cisco 857 : le macchine interne non escono su wan

[occhiostanco]

Ciao, un aiutino
il mio 857 e' configurato come sotto, per una adsl tiscali.
La connessione del router su WAN e' ok , infatti pingo e
risolvo i nomi di tutto il mondo, dal router.

l'indirizzo dato da tiscali e' pubblico (un solo IP pubblico)
e io l'ho configurato come xxx.xxx.xxx.xxx / 255.255.255.255
ma impostato su Loopback0 passata poi su Dialer0
con "ip unnumbered Loopback0".
Perche' su Dialer0 non accetta rete in /32.

Ma le macchine interne, che hanno l'indirizzo interno
(vlan1) del cisco (10.100.0.1) come gateway NON ESCONO.
Le macchine interne (che hanno indirizzi 10.100.0.*/255.255.255.0)
pingano il cisco su 10.100.0.1.

Ma qualsiasi richiesta verso l'esterno da' " network unreachable"
Qualche macro sbaglio nella configurazione sotto?
Qualche prova da fare?

Ciao e grazie
Roberto


------------------------------------------------------------------------------------------------------------
!
version 12.4
service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret 5 $1$ix7u$Nxg.bQ94DId.RxaT44xQ6.
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-2559843232
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2559843232
revocation-check none
rsakeypair TP-self-signed-2559843232
!
!
crypto pki certificate chain TP-self-signed-2559843232
certificate self-signed 01
quit
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
!
!
ip cef
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
no ip bootp server
ip domain name cisco.com
ip host router 10.100.0.1 255.255.255.0
ip host cisco 10.100.0.1 255.255.255.0
ip host zyxel 10.100.0.2 255.255.255.0
ip host ftp 10.100.0.11
ip name-server 208.67.220.220
ip name-server 208.67.222.222
login block-for 1 attempts 3 within 30
login on-failure
login on-success
!
!
!
username name
username xxxxx privilege 15 secret 5 $1$Ht67$Wb8rHhpYwMe1OgkSKyFY11
!
!
archive
log config
hidekeys
!
!
ip ftp username xxxxxxxxxx
ip ftp password 7 094E4F061B0415
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
!
!
!
interface Loopback0
ip address xxx.xxx.xxx.xxx 255.255.255.255
!
interface Null0
no ip unreachables
!
interface ATM0
description Tiscali ADSL Pro 2 Plus (051 4210360)
mtu 1500
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description INTERFACCIA LAN INTERNA
ip address 10.100.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
hold-queue 100 out
!
interface Dialer0
ip unnumbered Loopback0
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp chap hostname [email protected]
ppp chap password 7 11584B5643475D
ppp pap sent-username [email protected] password 7 055A545C751918
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
!
access-list 1 permit 10.100.0.0 0.0.0.255
route-map map permit 10
!
!
control-plane
!
!
line con 0
no modem enable
speed 19200
line aux 0
line vty 0 4
password 7 15130905002528
login
!
scheduler max-task-time 5000
end
-----------------------------------------------------------------------------------------

[francesco_savona]

No routemap permit 10

[occhiostanco]

Grazie, ho tolto la route-map ma non era quello.
Il router e' su WAN (pinga e risolve i nomi di tutto il mondo), ma le macchine interne (sia windows che linux) non risolvono i nomi
e se si pinga un ip numerico su wan il ROUTER 857 (che e' il 10.100.0.1
dice from 10.100.0.1: host destination unreachanble

Se qualcuno mi aiuta a capire altrimenti la do so e cambio
router

Ciao

No routemap permit 10

[Gianremo.Smisek]

dice from 10.100.0.1: host destination unreachanble

hai provato a controllare il cavo? Cisco dice sempre che il 90% dei problemi dipende dal layer1 ^_^

Il GW sulle macchine e' configurato correttamente?

[occhiostanco]

Il cavo va bene: il cisco pinga tutto il mondo, come ho detto.
Il GW sulle macchine e' 10.100.0.1 che e' l'ind. del router
ed e' il router (cioe' 10.100.0.1) che dice "host unreachable" per tutti gli host esterni.

Cio' stante DEVE essere un problema di configurazione del router, non
puo' essere altro credo. Io non conosco IOS, e' a posto quello che serve
per il NAT, il
route 0.0.0.0 0.0.0.0 dialer0
e' ok?
la access-list 1 e' ok?

Se si' non so davvero cosa fare ....

dice from 10.100.0.1: host destination unreachanble

hai provato a controllare il cavo? Cisco dice sempre che il 90% dei problemi dipende dal layer1 ^_^

Il GW sulle macchine e' configurato correttamente?

[francesco_savona]

Prova ad aggiungere sulla dialer 0:

ip mtu 1492
ip tcp adjust-mss 1452

[occhiostanco]

Grazie, Francesco,
ma non vedo cosa c'entri la dialer0 con il mio problema, visto che,
dal router pingo tutto il mondo. O mi sbaglio?

Credo che il problema sia il routing tra la Vlan1 (LAN) e la WAN che credo
sia impostato con
ip route 0.0.0.0 0.0.0.0 dialer0
Mi avvedo ora che, per il fatto di non aver potuto definire
sulla dialer0 i'ip come
mio_ip_fisso 255.255.255.255
perche' su questa interfaccia non sono consentite reti in /32,
ho usato una loopback0 con
ip unnumbered loppback0 su dialer0

forse allora serve un
ip route 0.0.0.0 0.0.0.0 Loopback0?

Adesso faro' 30 km, stacchero' la linea dallo zyxel, la attacchero' al cisco,
faro' questa modifica a naso e vedro'....
Altre due ore cacciate via...

Poi pero' se non va butto via il router, perche' l'informatica dovrebbe essere
un po' piu' deterministica di cosi'

Ciao

Prova ad aggiungere sulla dialer 0:

ip mtu 1492
ip tcp adjust-mss 1452

[andrewp]

Cosí, ad occhio e croce, interpretando quello che si capisce da una persona agitata che cerca la soluzione in 5 minuti, manca:

ip domain-lookup.

[occhiostanco]

Grazie Andrea,
non sono agitato piu' di tanto, e non sono 5 minuti che cerco di far andare
quel baracchino, ma forse 2 o 3 giorni pieni. E siccome 2 o 3 giorni di lavoro
costano un po' di piu' di un cisco 857, sto facendo le mie valutazioni.

Provero' a mettere
ip domain-lookup
che pero', a naso, mi sembra che non c'entri un accidente con il fatto che
ping 85.35.34.89
mi dice "host unreachable".
Di che domain lookup ci sarebbe bisogno per fare quel ping?
Comunque provo e so dire :--))
Ciao

Cosí, ad occhio e croce, interpretando quello che si capisce da una persona agitata che cerca la soluzione in 5 minuti, manca:

ip domain-lookup.

[occhiostanco]

negativo...
ne' ip domain-lookup
ne' ip route 0.0.0.0 0.0.0.0 loopback0
hanno sortito effetto....

pazienza...

Grazie Andrea,
non sono agitato piu' di tanto, e non sono 5 minuti che cerco di far andare
quel baracchino, ma forse 2 o 3 giorni pieni. E siccome 2 o 3 giorni di lavoro
costano un po' di piu' di un cisco 857, sto facendo le mie valutazioni.

Provero' a mettere
ip domain-lookup
che pero', a naso, mi sembra che non c'entri un accidente con il fatto che
ping 85.35.34.89
mi dice "host unreachable".
Di che domain lookup ci sarebbe bisogno per fare quel ping?
Comunque provo e so dire :--))
Ciao

Cosí, ad occhio e croce, interpretando quello che si capisce da una persona agitata che cerca la soluzione in 5 minuti, manca:

ip domain-lookup.

[Gianremo.Smisek]

Il cavo va bene: il cisco pinga tutto il mondo, come ho detto.

Io mi riferivo al lato LAN...


ciao

[occhiostanco]

Anche il cavo lan e' a posto, il router risponde e accetta pure di essere il GW.
Infatti e' lui che sostiene che la rete geografica non e' raggiungibile, se
la richiesta arriva dall'interno della lan.

ping xxx.xxx.xxx.xxx
...
From 10.100.0.1 - xxx.xxx.xxx.xxx host destination unreachable

L'ho data su...
Ciao

Il cavo va bene: il cisco pinga tutto il mondo, come ho detto.

Io mi riferivo al lato LAN...


ciao

[Gianremo.Smisek]

quindi se dalla lan pinghi l'ip della vlan1, risponde?

mah.. problema interessante.

prova a togliere:

ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10


magari lasciando a default il 3way-handshake e non modificandolo potrebbe funzionare.... prova un po'.

[andrewp]

Uh ho letto di corsa Digli "ip routing", poi prendilo a pugni, ma forte!

[occhiostanco]

Uh? Mi stai dicendo che pur trovando l'istruzione
ip route 0.0.0.0 0.0.0.0 Dialer0
il pezzo di ferro, essendo un ROUTER, potrebbe aver
bisogno di sapere esplicitamente che deve fare
routing ip invece del caffe'?

Provero' anche questa insieme a quanto dice intel nel post prima,
proprio solo perche' sono un masochista...

Vi diro'
Ciao

Uh ho letto di corsa Digli "ip routing", poi prendilo a pugni, ma forte!