Ip pubblici e privati insieme

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Salve.
Ho un router 877 con una punto punto adsl su dialer
Poi sulla vlan1 ho impostato una subnet di 4 ip pubblici che mi ha fornito l'ISP
(il primo non usato, il secondo sono io, il terzo è il firewall il quarto non usato)
E fin qui tutto ok
Dialer e Vlan ovviamente non hanno nat. Route tutto su dialer
Funziona tutto

Mi trovo però a dover agigungere un device con ip privato fuori firewall
(per intenderci devo mettere un apparato con ip 192.168.1.2 e che abbia gateway 192.168.1.1)

Ora io ho messo sulla vlan1 il 192.168.1.1 come secondary, ma naturalmente senza il nat inside/outside e l'overload non funziona nemmeno se piango. Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)

Avevo pensato di fare una access list che consentisse il traffico e nattasse tutto degli ip piubblici.... ma non ho idea nè se è una idea fattibile nè se possa funzionare.

Avete qualche idea, qualche worksaround da potermi suggerire ?

PS: il device con 192.168.1.2 deve stare fuori dal firewall, se vorrete suggerirmi di usarlo dentro firewall... ahimè la risposta è che non lo posso fare (altrimenti lo facevo :-) )

Grazie anticipatamente
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

davide0522 ha scritto: ...
Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
...
Buongiorno.
Hai sbagliato il nat. Se metti la ACL che natta solo gli IP privati non perdi nessuna raggiungibilità.

Posta la configurazione del nat e vediamo dove sbagli.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Ciao, al momento sono messo così... non molto elegante :oops:

La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile

Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........

Codice: Seleziona tutto


interface Vlan1
 ip address 192.168.21.1 255.255.255.0 secondary
 ip address 185.16.135.81 255.255.255.248
 no autostate
!
interface Dialer1
 description PPPoE per FTTC VDSL2
 ip address negotiated
 encapsulation ppp
 dialer pool 1
 no ppp chap wait
 ppp pap sent-username xxx password 0 xxx
 no ppp pap wait
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 101 permit ip any any

paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Se crei una ACL solo per il traffico da 192.168.21.0/24, gli ip pubblici non vengono toccati.

Codice: Seleziona tutto

access-list 102 permit ip 192.168.21.0 0.0.0.255 any
ip nat inside source list 102 interface Dialer1 overload 
Naturalmente devi mettere anche nat inside / outside sulle interfacce corrette.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

davide0522 ha scritto:Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
Si
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Metto subito alla prova! Grazie mille !
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prego

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Sei riuscito?
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

davide0522 ha scritto:Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
News?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
davide0522
Cisco fan
Messaggi: 47
Iscritto il: mer 31 mar , 2010 4:22 pm

Ciao, ecco, finalmente ho provato
La cosa funziona.

Codice: Seleziona tutto

interface Ethernet0
 ip address 88.88.88.1 255.255.255.248 secondary
 ip address 10.0.0.100 255.255.255.0
 ip nat inside
 ip inspect myfw in
 no cdp enable
 hold-queue 100 out

Codice: Seleziona tutto

interface Dialer0
 ip address negotiated
 ip nat outside
 ip flow ingress
 encapsulation ppp
 dialer pool 1
 no cdp enable
 no ppp chap wait
 ppp pap sent-username xxx
 no ppp pap wait

Codice: Seleziona tutto

ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.32 3389 interface dialer0 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer

Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla :-)
Ma ora ci lavoro un po
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ottimo.

Buona giornata
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi