config von routing, def.gateway und natting

[bodo40]

Hi,

was muss denn eigentlich alles configuriert werden, damit man mit einem C831 DSL nutzen kann.

intern Subnetz 172.25.22.0 255.255.255.0
Eth 0 ip address 172.25.19.254
Eht 1 ip address 87.87.87.234

Router ISP vor meinem Router 87.87.87.233

Rechnermit x-over-kabel an Router interface fa 0/0

interface fa 0/0 ohne ip wobei über den vier fa buchsen auch noch e0 steht. scheint ein interner hub zu sein.


man kann nicht raus pingen (z.B.:Google)


irgendwas mit dem Routing habe ich nicht richtig genacht. Ich glaube ich habe noch gar kein Routing eingerichtet. Wie macht man das denn mit einer statischen Route.?

alles vom Subnetz 172.25.22.0 soll über das Def.Gateway e0 des Subnetzes über das interface e1 raus.

Muss ich dann auch noch natting aktivieren. habe davon gehört, weis aber in diesem einfachen fall trotzdem nicht wie das eingerichtet wird.

ohoh.

vielen Dank für Rat

euer Bodo40

[Chrusafan]

Hallo,

wie ist den die gesamte Konfig? bitte im enable-Modus den Befehl show run eingeben und hier pasten.

Danke

[bodo40]

OK, hier die show run infos.

Danke schon mal, ich hoffe wir kommen weiter. Wie du siehst ist schon ein Tunnel auf ipsec basis eingestellt, der auch noch nicht läuft. geht wohl erst wenn die Fragen von oben gegessen sind.

Code:

Router-Wien#show run
Building configuration...

Current configuration : 1580 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router-Wien
!
enable secret 5 **********
enable password 7 **********
!
no aaa new-model
ip subnet-zero
no ip routing
ip name-server 87.87.87.233
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
crypto isakmp policy 5
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key 0 ********** address 217.217.217.210
!
!
crypto ipsec transform-set hannover esp-3des esp-md5-hmac 
!
crypto map dyn-map 5 ipsec-isakmp 
 set peer 217.217.217.210
 set transform-set hannover 
 match address 110
!
!
!
!
interface Ethernet0
 ip address 172.25.22.254 255.255.255.0
 no ip route-cache
!
interface Ethernet1
 ip address 87.87.87.234 255.255.255.248
 no ip route-cache
 duplex auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip classless
ip http server
no ip http secure-server
!
access-list 100 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255
access-list 110 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255
access-list 110 permit icmp any any
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 password 7 **********
 login
!
scheduler max-task-time 5000
!
end

Gruss
Bodo40

[bodo40]

Den erste Fehler habe ich endlich gefunden.

Code:

Router-Wien(config)#ip routing

ein kleiner befehl, den es sehr schwer zu finden war.

trotzdem kann ich noch nicht ins internet pingen.

def.gate für den router irgendwie einstellen?
wieder so ein kleiner befehl. wer ihn kennt bitte melden.


Danke

euer Bodo40

[czappb]

wie ein ganz normales default gateway?

ip route 0.0.0.0 0.0.0.0 %gateway-IP%
oder bei z.B. PPPoE
ip route 0.0.0.0 0.0.0.0 %PPPoE-interface%

[czappb]

NAT:
Im Externen Interface "ip nat outside"
für das/die Interne(n) "ip nat inside"

dann noch eine ACL die den Internen Bereich angibt
access-list 18 permit 192.168.0.0 0.0.0.255

und noch aktivieren
ip nat inside source list 18 interface Dialer1 overload
(wobei Dialer1 durch dein Extern interface ersetzt werden muss)

[czappb]

Einen hab ich noch...
der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken

Minimum fände ich:
ACLs für das Management (web, telnet/ssh, ggf. snmp):
access-list 1 permit 192.168.0.0 0.0.0.255
ip http access-class 1
snmp-server community %WORD% 1
line vty 0 4
access-class 1 in

Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt:
access-list 122 permit tcp any any established
access-list 122 remark Aufraeumen...
access-list 122 deny tcp any any eq 135
access-list 122 deny tcp any any eq 137
access-list 122 deny tcp any any eq 139
access-list 122 deny tcp any any eq 445
access-list 122 deny ip any any log-input

Interface %outside%
ip access-group 122 in