ecco il mio c2600 ... solo che c'e qualcosa che non va.

[sum][one]

Ciao,

eccomi finalmente dopo la prima serata/tentativo di configurazione del mio 2611, che finalmente e' stato aggiornato con 64Mb di ram e 16Mb di flash per poter aggiornare l'IOS.

il problema in questione e' il seguente:
praticamente l'adsl sembra andare... dagli hosts (computers) riesco a pingare il router e viceversa, ho un server DNS in lan ed infatti il router risolve i nomi della LAN e pinga gli hosts, il router pinga gli IP dei DNS del provider attuale (Telvia, che ho disdetto oggi e tornero' ad NGI), ma il problema sembra di comunicazione tra gli hosts ed il router. In pratica se provo a pingare l'IP del dns del provider da uno degli hosts, non va.

premetto.. e' la prima configurazione che butto giu e non mi meraviglia che non funzioni .. mi sarei invece meravigliato avesse tutto funzionato al primo tentativo. Sto leggendo manuali e Nutshells ma da qua non riesco ad uscirne ora...

vi posto un po' di informazioni che spero siano utili per darmi una mano, se possibile.


sh ver

Codice: Seleziona tutto

Cisco IOS Software, C2600 Software (C2600-IPBASEK9-M), Version 12.4(5), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Mon 31-Oct-05 20:06 by alnguyen

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

router uptime is 16 minutes
System returned to ROM by reload
System image file is "flash:c2600-ipbasek9-mz.124-5.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
[email protected].

Cisco 2611 (MPC860) processor (revision 2.2) with 56320K/9216K bytes of memory.
Processor board ID JAB0316071G
M860 processor: part number 0, mask 49
2 Ethernet interfaces
1 ATM interface
32K bytes of NVRAM.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

sh flash

Codice: Seleziona tutto

System flash directory:
File  Length   Name/status
  1   13324160  c2600-ipbasek9-mz.124-5.bin
[13324224 bytes used, 2928700 available, 16252924 total]
16384K bytes of processor board System flash (Read/Write)

sh running-config

Codice: Seleziona tutto

Current configuration : 1194 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
prompt %h%s:%s%n%s%p
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
!
no ip bootp server
ip name-server 192.168.1.2
!
!
!
!
!
!
interface ATM0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0
 no ip mroute-cache
 half-duplex
 no mop enabled
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Dialer0
 ip address negotiated
 encapsulation ppp
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname *********
 ppp chap password 7 *********
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
!
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password 7 *********
 login
!
ntp server 192.168.1.2
!
end

interfaces accounting

Codice: Seleziona tutto

ATM0/0
                Protocol    Pkts In   Chars In   Pkts Out  Chars Out
            PPP over ATM        200       6733       2460     127009
Ethernet0/0
                Protocol    Pkts In   Chars In   Pkts Out  Chars Out
                   Other          0          0         98       5880
                      IP       2530     169556          9        627
                     ARP         13        780          5        300
Interface Ethernet0/1 is disabled

Virtual-Access1
                Protocol    Pkts In   Chars In   Pkts Out  Chars Out
No traffic sent or received on this interface.
Virtual-Access2
                Protocol    Pkts In   Chars In   Pkts Out  Chars Out
                   Other        101       1414        101       1421
                      IP         91       5201       2351     123864
            PPP over ATM          0          0          8        112
Dialer0
                Protocol    Pkts In   Chars In   Pkts Out  Chars Out
                      IP         91       5201       2351     123864
            PPP over ATM          0          0          8        112

purtroppo ora sono in ufficio quindi spero queste informazioni siano sufficienti per capire dove e' il problema.

e cmq... mi sto divertendo da matti ... avrei voluto fare altri tentativi ma, in questi giorni e' l'inferno e non ho molto tempo per "giocare" con queste cose quindi mi ci mettero' a gennaio.. pero' vorrei vederlo funzionare intanto


ciao ciao e grazie in anticipo.


p.s. in realta' avrei anche altri problemi:

- come posso fare in modo che il router si sincronizzi con il server NTP?
- per aggiornare la configurazione del router apportando cambiamenti qual'e' la procedura per rendere i cambiamenti effettivi? (io ora sto facendo l'edit della startup-config, poi #copy tftp startup-config, reload).
- per le access list appena riesco a far andare l'attuale configurazione saranno nottate divertenti.. quindi per ora non vi chiedo nulla ehehe.. per ora mi serve che vada.. poi cerchero' di capire come fare quello che prima facevo con lo zyxel (SUA) per forwardare le porte ai server (80 al web server, 21 al ftp server, e via dicendo..), e' una cosa difficile?

[MaiO]

Domande che hai fatto sono tante.

Ad una prima occhata manca il nat. Leggiti la guida sul IT-Blog.

NTP:

ntp server 193.204.114.232
ntp server 193.204.114.233


Per quanto riguarda la config, tu impartisci i commandi, non appena inserisci un commando quello viene eseguito, se vuoi "salvarlo2, fai un wri mem(o un copy run start).

Per quato riguarda i "forward" leggi sempre la guida sul nat.



Ciao

[MaiO]

Ecco avevo sotto mano questo

interface Ethernet0
ip address 192.168.99.254 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp pap sent-username 1787518664 password 0 L2PS0EN9
!
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 101 permit ip 192.168.99.0 0.0.0.255 any
dialer-list 1 protocol ip permit


Confrontalo con la tua config.

Ciao

[sum][one]

NTP:

ntp server 193.204.114.232
ntp server 193.204.114.233

Ciao

ma nella mia config c'e' una riga che e' identica alla tua cambia solo il server (uso il mio in LAN)... quindi non capisco dov'e' la soluzione... nel senso.. il router non ha la data aggiornata.. dovrebbe averla leggendo il comando dalla startup-config (ntp server xxx.xxx.xxx.xxx) o devo impartire qualche comando ulteriore?.. inoltre.. come faccio a dire che tipo di NTP server e'? (sono ignorante ma nel router Zyxel c'erano diversi tipi di timeserver, uno di questi funzionava anche col router Zyxel perche' era quello che uso sul mio server IRIX)

per il NAT.. ho letto il blog, e' molto teorico ed e' stato di grande aiuto.. solo che ora dovrei capirne meglio l'aspetto pratico .. hai qualche suggerimento/esempio da farmi ?

per le ACL.. c'e' in programma di proseguire con la "parte seconda"? .. sembra essere molto interessante e spero di poter approfondire anche quello .


grazie di tutto!

ora torno a confrontare la tua config postata al secondo post..

ah.. ultima domanda/conferma... la configurazione del Cisco e' ... sequenziale giusto?.. mi spiego.. l'ordine in qui inserisco i comandi nella startup-config e' fondamentale o posso metterli come meglio credo?..

il dubbio mi e' venuto quando mi sono chiesto "ma come fa a capire che ho finito la configurazione dell'interfaccia ATM0 ??" .. e via dicendo. spero di aver chiarito il mio dubbio
ciao ciao

[sum][one]

riguardando anche la configurazione NGI (che tra l'altro sto traslocando da milano a torino al posto dell'attuale provider che mi sta solo dando rogne)...che sara' il mio riferimento con l'anno nuovo.. noto una differenza nel definire il DNS.

configurazione NGI

Codice: Seleziona tutto

default-router 192.168.1.1
dns-server 213.92.5.54 194.185.88.5

mia attuale configurazione

Codice: Seleziona tutto

ip name-server 192.168.1.2

che differenza c'e' tra questi due comandi?
e poi perche' configurare (oppure la domanda e' "e' necessario configurare") il "default-reouter" ? (vedi config NGI)

grazie.

[MaiO]

Per quanto riguarda ntp assicurati di avere pure queste nella conf

clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

e poi devi verificare l'interfaccia dalla quale partono le richieste. Prova con ntp server che ti ho suggerito.
poi un bel show clock det

Le ACL solitamente vengono "utilizzate" per il "nat".

Poi non capisco perche utilizzi la startup. Impartisci i commandi via telnet. Una volta fatto dai il commando wri mem ed è il router che "salva la configurazione attuale nella startup.

Ciao

[sum][one]

forse ho capito a proposito della mia ultima domanda.. in effetti la riga dns-server e' per i settaggi del DHCP..


per quanto riguarda lo startup .. hai ragione..

grazie

[sum][one]

SONO ONLINE!

eccovi la configurazione che mi da il "sh run"

Codice: Seleziona tutto

Current configuration : 4424 bytes
!
! Last configuration change at 20:56:50 CET Thu Dec 22 2005
! NVRAM config last updated at 20:56:53 CET Thu Dec 22 2005
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxxxx
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
clock save interval 24
prompt %h%s%p
ip cef
!
!
!
!
no ip bootp server
ip name-server 192.168.1.2
!
!
crypto pki trustpoint TP-self-signed-1256524402
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1256524402
 revocation-check none
 rsakeypair TP-self-signed-1256524402
!
!
crypto pki certificate chain TP-self-signed-1256524402
 certificate self-signed 01

[BLA BLA CERTIFICATO rimosso per accorciare il post]

  quit
!
!
!
interface ATM0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 half-duplex
 hold-queue 100 out
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname xxxxxxxx
 ppp chap password 7 xxxxxxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 20
ip nat translation max-entries 4096
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 20 interface Dialer0 20
ip nat inside source static tcp 192.168.1.2 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.2 53 interface Dialer0 53
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0
 password 7 xxxxxxxx
 login
line vty 1 4
 no login
!
ntp server 192.168.1.2
!
end

un GRAZIE gigantesco a Mayo che m'ha supportato (e sopportato ) su msn tutto il giorno..

continuo a non capire come funziona l'ntp server.. visto che non si caga il mio timeserver neanche di striscio... boh.

per il mulo ..(gia'... scusate..) le seguenti vanno bene? (prese da qualche post qua e la sul forum)

Codice: Seleziona tutto

ip nat inside source static udp 192.168.1.2 5801 interface Dialer0 5801
ip nat inside source static udp 192.168.1.2 5901 interface Dialer0 5901
ip nat inside source static tcp 192.168.1.2 5900 interface Dialer0 5900
ip nat inside source static tcp 192.168.1.2 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.1.2 4672 interface Dialer0 4672
ip nat inside source static udp 192.168.1.2 4004 interface Dialer0 4004
ip nat inside source static tcp 192.168.1.2 8008 interface Dialer0 8008

questa configurazione e' per adsl con il provider Telvia.
cheers!

[sum][one]

ah ... ovviamente e' intrinseca la richiesta di consigli per migliorare tale configurazione.. o renderla piu' sicura.. o chesso' che altro ..

per ora mi sembra gia' una figata che sono online.. ma se poi in questo momento ci sono 125351 hackers che stanno gia' spaccando tutto il mio DNS/web server .. questo non lo so!

cheers.

p.s. Mayo grazie ancora

[sum][one]

e' possibile che qualche impostazione NAT o ACL (che ancora non ho fatto) possano impedirmi di giocare online? (nel mio caso sto provando American Army e non riesco a passare l'autenticazione quando joino i servers)

cheers.

[sum][one]

scusate lo spam... ho appena controllato e pare che i server AArmy hanno problemi di autenticazione ... meno male.. avevo "paura" di dovermi studiare tutte d'un botto le ACL stasera!! ehehehhe

[Pingo]

Ciao Sum][one,

io vado di sntp (simple ntp) ed uso questo:

Codice: Seleziona tutto

sntp server 212.97.63.99

va alla grande:

Codice: Seleziona tutto

#sh snt
SNTP server     Stratum   Version    Last Receive
212.97.63.99       2         1        00:00:05    Synced

P.S.
il time server di cui sopra è un ver. 4 ma come vedi mantiene la compatibilità in basso e funzia egregiamente anche per le query della ver. 1

ciao
P.

[sum][one]

hm.... noto solo ora che non ho il comando "sh snt?" ... possibile? IOS 12.4 ipbase.

cheers