Cisco 8xx - Routing 10.200.0 --> auf 192.168.20.3

[mels]

Hallo Leute!

Ich stehe hier irgenwie auf dem Schlau.

Wir haben einen Cisco Router 8xx der unsere Firewall ist,
jetzt haben wir eine Zusätliche Standleitung zu unserem Ausenposten von der Post bekommen.

Die Post hat uns jetzt noch einen Cisco Router hergestellt der die IP-ADresse 192.168.20.3 hat.

Die Ausenstelle hat denn Adressenbereich 10.200.0.xxx.

Jetzt möchte ich alles was von Intern auf die Ausenstelle zugreifen will, das user Router diese auf den neuen Postrouter weiterroutet, und umgekehrt.

Wo muß ich dieses routing einstellen?

Bin für jeden Tip dankbar.

mfg

Mels

[Joerg Wiessner]

Du musst in allen 3 Routern einen entsprechenden Routingeintrag setzen. Im 800er geht das in Config Modus über

Code:

ip route 10.200.0.0 255.255.255.0 NextHopIP

Wichtig ist aber das ALLE Router auch den Rückweg kennen.

Gruß Joerg

[mels]

Hallo!

Danke für Deine Hilfe!

ich hab jetzt folgende Config:

ip classless
ip route 0.0.0.0 0.0.0.0 60.190.25.15
ip route 10.200.0.0 255.255.0.0 192.168.20.3

kann jetzt aber trozdem zB. die IP-Adresse 10.200.1.2 nicht anpingen?
Was muß ich noch tun.

Vielen dank für Deine Hilfe!

mfg

Mels

[Joerg Wiessner]

Die Route für den Rückweg Deiner IP Packete auf dem/den Gegenstellen Router(n) setzten...!

[mels]

Hallo!

Also die gegenroute ist gesetzt!

Muß ich auf meinem Router noch was machen das
die aus dem Netz 10.130.0.0 zB. auf 192.168.20.2 zugreifen können zB. Pingen

Vielen dank im Voraus!

mfg

Mels

[Joerg Wiessner]

Da Du davon sprichst, das Du den 800er als "Firewall" betreibst, hast Du vielleicht noch ACLs gebunden die noch erweitert werden müssen?

Hast Du NAT/PAT im Einsatz, dann müsste die neue Route evtl. exkludiert werden.

Am einfachsten wäre es wenn Du mal die komplette Konfig ohne Passwörter postet.

Gruß Joerg

[mels]

Hallo!

Hier die Konfig Teil1!


interface Null0
no ip unreachables
!
interface Ethernet0
description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN
ip address 192.168.20.3 255.255.255.0
ip access-group LAN_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
no cdp enable
!
interface Ethernet1
description $FW_OUTSIDE$$ETH-WAN$WAN to tel
ip address 60.190.25.16 255.255.255.240
ip access-group WAN_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect MyFW out
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
duplex auto
no cdp enable
crypto map SDM_CMAP_1
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip local pool SDM_POOL_1 192.168.21.1
ip local pool SDM_POOL_2 192.168.21.2 192.168.21.254
ip classless
ip route 0.0.0.0 0.0.0.0 60.190.25.15
ip route 10.200.0.0 255.255.0.0 192.168.20.3
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
!
ip nat inside source route-map NAT-RMAP interface Ethernet1 overload
ip nat inside source static tcp 192.168.21.2 25 interface Ethernet1 25
!
!
ip access-list extended CFG_vty
remark SDM_ACL Category=1
permit ip 192.168.20.0 0.0.0.255 any
ip access-list extended LAN_in
remark Verbindung LAN Firma
remark SDM_ACL Category=1
deny ip 60.190.25.14 0.0.0.3 any
deny ip host 255.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
permit tcp host 192.168.20.2 any
permit udp host 192.168.20.2 any eq domain
permit udp host 192.168.20.2 any eq ntp
permit tcp host 192.168.20.4 any
permit udp host 192.168.20.4 any eq domain
permit udp host 192.168.20.4 any eq ntp
permit tcp host 192.168.20.5 any
permit udp host 192.168.20.5 any eq domain
permit udp host 192.168.20.5 any eq ntp

permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
permit ip 192.168.20.0 0.0.0.255 host 82.xxxx
permit ip 192.168.20.0 0.0.0.255 192.168.1.0 0.0.0.255
permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq telnet
permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq 22
permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq www
permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq 443
deny ip any any log
ip access-list extended NO-NAT1
remark SDM_ACL Category=2
deny ip 192.168.20.0 0.0.0.255 60.190.25.14 0.0.0.3
deny ip 192.168.20.0 0.0.0.255 host 82.xxx
deny ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
deny ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
deny ip 192.168.20.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.20.0 0.0.0.255 any


mfg
mels

[mels]

Und Teil 2

ip access-list extended WAN_in
remark Verbindung vom Internet
remark SDM_ACL Category=1
permit ahp host 82.xxx host 60.190.25.16
permit esp host 82.xx host 60.190.25.16
permit udp host 82.xx host 60.190.25.16 eq isakmp
permit udp host 82.xx host 60.190.25.16 eq non500-isakmp
permit ip host 82.xx 192.168.20.0 0.0.0.255
permit ahp host 2xxx host 60.190.25.16
permit esp host 2xxx host 60.190.25.16
permit udp host 21xxx host 60.190.25.16 eq isakmp
permit udp host 2xx host 60.190.25.16 eq non500-isakmp
permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
permit udp any host 60.190.25.16 eq non500-isakmp
permit udp any host 60.190.25.16 eq isakmp
permit esp any host 60.190.25.16
permit ahp any host 60.190.25.16
permit udp host 2xxx eq domain 192.168.20.0 0.0.0.255
permit udp host 8xxx eq domain 192.168.20.0 0.0.0.255
permit udp host 19xxxeq domain 192.168.20.0 0.0.0.255
permit udp host 19xxx eq ntp host 60.190.25.16 eq ntp
permit udp host 1xx eq ntp host 60.190.25.16 eq ntp
permit ahp host 2xxx host 60.190.25.16
permit esp host 2xxxhost 60.190.25.16
permit udp host 2xxx host 60.190.25.16 eq isakmp
permit udp host 2xx host 60.190.25.16 eq non500-isakmp
permit icmp any host 60.190.25.16 echo-reply
permit icmp any host 60.190.25.16 time-exceeded
permit icmp any host 60.190.25.16 unreachable
permit tcp any host 60.190.25.16 eq smtp
remark Lotus
permit tcp any gt 1400 host 60.190.25.16 eq 1352
permit ip 192.168.21.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.22.0 0.0.0.255 192.168.20.0 0.0.0.255
deny ip 192.168.20.0 0.0.0.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny ip host 0.0.0.0 any
deny ip any any log
access-list 1 remark SDM_ACL Category=1
access-list 1 remark HTTP Access-class list
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 1 deny any
no cdp run
route-map NAT-RMAP permit 10
match ip address NO-NAT1
!
control-plane
!
banner login ^CCCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
no modem enable
transport preferred all
transport output telnet
line aux 0
transport preferred all
transport output telnet
line vty 0 4
access-class CFG_vty in
privilege level 15
transport preferred all
transport input telnet ssh
transport output all

[J@e]

Ähm, das verwirrt mich jetzt. Welcher Router soll das denn jetzt sein, der alte 800er oder der neue von der Post. Und warum setzt Du die Route auf die Adresse des eigenen Ethernet0???

Greetz J@e

[mels]

Hallo!

Also das ist der alte Router, und dieser Router soll alles was auf 10.200.0.0 an den
neuen Router der Post 192.168.20.3 weiterleiten.

Und warum setzt Du die Route auf die Adresse des eigenen Ethernet0???

Wie meinst Du das?
Meinst Du diese Zeile damit?
ip route 10.200.0.0 255.255.0.0 192.168.20.3

Jetzt stehe ich ein bischen auf dem Schlauch?

mfg

mels