Configurazione 2811 collegato su nodo Juniper SRX210HE

[Valek]

Ciao ragazzi.

Sto sbattendo la testa contro una configurazione banale ma che non ne vuole sapere di andare. La situazione è la seguente:

-- [ ROUTER JUNIPER SRX210HE TELECOM ITALIA ] con interfaccia configurata con IP Pubblico xx.xxx.xxx.111
A questo router telecom italia che ha una shdsl 1+1 non posso accedere. Conosco solo quell'indirizzo IP e tutta la subnet /29 associata al cliente.

Ho un Cisco 2811 con IOS c2800nm-adventerprisek9_ivs-mz.151-4.M che ha la sua Fa0/0 verso il Juniper e la Fa0/1 verso la rete internet. I gateway del miei hosts sono naturalmente la Fa0/1 di questo Cisco 2811.


Non è la prima volta che mi trovo davanti a questa situazione ma stavolta proprio non ne riesco a venire a capo.


version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname NOME ROUTER
!
boot-start-marker
boot-end-marker
!
!
! card type command needed for slot/vwic-slot 0/0
!
no aaa new-model
!
no network-clock-participate aim 0
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
ip domain name miodominio.it
ip name-server 8.8.8.8
ip name-server 8.8.4.4
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
voice-card 0
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO2811 sn XXXXXXXXXXXXXXXXXXX
!
redundancy
!
!
!
interface FastEthernet0/0
description INTERFACCIA VERSO JUNIPER TELECOM
ip address XX.XXX.XXX.112 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description INTERFACCIA VERSO MIA LAN
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat pool MIO_POOL XX.XXX.XXX.111 XX.XXX.XXX.111 netmask 255.255.255.248
ip nat inside source list 1 pool MIO_POOL overload
ip route 0.0.0.0 0.0.0.0 XX.XXX.XXX.111
!
logging esm config
access-list 1 permit 192.168.42.0 0.0.0.255
access-list 1 permit any
!
!
!
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input ssh
!
scheduler allocate 20000 1000
end

Bene questa è la mia configurazione: se provo a pingare un google.it oppure un traceroute google.it o altro, tutto dall'interno del router funziona. Naviga senza problemi.
Nessun host della rete 192.160.10.0/24 collegata alla Fa0/1 invece esce su internet ( pingo tranquillamente tutte le interfacce tranne quella del Juniper che sarà bloccata in tal senso ).

Qualche suggerimento???

[paolomat75]

Ciao.
Ho letto molto veloce, ma la prima cosa che mi salta all'occhio e l'indirizzo finale 111 e 112.
Questi con subnet /29 sono 2 reti diverse (111 multicast di una subnet e 112 indirizzo di rete della successiva).

Spero di esserti stato d'aiuto.

Paolo

[Valek]

Ciao Paolo

Gli indirizzi che vedi sono fittizi in effetti sono questi:

interface FastEthernet0/0
description INTERFACCIA VERSO TELECOM
ip address XX.XXX.XXX.122 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description INTERFACCIA VERSO MIA_LAN_INTERNA
ip address 192.168.42.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat pool MIO_POOL XX.XXX.XXX.121 XX.XXX.XXX.121 netmask 255.255.255.248
ip nat inside source list 1 pool MIO_POOL overload
ip route 0.0.0.0 0.0.0.0 XX.XXX.XXX.121
!
logging esm config
access-list 1 permit 192.168.42.0 0.0.0.255
access-list 1 permit any


Questi sono corretti.

[paolomat75]

Ok.
Hai usato nel pool NAT il 121, che mi sembra l'IP del router telecom...
Nel caso cambia IP.

Paolo

[Valek]

Si .121 è l'indirizzo IP dell'interfaccia del Juniper al quale è collegata la Fa0/0 .122 del mio 2811

Secondo te quindi nel pool mi conviene provare .123 .123 netmask 255.255.255.248 ???????????

Ma la cosa strana è che tempo fa usai una configurazione praticamente uguale dove invece del Juniper avevo un Thomson ed ha tutto funzionato al primo colpo.

[maufe811]

come già detto da paolo stai usando come ip per il nat l'indirizzo del default gateway, ovvero l'apparato juniper. così configurato per ovvi motivi non può funzionare.
usa un qualsiasi altro IP del pool a tua disposizione, anche quello dell'interfaccia f0/0 del 2811 eventualmente.

[Valek]

Grazie per il suggerimento. Domattina provo e vi farò sapere. Rimane il mistero Thomson comunque.

[Valek]

RISOLTOOOOOOOOOOOOOO


Ma lo sapete che io vi amo ?

[paolomat75]

Ottimo!

Paolo