BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

No me acepta IP STATIC WAN un CISCO 1811

BocaDePez
BocaDePez

Hola gente,

Tengo un CISCO 1811 a la cual en uno de sus 2 WAN le he conectado un MODEM ADSL de TELEFONICA.

Si al CISCO (mediante SDM Express) le digo que en el WAN 1 tengo una conexión DHCP, entonces me detecta la IP de TELEFONICA y puedo navegar.
Si le digo que es una IP ESTATICA (ya que tengo IP FIJA) entonces no navega, no responde.

No existen parametros de configuración adicionales. Si pongo DHCP pues todo automatico, si pongo IP STATIC entonces me pide tambien la SUBNET, que es 255.255.255.0.

Que puede estar ocurriendo? porque no funciona con IP FIJA y si con DHCP?

JoeDalton

Si usas un interface con una ip estática tendrás que agregar una ruta 0.0.0.0 mask 0.0.0.0 gateway x.x.x.x donde x.x.x.x será la ip del modem adsl de telefónica.
Si no le dices cual es la puerta de enlace no vas a navegar, por dhcp se la asigna automáticamente.

🗨️ 11
BocaDePez
BocaDePez

El tema es que utilizo el asistente SDM, es decir, mediante la web de configuración del router, ya que de comandos no tengo ni idea.

He visto que las ruta que dices ya la ha creado en la config, o eso creo.

En la web sólo pide: IP y MÁSCARA.

🗨️ 10
JoeDalton

por telnet sería

telnet ip_del_router
enable
conf t
ip route 0.0.0.0 0.0.0.0 ip_router_telefonica

🗨️ 9
BocaDePez
BocaDePez

Eso ya lo ha puesto el asistente web automáticamente.
Exactamente: ip route 0.0.0.0 0.0.0.0 FastEthernet1

Supongo que de ese modo, al cambiar la IP del FE1 no tengo que estar cambiando la ruta.

🗨️ 8
JoeDalton
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
JoeDalton
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
JoeDalton
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
JoeDalton
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

La configuración es esta:

no ip source-route

 !

 ip cef

 !

 no ip bootp server

 ip name-server 194.179.1.100

 ip name-server 194.179.1.101

 !

 class-map type inspect match-any sdm-cls-insp-traffic

 match protocol cuseeme

 match protocol dns

 match protocol ftp

 match protocol h323

 match protocol https

 match protocol icmp

 match protocol imap

 match protocol pop3

 match protocol netshow

 match protocol shell

 match protocol realmedia

 match protocol rtsp

 match protocol smtp extended

 match protocol sql-net

 match protocol streamworks

 match protocol tftp

 match protocol vdolive

 match protocol tcp

 match protocol udp

 class-map type inspect match-all sdm-insp-traffic

 match class-map sdm-cls-insp-traffic

 class-map type inspect match-any icmp

 match protocol icmp

 class-map type inspect match-any sdm-cls-icmp-access

 match protocol icmp

 match protocol tcp

 match protocol udp

 class-map type inspect match-all sdm-invalid-src

 match access-group 100

 class-map type inspect match-all sdm-icmp-access

 match class-map sdm-cls-icmp-access

 class-map type inspect match-all sdm-protocol-http

 match protocol http

 !

 policy-map type inspect sdm-permit-icmpreply

 class type inspect sdm-icmp-access

 inspect

 class class-default

 pass

 policy-map type inspect sdm-inspect

 class type inspect sdm-invalid-src

 drop log

 class type inspect sdm-insp-traffic

 inspect

 class type inspect sdm-protocol-http

 inspect

 class class-default

 policy-map type inspect sdm-permit

 class type inspect icmp

 inspect

 class class-default

 !

 zone security out-zone

 zone security out-zone

 zone security in-zone

 zone-pair security sdm-zp-self-out source self destination out-zone

 service-policy type inspect sdm-permit-icmpreply

 zone-pair security sdm-zp-out-self source out-zone destination self

 service-policy type inspect sdm-permit

 zone-pair security sdm-zp-in-out source in-zone destination out-zone

 service-policy type inspect sdm-inspect

 !

 interface FastEthernet0

 description $FW_OUTSIDE$

 no ip address

 no ip redirects

 no ip unreachables

 no ip proxy-arp

 zone-member security out-zone

 ip route-cache flow

 shutdown

 duplex auto

 speed auto

 !

 interface FastEthernet1

 description $ETH-WAN$

 ip address 80.111.111.111 255.255.255.0

 no ip redirects

 no ip unreachables

 no ip proxy-arp

 ip flow ingress

 ip flow egress

 ip route-cache flow

 duplex auto

 speed auto

 !

 interface BRI0

 no ip address

 no ip redirects

 no ip unreachables

 no ip proxy-arp

 encapsulation hdlc

 ip route-cache flow

 shutdown

 !

 interface Vlan1

 description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$

 ip address 192.168.0.1 255.255.255.0

 no ip redirects

 no ip unreachables

 no ip proxy-arp

 ip nat inside

 ip virtual-reassembly

 zone-member security in-zone

 ip route-cache flow

 !

 ip route 0.0.0.0 0.0.0.0 FastEthernet1

 !

 ip http server

 ip http access-class 23

 ip http access-class 23

 ip http authentication local

 ip http secure-server

 ip http timeout-policy idle 60 life 86400 requests 10000

 ip nat inside source list 1 interface FastEthernet1 overload

 !

 no cdp run

 !

 control-plane

 !
🗨️ 6
JoeDalton

tienes que añadir lo siguiente:

telnet ip_router_cisco

 enable

 conf t

 ip route 0.0.0.0 0.0.0.0 80.111.111.1

 exit

 wri mem

 quit
🗨️ 5
BocaDePez
BocaDePez

Genial. Ahora si funciona.

Lo que veo ahora es que si hago un ping, solo funcionan el 50% de los paquetes. Matematicamente: ping llega, ping timeout, ping llega, ping timeout...

Seguiré haciendo pruebas sabiendo que por lo menos ahora tiene trafico a Internet.

Muchas gracias.

🗨️ 4
JoeDalton

De todas formas comprueba los valores de las máscaras de red y demás con los que da el ISP.

Saludos.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
JoeDalton
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Retomo el tema porque creo que algo estoy haciendo mal y no logro entenderlo.

He puesto dos rutas estaticas para que funcionen las 2 WAN de las 2 ADSL:

ip route 0.0.0.0 0.0.0.0 ip_router_1
ip route 0.0.0.0 0.0.0.0 ip_router_2

De ese modo, desde el exterior tanto ip_router_1 como ip_router_2 responden. No se si esta bien hecho así.

Ahora bien, me ocurre una cosa curiosa que no veo la logica.

Si tengo un servidor web (192.168.0.5, puerto 80) y quiero que funcione tanto desde la ip_router_1 como desde ip_router_2 lo que hago es:

ip nat inside source static tcp 192.168.0.5 80 interface FastEthernet0 80

ip nat inside source static tcp 192.168.0.5 80 interface FastEthernet1 80

Pues bien, lo que me hace el segundo comando es actualizar el primero, es decir, que solo puedo poner un NAT por IP/PUERTO. Si ejecuto en segundo lugar el Fastethernet0 entonces el que escucha es a traves del 0, si hago despues el 1 pues el 0 deja de funcioanr y escucha desde el 1.
Realmente en la configuracion ni se almacena.

No veo que puede ser, no tiene logica, o si?

Gracias por adelantado.

🗨️ 15
BocaDePez
BocaDePez

Buenas!, queria saber si alguien pudo solucionar la publicacion de un servidor web.

Es decir el esquema seria el siguiente:

INTERNET====> CISCO1811-----> ISA SERVER -----> Web Server

Como deberia hacer para poder entrar desde internet a la pagina de mi servidor web???... en el isa server ya lo tengo publicado.

Muchas gracias!

Slds

🗨️ 10
JoeDalton

Depende de la configuración que tengas, quien haga NAT, como esté configurado el cisco, el isa server... etc...

🗨️ 9
BocaDePez
BocaDePez

huy! parece ser mas complicado de lo qe me imagine segun me decis joe!

a ver.... inicialmente antes de tener el cisco1811, yo tenia el isa server conectado directamente a internet (al modem de telefonica). Entonces si podia entrar desde afuera a la pagina web de mi web server.

Ahora que puse el router cisco1811 puedo salir a internet, pero no puedo ingresar a mi pagina desde afuera.

Si me preguntas quien hace el NAT? por defecto el NAT en el router me configuro las dos ethernet externas como nat "outside" y la ethernet inerna (vlan) como nat "inside".

mas alla de eso no tengo ninguna otra configuracion de NAT.

Alguna ojecion, insulto, critica, consejo, que me puedas recomendar???? jajaj

Muchas gracias desde Ya!!!

Slds

🗨️ 8
JoeDalton
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
JoeDalton
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
JoeDalton
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Hola veo que tienes un pequeño lio...

no puedes poner en un mismo router, dos salidas por defecto:

ip route 0.0.0.0 0.0.0.0 ip_router_1
ip route 0.0.0.0 0.0.0.0 ip_router_2

¿cual es por defecto la 1 o la 2? no lo sabe y se raya .

ademas eso que quieres hacer no se puede con el 1811 , una wan es la buena y la otra es la de backup.

si quieres usar las 2 wan tienes que decidir que quieres que valla por una o por la otra.

ejem: wan1 -->servidor web y navegar

wan2---> conexiones vpn

esto es la unica manera que tiene este router de balancear la carga con las 2 wan

Espero que te sirva de ayuda.

un saludo. Tasio

🗨️ 3
BocaDePez
BocaDePez

Buenas Gente! necesito configurar el router para poder conectarme por la VPN de mi ISA Server 2004.

El router lo tengo configurado para FAILOVER Y LOAD BALANCING.... tengo nateados los puertos 80 para http y los puertos 1723 tcp -1701 udp para la vpn. Resulta que cuando me conecto desde afuera de mi LAN se queda en "comprobando nombre de usuario y contraseña" y al cabo de un rato tira el timeout de que el servidor no ha respondido.

El esquema seria el siguiente:

VPN Client ----> INTERNET ====> CISCO1811===> ISA SERVER 2004

Bueno espero haber sido claro.... Muchas gracias!!!!

Slds

🗨️ 2
BocaDePez
BocaDePez

Y esta, momentaneamente lo solucione configurando el router como server VPN entonces primero me conecto con el cliente VPN de cisco y luego levanto la conexion VPN de windows.....

Slds

🗨️ 1
BocaDePez
BocaDePez
-1