Setup Cisco 837

[pbettan]

Salve a tutti,
mi sono appena iscritto e immediatamente ne approfitto .
Nella mia azienda abbiamo un Router Cisco 837 configurato (via web...sob !)
per una connessione adsl...Quick Setup...tutto automatico !
Fino all'altro giorno funzionava tutto benone.
Adesso non riesco piu' ad accedere all'internet:
potrebbe essere colpa dell'ISP....e' vero.
Ma ho sfruttato l'occasione per tentare di addentrarmi nei meandri della configurazione "vera" dei routers (o almeno di questo router).
E mi sono impantanato !
A questo punto chiedo aiuto a voi....

Potete dirmi come mi devo comportare: non sono proprio diguno di queste cose, ma per ora consideratemi un apprendista alle prime armi.

Grazie

A presto
Paolo

[Asimov]

beh, per cominciare direi che si potrebbe collegare il cavo console, aprire un emulatore di terminale (se hai dubbi, troverai decine di esempi in giro per il forum) e fare uno show run per vedere in che condizioni siamo..

[pbettan]

ok, ci provo....

grazie

Paolo

[pbettan]

Rieccomi,
scusate il ritardo...

Ok mi sono collegato usando Tera Term Pro.
Ho dato il comando show run ed in allegato c'e' il risultato.
Alcune informazioni ulteriori....
Abbiamo un abbonamento MercurioADSL della project++;
il protocollo e' PPPoA.
Abbiamo pure acquistato 8 indirizzi IP e l'attuale configurazione del Router (fatta via web) non contempla minimamente questa ipotesi.
Come mi muovo adesso ?


Grazie

Ciao
Paolo

[Asimov]

Direi che la tua conf non sembra centrare molto...
Forse la cosa migliore è eliminare completamente la configurazione e ricominciare da zero via terminale.
La tua tipologia di setup sembra simile alla multigroup di telecom. Ti hanno dato un indirizzo point-to-point o gli ip pubblici statici sono equivalenti, nella documentazione in tuo possesso?

[pbettan]

Rieccomi...
Nella documentazione che ho trovo una "sequenze ind. IP":
62.xxx.xxx.xxx/29.

Intendevi una cosa del genere ?

Grazie
Ciao
Paolo

[Asimov]

Si, proprio quello.
Quindi, riassumendo, in un ipotetico 62.1.1.0/29:
62.1.1.0 : network (non usabile)
62.1.1.7: broadcast (non usabile)
poi,
62.1.1.1 : da assegnare a atm0.1
62.1.1.2 : da assegnare a ethernet0
Gli altri (62.1.1.3, 62.1.1.4, 62.1.1.5, 62.1.1.6) sono usabili ai tuoi scopi, ma forse è meglio che x la configurazione nuda e cruda ti aiuti qualcun altro.
per ora, sarebbe utile che tu ci dicessi cosa vuoi farne di questi indirizzi.
Per la LAN vuoi usare il NAT, di modo da avere quanti client vuoi? Gli altri sono per dei server? Al contrario, vuoi usare solo indirizzi pubblici?

[pbettan]

[...]
poi,
62.1.1.1 : da assegnare a atm0.1
62.1.1.2 : da assegnare a ethernet0
Gli altri (62.1.1.3, 62.1.1.4, 62.1.1.5, 62.1.1.6) sono usabili ai tuoi scopi[...].
Per la LAN vuoi usare il NAT, di modo da avere quanti client vuoi? Gli altri sono per dei server? Al contrario, vuoi usare solo indirizzi pubblici?

mumble....mumble
vediamo e riesco a rispondere:
E' mia intenzione usare il NAT in modo da avere piu' client che accedono a internet con un solo IP pubblico (giusto ?),
del resto qualcuno degli IP statici dovrebbe/potrebbe essere utilizzato per esporre qualche opportuno servizio/porta di alcuni dei nostri server.
Come posso procedere ?

Grazie

Ciao
Paolo

[pbettan]

Alcune precisazioni:
il Router Cisco 837 mi gestisce una rete autonoma (con connessione ADSL), accanto ad una rete aziendale di grandi dimensioni. L'idea era quella di utilizzarlo per esporre alcune macchine e per gestire dowload (massicci ?) di servizio.
La mia idea era questa:
impostare sul router un dhcp che assegna indirizzi del tipo 10.20.2.x con
subnet 255.255.0.0 (qui mi basta un range di una 20 di indirizzi) per i vari client (quelli che navigano e fanno i download)
e assegnare all'interfaccia LAN del router (il gateway per tutti i client) un indirizzo tipo 10.20.0.254.
Tutte queste acrobazie mi permetterebbero, appunto, di esporre alcuni server interni senza doverne riconfigurare i parametri di rete (per esempio il gw).
E' un'idea fattibile/consistente ?

Grazie per qualsisi consiglio.

Ciao
Paolo

[Rugantine]

impostare sul router un dhcp che assegna indirizzi del tipo 10.20.2.x con subnet 255.255.0.0 (qui mi basta un range di una 20 di indirizzi) per i vari client (quelli che navigano e fanno i download)

Sono subnet da 65534 host... non sono un po' tantini?

e assegnare all'interfaccia LAN del router (il gateway per tutti i client) un indirizzo tipo 10.20.0.254.

Oooo... si può fare se usi 255.255.0.0, ma io, ripeto consiglierei una subnet un po' più ridotta... questo a parte, devi affiancare a questo indirizzo privato, un ip pubblico di modo che tu possa assegnare altri indirizzi pubblici ad alcune macchine della lan.

[pbettan]

Ciao a tutti,

Sono subnet da 65534 host... non sono un po' tantini?

Infatti....
il fatto e' che le macchine a IP fisso della nostra lan hanno indirizzi del tipo 10.20.2.x, la subnet e' del tipo 255.255.0.0 e il gw e' appunto 10.20.0.254.
Configurando il router (lato interno) in modo similare mi sarebbe bastato lo switch di un cavo di rete per esporre una macchina su internet magari su uno degli IP fissi (anche se non saprei come fare....).
Cmq penso sia meglio ridimensionare le mie mire:
diamo al router un indirizzo interno del tipo 10.20.2.41 con subnet 255.255.255.0 e impostiamo il dhcp del router per assegnare indirizzi del tipo 10.20.2.x.
Come mi muovo ?

[...]devi affiancare a questo indirizzo privato, un ip pubblico di modo che tu possa assegnare altri indirizzi pubblici ad alcune macchine della lan.

esatto...
e' possibile avere una caratterizzazione di questo tipo ?
i 3 server interni che hanno un dato IP statico trovano corrispondenza (almeno per alcune porte) su 3 degli indirizzi statici disponibili,
i client vari che si beccano l'indirizzo grazie al dhcp del router escono tutti con un altro degli IP statici.

Grazie

Ciao
Paolo

[MrCisco]

ok, per cominciare, direi, prendi nota delle password (se non le hai già scritte altrove) e cancelliamo tutta la startup-config.
Per fare questo:

Codice: Seleziona tutto

router> enable
router# erase startup-config

Quindi, spegni, riaccendi e lui ti dirà se vuoi entrare in setup mode. Tu dovrai rispondergli di NO.
Da questo momento in poi, NON accedere più all'interfaccia web.

Quindi, diamoci dentro con la conf.

Alcune premesse:
1. Non siamo in possesso di un indirizzio p-2-p, quindi useremo uno degli indirizzi nel nostro range per atm0.1
2. Il primo e l'ultimo indirizzo del range che ti hanno fornito non sono usabili
3. Gli IP del server verranno assegnati tramite dhcp in base al mac-address e riceveranno sempre lo stesso ip
4. Sarà necessario, in seguito, effettuare i nat indispensabili per far funzionare i server come si deve
5. Non saranno impostate tecniche di sicurezza ma verrano prese in considerazione in seguito
6. Prenderemo come esempio per semplificare il tutto, il range suggerito da Asimov (62.1.1.0/29)
7.Non avendo il router in mano, scriverò la sequenza di istruzioni da inserire nel router. NON è una configurazione da uploadare tramite ftp o affini

Indirizzi:
LAN del router: 10.20.2.41, 62.1.1.2
WAN del router: 62.1.1.1
Indirizzo x NAT: 62.1.1.3
Server1: 62.1.1.4
Server2: 62.1.1.5
Server3: 62.1.1.6
Quindi:

Codice: Seleziona tutto

router> enable
router# conf t

Config:

Codice: Seleziona tutto

ip name-server 62.94.0.1
ip name-server 62.94.0.2
ip dhcp excluded-address 10.20.2.41 -------->(il router)
ip dhcp pool CLIENT
   import all
   network 10.20.2.0 255.255.255.0
   default-router 10.20.2.254
ip dhcp pool Server1
host 62.1.1.4
hardware-address <mac_address_del_server1>
client-name Mars

[.....gli altri server.....]

interface Ethernet0
 ip address 62.1.1.2 255.255.255.248
 ip address 10.20.2.41 255.255.255.0 secondary
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
 no shut
iinterface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto

interface ATM0.1 point-to-point
ip address 62.1.1.1
ip nat outside
pvc 8/35
encapsulation aal5snap

ip nat pool thepool 62.1.1.3 62.1.1.3 netmask 255.255.255.248
ip nat inside source list 60 pool thepool overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server

access-list 60 permit 10.20.2.0 0.0.0.255

Probabilmente mi sarò dimenticato qualcosa e quindi non funzionerà subito come speriamo, però dovremmo esserci vicini

[pbettan]

Innanzitutto grazie
per il supporto che mi state dando !!!

Poi avrei alcune perplessita'....
Eccole:

ok, per cominciare, direi, prendi nota delle password (se non le hai già scritte altrove) e cancelliamo tutta la startup-config.

Le password quali sono ?
Prendo nota della serie di caratteri dopo
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXX
e
username Router password 7 XXXXXXXXXXXXXXXX
...cioe' dei caratteri che ho sostituito con le X ?

Poi:
client-name Mars
e' da considerarsi come una specie di alias dell'indirizzo MAC del server ?

Ancora:
nella configurazione scrivi
encapsulation aal5snap

mentre l'odiata configurazione web mi impostava
encapsulation aal5mux ppp dialer

Centra qualcosa il fatto che tra le info che mi ha dato l'ISP c'e' scritto
"Incapsulazione" VC multiplex e "Protocollo Autenticazione" Chap ?

Infine: una configurazione come quella che allego potrebbe andare ?

Grazie mille per il tempo che mi state dedicando.

Ciao
Paolo

[TheIrish]

Ciao!
Le password effettivamente non le puoi ricavare dal router perché sono giustamente cifrate.
Il mio problema è: siamo sicuri che sia PPPoA e non IPoA? La configurazione di mrCisco è purtroppo per la seconda alternativa. In più, IPoA non consente l'autenticazione ne la negoziazione dell'ip (che non ti serve).
Questo problema è legato ad alcune brutte abitudini di certi provider nel far confusione tra protocolli. Ne consegue che sarà necessario usare un dialer, onde evitare errori.
Seconda cosa, mrCisco, non hai notato che i due indirizzi pubblici overlappano? Non puoi assegnare 2 ip della stessa subnet a 2 interfacce del router.
pbettan, sei SICURO che non ti hanno dato un altro indirizzo per la point-to-point? Non so come verrà il nat con una unnumbered... teoricamente non dovrebbe dare problemi, ma sai...
Comunque, andando sulle cose serie:

1. l'interfaccia atm0.1 non ti serve
2. gli indirizzi pubblici vanno rivisti (in base al fatto che trovi o meno l'esistenza di un indirizzo point-to-point)

Posto in seguito la mia versione:

Codice: Seleziona tutto

ip name-server 62.94.0.1
ip name-server 62.94.0.2
ip dhcp excluded-address 10.20.2.41 -------->(il router)
ip dhcp pool CLIENT
   import all
   network 10.20.2.0 255.255.255.0
   default-router 10.20.2.254
ip dhcp pool Server1
host 62.1.1.4
hardware-address <mac_address_del_server1>
client-name Mars

[.....gli altri server.....]

interface Ethernet0
 ip address <da_verificare>
 ip address 10.20.2.41 255.255.255.0 secondary
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
 no shut
iinterface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
 pvc 1/150 
  encapsulation aal5mux ppp dialer 
  dialer pool-member 1 

interface Dialer1 
 ip address <da_verificare>
 no ip directed-broadcast 
 encapsulation ppp 
 dialer pool 1 
 dialer-group 1 
 ppp authentication chap callin 
 ppp chap hostname <tua_username>
 ppp chap password <tua_password>



ip nat pool thepool 62.1.1.3 62.1.1.3 netmask 255.255.255.248
ip nat inside source list 60 pool thepool overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server

dialer-list 1 protocol ip permit

access-list 60 permit 10.20.2.0 0.0.0.255 

Aspetto tua conferma per quanto riguarda un ipotetico indirizzo p-2-p

[pbettan]

Ciao a tutti,
scusate il ritardo con cui rispondo.
Grazie ancora per la pazienza.

Le password effettivamente non le puoi ricavare dal router perché sono giustamente cifrate.

Quindi la password che mi devo ricordare e' quella che ho scritto subito
dopo aver dato il comando enable.
Quando inserisco il comando "erase startup-config" non mi fumo anche la password...giusto ?

Il mio problema è: siamo sicuri che sia PPPoA e non IPoA? .

Questo e' quello che trovo scritto nei dati fornitimi dal mio ISP.
Utilizzando il setup via web impostavo PPPoA, username e password ed
effettivamente la cosa funzionava.

pbettan, sei SICURO che non ti hanno dato un altro indirizzo per la point-to-point? Non so come verrà il nat con una unnumbered... teoricamente non dovrebbe dare problemi, ma sai...

In base a quello che dici dovrei avere tra i dati fornitimi dall'ISP un indirizzo IP a cui collegarmi o da assegnare al router (lato WAN) esatto ?

Cmq io possiedo solo l'intervallo di indirizzi IP statici che mi son stati; quelli di cui abbiamo parlato in precedenza.

Come ci muoviamo ?

Vi ringrazio tutti per la pazienza e l'appoggio.

Purtroppo questa settimana saro' fuori sede (sono a Milano): quindi lontano dal mio Cisco 837.

Dovrei ritornare operativo: cioe' in grado di agire sul router la settimana prossima....sicuramente martedi' !!!!

Scusatemi per il contrattempo.

Grazie ancora

A presto
Paolo