texmecx

Router Kiel (der noch auf meinem Schreibtisch steht und mit ISDN Online geht um Kiel zu simulieren):

interface Tunnel0

ip address 192.168.4.2 (die darf ich mir doch ausdenken!?)

ip nhrp network-id 1 (die darf ich mir doch ausdenken!?)

ip nhrp authentication dasposteichabernicht

ip nhrp map 192.168.4.1 <feste Lübecker IP>

ip nhrp map multicast <feste Lübecker IP>

ip nhrp nhs 192.168.4.1

tunnel source Bri0

tunnel mode gre multipoint

tunnel key dasposteichabernicht

 

Ich dachte, dann würd das klappen, das ich von Kiel aus die Lübecker Tunnel IP pingen kann und zurück, aber falsch gedacht :(

Da fehlt noch ein : tunnel destination <public IP Lübeck>

Außerdem sollte da noch die mtu und mss für den Tunnel angepasst werden.

Sofern ipsec innerhalb des Tunnel verwendet wird, dann fehlt da auch noch ein 'tunnel protection ipsec profile xxx' ;)

Gruß

Claus

z.B. http://www.ntop.org

Du hast da etwas doppelt gemacht.

ip nat service list 10 ftp tcp port 21

...eigentlich sollte der obige Eintrag alleine mit der ACL ausreichen.

siehe auch http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094e76.shtml

ip nat inside source static tcp 192.168.2.11 21 Wanip 21 extendable

ip nat inside source static tcp 192.168.2.11 20 Wanip 20 extendable

....würde ich löschen.

cu

Claus

Wohin zeigt denn normalerweise die def. Route ??? ;-)

...und nicht die Rückroute für den linken PC auf dem rechten PC vergessen !

cu

Claus

...welches Paket soll denn eine Einwahl veranlassen ?

DNS Anfragen schickt mit Sicherheit jeder PC in Deinem lokalen Netz und baut somit eine Verbindung ins Internet auf.

Du könntest die ACL z.B. auf einen PC beschränken, der nur die Verbindung aufbauen darf/kann.

cu

Claus

Das wäre mir völlig neu, wenn ein Link Aggregation von einem PC an 2 unterschiedliche Switche funktioniert.

Warum willst Du das Problem unbedingt auf der Layer 2 Ebene mit 2 Switchen lösen ? Layer 3 würde sich da doch eher anbieten...

Wenn's denn doch Layer 2 sein soll, dann bringen Dich statische ARP Einträge weiter. Allerdings steht Dir dann auch nur noch die max. Bandbreite eines Ports bzgl. des Server zur Verfügung.

cu

Claus

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/qos_r/qrcmdr.htm#1017761

Ich nehm mal die kürzere Zeile:

rate-limit output acces-group 101 40000000 20000 20000 conform-action transmit exceed-action drop

rate-limit output acces-group 101 = ausgehendes Limit (Rate) für Access-Group 101

40000000 =durchschnittliche Bandbreite in bps

20000 =normales bursten ("überziehen") bzw. erlaubtes Überziehen in bps

20000 =maximales bursten in bps

conform-action transmit =normales bursten ist erlaubt

exceed-action drop =drop bei überschreiten max. bursten.

cu

Claus

....welche 2 Ports braucht denn eine erfolgreiche FTP-Verbindung ? ;-)

21 reicht alleine nicht aus, da brauchts Du auch noch 20.

cu

Claus

---------------------------------

ppp chap password 0 xxxxxxxxxxxxxx

---------------------------------

..hier ist das Problem !

muss folgendermassen lauten:

ppp chap password 7 xxxxxxxxxxx

Das gleiche gilt natürlich auch für:

ppp pap sent-username t-online-com217.xxx.xxx.xxxTBxxxxxxxx@t-online-com.de password 7 xxxxxx

cu

Claus