Salve,
Sto cercando di utilizzare dei Cisco SOHO 97 in una serie di situazioni tutte abbinate a contratti ADSL SMART di Telecom con IP statico (IP over ATM) e, a seconda dei casi, 8 IP aggiuntivi.
Ho inizializzato il router utilizzando l'interfaccia web e, allo stato attuale, riesco ad effettuare il ping verso l'esterno (anche se in diversi post mi sembra venga detto il contrario .....?....vedi: http://www.ciscoforums.it/viewtopic.php?t=296..... ) ma adesso mi interessa andare oltre e capire meglio come intervenire direttamente a livello di IOS.
Quello che non ancora funziona e che vorrei implementare è:
1) il NAT della Lan privata verso l'esterno (... ma la regola: ip route 0.0.0.0 0.0.0.0 ATM0.1 già inclusa nella mia configurazione non dovrebbe già fare questo ? )
2) la definizione di una DMZ abbinata ad un IP della Lan
3) La possibilità di collegare lato-Lan sia computer abbinati ad gli indirizzi pubblici aggiuntivi che computer con IP privati (10.10.10.x).
Attivando la DMZ attraverso l'interfaccia Web (in questo caso verso l'IP 10.10.10.10 abbinato all'unico computer collegato al router) dall'esterno i servizi risultano essere raggiungibili, ma, stranamente, da quel momento non è più possibile effettuare il ping dalla console del router ..... come mai ?
Con la configurazione attuale inoltre, in nessun modo, il computer collegato al router riesce ad "uscire" nonostante sia stato indicato il suo IP (10.10.10.1) come gateway .......
Ho inoltre notato che, quando si parla di Lan privata, si fa riferimento all'interfaccia Ethernet 0 .... questo significa che le 4 porte ethernet sono configurabili separatamente (cioè che è possibile configurare le Ethernet 1/2/3) ?
Grazie.
Configurazione SOHO97
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Ciao e ben venuto nel nostro forum.
Partiamo dalle cose più discorsive.
Per la questione delle ethernet, dobbiamo fare un preambolo, ovvero, dobbiamo distinguere tra interfaccia e porta.
La differenza è presto detta: il mio cisco 837 ha 4 porte ethernet che sono, a loro volta 1 interfaccia. Cosa vuol dire? Vuol dire che le 4 porte sono come un piccolo switch, collegato al resto del router. Queste quattro porte possono ricevere una piccola configurazione layer 2, ma non ci si può aspettare + di quello. Al contrario, l'interfaccia può ricevere tutta la configurazione desiderabile. Ergo, quando fai riferimento ad una interfaccia ethernet, fai riferimento a tutte e quattro le porte.
La tua interfaccia si chiama ethernet0 per questioni di omogeneità con tutte le architetture Cisco. Soho 97 non è modulare, lo compri così com'è, ma altri router potrebbero incorporare + interfacce ethernet, quindi ethernet0 ethernet1 ecc. A tua disposizione quindi, c'è solo ethernet0.
Procediamo alla configurazione che hai postato. Beh, che dire, non funziona
anche se è molto prossima alla funzionalità.
Altro preambolo. C'è una bella differenza tecnica tra un contratto telecom ad 1 indirizzo ip pubblico, rispetto al contratto con subnet + ampie.
Per il momento, diamo un'occhiata all'ipotesi di 1 ip statico.
Nella tua configurazione manca interamente tutta la sezione che parla di NAT.
Infatti tu dici:
Per brevità, ti fornirò tutte le modifiche che servono per farlo funzionare, ma tu non farti scrupoli a domandare come funzionano, ok?
In global configuration mode:
In modalità di configurazione interfaccia per ethernet0:
In modalità di configurazione interfaccia per atm0.1:
Con queste modifiche e pc configurati correttamente, dovrebbe andare come un tuono.
Quando questo sarà funzionante, vedremo delle altre richieste, ok?
saluti
Partiamo dalle cose più discorsive.
Per la questione delle ethernet, dobbiamo fare un preambolo, ovvero, dobbiamo distinguere tra interfaccia e porta.
La differenza è presto detta: il mio cisco 837 ha 4 porte ethernet che sono, a loro volta 1 interfaccia. Cosa vuol dire? Vuol dire che le 4 porte sono come un piccolo switch, collegato al resto del router. Queste quattro porte possono ricevere una piccola configurazione layer 2, ma non ci si può aspettare + di quello. Al contrario, l'interfaccia può ricevere tutta la configurazione desiderabile. Ergo, quando fai riferimento ad una interfaccia ethernet, fai riferimento a tutte e quattro le porte.
La tua interfaccia si chiama ethernet0 per questioni di omogeneità con tutte le architetture Cisco. Soho 97 non è modulare, lo compri così com'è, ma altri router potrebbero incorporare + interfacce ethernet, quindi ethernet0 ethernet1 ecc. A tua disposizione quindi, c'è solo ethernet0.
Procediamo alla configurazione che hai postato. Beh, che dire, non funziona
anche se è molto prossima alla funzionalità.Altro preambolo. C'è una bella differenza tecnica tra un contratto telecom ad 1 indirizzo ip pubblico, rispetto al contratto con subnet + ampie.
Per il momento, diamo un'occhiata all'ipotesi di 1 ip statico.
Nella tua configurazione manca interamente tutta la sezione che parla di NAT.
Infatti tu dici:
?? le idee non sono chiare. Questa istruzione gli dice "se non sai per chi è un pacchetto, dallo ad ATM0.1". Il nat non serve a fare questo.il NAT della Lan privata verso l'esterno (... ma la regola: ip route 0.0.0.0 0.0.0.0 ATM0.1 già inclusa nella mia configurazione non dovrebbe già fare questo ? )
Per brevità, ti fornirò tutte le modifiche che servono per farlo funzionare, ma tu non farti scrupoli a domandare come funzionano, ok?
In global configuration mode:
Codice: Seleziona tutto
ip nat inside source list 23 interface ATM0.1 overloadCodice: Seleziona tutto
ip nat insideCodice: Seleziona tutto
ip nat outsideQuando questo sarà funzionante, vedremo delle altre richieste, ok?
saluti
-
ncister
- Cisco fan
- Messaggi: 44
- Iscritto il: gio 31 mar , 2005 3:14 pm
Ciao admin ... e grazie per il puntuale, preciso e prezioso replay .....
Naturalmente le tre rules che mi hai indicato hanno risolto il problema, adesso la Lan viaggia tranquillamente.
Grazie anche per le puntualizzazioni riguardo le interfaces ... l'unica cosa che mi piacerebbe capire meglio è:
Per quanto riguarda la sezione Firewall, mi chiedevo se, indipendentemente dalla creazione di ACL specifiche, il router attivasse di default delle protezioni di base, ad esempio quelle relative agli attachi DOS così come mi è capitato di vedere in altri Router/Firewall (vedi Netgear FVS318.....).
Adesso proverò ad attivare una DMZ e il PAT di alcuni servizi attivi su alcuni server della rete locale e ad utilizzare uno dei 5 IP statici aggiuntivi (fruibili). Se incontro problemi vi faccio sapere.
Per quanto riguarda la successiva necessità, quella di implementare una VPN tra due SOHO97, sto studiando le relative sezioni di IOS ed, eventualmente, penso sia meglio postare un topic a se stante.
Grazie ancora e a presto !
Naturalmente le tre rules che mi hai indicato hanno risolto il problema, adesso la Lan viaggia tranquillamente.
Grazie anche per le puntualizzazioni riguardo le interfaces ... l'unica cosa che mi piacerebbe capire meglio è:
A cosa ci riferiamo parlando di "layer 2" e che tipo di funzionalità si possono ottenere ?Queste quattro porte possono ricevere una piccola configurazione layer 2, ma non ci si può aspettare + di quello....
Per quanto riguarda la sezione Firewall, mi chiedevo se, indipendentemente dalla creazione di ACL specifiche, il router attivasse di default delle protezioni di base, ad esempio quelle relative agli attachi DOS così come mi è capitato di vedere in altri Router/Firewall (vedi Netgear FVS318.....).
Adesso proverò ad attivare una DMZ e il PAT di alcuni servizi attivi su alcuni server della rete locale e ad utilizzare uno dei 5 IP statici aggiuntivi (fruibili). Se incontro problemi vi faccio sapere.
Per quanto riguarda la successiva necessità, quella di implementare una VPN tra due SOHO97, sto studiando le relative sezioni di IOS ed, eventualmente, penso sia meglio postare un topic a se stante.
Grazie ancora e a presto !
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
La disponibilità della configurazione layer 2 (del modello ISO/OSI) è legata al modello e alla versione del router. In generale, ci sono poche cose da toccare (tipo bitrate e affini).
No, il router non fa filtraggi di sorta se non quelli che avvengono a causa della natura stessa del NAT. Ovvero, se dei dati vengono da fuori senza essere sollecitati dall'interno, il router prova a vedere se sono gestibili da lui (vedi telnet... brrrr...), in caso contrario, lui non saprebbe a quale pc darli, quindi li scarterebbe.
Per quanto riguarda gli altri 5 ip, sappi che se il tuo contratto è telecom-like, potrebbe essere necessario lavorarci un po'. Comunque prova, prova e riprova, così abbiamo imparato tutti
No, il router non fa filtraggi di sorta se non quelli che avvengono a causa della natura stessa del NAT. Ovvero, se dei dati vengono da fuori senza essere sollecitati dall'interno, il router prova a vedere se sono gestibili da lui (vedi telnet... brrrr...), in caso contrario, lui non saprebbe a quale pc darli, quindi li scarterebbe.
Per quanto riguarda gli altri 5 ip, sappi che se il tuo contratto è telecom-like, potrebbe essere necessario lavorarci un po'. Comunque prova, prova e riprova, così abbiamo imparato tutti
-
ncister
- Cisco fan
- Messaggi: 44
- Iscritto il: gio 31 mar , 2005 3:14 pm
Dunque ... per attivare gli IP pubblici lato Lan ho utilizzato:
che è l'indirizzo, tra gli 8 inclusi nel pacchetto Telecom, indicato come gateway.
Per creare una DMZ abbinata ad uno dei server della rete locale e quindi reindirizzare integralmente il traffico in arrivo diretto al primo degli IP pubblici (che poi è quello a cui è abbinato il dominio di secondo livello) ho invece utilizzato:
Sto forse trascurando qualcosa ?
Ci sono tecniche diverse da questa (magari più ortodosse) per ottenere queste due funzionalità ?
Piuttosto, volevo esporre un comportamento che non sto riuscendo a giustificare: il server gestito in DMZ è un server Linux con due schede di rete (10.0.0.254 e 192.168.67.254) e fa da gateway (attraverso il masquerading) per tutta la nostra rete che è abbinata alla classe 192.168.67.0.
Con questa configurazione se si puntano i servizi di questo server (ad esempio il mail server) usando gli IP locali (192.168.67.254 oppure 10.0.0.254) tutto funziona correttamente mentre se si utilizza l'IP pubblico 80.x.x.233 o i names abbinati, i servizi non sono raggiungibili.
Il problema dovrebbe essere relativo al router dal momento con il precedente hardware (modem+router Netgear) facevo le stesse cose (IP pubblici + DMZ) e dalla lan (Browser, Mail Client, etc...) riuscivo ad utilizzare indifferentemente gli IP pubblici o privati abbinati al server ....
Cosa sto sbagliando ?
Grazie.
Codice: Seleziona tutto
ip address 80.x.x.238 255.255.255.248 secondaryPer creare una DMZ abbinata ad uno dei server della rete locale e quindi reindirizzare integralmente il traffico in arrivo diretto al primo degli IP pubblici (che poi è quello a cui è abbinato il dominio di secondo livello) ho invece utilizzato:
Codice: Seleziona tutto
ip nat inside source static 10.0.0.254 80.x.x.233Dal momento mi avevi prospettato un pò di lavoro per far funzionare il tutto sono un pò sorpreso dei risultati (positivi per il momento...) ....Per quanto riguarda gli altri 5 ip, sappi che se il tuo contratto è telecom-like, potrebbe essere necessario lavorarci un po'...
Sto forse trascurando qualcosa ?
Ci sono tecniche diverse da questa (magari più ortodosse) per ottenere queste due funzionalità ?
Piuttosto, volevo esporre un comportamento che non sto riuscendo a giustificare: il server gestito in DMZ è un server Linux con due schede di rete (10.0.0.254 e 192.168.67.254) e fa da gateway (attraverso il masquerading) per tutta la nostra rete che è abbinata alla classe 192.168.67.0.
Con questa configurazione se si puntano i servizi di questo server (ad esempio il mail server) usando gli IP locali (192.168.67.254 oppure 10.0.0.254) tutto funziona correttamente mentre se si utilizza l'IP pubblico 80.x.x.233 o i names abbinati, i servizi non sono raggiungibili.
Il problema dovrebbe essere relativo al router dal momento con il precedente hardware (modem+router Netgear) facevo le stesse cose (IP pubblici + DMZ) e dalla lan (Browser, Mail Client, etc...) riuscivo ad utilizzare indifferentemente gli IP pubblici o privati abbinati al server ....
Cosa sto sbagliando ?
Grazie.
-
ncister
- Cisco fan
- Messaggi: 44
- Iscritto il: gio 31 mar , 2005 3:14 pm
OK, il problema che avevo utilizzando i servizi intranet dipendeva dal DNS .... ora sembra funzionare tutto.
Volevo un ulteriore conferma invece riguardo l'uso delle 4 porte ethernet NON sul mio SOHO ma sull'837....
???
Significa forse che è possibile assegnare fisicamente degli IP differenziati alle singole porte ?
Se così fosse, probabilmente, sarebbe possibile assegnare entrambe le interfacce (inside e outside) a 2 porte ethernet ed utilizzare soltanto la componente router/firewall dell'apparato (escludendo quindi la sezione modem ....) .... sbaglio ?
In altri termini la domanda è: il Cisco 837 consente di avere come external network un'interfaccia di rete (piuttosto che 'ATM o Dialer) e quindi di essere utilizzato "a valle" di un modem pre-esistente ?
Grazie.
Volevo un ulteriore conferma invece riguardo l'uso delle 4 porte ethernet NON sul mio SOHO ma sull'837....
Come mai nelle configurazioni dell'837 vedo delle righe del tipo:La differenza è presto detta: il mio cisco 837 ha 4 porte ethernet che sono, a loro volta 1 interfaccia. Cosa vuol dire? Vuol dire che le 4 porte sono come un piccolo switch, collegato al resto del router.
Codice: Seleziona tutto
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
....Significa forse che è possibile assegnare fisicamente degli IP differenziati alle singole porte ?
Se così fosse, probabilmente, sarebbe possibile assegnare entrambe le interfacce (inside e outside) a 2 porte ethernet ed utilizzare soltanto la componente router/firewall dell'apparato (escludendo quindi la sezione modem ....) .... sbaglio ?
In altri termini la domanda è: il Cisco 837 consente di avere come external network un'interfaccia di rete (piuttosto che 'ATM o Dialer) e quindi di essere utilizzato "a valle" di un modem pre-esistente ?
Grazie.
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
No, è legato al fatto che, pensando nella filosofia object oriented, non fanno altro che ereditare da un oggetto più generico. Non puoi usare ip address per le porte.Significa forse che è possibile assegnare fisicamente degli IP differenziati alle singole porte ?
Interna? esterna? certo non farebbe alcuna differezza, se non fosse che... il vero problema è che, non essendo ogni porta un'interfaccia singola, non potresti utilizzare un modem ethernet perché molto probabilmente il modem richiederebbe un collegameto unnumbered.In altri termini la domanda è: il Cisco 837 consente di avere come external network un'interfaccia di rete (piuttosto che 'ATM o Dialer) e quindi di essere utilizzato "a valle" di un modem pre-esistente ?
Se si trattassi di... chessò un 1720 con 2 interfacce ethernet, sarebbe fattibilissimo, non con un 837
