Jump to content

mmuelleh

Members
  • Posts

    29
  • Joined

  • Last visited

Everything posted by mmuelleh

  1. Hallo Habe einen Kunden mit autonomen APs und möchte diese nun an einen Cisco WLAN Controller 4400er Serie anschliessen. Ist es möglich die APs "downgraden" sodass ich diese als LWAP betreiben kann und somit über den Controller überwache ? Oder muss der Kunde neue APs kaufen ?
  2. Hallo zusammen Gibt es eine Möglichkeit auf der Pix den dhcp Server zu aktivieren so, dass man den Clients auch den proxy Server mitgeben kann. :suspect: Hoffe auf Hilfe......
  3. version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname testdsl9 ! no aaa new-model ip subnet-zero ! no ip domain lookup ip inspect name myfw tcp ip inspect name myfw udp ip inspect name myfw netshow ip inspect name myfw vdolive ip inspect name myfw icmp ip inspect name myfw ftp ip inspect name myfw http ip inspect name myfw realaudio ip inspect name myfw tftp isdn switch-type basic-net3 ! interface Ethernet0 ip address 172.20.253.9 255.255.255.0 ip access-group 101 in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 no cdp enable ! interface BRI0 no ip address encapsulation ppp dialer pool-member 10 isdn switch-type basic-net3 isdn reject data isdn reject voice no cdp enable ppp authentication pap chap ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point pvc 8/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 speed auto half-duplex ! interface FastEthernet2 speed auto half-duplex ! interface FastEthernet3 speed auto half-duplex ! interface FastEthernet4 speed auto half-duplex ! interface Dialer0 description ADSL Interface ip address negotiated ip access-group 102 in ip mtu 1452 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 2 no cdp enable ppp authentication chap pap callin ppp chap hostname xx ppp chap password xx ppp pap sent-username xx password xx ! interface Dialer20 description ISDN Backup Interface mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 10 dialer idle-timeout 30 dialer string 0842111222 dialer-group 10 no cdp enable ppp authentication pap chap callin ppp chap hostname xx ppp chap password xx ppp pap sent-username xx password xx ! ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 193.201.12.53 255.255.255.255 Dialer0 ip route 193.201.12.53 255.255.255.255 Dialer20 ! ! ip nat inside source route-map main interface Dialer0 overload ip nat inside source route-map secondary interface Dialer20 overload ! access-list 101 remark ACL LAN Ethernet0 to Outside WAN Dialer0 access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq telnet access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any eq smtp any access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq 443 access-list 101 permit icmp any any echo access-list 101 deny ip any any log access-list 102 remark ACL Outside WAN Dialer0 to LAN Ethernet0 access-list 102 deny ip 172.25.5.0 0.0.0.255 any access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any time-exceeded access-list 102 permit icmp any any unreachable access-list 102 deny ip 10.0.0.0 0.255.255.255 any access-list 102 deny ip 172.16.0.0 0.15.255.255 any access-list 102 deny ip 192.168.0.0 0.0.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip host 0.0.0.0 any access-list 102 deny ip any any log access-list 103 remark ACL NAT Rule access-list 103 permit ip any any access-list 104 permit ip any host 193.201.12.53 ! dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 10 protocol ip permit no cdp run ! route-map main permit 10 match ip address 103 match interface Dialer0 ! route-map secondary permit 10 match ip address 104 match interface Dialer20
  4. Du bist ein Genie... :D Das funktioniert bestens. Thanx
  5. Hallo zusammen Auf einem Cisco 836er Router versuche ich einen ISDn Backup einzurichten um einzelne IPs beim nicht vorhandensein der ADSL Leitung auf ein ISDN Backup zu schicken. Das erste Problem war das die Leitung zwar aufging aber das Nat funktionierte nicht. Dies konnte ich jetzt durch route-map beheben. Ich habe einen Route Eintrag mit hoher metric auf das Backup Interface gesetzt, dieser funktioniert aber immer d.h. auch wenn das ADSL Interface funktioniert und kein ISDn Backup hochfahren sollte. Wo liege ich falsch ?? Hier meine Konfig (die Ip 193.201.12.53 sollte das Backup hochfahren): interface Ethernet0 ip address 172.20.253.9 255.255.255.0 ip access-group 101 in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 no cdp enable ! interface BRI0 no ip address encapsulation ppp dialer pool-member 10 isdn switch-type basic-net3 isdn reject data isdn reject voice no cdp enable ppp authentication pap chap ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto ! interface Dialer0 description ADSL Interface ip address negotiated ip access-group 102 in ip mtu 1452 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 2 no cdp enable ppp authentication chap pap callin ppp chap hostname ppp chap password 7 kajsdhfkjhfkjsdhfkjsdhfkhf ppp pap sent-username akdjfhkasdjfhk password 7 kajsdhkjsdafhkjsd ! interface Dialer20 description ISDN Backup Interface mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 10 dialer string 0842111222 dialer-group 10 no cdp enable ppp authentication pap chap callin ppp chap hostname cybersurf ppp chap password 7 jhjhjhjhj ppp pap sent-username cybersurf password 7 jhjhjhjjhj ! ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 193.201.12.53 255.255.255.255 Dialer20 200 ! ip nat inside source route-map main interface Dialer0 overload ip nat inside source route-map secondary interface Dialer20 overload ! access-list 103 permit ip any any access-list 104 permit ip any any ! route-map main permit 10 match ip address 103 match interface Dialer0 ! route-map secondary permit 10 match ip address 104 match interface Dialer20
  6. Hier mal ein link: http://www.cisco.com/en/US/tech/tk801/tk133/technologies_configuration_example09186a008009455e.shtml Wobei zu sagen ist, dass es x varianten gibt einen ISDN Backup zu erstellen. Wir haben es so gemacht, dass der Router beim ADSL Ausfall über eine höhere metric auf unseren ISDN Router anwählt und so die Verbindung zur Applikation erstellt anstelle einer VPN Verbindung. Das hat den Vorteil, dass wir die ISDN Verbindungen monitoren können und somit unliebsame Swisscom Rechnungen wegfallen sollten.;-) Der Internet Zugriff funktioniert in diesem Fall natürlich nicht mehr. Hier ein Ausschnitt aus der konfig: interface BRI0 no ip address encapsulation ppp dialer pool-member 10 isdn switch-type basic-net3 isdn calling-number 47 isdn reject data isdn reject voice no cdp enable ppp authentication pap interface Dialer10 description ISDN Backup Interface mtu 1492 ip unnumbered Ethernet0 ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 10 dialer string 00111111111 dialer-group 10 no cdp enable ppp authentication pap callin ppp chap refuse ppp ms-chap refuse ppp ms-chap-v2 refuse ppp pap sent-username xxxxxxxxx password 7 yyyyyyyyyyyyyyyyyyyyyyyyyy ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.232.0.0 255.255.0.0 Dialer10 200 ip route 192.168.10.0 255.255.255.0 Dialer10 200
  7. Da habe ich wohl am falschen Ende des Stricks gezogen. Funktioniert bestens mit der Calling Number. Besten Dank für die schnelle Hilfe. :)
  8. Hallo zusammen Habe ein Problem mit einem Cisco ADSL Router 836 mit ISDN Interface. Der ISDN Backup hat bisher super funktioniert. Nur ist jetzt die Telefonzentrale gewechselt worden und dem Router muss eine MSN Nummer gesetzt werden, ansonsten bekommt er keine Amtsleitung zum wählen. Kann mir jemand sagen wie ich die MSN Nummer setze ? Ist die MSN Nummer dasselbe wie die SPID Nummern die auf der Cisco Seite beschrieben sind ? thanx
  9. Hallo Als Cisco Neuling würde ich Dir raten den Security Device Manager zu downloaden. Du kannst das SDM auf einem PC installieren und über ethernet auf Deinen Router zugreiffen. Auf dem Router muss "p http server" enabled sein. Ev musst Du auch Access-Listen auf dem Ethernet Inetrface disablen. Auf dem SDm findest Du dann einen Wizard mit dem das VPN konfiguriert werden kann. http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm good luck
  10. Hi Der link oben ist nicht schlecht. Du musst aber darauf achten, dass Du die IPs die durch den Tunnel geschickt werden, aus dem NAT ausklammerst. Hier ein Beispiel: Router A: crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key <password> address 2.2.2.3 no-xauth crypto ipsec transform-set strong esp-3des esp-sha-hmac crypto map tunnel 15 ipsec-isakmp set peer 2.2.2.3 set transform-set strong match address 107 --> ACL 107 interface Dialer0 description ADSL Interface crypto map tunnel ip nat inside source list 103 interface Dialer0 overload access-list 103 deny ip 172.2.2.0 0.0.0.255 172.2.3.0 0.0.0.255 --> no NAT access-list 103 permit ip any any access-list 107 permit ip 172.2.2.0 0.0.0.255 172.2.3.0 0.0.0.255 --> permit for VPN ______________________________________________________________________ Router B: crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key <password> address 2.2.2.4 crypto map tunnel 15 ipsec-isakmp set peer 2.2.2.4 set transform-set strong match address 107 --> ACL 107 interface Dialer0 description ADSL Interface crypto map tunnel ip nat inside source list 103 interface Dialer0 overload access-list 103 deny ip 172.2.3.0 0.0.0.255 172.2.2.0 0.0.0.255 --> No NAT access-list 103 permit ip any any access-list 107 permit ip 172.2.3.0 0.0.0.255 172.2.2.0 0.0.0.255 Viel Glück
  11. Hallo Am besten Du löschst mit write erase die startup-config und lädst dann über einen tftp Server die neue konfig / copy tftp start / Danach kannst Du den Router neu starten (aber nicht nochmal abspeichern) Jetzt sollte der Router mit der neuen Konfig funktionieren. mfg
  12. Ich habe in der Zwischenzeit selber die Antwort gefunden. In der ACL 102 muss noch esp geöffnet werden. Der Tunnel verbindet sich ohne esp aber die encryption findet nicht statt.
  13. Hallo zusammen Ich habe ein LAN-to-LAN VPN mit zwei Cisco 836 hergestellt. Der Tunnel steht ich kann aber die Gegenstelle nicht ansprechen, ausser ich remove die ACL 102 vom dialer Interface dann funktionierts. Schön und gut ich möchte aber das dialer 0 Interface nicht einfach so dastehen lassen ohne ACL. Ich habe daher schon einige Versuche unternommen die ACL anzupassen. Ohne Erfolg. Kann jemand helfen ? thx version 12.3 no aaa new-model ip subnet-zero ! ! ! ! ip cef no ip domain lookup ip inspect name fw tcp ip inspect name fw udp ip inspect name fw icmp ip inspect name fw ftp ip inspect name fw http ip inspect name fw tftp ip ips po max-events 100 no ftp-server write-enable isdn switch-type basic-net3 ! crypto keyring test pre-shared-key address 0.0.0.0 0.0.0.0 key test01 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp profile vpn-tunnel description Lan-to-Lan Tunnel keyring test match identity address 0.0.0.0 ! crypto ipsec transform-set strong esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set strong set isakmp-profile vpn-tunnel ! crypto map tunnel 20 ipsec-isakmp dynamic dynmap ! interface Ethernet0 ip address 172.20.28.9 255.255.255.0 ip access-group 101 in ip nat inside ip inspect fw in ip virtual-reassembly ip tcp adjust-mss 1452 no cdp enable ! ! interface Dialer0 ip address negotiated ip access-group 102 in ip mtu 1452 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 2 no cdp enable ppp authentication chap pap callin crypto map tunnel ! ip route 0.0.0.0 0.0.0.0 Dialer0 ! no ip http server ip http authentication local no ip http secure-server ! ip nat inside source list 103 interface Dialer0 overload ! access-list 101 permit tcp any any eq domain access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq telnet access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq 443 access-list 101 permit icmp any any echo access-list 101 permit eigrp any any access-list 101 permit icmp any any echo-reply access-list 101 permit ip any 10.233.223.0 0.0.0.255 access-list 101 permit ip any 10.236.0.0 0.0.255.255 access-list 101 permit ip any 10.237.0.0 0.0.255.255 access-list 101 permit ip any 193.5.119.0 0.0.0.255 access-list 101 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 102 remark ACL Internet to LAN access-list 102 permit ip 172.20.27.0 0.0.0.255 any access-list 102 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any time-exceeded access-list 102 permit icmp any any unreachable access-list 102 permit udp any any eq isakmp access-list 102 permit udp any any eq non500-isakmp access-list 102 deny ip 10.0.0.0 0.255.255.255 any access-list 102 deny ip 172.16.0.0 0.15.255.255 any access-list 102 deny ip 192.168.0.0 0.0.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip host 0.0.0.0 any access-list 102 deny ip any any log access-list 103 deny ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255 access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.1 access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.2 access-list 103 permit ip any any access-list 105 permit gre host 10.196.3.7 host 10.196.3.1 access-list 106 permit gre host 10.196.3.7 host 10.196.3.2 dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 10 protocol ip permit no cdp run !
  14. Hallo Also Cisco schreibt folgendes zu Bad Magic Number: When I try to TFTP pixNNN.exe to my PIX, I receive errors that state "bad magic number." What am I doing wrong? A. You should be loading the .bin file, not the .exe. The .exe is a self-extracting archive containing the .bin file (among other things). Note: The .bin file is used only for PIX Software versions 5.0.x and earlier. Copy the .exe file to a temporary directory on your PC hard drive and run the program to extract the files. Then copy the pixNNN.bin file over to your TFTP server. In der Konfig muss das PDM freigegeben werden für besteimmte IPs ansonsten kann man nicht connecten. z.b. pdm location 192.168.1.0 255.255.255.0 inside
  15. Tach Scheint ein Problem mit dem Nat zu sein. Kontrolliere mal folgende Einträge: access-list nonat permit ip 192.168.201.0 255.255.255.0 172.16.2.0 255.255.255.0 --> Access Liste für den Nat 0 (Nonat) Befehl nat (inside) 0 access-list nonat --> Kein Adressen Natting für den VPN Tunnel nat (inside) 10 0.0.0.0 0.0.0.0 0 0 Gruss
  16. Die Pix 501 hat kein DMZ interface. Die 515 ist die erste Pix in der Reihe die mit einer DMZ ausgerüstet werden kann. 501 Prozessor 133 Mhz 1x 10 Base-T 4x 10/100 Switch User 10/50 oder unlimited Anzahl VPN Tunnel gleichzeitig 10 Preis ca. 650-1000 ________________________________________________ 515 Prozessor 433 Mhz 2x 10/100 Base-T 2x PCI Slots für Netzwerkkarten Max Interface 6 User unlimited Anzahl VPN Tunnel gleichzeitig 2000 Möglichkeit von 2. 515 als Failover Rack mountable Preis ca. 5000 - 8000
  17. Hallo Da Du auch VPN benützen willst rate ich zu einer Firewall und nicht zu einem Router. Ob Cisco oder nicht hängt von Deinem know how im Cisco Bereich ab. Mit einer Pix 501 bist Du aber gut bedient. bye
  18. Hallo Klettermaxx Ich hatte das gleiche Problem und musste einen IOS update auf dem Router machen. Siehe: http://www.mcseboard.de/showthread.php?s=&threadid=48347
  19. Hier gibt es noch eine aussführliche Dokumentation: http://www.cisco.com/en/US/tech/tk175/tk15/technologies_tech_note09186a0080093bc7.shtml
  20. Hallo tobey Der ip mtu Wert ist der MTU das heisst im Cisco OS wird der Wert mit ip mtu abgeändert. (Das ist halt Cisco spezifisch). Nach meinen Erfahrungen ist es besser das Gerät schnell neu zu booten nach dem ändern des MTU. Bei änderung anderer Parameter ist dies nicht notwendig. z.b. Route Einträge. Der MTU Wert bezieht sich auf die Dialer Schnittstelle. Gruss Herbert
  21. Hallo Wenn Du mit Telnet auf den Router verbindest, und mit enable und dem enable Passwort in den privileged level wechselst, kannst Du den mtu wert verändern. enable <enable Passwort> # conf t config# interface dialer0 (eventuell auch 1) config-if# ip mtu 1492 --> hier den Mtu Wert eingeben config-if# exit config# exit # wr mem --> Konfiguration abspeichern Neu starten und testen ;)
  22. Hi Oiso Schlussendlich musste ich die IOS Version wechseln von der Version c836-k9o3s8y6-mz.123-4.T.bin auf die Version c836-k9o3sy6-mz.122-13.ZH4.bin. Die Version c836-k9o3s8y6-mz.123-4.T.bin ist von der Cisco als schlecht gekennzeichnet, mit VPN. Wer hätte das gedacht jetzt läuft es auf alle Fälle ;-) mmuellh
  23. Hi Oiso Die ACL 111 wird erstellt wenn Du auf dem CRWS Web Gui die Option Firewall einschalten anwählst.;-) Natürlich nicht mit den Einträgen 192.168 die sind von mir zum testen gesetzt worden. Daher sollte diese ACL eigentlich gut sein. (sollte..) Du meinst also ich soll die ip inspect tcp weglassen und mir eine neue ACL 111 basteln ? Wie sieht Deine Empfehlung für eine ACL aus.
×
×
  • Create New...