Ip pubblici e privati insieme

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderators: Federico.Lagni, TheIrish, Wizard, tonycimo, andrewp

Ip pubblici e privati insieme

Postby davide0522 » Wed 28 Feb , 2018 4:15 pm

Salve.
Ho un router 877 con una punto punto adsl su dialer
Poi sulla vlan1 ho impostato una subnet di 4 ip pubblici che mi ha fornito l'ISP
(il primo non usato, il secondo sono io, il terzo è il firewall il quarto non usato)
E fin qui tutto ok
Dialer e Vlan ovviamente non hanno nat. Route tutto su dialer
Funziona tutto

Mi trovo però a dover agigungere un device con ip privato fuori firewall
(per intenderci devo mettere un apparato con ip 192.168.1.2 e che abbia gateway 192.168.1.1)

Ora io ho messo sulla vlan1 il 192.168.1.1 come secondary, ma naturalmente senza il nat inside/outside e l'overload non funziona nemmeno se piango. Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)

Avevo pensato di fare una access list che consentisse il traffico e nattasse tutto degli ip piubblici.... ma non ho idea nè se è una idea fattibile nè se possa funzionare.

Avete qualche idea, qualche worksaround da potermi suggerire ?

PS: il device con 192.168.1.2 deve stare fuori dal firewall, se vorrete suggerirmi di usarlo dentro firewall... ahimè la risposta è che non lo posso fare (altrimenti lo facevo :-) )

Grazie anticipatamente
User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Thu 01 Mar , 2018 10:18 am

davide0522 wrote:...
Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
...

Buongiorno.
Hai sbagliato il nat. Se metti la ACL che natta solo gli IP privati non perdi nessuna raggiungibilità.

Posta la configurazione del nat e vediamo dove sbagli.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby davide0522 » Mon 12 Mar , 2018 11:42 pm

Ciao, al momento sono messo così... non molto elegante :oops:

La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile

Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........

Code: Select all

interface Vlan1
 ip address 192.168.21.1 255.255.255.0 secondary
 ip address 185.16.135.81 255.255.255.248
 no autostate
!
interface Dialer1
 description PPPoE per FTTC VDSL2
 ip address negotiated
 encapsulation ppp
 dialer pool 1
 no ppp chap wait
 ppp pap sent-username xxx password 0 xxx
 no ppp pap wait
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 101 permit ip any any

User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Tue 13 Mar , 2018 9:22 am

Se crei una ACL solo per il traffico da 192.168.21.0/24, gli ip pubblici non vengono toccati.
Code: Select all
access-list 102 permit ip 192.168.21.0 0.0.0.255 any
ip nat inside source list 102 interface Dialer1 overload


Naturalmente devi mettere anche nat inside / outside sulle interfacce corrette.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby davide0522 » Tue 13 Mar , 2018 9:24 am

Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Tue 13 Mar , 2018 9:26 am

davide0522 wrote:Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)

Si
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby davide0522 » Tue 13 Mar , 2018 9:27 am

Metto subito alla prova! Grazie mille !
User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Tue 13 Mar , 2018 9:28 am

Prego

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby paolomat75 » Tue 13 Mar , 2018 10:01 am

Sei riuscito?
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby davide0522 » Tue 13 Mar , 2018 10:14 am

Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Thu 15 Mar , 2018 2:18 pm

davide0522 wrote:Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....

News?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Ip pubblici e privati insieme

Postby davide0522 » Sat 24 Mar , 2018 10:58 am

Ciao, ecco, finalmente ho provato
La cosa funziona.

Code: Select all
interface Ethernet0
 ip address 88.88.88.1 255.255.255.248 secondary
 ip address 10.0.0.100 255.255.255.0
 ip nat inside
 ip inspect myfw in
 no cdp enable
 hold-queue 100 out


Code: Select all
interface Dialer0
 ip address negotiated
 ip nat outside
 ip flow ingress
 encapsulation ppp
 dialer pool 1
 no cdp enable
 no ppp chap wait
 ppp pap sent-username xxx
 no ppp pap wait



Code: Select all
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.32 3389 interface dialer0 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any



Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer

Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla :-)
Ma ora ci lavoro un po
User avatar
davide0522
Cisco fan
 
Posts: 40
Joined: Wed 31 Mar , 2010 4:22 pm

Re: Ip pubblici e privati insieme

Postby paolomat75 » Mon 26 Mar , 2018 9:15 am

Ottimo.

Buona giornata
Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2896
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE


Return to Configurazioni

Who is online

Users browsing this forum: Google [Bot] and 2 guests