Klettermaxx

Ich nehme an, dass Du die IOS Version 12.4 nutzt, denn da ist der Befehl standardmässig enthalten und wird in der Config nicht angezeigt. In allen älteren Versionen bis 12.3 muss man das konfigurieren.

vpdn enable

!

vpdn-group Internet

request-dialin

protocol pppoe

ip mtu adjust

!

interface ATM0

pvc 1/32

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

no atm ilmi-keepalive

pppoe-client dial-pool-number 1

dsl operating-mode auto

!

interface Dialer1

description connected to Internet

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

load-interval 60

dialer pool 1

dialer idle-timeout 0

dialer-group 1

no cdp enable

ppp authentication pap chap callin

ppp chap hostname xxx

ppp chap password xxx

ppp pap sent-username xxx password xxx

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

ip nat inside source list 101 interface Dialer1 overload

!

access-list 101 remark NAT

access-list 101 permit ip 192.168.1.0 0.0.0.255 any // Der IP-Range kann beliebig gewählt werden, jedoch dann auch drauf achten, dass die Ethernet-Schnittstelle im gleichen Subnet hängt.

Also Cisco konfigurieren ist nicht mal eben so getan, wohl gemerkt.

Ich würde NO machen, sonst listet er dir jeden Befehl auf, den er ausführt.

Ja, das sieht sehr gut aus. Ein bisschen ausfeilen das Ganze und dann geht das. Ansonsten fragen. Die PVC für DSL auf dem ATM Interface musst Du so konfigurieren pvc 1/32. Ansonsten sollte es kaum Schwierigkeiten geben.

Ich habe jetzt bei Cisco nachgeschaut, solltest Du wirklich nur PPPoE Client machen wollen, sprich der Router soll sich über PPPoE ins Internet einwählen, dann geht das mit der IOS.

Das Protokoll wird wie oben beschrieben anktiviert. Zusätzlich wirst Du noch einen Dialer anlegen müssen. Hardwareseitig benötigst Du entweder eine WIC mit ADSL oder ein Ethernetinterface vor dem Du ein DSL-Modem hängst.

VPN kann der Router, aber nur mit der passenden IOS. Da das Model End of sale ist, wird es nicht mehr supported.

Die aktuelleste IOS für VPN ist die c820-k9osy6-mz.123-17a oder c820-k9osy6-mz.123-11.T9 mit IP, Firewall, IPSec bis 3DES. Diese kann man bei Cisco runterladen, solange man Partner ist, wie mein Arbeitgeber, oder man muss sie sich kaufen und billig ist sie nicht. Also bleibt Dir glaube ich nur die zweite Variante.

Wieviel Speicher hat das Gerät denn? Die IOS, wie oben beschrieben benötigt 24MB RAM und 8MB Flash. Das Gerät war sicherlich über T-Systems beim Kunden eingerichtet, woher hast Du den denn?

Gibt es denn keinen, der damit Erfahrung hat?

Mahlzeit Hauke,

habe Deine Configs mal grundlegend überarbeitet und hoffe, dass ich nichts übersehen habe. Sicher mal Deine jetzigen Config ab und probier die neuen aus. Ich würde Sie dir als E-Mail oder per ICQ schicken. Melde Dich mal.

Gruß Florian

NaNatürlich habe ich das sofort kappiert, was denkst Du denn! :-) Quatsch. So ich mache jetzt Feierabend und setze mich in den Zug. Melde mich später wieder. Aber mitlerweile arbeite ich ja auch ständig damit, daher ist es drin. Bis später.

Programmieren, überlasse ich lieber den anderen. Habe da nur Grundkenntnisse. Bleibe da lieber bei meinen Ciscos, Bintecs, Junipers usw.

IP habe ich bekommen. und gebe Sie natürlich auch nicht weiter. Feste IP. Hmm, geht einfacher und billiger, aber das muss jeder selber wissen. Ich bin gegen ca. 17:00 Uhr zuhause. Solltest Du ICQ haben, kannst Du mir gerne mal Deine Nummer geben.

Cisco ist einfach toll und weist Du warum, es kappiert und kann nicht jeder! :-) Entschuldige, aber sollte keine persönliche Wertung sein.

Wieso willst Du die E-Mails per ISDN abholen? Das macht ja nur Sinn, wenn Du bei DSL einen anderen Anbieter hast, da bei T-Online der SMTP und POP mit Deiner IP Adresse authentifiziert wird. Geh ich da richtig in der Annahme, dass der ISP-Provider für DSL ein anderer ist?

Nee, du setzt mit dem NAT-Befehl nur die öffentliche IP Port 22 auf eine interne IP Port 22 um. Wenn auf dem Router SSH aktiviert ist und die Access-List den SSH Verkehr zulässt, dann kannst Du den Router über die Öffentliche IP ansprechen.

Nimm mal den NAT Befehl raus und dann erstell die Access-Liste 111 mal neu. Ich würde empfehlen.

access-list 111 remark Internet-LAN // Bezeichnung

access-list 111 permit esp any any //ESP Kapselung IPSec

access-list 111 permit udp any any eq non500-isakmp //ISAKMP Schlüsselaustausch

access-list 111 permit udp any any eq isakmp //ISAKMP Schlüsselaustausch

access-list 111 permit udp host xxx eq domain any //DNS-Auflösung

access-list 111 permit tcp any any eq 22 //SSH

access-list 111 deny ip any any

Ändere auch noch den Befehl auf dem Dialer Interface "ip inspect myfw in" auf "ip inspect myfw out"

In die Access-List kannst Du natürlich noch weitere Dinge einfügen, die Du von Aussen zulassen willst. Aber so ist es ziemlich sicher.

Wie schaut es denn mit der Config des Aussenstellen-Routers aus.

Bin bei T-Systems beschäftigt, aber davon habe ich noch nie etwas gehört. Das einzige Problem, was ich zuhause hatte, ich musste den Splitter wechseln. Mein alter hat gerauscht, ging aber mit DSL1000 und dann mit 6000 nicht mehr. Neuer Splitter und dann gings. Hmm, komisch.

Hi,

weist Du noch, wo Du das gelesen hast. Würde mich mal interessieren, was damit gemeint war? Ich nehme mal, dass die eigenen T-Com Produkte damit gemeint sind. Also wie gesagt, bei mir funzt es.

Also, wenn Du Dich mit dem 1720 per DSL über PPPoE einwählen willst dann geht das auf jeden Fall, auch wenn es nicht explizit irgendwo im IOS Command steht.

vpdn enable

!

vpdn-group xxx

request-dialin

protocol pppoe

ip mtu adjust

Gruß Florian

Dies ist ein Standard den der Cisco 836 unterstützt. AnnexB Ur-2. Egal welche IOS. Mein 836 läuft damit auch. Ist ja Hardware bedingt.

So, ich habe mal in die Config geschaut. Ich nahme mal an, dass Du Azubi bist, wie ich es bis vor einem Jahr auch noch wahr. Habe nämlich auch viel auf der Arbeit ausprobiert.

Als erstes habe ich gesehen, dass sich der Router per ISDN einwählt. Die Dialerlist die auf den ISDN Dialer verweist, wird nur verbunden, wenn POP3 oder SMTP Traffic hinaus will.

Dein SSH kann auch nicht gehen, da Du den Port 22 mit der Accesslist 111 geblockt hast.

Poste mir mal die Config vom Aussenstellen-Router dann können wir mal zwei Komplett neue Configs aufsetzen. Die jetzige enthält noch mehr Fehler und unsicher ist der Router auch. Du solltest niemals die Ports 137-139 für das Internet zugänglich machen.

Jetzt interessiert mich aber auch, was Du lernst!

Gruß Florian

Hi,

bin gerade aus dem Wochenende zurück und werde mir die Config am morgen mal in der Firma anschauen.

Gruß Florian

Das Tunnelinterface ist nur für GRE-Kapselung zuständig und hat nichts mit IP-Sec zutun.

Zu der Frage mit der Access-list. Du musst dort eine Wildcard setzen, wie beschrieben. Du hast eine Subnetmaske eingeben.

Beispiel. Netz 192.168.1.0 255.255.255.0

Wenn der Router mit einer Access-List einen Netzbereich prüfen soll benötigt er eine Wildcard. Die Wildcard 0.0.0.255 waäre zum Beispiel angebracht. Das heist alles was 255 ist wird ignoriert und alles was 0 ist wird geprüft.

Poste mal eine komplette Config, aber nehm die Passwörter raus und ich schaue sie mir dann an.

Mahlzeit,

kämpfe zur Zeit mit einem VPN. Zur Zur Authentifizierung werden Zertifikate genutzt. Habe also einen Router mit IOS PKI Server aufgesetzt. Dieser erzeugt ja automatisch einen dazugehörigen Trustpoint mit selben Namen wie der Server selber.

Mein Kollege meinte um weitere Router und VPN Clients enrollen zu können, müsste ich auf dem Router, auf dem auch der PKI Server läuft, einen weiteren zweiten Trustpoint einrichten. Weiß jemand, ob dies wirklich nötig ist, denn ich meine das es auch so funktioniert.

Außerdem habe ich Probleme, sobald ich diesen weiteren Trustpoint einrichte, da dieser zwei Enrollment Requests schickt, weshalb auch immer.

Nutze die IOS 12.4.4T.

Na dann gute Besserung! Bald ist auch hier Feierabend!

Also ich habe mal bei Cisco nachgeschaut und ich konnte keinen passenden BUG finden. Ich würde mal ganz einfach auf die Karte tippen. Sorry wüsste sonst auch nichts. Der Fehler ist mir nicht bekannt und auch bei Cisco nicht eingestellt.

Schreib mal, wenn Du die Config ausprobiert hast. Müsste gehen. Die GRE-Tunnel mit NHRP, welche Du konfiguriert hast, gehen auch nur mit IPSec. GRE-Tunnel brauchst Du aber nur, sofern Du Multicast Protokolle wie zum Beispiel Routingprotokolle (OSPF, EIGRP) übermitteln willst.

Irgendwie scheint hier niemand meinen Kollegen zu trauen, nur weil ein magenta T mit im Spiel ist.

Natürlich ist das Gerät dafür geeignet. Habe zwar noch keine Erfahrung damit, aber es unterstützt Load Balancing, hat acht Ethernet Ports und verfügt über integrietes IPSec für das VPN. Man kann das Ganze auch mit einem teuren Cisco Router machen, klar. Ich denke, das es für eure Small Business? Zwecke ausreicht. Warum teuer, wenn es so auch ausreicht.

Beispiel-IPSec-Konfiguration für Router mit Static IP:

crypto isakmp policy 10

encryption 3des

authentication pre-share

group 2

crypto isakmp key xxx address 0.0.0.0 0.0.0.0

crypto ipsec transform-set Strong esp-3des esp-sha-hmac

crypto dynamic-map DynVPN 10

set transform-set Strong

match address <Access-List Number>

crypto map VPN 10 ipsec-isakmp dynamic DynVPN

Auf das WAN-Interface musst Du dann noch den Befehl "crypto map VPN" ausführen. Erstelle weiterhin eine Access-List in der Du den IP-Traffic vom einen LAN ins andere LAN freigibst. Dann ändere die Access-List für das NAT. Du musst den IP-Traffic vom einen LAN ins andere LAN verbieten, damit dieser Verkehr nicht über NAT läuft.

Beispiel-IPSec-Konfiguration für Router mit Dynamic IP:

crypto isakmp policy 10

encryption 3des

authentication pre-share

group 2

crypto isakmp key xxx address <static IP>

crypto ipsec transform-set Strong esp-3des esp-sha-hmac

crypto map VPN 10 ipsec-isakmp

set peer <static IP>

set transform-set Strong

match address <Access-List>

Mit den Access-Lists und dem NAT sowie der crypto map VPN das selbe nur mit den passenden Adressen des Routers.

Versuch einfach mal Dein Glück!