Configurar Bridge em router Cisco SOHO 96

[Pedro Ferreira]

Boas pessoal.

estou com dificuldades em fazer aqui uma coisa e necessito da vossa ajuda. passo a explicar.
tenho um router Cisco SOHO 96 a receber o IP do ISP.adquiri uma Symantec Gateway Security 320, appliance, para fazer o serviço de firewall, gateway e VPN. para poder fazer isto, tenho de fazer uma bridge, para o router "entregar" o IP da internet à SGW320. a minha duvida esta em como fazer isto, pois não me parece nada facil.

 

[Exup]

Oi.

Como está ligada a apliance ao router? à parte de switch do Cisco?
Supostamente ligarias uma das portas switch do Cisco à Wan da Apliance (caso tenha)
Deste modo não seria necessário configurares mais nada no Cisco.
Apenas terias que configurar na apliance da Symantec que a gateway de saída seria o IP do Cisco.
É na apliance que são ligados os clientes não é?
No Cisco apenas convem configurar o DHCP para crie uma excepção num IP (o que queres para a Apliance), ou desligando o DHCP e na Apliance criares o DHCP (de rede diferente) para os clientes que a ela se ligarem.


Cumps.

 

[Pedro Ferreira]

essa e a forma correcta de funcionamento da apliance, n tem dificuldade. o problema e que eu kero criar uma VPN, VPN essa controlada pela gateway pois o router n tem essa função disponivel. para aceder a partir da internet a rede interna, a gateway tem de responder pelo pedido de VPN, ficando o router apenas com a funçao de modem. dai kerer o router a "deixar passar" o ip para a gateway

 

[Exup]

Diz-me uma coisa: Os pc's clientes estão ligados directamente à apliance e não ao CISCO, correcto?
Já abriste as portas 1723TCP, 500UDP no Cisco?

Depois disso e, caso a apliance esteja numa rede diferente (presumo que esteja) terás que criar uma rota estática para a apliance.
O problema é o interface a usar na static route...no teu caso não sei se as portas switch podem ser usadas como interface de saida... do género: ip route 172.16.0.0 255.255.255.0 192.168.150.1 em que o "192.168.150.1" seria o ip da porta de saída para a apliance...
Não se nesse router se configura pelo IP da porta (não sei se é possivel) ou pelo estilo de portas (nesse caso Fast-ethernet)

Vai dando notícias.

Cumps.

 

[_jr]

Bridge..

posta o "sh run" sff.

Tiras as passwords antes..

 

[Pedro Ferreira]

viva.

de facto lembrei-me doutra opçao que salvo erro, foi essa que referiste Exup. abrir as portas utilizadas pelo serviço VPN no Cisco para a apliance. no entanto reparei ainda noutra coisa, tenho a hipotese de definir no Cisco um servidor (só de serviços entenda-se) por defeito e direcionar todo o pedido de serviços a partir da WAN para essa maquina. vou testar isto para ver se funciona. dps mantenho informado.

_jr, mais tarde coloco o "sh run" aqui.

 

[Exup]

Tenta só abrir primeiro as portas....
Diz depois os resultados..tenho alguma curiosidade em saber como fica tudo depois a funcionar...

Cumps.

 

[_jr]

Tenta só abrir primeiro as portas....
Diz depois os resultados..tenho alguma curiosidade em saber como fica tudo depois a funcionar...

Cumps.

Se não sabes qual o tipo de VPN como podes pensar nas portas? :-)

A porta UDP 500 é usada para tráfego IPSEC, nomeadamente key-exchange via IKE/ISAKMP. A porta 1723 é para tunneling PPTP (e não usa o UDP 500 do IKE) para tal ainda leva com outras configuracões como tb permitir GRE(47) se for realmente PPTP. Se for IPSEC puro vais ter que abri ESP(50) e AH(51) mas com atenção ao NAT, por isso é importante ver o sh run...se o Cisco estiver a fazer NAT precisara abrir porvavelmente a porta UDP 4500 (NAT-Traversal), mas so vai funcionar se os peers suportarem NAT-T. Se for L2TP over IPSec leva com outras...depende tudo do cenario...mete o "sh run", diz quais são os end-peers e logo se vê...

 

[Exup]

Se não sabes qual o tipo de VPN como podes pensar nas portas? :-)

A porta UDP 500 é usada para tráfego IPSEC, nomeadamente key-exchange via IKE/ISAKMP. A porta 1723 é para tunneling PPTP (e não usa o UDP 500 do IKE) para tal ainda leva com outras configuracões como tb permitir GRE(47) se for realmente PPTP. Se for IPSEC puro vais ter que abri ESP(50) e AH(51) mas com atenção ao NAT, por isso é importante ver o sh run...se o Cisco estiver a fazer NAT precisara abrir porvavelmente a porta UDP 4500 (NAT-Traversal), mas so vai funcionar se os peers suportarem NAT-T. Se for L2TP over IPSec leva com outras...depende tudo do cenario...mete o "sh run", diz quais são os end-peers e logo se vê...

Por defeito, as apliances (e não só) vem pré-configuradas por defeito com PPTP e por si só tb está a permitir IP 47(GRE).
Em relação às chaves de autenticação, ele apenas precisa para o flow do trafego a porta UDP 500.
Se o Cisco não tem VPN, ele irá permitir de inicio IP 51 e IP 50 para o Authentication Header traffic e para a encapsulated data.

Acho que a ideia era ajudar e não começar com testamentos de sabedorias.
Por algum lado o "rapaz" tinha de começar...não?

Boa sorte para ambos.

Cumps.

 

[Pedro Ferreira]

tao aqui vai o show run. faltam algumas linhas propositadamente. a apliance estava a funcionar correctamente num cliente, e funciona correctamente, keremos e configurar uma VPN, dai este pedido.



Building configuration...

Current configuration : 3281 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ****
!
no logging buffered
!
ip subnet-zero
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip urlfilter alert
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.1.200-255.255.0.0
ip address 192.168.1.200 255.255.0.0 secondary
ip address 172.18.20.1 255.255.0.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface BRI0
no ip address
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 0/35
pppoe-client dial-pool-number 1
!
dsl operating-mode etsi
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 102 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

as portas dadas pelo exup sao as mesmas dadas pela apliance por isso estao correctas. no CRWS quando tentei direcionar todo o trafego para um servidor na rede, n me faz nada. carrego no apply e chapeu, nem grava configuraçao, nem da erro, nada....

 

[_jr]

a VPN é PPTP ou IPSEC? Os clientes vão aceder a VPN por fora correcto?

Se for PPTP falta-te somente o port-forwarding, mete:

ip nat inside source static tcp xx.xx.xx.xx 1723 interface dialer1 1723

onde xx.xx.xx.xx é o IP da gateway da VPN na rede interna.

podes tirar:
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any

PPTP não usa IKE nem ESP(ou AH).

 

[_jr]

Por defeito, as apliances (e não só) vem pré-configuradas por defeito com PPTP e por si só tb está a permitir IP 47(GRE).

Estamos a falar das configurações do Cisco e neste caso é necessário abrir o GRE.

Em relação às chaves de autenticação, ele apenas precisa para o flow do trafego a porta UDP 500.

UDP 500 somente se a VPN for IPSec, se for PPTP não leva.

Se o Cisco não tem VPN, ele irá permitir de inicio IP 51 e IP 50 para o Authentication Header traffic e para a encapsulated data.

Por defeito uma ACL no cisco faz um 'deny' a tudo no fim e não um 'permit'. É mesmo necessário abrir os portos/protocolos. O cenario entranto requer NAT-T caso a VPN seja IPSec, ou seja, ao fim e ao cabo, se for IPSec o que abre é somente UDP 4500.

Acho que a ideia era ajudar e não começar com testamentos de sabedorias.
Por algum lado o "rapaz" tinha de começar...não?

Desculpa lá se fui mal interpretado, se calhar montei mal a frase ou não devia ter feito o comentário. Não quero de forma alguma criar flames mas sim discutir saudavelmente.

 

[Pedro Ferreira]

_jr, mt obrigado pela resposta e tb pelo esclarecimento, que de IOS não percebo, ainda acredito que funcione, mas a soluçao que eu preferia era a de fazer o bridging entre a wan e a gateway, ou seja, por o router a encarregar-se apenas da ligação para o exterior, entregando o ip da wan a gateway. sei que existe forma de por isto a funcionar, n sei e como....

 

[Pedro Ferreira]

alguem tem ideia de como consigo implementar a bridge?

por acaso num dos testes surgiu uma coisa curiosa: desliguei a PAT e deixei de conseguir aceder a net. a PAT no SOHO96 faz tb de NAT? acho que isto n faz sentido pq sao coisas diferentes mas podera ser?

 

[_jr]

NAT x PAT

É tudo NAT, a diferença é:

NAT= pode ser dinamico ou statico mas irá sempre existir, em um determinado momento, um (e somente um) IP local associado a outro IP externo (global)

PAT= É o NAT mas many-to-one. Varios IPs internos para um IP externo. Usa-se o nome PAT (Port Address Translation) pq o NAT passa a usar não o source IP mas os source-ports para diferenciar o tráfego entre hosts.