Pagina 1 di 1
Ip pubblici e privati insieme
Inviato: mer 28 feb , 2018 4:15 pm
da davide0522
Salve.
Ho un router 877 con una punto punto adsl su dialer
Poi sulla vlan1 ho impostato una subnet di 4 ip pubblici che mi ha fornito l'ISP
(il primo non usato, il secondo sono io, il terzo è il firewall il quarto non usato)
E fin qui tutto ok
Dialer e Vlan ovviamente non hanno nat. Route tutto su dialer
Funziona tutto
Mi trovo però a dover agigungere un device con ip privato fuori firewall
(per intenderci devo mettere un apparato con ip 192.168.1.2 e che abbia gateway 192.168.1.1)
Ora io ho messo sulla vlan1 il 192.168.1.1 come secondary, ma naturalmente senza il nat inside/outside e l'overload non funziona nemmeno se piango. Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
Avevo pensato di fare una access list che consentisse il traffico e nattasse tutto degli ip piubblici.... ma non ho idea nè se è una idea fattibile nè se possa funzionare.
Avete qualche idea, qualche worksaround da potermi suggerire ?
PS: il device con 192.168.1.2 deve stare fuori dal firewall, se vorrete suggerirmi di usarlo dentro firewall... ahimè la risposta è che non lo posso fare (altrimenti lo facevo
)
Grazie anticipatamente
Re: Ip pubblici e privati insieme
Inviato: gio 01 mar , 2018 10:18 am
da paolomat75
davide0522 ha scritto:
...
Ma se metto i nat inside/outside, mi perdo le funzioni degli ip pubblici (perdo la raggiungibilità del firewall da fuori)
...
Buongiorno.
Hai sbagliato il nat. Se metti la ACL che natta solo gli IP privati non perdi nessuna raggiungibilità.
Posta la configurazione del nat e vediamo dove sbagli.
Paolo
Re: Ip pubblici e privati insieme
Inviato: lun 12 mar , 2018 11:42 pm
da davide0522
Ciao, al momento sono messo così... non molto elegante
La lan indicata al momento non naviga, ovviamente mancando l'overload
Se applico nat inside sulla vlan e nat outside sulla dialer e inserisco la overload, inizia a navigare ma il firewall con ip pubblico mi diviene irraggiungibile
Mi pare di capire invece che dovrei farlo e creare una access list da applicare alla dialer con cui definisco ... cosa ? Le regole di nat per i privati ?
Ma in quel caso i pubblici vanno "liberamente" ?
Chiedo scusa ma in questo "ibrido" mi perdo un po...........
Codice: Seleziona tutto
interface Vlan1
ip address 192.168.21.1 255.255.255.0 secondary
ip address 185.16.135.81 255.255.255.248
no autostate
!
interface Dialer1
description PPPoE per FTTC VDSL2
ip address negotiated
encapsulation ppp
dialer pool 1
no ppp chap wait
ppp pap sent-username xxx password 0 xxx
no ppp pap wait
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 101 permit ip any any
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 9:22 am
da paolomat75
Se crei una ACL solo per il traffico da 192.168.21.0/24, gli ip pubblici non vengono toccati.
Codice: Seleziona tutto
access-list 102 permit ip 192.168.21.0 0.0.0.255 any
ip nat inside source list 102 interface Dialer1 overload
Naturalmente devi mettere anche nat inside / outside sulle interfacce corrette.
Paolo
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 9:24 am
da davide0522
Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 9:26 am
da paolomat75
davide0522 ha scritto:Ah ok quindi faccio una acl specifica per la rete privata e faccio overload
nat inside outside sulle rispettive interfacce
E in questo modo i pubblici restano pubblici "puri" cioè estromessi dai meccanismi di nat ? (anche se il nat è dichiarato sulle interfacce ?)
Si
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 9:27 am
da davide0522
Metto subito alla prova! Grazie mille !
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 9:28 am
da paolomat75
Prego
Paolo
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 10:01 am
da paolomat75
Sei riuscito?
Re: Ip pubblici e privati insieme
Inviato: mar 13 mar , 2018 10:14 am
da davide0522
Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
Re: Ip pubblici e privati insieme
Inviato: gio 15 mar , 2018 2:18 pm
da paolomat75
davide0522 ha scritto:Ti farò sapere.
Il mio "subito" è stato scalzato da altre urgenze....
News?
Paolo
Re: Ip pubblici e privati insieme
Inviato: sab 24 mar , 2018 10:58 am
da davide0522
Ciao, ecco, finalmente ho provato
La cosa funziona.
Codice: Seleziona tutto
interface Ethernet0
ip address 88.88.88.1 255.255.255.248 secondary
ip address 10.0.0.100 255.255.255.0
ip nat inside
ip inspect myfw in
no cdp enable
hold-queue 100 out
Codice: Seleziona tutto
interface Dialer0
ip address negotiated
ip nat outside
ip flow ingress
encapsulation ppp
dialer pool 1
no cdp enable
no ppp chap wait
ppp pap sent-username xxx
no ppp pap wait
Codice: Seleziona tutto
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.32 3389 interface dialer0 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
Funziona, raggiungo sia il pubblico del firewall (88.88.88.2) sia mi collego in rdp sul pc con ip privato 10.0.0.32 passando dalla punto punto della dialer
Ho qualche problema ora lavorando sulle access list con cui voglio filtrare gli accessi sulla parte di ip privato
Diciamo che se applico una access list 111 sulla dialer, inizia a non funzionare più nulla
Ma ora ci lavoro un po
Re: Ip pubblici e privati insieme
Inviato: lun 26 mar , 2018 9:15 am
da paolomat75
Ottimo.
Buona giornata
Paolo