Aiuto per configurazione Cisco 877-k9

[antibex]

Salve,
ho un problema sulla configurazione di un Cisco 877.k9 che non riesco a risolvere.

L'877 deve sostituire un Netgear che funziona discretamente ma con qualche acciacco dovuto agli anni: si blocca ogni tanto quando c'è molto traffico sulla porta 80, ma normalmente funziona senza problemi.

L'ADSL è una Alice Business 20M con 8 IP pubblici e configurazione RFC 1483
Indirizzi IP assegnati: da xx.yy.zz.152 a xx.yy.zz.159 255.255.255.248
Default gateway: xx.yy.zz.153
Punto-Punto: XX.YY.ZZ.32 255.255.255.255 (non utilizzato!)

Sul Netgear tutto funziona da qualche anno con le seguenti impostazioni:
IPoA con indirizzo statico xx.yy.zz.152 255.255.255.248
Gateway: xx.yy.zz.153

L'indirizzo del router è 192.168.30.254 inoltre sulla Lan sono presenti diversi PC e un server con indirizzo 192.168.30.3 che deve essere accessibile tramite l'indirizzo IP pubblico xx.yy.zz.152.

La configurazione attuale su 877 funziona ma con un problema:
con l'indirizzo pubblico http://xx.yy.zz.152 da un pc esterno alla LAN natta su 192.168.30.3 che va bene,
con lo stesso indirizzo pubblico da un pc della LAN natta sull'indirizzo del router 192.168.30.254.

Potrei risolvere il problema con un DNS locale ma probabilmente è possibile aggiustare la configurazione attuale.
Mi è stato consigliato un DNS Doctoring ma spero che ci sia una soluzione più semplice.

Riporto la parte finale della configurazione:

interface ATM0.1 point-to-point
ip address xx.yy.zz.152 255.255.255.240 (la maschera 255.255.255.248 viene rifiutata!?)
ip nat outside
pvc 8/35
encapsulation aal5snap
!
ip classless
ip route 0.0.0.0 0.0.0.0 xx.yy.zz.153
!
ip nat inside source list 1 interface ATM0.1 overload
access-list 1 permit 192.168.30.0 0.0.0.255
!
ip nat inside source static tcp 192.168.30.3 80 interface ATM0.1 80

Grazie per ogni eventuale aiuto.

[paolomat75]

Ciao,
perché sull'ATM non hai messo la punto punto?
Potresti nattare su una interfaccia loopback con IP x.x.x.152.

[antibex]

Sull'ATM non ho messo l'indirizzo della punto punto perché questa configurazione mi era stata consigliata qualche anno fa da un tecnico della Telecom e in effetti funziona sia su Netgear sia su Cisco.

Per la loopback domani posso provare, la sintassi dovrebbe essere:

interface loopback0
ip address 192.168.30.152 255.255.255. 0
exit

Poi come modifico il nat?

[paolomat75]

Sull'ATM non ho messo l'indirizzo della punto punto perché questa configurazione mi era stata consigliata qualche anno fa da un tecnico della Telecom e in effetti funziona sia su Netgear sia su Cisco.

Per la loopback domani posso provare, la sintassi dovrebbe essere:

interface loopback0
ip address 192.168.30.152 255.255.255. 0
exit

Poi come modifico il nat?

Che funzioni mi può anche andar bene, ma non ha molto senso avere 8 IP statici e non usarli.
Per la loopback intendevo, metti su ATM la PP e l'indirizzo che vuoi nattare in loopback. Avendo indirizzi statici potresti addirittura mettere 2 IP sulla macchina (uno privato e l'altro pubblico) e non devi neanche fare NAT statico

[antibex]

>> non ha molto senso avere 8 IP statici e non usarli.
Sono d'accordo solo che per semplicità ho cercato di replicare la situazione precedente in cui non c'era altra possibilità di configurazione.

Premetto che mi sono trovato casualmente nella necessità di configurare un apparato Cisco ignaro della complessità. Sono almeno 10 anni che configuro modem, router e altro ma solo per il mercato soho; qui è tutta un'altra musica. Quello che fatto l'ho ricavato da esempi trovati in rete.

>> Avendo indirizzi statici potresti addirittura mettere 2 IP sulla macchina (uno privato e l'altro pubblico)
Chiedo comprensione ma mi servono degli esempi espliciti anche perché per fare delle prove devo staccare la linea ADSL in una scuola con tutti i problemi (leggi accidenti) che ne derivano.

Guardando un esempio trovato in rete dovrei fare una configurazione di questo tipo?

interface ATM0
no ip address
! ip nat outside <- Da eliminare ???
no shut
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
exit
!
interface ATM0.1 point-to-point
ip address X.Y.Z.32 255.255.255.255
pvc 8/35
encapsulation aal5snap
exit
!
ip classless
! 8 IP pubblici che vanno da xx.yy.zz.152 a xx.yy.zz.159 con gateway xx.yy.zz.153
ip route 0.0.0.0 0.0.0.0 xx.yy.zz.153 <- Il gateway
ip route 192.168.30.152 255.255.255.0 ATM0.1 <- primo degli 8 IP pubblici
ip route 192.168.30.154 255.255.255.0 ATM0.1 <- terzo degli 8 IP pubblici
...
ip route 192.168.30.159 255.255.255.0 ATM0.1 <- ultimo degli 8 IP pubblici

Il NAT però mi serve per fare navigare tutti i PC (3 aule di informatica, ecc.) della LAN, dove lo metto?

[paolomat75]

Ok.
Io farei così (configurazione presa dal post http://www.ciscoforums.it/viewtopic.php?f=22&t=9410).

Codice: Seleziona tutto

interface ATM0
no shut
no ip address
no atm ilmi-keepalive
dsl operating-mode auto

interface ATM0.1 point-to-point
no shut
ip address IP_PUNTO_PUNTO 255.255.255.252
ip nat outside

interface FastEthernet0
no shut
ip address IP_PRIVATO 255.255.255.0
ip address IP_PUBBLICO_GW 255.255.255.248 secondary
ip nat inside
pvc 8/35


ip nat inside source list ACL-NAT interface ATM0.1 overload

ip access-list extended ACL-NAT
permit ip 192.168.1.0 0.0.0.255 any

Così hai il NAT per i PC delle aule.
Per il server configuri l'IP_PUBBLICO+1 e came gateway IP_PUBBLICO_GW.

Spero di essere stato chiaro

Paolo

[antibex]

Ho fatto qualche prova solo oggi ma senza successo, poi ho telefonato al servizio Help-Desk Business della Telecom e mi hanno confermato che l'indirizzo punto-punto non deve essere usato ma solo il secondo indirizzo pubblico come gateway (non il primo come qualcuno sostiene!).

Tra le altre cose ho notato che negli esempi si usa quasi sempre una configurazione per la FastEthernet che con la
versione di IOS più recente dà errore, in pratica bisogna associare la eth a una vlan tramite il comando
switchport access e assegnare gli indirizzi sulla vlan.

Alla fine ho deciso di tenermi la configurazione attuale e caricare un DNS locale sul server (evidentemente i tecnici Netgear sono più bravi di quelli Cisco).

Mi piacerebbe, però, utilizzare almeno un paio di indirizzi pubblici oltre quello attuale e anche qui ho un problema:

Ho aggiunto le righe (192.168.30.4 indirizzo LAN e x.y.z.154 uno degli 8 IP pubblici):
ip nat inside source static tcp 192.168.30.4 80 x.y.z.154 80
ip nat inside source static tcp 192.168.30.4 22 x.y.z.154 22

ho provato anche la versione senza le porte:
ip nat inside source static 192.168.30.4 x.y.z.154

ssh funziona, ma http no.

Qualche consiglio? Grazie.

[paolomat75]

Ho fatto qualche prova solo oggi ma senza successo, poi ho telefonato al servizio Help-Desk Business della Telecom e mi hanno confermato che l'indirizzo punto-punto non deve essere usato ma solo il secondo indirizzo pubblico come gateway (non il primo come qualcuno sostiene!).

Solo una curiosità. Non è che avete anche il router Telecom installato?

[antibex]

No, la linea è una Adsl naked.
Un paio di anni fa su di un'altra Adsl simile è stato cambiato l'accesso alla centrale perché quella vecchia era in dismissione e, sullo stesso modem, con il GW punto-punto non funzionava più: probabilmente hanno cambiato le configurazioni delle nuove centrali.

Sull'altra questione (accesso ssh ma no http) sai darmi qualche consiglio?

[paolomat75]

No, la linea è una Adsl naked.
Un paio di anni fa su di un'altra Adsl simile è stato cambiato l'accesso alla centrale perché quella vecchia era in dismissione e, sullo stesso modem, con il GW punto-punto non funzionava più: probabilmente hanno cambiato le configurazioni delle nuove centrali.

Sull'altra questione (accesso ssh ma no http) sai darmi qualche consiglio?

Mah se mai ti hanno fatto una configurazione "strana".
Per il NAT dovresti fare un po' di debug ma non è semplice.
Intanto puoi digitare

Codice: Seleziona tutto

sh ip nat translations | i 192.168.30.4

e postare il risultato.

[antibex]

Al fine ho risolto il problema con una nat statica senza indicazioni delle porte che però funziona solo se l'IP pubblico è lo stesso di quello assegnato sulla punto-punto ATM0.1.

Se invece i due IP sono diversi l'indirizzo pubblico non è accessibile dalla LAN.
Inoltre con IP uguali apre tutte (?) le porte, con IP diversi apre solo alcune porte!

In pratica:

interface ATM0.1 point-to-point
ip address xx.yy.zz.152 255.255.255.240 (<-- la maschera 255.255.255.248 viene rifiutata, perché non si sa!)
ip nat outside
pvc 8/35
encapsulation aal5snap
!
ip classless
ip route 0.0.0.0 0.0.0.0 xx.yy.zz.153 (<-- gateway IP pubblico)
!
ip nat inside source list 1 interface ATM0.1 overload
access-list 1 permit 192.168.30.0 0.0.0.255
!
ip nat inside source static 192.168.30.3 x.y.z.152 extendable

Alla fine di tutto il router funziona ma sono rimasto sconcertato da un prodotto che dovrebbe essere professionale
ma che mi sembra pieno di bachi, spero solo che l'hardware sia all'altezza del prezzo!

[paolomat75]

Al fine ho risolto il problema con una nat statica senza indicazioni delle porte che però funziona solo se l'IP pubblico è lo stesso di quello assegnato sulla punto-punto ATM0.1.

Se invece i due IP sono diversi l'indirizzo pubblico non è accessibile dalla LAN.
Inoltre con IP uguali apre tutte (?) le porte, con IP diversi apre solo alcune porte!

In pratica:

interface ATM0.1 point-to-point
ip address xx.yy.zz.152 255.255.255.240 (<-- la maschera 255.255.255.248 viene rifiutata, perché non si sa!)
ip nat outside
pvc 8/35
encapsulation aal5snap
!
ip classless
ip route 0.0.0.0 0.0.0.0 xx.yy.zz.153 (<-- gateway IP pubblico)
!
ip nat inside source list 1 interface ATM0.1 overload
access-list 1 permit 192.168.30.0 0.0.0.255
!
ip nat inside source static 192.168.30.3 x.y.z.152 extendable

Alla fine di tutto il router funziona ma sono rimasto sconcertato da un prodotto che dovrebbe essere professionale
ma che mi sembra pieno di bachi, spero solo che l'hardware sia all'altezza del prezzo!

Ciao,
appunto perché è un prodotto professionale DEVE essere configurato correttamente. Ti assicuro che configurato bene sono macchine ottime.