Dopo aver visto una configurazione completa e funzionante (la trovate QUI), veniamo alla spiegazione di alcune sue parti in modo da poterle modificare in base alle vostre esigenze:
hostname Router
Qui potete scrivere quello che volete al posto di Router, sarà il nome del vostro Cisco.
dot11 association mac-list 700
Serve per dire al WiFi di controllare che gli indirizzi MAC di chi si sta collegando è incluso nella lista 700 che si trova verso la fine della configuraizone. Vediamola:
access-list 700 permit 0017.31c2.ee97 0000.0000.0000
access-list 700 permit 0810.730d.cdb0 0000.0000.0000
access-list 700 permit 0021.0065.937f 0000.0000.0000
access-list 700 permit 0016.fe7b.4370 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
Stavolta gli indirizzi MAC son scritti normalmente senza lo 01 davanti. Importante notare come l’ultima regola DEVE essere quella che impedisce a tutti gli altri inidirzzi di potersi connettere! E’ importante che stia per ultima la regola “deny” perché il router segue queste regole in ordine cronologico!!
dot11 ssid [nome della rete wifi]
Dovete semplicmente scrivere il nome SSID della rete wifi, per esempio “dot11 ssid retewifi"
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 [password wifi in chiaro]
Qui impostiamo su aperta l’autenticazione, poi impostiamo il wpa, poi se vogliamo che il nome SSID venga trasmesso dobbiamo lasciare la riga “guest-mode"
mentre se vogliamo nascondere la rete, rendendola quindi invisibile, dobbiamo togliere del tutto “guest-mode”. Poi si deve metter la password in chiaro per l’autenticazione: esempio
wpa-psk ascii 0 pippobaudo
Lo 0 (zero) indica appunto che la password che segue non è cifrata all’interno della configurazione.
dot11 wpa handshake timeout 2000
Questo comando molto interessante serve ad allungare il tempo di handshake, ovvero il tempo massimo che un dispositivo ha per autenticarsi. Normalmente questo tempo è di soli 160 milli secondi, allungandolo a 2000, ovvero 2 secondi, permettiamo a dispositivi più lenti come i palmari di autenticarsi senza problemi.
ip dhcp excluded-address 192.168.1.1 192.168.1.12
Qui impostiamo un range di ip che non possono esser assegnati in automatico dal DHCP. Questi ip saranno dunque disponibili per computer e dispositivi che necessitano di un ip fisso all’interno della LAN.
default-router 192.168.1.1
dns-server [ip DNS primario] [ip DNS secondario]
Impostiamo con la prima riga l’ip del nostro router e con la seconda impostiamo i server DNS (esempio “dns-server 195.186.1.111 195.186.4.111”)
ip dhcp pool STATIC-1
host 192.168.1.2 255.255.255.0
client-identifier [mac address preceduto da 01 es: 0100.12dc.5c47.6b]
client-name [nome che volete dare al dispositivo]
Ora impostiamo gli indirizzi ip fissi assegnati in base all’indirizzo MAC del dispositivo. Nella prima riga al posto di “STATIC-1” possiamo scrivere quello che vogliamo, serve solo per dare un nome univoco alla regola. Nella seconda riga impostiamo l’ip che vogliamo assegnare. Nella terza riga impostiamo il MAC: se l’originale mac è 00.12.dc.5c.47.6b noi dovremo aggiungere uno 01 davanti a tutto e raggrupparlo in cifre da 4, quindi il risultato sarà: 0100.12dc.5c47.6b e poi aggiungere un’ultima riga (ma si può anche tralasciare) in cui diamo un nome al dispositivo.
ip ddns update method ddns
HTTP
add http://[username]:[password]@members.dyndns.org/nic/update?system=dyndns&hostname=
remove http://[username]:[password]@members.dyndns.org/nic/update?system=dyndns&hostname=
interval maximum 28 0 0 0
Ora passiamo al DDNS. Per il nostro esempio utilizziamo il servizio DynDNS.org che è gratuito. Create un host usando il dominio .dyndns.org così non avrete errori nella configurazione, esempio mionome.dyndns.org (e non mionome.dyndns.com o altro!). Queste righe è bene inserirle a mano dato che il ? porta ad avere errori se si fa un semplice copia e incolla nella finestra del terminale. Facciamo un esempio pratico di come inserire questi parametri manualmente senza errori. Mettiamo di aver creato un account dyndns con username “pippoaccount” e come password “pippopassword” e come host “pippo.dyndns.org”, dovremo allora aprire il terminale ssh o telnet o seriale e digitare le righe ricordando di premere ctrl-v prima di scrivere il punto di domanda:
#conf t [invio]
#ip ddns update method ddns [invio]
#HTTP [invio]
#add http://pippoaccount:pippopassword@members.dyndns.org/nic/update[digita ora ctrl + v e poi continua a scrivere normalmente il punto di domanda e il resto]?system=dyndns&hostname=
#remove http://pippoaccount:pippopassword@members.dyndns.org/nic/update[digita ora ctrl + v e poi continua a scrivere normalmente il punto di domanda e il resto]?system=dyndns&hostname=
#interval maximum 28 0 0 0 [invio]
Con l’ultima riga impostiamo il tempo di refresh del nostro ip: ogni 28 giorni, se il nostro ip non cambia prima, informerà dyndns.org che il nostro ip è rimasto uguale e che il nostro account è ancora attivo. Non impostiamo questo valore a un numero inferiore di giorni o rischiamo di violare le regole di aggiornamento dell’ip di dyndns.
Andando un po’ oltre la configurazione troviamo il parametro che darà l’avvio dell’aggiornamento del nostro ip dinamico.
interface Dialer0
ip ddns update hostname [vostro host].dyndns.org
ip ddns update ddns
dove al posto di [vostr host].dyndns.org nel nostro esempio avremo pippo.dyndn.org. Ma non è finita, infatti dobbiamo inserire una regola nella access-list per permettere il collegamento con members.dyndns.org. Tale regola è questa:
access-list 101 permit tcp host 204.13.248.112 eq www any log
dove l’ip 204.13.248.112 corrisponde all’ip di members.dyndns.org.
username [username] privilege 15 password 0 [password in chiaro]
Con questa riga qui sopra impostiamo l’username e la password per accedere al nostro router da terminale o da http.
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode adsl2+
Queste righe impostano la nostra connessione adsl che nel mio caso è adsl2+, ma possiamo anche mettere il avalore “auto” cosicché il modem deciderà da solo quale modalità adottare.
encryption vlan 1 mode ciphers tkip
!
ssid [nome della vostra rete wifi]
Queste due righe servono per impostare la criptografia TKIP alla nostra rete wifi. Dovete riscrivere ancora il nome SSID della rete nell’ultima riga.
ip access-group 101 in
Frale opzioni di “interface Dialer0” c’è quella che imposta al router di seguire le regole scritte nella ACL (access-list) numero 101 in modo da permettere di aprire a internet solo quelle determinate porte. Ovviamente saranno le stesse porte che avremo impostato nelle regole del NAT!!!
ppp authentication chap callin
ppp chap hostname [username per adsl login]
ppp chap password 0 [password in chiaro per adsl login]
Con queste righe impostiamo il tipo di autenticazione che richiede la nostra adsl, nel mio caso una Tiscali 20 mega normale, cioé non è un abbonamento business.
interface BVI1
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
Con queste righe facciamo in modo che il traffico abilitato a entrare nel router dalla ethernet (quindi dalla LAN) sia solo quello specificato dalla access-list 102. In particolare, questa ACL permette tutto il traffico tranne alcuni casi particolari, ovvero imposta le regole di anti spoofing.
ip http server
ip http authentication local
ip http secure-server
Con queste righe abilitiamo l’interfaccia http e https per accedere a configurazioni via web del router.
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static udp 192.168.1.2 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.1.2 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.3 9 interface Dialer0 9
ip nat inside source static tcp 192.168.1.3 4711 interface Dialer0 4711
Qui sopra abbiamo un esempio di come si fa il port forwarding delle porte: il tipo di traffico, tcp o udp, l’ip di destinazione, la porta iniziale, l’interfaccia e la porta finale (solitamente uguale a quella iniziale).
Queste stesse porte devon esser abilitate anche a ricevere il traffico da internet! Quindi dobbiamo anche configurarle nella access-list 101 come segue:
access-list 101 permit tcp any any eq 4711
access-list 101 permit tcp any any eq 5060
access-list 101 permit udp any any eq 5060
e così via.
sntp server 207.46.197.32
sntp server 192.43.244.18
Con queste due righe impostiamo i server SNTP che permettono l’aggiornamento automatico dell’ora del vostro router così da avere un log preciso con data e ora coerenti.
loading...