PDA

View Full Version : Cisco 837 + Alice 2Mbit Help

Jackal84
11-11-2006, 21:40
Ciao a tutti!

Ho un piccolo problema, ho acquistato un router Cisco 837 per usarlo al posto del mio oramai sfasciato netgear.
Oggi pomeriggio lo collego, configuro il dhcp e i dati per la configurazione di alice 2mb, password e user aliceadsl, dns dinamici ecc ecc, niente di particolare, tutto a default. Accade però una cosa strana... il router si connette, visualizza la velocità della linea, riceve ip e dns dall'isp telecom, ma non si riesce a uscire, non si naviga in nessun modo... i dns non sono, 2 minuti prima erano quelli del netgear e tutto andava, i programmi tipo *mule, che si basano su io fissi e niente di dinamico non vanno in ogni caso... Quando tento di fare la verifica linea internamente al router oppure di aggiornare SDM dal router, il sistema si blocca. Vi avviso che tutto funziona con il netgear attaccato. (vi scrivo ora infatti)
Che può essere? router bacato?

In ogni caso volevo aggioranre IOS all'ultima versione, sono registrato nel sito cisco ma non riesco a scaricare gli update.

Grazie per le eventuali risposte :)

Ecco la configurazione del router:

Building configuration...

Current configuration : 3184 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname 837
!
logging queue-limit 100
no logging buffered
enable secret 5 $1$3TYC$SVgmK7wJSU7uHhn0UNi4k.
!
username CRWS_Santhosh privilege 15 password 7 1453434F3B552C0A6027623A113617175A54070B080B0D5B52
username jackal password 7 06571573541D0A4D13
username CRWS_dheeraj privilege 15 password 7 00404242330A0D274B2E1D413A3C1516435F5452787F717C60
ip subnet-zero
ip name-server 85.37.17.44
ip name-server 85.38.28.90
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password 7 14161E020F012B2F3724
ppp pap sent-username aliceadsl password 7 045A070F0C244D4A1A15
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end
cisketto
12-11-2006, 22:02
Fino a quando ci sara:

ip access-group 111 in

sotto dialer1 non funzionera mai!Togli l'access-group 111 dal dialer e elimina l'acl e dopo la riscriviamo secondo le tue esigenze
Jackal84
13-11-2006, 11:09
Fino a quando ci sara:

ip access-group 111 in

sotto dialer1 non funzionera mai!Togli l'access-group 111 dal dialer e elimina l'acl e dopo la riscriviamo secondo le tue esigenze


Ciao

Dove la trovo questa impostazione nel menu sdm? :)

P.S.

Posso aggiungerti ai contatti msn? :fagiano:
cisketto
13-11-2006, 11:42
si mi puoi aggiungere ma dal lavoro nn mi funge il messenger.

cmq entraci da terminale(telnet) e configuralo da riga di comando
Jackal84
13-11-2006, 13:09
si mi puoi aggiungere ma dal lavoro nn mi funge il messenger.

cmq entraci da terminale(telnet) e configuralo da riga di comando


ti ho addato

cmq se ci sei la sera magari ti chiedo qualche info se non ti scassa :)
cisketto
13-11-2006, 14:31
Come ti ho gia detto nn posso da dove sto ora connettermi a messenger. continuam qui.
Jackal84
13-11-2006, 19:52
Come ti ho gia detto nn posso da dove sto ora connettermi a messenger. continuam qui.


ok come vuoi :)

mi puoi dire che comandi devo dare via telnet?

grazie
cisketto
13-11-2006, 21:56
una volta che sei entrato nel router

en
metti la passwd di enable
conf t
no access-list 111
int dia1
no ip access-group 111 in
exit
exit
Jackal84
13-11-2006, 22:28
una volta che sei entrato nel router

en
metti la passwd di enable
conf t
no access-list 111
int dia1
no ip access-group 111 in
exit
exit

ora lo fo subito, dici che così qualcosa si risolve?
Jackal84
13-11-2006, 22:32
:eek:

funziona :eek: :eek:

Che cosa era che non andava? :confused:
cisketto
13-11-2006, 23:33
:eek:

funziona :eek: :eek:

Che cosa era che non andava? :confused:

non andava l'access-list 111! Se ora dici le tue esigenze ne possiam scrivere una adeguata per gli usi che ne devi fare
Jackal84
14-11-2006, 00:01
non andava l'access-list 111! Se ora dici le tue esigenze ne possiam scrivere una adeguata per gli usi che ne devi fare


Ciao

Allura, ecco un insieme di utilizzi:

Firewall che però deve far passare: Amule, Azureus (bittorrent) e client ftp oltre a ciò mi serve la funzione dns dinamico con dyndns, ho un server che deve esser pubblicato in internet (il mio sito che vedi in signa).

Senti, ho visto che aggiornare il software ios, bisogna esser reseller cisco... è possibile procurarsi una versione aggiornata in altri modi? Grazie
cisketto
14-11-2006, 09:47
Allora in questo modo nessuno puo connettersi ad un servizio interno alla tua lan. Per far si che cio accada devi configurare il PAT verso i pc interni che vuoi raggiungere dall'esterno.Esempio

per raggiungere il server web messo sull'ip 10.10.10.10 fai:

ip nat inside source static tcp 10.10.10.10 80 interface dialer1 80

in questo modo tutte le richieste che arrivano sulla porta tcp 80 vengono rigirate sull'indirizzo interno 10.10.10.10 sempre alla 80 tcp
questo procedimento lo devi fare PER OGNI SERVIZIO CHE VUOI RAGGIUNGERE DALL'ESTERNO.
cisketto
14-11-2006, 09:50
Per l'IOS l'unico modo legale per averlo è comprarlo da cisco.com e costa un po. altri modi?...che dire...il p2p non conosce limiti! però okkio a trovare quella giusta per il tuo!
Jackal84
14-11-2006, 12:21
Allora in questo modo nessuno puo connettersi ad un servizio interno alla tua lan. Per far si che cio accada devi configurare il PAT verso i pc interni che vuoi raggiungere dall'esterno.Esempio

per raggiungere il server web messo sull'ip 10.10.10.10 fai:

ip nat inside source static tcp 10.10.10.10 80 interface dialer1 80

in questo modo tutte le richieste che arrivano sulla porta tcp 80 vengono rigirate sull'indirizzo interno 10.10.10.10 sempre alla 80 tcp
questo procedimento lo devi fare PER OGNI SERVIZIO CHE VUOI RAGGIUNGERE DALL'ESTERNO.

ok ora lo faccio subito. Senti una domanda, ora imposto via console, ma queste impostazioni del firewall poi le posso rivedere via SDM per una piu facile consultazione?

Per il discorso dyndns che dici? con la versione di ios che ho non riesco a trovare la voce
Jackal84
14-11-2006, 13:21
Ho eseguito il comando sia per le porte http e per quelle di emule. ma continua a a darmi lowid... c'è altro da fare? il firewall come va impostato? :)
Jackal84
15-11-2006, 11:19
Ho eseguito il comando sia per le porte http e per quelle di emule. ma continua a a darmi lowid... c'è altro da fare? il firewall come va impostato? :)


:cry: :cry:
cisketto
16-11-2006, 09:46
Sn tornato! cmq posta la config come è ora e vediam un po
Jackal84
16-11-2006, 11:25
ho rinunciato. dopo 2 notti passate a cercar di capire come va sto coso ho deciso che è preferibile cambiare strada.
L'interfaccia web da rogne, disabilitata, con i comandi da console che mi hai dato e che son quelli giusti il router non ne vuole sapere di fare redirect o aprire le porte del fw. Per di più devo pagare per aver gli aggiornamenti di IOS, che tra l'altro nelle ultime versioni ci sono delle funzioni da me richieste, non mi fido però a scaricare per vie traverse.

Se hai la pazienza di scrivermi giu un pò di regole per il firewall te ne sarei grato.

Ciao!
Jackal84
16-11-2006, 13:55
ah, ho appena resettato il router xchè avevo fatto mille prove, ora sono a 0 e vorrei iniziare da capo.
cisketto
16-11-2006, 17:26
nnte di mejo incomiciamo a configurarlo da 0 allora che indirizzamento vuoi usare per la rete interna?Sempre il 10.10.10.0/24 e la distribuzione in dhcp oppure li imposti staticamente? cmq il problema era dovuto al dhcp!
Jackal84
16-11-2006, 19:03
nnte di mejo incomiciamo a configurarlo da 0 allora che indirizzamento vuoi usare per la rete interna?Sempre il 10.10.10.0/24 e la distribuzione in dhcp oppure li imposti staticamente? cmq il problema era dovuto al dhcp!


ok ora ti spiego tutto così hai un'idea :)

Allora prima cosa, ho rimosso l'interfaccia http perchè mi da solo casini quindi dovremmo configurare anche il tipo di linea (alice 2mb) user e pass di accesso sull'atm.

Ecco le richieste:

Server DCHP con classe 192.168.1.0
Ip del router 192.168.1.1
Nella rete c'è un server linux che ha un ip fisso 192.168.1.2 per il quale devo aprire le porte e fare il redirect solo su questo ip per: Amule, Torrent, SSH, WWW, VNC, client dyndns, ftp.
Le porte sono:

Amule: 4662 TCP IN E OUT / 4672 UDP IN E OUT
Bittorrent: 6881 TCP/UDP IN E OUT
SSH: 22 TCP
Web: 80
VNC: 5901 TCP
Client DNS: boh :p
Ftp: boh

Ovviamente desidero che tutto il traffico in entrata per le porte sopraelencate vada solo ed esclusivamente sul server linux per ovvi motivi, tutto il resto della rete deve esser con tutte le porte chiuse, a parte casi futuri ma una volta imparato penso non ci sian problemi.

Ripeto che ora il router è in configurazione di fabbrica, di conseguenza va inizializato tutto ecc ecc.
Ah una cosa, il server linux fa da bridge di rete tra il router e il resto della rete e ti spiego il perchè. Il server ha due lan in bridge, una 10/100 che va al router e una Gigabit che va al resto della rete, queste due schede grazie ad un utility hanno lo stesso ip (192.168.1.2). di conseguenza è come se il pc facesse da cavo di collegamento tra il router e il resto della rete, mi serve solo xchè ho una rete gigabit. Teoricamente il dhcp dovrebbe passare attraverso questo bridge e assegnarmi gli indirizzi normalmente partendo dal 192.168.1.3 in poi...

Spero di esser stato chiaro :D

Grazie!
cisketto
16-11-2006, 20:35
allora:

Ecco le richieste:

Server DCHP con classe 192.168.1.0
Ip del router 192.168.1.1
Nella rete c'è un server linux che ha un ip fisso 192.168.1.2 per il quale devo aprire le porte e fare il redirect solo su questo ip per: Amule, Torrent, SSH, WWW, VNC, client dyndns, ftp.
Le porte sono:

Amule: 4662 TCP IN E OUT / 4672 UDP IN E OUT
Bittorrent: 6881 TCP/UDP IN E OUT
SSH: 22 TCP
Web: 80
VNC: 5901 TCP
Client DNS: boh
Ftp: boh

Ovviamente desidero che tutto il traffico in entrata per le porte sopraelencate vada solo ed esclusivamente sul server linux per ovvi motivi, tutto il resto della rete deve esser con tutte le porte chiuse, a parte casi futuri ma una volta imparato penso non ci sian problemi.

Fino a qua facilissimo nn ci si sta nnte.
Jackal84
16-11-2006, 21:26
allora:



Fino a qua facilissimo nn ci si sta nnte.

facile :p

illuminami :D
Jackal84
18-11-2006, 20:04
cisketto ti vedo offline su msn non riesco a contattarti :confused:
riaw
19-11-2006, 08:45
una volta che sei entrato nel router

en
metti la passwd di enable
conf t
no access-list 111
int dia1
no ip access-group 111 in
exit
exit


aggiungo una cosa. rientra nel router
en
metti la passwd di enable
copy run start
dai invio


altrimenti se spegni e riaccendi il router ti ritrovi con l'acl ancora dentro.

ip nat inside source static udp xxx.xxx.xxx.xxx 4672 interface Dialer0 4672
ip nat inside source static tcp xxx.xxx.xxx.xxx 4662 interface Dialer0 4662


al posto degli xxx devi mettere l'ip del tuo computer che fa girare emule.
per gli altri servizi la sintassi è la stessa ovviamente devi cambiare porta pubblica, privata e protocollo per il servizio che ti interessa.