Cambio indirizzi IP

[eamaxb]

Buongiorno a tutti,
ho un Cisco 1841 che sono riuscito a far funzionare con una linea Liberty di Telecom grazie a questo forum.
Ora per ragioni che sarebbe superfluo spiegare devo cambiare gli indirizzi ip. Telecom mi ha già fornito quelli nuovi e a quanto pare sono già attivi e funzionanti.
In teoria dovrei semplicemente modificare ciò che ora è 80.xxx.xxx.xxx in 37.xxx.xxx.xxx e cambiare la netmask da 248 a 240. Il problema è che così facendo non funziona. Posto la configurazione.... mi potete dire se dimentico qualcosa?

Grazie
Max

Codice: Seleziona tutto

Router#sh run
Building configuration...

Current configuration : 3795 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
!
no aaa new-model
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip name-server 151.99.250.2
ip name-server 151.99.0.100
no ipv6 cef
!
multilink bundle-name authenticated
!
!
crypto pki trustpoint TP-self-signed-3685173623
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3685173623
 revocation-check none
 rsakeypair TP-self-signed-3685173623
!
!
crypto pki certificate chain TP-self-signed-3685173623
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33363835 31373336 3233301E 170D3133 30343038 30363533 
  31335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 36383531 
  37333632 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100A643 9D79347E 480F18E7 158CB589 88AA8335 85567544 46A69A57 BC6F0BC6 
  57DDD10C 2ED34592 9E53A0C7 90AEA20C AA9C0D84 7C18AE29 BE031D37 0A3E3F32 
  01EEE053 809B2445 E213869A 6FABF832 031DCA04 C314A642 F8E6D422 0F3D356D 
  A7ADA6AF 1DD20E7E 032CFD9A 0A400C87 7055970F FE3AC50C B0A18130 C360C1ED 
  55290203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603 
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 5E14D805 
  1FE10E61 1AAC72CC 91CF32EB FF8BF065 301D0603 551D0E04 1604145E 14D8051F 
  E10E611A AC72CC91 CF32EBFF 8BF06530 0D06092A 864886F7 0D010104 05000381 
  81005241 1F866B83 90BA3F22 F1472041 797C58CA 07A90E8A E1BEE935 99D236C4 
  49F0B54D 52653857 0BFD5300 378C5FCA 68F892CE BE0F7FA0 B46DAA7E 08BBBE5F 
  AB515A4E 5380ACF3 D964A3B2 74D736FD A3D7C48F 5FA75520 C9F32032 14CFEEDE 
  6F6E7D8B A4FA4C5C CCFE7681 AB418227 AF587750 0DB81F81 29C0F17A 782E0507 FBA1
  	quit
!
!
username max privilege 15 secret 5 $1$F43z$hfBOEzYTgdcP3pJP8C2l8.
archive
 log config
  hidekeys
! 
!
!
!
!
ip rcmd rcp-enable
ip rcmd remote-host max 192.168.2.2 La621a3c2 enable
!
!
!
interface Loopback0
 ip address 80.xxx.xxx.124 255.255.255.248 secondary
 ip address 80.xxx.xxx.122 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface Loopback1
 no ip address
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0
 description INTERNA
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.5 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/0/0
 no ip address
 encapsulation frame-relay
 frame-relay lmi-type cisco
!         
interface Serial0/0/0.1 point-to-point
 description LIBERTY
 bandwidth 2048
 ip address 85.xxx.xxx.218 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 frame-relay interface-dlci 218 IETF   
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
ip route 10.100.5.0 255.255.255.0 192.168.2.2
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
ip nat pool NAT_IP 80.xxx.xxx.123 80.xxx.xxx.123 netmask 255.255.255.248
ip nat inside source list 10 pool NAT_IP overload
ip nat inside source static 10.100.5.35 80.xxx.xxx.122
ip nat inside source static 10.100.5.33 80.xxx.xxx.124
!
access-list 10 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
exception data-corruption buffer truncate
scheduler allocate 20000 1000
end

[Rizio]

Posta gli ip nuovi (mascherati) che ti ha passato telecom

Rizio

[eamaxb]

Il nuovi ip sono: 37.xxx.xxx.64 /28

I punti nei quali vado a sostituire sono:

Codice: Seleziona tutto

interface Loopback0
ip address 37.xxx.xxx.67 255.255.255.240 secondary
ip address 37.xxx.xxx.68 255.255.255.240
ip nat outside
ip virtual-reassembly

Codice: Seleziona tutto

ip nat pool NAT_IP 37.xxx.xxx.66 37.xxx.xxx.66 netmask 255.255.255.240
ip nat inside source list 10 pool NAT_IP overload
ip nat inside source static 10.100.5.35 37.xxx.xxx.67
ip nat inside source static 10.100.5.33 37.xxx.xxx.68

[paolomat75]

Se fai un ping dal router usando uno degli IP pubblici cosa ottieni?

Paolo

[eamaxb]

Il ping non va a buon fine (ma non va neanche lanciandolo da uno di quelli "funzionanti")

[Rizio]

Ma il link sulla s0/0/0.1 è up? Se pinghi il suo nexthop cosa ti dice?
Perchè se la seriale è up e il link punto punto risponde il problema può essere solo loro di instradamento del pool di ip nuovi che ti hanno dato!
In quel caso puoi solo rompergli le balle affinchè verifichino e facciano tutti i test possibili sul loro router.

Rizio

[eamaxb]

Il link è up ma non posso farci il ping perchè la punto punto non risponde al ping (a quanto pare è normale)

Tra l'altro, se può essere utile, quando c'è la configurazione nuova, e provo ad esempio a fare un ssh o un ping dall'esterno sull'ip nuovo, vedo che viene tradotto dal nat (almeno così mi pare di capire)

Codice: Seleziona tutto

Router#sh ip nat translations 
Pro Inside global         Inside local          Outside local         Outside global
tcp 37.xxx.xxx.67:22       10.100.5.33:22        151.46.148.59:62023   151.46.148.59:62023
icmp 37.xxx.xxx.67:62022   10.100.5.33:62022     151.46.148.59:62022   151.46.148.59:62022
--- 37.xxx.xxx.67          10.100.5.33           ---                   ---
tcp 80.xxx.xxx.122:22      10.100.5.35:22        151.33.36.38:53200    151.33.36.38:53200
--- 80.xxx.xxx.122         10.100.5.35           ---                   ---

ma di fatto non funziona

[Rizio]

Mi sembra strano non funzioni il ping! Non è che hai tu delle acl o un qualche firewall che te lo blocca?
Per il nat prova semplicemente a togliere l'ip nat outside sotto l'interfaccia s0/0/0.1 per il tempo delle prove (anche perchè se comunque non ti funziona non credo perdi niente giusto?)
In ogni caso se non ti funziona il ping prova con un telnet o un ssh verso l'ip del next hop, magari quello ti risponde e ti dimostra almeno che il circuito oltre ad essere up è anche funzionante (può essere up il circuito fisico ma non quello logico).

Rizio

[eamaxb]

Di acl ho solo questa: "access-list 10 permit 192.168.2.0 0.0.0.255" mentre il firewall è all'interno (e comunque non è ancora configurato, quindi fa passare tutto)
Per il ping invece, per fare questa prova da che interfaccia lo devo lanciare? Inoltre, perdona l'ignoranza, quale dovrebbe essere l'ip del next hop?

[Rizio]

Il ping devi lanciarlo dall'interfaccia s0/0/0.1 verso l'ip 85.x.x.217 del provider.
Tu, con questa interfaccia

Codice: Seleziona tutto

interface Serial0/0/0.1 point-to-point
description LIBERTY
bandwidth 2048
ip address 85.xxx.xxx.218 255.255.255.252
ip nat outside
ip virtual-reassembly
frame-relay interface-dlci 218 IETF

sei l'85.x.x.218 con maschera 252 perciò devi pingare il 217 (85.x.x.217) che è il next-hop del tuo router verso tutto il resto del mondo.
Per il ping puoi eseguire

Codice: Seleziona tutto

ping 85.x.x.217 source s0/0/0.1

Rizio

[eamaxb]

Grazie per la spiegazione.
Dunque, il ping non va, ma da che ho capito, è normale in quanto ho letto in vari posti che il ping sulla PTP non funziona di base, infatti non va neanche con la vecchia configurazione.
Ho provato anche con ssh e telnet ma nulla.

Forse non ho specificato che la "vecchia" configurazione è ancora funzionante, nel senso che, essendo in produzione, ci hanno attivato questi nuovi ip ma non ci hanno ancora disabilitato quelli vecchi, quindi quando io faccio le prove modifico, testo e poi torno immediatamente alla vecchia configurazione.

[Rizio]

Allora lavora con indirizzi secondari. Crea una nuova loopback a cui associ gli indirizzi nuovi e provi a vedere così se funziona (ossia se facendo il ping dando come source la loopback nuova riesci a pingare qualche host pubblico).

Purtroppo di altri step da fare o cose da verificare non me ne vengono in mente

Rizio

[eamaxb]

Sigh... ho creato loopback 2 come mi hai detto e non funziona il ping. Il problema è che non funziona neanche dalla loopback 0 (ossia gli indirizzi "vecchi").
Funziona solo dalla Fastethernet

[Rizio]

Funziona solo dalla Fastethernet

Cosa intendi? Funziona cosa? E verso chi? E se fai un traceroute da dove passano gli ip?

E se metti come secondary della fastethernet uno degli IP nuovi e provi di nuovo cosa ti dice?

Rizio

[eamaxb]

Nel senso che se faccio un ping dalla FA0/0 (ossia dove ho configurato l'ip della lan interna), il ping verso l'esterno funziona e se facio un traceroute passando dal "famoso" next hop.
Ho provato a mettere su quell'interfaccia un ip di quelli nuovi come secondary ma il ping non funziona (però invece che darmi il classico "....." mi restituisce "U.U.U" non so se voglia dire qualcosa)