Router 871 - transparent firewall on DMZ port/PPPOE auth/LAN

Questa sezione dovrà contenere case study completi di "quotidiana guerra" nel networking

Moderatore: Federico.Lagni

Rispondi
lluca
Cisco fan
Messaggi: 43
Iscritto il: dom 23 apr , 2006 2:16 am
Località: Locarno / CH

Ciao a tutti, se ho capito bene questa sezione serve per lavorare un po tutti insieme su dei casi reali.
io provo a postare il seguente caso in quanto penso che possa presentarsi ed interessare a diverse persone.

La mia situazione:
_ collegamento VDSL 20'000/1'000
_ bridge VDSL della Zyxel (P-870M)
_ router Cisco 871 (CISCO871-SEC-K9)

Subnet IP pubblici (assegnata dal provider)
Subnet: xxx.yyy.zzz.248
Router IP: xxx.yyy.zzz.249
Available IPs: xxx.yyy.zzz.250 .. xxx.yyy.zzz.254
Broadcast: xxx.yyy.zzz.255
Netmask: 255.255.255.248

Subnet LAN
Subnet: 10.10.1.0
Gateway: 10.10.1.1
Netmask: 255.255.255.0

NOTA: l'ip xxx.yyy.zzz.249 è assegnato alla porta WAN dell'apparecchio che usa il PPPOE client (in questo caso il router 871).

Obiettivo:
_ configurare la porta WAN del router 871 per l'autentificazione PPPOE (che prenderà dall'ISP l'ip xxx.yyy.zzz.249)
_ configurare FE0/FE1/FE2 per la LAN
_ configurare FE4 per la DMZ in modalità transparent per collegarvi dei server con gli ip publici restanti (xxx.yyy.zzz.250 .. xxx.yyy.zzz.254)
_ configurare un ACL d'esempio per raggiungere sulla porta 80 l'ip xxx.yyy.zzz.250 nella DMZ
_ configurare le ACL per abilitare il pieno accesso da LAN verso DMZ e da LAN verso WAN

Come procedo per la configurazione del mio router ?
lluca
Cisco fan
Messaggi: 43
Iscritto il: dom 23 apr , 2006 2:16 am
Località: Locarno / CH

non vedo un gran successo in questa sezione :-)
va bé, io ho cercato di mettere giu una configurazione, ma non funziona.
qui la config, subito dopo i messaggi che ricevo al momento che cerca di fare il collegamento pppoe.

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 <REMOVED>
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
!
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.1.1 10.10.1.59
ip dhcp excluded-address 10.10.1.100 10.10.1.254
!
ip dhcp pool VLAN1
import all
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
domain-name <REMOVED>
lease 4
!
!
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface FastEthernet0
description LAN Interface
!
interface FastEthernet1
description LAN Interface
!
interface FastEthernet2
description LAN Interface
!
interface FastEthernet3
description DMZ Interface
no ip route-cache
speed auto
bridge-group 1
!
interface FastEthernet4
description TO ADSL BRIDGE
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
description LAN network
ip address 10.10.1.1 255.255.255.0
!
interface Dialer1
ip address negotiated
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 0 <REMOVED>
ppp pap sent-username <REMOVED> password 0 <REMOVED>
bridge-group 1
!
interface BVI1
ip address 10.10.2.1 255.255.255.0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
no ip http secure-server
!
!
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

**************************************
Se mi collego alle porte 0-2, ricevo un ip dal dhcp che ho configurato.
sulla console però vedo che cerca di fare il collegamento pppoe, senza successo... questo il messaggio.

*Mar 4 03:34:48.043: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
*Mar 4 03:34:48.047: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Mar 4 03:34:48.599: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Mar 4 03:34:48.603: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down


qualche buon anima mi può dare una mano per correggermi la config del pppoe e per vedere se la mia configurazione per creare la dmz (transparent bridge) sulla FE3 è giusto? Vi ringrazio
Ciao
Luca
lluca
Cisco fan
Messaggi: 43
Iscritto il: dom 23 apr , 2006 2:16 am
Località: Locarno / CH

continuo il monologo...
l'errore

*Mar 4 03:34:48.043: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
*Mar 4 03:34:48.047: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
*Mar 4 03:34:48.599: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Mar 4 03:34:48.603: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down


sono riuscito a rimuoverlo. era dovuto ad un errata trascrizione dell'utente pppoe.
L'interfaccia Dialer1 è up, il collegamento pppoe è ok.

se però eseguo il comando debug ppp negotiation ricevo il seguente messaggio:

Outbound ieee-st packet dropped

se mi collego sulle porte FE0-FE2 ricevo l'ip della lan da parte del dhcp, ma non riesco a navigare.

se mi collego alla porta FE3 (DMZ), immettendo nel mio pc l'ip statico publico, non riesco anche da qui ad andare su internet...

non so piu da che parte sbattere la testa... qualcuno sa darmi una mano ?
Vi ringrazio

Luca
Avatar utente
xanio
Cisco power user
Messaggi: 113
Iscritto il: mar 24 giu , 2008 11:21 am
Località: Messina
Contatta:

ma non riesci ad andare su internet tramite browser oppure non ping niente?

Prova a pingare un ip pubblico, magare il gw della p-t-p .

Magari è un problema dns.
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
lluca
Cisco fan
Messaggi: 43
Iscritto il: dom 23 apr , 2006 2:16 am
Località: Locarno / CH

Ciao xanio,
allora, nel frattempo ho rifatto un po tutto e sto ripartendo da zero.
Ho deciso di innazitutto far funzionare

_ FE4 con pppoe verso il mio bridge xDSL
_ FE0-3 configurato con un dhcp per la mia lan
_ abilitare il nat

tutto configurato come segue, ma:
_ dal mio pc nella lan riesco a pingare il gateway della mia lan 10.10.10.1 e l'ip assegnato dal provider al'interfaccia Dialer0. fuori da questo non riesco a pingare niente.
_ dal router, riesco a pingare tutto verso internet.

Probabilmente c'è qualcosa che mi sfugge, riesci a vedere cosa? Ti ringrazio. Di seguito la configurazione di base che sto usando attualmente.

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <REMOVED>
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 warnings
enable secret 5 <REMOVED>
!
no aaa new-model
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
no ip domain lookup
ip domain name <REMOVED>
ip name-server 212.90.199.2
ip name-server 212.90.192.190
!
multilink bundle-name authenticated
!
!
username <REMOVED> privilege 15 secret 5 <REMOVED>
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
no ip address
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname <REMOVED>
ppp chap password 7 <REMOVED>
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
End
Avatar utente
k4mik4ze
Cisco pathologically enlightened user
Messaggi: 196
Iscritto il: mar 20 mag , 2008 1:24 am

Mmh, in che senso non riesci a pingare niente?

Unreachable o cosa?

[Fermo restando che di PPP0E e Dialer non ne so mezza]
lluca
Cisco fan
Messaggi: 43
Iscritto il: dom 23 apr , 2006 2:16 am
Località: Locarno / CH

risolto, mancavano questi comandi

access-list 1 permit 10.10.10.0 0.0.0.255
ip nat inside source list 1 interface dialer 0 overload

Ora procedo con la configurazione della porta FE3 in bridge con la porta WAN (se ci riesco)...
Rispondi