DieterK

Hallo Forum, bei meinem Kunden wird ein Teil des Netzwerkes für die Auftragsbearbeitung eine Kunden separat durchgeführt. Dieser Auftraggeber wünscht eine Abschottung des Netzwerk 1 von Netzwerk 2. Der Internetzugang soll über Netzwerk 2 möglich sein. Netzwerk 2 ist ebenfalls durch eine Firewall geschützt. Eine Administration des Netzwerk 1 von Netzwerk 2 aus soll ermöglicht werden. Nach den Informationen, die ich bisher bekommen habe, denke ich, dass ich eine Lösung mit DMZ aufbauen möchte. Netzwerk 1 (192.168.5.x an inside) Netzwerk 2 (10.0.2.x an DMZ) Internetzugang (separat an Outside) Als Firewall plane ich den Einsatz der ASA 5505 mit DMZ Bundle. Die Regeln möchte ich wie folgt aufbauen: Von Inside nach Outside werden nur bestimmte Protokolle erlaubt (WWW,FTP,FTP-DATA,SSH,SSL) Von DMZ nach Outside wird alles gesperrt Von DMZ nach Inside werden Zugänge über STATIC eingerichtet Von Inside nach DMZ erfolgt nur ein beschränkter Zugriff auf bestimmte Stationen (interner Mail-Server) Von Outside nach DMZ wird es kein Zugang geben Von Outside nach Inside wird es kein Zugang geben Ich hoffe dass meine Planung so funktioniert. Kann die ASA 5505 dieses? Viele Grüße und Dank Dieter

Hallo Forum, ich benötige für unser Netzwerk eine Firewall. Dem Kunden währe eine Cisco-Firewall am liebsten. Wir benötigen die folgende Funtkionen: Netzwerk 1 (192.168.5.x) Netzwerk 2 (10.0.2.x) mit Internetzugang über 10.0.2.201 Alle Stationen sollen über Netzwerk 2 auf das Internet zugreifen können. Einige Stationen ais dem Netzwerk 2 sollen auf die Stationen im Netzwerk 1 zugreifen können (pcAnywhere, SQL-Administration, Zugriff auf Netzwerkdaten) Ich denke, dass das Netzwerk 1 am Inside-Port und das Netzwerk 2 am Outside-Port angeschlossen wird. Mit welcher Firewall kann ich dieses Szenario realisieren? Oder sollte ich doch eher einen Router einsetzen? Wenn ja dann bitte ich ebenfalls um Empfehlungen. Wie regel ich den Zugriff untereinander in Bezug auf NAT oder STATIC. Ich hoffe, dass mein gewünschtes Szenario zu realiseren ist und danke schon mal im Voraus für Eure Bemühungen. Viele Grüße Dieter

Hallo Wordo, nach meinen Recherchen benötige ich das PLUS-Paket für meine Firmware. Mein Lieferant (Techdata/azlan) behauptet jedoch, dass eine Lieferfrist von 4 Wochen besteht. Ist das real oder kann die Software man das auf einer andere seriösen Weise schneller bekommen? Viele Grüße Dieter

Hallo mturba, danke für Deine Aufklärung. Du hast Recht. Nun muss ich zusehen, dass ich ein anderes IOS mit PLUS-Feature herbekomme. Vielen Grüße Dieter

Hallo Wordo, ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht. Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl. Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen. Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN). Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist? Viele Grüße und Dank Dieter Kühlborn

Hallo Forum, ich möchte meinen Cisco 831 über DMVPN als Spoke einsetzen. Meine Firmware (Auslieferungszustand) ist laut show tech: Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2) Mit diesem IOS kann ich laut SDM 2.3 kein DMVPN konfigurieren, da dieses Feature nicht unterstützt wird. Kann es sein, das die neuere IOS-Version DMVPN nicht unterstützt? Ich habe in diversen Forenbeiträgen gelesen, dass der 831 mit DMVPN als Spoke eingesetzt werden kann. Ich freue mich über eine Klärung dieser Fragen. Viele Grüße Dieter

Hallo Chrusafan, habe das gleiche Problem und möchte von Router A über B nach C kommen. Kannst Du mir mal die Konfigs der ACL posten. Ich komme mit meinen Konfigs nicht weiter und benötige hier mal Unterstützung. Ein Link zu Doku von Cisco währe auch schon gut. Ich habe dort leider nicht das passende gefunden. Viele Dank im Voraus und viele Grüße Dieter

Fortsetzung: access-list 1 permit 10.0.0.0 0.0.255.255 access-list 23 permit 10.0.0.0 0.0.255.255 access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 access-list 105 permit ip 10.0.0.0 0.0.255.255 any access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 access-list 111 permit ip 10.0.0.0 0.0.255.255 any access-list 111 permit udp any any access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run ! route-map XMAP1 permit 1 match ip address 101 ! route-map XMAP2 permit 1 match ip address 102 ! route-map XMAP3 permit 1 match ip address 103 ! route-map nonat permit 10 match ip address 105 ! end Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C. Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert. Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert. Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe. Ich danke schon mal im Voraus. Viele Grüße Dieter

Hallo Forum, ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst. Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht. Standort A Netzwerk 10.0.0.0/16 Standort B Netzwerk 192.168.42.0/24 Standort C Netzwerk 192.168.4.0/24 Standort D Netzwerk 192.168.44.0/24 Standort A: version 12.3 no service pad ! hostname Router-A ! ip name-server 217.237.149.161 ip name-server 217.237.151.225 vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! isdn switch-type basic-net3 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxxxx address 999.999.999.999 crypto isakmp key xxxxx address 888.888.888.888 crypto isakmp key xxxxx address 777.777.777.777 ! crypto ipsec transform-set SET1 esp-3des esp-sha-hmac crypto ipsec transform-set SET2 esp-3des esp-sha-hmac crypto ipsec transform-set SET3 esp-3des esp-sha-hmac ! crypto map XVPN 1 ipsec-isakmp set peer 213.146.119.47 set transform-set SET1 match address 101 crypto map XVPN 2 ipsec-isakmp set peer 217.91.53.48 set transform-set SET2 match address 102 crypto map XVPN 3 ipsec-isakmp set peer 87.139.18.218 set transform-set SET3 match address 103 ! interface Tunnel1 ip address 192.168.191.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 999.999.999.999 crypto map XVPN ! interface Tunnel2 ip address 192.168.192.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 888.888.888.888 crypto map XVPN ! interface Tunnel3 ip address 192.168.193.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 777.777.777.777 crypto map XVPN ! interface FastEthernet0 description $ETH-WAN$ no ip address no ip unreachables ip nat outside ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 no cdp enable ! interface Vlan1 ip address 10.0.1.253 255.255.0.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer0 ip address negotiated ip mtu 1456 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname inetuser ppp chap password password ppp pap sent-username inetuser password password ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.4.0 255.255.255.0 Tunnel1 ip route 192.168.42.0 255.255.255.0 Tunnel2 ip route 192.168.44.0 255.255.255.0 Tunnel3 ip http server ip http authentication local ip http secure-server ip nat inside source list 111 interface Dialer0 overload ip nat inside source route-map XMAP1 interface Dialer0 overload ip nat inside source route-map XMAP2 interface Dialer0 overload ip nat inside source route-map XMAP3 interface Dialer0 overload ip nat inside source route-map nonat interface Dialer0 overload ! Fortsetzung folgt..

Hallo Forum, ich hoffe, dass ich Euch nicht zur sehr auf die Nerven gehe. Mit diesem Beitrag schildere ich Euch mal unsere aktuelle Situation bzgl. der Cisco-Programmierung. Standort Haupt Cisco 1712 IOS: c1700-k9o3sy7-mz.123-7.XR3.bin IP VLAN: 10.0.1.253 255.255.0.0 IP Tunnel: 192.168.199.1 255.255.255.0 IP Internet:217.91.111.99 Standort Neben1 und Neben2 Cisco 836 IOS: c836-k9o3s8y6-mz.123-11.T.bin IP: 192.168.42.253 255.255.255.0 IP Tunnel: 192.168.199.3 255.255.255.0 IP Internet:dynamisch vergeben Auf den Routern habe ich ein DMVPN eingerichtet. Der Cisco 1712 ist der HUB und die beiden 836er sind die Spokes. Das Zusammenspiel des DMVPN läuft ohne Probleme. Über den Cisco 1712 finden sich auch die beiden 836, so wie es beim DMVPN vorgesehen ist. Eine Kommunikation zwischen Standort Neben1 und Neben2 läuft ebenfalls ohne Probleme. Lediglich die Verbindung zum Netzwerk in Haupt kommt nicht zu stande. Führe ich von meiner Station ein Trace nach Neben1 aus, so bleibt er im Cisco 1712 hängen. C:\Dokumente und Einstellungen\user>tracert 192.168.4.3 Routenverfolgung zu Server.ed.local [192.168.4.3] über maximal 30 Abschnitte: 1 <1 ms <1 ms <1 ms Sever.ed.local [10.0.2.201] 2 1 ms 1 ms 1 ms 10.0.1.253 3 * * * Zeitüberschreitung der Anforderung. Führe ich den Ping 192.168.4.3 im Cisco 1712 über das Terminal aus, so funktioniert er. Führe ich den Ping 10.0.1.190 (eigene Station) im Cisco 1712 über das Terminal aus, so funktioniert er nicht. Ich habe in der Config mit den Befehlen IP ROUTE 10.0.0.0 255.255.0.0 VLAN1 IP ROUTE 192.168.4.0 255.255.255.0 TUNNEL0 IP ROUTE 192.168.42.0 255.255.255.0 TUNNEL0 zum Routing versucht das Problem zu lösen es hat jedoch nicht funktioniert. Ich hoffe, dass Ihr mir helfen können und danke Euch im Voraus für Ihre Bemühungen.

Hallo Forum, mit Eurer Hilfe habe ich es soweit geschafft, dass mein Cisco 1712 und mein Cisco 836 einen einfachen Tunnel über Internet aufbauen. Hier für danke ich Euch ganz herzlich. Nun bekam ich den Auftrag an den Cisco 1700 noch zwei weitere Standorte mittels Cisco Router anzubinden. Kann mir jemand einen Tip geben, wie ich die Config erweiter muss, damit die Verbindung läuft? Hauptstandort: IP 10.0.x.x Cisco 1700 IP 10.0.1.253 Subnet 255.255.0.0 Standort 1 (Läuft schon) IP 192.168.4.x Standort 2 (geplant) IP 192.168.14.x Standort 3 (geplant) IP 192.168.24.x Der Cisco-Router 1700 soll so laufen, dass er Verbindungen zu den 3 anderen Standorten hat. Die 3 Standorte sollen nur zum Hauptstandort zugriff haben. Eine Quer-Verbindung von Standort 2 zu Standort 3 ist vorerst nicht geplant. Ausschnitte aus der Running-Config vom Cisco 1712 crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key VPNS1 address 888.888.888.88 ! ! crypto ipsec transform-set dsltest esp-3des esp-md5-hmac ! crypto map VPNS1 10 ipsec-isakmp set peer 888.888.888.88 set transform-set dsltest match address 101 interface Dialer0 ip address negotiated ip mtu 1456 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname userxxxxx ppp chap password 0 passxxxxx ppp pap sent-username userxxxxx password 0 passxxxxx crypto map VPNS1 ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip http server ip http authentication local ip http secure-server ip nat inside source list 102 interface Dialer0 overload ip nat inside source route-map nonat interface Dialer0 overload logging trap debugging logging facility local2 access-list 1 permit 10.0.0.0 0.0.255.255 access-list 23 permit 10.0.0.0 0.0.255.255 access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 105 permit ip 10.0.0.0 0.0.255.255 any dialer-list 1 protocol ip permit no cdp run ! route-map nonat permit 10 match ip address 105 Ich hoffe, dass meine Angaben ausreichend sind, un mein Anliegen verstanden wurde. Für Eure Hilfe danke ich im Voraus. DieterK

Hallo Forum, ich danke für Eure Antworten. In meinem Router war ein falsche Config-Register eingetragen (0x142). Nachdem ich auf 0x2102 geändert habe konnte ich mittels "copy running-config startup-config" die Config sichern. Bei mir zu Hause habe ich die Verbindung zu T-Online mit meinen Zugangsdaten bekommen. In meinem Büro sollte der Router die Verbindung über SDSL von Telekom mit fester IP-Adresse hergestellt werden. Ich kenne zudem auch die DNS-Server von TDSL-Business nicht. Lt. Telekom soll die Anmeldung bei fester IP-Adresse wie folgt lauten: <ip-adresse>/tdsl-nummer@t-online-com.de z.B. 123.123.123.123/abc123abc123@t-online-com.de Habe ich das so richtig verstanden? Ich bekommen über meinen TDSL-Business keine Verbindung hin. Der Cisco 1712 von meinem Standort aus Verbindungen zu zwei weiteren Büros mit jeweils Cisco 836 herstellen. Gruß und Dank DieterK

Hallo Forum, nachdem ich mir bei meinen ersten Versuchen mit der Programmierung des Routers dir Firmware gelöscht habe, möchte ich nun doch mal bevor ich "Käse" programmiere das Forum befragen. Ich komme per HyperTerminal auf den Router. Wenn ich den Router neu starte, so wird immer der Initialisierungsdialog gestartet. Muss ich diesen durchlaufen? Wie kann ich die gewählen Einstellungen speichern, so dass der Router auch beim nächsten Neustart die Konfiguration behält? Bei Start wird immer der foglende Dialog gestartet: 1 Ethernet interface 5 FastEthernet interfaces 1 ISDN Basic Rate interface 1 Virtual Private Network (VPN) Module 32K bytes of NVRAM. 32768K bytes of processor board System flash (Read/Write) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: Und hier die Frage, die man für durch aus dumm empfinden kann, aber ich weise es nun mal nicht: Wie gebe ich die Kennwörter für Zugangsdaten per Terminal ein? Mit sh run sehe ich z.b. diese Eintragungen ppp pap sent-username dsluser%kamp-dsl password 7 1234567898 Hinter password 7 wird nur das verschlüsselte Kennwort angezeigt. Wird es bei der Eingabe automatisch verschlüsselt? Der Router sollte folgende Funktionen können: - Verbindung zum Internet via DSL-Modum über Port FastEthernet0 - Verbindung zum lokalen Netzerk via Port FastEthernet1-4 (Switch) Ich hoffe, dass ich mit den vielen Frage ich euch nicht nerve und hoffe, dass ich verstanden wurde. Mit vielen Dank im voraus freue ich mich auf Eure Unterstützung Gruß DieterK

Hallo Frank04, danke für Deine Antwort. Ich habe dieses schon geprüft. Leider war keine Firmware im Flash. Gruß DieterK

Hallo dakind, im Augenblick lade ich auf Deiner Weise mir eine ältere Firmware auf den Router, damit ich ihn erstmal wieder zu laufen bekomme. Für Deinen Tipp danke ich Dir sehr herzlich. Gruß DieterK