accesso a router 887 da altra rete

[@lan72]

salve vi scrivo per una informazione, ho configurato un router cisco 887 solo per il collegamento ad internet su una lan interna di un'azienda, dove tutte le filiali si vedono con altri router il router in oggetto ha ip 10.44.225.220 con subnet 255.255.255.0 dalla stessa rete raggiungo naturalmente il router quindi funziona tutto ma se provo es dalla rete 10.21.156.x non riesco a pingarlo mentre riesco a pingare le altre macchine sotto la rete 10.44.225.x, poichè arrivo in filiale passando dagli altri router..
la domanda è cosa dovrei inserire sul cisco 887 per fare in modo di essere raggiungibile sulla lan interna sfruttando gli altri router locali verso tutte le altre classi in maniera tale da essere raggiungibile da tutte le filiali?? di seguito la configurazione

version 15.2
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
service sequence-numbers
!
hostname C887VA
!
boot-start-marker
boot-end-marker
!
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 $1$4dN3$/tMMnITcGqkCi5t8.R.cd/
enable password 20valledolmo12
!
no aaa new-model
!
memory-size iomem 10
clock timezone MET 1 0
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
crypto pki token default removal timeout 0
!
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
!
!
!
no ip bootp server
ip domain name miodominio.bcc.it
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
ip cef
login block-for 1 attempts 3 within 30
no ipv6 cef
!
!
multilink bundle-name authenticated
parameter-map type inspect global
log dropped-packets enable
license udi pid CISCO887VA-SEC-K9 sn FCZ161693FN
!
!
archive
log config
hidekeys
username admin password 0 vagwtejgjkbtktesdtftjbertubj5ebv54
!
!
!
!
!
controller VDSL 0
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
!
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface ATM0
mtu 1492
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
mtu 1492
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
mtu 1492
no ip address
!
interface FastEthernet1
mtu 1492
no ip address
!
interface FastEthernet2
mtu 1492
no ip address
!
interface FastEthernet3
mtu 1492
no ip address
!
interface Vlan1
description Connessione LAN Virtuale
ip address 10.44.225.220 255.255.255.0
ip accounting output-packets
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface Dialer0
mtu 1492
ip address negotiated
ip access-group 131 in
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip inspect IDS out
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
keepalive 60
ppp authentication chap pap callin
ppp chap hostname ************-[email protected]
ppp chap password 0 alicenewag
ppp pap sent-username ***********-[email protected] password 0 alicenewag
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.44.225.201 25 interface Dialer0 25
ip nat inside source static tcp 10.44.225.201 143 interface Dialer0 143
ip nat inside source static tcp 10.44.225.201 443 interface Dialer0 443
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
access-list 1 permit 10.44.225.0 0.0.0.255
access-list 1 deny any
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554
access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *** ACL PER CONSENTIRE ACCESSI AUTORIZZATI ***
access-list 131 permit tcp any any eq smtp
access-list 131 permit tcp any any eq 143
access-list 131 permit tcp any any eq 443
access-list 131 permit udp host 8.8.8.8 eq domain any
access-list 131 permit udp host 8.8.4.4 eq domain any
access-list 131 permit udp host 207.46.232.42 eq ntp any
access-list 131 permit udp host 192.43.244.18 eq ntp any
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny ip any any log
!
!
!
!
!
control-plane
!
banner motd ^C.::.::. Cisco 887VA Router





^C
!
line con 0
exec-timeout 120 0
login local
transport output ssh
stopbits 1
line aux 0
login local
transport output ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
transport output telnet ssh
!
scheduler max-task-time 5000
scheduler interval 500
sntp server 207.46.232.42
sntp server 192.43.244.18
end

grazie in anticipo

[Rizio]

Scusa sai ma non ho capito bene la domanda.
Di che tipo di accesso parli?
Prova a riformularla usando qualche virgola e qualche punto perchè così è davvero difficile capirla per (per me).


Rizio

[@lan72]

Scusa sai ma non ho capito bene la domanda.
Di che tipo di accesso parli?
Prova a riformularla usando qualche virgola e qualche punto perchè così è davvero difficile capirla per (per me).


Rizio

bhee come al solito vado sempre di fretta..
in sintesi il router ha ip 10.44.225.220 e da un pc sulla stessa lan Es. 10.44.225.1 lo raggiungo ma se provo es. da remoto da una filiale riesco a pingare il pc 10.44.225.1 ma non il router 887 10.44.225.220

[Rizio]

Ma da dove arriva il client della rete remota?
E se fai un traceroute dove si ferma il pacchetto?
Se dall'877 cerchi invece di pingare il client dove và il pacchetto? Può essere un problema delle rotte del router?

Rizio

[@lan72]

Ma da dove arriva il client della rete remota?
E se fai un traceroute dove si ferma il pacchetto?
Se dall'877 cerchi invece di pingare il client dove và il pacchetto? Può essere un problema delle rotte del router?

Rizio

la trace si ferma sul 10.44.225.221 (l'altro router che connette tutte le filiali)
se provo dal router 887 a fare un ping a un pc sotto la stessa rete funziona, per cui penso che sia un problema di rotte.. potresti farmi un esempio di cosa inserire

[Rizio]

Scusa ma tu da dove arrivi al router che non ti risponde? Dalla dialer?
Perchè in questo caso il problema è questo:

Codice: Seleziona tutto

access-list 131 deny ip 10.0.0.0 0.255.255.255 any log

Rizio

[@lan72]

Scusa ma tu da dove arrivi al router che non ti risponde? Dalla dialer?
Perchè in questo caso il problema è questo:

Codice: Seleziona tutto

access-list 131 deny ip 10.0.0.0 0.255.255.255 any log

Rizio

ciao no io dovrei arrivarci dalla lan interna con rete 10.X.X.X tramite un altro router che collega tutte le filiali
se es. sono su un pc sotto la stessa rete (10.45.254.1) e provo a raggiungere il router 887 10.42.254.220 funziona, ma se accedo da es 10.30.254.1 non lo vedo ma riesco a vedere le macchine sotto la stessa rete 10.42.254.X

[Rizio]

Secondo me allora il problema è sull'altro router (quello a cui hai detto che si connettono tutte le filiali).
Prova a guardare là dove instrada i pacchetti per la rete che ti interessa o se ci sono acl che bloccano.

Rizio

[@lan72]

humm non credo, poichè da una filiale riesco ad arrivare benissimo a tutta la classe locale 10.42.254.0
dico una fesseria ma e come se al router mancasse l'ip del gateway per uscire fuori da una filiale sfruttando l'altro router infatti se configuro un pc sotto la stessa rete con l'ip locale e subnet 255.255.255.0 ma non inserisco l'ip del router si comporta allo stesso modo delll'887

bhoooo!!!

[Rizio]

E' quello che ti dicevo nell'ultimo mio post: verifica l'instradamento nel router precedente.
Non è detto che se i pacchetti per un IP transitano questo sia implicito anche per tutti gli altri. Verifica.
Se hai verificato il router che stiamo guardando adesso e non c'è nulla di sospetto è inutile continuare a perdere tempo lì, cerchiamo il problema altrove.

Rizio

[guzza1977]

Ciao,

secondo me hai un evidente problema di routing.

Il router con IP 10.44.225.220 risponde dalle macchine della stessa network IP in quanto dialogano correttamente a livello2 (switching) mentre non comunica con hosts di altri reti (quindi a livello di routing).
Il problema credo sia la default-route verso la dialer (sicuramente se provi a fare show ip route 10.30.254.1 vedrai che l'887 ti ruota verso la dialer).

Per fare ping/telnet sul router 887 da reti interne (cioè poste dietro al router 10.44.225.221 ) devi configurare il relativo routing.

Puoi provare con

conf t
ip route 10.0.0.0 255.0.0.0 10.44.225.221.

Ovviamente poi dovrai controllare le ACL.

Fammi sapere.

Ciao.

[@lan72]

Ciao,

secondo me hai un evidente problema di routing.

Il router con IP 10.44.225.220 risponde dalle macchine della stessa network IP in quanto dialogano correttamente a livello2 (switching) mentre non comunica con hosts di altri reti (quindi a livello di routing).
Il problema credo sia la default-route verso la dialer (sicuramente se provi a fare show ip route 10.30.254.1 vedrai che l'887 ti ruota verso la dialer).

Per fare ping/telnet sul router 887 da reti interne (cioè poste dietro al router 10.44.225.221 ) devi configurare il relativo routing.

Puoi provare con

conf t
ip route 10.0.0.0 255.0.0.0 10.44.225.221.

Ovviamente poi dovrai controllare le ACL.

Fammi sapere.

Ciao.

grazie il problema era proprio quello funziona tutto perfettamente adesso da qualsiasi rete delle filiali riesco ad arrivare a quel router