Buongiorno a tutti, questo è il mio primo post sul forum e vi ringrazio in anticipo.
Ho da poco acquistato e configurato un cisco 887VA per una connessione VDSL di fastweb.
Tutto funziona a meraviglia ma non riesco a fare un nat di una porta verso una macchina interna.
Premetto che ho un ip pubblico raggiungibile dall'esterno.
Il comando che imposto sul router è il seguente:
ip nat inside source static tcp 192.168.14.32 22 interface ethernet 0 222
per completezza devo dire che sul router ho una porta trunk con tre vlan configurate. La rete 192.168.14.0/24 non è quella nativa che invece è la 192.168.0.0/24. Effettivamente se lo stesso comando lo imposto su un indirizzo interno della rete 192.168.0.0/24 funziona.
Io credo che il pacchetto nattato internamente lasci il router non con l'indirizzo della vlan giusto.
Scusate se sono stato un po' inpreciso o se ho usato termini errati, ma mi sto avvicinando adesso al mondo cisco.
Grazie,
Nowire
NAT interno con 887VA
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao e benvenuto.
Domanda banale il router riesce a pingare la rete 192.168.14.XXX?
Paolo
Domanda banale il router riesce a pingare la rete 192.168.14.XXX?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Posta
Codice: Seleziona tutto
show ip nat translations
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 14
- Iscritto il: mer 14 dic , 2016 8:43 am
Ecco la parte finale:
Sembra corretto, o mi sbaglio? Forse il problema è che non riesco ad uscire su internet con la vlan 3 che sarebbe la rete 192.168.14.0/24
Massimiliano
Codice: Seleziona tutto
tcp 2.226.156.173:60642 192.168.0.48:60642 52.16.226.41:80 52.16.226.41:80
tcp 2.226.156.173:60786 192.168.0.48:60786 172.217.23.68:443 172.217.23.68:443
udp 2.226.156.173:60908 192.168.0.48:60908 8.8.4.4:53 8.8.4.4:53
udp 2.226.156.173:62279 192.168.0.48:62279 8.8.8.8:53 8.8.8.8:53
tcp 2.226.156.173:222 192.168.14.32:22 --- ---
Massimiliano
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Si è corretto.
Mandami la configurazione in privato.
Paolo
Mandami la configurazione in privato.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Devi aggiungere nella vlan3
e nella ACL 1
Naturalmente i PC di quella rete devono avere come gateway 192.168.14.6
Fammi sapere
Paolo
Codice: Seleziona tutto
ip mtu 1492
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
Codice: Seleziona tutto
access-list 1 permit 192.168.14.0 0.0.0.255
Fammi sapere
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 14
- Iscritto il: mer 14 dic , 2016 8:43 am
Buongiorno.
Allora, sicuramente ciò che mi hai suggerito di aggiungere è corretto ma non risolve il problema.
Ho fatto un tcpdump sull'host a cui voglio connettermi e l'indirizzo sorgente non risulta nattato:
08:49:04.498201 IP 192.168.14.32.22 > 188.14.XX.YY.58699: Flags [P.], seq 1:42, ack 1, win 457, length 41
mi sarei aspettato di vedere al posto di 188.14.XX.YY l'indirizzo del router 192.168.14.6. Giusto?
Di conseguenza non funziona perchè l'host in questione ha un gateway differente e quindi non conoscendo l'host mittente lo rigira verso il suo default gateway.
Massimiliano
Allora, sicuramente ciò che mi hai suggerito di aggiungere è corretto ma non risolve il problema.
Ho fatto un tcpdump sull'host a cui voglio connettermi e l'indirizzo sorgente non risulta nattato:
08:49:04.498201 IP 192.168.14.32.22 > 188.14.XX.YY.58699: Flags [P.], seq 1:42, ack 1, win 457, length 41
mi sarei aspettato di vedere al posto di 188.14.XX.YY l'indirizzo del router 192.168.14.6. Giusto?
Di conseguenza non funziona perchè l'host in questione ha un gateway differente e quindi non conoscendo l'host mittente lo rigira verso il suo default gateway.
Massimiliano
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Spiegati meglio cosa vuoi.
Paolo
Spiegati meglio cosa vuoi.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 14
- Iscritto il: mer 14 dic , 2016 8:43 am
Rieccomi.
Ho allegato uno schema per spiegarmi meglio.
Il 'pc' interno che voglio raggiungere ha indirizzo 192.168.14.32 sulla VLAN3 e il suo default gateway è il router con indirizzo 192.168.14.1.
Il router cisco ha ip 192.168.14.6 sulla VLAN3 ed è lui che accede direttamente ad internet.
Tutti i ping funzionano. Se da PC0 pingo il router cisco 887 è ok, lo stesso vale se dal router cisco pingo il PC0. Cioè le VLAN e i relativi indirizzi sono corretti.
Impostando il nat sul router cisco, effettivamente la porta 222 viene rigirata sulla 22 del PC0, ma PC0 vede un ip pubblico che non conosce e quindi lo rigira sul suo gateway che è il router linux 192.168.14.1.
Se dal router cisco 887 potessi non solo fare il nat ma anche il mascheramento dell'ip, sul PC0 arriverebbe come proveniente da 192.168.14.6 e quindi saprebbe come rispondere.
Massimiliano
Ho allegato uno schema per spiegarmi meglio.
Il 'pc' interno che voglio raggiungere ha indirizzo 192.168.14.32 sulla VLAN3 e il suo default gateway è il router con indirizzo 192.168.14.1.
Il router cisco ha ip 192.168.14.6 sulla VLAN3 ed è lui che accede direttamente ad internet.
Tutti i ping funzionano. Se da PC0 pingo il router cisco 887 è ok, lo stesso vale se dal router cisco pingo il PC0. Cioè le VLAN e i relativi indirizzi sono corretti.
Impostando il nat sul router cisco, effettivamente la porta 222 viene rigirata sulla 22 del PC0, ma PC0 vede un ip pubblico che non conosce e quindi lo rigira sul suo gateway che è il router linux 192.168.14.1.
Se dal router cisco 887 potessi non solo fare il nat ma anche il mascheramento dell'ip, sul PC0 arriverebbe come proveniente da 192.168.14.6 e quindi saprebbe come rispondere.
Massimiliano
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Non ho capito a cosa serve la macchina linux in mezzo, ma comunque penso che si possa fare.
Stasera se ho tempo faccio una simulazione su GNS3.
Paolo
Stasera se ho tempo faccio una simulazione su GNS3.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 14
- Iscritto il: mer 14 dic , 2016 8:43 am
La macchina linux in mezzo ha il server dhcp e mi faceva prima da router con il vecchio modem ADSL che non gestiva le VLAN ha, inoltre, un client VPN che unisce tre reti.
L'idea finale è di eliminarla, o meglio lasciarla come client VPN. Quindi in un secondo passo vorrei gestire sul router cisco 887 i dhcp per le vlan, il routing inter-vlan e la rotta statica per le VPN.
Non l'ho ancora fatto perchè non so bene come fare tutte queste configurazioni sul cisco e quindi vorrei andare per piccoli passi.
Grazie,
Massimiliano
L'idea finale è di eliminarla, o meglio lasciarla come client VPN. Quindi in un secondo passo vorrei gestire sul router cisco 887 i dhcp per le vlan, il routing inter-vlan e la rotta statica per le VPN.
Non l'ho ancora fatto perchè non so bene come fare tutte queste configurazioni sul cisco e quindi vorrei andare per piccoli passi.
Grazie,
Massimiliano