3935301E 170D3032 30333031 30303135
30375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36373137
35343439 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B24F 2098A351 60AEF567 D4AC1960 372E4D91 0302B225 1BF10FDC 0767EFD5
C68B274B 328A38E0 6A23BB62 A2C7D647 598B0600 6AE2D2A3 BE78E6DB F8E34DB1
D6841727 F99D876A E9BE9F0E 970DB6EA DF302BEE 432455C8 DA23BB6F D999A4C9
FFBE78A0 CF670DC6 73E1BC11 DB06C047 68BDBDAF BC02E5DD 50C0B79C 5FBAFC63
55990203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15526F75 7465722E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801423 15D2F275 9F6C52DB 08087B10 DA5A140C 1C886F30
1D060355 1D0E0416 04142315 D2F2759F 6C52DB08 087B10DA 5A140C1C 886F300D
06092A86 4886F70D 01010405 00038181 006A5322 237A7C49 0285A9DE 58877B64
DEDCE5CF 6D31D77C 7968AF74 289976D0 F78D020B A7BF30F8 D5025FD8 E7EBF8DC
28B348F1 45224CE4 9F43F60B 16AD02BC D09BEB7C 17E557B2 AC34E756 5F87F794
5F582BD9 9D323F16 32B7979E 599E60E4 E4DEDCC8 DF80A359 EDCE01A7 2A3BF2A5
55717EFD DAEC630E B3DA3A91 21C971AA 00
quit
dot11 syslog
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool ccp-pool1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 151.99.125.1 151.99.0.100
lease infinite
!
!
no ip bootp server
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$y1sp$rukKnputTo1aFU8FpFV/A.
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all SDM_GRE
match access-group name SDM_GRE
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname MioUsername
ppp chap password 7 MiaPassword
ppp pap sent-username MioUsername password 7 MiaPassword
ppp multilink
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.50 23 mioIpStatico 666 extendable
ip nat inside source static tcp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static udp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static tcp 192.168.1.50 14000 mioIpStatico 14000 extendable
ip nat inside source static tcp 192.168.1.50 15000 mioIpStatico 15000 extendable
ip nat inside source static udp 192.168.1.50 15000 mioIpStatico 15000 extendable
ip nat inside source static tcp 192.168.1.50 15001 mioIpStatico 15001 extendable
ip nat inside source static tcp 192.168.1.50 15002 mioIpStatico 15002 extendable
ip nat inside source static udp 192.168.1.50 15002 mioIpStatico 15002 extendable
ip nat inside source static tcp 192.168.1.50 34000 mioIpStatico 34000 extendable
ip nat inside source static tcp 192.168.1.50 34001 mioIpStatico 34001 extendable
!
ip access-list extended SDM_GRE
remark CCP_ACL Category=1
permit gre any any
!
logging trap debugging
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 10 permit any
access-list 15 permit 192.168.1.0 0.0.0.255
access-list 99 permit mioIpStatico 0.0.0.7
access-list 100 permit tcp any any eq 12000
access-list 100 permit tcp any any eq 14000
access-list 100 permit tcp any any eq 15000
access-list 100 permit tcp any any eq 15001
access-list 100 permit tcp any any eq 15002
access-list 100 permit tcp any any eq 34000
access-list 100 permit tcp any any eq 34001
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^CC
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
la mia config è sicura?
Moderatore: Federico.Lagni
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Ciao ghira, grazie per avermi risposto.
Non so cosa siano ip inspect e access-list su vty 0-4.
Devo toglierli? O ci manca qualcosa? Quella parte me l'ha creata il cp configurator...
Una domanda:
ho un problemino con un dispositivo (tipo peer to peer) che è all'ip locale 192.168.1.50.
Esso deve uscire su internet e comunicare con altri dispositivi., ed altri dispositivi remoti devono comunicare con lui.
Il problema è che comunica... ma non come dovrebbe... Gli manca ancora qualcosa. Sembra ci sia ancora qualche blocco.
Come posso aprire tutte le porte sia in entrata che in uscita per quel dispositivo?
Non so cosa siano ip inspect e access-list su vty 0-4.
Devo toglierli? O ci manca qualcosa? Quella parte me l'ha creata il cp configurator...
Una domanda:
ho un problemino con un dispositivo (tipo peer to peer) che è all'ip locale 192.168.1.50.
Esso deve uscire su internet e comunicare con altri dispositivi., ed altri dispositivi remoti devono comunicare con lui.
Il problema è che comunica... ma non come dovrebbe... Gli manca ancora qualcosa. Sembra ci sia ancora qualche blocco.
Come posso aprire tutte le porte sia in entrata che in uscita per quel dispositivo?
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
cos'e' cp configurator?Jyonny ha scritto:Ciao ghira, grazie per avermi risposto.
Non so cosa siano ip inspect e access-list su vty 0-4.
Devo toglierli? O ci manca qualcosa? Quella parte me l'ha creata il cp configurator...
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
qui non limiti l'accesso agli indirizzi interni. vuoi che tutto il mondoJyonny ha scritto: line vty 0 4
privilege level 15
login local
transport input telnet ssh
end
provi ad entrare nel tuo ruoter via telnet e ssh?
poi, metteri qualcosa come:
ip inspect name MYFW icmp router-traffic
ip inspect name MYFW ftp
ip inspect name MYFW tftp
ip inspect name MYFW imap
ip inspect name MYFW bittorrent
ip inspect name MYFW dns
ip inspect name MYFW ntp
ip inspect name MYFW ssh
ip inspect name MYFW telnet
ip inspect name MYFW smtp
ip inspect name MYFW tcp router-traffic
ip inspect name MYFW udp router-traffic
ip access-list extended IOS_FW
deny ip 224.0.0.0 31.255.255.255 any
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any administratively-prohibited
permit icmp any any packet-too-big
permit icmp any any echo
permit icmp any any time-exceeded
deny icmp any any
deny ip any any
access-list 30 deny 224.0.1.35
access-list 30 deny 224.0.1.60
access-list 30 deny 224.0.1.3
access-list 30 deny 224.0.1.2
access-list 30 deny 224.0.1.22
access-list 30 deny 224.0.1.24
access-list 30 remark Multicast filtering ACL
access-list 30 deny 224.0.0.0 0.0.0.255
access-list 30 deny 239.0.0.0 0.255.255.255
access-list 30 permit 224.0.0.0 15.255.255.255
interface Dialer0
ip access-group IOS_FW in
ip verify unicast source reachable-via rx allow-default
ip multicast boundary 30
ip inspect MYFW out
interface Vlan1
ip verify unicast source reachable-via rx
come punto di partenza per ip inspect.
dovrai aggiungere altre cose a IOS_FW e forse anche a MYFW
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Grazie Ghira!
Provvedo!
Un'ultima cosa:
per il dispositivo che ho all'ip 192.168.1.50....
che non riesce a collegarsi? Non trovo il verso di farlo andare...
Ho aggiunto anche
access-list 100 permit udp any any eq 12000
(oltre che tcp).
Ma niente...
Provvedo!
Un'ultima cosa:
per il dispositivo che ho all'ip 192.168.1.50....
che non riesce a collegarsi? Non trovo il verso di farlo andare...
Ho aggiunto anche
access-list 100 permit udp any any eq 12000
(oltre che tcp).
Ma niente...
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
cosa non fa esattamente?Jyonny ha scritto:Grazie Ghira!
Provvedo!
Un'ultima cosa:
per il dispositivo che ho all'ip 192.168.1.50....
che non riesce a collegarsi?
io per aprire le porte da fuori faccio:Jyonny ha scritto: Non trovo il verso di farlo andare...
Ho aggiunto anche
access-list 100 permit udp any any eq 12000
(oltre che tcp).
Ma niente...
ip nat inside source static tcp 10.1.1.1 22222 interface Dialer0 22222
e poi aggiungo
permit tcp any any eq 22222
a IOS_FW
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
Non c'entra con la sicurezza, ma mentre ci siamo...
sotto il pvc metti
vbr-nrt 1104 1104
tx-ring-limit 3
dove a posto di "1104" metti la velocita' del tuo adsl in uscita.
questo ti permettera' di definire un policy-map "tizio" e poi
applicarlo al pvc con
service-policy out tizio
se non metti vbr-nrt (o delle altre possibilita') il router non accettera'
il qos sull'adsl.
chiaramente, a questo punto entri in un modo di class-map e policy-map
e magari policy-map in entrata su vlan1 per etichettare i pachetti in modo
di poterli riconoscere in uscita nonostante il NAT...
fai "show dsl int atm0" eJyonny ha scritto: interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
oam-pvc manage
pppoe-client dial-pool-number 1
sotto il pvc metti
vbr-nrt 1104 1104
tx-ring-limit 3
dove a posto di "1104" metti la velocita' del tuo adsl in uscita.
questo ti permettera' di definire un policy-map "tizio" e poi
applicarlo al pvc con
service-policy out tizio
se non metti vbr-nrt (o delle altre possibilita') il router non accettera'
il qos sull'adsl.
chiaramente, a questo punto entri in un modo di class-map e policy-map
e magari policy-map in entrata su vlan1 per etichettare i pachetti in modo
di poterli riconoscere in uscita nonostante il NAT...
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
a cosa serve access-list 100?Jyonny ha scritto: access-list 1 permit 192.168.1.0 0.0.0.255
access-list 10 permit any
access-list 15 permit 192.168.1.0 0.0.0.255
access-list 99 permit mioIpStatico 0.0.0.7
access-list 100 permit tcp any any eq 12000
access-list 100 permit tcp any any eq 14000
access-list 100 permit tcp any any eq 15000
access-list 100 permit tcp any any eq 15001
access-list 100 permit tcp any any eq 15002
access-list 100 permit tcp any any eq 34000
access-list 100 permit tcp any any eq 34001
metti un
ntp server 1.1.1.1
con l'indirizzio di un ntp server?
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Ciao ghira,
scusami se sto approfittando della tua bontà
ho aperto le porte da dentro come da te indicato... Ma ancora non ho risolto...
Per aprire le porte da dentro? Cioè... vorrei che il mio dispositivo al 192.168.1.50 possa uscire in rete su delle porte tipo la 12000...
Grazie ancora!
scusami se sto approfittando della tua bontà
ho aperto le porte da dentro come da te indicato... Ma ancora non ho risolto...
Per aprire le porte da dentro? Cioè... vorrei che il mio dispositivo al 192.168.1.50 possa uscire in rete su delle porte tipo la 12000...
Grazie ancora!
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
non e' necessario fare niente per permettere questoJyonny ha scritto:Ciao ghira,
scusami se sto approfittando della tua bontà
ho aperto le porte da dentro come da te indicato... Ma ancora non ho risolto...
Per aprire le porte da dentro? Cioè... vorrei che il mio dispositivo al 192.168.1.50 possa uscire in rete su delle porte tipo la 12000...
Grazie ancora!
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Ciao ghira,
il problema che ho è proprio in uscita...
Sembra che un host locale non riesca ad uscire.
Mentre raggiungibile dall'esterno è raggiungibile (ho aperto le porte come da te consigliato).
Ho provato a fare un tracert da un pc verso un sito qualsiasi: es. tracert google.com ........ non riesce a fare il tracert
mentre un ping lo fa bene.
Invece se faccio un tracert dal router verso google.com ... lo fa bene....
Cosa può essere secondo la vostra esperienza???
I dns ho messo che ai client glie li manda il router...
Su internet navigo da tutti i pc...
il problema che ho è proprio in uscita...
Sembra che un host locale non riesca ad uscire.
Mentre raggiungibile dall'esterno è raggiungibile (ho aperto le porte come da te consigliato).
Ho provato a fare un tracert da un pc verso un sito qualsiasi: es. tracert google.com ........ non riesce a fare il tracert
mentre un ping lo fa bene.
Invece se faccio un tracert dal router verso google.com ... lo fa bene....
Cosa può essere secondo la vostra esperienza???
I dns ho messo che ai client glie li manda il router...
Su internet navigo da tutti i pc...
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Sul foglietto con i parametri di telecom italia, mi sono accorto che vi era anche il gateway predefinito (è come il mio ip statico ma con finale.254.
Non lo avevo messo da nessuna parte nella configurazione.
Ho aggiunto:
!
ip default-gateway xxx.xxx.xx.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
(dove al posto delle x ci sono dei numeri).
Però anche in questo modo non va...
Da tutti i pc non riesco a fare il tracert.
Mentre dal router si.
Invece il ping lo fanno tutti bene e navigo su internet bene.
Ma ho sempre quel dispositivo che non riesce ad uscire...
Sto impazzendo....
Non lo avevo messo da nessuna parte nella configurazione.
Ho aggiunto:
!
ip default-gateway xxx.xxx.xx.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
(dove al posto delle x ci sono dei numeri).
Però anche in questo modo non va...
Da tutti i pc non riesco a fare il tracert.
Mentre dal router si.
Invece il ping lo fanno tutti bene e navigo su internet bene.
Ma ho sempre quel dispositivo che non riesce ad uscire...
Sto impazzendo....
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
quando dici "non riesco a fare il tracert"... cosa succede _esattamente_?Jyonny ha scritto:Sul foglietto con i parametri di telecom italia, mi sono accorto che vi era anche il gateway predefinito (è come il mio ip statico ma con finale.254.
Non lo avevo messo da nessuna parte nella configurazione.
Ho aggiunto:
!
ip default-gateway xxx.xxx.xx.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
(dove al posto delle x ci sono dei numeri).
Però anche in questo modo non va...
Da tutti i pc non riesco a fare il tracert.
Mentre dal router si.
Invece il ping lo fanno tutti bene e navigo su internet bene.
Ma ho sempre quel dispositivo che non riesce ad uscire...
Sto impazzendo....
a cosa serve access-list 100?
"show ip nat translations" e "show ip inspect sessions" sembrano ok?
show arp
show mac-address-table
show ip dhcp binding
-
Jyonny
- n00b
- Messaggi: 23
- Iscritto il: ven 03 giu , 2011 11:40 am
Ciao Ghira,
1) allora... volevo dire che se lancio un traceroute dal router me lo risolve perfettamente.
Se invece lo lancio da un qualsiasi pc che è connesso tramite il router non me lo risolve.
traceroute: Warning: google.com has multiple addresses; using 209.85.149.147
traceroute to google.com (209.85.149.147), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 1.352 ms 1.015 ms 0.944 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
Dal router invece è tutto ok
2) L'access-list 100 pensavo di usarlo per aprire dall'esterno la porta 12000 tcp.
Però poi l'ho tolto, ed ho fatto come tuo suggerimento
cioè ho aggiunto ad IOS_FW
permit tcp any any eq 12000 e anche
permit udp any any eq 12000
Ma ho capito che il problema non è dall'esterno.
Dall'esterno sono raggiungibile, la 12000 risulta aperta. (il problema dall'esterno verso l'interno diciamo che è risolto).
In tarda mattinata, ppena sarò in quella sede lancerò i comandi
show arp
show mac-address-table
show ip dhcp binding
3)
Il problema grave che ho è dall'interno verso l'esterno.
Nel frattempo, per capire un attimo qual'è il problema che non mi fa uscire dall'interno verso l'esterno gli host, evitare qualsiasi equivoco, ho resettato i valori di default del router e ho configurato solo i parametri adsl e della lan.
Il problema non cambia...
Ecco la configurazione base (appena risolto il problema dall'interno verso l'esterno poi rimetterò i vari parametri di sicurezza e riaprirò le porte dall'esterno)!
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$FsEK$vYhPPJ4yUYoUTN4.Xh2Y8.
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1671754495
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1671754495
revocation-check none
rsakeypair TP-self-signed-1671754495
!
!
crypto pki certificate chain TP-self-signed-1671754495
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363731 37353434 3935301E 170D3032 30333031 30343231
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36373137
35343439 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009A4D 67DA1FF2 3F15B124 5ACAC2D4 65F78F74 06F79853 A75EABC8 D49AAA13
2D02A86C 5AD701E3 7C71E19C 413F70E8 A5B326A3 FEED33A6 0A0864BE BC680BE4
974D39DC 4773CC86 EF3CA519 3AA80110 F245D635 80B3E839 57093762 3DBDB227
3DB08AD8 B703CA1A 5FA44B2D 09E55114 A5585E46 D48C31D8 363C405C 9AA9F0A1
FA590203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15526F75 7465722E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801496 7C1EB06E E5F7EEDF 132DDDC6 FDCB218D B5F10C30
1D060355 1D0E0416 0414967C 1EB06EE5 F7EEDF13 2DDDC6FD CB218DB5 F10C300D
06092A86 4886F70D 01010405 00038181 006ABEA9 2D4D5B8B 1E25ED0C 500539E1
FCBB5DE6 15ED2521 0804891C B30D2C57 D1FA3821 12815836 72F62302 0C37FD32
505089CD 93E1C4DB 61E52877 87768D72 4BCCDDE5 8BEB648B 5650191B 257FF0F2
D1DE4BAC 5728526C 165D48E4 C30F76AC B6706C8D F2201923 C0D970F8 71A47ECB
37EFD411 0CD3C07D D1116473 6BF58213 8C
quit
dot11 syslog
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool ccp-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.1.1
!
!
no ip bootp server
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$YysX$9ryfjEwq7ihllUewAae0
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname myusername
ppp chap password 7 mypass
ppp pap sent-username myusername password 7 mypass
!
ip default-gateway TheGatewayOfMyAdslCompany
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
1) allora... volevo dire che se lancio un traceroute dal router me lo risolve perfettamente.
Se invece lo lancio da un qualsiasi pc che è connesso tramite il router non me lo risolve.
traceroute: Warning: google.com has multiple addresses; using 209.85.149.147
traceroute to google.com (209.85.149.147), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 1.352 ms 1.015 ms 0.944 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
Dal router invece è tutto ok
2) L'access-list 100 pensavo di usarlo per aprire dall'esterno la porta 12000 tcp.
Però poi l'ho tolto, ed ho fatto come tuo suggerimento
cioè ho aggiunto ad IOS_FW
permit tcp any any eq 12000 e anche
permit udp any any eq 12000
Ma ho capito che il problema non è dall'esterno.
Dall'esterno sono raggiungibile, la 12000 risulta aperta. (il problema dall'esterno verso l'interno diciamo che è risolto).
In tarda mattinata, ppena sarò in quella sede lancerò i comandi
show arp
show mac-address-table
show ip dhcp binding
3)
Il problema grave che ho è dall'interno verso l'esterno.
Nel frattempo, per capire un attimo qual'è il problema che non mi fa uscire dall'interno verso l'esterno gli host, evitare qualsiasi equivoco, ho resettato i valori di default del router e ho configurato solo i parametri adsl e della lan.
Il problema non cambia...
Ecco la configurazione base (appena risolto il problema dall'interno verso l'esterno poi rimetterò i vari parametri di sicurezza e riaprirò le porte dall'esterno)!
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$FsEK$vYhPPJ4yUYoUTN4.Xh2Y8.
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1671754495
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1671754495
revocation-check none
rsakeypair TP-self-signed-1671754495
!
!
crypto pki certificate chain TP-self-signed-1671754495
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363731 37353434 3935301E 170D3032 30333031 30343231
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36373137
35343439 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009A4D 67DA1FF2 3F15B124 5ACAC2D4 65F78F74 06F79853 A75EABC8 D49AAA13
2D02A86C 5AD701E3 7C71E19C 413F70E8 A5B326A3 FEED33A6 0A0864BE BC680BE4
974D39DC 4773CC86 EF3CA519 3AA80110 F245D635 80B3E839 57093762 3DBDB227
3DB08AD8 B703CA1A 5FA44B2D 09E55114 A5585E46 D48C31D8 363C405C 9AA9F0A1
FA590203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15526F75 7465722E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801496 7C1EB06E E5F7EEDF 132DDDC6 FDCB218D B5F10C30
1D060355 1D0E0416 0414967C 1EB06EE5 F7EEDF13 2DDDC6FD CB218DB5 F10C300D
06092A86 4886F70D 01010405 00038181 006ABEA9 2D4D5B8B 1E25ED0C 500539E1
FCBB5DE6 15ED2521 0804891C B30D2C57 D1FA3821 12815836 72F62302 0C37FD32
505089CD 93E1C4DB 61E52877 87768D72 4BCCDDE5 8BEB648B 5650191B 257FF0F2
D1DE4BAC 5728526C 165D48E4 C30F76AC B6706C8D F2201923 C0D970F8 71A47ECB
37EFD411 0CD3C07D D1116473 6BF58213 8C
quit
dot11 syslog
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool ccp-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.1.1
!
!
no ip bootp server
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$YysX$9ryfjEwq7ihllUewAae0
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname myusername
ppp chap password 7 mypass
ppp pap sent-username myusername password 7 mypass
!
ip default-gateway TheGatewayOfMyAdslCompany
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you
want to use.
-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
