DieterK
-
Gesamte Inhalte
19 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von DieterK
-
-
Hallo Forum,
ich benötige für unser Netzwerk eine Firewall. Dem Kunden währe eine Cisco-Firewall am liebsten. Wir benötigen die folgende Funtkionen:
Netzwerk 1 (192.168.5.x)
Netzwerk 2 (10.0.2.x) mit Internetzugang über 10.0.2.201
Alle Stationen sollen über Netzwerk 2 auf das Internet zugreifen können.
Einige Stationen ais dem Netzwerk 2 sollen auf die Stationen im Netzwerk 1 zugreifen können (pcAnywhere, SQL-Administration, Zugriff auf Netzwerkdaten)
Ich denke, dass das Netzwerk 1 am Inside-Port und das Netzwerk 2 am Outside-Port angeschlossen wird. Mit welcher Firewall kann ich dieses Szenario realisieren? Oder sollte ich doch eher einen Router einsetzen? Wenn ja dann bitte ich ebenfalls um Empfehlungen.
Wie regel ich den Zugriff untereinander in Bezug auf NAT oder STATIC.
Ich hoffe, dass mein gewünschtes Szenario zu realiseren ist und danke schon mal im Voraus für Eure Bemühungen.
Viele Grüße
Dieter
-
Hallo Wordo,
nach meinen Recherchen benötige ich das PLUS-Paket für meine Firmware. Mein Lieferant (Techdata/azlan) behauptet jedoch, dass eine Lieferfrist von 4 Wochen besteht. Ist das real oder kann die Software man das auf einer andere seriösen Weise schneller bekommen?
Viele Grüße
Dieter
-
Hallo mturba,
danke für Deine Aufklärung. Du hast Recht. Nun muss ich zusehen, dass ich ein anderes IOS mit PLUS-Feature herbekomme.
Vielen Grüße
Dieter
-
Hallo Wordo,
ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.
Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.
Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.
Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).
Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?
Viele Grüße und Dank
Dieter Kühlborn
-
Hallo Forum,
ich möchte meinen Cisco 831 über DMVPN als Spoke einsetzen. Meine Firmware (Auslieferungszustand) ist laut show tech:
Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)
Mit diesem IOS kann ich laut SDM 2.3 kein DMVPN konfigurieren, da dieses Feature nicht unterstützt wird. Kann es sein, das die neuere IOS-Version DMVPN nicht unterstützt? Ich habe in diversen Forenbeiträgen gelesen, dass der 831 mit DMVPN als Spoke eingesetzt werden kann.
Ich freue mich über eine Klärung dieser Fragen.
Viele Grüße
Dieter
-
Hallo Chrusafan,
habe das gleiche Problem und möchte von Router A über B nach C kommen. Kannst Du mir mal die Konfigs der ACL posten. Ich komme mit meinen Konfigs nicht weiter und benötige hier mal Unterstützung. Ein Link zu Doku von Cisco währe auch schon gut. Ich habe dort leider nicht das passende gefunden.
Viele Dank im Voraus und viele Grüße
Dieter
-
Fortsetzung:
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 23 permit 10.0.0.0 0.0.255.255
access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
access-list 105 permit ip 10.0.0.0 0.0.255.255 any
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
access-list 111 permit ip 10.0.0.0 0.0.255.255 any
access-list 111 permit udp any any
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
route-map XMAP1 permit 1
match ip address 101
!
route-map XMAP2 permit 1
match ip address 102
!
route-map XMAP3 permit 1
match ip address 103
!
route-map nonat permit 10
match ip address 105
!
end
Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C.
Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert.
Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert.
Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe.
Ich danke schon mal im Voraus.
Viele Grüße
Dieter
-
Hallo Forum,
ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst.
Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht.
Standort A Netzwerk 10.0.0.0/16
Standort B Netzwerk 192.168.42.0/24
Standort C Netzwerk 192.168.4.0/24
Standort D Netzwerk 192.168.44.0/24
Standort A:
version 12.3
no service pad
!
hostname Router-A
!
ip name-server 217.237.149.161
ip name-server 217.237.151.225
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
isdn switch-type basic-net3
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxx address 999.999.999.999
crypto isakmp key xxxxx address 888.888.888.888
crypto isakmp key xxxxx address 777.777.777.777
!
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac
crypto ipsec transform-set SET2 esp-3des esp-sha-hmac
crypto ipsec transform-set SET3 esp-3des esp-sha-hmac
!
crypto map XVPN 1 ipsec-isakmp
set peer 213.146.119.47
set transform-set SET1
match address 101
crypto map XVPN 2 ipsec-isakmp
set peer 217.91.53.48
set transform-set SET2
match address 102
crypto map XVPN 3 ipsec-isakmp
set peer 87.139.18.218
set transform-set SET3
match address 103
!
interface Tunnel1
ip address 192.168.191.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 999.999.999.999
crypto map XVPN
!
interface Tunnel2
ip address 192.168.192.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 888.888.888.888
crypto map XVPN
!
interface Tunnel3
ip address 192.168.193.1 255.255.255.252
ip mtu 1432
tunnel source Dialer0
tunnel destination 777.777.777.777
crypto map XVPN
!
interface FastEthernet0
description $ETH-WAN$
no ip address
no ip unreachables
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
no cdp enable
!
interface Vlan1
ip address 10.0.1.253 255.255.0.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1456
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname inetuser
ppp chap password password
ppp pap sent-username inetuser password password
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.4.0 255.255.255.0 Tunnel1
ip route 192.168.42.0 255.255.255.0 Tunnel2
ip route 192.168.44.0 255.255.255.0 Tunnel3
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source route-map XMAP1 interface Dialer0 overload
ip nat inside source route-map XMAP2 interface Dialer0 overload
ip nat inside source route-map XMAP3 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
!
Fortsetzung folgt..
-
Hallo Forum,
ich hoffe, dass ich Euch nicht zur sehr auf die Nerven gehe. Mit diesem Beitrag schildere ich Euch mal unsere aktuelle Situation bzgl. der Cisco-Programmierung.
Standort Haupt
Cisco 1712
IOS: c1700-k9o3sy7-mz.123-7.XR3.bin
IP VLAN: 10.0.1.253 255.255.0.0
IP Tunnel: 192.168.199.1 255.255.255.0
IP Internet:217.91.111.99
Standort Neben1 und Neben2
Cisco 836
IOS: c836-k9o3s8y6-mz.123-11.T.bin
IP: 192.168.42.253 255.255.255.0
IP Tunnel: 192.168.199.3 255.255.255.0
IP Internet:dynamisch vergeben
Auf den Routern habe ich ein DMVPN eingerichtet. Der Cisco 1712 ist der HUB und die beiden 836er sind die Spokes. Das Zusammenspiel des DMVPN läuft ohne Probleme. Über den Cisco 1712 finden sich auch die beiden 836, so wie es beim DMVPN vorgesehen ist. Eine Kommunikation zwischen Standort Neben1 und Neben2 läuft ebenfalls ohne Probleme. Lediglich die Verbindung zum Netzwerk in Haupt kommt nicht zu stande.
Führe ich von meiner Station ein Trace nach Neben1 aus, so bleibt er im Cisco 1712 hängen.
C:\Dokumente und Einstellungen\user>tracert 192.168.4.3
Routenverfolgung zu Server.ed.local [192.168.4.3] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms Sever.ed.local [10.0.2.201]
2 1 ms 1 ms 1 ms 10.0.1.253
3 * * * Zeitüberschreitung der Anforderung.
Führe ich den Ping 192.168.4.3 im Cisco 1712 über das Terminal aus, so funktioniert er.
Führe ich den Ping 10.0.1.190 (eigene Station) im Cisco 1712 über das Terminal aus, so funktioniert er nicht.
Ich habe in der Config mit den Befehlen
IP ROUTE 10.0.0.0 255.255.0.0 VLAN1
IP ROUTE 192.168.4.0 255.255.255.0 TUNNEL0
IP ROUTE 192.168.42.0 255.255.255.0 TUNNEL0
zum Routing versucht das Problem zu lösen es hat jedoch nicht funktioniert.
Ich hoffe, dass Ihr mir helfen können und danke Euch im Voraus für Ihre Bemühungen.
-
Hallo Forum,
mit Eurer Hilfe habe ich es soweit geschafft, dass mein Cisco 1712 und mein Cisco 836 einen einfachen Tunnel über Internet aufbauen.
Hier für danke ich Euch ganz herzlich.
Nun bekam ich den Auftrag an den Cisco 1700 noch zwei weitere Standorte mittels Cisco Router anzubinden. Kann mir jemand einen Tip geben, wie ich die Config erweiter muss, damit die Verbindung läuft?
Hauptstandort: IP 10.0.x.x
Cisco 1700 IP 10.0.1.253 Subnet 255.255.0.0
Standort 1 (Läuft schon) IP 192.168.4.x
Standort 2 (geplant) IP 192.168.14.x
Standort 3 (geplant) IP 192.168.24.x
Der Cisco-Router 1700 soll so laufen, dass er Verbindungen zu den 3 anderen Standorten hat. Die 3 Standorte sollen nur zum Hauptstandort zugriff haben. Eine Quer-Verbindung von Standort 2 zu Standort 3 ist vorerst nicht geplant.
Ausschnitte aus der Running-Config vom Cisco 1712
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp key VPNS1 address 888.888.888.88
!
!
crypto ipsec transform-set dsltest esp-3des esp-md5-hmac
!
crypto map VPNS1 10 ipsec-isakmp
set peer 888.888.888.88
set transform-set dsltest
match address 101
interface Dialer0
ip address negotiated
ip mtu 1456
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname userxxxxx
ppp chap password 0 passxxxxx
ppp pap sent-username userxxxxx password 0 passxxxxx
crypto map VPNS1
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 102 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
logging trap debugging
logging facility local2
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 23 permit 10.0.0.0 0.0.255.255
access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 105 permit ip 10.0.0.0 0.0.255.255 any
dialer-list 1 protocol ip permit
no cdp run
!
route-map nonat permit 10
match ip address 105
Ich hoffe, dass meine Angaben ausreichend sind, un mein Anliegen verstanden wurde.
Für Eure Hilfe danke ich im Voraus.
DieterK
-
Hallo Forum,
ich danke für Eure Antworten.
In meinem Router war ein falsche Config-Register eingetragen (0x142). Nachdem ich auf 0x2102 geändert habe konnte ich mittels "copy running-config startup-config" die Config sichern.
Bei mir zu Hause habe ich die Verbindung zu T-Online mit meinen Zugangsdaten bekommen. In meinem Büro sollte der Router die Verbindung über SDSL von Telekom mit fester IP-Adresse hergestellt werden.
Ich kenne zudem auch die DNS-Server von TDSL-Business nicht.
Lt. Telekom soll die Anmeldung bei fester IP-Adresse wie folgt lauten:
<ip-adresse>/tdsl-nummer@t-online-com.de
z.B. 123.123.123.123/abc123abc123@t-online-com.de
Habe ich das so richtig verstanden? Ich bekommen über meinen TDSL-Business keine Verbindung hin.
Der Cisco 1712 von meinem Standort aus Verbindungen zu zwei weiteren Büros mit jeweils Cisco 836 herstellen.
Gruß und Dank
DieterK
-
Hallo Forum,
nachdem ich mir bei meinen ersten Versuchen mit der Programmierung des Routers dir Firmware gelöscht habe, möchte ich nun doch mal bevor ich "Käse" programmiere das Forum befragen.
Ich komme per HyperTerminal auf den Router.
Wenn ich den Router neu starte, so wird immer der Initialisierungsdialog gestartet. Muss ich diesen durchlaufen? Wie kann ich die gewählen Einstellungen speichern, so dass der Router auch beim nächsten Neustart die Konfiguration behält?
Bei Start wird immer der foglende Dialog gestartet:
1 Ethernet interface
5 FastEthernet interfaces
1 ISDN Basic Rate interface
1 Virtual Private Network (VPN) Module
32K bytes of NVRAM.
32768K bytes of processor board System flash (Read/Write)
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:
Und hier die Frage, die man für durch aus dumm empfinden kann, aber ich weise es nun mal nicht: Wie gebe ich die Kennwörter für Zugangsdaten per Terminal ein?
Mit sh run sehe ich z.b. diese Eintragungen
ppp pap sent-username dsluser%kamp-dsl password 7 1234567898
Hinter password 7 wird nur das verschlüsselte Kennwort angezeigt. Wird es bei der Eingabe automatisch verschlüsselt?
Der Router sollte folgende Funktionen können:
- Verbindung zum Internet via DSL-Modum über Port FastEthernet0
- Verbindung zum lokalen Netzerk via Port FastEthernet1-4 (Switch)
Ich hoffe, dass ich mit den vielen Frage ich euch nicht nerve und hoffe, dass ich verstanden wurde.
Mit vielen Dank im voraus freue ich mich auf Eure Unterstützung
Gruß DieterK
-
Hallo Frank04,
danke für Deine Antwort. Ich habe dieses schon geprüft. Leider war keine Firmware im Flash.
Gruß DieterK
-
Hallo dakind,
im Augenblick lade ich auf Deiner Weise mir eine ältere Firmware auf den Router, damit ich ihn erstmal wieder zu laufen bekomme.
Für Deinen Tipp danke ich Dir sehr herzlich.
Gruß DieterK
-
Hallo Forum,
ich habe einen Cisco 1712 gekauft und hatte bei der Installation Probleme. Bei jedem Neustart des Routers kam die Abfrage zur Grundeinrichtung.
Eine bestehende Konfiguration konnte ich nicht erstellen und für den nächsten Boot-Vorgang bestimmen.
Auf dem Router wollte ich dan mittel SDM die Grundkonfiguration vornehmen. Da SDM nicht installiert war, habe ich dieses per TFTP auf dem 1712 installiert. Dabei habe ich mir wohl meinen Flash-Speicher gelöscht und somit mit IOS vernichtet.
Bei meinen vorhergehenden Test habe ich noch festhalten können, welche Version installiert war:
Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)XR3, RELEAS
E SOFTWARE (fc2)
Synched to technology version 12.3(7.11)T1
Wie kann ich mir die zum Router zugehörige IOS wiederbeschaffen und auf dem Router installieren?
Wenn der Router neu gestartet wird erscheint nur die Meldung
"boot: cannot load "flash:"
System Bootstrap, Version 12.2(7r)XM4, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright © 2003 by cisco Systems, Inc.
C1700 platform with 98304 Kbytes of main memory
rommon 1 > "
An dieser Stelle weis ich nicht weiter, da ich dem Router keine IP-Adresse zuweisen kann für eine Anbindung an meinen TFTP-Server.
Ich hoffe, da mir hier jemand helfen kann.
Mit freundlichen Grüßen
DieterK
-
Hallo Pretender,
ich habe es versucht. Der Lieferant nimmt ihn nicht zurück, da er schon geöffnet wurde.
Gruß und Dank
DieterK
-
Hallo Forum,
ich habe mir irrtümlicher Weise einen Router 837 gekauft und kann ihn an unserem DSL in Deutschland nicht nutzen.
Gibt es irgend eine Möglichkeit den Router evtl so zu konfigurieren, dass er ein DSL-Modem am Port 1 verwendet?
Gruß und Dank
DieterK
-
Hallo Forum,
ich bin neu hier und habe sehr wenig Ahnung von der Konfiguration eines CISCO-Routers.
In unserer Firma haben wir zwei Standorte. Diese sollen mittels CISCO 836 mit ein ander verbunden werden. Der Zugang zum Internet erfolgt über KAMP-DSL mit festen IP-Adressen für jeden Standort.
Folgende Konfigurationen habe ich an den Standorten:
Standord 1
IP CISCO 836 10.0.1.253 / 255.255.0.0
Standort 2
IP CISCO 836 192.168.4.253 / 255.255.255.0
Die Router können über CRWS als auch up Hypher-Terminal angesprochen werden.
Für KAMP-DSL sin folgende Information vorhanden:
Benutzer: KAMP-DSL-Benutzer
Kennwort: KAMP-DSL-Kennwort
IP-Adresse im Internet: 213.213.213.213
MTU muss auf 1460 geändert werden.
Hier nun meine Fragen:
Wie muss ich den Router konfigurieren, dass über KAMP-DSL eine Internetverbindung aufgebaut wird und der andere Router gefunden wird? Kann man neben der Vernetzung der beiden Standorte auch einen VPN-Zugang für externe Mitarbeiter schaffen?
Für Eure Hilfe Danke ich im Voraus.
Gruß Dieter
Planung Firewall
in Cisco Forum — Allgemein
Geschrieben
Hallo Forum,
bei meinem Kunden wird ein Teil des Netzwerkes für die Auftragsbearbeitung eine Kunden separat durchgeführt. Dieser Auftraggeber wünscht eine Abschottung des Netzwerk 1 von Netzwerk 2. Der Internetzugang soll über Netzwerk 2 möglich sein. Netzwerk 2 ist ebenfalls durch eine Firewall geschützt. Eine Administration des Netzwerk 1 von Netzwerk 2 aus soll ermöglicht werden.
Nach den Informationen, die ich bisher bekommen habe, denke ich, dass ich eine Lösung mit DMZ aufbauen möchte.
Netzwerk 1 (192.168.5.x an inside)
Netzwerk 2 (10.0.2.x an DMZ)
Internetzugang (separat an Outside)
Als Firewall plane ich den Einsatz der ASA 5505 mit DMZ Bundle.
Die Regeln möchte ich wie folgt aufbauen:
Von Inside nach Outside werden nur bestimmte Protokolle erlaubt (WWW,FTP,FTP-DATA,SSH,SSL)
Von DMZ nach Outside wird alles gesperrt
Von DMZ nach Inside werden Zugänge über STATIC eingerichtet
Von Inside nach DMZ erfolgt nur ein beschränkter Zugriff auf bestimmte Stationen (interner Mail-Server)
Von Outside nach DMZ wird es kein Zugang geben
Von Outside nach Inside wird es kein Zugang geben
Ich hoffe dass meine Planung so funktioniert. Kann die ASA 5505 dieses?
Viele Grüße und Dank
Dieter