Chi vuole avere un modem/router affidabile e dalle grandi prestazioni può accontentarsi delle solite marche consumer come Netgear, Linksys, o TP-Link, oppure affidarsi alla più grande azienda produttrice di macchine professionali per la rete: Cisco. La Cisco infatti ha prodotto una serie di apparati per SOHO (Small Office – Home Office) in grado di gestire piccole reti con tutta la potenza, la sicurezza e l’esperienza Cisco. Questa configurazione va bene per tutti i modelli serie 800, in particolare per il Cisco 857W e il Cisco 877W.
La configurazione comprende:
- interfaccia web http e https del router abilitata da locale e da remoto
- interfaccia telnet e ssh del router abilitata da locale e da remoto
- DHCP reservation per riservare ip statici a determinati pc in base all’indirizzo MAC
- Port Forwarding per aprire le porte nel NAT a emule, torrent e altri programmi
- Aggiornamento dell’ip del proprio DynDNS tramite DDNS
- Wifi con SSID non nascosto (in broadcast) per compatibilità con vecchi apparati
- Wifi con protezione WPA-PSK e TKIP per compatibilità con vecchi apparati
- Blocco/filtro dei MAC address non conosciuti per il WiFi
- Firewall avanzato con SPI e anti-spoofing
- Aumento del tempo di “handshake” per permettere a dispositivi lenti (come il palmare hp rw-6815 o 6828) di connettersi al WiFi
- Connessione ADSL2+ a Tiscali 20Mega (non business, quella normale)
- Tutte le password vanno scritte in chiaro per evitare errori
Ricordate di sostituire le parentesi quadre con i vostri dati!!!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096
!
no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 association mac-list 700
dot11 syslog
!
dot11 ssid [nome della rete wifi]
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 [password wifi in chiaro]
!
dot11 wpa handshake timeout 2000
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.12
!
ip dhcp pool sdm-pool1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server [ip DNS primario] [ip DNS secondario]
lease infinite
!
ip dhcp pool STATIC-1
host 192.168.1.2 255.255.255.0
client-identifier [mac address preceduto da 01 esempio: 0100.12dc.5c47.6b]
client-name [nome che volete dare al dispositivo]
!
ip dhcp pool STATIC-2
host 192.168.1.3 255.255.255.0
client-identifier [mac address preceduto da 01 esempio: 0100.0129.d1a5.83]
client-name [nome che volete dare al dispositivo]
!
!
ip name-server [l'ip del vostro dns server primario]
ip name-server [l'ip del vostro dns server secondario]
ip inspect log drop-pkt
ip inspect name Firewall cuseeme
ip inspect name Firewall dns
ip inspect name Firewall ftp
ip inspect name Firewall h323
ip inspect name Firewall https
ip inspect name Firewall icmp
ip inspect name Firewall imap
ip inspect name Firewall pop3
ip inspect name Firewall rcmd
ip inspect name Firewall realaudio
ip inspect name Firewall rtsp
ip inspect name Firewall esmtp
ip inspect name Firewall sqlnet
ip inspect name Firewall streamworks
ip inspect name Firewall tftp
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall vdolive
ip ddns update method ddns
HTTP
add http://[username]:[password]@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
remove http://[username]:[password]@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 28 0 0 0
!
!
multilink bundle-name authenticated
!
!
username [username] privilege 15 password 0 [password in chiaro]
!
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode adsl2+
!
interface ATM0.1 point-to-point
description $ES_WAN$
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers tkip
!
ssid [nome della vostra rete wifi]
!
speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
world-mode dot11d country IT both
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
ip tcp adjust-mss 1452
bridge-group 1
!
interface Dialer0
ip ddns update hostname [vostro host].dyndns.org
ip ddns update ddns
ip address negotiated
ip access-group 101 in
ip mtu 1492
ip nat outside
ip inspect Firewall out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname [username per adsl login]
ppp chap password 0 [password in chiaro per adsl login]
!
interface BVI1
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static udp 192.168.1.2 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.1.2 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.3 9 interface Dialer0 9
ip nat inside source static tcp 192.168.1.3 4711 interface Dialer0 4711
ip nat inside source static tcp 192.168.1.3 7395 interface Dialer0 7395
ip nat inside source static udp 192.168.1.3 8457 interface Dialer0 8457
ip nat inside source static udp 192.168.1.3 35238 interface Dialer0 35238
ip nat inside source static tcp 192.168.1.3 35238 interface Dialer0 35238
ip nat inside source static tcp 192.168.1.3 81 interface Dialer0 81
ip nat inside source static tcp 192.168.1.3 5900 interface Dialer0 5900
ip nat inside source static tcp 192.168.1.3 6346 interface Dialer0 6346
ip nat inside source static udp 192.168.1.3 6346 interface Dialer0 6346
ip nat inside source static tcp 192.168.1.4 4712 interface Dialer0 4712
ip nat inside source static udp 192.168.1.4 5672 interface Dialer0 5672
ip nat inside source static udp 192.168.1.4 4665 interface Dialer0 4665
ip nat inside source static tcp 192.168.1.3 5800 interface Dialer0 5800
ip nat inside source static tcp 192.168.1.3 36433 interface Dialer0 36433
ip nat inside source static tcp 192.168.1.3 6348 interface Dialer0 6348
ip nat inside source static udp 192.168.1.3 6348 interface Dialer0 6348
ip nat inside source static tcp 192.168.1.3 15698 interface Dialer0 15698
ip nat inside source static udp 192.168.1.3 15698 interface Dialer0 15698
ip nat inside source static tcp 192.168.1.3 6347 interface Dialer0 6347
ip nat inside source static udp 192.168.1.3 6347 interface Dialer0 6347
ip nat inside source static tcp 192.168.1.4 5662 interface Dialer0 5662
ip nat inside source static udp 192.168.1.3 80 interface Dialer0 80
ip nat inside source static udp 192.168.1.3 5938 interface Dialer0 5938
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit tcp host 204.13.248.112 eq www any log
access-list 101 permit udp host [l'ip del vostro dns server primario] eq domain any
access-list 101 permit udp host [l'ip del vostro dns server secondario] eq domain any
access-list 101 permit udp host 207.46.232.42 eq ntp any
access-list 101 permit udp host 192.43.244.18 eq ntp any
access-list 101 permit gre any any
access-list 101 remark *************************************************************
access-list 101 remark *** ACL port forwarding ***
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 4711
access-list 101 permit tcp any any eq 7395
access-list 101 permit tcp any any eq 35238
access-list 101 permit tcp any any eq 81
access-list 101 permit udp any any eq 80
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 8080
access-list 101 permit udp any any eq 5938
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 6346
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 36433
access-list 101 permit tcp any any eq 6348
access-list 101 permit tcp any any eq 15698
access-list 101 permit tcp any any eq 6347
access-list 101 permit tcp any any eq 5060
access-list 101 permit udp any any eq 5060
access-list 101 permit tcp any any eq 4712
access-list 101 permit tcp any any eq 5662
access-list 101 permit udp any any eq 5672
access-list 101 permit udp any any eq 4665
access-list 101 permit udp any any eq discard
access-list 101 permit udp any any eq 8457
access-list 101 permit udp any any eq 35238
access-list 101 permit udp any any eq 6346
access-list 101 permit udp any any eq 6348
access-list 101 permit udp any any eq 15698
access-list 101 permit udp any any eq 6347
access-list 101 remark *************************************************************
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 169.254.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 198.18.0.0 0.1.255.255 any
access-list 101 deny ip 224.0.0.0 0.15.255.255 any
access-list 101 deny ip any host 255.255.255.255
access-list 101 deny icmp any any echo
access-list 101 deny ip any any log
access-list 102 remark *************************************************************
access-list 102 remark Traffico abilitato ad entrare dalla ethernet
access-list 102 permit ip any host 192.168.1.1
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any host 255.255.255.255
access-list 102 remark *************************************************************
access-list 102 deny ip any host 192.168.1.255
access-list 102 deny udp any any eq tftp log
access-list 102 deny ip any 0.0.0.0 0.255.255.255 log
access-list 102 deny ip any 10.0.0.0 0.255.255.255 log
access-list 102 deny ip any 127.0.0.0 0.255.255.255 log
access-list 102 deny ip any 169.254.0.0 0.0.255.255 log
access-list 102 deny ip any 172.16.0.0 0.15.255.255 log
access-list 102 deny ip any 192.0.2.0 0.0.0.255 log
access-list 102 deny ip any 192.168.0.0 0.0.255.255 log
access-list 102 deny ip any 198.18.0.0 0.1.255.255 log
access-list 102 deny udp any any eq 135 log
access-list 102 deny tcp any any eq 135 log
access-list 102 deny udp any any eq netbios-ns log
access-list 102 deny udp any any eq netbios-dgm log
access-list 102 deny tcp any any eq 445 log
access-list 102 deny ip any any log
access-list 700 permit 0017.31c2.ee97 0000.0000.0000
access-list 700 permit 0810.730d.cdb0 0000.0000.0000
access-list 700 permit 0021.0065.937f 0000.0000.0000
access-list 700 permit 0016.fe7b.4370 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
sntp server 207.46.197.32
sntp server 192.43.244.18
end
Salve, un’ottima guida per configurare un Cisco 877w. Però adesso io pongo un problema:
Sono in possesso di un router Cisco 877w con IOS “c870-advsecurityk9-mz.124-6.T7.bin”. Ovviamente funziona alla grande. Il problema è che sono in possesso di un Nokia N95 8GB e mi si connette 1 volta su 10. Risultato vorrei usare il comando “dot11 wpa handshake timeout 2000″ ma nel mio router non esiste proprio. Oggi faccio un upgrade alla versione IOS “c870-advsecurityk9-mz.124-24.T3.bin” pensando di trovare il comando…..ma neanche l’ombra. Ovviamente digito il comando in configurazione globale!!!
Qualcuno può dirmi in quale versione IOS si trova questo benedetto comando???
Grazie in anticipo
@Alberto
Io sto usando la versione c870-advipservicesk9-mz.124-15.T9.bin e mi vien da pensare che tu usando la advsecurityk9 (io uso la advipservicesk9) abbia questa limitazione. Non dipende quindi dal numero di versione IOS, ma dal tipo di IOS. Quanta memoria flash hai sul router?
Se vuoi avere il comando handshake mi sa proprio che devi usare la versione “ADVANCED IP SERVICES” che richiede 28MB di flash. Se non hai spazio, guarda tra le versioni precedenti, ce ne sono anche da 15MB, 18 MB che dovrebbero starci anche su una flash da 24 mega. Togli poi le cose “inutili” come l’interfaccia web o il software Cisco SDM che tenerlo installato sulla flash non serve a niente.
Ciao
Ciao, grazie per la dritta! Ho appena aggiornato il mio router con la tua stessa versione, anche se il mio router ha 24 mega, cancellando il resto sono riuscito a farlo partire. Dopo un bel conf t……..del comando “dot11 wpa handshake timeout 2000″……..nemmeno l’ombra! A questo punto non ci capisco piu’!!! Se mi potresti aiutare a capire te ne sarei grato!!!
@Alberto
Che cosa strana, sicuro di aver usato la versione advipservicesk9? Perché confrontando le due tipologie c’è proprio l’handshake nella advipservicesk9 mentre manca nella advsecurityk9.
Prima di dare il comando dot11 wpa handshake tu hai configurato tutto il router e il wifi? Perché a parte lo spazio sulla flash, una volta che hai la stessa versione di IOS tutto dovrebbe essere identico al mio Cisco.
Questa è lo sh ver:
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T9, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 29-Apr-09 05:52 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
FastWEB-WiFi uptime is 2 hours, 8 minutes
System returned to ROM by reload at 15:24:10 MEDT Sun Aug 22 2010
System restarted at 15:24:52 MEDT Sun Aug 22 2010
System image file is "flash:c870-advipservicesk9-mz.124-15.T9.bin"
Last reload reason: Reload Command
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 877W (MPC8272) processor (revision 0x300) with 118784K/12288K bytes of memory.
Processor board ID FCZ113636TY
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
24576K bytes of processor board System flash (Intel Strataflash)
Configuration register is 0x2102
@Alberto
Sì, è come la mia. Meglio però continuare sul forum in questa sezione:
http://www.1e2.it/forum/viewforum.php?f=4
dove puoi anche mostrarmi la tua attuale configurazione. Qui tra i commenti non è il posto adatto.
Ciao
Ciao scusa l’ora ma voglio comunicarti la situazione! Ho scoperto una cosa tremenda: se digito il comando “dot11 ?” mi aspetto l’elenco dei sottocomandi infatti io cercavo “wpa”, ma se scrivo “dot11 wpa handshake timeout 2000″ il comando lo prende alla grande. Quindi ho scoperto che è un comando nascosto! Boh vai a capire gli ingegneri della cisco. Quindi alla fine anche con il vecchio IOS funziona, ma io lascio la nuova versione “c870-advipservicesk9-mz.124-15.T9.bin”. Grazie ancora e scusa se ho scritto qua!
@Alberto
Figurati, è stato un piacere, ora abbiamo imparato tutti una cosa in più!
Mi potete aiutare con una configurazione su linea ADSL TELETU con DDNS no-ip?
Grazie
@n.raimo
Ciao, ho appena creato una sezione nel forum dedicata alle discussioni sulle configurazioni e problemi Cisco:
http://www.1e2.it/forum/viewforum.php?f=56
Scrivi lì la tua configurazione attuale e i problemi, così possiamo discuterne meglio.