c1721 nat

pcsupport · mer 12 ott , 2011 8:48 pm

ciao a tutti
ddns risolto
ho ancora un problema con il nat.
dovrei aprire la porta 80
ho inserito stringhe:
no ip http server
no ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 420
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 5000
ip nat service sip udp port 5061
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp x.x.x.x. 80 interface Dialer0 80
la porta in ingresso è chiusa
ho fatto un test con nmap
ho notato che l'unica porta aperta è la 23
qualcuno può darmi una mano
grazie

sanga · gio 13 ott , 2011 9:43 am

ma devi aprire la porta 80, nel senso che vuoi che dall'esterno vedano un particolare host sulla porta 80 ?
se si quale è questo host ?

ciao S.

pcsupport · gio 13 ott , 2011 9:51 am

sanga ha scritto:ma devi aprire la porta 80, nel senso che vuoi che dall'esterno vedano un particolare host sulla porta 80 ?
se si quale è questo host ?

ciao S.

ciao
esatto io dall'esterno devo accedere ad un server mail sulla porta 80
l'indirizzo fa parte della rete interna
http://ddns.org/webserver
192.168.254.7

sanga · gio 13 ott , 2011 10:26 am

ok ora mi è ben chiaro...
strano che sia aperta la porta 23, non ha senso , ma l'interfaccia OUTSIDE (la Dialer0 che non so a cosa sia agganciata) non ha percaso una ACL che blocca il traffico ?

ciao S.

pcsupport · gio 13 ott , 2011 10:33 am

sanga ha scritto:ok ora mi è ben chiaro...
strano che sia aperta la porta 23, non ha senso , ma l'interfaccia OUTSIDE (la Dialer0 che non so a cosa sia agganciata) non ha percaso una ACL che blocca il traffico ?

ciao S.

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$25D/$WDFJcULH7Aj5OGBSPpiLs/
!
no aaa new-model
ip cef
!
!
no ip dhcp use vrf connected
!
ip dhcp pool DHCPserver
network 192.168.254.0 255.255.255.0
default-router 192.168.254.1
dns-server 85.37.17.40 212.216.112.112
lease infinite
!
!
ip name-server 85.37.17.40
ip name-server 212.216.112.112
ip ddns update method myddns
HTTP
add http://user:[email protected]/nic ... <h>myip=<a>
interval maximum 0 6 0 0
!
!
!
!
!
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
ip address 192.168.254.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
!
interface Dialer0
ip ddns update hostname hostname.dyndns.org
ip ddns update myddns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 420
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 5000
ip nat service sip udp port 5061
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.254.7 80 interface Dialer0 80
!
access-list 1 permit 192.168.254.0 0.0.0.255
access-list 101 permit tcp any any eq www (voce aggiunta ma non serve)
!
control-plane

ti posto la conf.
si potrebbe essere una ACL che blocca, ma come faccio a verificare?
grazie

sanga · gio 13 ott , 2011 10:53 am

non ci sono acl applicate alle interfacce, percui non è quello...
ma sei sicuro che è aperta la porta 23 ? lo hai verificato facendo una telnet sull'host nattato o sul router ???
mi sembra veramente strano, cmq la conf mi sembra ok....

ciao

pcsupport · gio 13 ott , 2011 10:59 am

sanga ha scritto:non ci sono acl applicate alle interfacce, percui non è quello...
ma sei sicuro che è aperta la porta 23 ? lo hai verificato facendo una telnet sull'host nattato o sul router ???
mi sembra veramente strano, cmq la conf mi sembra ok....

ciao

ti posto il risultato di nmap
i casi sono 2 a mio avviso
ho sputtanatola versione IOS installata sul router, ho trovato scaricato ed installato una versione trovata onlne.
il dubbio potrebbe essere che l'immagine installata sia corrotta.
oppure manca qualcosa nella configurazione che mi faccia entrare dall'esterno.
ammesso che il dyndns non funzioni
inserendo l'ip pubblico dovrei accedere al server "questo non succede"

sanga · gio 13 ott , 2011 12:19 pm

ok, quello è il servizio telnet del tuo router semplicemente perchè non hai abilitato il telnet, non avendo inserito nessun tipo di filtro il telnet è attivo su tutte le interfacce...
per quello puoi fare cosi :

line vty 0 4
access-class 1
exit
access-list standard 1
permit 192.168.254.0 0.0.0.255

in questo modo il telnet è abilitato solo dalla lan interna.
ora invece bisogna capire come mai non ti "natta" come vorresti...

ci rifletto un attimo....

sanga · gio 13 ott , 2011 12:34 pm

mi dai l'output del comando :
show ip nat translation

e anche :
show ip nat translation verbose

pcsupport · gio 13 ott , 2011 5:37 pm

sanga ha scritto:ok, quello è il servizio telnet del tuo router semplicemente perchè non hai abilitato il telnet, non avendo inserito nessun tipo di filtro il telnet è attivo su tutte le interfacce...
per quello puoi fare cosi :

line vty 0 4
access-class 1
exit
access-list standard 1
permit 192.168.254.0 0.0.0.255

in questo modo il telnet è abilitato solo dalla lan interna.
ora invece bisogna capire come mai non ti "natta" come vorresti...

ci rifletto un attimo....

Router#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 79.31.25.179:1100 192.168.254.3:1100 74.125.232.139:80 74.125.232.139:80
tcp 79.31.25.179:1101 192.168.254.3:1101 209.85.169.113:80 209.85.169.113:80
tcp 79.31.25.179:1105 192.168.254.3:1105 62.149.140.122:80 62.149.140.122:80
tcp 79.31.25.179:1106 192.168.254.3:1106 74.125.232.122:80 74.125.232.122:80
tcp 79.31.25.179:1107 192.168.254.3:1107 209.85.169.100:80 209.85.169.100:80
tcp 79.31.25.179:1108 192.168.254.3:1108 62.149.140.122:80 62.149.140.122:80
udp 79.31.25.179:49327 192.168.254.3:49327 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:49696 192.168.254.3:49696 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:51485 192.168.254.3:51485 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:53970 192.168.254.3:53970 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:54634 192.168.254.3:54634 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:56386 192.168.254.3:56386 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:56599 192.168.254.3:56599 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:58432 192.168.254.3:58432 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:60474 192.168.254.3:60474 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:64459 192.168.254.3:64459 85.37.17.40:53 85.37.17.40:53
udp 79.31.25.179:65150 192.168.254.3:65150 85.37.17.40:53 85.37.17.40:53

sanga ha scritto:show ip nat translation

Router#show ip nat translation verbose
Pro Inside global Inside local Outside local Outside global
tcp 79.31.25.179:1040 192.168.254.3:1040 207.46.193.119:80 207.46.193.119:80
create 00:05:33, use 00:04:17 timeout:120000, left 00:00:42, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 56455, lc_entries: 0
tcp 79.31.25.179:1045 192.168.254.3:1045 62.149.140.122:80 62.149.140.122:80
create 00:05:14, use 00:04:51 timeout:120000, left 00:00:08, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 56472, lc_entries: 0
tcp 79.31.25.179:1056 192.168.254.3:1056 62.149.140.122:80 62.149.140.122:80
create 00:05:14, use 00:04:57 timeout:120000, left 00:00:02, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 56476, lc_entries: 0
tcp 79.31.25.179:1057 192.168.254.3:1057 62.149.140.122:80 62.149.140.122:80
create 00:05:14, use 00:04:53 timeout:120000, left 00:00:06, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 56478, lc_entries: 0
tcp 79.31.25.179:1058 192.168.254.3:1058 62.149.140.122:80 62.149.140.122:80
create 00:05:15, use 00:04:59 timeout:120000, left 00:00:00, Map-Id(In): 1,
flags:
extended, timing-out, use_count: 0, entry-id: 56479, lc_entries: 0
tcp 79.31.25.179:1059 192.168.254.3:1059 62.149.140.122:80 62.149.140.122:80
create 00:05:15, use 00:04:59 timeout:120000, left 00:00:00, Map-Id(In): 1,

sanga · ven 14 ott , 2011 7:49 am

il nat sembra ok, quando hai lanciato il comando solo un host stava navigando (192.168.254.3),
una domanda ma l'host 192.168.254.7 era attualmente in rete ? ha la porta 80 effettivamente aperta ? i suoi parametri tcc/ip sono ok (ip address/subnet mask/default-gateway) non vorrei che stiamo rincorrendo un problema diverso da quello reale, vale la pena verificare tutto...
la conf mi sembra giusta non riesco a capire dove sia l'inghippo...
ciao S.

pcsupport · ven 14 ott , 2011 8:27 am

sanga ha scritto:il nat sembra ok, quando hai lanciato il comando solo un host stava navigando (192.168.254.3),
una domanda ma l'host 192.168.254.7 era attualmente in rete ? ha la porta 80 effettivamente aperta ? i suoi parametri tcc/ip sono ok (ip address/subnet mask/default-gateway) non vorrei che stiamo rincorrendo un problema diverso da quello reale, vale la pena verificare tutto...
la conf mi sembra giusta non riesco a capire dove sia l'inghippo...
ciao S.

ciao
intanto grazie per le risposte
allora
l'indirizzo che vedi nel log è il pc. collegato al router.
nella rete c'è un server con installate 4 virtual machine che vanno verso l'esterno + telefoni ip + stampanti in rete
ho fatto un test e tutti navigano
cambiando router tutto funziona.
stamattina ho spento il router e la rom non è partita è andato in "rommon 1"
e non capisco il perchè.
rifaccio la conf.

pcsupport · ven 14 ott , 2011 9:16 am

pcsupport ha scritto:
sanga ha scritto:il nat sembra ok, quando hai lanciato il comando solo un host stava navigando (192.168.254.3),
una domanda ma l'host 192.168.254.7 era attualmente in rete ? ha la porta 80 effettivamente aperta ? i suoi parametri tcc/ip sono ok (ip address/subnet mask/default-gateway) non vorrei che stiamo rincorrendo un problema diverso da quello reale, vale la pena verificare tutto...
la conf mi sembra giusta non riesco a capire dove sia l'inghippo...
ciao S.
ciao
intanto grazie per le risposte
udp 79.31.25.179:49327 192.168.254.3:49327 85.37.17.40:53 85.37.17.40:53
in questa riga mi sembra di vedere che il DNS "85.37.17.40" punta alla torta DDNS 53
in fase di up delle interfacce del router il DDNS me lo da connesso, ma se vado nel pannello di controllo del DDNS non è aggiornato.

NETWORK:
l'indirizzo che vedi nel log è il pc. collegato al router.
nella rete c'è un server con installate 4 virtual machine che vanno verso l'esterno + telefoni ip + stampanti in rete
ho fatto un test e tutti navigano
cambiando router tutto funziona.
stamattina ho spento il router e la rom non è partita è andato in "rommon 1"
e non capisco il perchè.

rifaccio la conf.

sanga · ven 14 ott , 2011 10:32 am

deve essere il confreg...
facendo show version te lo trovi nell'ultima riga deve essere cosi :
Configuration register is 0x2102

in caso per configurarlo basta dargli il comando : config-register 0x2102

per DynDNS non so ogni quanto si aggiorna, ma non è aggiornato nel senso che se dall'esterno fai un ping sul nome macchina non ti risponde l'IP corretto ?

pcsupport · ven 14 ott , 2011 12:39 pm

pcsupport ha scritto:
pcsupport ha scritto:
sanga ha scritto:il nat sembra ok, quando hai lanciato il comando solo un host stava navigando (192.168.254.3),
una domanda ma l'host 192.168.254.7 era attualmente in rete ? ha la porta 80 effettivamente aperta ? i suoi parametri tcc/ip sono ok (ip address/subnet mask/default-gateway) non vorrei che stiamo rincorrendo un problema diverso da quello reale, vale la pena verificare tutto...
la conf mi sembra giusta non riesco a capire dove sia l'inghippo...
ciao S.
ciao
intanto grazie per le risposte
udp 79.31.25.179:49327 192.168.254.3:49327 85.37.17.40:53 85.37.17.40:53
in questa riga mi sembra di vedere che il DNS "85.37.17.40" punta alla torta DDNS 53
in fase di up delle interfacce del router il DDNS me lo da connesso, ma se vado nel pannello di controllo del DDNS non è aggiornato.

NETWORK:
l'indirizzo che vedi nel log è il pc. collegato al router.
nella rete c'è un server con installate 4 virtual machine che vanno verso l'esterno + telefoni ip + stampanti in rete
ho fatto un test e tutti navigano
cambiando router tutto funziona.
stamattina ho spento il router e la rom non è partita è andato in "rommon 1"
e non capisco il perchè.

rifaccio la conf.

sanga ha scritto:deve essere il confreg...
facendo show version te lo trovi nell'ultima riga deve essere cosi :
Configuration register is 0x2102

in caso per configurarlo basta dargli il comando : config-register 0x2102

per DynDNS non so ogni quanto si aggiorna, ma non è aggiornato nel senso che se dall'esterno fai un ping sul nome macchina non ti risponde l'IP corretto ?

ciao
se vado nel pannello di controllo di DDNS non è aggiornato all' ip della atm.
comunque devo rifare la conf.
poi vediamo

c1721 nat

Login • Iscriviti