Configurazione Cisco 827H

[DigitalKiller]

Salve a tutti.
Ho qui un router cisco 827H da configurare per NGI.
Sul sito della NGI ho trovato lo "script" di configurazione proprio per l'827.

Codice:

!
hostname F5ADSL-Router
!
username user password 0 password
!
enable password password
!
ip subnet-zero
ip domain name ngi.it.
ip name-server 213.92.5.54
ip name-server 194.185.88.5
!
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool LOCAL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 213.92.5.54 194.185.88.5
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
ip nat inside
no shutdown
!
interface ATM0
no ip address
no shutdown
no ip directed-broadcast
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
hold-queue 224 in
!
interface Dialer0
ip address negotiated
no ip directed-broadcast
encapsulation ppp
ip nat outside
dialer pool 1
dialer-group 1
ppp pap sent-username F5USERNAME password password
!
ip nat inside source list 101 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
line vty 0 4
login local

Nulla di complicato, basta un copia & incolla. Il problema è che dovrei eliminare le vecchie impostazioni. Per fare questo devo utilizzare il comando erase startup–config e riavviare il router, vero? Ma in questo modo viene resettata la password di enable? Se si, come faccio a reimpostarla? Se non sbaglio è possibile configurare il router via web. Attualmente questa opzione mi sembra che non sia attiva in quanto non riesco ad accedervi. C'è un modo per attivarla?
Grazie

[CH1CC0]

cancellando la configurazione (con un bel "write erase") e poi riavviando, puoi entrare tranquillamente nel router senza username né password.
Per entrare in "privileged mode", ti basterà digitare "enable" ed il gioco è fatto.

Poi potrai mettere su la config di NGI ma ti consiglio caldamente di modificare username/password e password di enable

[DigitalKiller]

Quote:

Originariamente inviato da CH1CC0

cancellando la configurazione (con un bel "write erase") e poi riavviando, puoi entrare tranquillamente nel router senza username né password.
Per entrare in "privileged mode", ti basterà digitare "enable" ed il gioco è fatto.

Poi potrai mettere su la config di NGI ma ti consiglio caldamente di modificare username/password e password di enable

Grazie per la risposta!
Per quanto riguarda la riattivazione del CRWS ne sai qualcosa? Ho già resettato il router e con le nuove impostazioni non ne vuole sapere di funzionare via web

[Jumping]

con erase startup-config e poi reload, cancelli la configurazione scritta in NVRAM e riavvi il router.
Dopo puoi entrare senza password in "privilege mode" con enable, quindi con configure terminal puoi entrare nell'ambiente di configurazione globale dove puoi fare "copia e incolla" del file di configurazione che hai trovato.
Ovviamente devi fare tutto questo attancandoti alla porta console del router con il cavo rollover.
Credo che la configurazione via web si possa fare abilitando il server http, quindi, in ambiente di configurazone globale: ip http server.
spero di essere stato d'aiuto
ciao

[DigitalKiller]

Questa è la configurazione creata automaticamente impostando solo i parametri di connessione. Il router mi server per mettere una vpn tra due uffici. La vpn, però, non l'ho ancora attivata. Avete dei consigli? Devo modificare qualche impostazione? O la configurazione va bene in questo modo?

Codice:

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname mio_router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 <removed>
!
username mio_router password 0 <removed>
username CRWS_Santhosh privilege 15 password 0 <removed>
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool CLIENT
   import all
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1 
   lease 0 2
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
! 
!
!
!
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 122 out
 ip nat inside
 ip tcp adjust-mss 1452
 hold-queue 100 out
!
interface ATM0
 no ip address
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer remote-name redback
 dialer-group 1
 ppp authentication pap chap callin
 ppp chap hostname username
 ppp chap password 0 password
 ppp pap sent-username username password 0 password
 ppp ipcp dns request
 ppp ipcp wins request
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any
access-list 122 deny   tcp any any eq telnet
access-list 122 permit ip any any
dialer-list 1 protocol ip permit
!
!
line con 0
 transport preferred all
 transport output all
 stopbits 1
line vty 0 4
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end

[CH1CC0]

Per la VPN, bisogna vedere se l'ios che ha a bordo il tuo router lo permette.

Intanto che aspettavo l'upgrade di ram per i miei 827, io ho risolto impostando un tunnel criptato in GRE (non molto sicura ma avevo bisogno di una soluzione veloce per le prove di test).

Quello che fai, in pratica, è creare un'interfaccia TUNNEL su ogni router allacciandola all'interfaccia ATM o DIALER (per avere l'ip pubblico) e mettendo come destinazione l'ip pubblico dell'altro sito.
In sostanza è come avere un'unica rete privata che passa su internet (incapsulata).

[DigitalKiller]

Quote:

Originariamente inviato da CH1CC0

Per la VPN, bisogna vedere se l'ios che ha a bordo il tuo router lo permette.

Intanto che aspettavo l'upgrade di ram per i miei 827, io ho risolto impostando un tunnel criptato in GRE (non molto sicura ma avevo bisogno di una soluzione veloce per le prove di test).

Quello che fai, in pratica, è creare un'interfaccia TUNNEL su ogni router allacciandola all'interfaccia ATM o DIALER (per avere l'ip pubblico) e mettendo come destinazione l'ip pubblico dell'altro sito.
In sostanza è come avere un'unica rete privata che passa su internet (incapsulata).

Scusami, mi sono espresso male! La mia domanda riguardava la configurazione che ho postato. Dato che è la prima volta che ho a che fare con un router cisco, volevo sapere se la configurazione va bene così oppure va modificato qualche parametro.
La vpn è supportata dal router, ma verrà in un secondo momento.
Grazie

[CH1CC0]

A prima vista mi sembra tutto corretto...

giusto per comodità potresti aggiungere i server DNS nelle impostazioni del DHCP (in modo che li rilasci ai clients senza doverli configurare a mano).

[DigitalKiller]

Quote:

Originariamente inviato da CH1CC0

A prima vista mi sembra tutto corretto...

giusto per comodità potresti aggiungere i server DNS nelle impostazioni del DHCP (in modo che li rilasci ai clients senza doverli configurare a mano).

Nella mail inviatami da NGI, c'è scritto che l'indirizzo ip ed i DNS sono assegnati automaticamente dal server. Più in basso, sempre nella mail, ci sono poi le impostazioni loto pc.