CISCO 876 & Static IPs

[tsalin]

Καλημέρα σε όλους,

Έχω ένα πρόβλημα με ένα 876 που είναι σεταρισμένο για να παίζει με 1 static IP από τον provider (την διεύθυνση την παίρνει δυναμικά από τον ISP). Από την στιγμή που αγοράστηκαν και ενεργοποιήθηκαν 16 static IPs δεν μπορεί να βγει στο net. Βασικά δεν μπορεί να πάρει IP - λογικό αν υποτεθεί ότι χρειάζεται κάποια επιπρόσθετη ρύθμιση...

Ξέρει κανείς τι πρέπει να κάνω μέσα από SDM? Κάτι για NAT υποψιάζομαι, αλλά ότι δοκίμασα μέχρι και τώρα δεν έχει παίξει...

Για να μπορώ να βλέπω ένα εσωτερικό web server στην διεύθυνση 10.0.0.Χ του εσωτερικού δικτύου είναι απαραίτητο να έχω static IP επιπρόσθετη από αυτή που συνδέεται το router στο internet ή μπορώ και με αυτή?

Ευχαριστώ εκ των προτέρων...
Φιλικά

[cprotopapas]

http://www.cisco.com/en/US/products/...080627060.html

Enjoy

[tsalin]

Ευχαριστώ πολύ για το manual!

Το πρόβλημα όμως παραμένει. Δοκίμασα να βάλω στο ΝΑΤ ouside όλες τις στατικές IP που μου έχει δώσει ο privider ώστε να μεταφράζει όλες τις εσωτερικές IP του δικτύου (10.0.0.Χ) σαν τις εξωτερικές που μου έχει δώσει ο provider, χωρίς όμως αποτέλεσμα

Ξέρει κανείς τι πρέπει να αλλάξω στις ρυθμίσεις του CISCO για να μπορώ να βγω στο Internet? Μετά από τηλεφώνημα στην τεχνική βοήθεια της HOL (=ISP) μου είπαν ότι πρέπει να βάλω στο NAT τις στατικές που μου έχουν δώσει. Αυτό το είχα ήδη κάνει, χωρίς αποτέλεσμα. Όμως ακόμα και έτσι δεν βλέπω τι σχέση έχει η ΝΑΤ με το ότι δεν παίρνει καμία διεύθυνση το ρημάδι το rooter... Προφανώς το rooter παίρνει διεύθυνση αυτόματα και όχι στατικά (κάτι που επιβεβαίωσε ο "επιστήμονας " της HOL).

Αν ξέρει κανείς τι να κάνω θα παρακαλούσα πάαααααρα πολύ να βοηθήσει την κατάσταση...

Ευχαριστώ εκ των προτέρων!!!

[tsalin]

Συγγνώμη που γίνομαι κουραστικός αλλά,

επειδή δεν βλέπω φως στο Τούνελ, και επειδή παρά τις ώρες που διέθεσα στο διάβασμα των manual του rooter, δεν κατάφερα να συνδεθώ, φοβάμαι ότι το πρόβλημα προέρχεται από τον πάροχο μου την HOL...

Περιγράφω άλλη μια φορά σε απλά ελληνικά το πρόβλημα:
Το Cisco 876 είναι συνδεδεμένο με το LAΝ μου ρυθμισμένο με το configurator file που ακολουθεί και όλα είναι ΟΚ... Μέχρι την στιγμή που ενεργοποιεί η HOL μετά από αίτηση μου ένα block από 16IPs 62.38.XX.XX - 6.38.XX.XX+13. H στατική IP που είχε μέχρι τότε η σύνδεση δηλώνεται από την HOL ότι παραμένει η ίδια: 195.97.ΧΧ.ΧΧ.

Από εκείνη την στιγμή και μετά το router δεν μπορεί να πάρει IP από την HOL με τίποτα και άρα δεν μπορεί να συνδεθεί στο NET. Η διευθυνσιοδότηση του παραμένει IP Negotiated, αν και δοκίμασα μέχρι και static χωρίς όμως αποτέλεσμα...

Κάτι ψελλισε ο τεχνικός (λέμε τώρα ) της HOL για NAT οπότε και εγώ δοκίμασα να αλλάξω το NAT ώστε να μεταφράζονται οι εσωτερικές διευθύνσεις 10.0.0.Χ στο block των 14 νέων στατικών IP. Τζίφος... τίποτα δεν άλλαξε, το router αρνείται πεισματικά να πάρει IP και άρα να δουλέψει. Περιτό να πω βέβαια ότι με το προσωπικό username μου μπαίνει κανονικά (φυσικά εκεί δεν έχω καμία static IP, οπότε είναι λογικό).

Τελικά, δεν ξέρω τι να κάνω, θα πρέπει να πάρω την HOL τηλέφωνο για να ξεκαθαρίσουμε αν υπάρχει πρόβλημα από εκεί ή υπάρχει κάτι άλλο που πρέπει να κάνω, έστω και από CLI... Υποθέστε ότι είμαι εντελώς άσχετος... Το configuration δουλεύει χωρίς static IP, οπότε αν υπάρχουν προσθήκες που θα το έκαναν να δουλέψει με static block είναι παραπάνω από ευπρόσδεκτες...

Πραγματικά ευχαριστώ εκ των προτέρων για την βοήθεια και ζητώ συγγνώμη για την επανάληψη...

Κώδικας:

To Configuration File:
 
Building configuration...
Current configuration : 8618 bytes
!
version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname dynax_dsl
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$ObiU$ektzVio8vJnU0NYUndy7x0
!
username XXXXXX secret 5 XXXX
username XXXXXX privilege 15 secret 5 XXX.
clock timezone PCTime 2
clock summer-time PCTime date Mar 30 2003 3:00 Oct 26 2003 4:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_4 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
aaa authorization network sdm_vpn_group_ml_2 local 
aaa authorization network sdm_vpn_group_ml_3 local 
aaa authorization network sdm_vpn_group_ml_4 local 
aaa authorization network sdm_vpn_group_ml_5 local 
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name XXXXX.local
ip name-server 194.30.220.117
ip name-server 194.30.220.114
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip ips notify SDEE
ip ips po max-events 100
no ftp-server write-enable
!
!
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group Dynax
 key XXXXXXX
 dns 10.0.0.1 10.0.0.2
 pool SDM_POOL_1
 max-users 5
 netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA3 esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-SHA4 esp-3des esp-sha-hmac 
!
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 shutdown
 no cdp enable
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0.3 point-to-point
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
 no ip address
 no cdp enable
!
interface FastEthernet1
 no ip address
 no cdp enable
!
interface FastEthernet2
 no ip address
 no cdp enable
!
interface FastEthernet3
 no ip address
 no cdp enable
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 10.0.0.1 255.255.255.0
 ip access-group 104 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip inspect DEFAULT100 in
 ip virtual-reassembly
 ip route-cache flow
!
interface Dialer0
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 105 in
 ip nat outside
 ip inspect DEFAULT100 out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname hol:XXXXXX@adsl.gr
 ppp chap password 7 XXXXXX
 ppp pap sent-username hol:XXXXXX@adsl.gr password 7 XXXXXX
!
ip local pool SDM_POOL_1 10.0.0.70 10.0.0.80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 100 remark auto-generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit udp host 10.0.0.2 eq domain any
access-list 100 permit udp host 10.0.0.1 eq domain any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto-generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 10.0.0.1 eq domain any
access-list 101 permit udp host 10.0.0.2 eq domain any
access-list 101 deny   ip 10.0.0.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip any any
access-list 102 remark SDM_ACL Category=2
access-list 102 deny   ip any host 10.0.0.70
access-list 102 deny   ip any host 10.0.0.71
access-list 102 deny   ip any host 10.0.0.72
access-list 102 deny   ip any host 10.0.0.73
access-list 102 deny   ip any host 10.0.0.74
access-list 102 deny   ip any host 10.0.0.75
access-list 102 deny   ip any host 10.0.0.76
access-list 102 deny   ip any host 10.0.0.77
access-list 102 deny   ip any host 10.0.0.78
access-list 102 deny   ip any host 10.0.0.79
access-list 102 deny   ip any host 10.0.0.80
access-list 102 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 permit udp host 194.30.220.114 eq domain any
access-list 103 permit udp host 194.30.220.117 eq domain any
access-list 103 deny   ip 10.0.0.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny   ip 10.0.0.0 0.255.255.255 any
access-list 103 deny   ip 172.16.0.0 0.15.255.255 any
access-list 103 deny   ip 192.168.0.0 0.0.255.255 any
access-list 103 deny   ip 127.0.0.0 0.255.255.255 any
access-list 103 deny   ip host 255.255.255.255 any
access-list 103 deny   ip host 0.0.0.0 any
access-list 103 deny   ip any any log
access-list 104 remark auto generated by SDM firewall configuration
access-list 104 remark SDM_ACL Category=1
access-list 104 deny   ip host 255.255.255.255 any
access-list 104 deny   ip 127.0.0.0 0.255.255.255 any
access-list 104 permit ip any any log
access-list 105 remark auto generated by SDM firewall configuration
access-list 105 remark SDM_ACL Category=1
access-list 105 permit udp any any eq non500-isakmp
access-list 105 permit udp any any eq isakmp
access-list 105 permit esp any any
access-list 105 permit ahp any any
access-list 105 permit tcp any any eq www
access-list 105 permit udp host 194.30.220.114 eq domain any
access-list 105 permit udp host 194.30.220.117 eq domain any
access-list 105 deny   ip 10.0.0.0 0.0.0.255 any
access-list 105 permit icmp any any echo-reply
access-list 105 permit icmp any any time-exceeded
access-list 105 permit icmp any any unreachable
access-list 105 deny   ip 10.0.0.0 0.255.255.255 any
access-list 105 deny   ip 172.16.0.0 0.15.255.255 any
access-list 105 deny   ip 192.168.0.0 0.0.255.255 any
access-list 105 deny   ip 127.0.0.0 0.255.255.255 any
access-list 105 deny   ip host 255.255.255.255 any
access-list 105 deny   ip host 0.0.0.0 any
access-list 105 deny   ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
route-map SDM_RMAP_1 permit 1
 match ip address 102
!
!
control-plane
!
banner login ^CAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 no modem enable
 transport preferred all
 transport output telnet
line aux 0
 transport preferred all
 transport output telnet
line vty 0 4
 transport preferred all
 transport input telnet ssh
 transport output all
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

[lacacitos]

νομίζω ότι ο μόνος τρόπος για να βγάλεις άκρη είναι (από cli προφανώς) είναι να βάλεις debug ppp nego και debug ppp authentication μήπως σου δείξει κάποιο προφανή λόγο για τον οποίο δεν συνδέεται.

[tsalin]

Ευχαριστώ πάααααρα πολύ!

Τελικά πήρα για 5η φορά τηλέφωνο την HOL και μετά από ψάξιμο μιας ώραν ανακάλυψαν ότι είχε κολλήσει ο λογαριασμό μου!!!!

Βέβαια στο 4ο τηλεφώνημα ο τεχνικός (...λέμε τώρα) πρότεινε fatcrory defaults κάτι που βλακωδώς έκανα οπότε τώρα πρέπει να το ξαναρυθμίσω από την αρχή (ή να αντιγράψω από την αρχή το conf. file).

Ευχαριστώ!!! (Mod μπορείς να το κλειδώσεις)