Salve sono nuovo del forum e vi ho trovato grazie a google dove cercavo soluzioni per il mio ambiente: Spero che qualcuno possa aiutarmi ho già richiesto in altri forum, ma sono così ignorante forse che non si sono degnati :(.

Ho due sedi con in ciascuna un cisco 827 già configurati x una VPN site-2-site.
Ora dovrei inserire una "ip nat fowarder" + "ACL" per prendere il controllo di un PC all'interno di una lan, dal Pc di casa che, chiaramente, non è parte di nessuna delle mie 2 LAN. Specifiche maggiori della sede dove voglio prendere il controllo di un pc interno.
- ip WAN statico del router 827 è a.b.c.d e ip LAN 192.168.1.254
- all'interno della rete ho il Pc Xp con indirizzo 192.168.1.10 del quale voglio prendere il controllo
- ip della connessione adsl d casa mia k.x.y.z

sul router 827 ho inserito i seguenti comandi IOS:

ip nat inside source static tcp 192.168.1.10 0.0.0.255 3389 interface ATM0.1 3389
access-list 121 permit tcp k.x.y.z any eq 3389
access-list 121 deny tcp any any eq 3389 log
access-list 121 permit ip any any
access-list 122 permit tcp any 192.168.1.10 0.0.0.255 eq 3389
access-list 122 deny ip any any
interface atm0.1
access.group 121 in
exit
interface ethernet0
access-group 122 out
exit

ma negli altri forum mi hanno detto che è sbagliato ma senza spiegarmi il perchè?? inoltre non ho capito come è possibile sapere quale access-list è associata ad una interfaccia ?

SPERO CHE QUALCUNO QUI POSSA AIUTARMI SONO SETTIMANE CHE RIMBALZO .. NON POSSO FARE TANTE PROVE E' UN AMBIENTE DI PRODUZIONE E NON HO ALTRI ROUTER PER GIOCARE A PROVARE :(
GRAZIE 1000

consiglio al volo:

da quello che vedo stai usando radmin (se non sbaglio è lui che usa la porta 3389).

A parte il fatto che preferisco VNC (freeware e funziona benissimo), ma a parte questo:
Devi poter prendere il comando di un solo PC o di più PC?

Cmq, oltre alla normale config del NAT con il classico:
ip nat inside source list xxx interface dialerX overloaded

Usa il comando (ho ipotizzato la dialer0 come interfaccia verso internet)
ip nat source static tcp 192.168.1.10 3389 interface dialer0 3389

in questo modo puoi raggiungere il tuo pc dall'esterno.
Se hai bisogno di raggiungerne più di uno, puoi mappare più porte esterne (la porta che viene dopo "interface dialerX...") tutte sulla 3389 dell'ip interno relativo al pc da controllare.

Spero di esserti stato d'aiuto

uso il classivo DesktopRemoto di Windows... tutti questi generi di utility usano questa porta che comunque se vuoi puoi spostare.
Ma dal tuo consiglio vedo che abbiamo alla fine scritto la solita cosa
ip nat inside source static tcp 192.168.1.10 0.0.0.255 3389 interface ATM0.1 3389
ip nat source static tcp 192.168.1.10 3389 interface dialer0 3389
infatti il mio dialer è ATM0.1 cioè l'adsl.
la cosa che ora mi fai riflettere è la definizione dell'indirizzo
192.168.1.10 0.0.0.255 è sbagliata devo mettere 192.168.1.0 0.0.0.255 giusto????
ma quello che mi preoccupa sono le ACL che non ci ho capito niente???
attualmente il mio sistema và in internet ma al momento che definisco la access-list 121 e 122 mi hanno detto che perdo questa funzionalità senza spiegarmi oltre ... come se mettendo una ACL che apre una porta questa SOVRASCRIVESSE tutte le abilitazioni su quella interfaccia e quindi devi ridefinire tutte le porte tcp che vuoi aperte ..... ????

Scusa la domanda.... ma non hai nessuno che vi segue per i router Cisco? lLi hai configurati tutti da solo?

Non li ho configurati io sono di un mio cliente ed AMICO che ha litigato con il fornitore cisco ed ora mi trovo io a doverci studiare, ma trovo da parte delle persone che conoscono cisco, e sono NON MOLTE, molta .... una barriera, loro sanno io no quindi non merito risposte!!!! Ma perchè c'è questo genere di loro comportamento non lo capisco, forse lì ho scritto delle boiate ma stò cercando di capire!

Non li ho configurati io sono di un mio cliente ed AMICO che ha litigato con il fornitore cisco ed ora mi trovo io a doverci studiare, ma trovo da parte delle persone che conoscono cisco, e sono NON MOLTE, molta .... una barriera, loro sanno io no quindi non merito risposte!!!! Ma perchè c'è questo genere di loro comportamento non lo capisco, forse lì ho scritto delle boiate ma stò cercando di capire!

Ti spiego....
come hai avuto modo di vedere, un router Cisco è estremamente complesso da configurare.... ed altrettanto complessa è la certificazione.... di conseguenza chi sa si ritiene di una casta a parte....
Comunque consiglia al tuo amico di rivolgersi a qualcuno che conosca il router in questione.... eviti di farci dei casini...

E' quello che temevo :D
Peggio dei NOTAI :)
anche qui sono rimbalzato con la mia voglia di sapere cose che se le sapessi non domanderei :D
niente contro te as10640, anzi ti ringrazio davvero della tua onesta a dire le cose, spesso è + piacevole una risposta sincera come la tua che l'indifferenza come ho sempre trovato :D
ma mi chiedo a cosa servono i forum su cisco se tutti sono bravi e certificati :D? forse parlano delle lasagne e come configurare la temperatura del forno ;D oppure ho scritto delle boiate grandissime io .... credo che sia la mia IGNORANZA e non che parlano di lasagne ....
vabbè mi ISTRUIRO' :)
sanza davvero nessun problema infatti stò sorridendo per la cosa! Di nuovo grazie 1000 :p

Salve sono nuovo del forum e vi ho trovato grazie a google dove cercavo soluzioni per il mio ambiente: Spero che qualcuno possa aiutarmi ho già richiesto in altri forum, ma sono così ignorante forse che non si sono degnati :(.

Ho due sedi con in ciascuna un cisco 827 già configurati x una VPN site-2-site.
Ora dovrei inserire una "ip nat fowarder" + "ACL" per prendere il controllo di un PC all'interno di una lan, dal Pc di casa che, chiaramente, non è parte di nessuna delle mie 2 LAN. Specifiche maggiori della sede dove voglio prendere il controllo di un pc interno.
- ip WAN statico del router 827 è a.b.c.d e ip LAN 192.168.1.254
- all'interno della rete ho il Pc Xp con indirizzo 192.168.1.10 del quale voglio prendere il controllo
- ip della connessione adsl d casa mia k.x.y.z

sul router 827 ho inserito i seguenti comandi IOS:

ip nat inside source static tcp 192.168.1.10 0.0.0.255 3389 interface ATM0.1 3389
access-list 121 permit tcp k.x.y.z any eq 3389
access-list 121 deny tcp any any eq 3389 log
access-list 121 permit ip any any
access-list 122 permit tcp any 192.168.1.10 0.0.0.255 eq 3389
access-list 122 deny ip any any
interface atm0.1
access.group 121 in
exit
interface ethernet0
access-group 122 out
exit

ma negli altri forum mi hanno detto che è sbagliato ma senza spiegarmi il perchè?? inoltre non ho capito come è possibile sapere quale access-list è associata ad una interfaccia ?

SPERO CHE QUALCUNO QUI POSSA AIUTARMI SONO SETTIMANE CHE RIMBALZO .. NON POSSO FARE TANTE PROVE E' UN AMBIENTE DI PRODUZIONE E NON HO ALTRI ROUTER PER GIOCARE A PROVARE :(
GRAZIE 1000
ad una prima occhiata il problema e' che se vuoi utilizzare un access list in ingresso , dovresti autorizzare l'ip pubblico del pc che usi da casa, da cui lanci desktop remoto o quel che sia. Se hai una connessione flat, con ip che cambia ad ogni connessione, ti renderai ben conto che non e' possibile fissarlo sull'access list...
D'altronde con il solo port forwarding verso il pc che vuoi controllare, senza access list, tutti sarebbero autorizzati ad entrare.... (naturalmente ci sarebbero sempre username e pw del pc remoto)

E' quello che temevo :D
Peggio dei NOTAI :)
anche qui sono rimbalzato con la mia voglia di sapere cose che se le sapessi non domanderei :D
niente contro te as10640, anzi ti ringrazio davvero della tua onesta a dire le cose, spesso è + piacevole una risposta sincera come la tua che l'indifferenza come ho sempre trovato :D
ma mi chiedo a cosa servono i forum su cisco se tutti sono bravi e certificati :D? forse parlano delle lasagne e come configurare la temperatura del forno ;D oppure ho scritto delle boiate grandissime io .... credo che sia la mia IGNORANZA e non che parlano di lasagne ....
vabbè mi ISTRUIRO' :)
sanza davvero nessun problema infatti stò sorridendo per la cosa! Di nuovo grazie 1000 :p

Comunque qui non credo ce ne siano molti certificati Cisco.... (me compreso...)

di certificati cisco non ce ne sono molti sul forum, ma qualcuno sì ;)

Cmq, tornando al comando:
ip nat source static tcp host 192.168.1.10 3389 interface dialer0 3389

mettere la maschera 0.0.0.255 con un IP singolo è un errore (puoi scrivere host prima dell'IP oppure mettere una maschera 0.0.0.0)
Questa maschera si chiama "wildcard mask" e, trasformata in bit, serve a dire al router quale parte dell'IP resta fissa (contrassegnata dallo 0) e quale invece varia (con l'1).

Sulle ACL, non andrei molto a toccare se non sei pratico...

di certificati cisco non ce ne sono molti sul forum, ma qualcuno sì ;)

Cmq, tornando al comando:
ip nat source static tcp host 192.168.1.10 3389 interface dialer0 3389

mettere la maschera 0.0.0.255 con un IP singolo è un errore (puoi scrivere host prima dell'IP oppure mettere una maschera 0.0.0.0)
Questa maschera si chiama "wildcard mask" e, trasformata in bit, serve a dire al router quale parte dell'IP resta fissa (contrassegnata dallo 0) e quale invece varia (con l'1).

Sulle ACL, non andrei molto a toccare se non sei pratico...


INFATTI DOPO MI ERO CORRETTO E ...
192.168.1.10 0.0.0.255 è sbagliata devo mettere 192.168.1.0 0.0.0.255
:)

Posta la config per intero omettendo ip pubblici e password.