Cisco 876 (MPC8272) og UDP vesen

[saevarh]

Sæl verið fólkið.
Ég er með ADSL+ tengingu frá Símanum og ip net og er að reyna að fá nafnaþjón til að virka og er hann skráður hjá http://www.isnic.is/ og stenst allar kröfur frá þeim. Hitt er annað mál að þegar ég ætla að flytja lén yfir á þennann nafnaþjón þá segir http://www.isnic.is/ að lénið finnist ekki á nafnaþjóninum. Mig er farið að gruna að þetta hafi eitthvað að gera með UDP port 53 vegna þess að ef ég læt sama nafnaþjón hringja inn í gegnum pppoe(þetta er FreeBSD vél) þá svínvirkar að flytja lénið svo þetta er að stoppa á Cisco. Síminn staðfesti að það væri ekki lokað á UDP til viðskiptavina svo mér er að detta í hug hvort ég þurfi að bæta inn einhverri skipun á routerinn, hérna er config skráinn úr routernum, öll aðstoð vel þegin.

show config
Using 4035 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname notandi
!
boot-start-marker
boot-end-marker
!
logging buffered 10000 debugging
no logging console
no logging monitor
enable secret 5
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.49
!
ip dhcp pool heimanet
network 192.168.1.0 255.255.255.0
dns-server 157.157.205.2
default-router 192.168.1.254
domain-name simnet.is
!
!
ip name-server 157.157.205.2
!
!
!
username notandi password 7 xxxxx
!
!
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
ip address 212.30.10.238 255.255.255.252
ip nat outside
ip virtual-reassembly
pvc 8/64
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1
no ip address
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source list 110 pool net-1 overload
ip nat inside source static 192.168.1.4 212.30.10.237
ip nat inside source static 192.168.1.2 212.30.10.238
ip nat inside source static 192.168.1.5 212.30.20.64
ip nat inside source static 192.168.1.6 212.30.20.65
ip nat inside source static 192.168.1.7 212.30.20.66
ip nat inside source static 192.168.1.8 212.30.20.67
ip nat inside source static 192.168.1.9 212.30.20.68
ip nat inside source static 192.168.1.10 212.30.20.69
ip nat inside source static 192.168.1.11 212.30.20.70
ip nat inside source static 192.168.1.12 212.30.20.71
ip nat inside source static 192.168.1.13 212.30.20.72
ip nat inside source static 192.168.1.14 212.30.20.73
ip nat inside source static 192.168.1.15 212.30.20.74
ip nat inside source static 192.168.1.16 212.30.20.75
ip nat inside source static 192.168.1.17 212.30.20.76
ip nat inside source static 192.168.1.18 212.30.20.77
ip nat inside source static 192.168.1.19 212.30.20.78
ip nat inside source static 192.168.1.20 212.30.20.79
ip nat inside source static 192.168.1.21 212.30.20.80
ip nat inside source static 192.168.1.22 212.30.20.81
ip nat inside source static 192.168.1.23 212.30.20.82
ip nat inside source static 192.168.1.24 212.30.20.83
ip nat inside source static 192.168.1.25 212.30.20.84
ip nat inside source static 192.168.1.26 212.30.20.85
ip nat inside source static 192.168.1.27 212.30.20.86
ip nat inside source static 192.168.1.28 212.30.20.87
ip nat inside source static 192.168.1.29 212.30.20.88
ip nat inside source static 192.168.1.30 212.30.20.89
ip nat inside source static 192.168.1.31 212.30.20.90
ip nat inside source static 192.168.1.32 212.30.20.91
ip nat inside source static 192.168.1.33 212.30.20.92
ip nat inside source static 192.168.1.34 212.30.20.93
ip nat inside source static 192.168.1.35 212.30.20.94
ip nat inside source static 192.168.1.36 212.30.20.95
ip nat inside source static 192.168.1.3 212.30.40.249
ip nat inside source static 192.168.1.1 212.30.40.250
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 212.30.40.248 0.0.0.3
access-list 1 permit 212.30.20.64 0.0.0.31
access-list 22 permit 192.168.1.45
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
privilege level 15
password 7 xxxxxxx
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

notabene að 212.30.x tölurnar eru ekki raunverulegur tölurnar mínar, vill síður pósta þeim inn á þráðin.

[natti]

Innri ip talan á nafnaþjóninum/freebsd vélinni, er hún nöttuð (með ip nat inside source static .....) út á þá tölu sem að þú skráðir sem ip tölu á nafnaþjóninum hjá isnic?

[saevarh]

Innri ip talan á nafnaþjóninum/freebsd vélinni, er hún nöttuð (með ip nat inside source static .....) út á þá tölu sem að þú skráðir sem ip tölu á nafnaþjóninum hjá isnic?

Nei Natti, config skráin er svona, þarf ég að setja inn einhverja skipun eins og:
ip nat inside source static 192.168.1.9 193.4.58.96
En mun það þá ekki skemma
ip nat inside source static 192.168.1.9 212.30.20.68 ?
Kveðja
Sævar

[saevarh]

Getur verið að trikkið sé að bæta þessu inn
access-list 1 permit 193.4.58.96 0.0.0.3 ?
Kveðja
Sævar

[depill]

Hmm

Skom saevarh að gera þetta myndi eingöngu segja routernum að þegar umferð kemur frá 193.4.58.96/30 þá skal hún NATa umferðina út á við, við viljum það ekki. Annars er fínt fyrir þig að gera no access-list 1 og svo access-list 1 permit 192.168.1.0 0.0.0.255, það er það eina sem á að vera í access-lista 1.

Þú ætlar ekki að NATa ytri tölurnar áfram...

Er ég svo sá eini sem sé ekki net-1 poolið sem þú ert að reyna láta access-lista 110 NATast áfram á, það ætti að vera í góðu að gera no ip nat inside source list 110 pool net-1 overload

Svo að hinu vandamálinu, nei þú vilt ekki láta 193.4.58.96 þýðast yfir í 192.168.1.9 en takk samt fyrir þetta hint. Má ég spurja samt hvaða ip tölur eru þetta 212.30.20.87 ? Þetta eru ekki IP tölur í eigu Símans ( ertu kannski búinn að skipta út ip tölunum, allt í góðu ).

Það væri samt gaman að fá ytri ip töluna ( eða hostnameið ) af DNS þjóninum þínum þar sem þá gæti maður hreinlega prófað og séð hvort þetta er network eða config issue ( Mátt PMa mig ef þú vilt hafa þetta á DL(downlow ))

[saevarh]

Hmm

Skom saevarh að gera þetta myndi eingöngu segja routernum að þegar umferð kemur frá 193.4.58.96/30 þá skal hún NATa umferðina út á við, við viljum það ekki. Annars er fínt fyrir þig að gera no access-list 1 og svo access-list 1 permit 192.168.1.0 0.0.0.255, það er það eina sem á að vera í access-lista 1.

Þú ætlar ekki að NATa ytri tölurnar áfram...

Er ég svo sá eini sem sé ekki net-1 poolið sem þú ert að reyna láta access-lista 110 NATast áfram á, það ætti að vera í góðu að gera no ip nat inside source list 110 pool net-1 overload

Svo að hinu vandamálinu, nei þú vilt ekki láta 193.4.58.96 þýðast yfir í 192.168.1.9 en takk samt fyrir þetta hint. Má ég spurja samt hvaða ip tölur eru þetta 212.30.20.87 ? Þetta eru ekki IP tölur í eigu Símans ( ertu kannski búinn að skipta út ip tölunum, allt í góðu ).

Það væri samt gaman að fá ytri ip töluna ( eða hostnameið ) af DNS þjóninum þínum þar sem þá gæti maður hreinlega prófað og séð hvort þetta er network eða config issue ( Mátt PMa mig ef þú vilt hafa þetta á DL(downlow ))

Takk fyrir þessa punkta depill
Ég gerði
no access-list 1
og svo
access-list 1 permit 192.168.1.0 0.0.0.255
Og netið helst ennþá inni og Nafnaþjónninn ns1.foo.com virðist standast allar kröfur ISNIC! en engu sér nic.is ekki lénið þegar ég ætla að flytja það, ég prufaði að gera að fikta smá og gerði:
access-list 110 permit udp any any eq isakmp
access-list 111 permit udp host 193.4.58.96 gt 32767 any eq domain
access-list 111 permit tcp host 193.4.58.96 gt 32767 any eq domain
En ekki virkaði það heldur, tek það fram að ég er ekki Cisco gúru, er að fikta mig áfram, en maður lærir á að fikta

[saevarh]

Fann ágætis síðu hérna sem ég er að skoða http://www.donelan.com/dnsacl-min-cisco.html

[saevarh]

Ég er búinn að leysa þetta eða altso Helios ég gleymdi að setja inn allow-transfer í named.conf

[saevarh]

Langar að bæta því við að ég var með allow-transfer í named.conf fyrir einni viku en ég er handviss um að þessi skipun hafi leyst vandamálið:
access-list 110 permit udp any any eq isakmp
access-list 111 permit udp host 193.4.58.96 gt 32767 any eq domain
access-list 111 permit tcp host 193.4.58.96 gt 32767 any eq domain