NAT interno con 887VA

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Buongiorno a tutti, questo è il mio primo post sul forum e vi ringrazio in anticipo.

Ho da poco acquistato e configurato un cisco 887VA per una connessione VDSL di fastweb.
Tutto funziona a meraviglia ma non riesco a fare un nat di una porta verso una macchina interna.
Premetto che ho un ip pubblico raggiungibile dall'esterno.
Il comando che imposto sul router è il seguente:

ip nat inside source static tcp 192.168.14.32 22 interface ethernet 0 222

per completezza devo dire che sul router ho una porta trunk con tre vlan configurate. La rete 192.168.14.0/24 non è quella nativa che invece è la 192.168.0.0/24. Effettivamente se lo stesso comando lo imposto su un indirizzo interno della rete 192.168.0.0/24 funziona.
Io credo che il pacchetto nattato internamente lasci il router non con l'indirizzo della vlan giusto.

Scusate se sono stato un po' inpreciso o se ho usato termini errati, ma mi sto avvicinando adesso al mondo cisco.

Grazie,
Nowire
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao e benvenuto.
Domanda banale il router riesce a pingare la rete 192.168.14.XXX?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Ciao e grazie.

si. Se per esempio dal router faccio il ping verso l'host 192.168.14.32, il ping risulta OK.

Serve che posto tutta la mia configurazione?

nowire
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Posta

Codice: Seleziona tutto

show ip nat translations
Non cade foglia che l'inconscio non voglia (S.B.)
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Ecco la parte finale:

Codice: Seleziona tutto

tcp 2.226.156.173:60642 192.168.0.48:60642 52.16.226.41:80   52.16.226.41:80
tcp 2.226.156.173:60786 192.168.0.48:60786 172.217.23.68:443 172.217.23.68:443
udp 2.226.156.173:60908 192.168.0.48:60908 8.8.4.4:53        8.8.4.4:53
udp 2.226.156.173:62279 192.168.0.48:62279 8.8.8.8:53        8.8.8.8:53
tcp 2.226.156.173:222  192.168.14.32:22   ---                ---
Sembra corretto, o mi sbaglio? Forse il problema è che non riesco ad uscire su internet con la vlan 3 che sarebbe la rete 192.168.14.0/24

Massimiliano
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Si è corretto.
Mandami la configurazione in privato.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Devi aggiungere nella vlan3

Codice: Seleziona tutto

ip mtu 1492
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
e nella ACL 1

Codice: Seleziona tutto

access-list 1 permit 192.168.14.0 0.0.0.255
Naturalmente i PC di quella rete devono avere come gateway 192.168.14.6

Fammi sapere
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Chiarissimo.

Domani mattina provo e scrivo la conferma qui a beneficio di tutti.

Grazie.

Massimiliano
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Buongiorno.

Allora, sicuramente ciò che mi hai suggerito di aggiungere è corretto ma non risolve il problema.
Ho fatto un tcpdump sull'host a cui voglio connettermi e l'indirizzo sorgente non risulta nattato:

08:49:04.498201 IP 192.168.14.32.22 > 188.14.XX.YY.58699: Flags [P.], seq 1:42, ack 1, win 457, length 41

mi sarei aspettato di vedere al posto di 188.14.XX.YY l'indirizzo del router 192.168.14.6. Giusto?

Di conseguenza non funziona perchè l'host in questione ha un gateway differente e quindi non conoscendo l'host mittente lo rigira verso il suo default gateway.

Massimiliano
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Molto probabilmente sto sbagliando.
Nel senso che il nat adesso funziona bene, ma io ho bisogno anche del mascheramento.

Massimiliano
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Spiegati meglio cosa vuoi.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Si certo. Cerco di fare uno schema della struttura di rete così da spiegarmi meglio.
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

Rieccomi.

Ho allegato uno schema per spiegarmi meglio.
Il 'pc' interno che voglio raggiungere ha indirizzo 192.168.14.32 sulla VLAN3 e il suo default gateway è il router con indirizzo 192.168.14.1.
Il router cisco ha ip 192.168.14.6 sulla VLAN3 ed è lui che accede direttamente ad internet.

Tutti i ping funzionano. Se da PC0 pingo il router cisco 887 è ok, lo stesso vale se dal router cisco pingo il PC0. Cioè le VLAN e i relativi indirizzi sono corretti.

Impostando il nat sul router cisco, effettivamente la porta 222 viene rigirata sulla 22 del PC0, ma PC0 vede un ip pubblico che non conosce e quindi lo rigira sul suo gateway che è il router linux 192.168.14.1.

Se dal router cisco 887 potessi non solo fare il nat ma anche il mascheramento dell'ip, sul PC0 arriverebbe come proveniente da 192.168.14.6 e quindi saprebbe come rispondere.

Massimiliano
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Non ho capito a cosa serve la macchina linux in mezzo, ma comunque penso che si possa fare.
Stasera se ho tempo faccio una simulazione su GNS3.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
nowire75
n00b
Messaggi: 14
Iscritto il: mer 14 dic , 2016 8:43 am

La macchina linux in mezzo ha il server dhcp e mi faceva prima da router con il vecchio modem ADSL che non gestiva le VLAN ha, inoltre, un client VPN che unisce tre reti.
L'idea finale è di eliminarla, o meglio lasciarla come client VPN. Quindi in un secondo passo vorrei gestire sul router cisco 887 i dhcp per le vlan, il routing inter-vlan e la rotta statica per le VPN.
Non l'ho ancora fatto perchè non so bene come fare tutte queste configurazioni sul cisco e quindi vorrei andare per piccoli passi.

Grazie,
Massimiliano
Rispondi