mr._oiso

Hallo mmuelleh So wie ich das sehe, gibt es hier ein paar Probleme im Verständnis von IP inspecting. Wichtig dabei ist, dass man die dynamische Abhandlung von Filter`n nicht durch statische Einträge wie z.B. standard ACL`s behindert. Hierbei ist unbedingt darauf zu achten, dass inspecteter Traffic nicht durch ACL`s zusätzlich beeinträchtigt wird, da sich sonst keine temporäre Filtertable im IOS bilden lässt. siehe dazu Dein Interface dialer 1 An diesem hast Du eine ip access-group 111 inbound definiert, welche leider den ip inspected Traffic gleichermassen betrifft. Wichtig: IP Inspect betrifft nur NAT-Traffic Am besten entfernts Du mal die Inbound access-list 111, weil diese läst z.B. eh kein http Traffic zu, sobald Du die inspection rule entfernst. Als nächstes würde ich das IP Inspection inbound eth konfigurieren. ip inspect myfw in eth 0 und mal schauen ob es nun funktioniert. MfG Mr. Oiso

Hi oscar1 Dann mach doch zunächst mal folgendes. switch: flash_init danach switch: load_helper und dann switch: dir flash: Dann paste mal Dein Ergebnis ! Mal schauen was wir noch tun können. MfG Mr.Oiso

Hallo WP3 Du hast recht ! Die Kabel sind besonders gefertigt. Verwendet werden dabei die LX-Module Single Mode 9ym. Auf der TX-Seite wird das Singlemode des Patchcord angeschlossen und auf RX der Multimode Link. Der Singlemode Link geht nach wenigen cm in eine Multimode 50ym Faser über und wird danach ganz normal gepatched. Habe diese Variante mehrfach im Einsatz, um eine durch vielfach gepatchte Strecke, welches eine zu hohe Dämpfung verursacht zu überwinden. Das längste was ich im Einsatz habe liegt so bei 600m mit 3-4 Patch-Verteilern dazwischen ! Ohne Mode Conditioning mit den normalen SX-Modulen ist bei etwa 480m das Ende der Fahnenstange angekommen. MfG Mr. Oiso

Hallo MichaelGee Leider kann ich die anghängte Datei nicht lesen (öffnen oder kopieren). Somit basiert meine Aussage nur auf Deine Fragen laut Text. So wie ich das sehe, bin ich erstmal überrascht, dass Du der Meinung bist, das Vlan mit (WLAN inkl.) sei dynamisch. Ich gehe mal davon aus, dass alle Host`s im VLAN+WLAN genauso wie alle anderen Host`s an den Cisco Switches mit "switchport access vlan x" statisch festgeklemmt sind und dem entsprechenden Vlan zugewiesen sind. Dynamische Vlan-verteilung klappt nur mit einem VMPS-Server, welchen Du in der Regel nur auf einem Cisco Catalyst 4000 oder 6000 konfigurieren kannst. Nicht aber auf einem 3550 und schon garnicht auf einem 2950 ! Das Mapping findet nur auf einem VMPS-Server statt, welcher sich via tftp/ftp eine vlan.db von einem Server läd, und die darin enthaltenen MAC-to-Vlan Mappings dann zuweißt, sobald ein Host an einem Port eingeschaltet oder angeschlossen wird. Ausserdem gehe ich davon aus, dass Du auf dem 3550 alle Vlan`s gegeneinander oder zueinander routest über eigens dafür angelegte Vlan Interfaces. Somit bleibt Dir eigendlich nur hier die Möglichkleit via ACL`s den Traffic von Vlan zu Vlan zu verhindern. P.S.: Lass uns doch bitte mal die Config einsehen ! MfG Mr. Oiso

Hi el_chucho Eine Zeichnung wäre hier ganz angebracht ! Wie ist C als Standort angebunden ? Eventuell fehlt Dir nur eine statische Route, oder ist teilweise dynamisches Routing aktiv ? NAT halte ich nicht für die Lösung ! MfG Mr. Oiso

Hi Cliff So ist es ! Mit Deiner IOS Version klappt dass so nicht ! Ich werde gleich nochmal schauen was wir da machen können. Alternativ solltest Du aber mal nach einer neuen Version schauen. MfG Mr. Oiso

hi sammy2ooo Mein Tip: Nimm den dialer isdn short-hold mal raus ! Oder gleich die ganze DialClass ! Und probiers nochmal ! Ich habe dieses Feature noch nie eingesetzt, aber laut Erklärung hält es die Leitung länger offen, als bei Dir geplant ! P.S.: der idle-timer wird in "sec" angegeben ! (nicht "min") Original Erklärung: Short-hold mode--Configurable option for outgoing calls that causes the dialer idle timeout to be at the end of the current charging period, after a specified minimum idle time has elapsed. If the link has been idle less than the specified minimum time, the call stays connected into another charging period. MfG Mr.Oiso

Hi cliff Ich habe schon mal nachgesehen ! Der Interface Command im static NAT wurde erst mit IOS Version 12.2 (13)T eingebaut ! Solltest Du also nicht mindestens dieses IOS auf Deinem Router laufen haben, dann wird es etwas schwerer ! MfG Mr. Oiso

Hi Cliff Das ist nicht schön ! Eigendlich sollte es funktionieren. Versuch dochmal nur "dialer1" ! Das ist zwar auch nicht die global IP, dafür aber das Interface welches die global IP hält. Sollte das nicht funktionieren, dann paste doch mal das Ergebnis des Befehl " sh version" Damit kann ich dann sehen welche Hardware und welche Software du hast mit der eventuell was nicht stimmt ! Gruß Mr. Oiso

Hi Cliff Teil B Also, was ist zu tun ! Ein einfacher Zusatz in der Konfiguration sorgt dafür. ip nat inside source static tcp Lan-IP 4662 interface X 4662 extendable X = dialer 1, BVI 1, Ser0/1, eth 0/1, fasteth 0/1 Für X kann hier jedes interface stehen, welches Du mit Deinem Provider direkt verbunden hast. Es steht eigentlich als Platzhalter für Deine öffentliche IP-Adr. welche Du in der Regel alle 24 h neu bekommst. Ansonsten müsstest Du alle 24h hier Deine offizielle IP immer neu eintragen. Wenn Du eine statische IP vom Provider aus besitzt, kannst Du natürlich auch die, statt dem Interface angeben. ip nat inside source static sagt nun, dass die folgende Session dauerhaft fortgeführt wird. Ergo "statisch" Dem Router wird mitgeteilt, dass er für die Session tcp Lan-IP 4662 interface X 4662 Protokoll Quell-IP:Port nach offizielle-IP:gleicher Port permanent nutzen soll. Somit wird der Host Port 4662 auf Internetseite permanent freigehalten für eine tcp Session von Deinem PC ins Internet und zurück. Das ist das ganze Geheimnis von Port Mapping bei Cisco. Offiziell auch als Port forwarding bekannt. Ich hoffe ich konnte ausreichend helfen ! MfG Mr. Oiso

Hi Cliff Teil A Mal ganz vorab ! Hast Du die möglichkeit mal Deine Konfiguration hier zu pasten ? In weit bist Du in der Lage via Console oder IP:Telnet auf Deinen Router zu gehen, und die Konfiguration zu ändern. Läuft Dein Router schon ? Hast Du default Internet-Connect ? Das was eigentlich zu machen ist, ist statisches NAT ! NAT = Network Address Translation Dazu solltest Du wissen, dass NAT den Sinn hat, dass Dein Netzwerk (LAN) sich hinter der IP-Adr., welche Du von deinem Provider bei der Einwahl bekommst, versteckt. Diese geschieht mit dem Eintrag: ip nat inside source list 1 interface BVI (auch dialer 1 möglich) overload Zusätzlich gibt es da noch den List-Eintrag, welchen Du auf dem Router finden wirst. Er lautet etwa: access-list 1 permit 192.168.0.0 0.0.0.255 z.B. Mit diesem Eintrag wird in einer Standard ip Filter-List definiert, welche aussagt, welche LAN-Adr. sich hinter der IP-Adr. Deines Provider`s verstecken sollen. Das heißt mit 192.168.0.0/24 meine ich Dein LAN. Die access-list 1 ist auch die, die in "ip nat inside source list 1" verwendet wird. inside source = LAN Quell IP outside = Internet IP vom Provider ! Alles bis hierhin ist in der Regel eine default (standard) Konfiguration. Das heißt mit anderen Worten, dynamisches NAT. Beispiel: Dein PC 192.168.0.10 möchte eine Webside auf http://www.heise.de'>http://www.heise.de'>http://www.heise.de öffnen. Was geschieht. Dein PC kennt http://www.heise.de nicht. Also muss er die Domain zu einer IP-Adr. auflösen. Das versucht er in der Regel zuerst via Hosts-Datei lokal ! Da er dort in der Regel nix findet, könnte er via Netbios suchen wenn an der Netzwerkkarte aktiviert. Ich meine aber nicht, da Netbios keine full qualified names auflöst. Ergo bleibt ihm der DNS Eintrag, den Du auf der Netzwerkkarte konfiguriert hast, und welcher unter umständen der Router sein kann. (Auch lokal DNS Server möglich) Dazu wird ein Host Port (>1023) der Quelle (Dein PC) verwendet, um das Ziel Router IP Server Port 53 anzusprechen. Sollte der Router den DNS-Namen nicht auflösen können, startet er seinerseits eine DNS-Session mit der offiziellen IP vom Provider (einem Host Port > 1023) und fragt den ebenfals vom Provider mitgelieferten DNS-Server ab ! Ziel ist hierbei auch Port 53. Sollte das klappen, so stellt Dein PC danach, wenn er die IP von http://www.heise.de erhalten hat eine neue Session. Wieder Host Port zum Ziel http://www.heise.de:80 ! Nun passiert folgendes. Der Router tauscht nach dem er die Anfrage von Deinem PC erhalten hat die Quell-IP aus. Aus 192.168.0.10:3103 z.B. wird im besten Fall 217.87.17.214:3103 Da der Router aber unter umständen für mehrere PC`s die gleiche Session durchführen muss, könnte aus 217.87.17.214:3103 auch 217.87.17.214:3107 werden. Und schon hastDu den Portdreher drin ! Das gleiche passiert Dir mit dyn NAT auch mit 192.168.0.10:4662 . Aus 192.168.0.10:4662 wird 217.87.17.214:4665 z.B. Ergebnis: Dein Esel-Connect kommt nicht zu stande ! MfG Mr. Oiso

Hi darkjedi Ja, auch damit hast Du Recht. Sollte ein VTP-Server ausfallen, würde nichts geschehen. Da es keine autorisierte Stelle gibt, die den Clients etwas neues zu erzählen hätte. Keiner der Clients wird an seine Database etwas ändern. MfG Mr. Oiso

Hi darkjedi Höhö ! Auch das wird in der Vlan-Database festgehalten ! MfG Mr. Oiso

Hi darkjedi Das siehst Du richtig ! MfG Mr. Oiso

Hi xcooldj Das ist eigentlich ganz einfach ! Alles was Du an diesem Promt: Routername(config)# eingibst, sind globale Befehle ! Um am Interface Ethernet die IP zu entfernen oder zu ändern, musst Du in die Interfaceeinstellung wechseln mit: Routername(config)#interface ethernet 0 danach bekommst Du einen Promt: Routername(config-if)# An dieser Stelle gibst Du ein no ip address 192.168.2.201 255.255.255.0 secondary no ip address 10.10.10.1 255.255.255.0 ip address 192.168.2.201 255.255.255.0 ip address 10.10.10.1 255.255.255.0 secondary und fertig ! Über Console wäre gut ! Sonst entzieht er Dir bei der Operation die Telnet-Session ! Gruß Mr. Oiso

Hi xcooldj Erlaube mir eine Frage ! Was funktioniert denn mit dieser Konfiguration ? Wozu benötigst Du zwei LAN Netze ? Ich bin mir nicht sicher ob es nicht eventuell Probleme mit der secondary IP am Ethernet gibt. An Deiner Stelle würde ich ersteinmal auf das Minimum reduzieren. Das bedeutet: Mache 192.168.2.0/24 erstmal zum einzigen (primary) Netz. Dieses brauchst Du offensichtlich für das static NAT. Dann nimm eine standard access-list für die inside source list und keine extended ! Wozu brauchst Du access-list 102 permit 25 any any ? Hier steht die 25 nicht für den IP:Port 25 ! 25 ist hier eine Protokoll Nummer. Beispiele: Assigned Internet Protocol Numbers Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [iANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [sGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [bN7] 15 XNET Cross Net Debugger [iEN158,JFH2] 16 CHAOS Chaos [NC3] Nimm z.B. diese List: access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 Damit klappt es dann bestimmt. Binde anschließend das zweite Netz 10.10.10.0/24 an das eth int und teste nochmal ! Und nimm beim Test auch erstmal Deine ip access-group 122 out vom int eth. P.S.: Eintäge können mit dem "no" vor dem jeweiligen Command entfernt werden. Beispiel ip address 192.168.2.201 255.255.255.0 secondary löscht man mit no ip address 192.168.2.201 255.255.255.0 secondary am int eth. Oder global Befehle: access-list 23 permit 195.63.63.132 access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 löscht man mit no access-list 23 MfG Mr. Oiso

Hallo darkjedi VMPS ! Für VMPS ist ein Cat operating system notwendig. Cisco Cat 5000 oder 6500 ! Eventuell auch 4000, da müsste ich nachschauen. Nur diese Hardware ist in der Lage je nach Image, einen VMPS darzustellen. Da Prinzip ist hierbei, dass ein Switch vom Typ 3500 oder 2950 einen Host connected Port, sobald er physikalisch eingeschaltet wird (status up) oder PC wird angeschlossen oder eingeschaltet, die MAC Adr. mit der VMPS Database vergleicht, um anschließend das in ihr enthaltene Vlan-Mapping am Port dynamisch umzusetzen. Hierbei wird auf dem Switch der VMPS-Server konfiguriert, welchen der Cat 5000,6500 oder 4000 darstellt. Dieser holt sich bei Anfrage dann die Database von einem TFTP-Server, bei entsprechender Software-Version auch FTP möglich. In der Database ist dann lediglich Zeile für Zeile eine MAC Adr. einem Vlan zugeordent, in welches dann der entsprechende Port des 2950/3500 gelegt wird. Ich hoffe ich konnte helfen ! MfG Mr. Oiso

Hi darkjedi Das ging ja schnell ! VTP ist ein Protokoll, welches nach einem Server/Client Prinzip arbeitet. Die Advertisments werden alle 300 sec. gesendet. Hierbei sendet ausschließlich der Server. Beim VTP wird ein Switch zum VTP Server konfiguriert, auf dem das editieren von Vlan`s vorgenommen wird. Alle anderen Switches werden zum VTP Client konfiguriert. Hierbei bietet sich das VTP v2 an. Nur in ihm ist es möglich eine Managment Domain zu konfigurieren, welche aus Sicherheitsgründen auch mit einem Passwort versehen werden kann. In einem Advertisment Request überprüft ein Client-System lediglich die Configuration Revision Nummer des Servers mit seiner eigenen. Das passiert alle 300 sec. Auf einem Gigabit Link ist die dafür benötigte Bandbreite verschwindend gering. Sollte die Revisionsnummer mal einmal nicht übereinstimmen, so fordert der Client ein Summary ein. Das bedeutet, das auf dem Server die Revision Number größer sein muss als auf dem Client. Eine Revision Number wird um 1 erhöht, sobald eine Vlanänderung vorgenommen wird. Dabei ist es egal, ob ein neues Vlan erstellt wurde oder gelöscht wurde. Für den Client ist es lediglich ein Indiz dafür, dass eine Änderung stattgefunden hat. Somit fordert er ein Summary an, worin die Vlan-Database des Servers übermittelt wird. Nach Überprüfung dieser, fordert der Client ein Subset Advertisment an, womit er die Änderung zur Konfiguration mitgeteilt bekommt. Danach sollten die Vlan Databases auf Server und Client wieder identisch sein. Managment Domain und Passwort verhindern hierbei einen willkürlichen abgleich eines jeden Client-Systems mit einem Server. Ohne könnte es passieren, sobald ein Server ins Netz integriert wird, dass Vlan`s gleöscht oder erstellt werden, welche man nicht vorgesehen hat. Dies gilt in erster Linie für die Protokoll Version 1. Tip ! VTP mode Server läßt das erstellen und löschen von Vlan`s zu und ist gleichzeitig default Einstellung. Auf einem VTP Client ist es nicht erlaub Vlan`s zu erstellen oder löschen. Darüberhinaus gibt es noch den transparent mode, welcher VTP forwarded, aber nicht verwendet um seine eigene Vlan Database zu editieren. Fortsetzung folgt. MfG Mr. Oiso

Hi schruppa Da hab ich einen Fehler gemacht ! "ip nat inside source static tcp Lan-IP 4662 0.0.0.0 4662 extendable" 0.0.0.0 ist falsch ! Hier muss natürlich Dein global Interface stehen. z.B. Interface dialer 1 ! Es sei denn, Du hast ne statische IP, dann kann auch die hier rein. Sorry ! MfG Mr. Oiso

Hallo darkjedi Auf die Frage: Was empfiehlt sich: ISL oder IEEE 802.1q? Antwort: Hier eine klare Absage an ISL ! Auf Vor-Nachteile braucht hier eigentlich garnicht mehr eingegangen werden. Das liegt daran, daß die 3500 Serie von Cisco abgekündigt ist, und die neue 2950 Serie nur noch 802.1q unterstützt. Auf die Frage: VTP wollte ich nicht nutzen aufgrund der Überschaubarkeit der VLAN-Umgebung. Antwort: Warum ? Laut meiner Kenntnis kannst Du natürlich auf VTP verzichten, aber die Überschaubarkeit wir deswegen nicht besser. Lediglich der Aufwand zum Integrieren neuer/weiterer Vlan`s wird größer, da Du ohne VTP später auf jedem Switch das neue Vlan von Hand eintragen musst. VTP erleichter das handling in großen (schlecht erreichbaren) Strukturen. Mit VTP kann ich von einer Stelle (Switch) aus Vlan`s editieren. Auf die Frage: Ist das Management VLAN standardmäßig das Native VLAN an Trunk Ports? Antwort: Ja ! Per default ist das Management Vlan immer Vlan 1. Kann aber auch geändert werden. MfG Mr. Oiso

Hi schruppa Auch so kann es gehen ! Pretender`s Antwort in diesem Forum zu Port 25 ! http://www.mcseboard.de/showthread.php?s=&threadid=45322 MfG Mr. Oiso

Hi Stefan69 Nach der angegebenen Vorlage kannst Du konfigurieren. Der Eintrag: ! Permit all bridged packets access-list 201 permit 0x0000 0xFFFF ! dialer-list 1 LIST 201 steht ausschließlich für die zu brückenden Protokolltypen. 0x000 - 0xFFFF bedeutet soviel wie alle möglichen Typen. Für IP/Ethernet z.B. = 0x0800 802.2 SAP z.B. = 0x06 oder ipx encapsulation snap = 0x8137 usw. ! Diese Liste schließt keinen Protokoll-Typ aus ! Zu Frage 2: Du hast Recht. Die spid ID benötigt man lediglich in USA. Hier sollte der Eintrag: dialer map bridge name ROUTER1 7710413 vollkommen ausreichen ! MfG Mr. Oiso

Hi schruppa O.k.! Ich verkneife mir jetzt einen Kommentar zu "tcp port 4662/ udp 4672 kommunizieren will" Es ist so wie Du sagtst, unter Portforwarding darfst Du bei Cisco nicht schauen. Im Prinzip definierst Du mit "ip nat inside" und "ip nat oustside" welche Interfaces die offizielle IP vom Provider hält und welches Interface das LAN umfasst. Zusätzlich wird auf dem Router ein Eintrag zu finden sein wie: ip nat inside source list 1 interface BVI overload Im Zusammenhang mit der Access-list 1 permit Lan/Mask wird nun definiert, welcher Traffic nach (Internet) genattet wird. Diese Einstellung ist "default" und dynamisch. Somit wird der Port 4662 z.B. auf der offiziellen IP angesprochen, aber nicht an den Client Host Port 4662 weitergeleitet. Hierfür benötigst Du also statisches NAT für diesen einen Port. Dieses wird wie folgt konfiguriert: ip nat inside source static tcp Lan-IP 4662 0.0.0.0 4662 extendable Lan-IP steht hierbei für den Host, wo der Port 4662 angesprochen werden soll, und 0.0.0.0 für jede IP-Adr. aus dem Internet. Sollte der Server im Internet immer die selbe Adr. haben, so kann diese auch anstatt von 0.0.0.0 eingetragen werden. Das Gleiche gilt auch für UDP: ip nat inside source static udp Lan-IP 4672 0.0.0.0 4672 extendable So in etwa sollte es klappen ! Bei Prob`s gerne wieder ! MfG Mr. Oiso

Hallo sYnTaxx Eine Frage : Läuft etwa der dialout nicht mehr ? Oder nur wenn über Tacacs+ authentifiziert werden kann ? Dann könnte aaa authentication ppp default group tacacs+ daran schuld sein ! Use: aaa authentication ppp default group tacacs+ local damit der Router neben tacacs+ auch local zulässt. Und oder: Mach das dialer interface für Outbound/Inbound zu, mit: ppp authentication xxx callin/callout MfG Mr. Oiso

Hallo sYnTaxx Ich gehöre zwar nicht zu den AAA Spezialisten, jedoch habe ich schon die eine oder andere ACS Konfiguration in Verbindung mit den entsprechenden Routern oder Switches probiert. Hierzu ein paar Beispiele ! http://www.cisco.com/en/US/tech/tk583/tk642/tech_configuration_examples_list.html http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_configuration_example09186a00800945ee.shtml Zu Deiner Frage: Ich gehe nicht davon aus, dass es etwas gibt, womit Du einfach die Outbound Connects disablen kannst. Hierzu wäre es wahrscheinlich besser, wenn Du Inbound und Outbound vom virtuellen dialer trennst. Somit hast Du dann die Möglichkeit via "dialer aaa" inbound über Tacacs+ abzudecken, und Outbound über local zu authentifizieren. Nutze also "nicht" In- und Outbound über das selbe dialer interface, dann sollte es gehen ! MfG Mr. Oiso