1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Configurar Bridge em router Cisco SOHO 96

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Pedro Ferreira, 7 de Novembro de 2005. (Respostas: 14; Visualizações: 2466)

  1. Boas pessoal.

    estou com dificuldades em fazer aqui uma coisa e necessito da vossa ajuda. passo a explicar.
    tenho um router Cisco SOHO 96 a receber o IP do ISP.adquiri uma Symantec Gateway Security 320, appliance, para fazer o serviço de firewall, gateway e VPN. para poder fazer isto, tenho de fazer uma bridge, para o router "entregar" o IP da internet à SGW320. a minha duvida esta em como fazer isto, pois não me parece nada facil.
     
  2. Exup

    Exup Power Member

    Oi.

    Como está ligada a apliance ao router? à parte de switch do Cisco?
    Supostamente ligarias uma das portas switch do Cisco à Wan da Apliance (caso tenha)
    Deste modo não seria necessário configurares mais nada no Cisco.
    Apenas terias que configurar na apliance da Symantec que a gateway de saída seria o IP do Cisco.
    É na apliance que são ligados os clientes não é?
    No Cisco apenas convem configurar o DHCP para crie uma excepção num IP (o que queres para a Apliance), ou desligando o DHCP e na Apliance criares o DHCP (de rede diferente) para os clientes que a ela se ligarem.


    Cumps.
     
    Última edição: 7 de Novembro de 2005
  3. essa e a forma correcta de funcionamento da apliance, n tem dificuldade. o problema e que eu kero criar uma VPN, VPN essa controlada pela gateway pois o router n tem essa função disponivel. para aceder a partir da internet a rede interna, a gateway tem de responder pelo pedido de VPN, ficando o router apenas com a funçao de modem. dai kerer o router a "deixar passar" o ip para a gateway
     
  4. Exup

    Exup Power Member

    Diz-me uma coisa: Os pc's clientes estão ligados directamente à apliance e não ao CISCO, correcto?
    Já abriste as portas 1723TCP, 500UDP no Cisco?

    Depois disso e, caso a apliance esteja numa rede diferente (presumo que esteja) terás que criar uma rota estática para a apliance.
    O problema é o interface a usar na static route...no teu caso não sei se as portas switch podem ser usadas como interface de saida... do género: ip route 172.16.0.0 255.255.255.0 192.168.150.1 em que o "192.168.150.1" seria o ip da porta de saída para a apliance...
    Não se nesse router se configura pelo IP da porta (não sei se é possivel) ou pelo estilo de portas (nesse caso Fast-ethernet)

    Vai dando notícias.

    Cumps.
     
  5. _jr

    _jr Power Member

    Bridge..

    posta o "sh run" sff.

    Tiras as passwords antes..
     
  6. viva.

    de facto lembrei-me doutra opçao que salvo erro, foi essa que referiste Exup. abrir as portas utilizadas pelo serviço VPN no Cisco para a apliance. no entanto reparei ainda noutra coisa, tenho a hipotese de definir no Cisco um servidor (só de serviços entenda-se) por defeito e direcionar todo o pedido de serviços a partir da WAN para essa maquina. vou testar isto para ver se funciona. dps mantenho informado.

    _jr, mais tarde coloco o "sh run" aqui.
     
  7. Exup

    Exup Power Member

    Tenta só abrir primeiro as portas....
    Diz depois os resultados..tenho alguma curiosidade em saber como fica tudo depois a funcionar...

    Cumps.
     
  8. _jr

    _jr Power Member

    Se não sabes qual o tipo de VPN como podes pensar nas portas? :-)

    A porta UDP 500 é usada para tráfego IPSEC, nomeadamente key-exchange via IKE/ISAKMP. A porta 1723 é para tunneling PPTP (e não usa o UDP 500 do IKE) para tal ainda leva com outras configuracões como tb permitir GRE(47) se for realmente PPTP. Se for IPSEC puro vais ter que abri ESP(50) e AH(51) mas com atenção ao NAT, por isso é importante ver o sh run...se o Cisco estiver a fazer NAT precisara abrir porvavelmente a porta UDP 4500 (NAT-Traversal), mas so vai funcionar se os peers suportarem NAT-T. Se for L2TP over IPSec leva com outras...depende tudo do cenario...mete o "sh run", diz quais são os end-peers e logo se vê...
     
  9. Exup

    Exup Power Member

    Por defeito, as apliances (e não só) vem pré-configuradas por defeito com PPTP e por si só tb está a permitir IP 47(GRE).
    Em relação às chaves de autenticação, ele apenas precisa para o flow do trafego a porta UDP 500.
    Se o Cisco não tem VPN, ele irá permitir de inicio IP 51 e IP 50 para o Authentication Header traffic e para a encapsulated data.

    Acho que a ideia era ajudar e não começar com testamentos de sabedorias.
    Por algum lado o "rapaz" tinha de começar...não?

    Boa sorte para ambos.

    Cumps.
     
  10. tao aqui vai o show run. faltam algumas linhas propositadamente. a apliance estava a funcionar correctamente num cliente, e funciona correctamente, keremos e configurar uma VPN, dai este pedido.



    Building configuration...

    Current configuration : 3281 bytes
    !
    version 12.2
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname ****
    !
    no logging buffered
    !
    ip subnet-zero
    !
    ip inspect name myfw cuseeme timeout 3600
    ip inspect name myfw ftp timeout 3600
    ip inspect name myfw rcmd timeout 3600
    ip inspect name myfw realaudio timeout 3600
    ip inspect name myfw smtp timeout 3600
    ip inspect name myfw tftp timeout 30
    ip inspect name myfw udp timeout 15
    ip inspect name myfw tcp timeout 3600
    ip inspect name myfw h323 timeout 3600
    ip urlfilter alert
    !
    !
    !
    !
    !
    !
    interface Ethernet0
    description CRWS Generated text. Please do not delete this:192.168.1.200-255.255.0.0
    ip address 192.168.1.200 255.255.0.0 secondary
    ip address 172.18.20.1 255.255.0.0 secondary
    ip address 10.10.10.1 255.255.255.0
    ip nat inside
    ip tcp adjust-mss 1452
    !
    interface BRI0
    no ip address
    !
    interface ATM0
    no ip address
    atm vc-per-vp 64
    no atm ilmi-keepalive
    pvc 0/35
    pppoe-client dial-pool-number 1
    !
    dsl operating-mode etsi
    !
    interface Dialer1
    ip address negotiated
    ip access-group 111 in
    ip mtu 1492
    ip nat outside
    ip inspect myfw out
    encapsulation ppp
    ip tcp adjust-mss 1452
    dialer pool 1
    dialer remote-name redback
    dialer-group 1
    ppp authentication pap chap callin
    !
    ip nat inside source list 102 interface Dialer1 overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 Dialer1
    ip http server
    no ip http secure-server
    !
    access-list 23 permit 192.168.0.0 0.0.255.255
    access-list 102 permit ip 192.168.0.0 0.0.255.255 any
    access-list 111 permit icmp any any administratively-prohibited
    access-list 111 permit icmp any any echo
    access-list 111 permit icmp any any echo-reply
    access-list 111 permit icmp any any packet-too-big
    access-list 111 permit icmp any any time-exceeded
    access-list 111 permit icmp any any unreachable
    access-list 111 permit udp any eq bootps any eq bootpc
    access-list 111 permit udp any eq bootps any eq bootps
    access-list 111 permit udp any eq domain any
    access-list 111 permit esp any any
    access-list 111 permit udp any any eq isakmp
    access-list 111 permit udp any any eq 10000
    access-list 111 permit tcp any any eq 1723
    access-list 111 permit tcp any any eq 139
    access-list 111 permit udp any any eq netbios-ns
    access-list 111 permit udp any any eq netbios-dgm
    access-list 111 permit gre any any
    access-list 111 deny ip any any
    dialer-list 1 protocol ip permit
    !
    line con 0
    exec-timeout 120 0
    no modem enable
    stopbits 1
    line vty 0 4
    access-class 23 in
    exec-timeout 120 0
    login local
    length 0
    !
    scheduler max-task-time 5000
    !
    end


    as portas dadas pelo exup sao as mesmas dadas pela apliance por isso estao correctas. no CRWS quando tentei direcionar todo o trafego para um servidor na rede, n me faz nada. carrego no apply e chapeu, nem grava configuraçao, nem da erro, nada....
     
  11. _jr

    _jr Power Member

    a VPN é PPTP ou IPSEC? Os clientes vão aceder a VPN por fora correcto?

    Se for PPTP falta-te somente o port-forwarding, mete:

    ip nat inside source static tcp xx.xx.xx.xx 1723 interface dialer1 1723

    onde xx.xx.xx.xx é o IP da gateway da VPN na rede interna.

    podes tirar:
    access-list 111 permit udp any any eq isakmp
    access-list 111 permit esp any any

    PPTP não usa IKE nem ESP(ou AH).
     
  12. _jr

    _jr Power Member

    Estamos a falar das configurações do Cisco e neste caso é necessário abrir o GRE.

    UDP 500 somente se a VPN for IPSec, se for PPTP não leva.

    Por defeito uma ACL no cisco faz um 'deny' a tudo no fim e não um 'permit'. É mesmo necessário abrir os portos/protocolos. O cenario entranto requer NAT-T caso a VPN seja IPSec, ou seja, ao fim e ao cabo, se for IPSec o que abre é somente UDP 4500.

    Desculpa lá se fui mal interpretado, se calhar montei mal a frase ou não devia ter feito o comentário. Não quero de forma alguma criar flames mas sim discutir saudavelmente.
     
    Última edição: 9 de Novembro de 2005
  13. _jr, mt obrigado pela resposta e tb pelo esclarecimento, que de IOS não percebo, ainda :) acredito que funcione, mas a soluçao que eu preferia era a de fazer o bridging entre a wan e a gateway, ou seja, por o router a encarregar-se apenas da ligação para o exterior, entregando o ip da wan a gateway. sei que existe forma de por isto a funcionar, n sei e como....
     
  14. alguem tem ideia de como consigo implementar a bridge?

    por acaso num dos testes surgiu uma coisa curiosa: desliguei a PAT e deixei de conseguir aceder a net. a PAT no SOHO96 faz tb de NAT? acho que isto n faz sentido pq sao coisas diferentes mas podera ser?
     
  15. _jr

    _jr Power Member

    NAT x PAT

    É tudo NAT, a diferença é:

    NAT= pode ser dinamico ou statico mas irá sempre existir, em um determinado momento, um (e somente um) IP local associado a outro IP externo (global)

    PAT= É o NAT mas many-to-one. Varios IPs internos para um IP externo. Usa-se o nome PAT (Port Address Translation) pq o NAT passa a usar não o source IP mas os source-ports para diferenciar o tráfego entre hosts.
     

Partilhar esta Página