Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2285 connectés 

  FORUM HardWare.fr
  Windows & Software

  Conf Cisco 1721 avec Wic ADSL pour wanadoo!

 
 


Dernière réponse
Sujet : Conf Cisco 1721 avec Wic ADSL pour wanadoo!
kill9 :jap: mille merci mon bon Seigneur

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
kill9 :jap: mille merci mon bon Seigneur
azubal solution : Utiliser les access-list reflexive :)
 
note : il faut utiliser un IOS qui possede l'option FW (firewall)
 
exemple simple :


.           +-----------------+
.           |     routeur     |
.           |                 |
.    LAN----|>F0 -       - D0<|----WAN (ADSL)
. interieur |                 | exterieur
.           +-----------------+  


 
 


! on crée deux acl nommé pour le traffic entrant
! et le traffic sortant sur l'interface Exterieur!
interface Dialer0
 ip access-group inboundfilter in
 ip access-group outboundfilter out


 


! on crée l'acl qui va "ecouter" le traffic sortant
! et qui va ecrire dans une acl "virtuel" toutes les regles
! qui seront utilisé pour permettre au traffic qui reviendra  
! de ne pas etre bloqué!
ip access-list extended outboundfilter
 permit ip any any reflect virtual-access-list


 


! on crée l'acl qui gere le traffic entrant.
! on commence par definir toutes les regles static
! de traffic autorisé/interdit : ici on autorise les
! requetes de ping entrant uniquement!
! puis on fini par l'acl virtuel!
ip access-list extended inboundfilter
 permit icmp any any echo
 evaluate virtual-access-list


 
 
bon, j'ai tenté d'expliqué le plus simplement possible le fonctionnement des RACL (Reflexive Access Lists)!
elles permettent d'accroitre conciderablement la securité d'un reseau!
 
pour plus d'info : http://www.cisco.com/en/US/product [...] ca7c3.html :)
azubal l'astuce qui consiste a faire "ip nat inside source static tcp 192.168.0.4 23 interface Dialer0 23" fonctionne bien :p
par contre j'ai monté le routeur en serveur vpn (pptp) et impossible de se connecter dessus :
jai naté le port 1723 (pptp) : "ip nat inside source static tcp 192.168.0.4 1723 interface Dialer0 1723"
mais il faut aussi nater le protocole GRE mais comme il change de port a chaque connexion, impossible de le nater :( et comme a priori on ne peut pas definir de regle de nat par protocole! je suis bloqué :(
Tiramissu75

cyberclic a écrit :

Est-ce qu'on peut se monter un cisco 7200 pour l'internet ? J'ai les cables BNC et tout et tout.


 :pt1cable:  
 
c'est un peu gros pour un accès ADSL, mais rien ne t'en empêche si tu as les bons modules (wic) et l'ios qui va bien...
 
Les 7200 j'en vois souvent mais pour des liaisons du genre 34Mbps et plus :lol:  :D
cyberclic Est-ce qu'on peut se monter un cisco 7200 pour l'internet ? J'ai les cables BNC et tout et tout.
Tiramissu75

azubal a écrit :


quel est la difference entre :
ip nat inside source list 1 interface Dialer0 overload
et
ip nat inside source route-map 1 interface Dialer0 overload
??


 
La première se base sur une ACL (simple ou étendue) en l'occurence une ACL simple (elle vont de 1 à 100). Une acl simple se base sur les infos IP donc niveau 3 du modèle OSI (adresse IP source et destination). Les ACL étendues peuvent aussi sur basée sur la couche 4 du modèle OSI (TCP/UDP). tu peux spécifier des choses plus fines tels que le port destination en http (çà donne pour l'ACL en gros "permit tcp eq 80" ).
 
Les routemap sont des fonctions permettant de faire plus de chose et très utiles aussi pour la définition de redistribution de protcole de routage (ospf rip ou eigrp ou bgp) vers un autre protocole de routage. Les routemap permettent ainsi en taggant des routes d'éviter des boucles de routage liées à des préférence d'un protocole de routage à un autre: notion de distance administrative..mais là c'est déjà plus chaud.  :D  
Les routemap sont aussi utilisées pour la définition de "policy" ...ce sont les politiques de sécurité...
 
Si çà t'intéresse, je pourrais te filer un pdf ou deux sur çà...
 
Cordialement.
 
 :hello:  
azubal ah oui, c'est une bonne idee! je n'y avait pas pensé!
je testerai ca quand je recuperai le routeur ( dans 5 semaines )  :(  
 
merci du conseil  :hello:
buffalo73 il devrait y avoir un moyen de peaufiner l'ACL pour limiter l'accès.
Par contre, en gardant ACL1 comme "permit any", tu peux ajouter les lignes de type:
"ip nat inside source static tcp 192.168.0.4 23 interface Dialer0 23" comme l'a dit kill9 ds son post le 2 mars
 
Pour ce qui est de diff entre les deux commandes, je ne ne connais pas très bien celle qui utilise route-map. Cette commande est plus compliquée mais elle devrait permettre de faire du load-share entre autres
azubal merci,
maintenant que tu me le dis, c'est tout a fait possible que 193.253.160.3 soit l'ip de mon DSLAM wanadoo! je verifirai ca se soir.
 
pour l'acl j'ai pas trouvé, mais c'est assez genant car je ne peux pas acceder directement au routeur (en telnet par exemple) a partir de l'exterieur.
si je met l'autre ACL, j'y ai acces mais j'expose tous les autres port ouvert en meme temps (serveur dns, etc etc).
 
quel est la difference entre :
ip nat inside source list 1 interface Dialer0 overload
et
ip nat inside source route-map 1 interface Dialer0 overload
??
buffalo73 Salut psyjc,
je ne sais pas si tu as trouvé des réponses à tes questions. Voici mes suggestions:
- 193.253.160.0/32, plus exactement 193.253.160.3 est l'adresse du server d'accès (DSLAM Wanadoo).
- concernant ACL 1, avec mon routeur les deux marchent. C'est peut être la version d'IOS du tient qui est plus restrictive.
azubal voila, j'ai terminé ma config pour wanadoo! elle est clean!
il reste cependant encore quelques points a elucider tel que :
- Pourquoi mon acl 1 (associé a mon nat) empeche l'acces telnet et http au routeur depuis l'exterieur alors que si je remplace par access-list 1 permit 192.168.0.0 0.0.0.255 j'y ai bien acces!
 
- Pourquoi quand je fais un show ip route, j'ai :

Gateway of last resort is 0.0.0.0 to network 0.0.0.0
 
     82.0.0.0/32 is subnetted, 1 subnets
C       82.120.102.131 is directly connected, Dialer0
     193.253.160.0/32 is subnetted, 1 subnets
C       193.253.160.3 is directly connected, Dialer0
C    192.168.0.0/24 is directly connected, FastEthernet0
S*   0.0.0.0/0 is directly connected, Dialer0


=> 192.168.0.0/24 : ok c'est mon reseau local
=> 82.0.0.0/24 : ok c'est mon WAN
=> 193.253.160.0/32 : cest quoi ca ?  :??:  
 
alors qu'un sh ip int brief retourne ca :

Interface                  IP-Address      OK? Method Status                Protocol
ATM0                       unassigned      YES manual up                    up
BRI0                       unassigned      YES unset  administratively down down
BRI0:1                     unassigned      YES unset  administratively down down
BRI0:2                     unassigned      YES unset  administratively down down
Dialer0                    82.120.102.131  YES IPCP   up                    up
FastEthernet0              192.168.0.4     YES manual up                    up
Virtual-Access1            unassigned      YES unset  up                    up
Virtual-Access2            unassigned      YES unset  up                    up


 
bref, voici ma config reduite a son strict minimum (avec serveur dns) :  

service password-encryption
no service config
 
hostname Psykokwak
 
clock timezone CEST 1
 
interface ATM0
 no shutdown
 no ip address
 dsl operating-mode auto  
 !
 pvc 8/35  
  oam-pvc manage
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
 
interface FastEthernet0
 no shutdown
 ip address 192.168.0.4 255.255.255.0
 ip nat inside
 
 
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 dialer pool 1
 ppp chap hostname fti/6h677f9@fti
 ppp chap password 7 011505259E1C081D
 ppp ipcp dns request
 no shutdown
!
 
ip route 0.0.0.0 0.0.0.0 Dialer0
 
ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit any
azubal il connais pas "extendable" :( je suis bien embetté là :/
 
edit : en faite le probleme venait de mon serveur! je lui avait mal renseigné l'ip gateway... [:alex_]
azubal extendable ?
je connaissais pas!
j'essairai ca se soir.
merci :)
kill9 ip nat inside source list 1 interface Dialer0 overload
 
ip nat inside source static tcp 192.168.0.10 80 interface Dialer0 80 extendable
 
access-list 1 permit any
azubal je dis que mon dialer est ma pate exterieur!
 


.           +-----------------+
.           |     routeur     |
.           |                 |
.    LAN----|>F0 - -NAT- - D0<|----WAN (ADSL)
. interieur |                 | exterieur
.           +-----------------+
.
. interieur : ip nat inside
. exterieur : ip nat outside


kill9 Pourquoi as tu mis ton interface Dialer0 en outside ?
C'est bien pour le traffic entrant non ?
azubal Ca cest fait (cf: config au dessus)
Ca fonctionne bien: le traffic sortant est bien translaté sur la pate exterieure et vice versa! (j'ai internet et tout)
Mon probleme est sur le traffic entrant en faite.
dire "tout ce qui arrive sur la pate Dialer 0 sur le port 80 doit etre translaté vers 192.168.0.10 sur le port 80"
kill9 Je crois que tu dois definir une access-list puis etablir une translation dynamique des adresses source de ta liste d'acces
 
ip nat inside source list 1 interface Dialer0 overload
azubal jai un soucis :
je n'arrive a faire aucune translation de port entrante!
pour mon serveur web par exemple ( ip : 192.168.0.10 port : 80 )
 
si je fais :  

Code :
  1. ip nat inside source static tcp 192.168.0.10 80 interface Dialer0 80


 
ca ne marche pas  :??:

azubal vous inquietez pas pour les password, ils ont tous eté modifié ;)
 
pour la commande "ip dns server" elle existe (puis ce qu'elle y est dans ma conf) par contre, jai changer l'ios du routeur! et comme je ne veux pas utiliser le routeur comme serveur dhcp (donc forwarder les parametres dns) il faut obligatoirement monter le routeur en serveur dns!
 
pour l'acl, merci, j'avais fais ca en speed, je vais peaufiner tout ca!
 
pour le bandwith, cest bien ce que je me disais, il faut la supprimer!
 
 
jaimerai savoir la signification de plusieurs lignes :
- no atm ilmi-keepalive  
- hold-queue 224 in
- pvc 0/16 ilmi
 
 
je me demande si le  dialer-group 1 ( dialer-list 1 protocol ip permit ) est vraiment utile! et a quoi sert il!
Tiramissu75 Vire le mot de passe crypté de ta conf....
trop facile à déchiffré....
buffalo73 Bonjour,
tu n'es pas le seul à configurer un 1721 pour connecter à Wanadoo en ADSL, mais tu es le seul à avoir tel login/mot de pass :-)
Sinon, tu peux virer la ligne qui indique le bandwith. C'est même mieux de faire ainsi: le routeur détectera la bande passante maximale automatiquement.
Tu peux par ailleurs préciser les adresses à translater dans  l'ACL comme suivant:
"access-list 1 permit 192.168.0.0 0.0.0.255"
Pour ce qui concerne la commande "ip dns server", je ne pense pas qu'elle existe. Cherche plutôt dans les commandes "ip domain..." comme tu n'as pas DHCP activé sur l'interface LAN. Si je ne me trompe pas, une fois DHCP activé, il y a des commandes pour dire au routeur de forwarder les paramètres de domaine aux postes client.
azubal c'est bon, jai reussi a me debrouiller en faite :)
 
il ne me reste plus que des details a configurer (dhcp,vpdn,snmp...)
 
je poste ma config, car je suis sur que je ne suis pas le seul a essayer de connecter un 1721 avec wic adsl sur wanadoo.

Code :
  1. version 12.3
  2. service timestamps debug datetime msec
  3. service timestamps log datetime msec
  4. service password-encryption
  5. !
  6. hostname Psykokwak
  7. !
  8. boot-start-marker
  9. boot-end-marker
  10. !
  11. enable secret 5 $1$8Dun$8KhwIi8io6ax3IvEWGQnD/
  12. !
  13. memory-size iomem 25
  14. clock timezone CEST 1
  15. mmi polling-interval 60
  16. no mmi auto-configure
  17. no mmi pvc
  18. mmi snmp-timeout 180
  19. no aaa new-model
  20. ip subnet-zero
  21. !
  22. !
  23. ip cef
  24. ip ids po max-events 100
  25. no ftp-server write-enable
  26. !
  27. !
  28. !
  29. interface ATM0
  30. !//je ne sais pas si je dois virer cette ligne ou non!elle limite ma bande passante a 1024kbits ?
  31. bandwidth 1024
  32. no ip address
  33. no atm ilmi-keepalive
  34. bundle-enable
  35. dsl operating-mode auto
  36. hold-queue 224 in
  37. pvc 0/16 ilmi
  38. !
  39. pvc 8/35
  40.   oam-pvc manage
  41.   encapsulation aal5mux ppp dialer
  42.   dialer pool-member 1
  43. !
  44. !
  45. interface ATM0.1 point-to-point
  46. !
  47. ! // cette interface on s'en cogne
  48. interface BRI0
  49. no ip address
  50. shutdown
  51. !
  52. interface FastEthernet0
  53. ip address 192.168.0.4 255.255.255.0
  54. ip nat inside
  55. ip virtual-reassembly
  56. speed auto
  57. !
  58. interface Dialer0
  59. ip address negotiated
  60. ip mtu 1492
  61. ip nat outside
  62. ip virtual-reassembly
  63. encapsulation ppp
  64. dialer pool 1
  65. dialer-group 1
  66. ppp chap hostname fti/6h6985g@fti
  67. ppp chap password 7 011AC5654E1C041D
  68. ppp ipcp dns request
  69. !
  70. ip classless
  71. ip route 0.0.0.0 0.0.0.0 Dialer0
  72. ip http server
  73. no ip http secure-server
  74. ip nat inside source list 1 interface Dialer0 overload
  75. !
  76. !// cette ligne permet de faire du routeur un serveur dns pour, mais elle n'est pas dispo sur tous les IOS! le serveur dns est accessible pour le lan et pour le wan!!
  77. ip dns server
  78. !
  79. !
  80. access-list 1 permit any
  81. dialer-list 1 protocol ip permit
  82. !
  83. !
  84. control-plane
  85. !
  86. !
  87. line con 0
  88. line aux 0
  89. line vty 0 4
  90. password 7 151908065720282A2B
  91. login
  92. !
  93. end


 
il faut probablement l'optimiser un peu, mais je ne connais pas toutes les commendes alors j'avance lentement :(
kill9 as tu cette interface :
WIC-1ADSL
azubal apres avoir cherché sur un peut tous les sites cisco, je m'en remet a vous.
je voudrai configurer mon 1721 pour wanadoo!
j'ai trouvé plusieurs config sur le net, certaines marchent, d'autres non!
le probleme cest que je ne comprends pas la moitier des commandes!
 
j'en demande peut etre beaucoup mais est ce que quelqu'un aurai la config minimaliste commenté pour se connecter ?  :sarcastic:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)