Ip pubblici e privati insieme

davide0522 · mer 28 feb , 2018 4:15 pm

Salve.
Ho un router 877 con una punto punto adsl su dialer
Poi sulla vlan1 ho impostato una subnet di 4 ip pubblici che mi ha fornito l'ISP
(il primo non usato, il secondo sono io, il terzo è il firewall il quarto non usato)
E fin qui tutto ok
Dialer e Vlan ovviamente non hanno nat. Route tutto su dialer
Funziona tutto

Mi trovo però a dover agigungere un device con ip privato fuori firewall
(per intenderci devo mettere un apparato con ip 192.168.1.2 e che abbia gateway 192.168.1.1)

Ora io ho messo sulla vlan1 il 192.168.1.1 come secondary, ma naturalmente senza il nat inside/outside e l'overload non funziona nemmeno se piango. Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)

Avevo pensato di fare una access list che consentisse il traffico e nattasse tutto degli ip piubblici.... ma non ho idea nè se è una idea fattibile nè se possa funzionare.

Avete qualche idea, qualche worksaround da potermi suggerire ?

PS: il device con 192.168.1.2 deve stare fuori dal firewall, se vorrete suggerirmi di usarlo dentro firewall... ahimè la risposta è che non lo posso fare (altrimenti lo facevo

)

Grazie anticipatamente

paolomat75 · gio 01 mar , 2018 10:18 am

davide0522 ha scritto: ...
Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
...

Buongiorno.
Hai sbagliato il nat. Se metti la ACL che natta solo gli IP privati non perdi nessuna raggiungibilità.

Posta la configurazione del nat e vediamo dove sbagli.

Paolo

davide0522 · lun 12 mar , 2018 11:42 pm

Ciao, al momento sono messo così... non molto elegante

La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile

Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........

Codice: Seleziona tutto


interface Vlan1
 ip address 192.168.21.1 255.255.255.0 secondary
 ip address 185.16.135.81 255.255.255.248
 no autostate
!
interface Dialer1
 description PPPoE per FTTC VDSL2
 ip address negotiated
 encapsulation ppp
 dialer pool 1
 no ppp chap wait
 ppp pap sent-username xxx password 0 xxx
 no ppp pap wait
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 101 permit ip any any

paolomat75 · mar 13 mar , 2018 9:22 am

Se crei una ACL solo per il traffico da 192.168.21.0/24, gli ip pubblici non vengono toccati.

Codice: Seleziona tutto

access-list 102 permit ip 192.168.21.0 0.0.0.255 any
ip nat inside source list 102 interface Dialer1 overload

Naturalmente devi mettere anche nat inside / outside sulle interfacce corrette.

Paolo

davide0522 · mar 13 mar , 2018 9:24 am

Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)

paolomat75 · mar 13 mar , 2018 9:26 am

davide0522 ha scritto:Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)

Si

davide0522 · mar 13 mar , 2018 9:27 am

Metto subito alla prova! Grazie mille !

paolomat75 · mar 13 mar , 2018 9:28 am

Prego

Paolo

paolomat75 · mar 13 mar , 2018 10:01 am

Sei riuscito?

davide0522 · mar 13 mar , 2018 10:14 am

Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....

paolomat75 · gio 15 mar , 2018 2:18 pm

davide0522 ha scritto:Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....

News?

Paolo

davide0522 · sab 24 mar , 2018 10:58 am

Ciao, ecco, finalmente ho provato
La cosa funziona.

Codice: Seleziona tutto

interface Ethernet0
 ip address 88.88.88.1 255.255.255.248 secondary
 ip address 10.0.0.100 255.255.255.0
 ip nat inside
 ip inspect myfw in
 no cdp enable
 hold-queue 100 out

Codice: Seleziona tutto

interface Dialer0
 ip address negotiated
 ip nat outside
 ip flow ingress
 encapsulation ppp
 dialer pool 1
 no cdp enable
 no ppp chap wait
 ppp pap sent-username xxx
 no ppp pap wait

Codice: Seleziona tutto

ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.32 3389 interface dialer0 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any

Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer

Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla

Ma ora ci lavoro un po

paolomat75 · lun 26 mar , 2018 9:15 am

Ottimo.

Buona giornata
Paolo

Ip pubblici e privati insieme

Login • Iscriviti