Cisco 877 raggiungere web server dalla rete intranet

[iw0gz]

Saluti a tutti.
Tempo indietro scrissi un messaggio per tentare di risolvere un piccolo inghippo del quale tutt'ora non riesco a venirne a capo. Espongo meglio, rispetto alla volta precedente, la mia configurazione e il fine da raggiungere.

Dunque dispongo di un CISCO 877 connesso ad una ADSL Alice 20 MB con IP dinamico. Fin qui nessun problema, tutto va bene e si naviga senza problemi. Dispongo di alcuni server e webserver che sono stati pubblicati su internet anche qui senza alcuna problematica NAT e via.

Il problemino apparentemente scemo, ma per me purtroppo non è così, è questo. Per una serie di ragioni che non sto qui a spiegarvi, ho bisogno di raggiungere dalla stessa rete intranet dove si trova il server il server stesso digitando però un indirizzo www e non l'IP intranet della macchina. Ovviamente dispongo di un dns al quale è associato l'IP statico assegnato ad ogni connessione (DynDNS). Quindi, per farmi capire meglio, il server si trova sotto l'IP fisso 192.168.1.2 e voglio che questo sia raggiungibile da una qualsiasi workstation (es: 192,.168.1.3) digitando però www.picopallo.it. Per farla breve uscire e rientrare dalla stessa porta facendo in modo che il server risponda.

Posto qui la configurazione corrente del CISCO 877 che sto utilizzando:

!This is the running config of the router: 192.168.1.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco877
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1438066238
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1438066238
revocation-check none
rsakeypair TP-self-signed-1438066238
!
!
crypto pki certificate chain TP-self-signed-1438066238
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31343338 30363632 3338301E 170D3130 30333135 30313530
30345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 34333830
36363233 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E733 7F4FA0DA 4A7819D7 F55265B5 4921D58C B619E781 A6229382 A40EB6D6
DF0EA68C E016178B F5C8E1A1 C9539167 193E9868 0FB62E80 1D8D286F CD4E6D8E
C1CBB281 EA3281CA A0E74C56 DECB8898 DC716A9D 2EE7B837 8866C602 31A92A57
BF278F77 0C951324 88232B9C 8BE245C4 D13F3CA9 1E0A56C1 5E763B22 6CAECB1F
D97B0203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15436973 636F3837 372E7461 6B657068 6F746F2E 6974301F
0603551D 23041830 16801490 D04E07DF A6358D87 C7BD970A 11E7ED07 B7345B30
1D060355 1D0E0416 041490D0 4E07DFA6 358D87C7 BD970A11 E7ED07B7 345B300D
06092A86 4886F70D 01010405 00038181 00D1DEDC 92493FDC 4E3815DB C5C54AFA
F70EAB41 5D579F42 1CC91104 89F91687 7693A1D9 8893E4BB 48CA2A92 D1B65FFA
E3A2269E A8BF29FD 21B8AEAB 749CA16E 15743EEF F808F5BC 5C92BFC8 7E8D95EC
09C767D5 C95B0C65 20325D25 686A2812 B59B56E7 79BACB69 ECFBE340 6A1204FE
6860B6FA E95F0BB5 CB3AF9A2 DF444B9C C4
quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.225 192.168.1.254
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.15
ip dhcp excluded-address 192.168.1.100
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.1.1
!
!
ip cef
ip domain name takephoto.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username XXXXXXXXXXXX privilege 15 password 0 XXXXXXXXXXXXXX
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $$Internet OUT$$
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 8900
ip nat inside source static tcp 192.168.1.10 6881 interface Dialer0 6881
ip nat inside source static tcp 192.168.1.10 8080 interface Dialer0 8901
ip nat inside source static tcp 192.168.1.10 8902 interface Dialer0 8902
ip nat inside source static tcp 192.168.1.3 8080 interface Dialer0 8080
ip nat inside source static tcp 192.168.1.3 8700 interface Dialer0 8700
ip nat inside source static tcp 192.168.1.2 8500 interface Dialer0 8500
ip nat inside source static tcp 192.168.1.3 5200 interface Dialer0 5200
ip nat inside source static tcp 192.168.1.3 8090 interface Dialer0 8090
ip nat inside source static udp 192.168.1.3 5198 interface Dialer0 5198
ip nat inside source static udp 192.168.1.3 5199 interface Dialer0 5199
!
access-list 1 permit any
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
control-plane
!

!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

==============================================

Qualcuno riesce a diradare le nuvole che girano sulla mia testa da qualche mese ? Magari una dritta interessante ?
Grazie per la collaborazione,
iw0gz

[valerio1976]

ciao

hai provato a mettere no ip domain-lookup ?


ciao

[iw0gz]

Ciao Valerio, grazie di avermi risposto.

Si, ho provato. Una delle prime cose che ho fatto ma non ho ottenuto nulla ... Nella configurazione che ho postato il comando
NO IP DOMAIN-LOOKUP
non era presente ma solo per un caso. Facendo delle prove successive ho salvato il file da postare con la data errata e quindi ne ho mandato uno precedente. Riposto la configurazione attuale, ma l'unica differenza che troverai è la presenza del NO IP DOMAIN-LOOKUP.

Purtroppo nessun effetto, continua a non funzionare ....

iw0gz

[iw0gz]

Pardon .... ho dimenticato la cfg .....

Current configuration : 6580 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco877
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1438066238
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1438066238
revocation-check none
rsakeypair TP-self-signed-1438066238
!
!
crypto pki certificate chain TP-self-signed-1438066238
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31343338 30363632 3338301E 170D3130 30333135 30313530
30345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 34333830
36363233 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E733 7F4FA0DA 4A7819D7 F55265B5 4921D58C B619E781 A6229382 A40EB6D6
DF0EA68C E016178B F5C8E1A1 C9539167 193E9868 0FB62E80 1D8D286F CD4E6D8E
C1CBB281 EA3281CA A0E74C56 DECB8898 DC716A9D 2EE7B837 8866C602 31A92A57
BF278F77 0C951324 88232B9C 8BE245C4 D13F3CA9 1E0A56C1 5E763B22 6CAECB1F
D97B0203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15436973 636F3837 372E7461 6B657068 6F746F2E 6974301F
0603551D 23041830 16801490 D04E07DF A6358D87 C7BD970A 11E7ED07 B7345B30
1D060355 1D0E0416 041490D0 4E07DFA6 358D87C7 BD970A11 E7ED07B7 345B300D
06092A86 4886F70D 01010405 00038181 00D1DEDC 92493FDC 4E3815DB C5C54AFA
F70EAB41 5D579F42 1CC91104 89F91687 7693A1D9 8893E4BB 48CA2A92 D1B65FFA
E3A2269E A8BF29FD 21B8AEAB 749CA16E 15743EEF F808F5BC 5C92BFC8 7E8D95EC
09C767D5 C95B0C65 20325D25 686A2812 B59B56E7 79BACB69 ECFBE340 6A1204FE
6860B6FA E95F0BB5 CB3AF9A2 DF444B9C C4
quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.225 192.168.1.254
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.15
ip dhcp excluded-address 192.168.1.100
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.1.1
!
!
ip cef
no ip domain lookup
ip domain name takephoto.it
ip name-server 151.99.125.1
ip name-server 151.99.0.100
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username XXXXXXXXXXX privilege 15 password 0 XXXXXXXXXXXX
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $$Internet OUT$$
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 8900
ip nat inside source static tcp 192.168.1.10 6881 interface Dialer0 6881
ip nat inside source static tcp 192.168.1.10 8080 interface Dialer0 8901
ip nat inside source static tcp 192.168.1.10 8902 interface Dialer0 8902
ip nat inside source static tcp 192.168.1.3 8080 interface Dialer0 8080
ip nat inside source static tcp 192.168.1.3 8700 interface Dialer0 8700
ip nat inside source static tcp 192.168.1.2 8500 interface Dialer0 8500
ip nat inside source static tcp 192.168.1.3 5200 interface Dialer0 5200
ip nat inside source static tcp 192.168.1.3 8090 interface Dialer0 8090
ip nat inside source static udp 192.168.1.3 5198 interface Dialer0 5198
ip nat inside source static udp 192.168.1.3 5199 interface Dialer0 5199
!
access-list 1 permit any
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Cisco877#

sorry .... iw0gz

[stefano.pilla]

Io personalmente lo vedo più un problema di dns che di config ....

Forse ho capito io male ma se metti nel tuo dns il record A (e rispettivo PTR)

www.pincopallo.it 192.168.1.x (ip del webserver)

non funziona??

altrimenti metti sulle macchine nel file host questo record ed il gioco è fatto...

due soluzioni stupide ma sicuramente funzionali....

ripeto forse non ho capito io il problema...in questo caso chiedo venia!

Ciao

[valerio1976]

ciao si si dice bene stefano infatti stavo per scriverti la stessa cosa che hai detto lui ! LOL



ciao

[iw0gz]

Innanzi tutto grazie per l'aiuto sia a te che a Valerio. Quoto per capire meglio.

[quote="stefano.pilla"]Io personalmente lo vedo più un problema di dns che di config ....

Forse ho capito io male ma se metti nel tuo dns il record A (e rispettivo PTR) www.pincopallo.it 192.168.1.x (ip del webserver) non funziona??

Mi sono perso qualche passaggio .... forse sono un po fuso o non ho ben capito .....

altrimenti metti sulle macchine nel file host questo record ed il gioco è fatto...

Questa seconda soluzione mi e' gia' piu' chiara ma non posso adottarla per un motivo banale. Le macchine (solo 2) fisse potrebbero anche funzionare ma ovviamente non mi e' possibile modificare ogni volta il file Hosts di eventuali portatili ospiti o solo di passaggio ....

ripeto forse non ho capito io il problema...in questo caso chiedo venia!

Credo che tu abbia capito il problema ma forse ho spiegato male io l'esigenza .... il server non e' solo un web server ma una macchina che per una serie di motivi interagisce con l'esterno. Questo vuol dire che se consultata dall'interno della rete intranet attraverso il suo IP 192.X.X.X risponde in modo errato. Prima di utilizzare il Cisco 877 si utilizzava un pessimo routerino casalingo che da questo punto di vista non dava problemi. Il Cisco ovviamente e' un'altra cosa ma questo problema persiste e ci sbatto la capoccia da un po Ho posto anche la macchina in DMZ per provare ma nulla di fatto.....

iw0gz - Sante.

[stefano.pilla]

Ciao,

diciamo che connettività a L3 ce l'hai su entrambi gli IP...sia quello pubblico che quello privato...giusto?

Quante schede di rete ha questa macchina?

Secondo me è un problema di configurazione dei servizi come ad esempio il WebServer...

Se utilizzi IIS o Apache devi impostare nei rispettivi file di configurazione gli IP sui quali il webserver deve restare in ascolto...

oppure potrebbe essere un problema a L4 quindi...

le porte dei servizi sono aperte sul router?
C'è qualche ACL che nega il traffico?

Ciao

[iw0gz]

Ciao Stefano,
dunque la macchina ha una sola scheda di rete e IIS e' settato per restare in ascolto sul suo IP. Le porte dei servizi sono tutte aperte come puoi vedere dalle configurazioni postate. Il problema si pone solo quando tento di accedere dalla intranet, dall'esterno tutto funziona meravigliosamente bene .... ovviamente devo terminare la cfg ed affinarla. Le ACL sono semplicissime e a meno che io non mi sia rinc..... del tutto, il che puo' essere, non mi sembra che ci siano blocchi attivi. E' curioso come una cosa apparentemete semplice sia cosi' complessa. E' come se il router bloccasse in entrata le richieste provenienti dallo stesso IP pubblico di uscita ..... onestamente non capisco .....

iw0gz - Sante.

Ciao,

diciamo che connettività a L3 ce l'hai su entrambi gli IP...sia quello pubblico che quello privato...giusto?

Quante schede di rete ha questa macchina?

Secondo me è un problema di configurazione dei servizi come ad esempio il WebServer...

Se utilizzi IIS o Apache devi impostare nei rispettivi file di configurazione gli IP sui quali il webserver deve restare in ascolto...

oppure potrebbe essere un problema a L4 quindi...

le porte dei servizi sono aperte sul router?
C'è qualche ACL che nega il traffico?

Ciao

[stefano.pilla]

Ciao,

io direi di utilizzare un approccio bottom Up ad esclusione....
visto che connettività a L3 ce l'hai...proviamo a L4
allora...prova a debuggare le acl dal router e vedi se c'è qualche ACL che "matcha" così da eslcudere un problema sul router...
prova inoltre a debuggare anche il nat...

casomai posta il risultato così lo analizziamo insieme...

se non ci sono problemi sul router possiamo escludere un problema di connettività e si va a Layer 7 con la configurazione di IIS o Windows...

Attendo news...

Ciao

[iw0gz]

Ciao Stefano,
acc.... qui andiamo molto sul tecnico. Inutile nascondere che non ho mai eseguito un debug delle ACL ne della NAT...... mi sono scaricato dei testi e sto cercando di capire come fare..... perdonami ma non sono cosi' esperto .... se riesco ad avere qualche risultato lo posto immediatamente...

iw0ga- sante

Ciao,

io direi di utilizzare un approccio bottom Up ad esclusione....
visto che connettività a L3 ce l'hai...proviamo a L4
allora...prova a debuggare le acl dal router e vedi se c'è qualche ACL che "matcha" così da eslcudere un problema sul router...
prova inoltre a debuggare anche il nat...

casomai posta il risultato così lo analizziamo insieme...

se non ci sono problemi sul router possiamo escludere un problema di connettività e si va a Layer 7 con la configurazione di IIS o Windows...

Attendo news...

Ciao

[zot]

Presumo non ti funzionino neanche gli altri servizi se provi a raggiungerli con l'IP pubblico.Una soluzione come ti e' stato detto e' quella di avere un Server DNS interno che associ il nome di domnio con l'IP della rete interna.
Oppure puoi provare ad escludere dal NAT statico sui servizi raggiungibili da internet la tua rete interna.

[iw0gz]

Ciao Zot,
ovviamente se dall'intranet cerco di raggiungere i servizi attraverso l'IP pubblico questi non funzionano. L'unica cosa funzionante quando abilitata è l'interfaccia web del router. Quella risponde anche se cerco di raggiungerla dalla rete intranet. Quello che non capisco è dove si trova l'inghippo. Le soluzioni tra virgolette workaround vanno pure bene ma non capisco perchè con un banalissimo LinkSys da quattro soldi questo problema non si verificava.... ora mi chiedo, se funzionava allora vuol dire che si può fare e quindi sicuramente è un problema di configurazione da qualche parte non posso pensare che un 877 non preveda la possibilità di uscire e rientrare dallo stesso IP ..... non so, forse provare un'interfaccia di loopback ? Io non sono un esperto sia ben chiaro, però mi sembra uan cosa così inverosimile ....

iw0gz - Sante

Presumo non ti funzionino neanche gli altri servizi se provi a raggiungerli con l'IP pubblico.Una soluzione come ti e' stato detto e' quella di avere un Server DNS interno che associ il nome di domnio con l'IP della rete interna.
Oppure puoi provare ad escludere dal NAT statico sui servizi raggiungibili da internet la tua rete interna.

[walter48022]

Ciao Zot,
ovviamente se dall'intranet cerco di raggiungere i servizi attraverso l'IP pubblico questi non funzionano. L'unica cosa funzionante quando abilitata è l'interfaccia web del router. Quella risponde anche se cerco di raggiungerla dalla rete intranet. Quello che non capisco è dove si trova l'inghippo. Le soluzioni tra virgolette workaround vanno pure bene ma non capisco perchè con un banalissimo LinkSys da quattro soldi questo problema non si verificava.... ora mi chiedo, se funzionava allora vuol dire che si può fare e quindi sicuramente è un problema di configurazione da qualche parte non posso pensare che un 877 non preveda la possibilità di uscire e rientrare dallo stesso IP ..... non so, forse provare un'interfaccia di loopback ? Io non sono un esperto sia ben chiaro, però mi sembra uan cosa così inverosimile ....

iw0gz - Sante

Presumo non ti funzionino neanche gli altri servizi se provi a raggiungerli con l'IP pubblico.Una soluzione come ti e' stato detto e' quella di avere un Server DNS interno che associ il nome di domnio con l'IP della rete interna.
Oppure puoi provare ad escludere dal NAT statico sui servizi raggiungibili da internet la tua rete interna.

Abilita il dns server del cisco, ip dns server, poi blocchi con le acl la porta 53 solo per certi dns, e metti nelle conf "ip host ildominiochevuoitu il.tuo.ip.intranet"

Oppure ancora piu' semplice modifica a mano gli hosts file di windows.

Il problema e' che il cisco con tutte le policy anti spoofing, blocca l'accesso di un ip con rete privata della stessa rete verso un ip pubblico della lan. Sinceramente si puo' risolvere guardandoci bene ma c'e' da diventare scemi per fare regole ad hoc e se non la fai correttamente rischi di compromettere le policy di sicurezza. Il linksys te lo permetteva perche' un router casalingo con molte meno regole di sicurezza e per il cisco e' abbastanza illogico una gestione di questo tipo, perche' e' piu' corretta farla a livello di dns che di trasporto. Se abiliti il dns server del cisco con gli host personalizzati o editi il file host di windows fai molto prima. Noi in azienda abbiamo un dns server che risolvere l'indirizzo del sito con la rete interna perche' e' cosi' che bisogna fare, non permettere questi routing e accessi insicuri, non dimenticarti il cisco e' un router piu' indirizzato al cliente corporate che all'end user casalingo.

[iw0gz]

Chiaro. Ti ringrazio della risposta. Ovviamente è più semplice modificare gli hosts dei vari sistemi operativi ma proverò con il dns server del router questo per evitare che qualsiasi portatile o ospite debba modificare il file hosts per poter utilizzare il servizio dall'interno della rete intranet. Ti ringrazio delle delucidazioni.....

Saluti, iw0gz

Abilita il dns server del cisco, ip dns server, poi blocchi con le acl la porta 53 solo per certi dns, e metti nelle conf "ip host ildominiochevuoitu il.tuo.ip.intranet"

Oppure ancora piu' semplice modifica a mano gli hosts file di windows.

Il problema e' che il cisco con tutte le policy anti spoofing, blocca l'accesso di un ip con rete privata della stessa rete verso un ip pubblico della lan. Sinceramente si puo' risolvere guardandoci bene ma c'e' da diventare scemi per fare regole ad hoc e se non la fai correttamente rischi di compromettere le policy di sicurezza. Il linksys te lo permetteva perche' un router casalingo con molte meno regole di sicurezza e per il cisco e' abbastanza illogico una gestione di questo tipo, perche' e' piu' corretta farla a livello di dns che di trasporto. Se abiliti il dns server del cisco con gli host personalizzati o editi il file host di windows fai molto prima. Noi in azienda abbiamo un dns server che risolvere l'indirizzo del sito con la rete interna perche' e' cosi' che bisogna fare, non permettere questi routing e accessi insicuri, non dimenticarti il cisco e' un router piu' indirizzato al cliente corporate che all'end user casalingo.