Cisco SOHO 77

[walter48022]

Quote:

Originariamente inviato da cisketto

sn nuovo del post ma mi permetto di darvi una dritta:

Codice:

ip nat translation max-entries xxxx

come anche consigliato da cisco nn metterlo da solo rogne in molti casi.

Nelle precedenti configurazioni non c'è una benche minima traccia di ACL relative al fitraggio del traffico, alle protezioni per gli attacchi DoS o DDoS e non sono state disabilitate alcune opzioni che i router cisco tengono di default abilitate(non sempre sn scritte nella configurazione) ma che se non servono possono essere sfruttate da un potenziale attakker per fare danni oppure per ricavare informazioni sulla rete stessa.Gli strumenti che l'IOS mette a disposizione sono innumerevoli e sfruttandole a dovere potete ottenere livelli di sicurezza che non vi immaginereste neanche di avere con altri apparati. Se vi interessa si puo approfondire meglio quest'argomento.
Ciau

Anche io confermo, da solo rogne, limita il numero di nat e se hai il mulo aperto che funziona a pieno regime praticamente non riesci navigare, perche' emule utilizza tutti i nat disponibili che imposti nel comando e finisce in coda di attesa... solo impostando un numero elevatissimo di nat si naviga senza problema con emule aperto... arrivando a questo punto direi di non usare proprio questo comando e lasciare il tutto senza limiti... ciao

[dantares]

Quote:

Originariamente inviato da cisketto

sn nuovo del post ma mi permetto di darvi una dritta:

Codice:

ip nat translation max-entries xxxx

come anche consigliato da cisco nn metterlo da solo rogne in molti casi.

Nelle precedenti configurazioni non c'è una benche minima traccia di ACL relative al fitraggio del traffico, alle protezioni per gli attacchi DoS o DDoS e non sono state disabilitate alcune opzioni che i router cisco tengono di default abilitate(non sempre sn scritte nella configurazione) ma che se non servono possono essere sfruttate da un potenziale attakker per fare danni oppure per ricavare informazioni sulla rete stessa.Gli strumenti che l'IOS mette a disposizione sono innumerevoli e sfruttandole a dovere potete ottenere livelli di sicurezza che non vi immaginereste neanche di avere con altri apparati. Se vi interessa si puo approfondire meglio quest'argomento.
Ciau

Concordo, avevo già letto qualke informativa di cisco in merito..
Per le ACL sarebbe davvero gradito un tuo aiuto, come si possono implementare? io sono proprio niubbo in merito

[Tasslehoff]

Quote:

Originariamente inviato da cisketto

Se vi interessa si puo approfondire meglio quest'argomento.
Ciau

Eccomi tornato dalle ferie
A me interessa tantissimo, sto cercando di recuperare gli appunti che presi durante il corso CCNA per postare alcuni dettagli di configurazione che potrebbero essere utili.

[cisketto]

Quote:

Originariamente inviato da Tasslehoff

Eccomi tornato dalle ferie
A me interessa tantissimo, sto cercando di recuperare gli appunti che presi durante il corso CCNA per postare alcuni dettagli di configurazione che potrebbero essere utili.

Se ti va possiam scrivere una guida e la postiamo sul chan

[camino81]

Ciao a tutti, sono un nuovo utente.
Volevo sapere ma è possibile configurare parametri di firewall sul SOHO77 con ip ver: soho70-y1-mz.123-20.bin ?????


Grazie

Camino81

[cisketto]

Spiegati un po meglio.

[agomar]

Buongiorno a tutti, e complimenti per l'interessante e competente forum. Sono nuovo e poco avvezzo all'uso di un router, spero abbiate pazienza.
Ma veniamo al punto:
possiedo un soho 77 ex-Telecom. Seguendo l'esauriente post di greeneye sono riuscito, almeno credo, a rendere operativa la macchina. Non potendo vedere il valore del registro di configurazione originale, l'ho impostato a 0x2102. Tutto e' sembrato filare liscio.
Alche' ho impostato i parametri suggeriti da Tiscali per la connessione, avendo un contratto con loro.
Questa e' la pagina tutorial Tiscali.
Purtroppo l'istruzione
Router (config)#ip route 0.0.0.0 0.0.0.0 dialer 0
non e' stata accettata. Ho comunque completato la configurazione saltando il punto suddetto.
Inutile dire che il router non si connette.
Vorrei sapere se la procedura che ho seguito e' corretta per riportare il soho 77 alla configurazione originale, e eventualmente quale procedura seguire per mettermi in condizione di riconfigurare il soho 77 per la connessione.
Per completezza aggiungo che ho effettuato tutto tramite hiperterminal (con cavo azzurro) e che non ho modo di utilizzare l'utility CRWS. Sapete tra l'altro se e' possibile sapere se l'utility CRWS e' abilitata sul mio Cisco Soho 77?
Confido nella vostra competenza e gentilezza, grazie a chiunque mi rispondera'.

[cisketto]

per aiutarti devi postare la tua attuale configurazione. icolla il risultato di uno sh runn

[smartz]

Quote:

Originariamente inviato da agomar

Buongiorno a tutti, e complimenti per l'interessante e competente forum. Sono nuovo e poco avvezzo all'uso di un router, spero abbiate pazienza.
Ma veniamo al punto:
possiedo un soho 77 ex-Telecom. Seguendo l'esauriente post di greeneye sono riuscito, almeno credo, a rendere operativa la macchina. Non potendo vedere il valore del registro di configurazione originale, l'ho impostato a 0x2102. Tutto e' sembrato filare liscio.
Alche' ho impostato i parametri suggeriti da Tiscali per la connessione, avendo un contratto con loro.
Questa e' la pagina tutorial Tiscali.
Purtroppo l'istruzione
Router (config)#ip route 0.0.0.0 0.0.0.0 dialer 0
non e' stata accettata. Ho comunque completato la configurazione saltando il punto suddetto.
Inutile dire che il router non si connette.
Vorrei sapere se la procedura che ho seguito e' corretta per riportare il soho 77 alla configurazione originale, e eventualmente quale procedura seguire per mettermi in condizione di riconfigurare il soho 77 per la connessione.
Per completezza aggiungo che ho effettuato tutto tramite hiperterminal (con cavo azzurro) e che non ho modo di utilizzare l'utility CRWS. Sapete tra l'altro se e' possibile sapere se l'utility CRWS e' abilitata sul mio Cisco Soho 77?
Confido nella vostra competenza e gentilezza, grazie a chiunque mi rispondera'.

hi!

nel mio post del 22-02-2006, 21:05 trovi qualche dritta per resettare la conf... una volta settato il confreg a 0x2142 (come descritto) riavvi, dici no al wizard e immetti la tua conf. una volta finito salvi (copy running-config startup-config) e rimetti il confreg a 0x2102.

anch'io ho tiscali, eccoti la mia:

Codice:

Current configuration : 1965 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw
!
boot-start-marker
boot-end-marker
!
enable secret PASSWORD
!
clock timezone CET 1
clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
ip name-server 213.205.32.70
ip name-server 213.205.36.70
ip dhcp excluded-address 192.168.1.1 192.168.1.200
!
ip dhcp pool my_net
   network 192.168.1.0 255.255.255.0
   dns-server 213.205.32.70 213.205.36.70
   default-router 192.168.1.1
!
ip dhcp-server 192.168.1.1
!
!
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 ppp chap hostname USERNAME@tiscali.it
 ppp chap password PASSWORD_TISCALI
 ppp pap sent-username USERNAME@tiscali.it password PASSWORD_TISCALI
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!
line con 0
 stopbits 1
line vty 0 4
 access-class 1 in
 password PASSWORD
 login
!
scheduler max-task-time 5000
end

[smartz]

dimenticavo... un errorino in cui cado sempre.

le interfaccie di rete sui cisco per default sono a down

Codice:

gw>show ip int brief

quindi devi ricordarti di metterle tutte ad up

Codice:

enable -> conf t 
-> interface eth 0 -> no shutdown -> exit
-> interface atm 0 -> no shutdown -> exit
-> interface dialer 0 -> no shutdown -> exit
-> exit

ricordati di salvarla altrimenti quando riavvi......

[smartz]

per il CRWS, personalmente non l'ho mai usato. ritengo piu istruttivo usare i comandi ios

[agomar]

Bhe siete veramente velocissimi a rispondere!
La configurazione di Tiscali l'ha digerita tutta, dopo che gli ho fatto il trattamento che mi hai consigliato, Smartz.

Purtroppo non c'e' ancora la connessione.... e non so perche'!

Ecco un quadro della situazione:

------------------------------------
Configuration register is 0x2102
------------------------------------

Current configuration : 1109 bytes
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
logging rate-limit console 10 except errors
enable secret PASSWORD
!
ip subnet-zero
no ip finger
!
no ip dhcp-client network-discovery
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname USERNAME@tiscali.it
ppp chap password PASSWORD
ppp pap sent-username USERNAME@tiscali.it password PASSWORD
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit 192.168.1.0 0.0.0.255
!
line con 0
transport input none
stopbits 1
line vty 0 4
password PASSWORD
login
!
scheduler max-task-time 5000
end
--------------------------------------------------------

Router#show ip int brief
Interface IP-Address OK? Method Status Prot
ocol
ATM0 unassigned YES NVRAM up up

Dialer0 84.221.85.28 YES IPCP up up

Ethernet0 192.168.1.1 YES NVRAM up up

Virtual-Access1 unassigned YES TFTP up up
-------------------------------------------------------

Grazie per l'aiuto, ciao.

[smartz]

chiaramente hai cambiato USERNAME e PASSWORD con le tue.....

dal router riesci a pingare qualcosa? (provo a pingare fuori - google - e dentro - un pc nella mia lan)

Codice:

gw#ping www.google.com
Translating "www.google.com"...domain server (213.205.32.70) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.85.129.99, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 84/89/96 ms


gw#ping 192.168.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/12 ms

[cisketto]

Sotto ethernet 0 dai

Codice:

hold-queue 100 out

x il resto è apposto solo che darei una sistemata al login, xke cosi come è ora kiunque puo connettersi al router.

[smartz]

Quote:

Originariamente inviato da cisketto

Sotto ethernet 0 dai

Codice:

hold-queue 100 out

x il resto è apposto solo che darei una sistemata al login, xke cosi come è ora kiunque puo connettersi al router.

'chiunque', puo connettersi solo alla console in modalita non priviliged, visto che sia la 'enable' sia la vty (telnet) sono password-izzate....

per quanto riguarda la hold-queue, e' un parametro QoS, che imho va settato in un ottica leggermente piu ampia di configurazione del QoS...

vedi: Cisco IOS Interface and Hardware Component Command Reference, Release 12.3

in particolare la sezione 'Caution' nella hold queue command reference va letta e capita

nel caso specifico la out della ethernet e' la coda (buffer) di pacchetti che rimangono nel router in attesa di essere spediti sulla lan. siccome il router difficilmente puo saturare una 10/100 (ma anche una 10), visto che la wan e' piu lenta, quella coda solitamente sara' vuota, e quindi una dimensione di 70 - default - o di 100 come suggerito non fara' cambiare molto.

[smartz]

piu in generale, sul QoS...
il QoS e' un ottimizzazione del flusso di pacchetti in un router (piu in generale su una rete). secondo me in ambiente domestico, se non ci sono necessita particolari come VoIP o p2p, si puo anche fare a meno del QoS.

prima farei andare tutto, poi se ne vedo il motivo cercherei di ottimizzare.

[agomar]

Complimenti ragazzi, sono in rete! Grazie 1000!

Onestamente devo confessarti una svista che ho fatto, Smartz. Per distrazione in Connessione di rete locale ho messo l'indirizzo IP a 192.168.0.10. Fortunatamente l'idea che hai avuto di pingare il mio pc mi ha condotto a ricontrollare la Connessione di rete e l'ho corretto con 192.168.1.10 e tutto si e' messo a funzionare subito!

Ecco i ping:

Router#ping www.google.com
Translating "www.google.com"...domain server (255.255.255.255) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.85.135.104, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/60/64 ms
Router#ping 192.168.1.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
---------------------------------------------------

ho aggiunto l'istruzione hold-queue.... mi sto leggendo i link che mi hai consigliato, grazie.

Riguardo le password, nel post precedente le ho occultate. Attualmente dopo >enable mi chiede 2 passwords. Credo che sia corretto.

A breve avro' un altro problema. Collegare un hub 3com (Fast Ethernet Hub 8) per avere la connessione su 2 pc (un Win e un Linux).... i problemi non finiscono mai!

[smartz]

Quote:

Originariamente inviato da agomar

A breve avro' un altro problema. Collegare un hub 3com (Fast Ethernet Hub 8) per avere la connessione su 2 pc (un Win e un Linux).... i problemi non finiscono mai!

hai configurato un cisco
non avrai problemi ad attaccare uno switch!!

[dantares]

Quote:

Originariamente inviato da smartz

piu in generale, sul QoS...
il QoS e' un ottimizzazione del flusso di pacchetti in un router (piu in generale su una rete). secondo me in ambiente domestico, se non ci sono necessita particolari come VoIP o p2p, si puo anche fare a meno del QoS.

prima farei andare tutto, poi se ne vedo il motivo cercherei di ottimizzare.

eccoci al punto dolente... io sono 2 mesi ke giro alla ricerca di una soluzione per poter dare precedenza al traffico voip... mi sono arreso quando su un forum mi è stato detto ke il nostro router nn supporta le istruzioni qos. è vero o esiste un modo per poter privilegiare il traffico voip? a me basterebbe anke solo privilegare il traffico proveniente da un ip o da una porta...
Si può fare?

Grazie

[smartz]

Quote:

Originariamente inviato da camino81

Ciao a tutti, sono un nuovo utente.
Volevo sapere ma è possibile configurare parametri di firewall sul SOHO77 con ip ver: soho70-y1-mz.123-20.bin ?????


Grazie

Camino81

interessante quel bin..... l'ultimissima versione