Salve a tutti, ecco l'ennesimo newbie alle prese con un nuovo giocattolo: un cisco serie 800, per la precisione un 870, uscito da un angolo dell'armadio dell'ufficio.
Dopo aver costruito il cavo console e resettato la password, mi si è aperto un mondo del quale non conosco nemmeno l'ABC, allora sto sfogliando pagine e pagine di manuali comprendendo solo gli argomenti che si trattano ma di fatto non sono ancora riuscito a scrivere una riga di configurazione, se non quella per una Fastethernet, giusto per vedere se avevo afferrato il concetto della VLAN..
Detto questo, sono certo che il giocattolino in questione sia di un'altro pianeta rispetto a tutti i router che si configurano dal browser, ed avrei la necessita di capire come configurarlo per una connessione internet Alice 10 mega residenziale, quindi pppoe e IP dinamico.
Detto questo, all'interno della mia rete ci sono vari server, come un PBX, server di posta, server web, ftp, e terminal server.. avrei quindi bisogno di far funzionare il CISCO come modem/router, perciò farmi navigare in internet, per poi adottare una politica firewall che chiuda tutto a parte quello che mi serve e per aprire meno porte possibili vorrei configurarmi la VPN.
Andando per gradi, ci sarebbe un'anima pia che mi aiuti a farmi intanto navigare tramite il CISCO per poi magari darmi un link per documentarmi sulla VPN, in quanto per adesso ho un VPS che mi fa da server OPENVPN e questo è l'unico protocollo che sino ad oggi mi sono trovato a studiarmi per poi usarlo anche presso i clienti, ma con un CISCO per le mani, mi sembra di aver capito che ci siano altri metodi per instaurare una VPN.
Spero veramente che qualcuno mi aiuti a configurare almeno la connessione ad internet ed il firewall, giusto per non lasciare in balia di internet i miei server, poi il resto, come di dovere, cerchero di apprenderlo dai vari PDF che mi sono procurato dall'enorme quantita di documentazione che possiamo consultare tramite internet.
Nel frattempo ho iniziato con un erase startup-config, quindi il router è pronto per essere configurato..
Chiaramente girando per il forum ho trova questo http://www.ciscoforums.it/viewtopic.php?f=22&t=9128 , che molto probabilemte fa a caso mio, ma se cosi faosse non saprei come aggiungergi ACL che mi tutelino da qualche attacco internet o comunque come aprire eventuali porte..
Cisco 8700
Moderatore: Federico.Lagni
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Niente?
Lacio perdere il CISCO per ora?
Pensavo che avere un punto di inizio saldo come una configurazione di base funzionante potesse essere un modo per poter fare pratica di quello che si puo leggere nelle documentazioni che trovo in rete.
Lacio perdere il CISCO per ora?
Pensavo che avere un punto di inizio saldo come una configurazione di base funzionante potesse essere un modo per poter fare pratica di quello che si puo leggere nelle documentazioni che trovo in rete.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Hai provato a mettere quella configurazione?daniess ha scritto:Niente?
Lacio perdere il CISCO per ora?
Pensavo che avere un punto di inizio saldo come una configurazione di base funzionante potesse essere un modo per poter fare pratica di quello che si puo leggere nelle documentazioni che trovo in rete.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Ciao.. non ci speravo già più in una risposta..
Ho provato questa:
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool client
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description VLan1 - Connessa alla rete locale LAN
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp header-compression
dialer pool 1
no cdp enable
ppp pap sent-username aliceadsl password 7 15130705072F2A203B3F
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 9 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 6000 interface FastEthernet3 6000
!
access-list 9 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO 4
snmp-server enable traps tty
no cdp run
!
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxx
login
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
privilege level 15
password 7 xxxxxxxxxxxxxxx
login
transport input telnet ssh
!
scheduler max-task-time 5000
end
e se abilito ATM0 manualmente e inserisco sui client i server dns allora riesco a navigare..
Sai dirmi perchè i dns li devo configurare sul client?
Quando ho visto caricare la pagina di google è stato una bella sorpresa...
E come abilito automaticamente ATM?
grazie per il prezioso aiuto..
Ho provato questa:
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool client
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description VLan1 - Connessa alla rete locale LAN
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp header-compression
dialer pool 1
no cdp enable
ppp pap sent-username aliceadsl password 7 15130705072F2A203B3F
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 9 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 6000 interface FastEthernet3 6000
!
access-list 9 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO 4
snmp-server enable traps tty
no cdp run
!
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxx
login
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
privilege level 15
password 7 xxxxxxxxxxxxxxx
login
transport input telnet ssh
!
scheduler max-task-time 5000
end
e se abilito ATM0 manualmente e inserisco sui client i server dns allora riesco a navigare..
Sai dirmi perchè i dns li devo configurare sul client?
Quando ho visto caricare la pagina di google è stato una bella sorpresa...
E come abilito automaticamente ATM?
grazie per il prezioso aiuto..
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
per i dns devi aggiunferlo al DHCP
Per l'ATM basta che gli dai un no shut e salvi se ho capito bene.
Paolo
per i dns devi aggiunferlo al DHCP
Codice: Seleziona tutto
ip dhcp pool client
dns-server 8.8.8.8 (o quello che vuoi)Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Capito benissimo..
in effetti era uns sciocchezza il no shutdown in ATM, ma non sono entrato ancora nella logica della CISCO, che comunque ci sto trovando il senso.
Anche i DNS ora sono OK, grazie, ma perchè quelli che ho messo alla riga 29 30 31 32 non vengono presi in cosiderazione?
Puoi dirmi invece come faccio il port-forwarding?
Adesso quindi sarei protetto dalla rete internet senza aver configurato una politica ACL?
in effetti era uns sciocchezza il no shutdown in ATM, ma non sono entrato ancora nella logica della CISCO, che comunque ci sto trovando il senso.
Anche i DNS ora sono OK, grazie, ma perchè quelli che ho messo alla riga 29 30 31 32 non vengono presi in cosiderazione?
Puoi dirmi invece come faccio il port-forwarding?
Adesso quindi sarei protetto dalla rete internet senza aver configurato una politica ACL?
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Non ti preoccupare, so benissimo che il mondo Cisco è ampio.
Quei comandi servono al router per usare i DNS, ma l'attribuzione dei DNS viene fatto tramite DHCP (ogni pool DHCP può fornire parametri diversi).
Sulla sicurezza c'è un mondo immenso, perciò puoi sempre aumentarla. Vedi ACL IP INSPECT.
Per il port forwarding
Paolo
Quei comandi servono al router per usare i DNS, ma l'attribuzione dei DNS viene fatto tramite DHCP (ogni pool DHCP può fornire parametri diversi).
Sulla sicurezza c'è un mondo immenso, perciò puoi sempre aumentarla. Vedi ACL IP INSPECT.
Per il port forwarding
Codice: Seleziona tutto
ip nat inside source static tcp/udp INDIRIZZO_LOCALE PORTA_LOCALE interface Dialer0 PORTA_REMOTANon cade foglia che l'inconscio non voglia (S.B.)
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Quindi scusa, ma non servono quelli alla riga 29 30 31 32 ma basta che metto:
..
....
ip dhcp pool client
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
oppure
ip dhcp pool client
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
?
A che serve dire al router di usare quei dns se poi non li usa per navigare?
Altra domanda stupida, perchè dalla CLI se eseguo ping google.it non risolve il nome??
..
....
ip dhcp pool client
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
oppure
ip dhcp pool client
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
?
A che serve dire al router di usare quei dns se poi non li usa per navigare?
Altra domanda stupida, perchè dalla CLI se eseguo ping google.it non risolve il nome??
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Guarda che se mette il comando che ti ho dato DEVE funzionare.daniess ha scritto:No, niente da fare per i DNS, devo settarli sempre sui client..
Suggerimenti?
I PC hanno anche la parte DNS in automatico?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Buongiorno, ieri sera questo apparecchio mi ha dato da leggere fino a veramente tardi!!
Probabilmente ieri alla fine sbagliavo qualcosa, difatti ora funziona tutto come dice Paolo..
Ieri sera però ho avuto problemi con il DHCP, quando hi collegato un PC alla FE1 ho dovuto specificare gli indirizzi sul PC.
Chiedo anche un consiglio, sino ad ora, che avevo un router fornito dall'ISP, il firewall lo facevo fare ad una distro linux, ed iptable come si sa non è niente male come firewall, secondo voi è meglio che mantengo quello oppure mi affido alla sicurezza rinomata del CISCO?
La mia rete è cosi strutturata:
modem/router----firewall/nat/server web/ftp/email.../LAN
quindi tutte le porte erano inoltrate al firewall
se adotto il CISCO per la sicurezza, diventerebbe cosi:
CISCO(firewall/nat/vpn)-----LAN (con server web/ftp/mail...)
quindi inoltrerei solo le porte interessate ai servizi al server
Come prima impressione, il CISCO è un'apparato studiato appositamente per rendere connessioni stabili e sicure, perciò mi sembra giusto fargli gestire la connettività, mentre il server e giusto che eroghi servizi, allegerendolo dal ruolo di firewall.
Devo strigarmi poi una situazione con il CCPE, l'ho caricato sostituendo SDM, mi appare la schermata principale ma se clicco su un qualsiasi bottone, per esempio per configurare il dhcp, ma anche gli altri, mi viene fuori una schermata bianca, con solo i bottoni proncipali in alto..
Ma credo che per questo dovro chiedere in un post a parte,ed è un problema secondario, l'ho voluto provare per curiosità, la connessione fuziona e navigo e sicuramente grazie a Paolomat75
Grazie per le dritte,e la pazienza.
Probabilmente ieri alla fine sbagliavo qualcosa, difatti ora funziona tutto come dice Paolo..
Ieri sera però ho avuto problemi con il DHCP, quando hi collegato un PC alla FE1 ho dovuto specificare gli indirizzi sul PC.
Chiedo anche un consiglio, sino ad ora, che avevo un router fornito dall'ISP, il firewall lo facevo fare ad una distro linux, ed iptable come si sa non è niente male come firewall, secondo voi è meglio che mantengo quello oppure mi affido alla sicurezza rinomata del CISCO?
La mia rete è cosi strutturata:
modem/router----firewall/nat/server web/ftp/email.../LAN
quindi tutte le porte erano inoltrate al firewall
se adotto il CISCO per la sicurezza, diventerebbe cosi:
CISCO(firewall/nat/vpn)-----LAN (con server web/ftp/mail...)
quindi inoltrerei solo le porte interessate ai servizi al server
Come prima impressione, il CISCO è un'apparato studiato appositamente per rendere connessioni stabili e sicure, perciò mi sembra giusto fargli gestire la connettività, mentre il server e giusto che eroghi servizi, allegerendolo dal ruolo di firewall.
Devo strigarmi poi una situazione con il CCPE, l'ho caricato sostituendo SDM, mi appare la schermata principale ma se clicco su un qualsiasi bottone, per esempio per configurare il dhcp, ma anche gli altri, mi viene fuori una schermata bianca, con solo i bottoni proncipali in alto..
Ma credo che per questo dovro chiedere in un post a parte,ed è un problema secondario, l'ho voluto provare per curiosità, la connessione fuziona e navigo e sicuramente grazie a Paolomat75
Grazie per le dritte,e la pazienza.
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
rivedendo credo che il problema del DHCP sia qua:
....
....
cisco-stefanini(config)#no ip dhcp use vrf connected
cisco-stefanini(config)#!
cisco-stefanini(config)#ip dhcp pool client
cisco-stefanini(dhcp-config)#ip name-server 8.8.8.8
cisco-stefanini(config)#ip name-server 8.8.4.4
cisco-stefanini(config)# import all
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# network 192.168.1.0 255.255.255.0
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# default-router 192.168.1.254
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# lease 0 2
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)#!
....
....
cisco-stefanini(config)#no ip dhcp use vrf connected
cisco-stefanini(config)#!
cisco-stefanini(config)#ip dhcp pool client
cisco-stefanini(dhcp-config)#ip name-server 8.8.8.8
cisco-stefanini(config)#ip name-server 8.8.4.4
cisco-stefanini(config)# import all
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# network 192.168.1.0 255.255.255.0
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# default-router 192.168.1.254
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)# lease 0 2
^
% Invalid input detected at '^' marker.
cisco-stefanini(config)#!
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Hai mischiato i comandi. Devi fornire i comandi nelle sezioni di configurazione corretta (dando ip name-server sei uscito dalla configurazione DHCP), per di più nei comandi non hai messo dns-server che era quello che ti dava i DNS in DHCP.
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
daniess
- n00b
- Messaggi: 21
- Iscritto il: ven 05 ott , 2012 9:32 pm
Scusa paolo, posso sembrare un po duro, ma questo è stato un'errore di copiatura per il dns-server.. ma subito dopo il dns-server avevo ip-name-server (che ancora non ho capito bene a che serve) e quindi le impostazioni per il dhcp, come dicevi, erano comunque inseriti nella sezione errata .
come mi hai indicato quindi la configurazione dovrà essere cosi:
..
...
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool client
dns-server 8.8.8.8
dns-server 8.8.4.4
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
..
...
la monto subito!!
Tutto liscio, ha preso tutte le configurazioni, senza errori, dic onseguenza funziona tutto!!!
DHCP, DNS e navigo!
Paolo, sprebbe dirmi la sua sulla situazione della configurazione da adottare, se mi conviene o no delegare come firewall e nat il CISCO al posto del mio server?
come mi hai indicato quindi la configurazione dovrà essere cosi:
..
...
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool client
dns-server 8.8.8.8
dns-server 8.8.4.4
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
lease 0 2
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
..
...
la monto subito!!
Tutto liscio, ha preso tutte le configurazioni, senza errori, dic onseguenza funziona tutto!!!
DHCP, DNS e navigo!
Paolo, sprebbe dirmi la sua sulla situazione della configurazione da adottare, se mi conviene o no delegare come firewall e nat il CISCO al posto del mio server?
