Ir al contenido
Conéctate para seguir esto  
Morcock

Cisco 877 - Ip fija telefonica Configuracion que funciona

Publicaciones recomendadas

Hola a Todos.

Una configuracion que me funciona para IP fija de telefonica, en modo monpuesto y sin NAT. el Router cisco esta conectado a un zywall 2 que es el que tiene el NAT además de su firewall activado y los puertos comentados anteriormente abiertos.

El problema esta en que no me puedo conectar desde el ordenador de mi casa con una aplicación bajo web de la oficina, los puertos que deben de estar abiertos son:80, 8080, 443 y 9000

el Router cisco esta conectado a un zywall 2 que es el que tiene el NAT además de su firewall activado y los puertos comentados anteriormente abiertos.

Entiendo que la interface externa es ATM0. ¿Por qué? por que cuando introduzco los comandos

router(config)#interface atm0.1

router(config-if)#ip access-group 101 in

router(config-if)#ip access-group 101 out

no me permite conectarme a internet pero si introduzco atm0 en lugar de atm0.1 si me permite.

¿Dondé está el fallo?. Por otro lado ¿Cual es la configuración correcta para poner enable el syslog en otro equipo dentro de la red y en su caso que acl's tengo que introducir?

Disculpad por el toston pero es que llevo una semana liado con el tema y ya no sé ni donde estoy. De todas maneras esa configuración funciona perfectamente para cualquiera que no tenga que hacer nada en especial excepto conectarse a internet

Notas:

AAA.AAA.AAA.AAA puerta de enlace de la ip publica fija de telefonica

BBB.BBB.BBB.2 ip privada (¿no sirve para nada?, en los zywxel lo tenia configurado así)

xxxxxxxxxx - nombre de usuario que ha echo la modificación.

adsl--->cisco 877 --->zywall2--->ordenadores de la red

sh conf

Using 3592 out of 131072 bytes

!

! Last configuration change at 11:34:55 pctime Thu Dec 13 2007 by XXXXXXXX

! NVRAM config last updated at 11:40:46 pctime Thu Dec 13 2007 by XXXXXXXX

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service udp-small-servers

service tcp-small-servers

service sequence-numbers

!

hostname router

!

boot-start-marker

boot-end-marker

!

security authentication failure rate 3 log

security passwords min-length 6

logging count

logging buffered 51200 informational

logging console critical

enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxx

!

no aaa new-model

!

resource policy

!

clock timezone pctime 1

clock summer-time PCTime date Mar 29 2008 2:00 Oct 25 2008 3:00

ip gratuitous-arps

ip cef

!

!

!

!

ip finger

ip tcp synwait-time 10

ip domain name router.com

ip name-server 80.58.0.33

ip name-server 80.58.32.97

ip ssh time-out 60

ip ssh authentication-retries 2

ip inspect audit-trail

!

!

!

username xxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx

!

!

!

!

!

!

interface ATM0

no ip address

ip mask-reply

ip directed-broadcast

ip route-cache flow

no atm ilmi-keepalive

dsl operating-mode auto

!

interface ATM0.1 point-to-point

ip address AAA.AAA.AAA.AAA.2 255.255.255.0

ip mask-reply

ip directed-broadcast

no snmp trap link-status

pvc 8/32

protocol ip AAA.AAA.AAA.2 broadcast

encapsulation aal5snap

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

ip address BBB.BBB.BBB.1 255.255.255.0

ip mask-reply

ip directed-broadcast

ip route-cache flow

ip tcp adjust-mss 1452

!

ip route 0.0.0.0 0.0.0.0 ATM0.1

!

!

ip http server

ip http authentication local

no ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

logging history debugging

logging 172.26.0.6

access-list 101 deny ip 172.26.0.0 0.0.0.31 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 0.0.0.0 0.255.255.255 any

access-list 101 deny ip 224.0.0.0 31.255.255.255 any

access-list 101 deny ip any host 172.26.0.0

access-list 101 deny ip any host 172.26.0.31

access-list 101 permit ip any 0.0.0.0 172.26.0.31

access-list 101 deny ip any any

access-list 102 deny ip any 172.26.0.0 0.0.0.64

access-list 102 deny ip any 127.0.0.0 0.255.255.255

access-list 102 deny ip any 10.0.0.0 0.255.255.255

access-list 102 deny ip any 172.16.0.0 0.15.255.255

access-list 102 deny ip any 192.168.0.0 0.0.255.255

access-list 102 deny ip any any

access-list 102 deny ip any 224.0.0.0 31.255.255.255

access-list 102 deny ip host 172.26.0.0 any

access-list 102 deny ip host 172.26.0.64 any

access-list 102 permit ip 172.26.0.0 0.0.0.64 any

no cdp run

!

!

!

!

control-plane

!

banner login ^CAuthorized access only!

Disconnect INMEDIATELY if you are not an authorized user^C

!

line con 0

login local

no modem enable

transport output telnet

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

ntp server 150.214.94.5

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

!

webvpn context default-context

ssl authenticate verify all

!

no inservice

!

end

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Buenas,

Por lo que veo, algun problema de ACL's hay en tu configuracion seguro... Pq tendrias que aplicar la ACL a la subinterficie atm0.1, no a la atm0. Al aplicarla a la 0.1 no te funciona internet pq alguna ACL te esta bloqueando el trafico. Si la pones en atm0 te funciona internet basicamente pq ninguna ACL esta trabajando. (O eso creo yo). Siempre hay q aplicar las directivas IP en la subinterficie donde se esta trabajando.

Ademas, que hacen esas IP's privadas en las ACLS del cisco si dices que el NAT lo hace el firewall??

A nivel de configuracion de la ADSL parece correcto, pero teniendo un firewall detras habria que ver la configuracion de mapeo de puertos de este, a ver como hace el NAT. Como tienes conectado el firewall al router cisco?

Yo lo que haria seria hacer que el NAT lo hiciera el router cisco, y a partir de la interface ethernet del cisco trabajar solo con IP privadas.... Pq cuantas IP's publicas tienes disponibles? minimo tendras 2 supongo, una para el cisco y otra para el firewall, pq sino no me cuadra como puedes hacer NAT en el firewall.

Saludos,

Jeims.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Muchas gracias jeims.

La configuración la hice usando el sdm. Con respecto a las acl fue en función de la recomendación de un tercero.

Soy un autodidacta que intenta aprender todo el tiempo. Seguramente los conceptos nos los debo de tener entendidos en su totalidad.

En función de tu comentario creo que falla la 101 linea 10 y la 102 línea 10. Lo comprobaré mañana porque acabo de venir de una comida de navidad y no estoy para estos lios.

Con respecto al nat, he intentado configurar la nueva situación en función de configurar zywal2 con zyxel 660 d1 (como lo tenía antes), es decir, zyxel 660 sin nat en modo monopuesto, la Ip Wan sin tener importancia y la Lan poniendo el Gateway de la ADSL publica. En base a esos parametros, he aplicado "" la configuracion en el cisco.

Muchas gracias y Feliz Navidad (depende para quien, porque una sonrisa mueve montañas). Ya te comentaré

javier

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

He quitado las acls:

access-list 101 deny ip 172.26.0.0 0.0.0.31 any

access-list 101 deny ip any host 172.26.0.0

access-list 101 deny ip any host 172.26.0.31

access-list 102 deny ip any 172.26.0.0 0.0.0.64

access-list 102 deny ip any any

access-list 102 deny ip host 172.26.0.0 any

access-list 102 deny ip host 172.26.0.64 any

access-list 102 permit ip 172.26.0.0 0.0.0.64 any

Y tampoco funciona Internet a menos que deshabilite access-group 101 y 102 sobre la interface atm0.1

¿Alguna idea para dar con la solucion?

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Hola de nuevo.

Pudiese ser que los firewall del ZyWal2 y cisco 877 se esten dando de tortas. Seguiré trasteando con el aparato y ya os comentaré. Si a alguien se le ocurren ideas estoy abierto a las mismas.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Recuerda que por defecto las ACL's de cisco tienen un deny ip any any al final del listado de la ACL, con finalidad de q todo el trafico q no este permitido, este denegado.

Asi que si no pones alguna q te permita el trafico bidireccional no va a funcionar, pq por defecto todo esta denegado.

Jeims.

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web

Hola de nuevo

Lo he tenido en cuenta pero aunque borre la linea en la aparece esa orden sigo sin poder conectarme a Internet a menos que ponga "no ip access-group 101 in" y "no ip access-group 102 out"

Compartir este mensaje


Enlace al mensaje
Compartir en otros sitios web
Invitado
Este tema está cerrado a nuevas respuestas.
Conéctate para seguir esto  

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.