mmuelleh
-
Gesamte Inhalte
29 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mmuelleh
-
-
Es isnd alles AIR-AP1131AG-E-K9
-
Hallo
Habe einen Kunden mit autonomen APs und möchte diese nun an einen
Cisco WLAN Controller 4400er Serie anschliessen. Ist es möglich die
APs "downgraden" sodass ich diese als LWAP betreiben kann und somit
über den Controller überwache ? Oder muss der Kunde neue APs kaufen ?
-
Hallo zusammen
Gibt es eine Möglichkeit auf der Pix den dhcp Server zu aktivieren so, dass man den
Clients auch den proxy Server mitgeben kann.
:suspect: Hoffe auf Hilfe......
-
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname testdsl9
!
no aaa new-model
ip subnet-zero
!
no ip domain lookup
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw netshow
ip inspect name myfw vdolive
ip inspect name myfw icmp
ip inspect name myfw ftp
ip inspect name myfw http
ip inspect name myfw realaudio
ip inspect name myfw tftp
isdn switch-type basic-net3
!
interface Ethernet0
ip address 172.20.253.9 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no cdp enable
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 10
isdn switch-type basic-net3
isdn reject data
isdn reject voice
no cdp enable
ppp authentication pap chap
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet1
speed auto
half-duplex
!
interface FastEthernet2
speed auto
half-duplex
!
interface FastEthernet3
speed auto
half-duplex
!
interface FastEthernet4
speed auto
half-duplex
!
interface Dialer0
description ADSL Interface
ip address negotiated
ip access-group 102 in
ip mtu 1452
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 2
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xx ppp chap password xx
ppp pap sent-username xx password xx
!
interface Dialer20
description ISDN Backup Interface
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 10
dialer idle-timeout 30
dialer string 0842111222
dialer-group 10
no cdp enable
ppp authentication pap chap callin
ppp chap hostname xx
ppp chap password xx
ppp pap sent-username xx password xx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 193.201.12.53 255.255.255.255 Dialer0
ip route 193.201.12.53 255.255.255.255 Dialer20
!
!
ip nat inside source route-map main interface Dialer0 overload
ip nat inside source route-map secondary interface Dialer20 overload
!
access-list 101 remark ACL LAN Ethernet0 to Outside WAN Dialer0
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any eq smtp any
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq 443
access-list 101 permit udp any any eq 443
access-list 101 permit icmp any any echo
access-list 101 deny ip any any log
access-list 102 remark ACL Outside WAN Dialer0 to LAN Ethernet0
access-list 102 deny ip 172.25.5.0 0.0.0.255 any
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
access-list 103 remark ACL NAT Rule
access-list 103 permit ip any any
access-list 104 permit ip any host 193.201.12.53
!
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
dialer-list 10 protocol ip permit
no cdp run
!
route-map main permit 10
match ip address 103
match interface Dialer0
!
route-map secondary permit 10
match ip address 104
match interface Dialer20
-
Du bist ein Genie... :D
Das funktioniert bestens.
Thanx
-
Hallo zusammen
Auf einem Cisco 836er Router versuche ich einen ISDn Backup einzurichten um einzelne IPs beim nicht vorhandensein der ADSL Leitung auf ein ISDN Backup zu schicken. Das erste Problem war das die Leitung zwar aufging aber das Nat funktionierte nicht. Dies konnte ich jetzt durch route-map beheben. Ich habe einen Route Eintrag mit hoher metric auf das Backup Interface gesetzt, dieser funktioniert aber immer d.h. auch wenn das ADSL Interface funktioniert und kein ISDn Backup hochfahren sollte.
Wo liege ich falsch ??
Hier meine Konfig (die Ip 193.201.12.53 sollte das Backup hochfahren):
interface Ethernet0
ip address 172.20.253.9 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
no cdp enable
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 10
isdn switch-type basic-net3
isdn reject data
isdn reject voice
no cdp enable
ppp authentication pap chap
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Dialer0
description ADSL Interface
ip address negotiated
ip access-group 102 in
ip mtu 1452
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 2
no cdp enable
ppp authentication chap pap callin
ppp chap hostname
ppp chap password 7 kajsdhfkjhfkjsdhfkjsdhfkhf
ppp pap sent-username akdjfhkasdjfhk password 7 kajsdhkjsdafhkjsd
!
interface Dialer20
description ISDN Backup Interface
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 10
dialer string 0842111222
dialer-group 10
no cdp enable
ppp authentication pap chap callin
ppp chap hostname cybersurf
ppp chap password 7 jhjhjhjhj
ppp pap sent-username cybersurf password 7 jhjhjhjjhj
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 193.201.12.53 255.255.255.255 Dialer20 200
!
ip nat inside source route-map main interface Dialer0 overload
ip nat inside source route-map secondary interface Dialer20 overload
!
access-list 103 permit ip any any
access-list 104 permit ip any any
!
route-map main permit 10
match ip address 103
match interface Dialer0
!
route-map secondary permit 10
match ip address 104
match interface Dialer20
-
Hier mal ein link: http://www.cisco.com/en/US/tech/tk801/tk133/technologies_configuration_example09186a008009455e.shtml
Wobei zu sagen ist, dass es x varianten gibt einen ISDN Backup zu erstellen. Wir haben es
so gemacht, dass der Router beim ADSL Ausfall über eine höhere metric auf unseren ISDN
Router anwählt und so die Verbindung zur Applikation erstellt anstelle einer VPN Verbindung. Das hat den Vorteil, dass wir die ISDN Verbindungen monitoren können und somit unliebsame Swisscom Rechnungen wegfallen sollten.;-) Der Internet Zugriff funktioniert in diesem Fall natürlich nicht mehr.
Hier ein Ausschnitt aus der konfig:
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 10
isdn switch-type basic-net3
isdn calling-number 47
isdn reject data
isdn reject voice
no cdp enable
ppp authentication pap
interface Dialer10
description ISDN Backup Interface
mtu 1492
ip unnumbered Ethernet0
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 10
dialer string 00111111111
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp chap refuse
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap sent-username xxxxxxxxx password 7 yyyyyyyyyyyyyyyyyyyyyyyyyy
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.232.0.0 255.255.0.0 Dialer10 200
ip route 192.168.10.0 255.255.255.0 Dialer10 200
-
Da habe ich wohl am falschen Ende des Stricks gezogen.
Funktioniert bestens mit der Calling Number.
Besten Dank für die schnelle Hilfe. :)
-
Hallo zusammen
Habe ein Problem mit einem Cisco ADSL Router 836 mit ISDN Interface. Der
ISDN Backup hat bisher super funktioniert. Nur ist jetzt die Telefonzentrale
gewechselt worden und dem Router muss eine MSN Nummer gesetzt werden,
ansonsten bekommt er keine Amtsleitung zum wählen.
Kann mir jemand sagen wie ich die MSN Nummer setze ?
Ist die MSN Nummer dasselbe wie die SPID Nummern die auf der Cisco Seite
beschrieben sind ?
thanx
-
Hallo
Als Cisco Neuling würde ich Dir raten den Security Device Manager zu downloaden.
Du kannst das SDM auf einem PC installieren und über ethernet auf Deinen Router
zugreiffen. Auf dem Router muss "p http server" enabled sein. Ev musst Du auch
Access-Listen auf dem Ethernet Inetrface disablen.
Auf dem SDm findest Du dann einen Wizard mit dem das VPN konfiguriert werden kann.
http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm
good luck
-
Hi
Der link oben ist nicht schlecht. Du musst aber darauf achten, dass Du die IPs die durch den Tunnel geschickt werden, aus dem NAT ausklammerst. Hier ein Beispiel:
Router A:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key <password> address 2.2.2.3 no-xauth
crypto ipsec transform-set strong esp-3des esp-sha-hmac
crypto map tunnel 15 ipsec-isakmp
set peer 2.2.2.3
set transform-set strong
match address 107 --> ACL 107
interface Dialer0
description ADSL Interface
crypto map tunnel
ip nat inside source list 103 interface Dialer0 overload
access-list 103 deny ip 172.2.2.0 0.0.0.255 172.2.3.0 0.0.0.255 --> no NAT
access-list 103 permit ip any any
access-list 107 permit ip 172.2.2.0 0.0.0.255 172.2.3.0 0.0.0.255 --> permit for VPN
______________________________________________________________________
Router B:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key <password> address 2.2.2.4
crypto map tunnel 15 ipsec-isakmp
set peer 2.2.2.4
set transform-set strong
match address 107 --> ACL 107
interface Dialer0
description ADSL Interface
crypto map tunnel
ip nat inside source list 103 interface Dialer0 overload
access-list 103 deny ip 172.2.3.0 0.0.0.255 172.2.2.0 0.0.0.255 --> No NAT
access-list 103 permit ip any any
access-list 107 permit ip 172.2.3.0 0.0.0.255 172.2.2.0 0.0.0.255
Viel Glück
-
Hallo
Am besten Du löschst mit write erase die startup-config und lädst dann
über einen tftp Server die neue konfig / copy tftp start /
Danach kannst Du den Router neu starten (aber nicht nochmal abspeichern)
Jetzt sollte der Router mit der neuen Konfig funktionieren.
mfg
-
Ich habe in der Zwischenzeit selber die Antwort gefunden.
In der ACL 102 muss noch esp geöffnet werden. Der Tunnel
verbindet sich ohne esp aber die encryption findet nicht statt.
-
Hallo zusammen
Ich habe ein LAN-to-LAN VPN mit zwei Cisco 836 hergestellt. Der Tunnel steht ich kann aber die Gegenstelle nicht ansprechen, ausser ich remove die ACL 102 vom dialer Interface dann funktionierts. Schön und gut ich möchte aber das dialer 0 Interface nicht einfach so dastehen lassen ohne ACL. Ich habe daher schon einige Versuche unternommen die ACL anzupassen. Ohne Erfolg. Kann jemand helfen ?
thx
version 12.3
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
no ip domain lookup
ip inspect name fw tcp
ip inspect name fw udp
ip inspect name fw icmp
ip inspect name fw ftp
ip inspect name fw http
ip inspect name fw tftp
ip ips po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
crypto keyring test
pre-shared-key address 0.0.0.0 0.0.0.0 key test01
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp profile vpn-tunnel
description Lan-to-Lan Tunnel
keyring test
match identity address 0.0.0.0
!
crypto ipsec transform-set strong esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set strong
set isakmp-profile vpn-tunnel
!
crypto map tunnel 20 ipsec-isakmp dynamic dynmap
!
interface Ethernet0
ip address 172.20.28.9 255.255.255.0
ip access-group 101 in
ip nat inside
ip inspect fw in
ip virtual-reassembly
ip tcp adjust-mss 1452
no cdp enable
!
!
interface Dialer0
ip address negotiated
ip access-group 102 in
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 2
no cdp enable
ppp authentication chap pap callin
crypto map tunnel
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip nat inside source list 103 interface Dialer0 overload
!
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq 443
access-list 101 permit udp any any eq 443
access-list 101 permit icmp any any echo
access-list 101 permit eigrp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit ip any 10.233.223.0 0.0.0.255
access-list 101 permit ip any 10.236.0.0 0.0.255.255
access-list 101 permit ip any 10.237.0.0 0.0.255.255
access-list 101 permit ip any 193.5.119.0 0.0.0.255
access-list 101 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255
access-list 102 remark ACL Internet to LAN
access-list 102 permit ip 172.20.27.0 0.0.0.255 any
access-list 102 permit ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit udp any any eq isakmp
access-list 102 permit udp any any eq non500-isakmp
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
access-list 103 deny ip 172.20.28.0 0.0.0.255 172.20.27.0 0.0.0.255
access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.1
access-list 103 deny gre 10.196.3.0 0.0.0.255 host 10.196.3.2
access-list 103 permit ip any any
access-list 105 permit gre host 10.196.3.7 host 10.196.3.1
access-list 106 permit gre host 10.196.3.7 host 10.196.3.2
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
dialer-list 10 protocol ip permit
no cdp run
!
-
Hallo
Also Cisco schreibt folgendes zu Bad Magic Number:
When I try to TFTP pixNNN.exe to my PIX, I receive errors that state "bad magic number." What am I doing wrong?
A. You should be loading the .bin file, not the .exe. The .exe is a self-extracting archive containing the .bin file (among other things).
Note: The .bin file is used only for PIX Software versions 5.0.x and earlier. Copy the .exe file to a temporary directory on your PC hard drive and run the program to extract the files. Then copy the pixNNN.bin file over to your TFTP server.
In der Konfig muss das PDM freigegeben werden für besteimmte IPs ansonsten kann man nicht connecten.
z.b. pdm location 192.168.1.0 255.255.255.0 inside
-
Tach
Scheint ein Problem mit dem Nat zu sein.
Kontrolliere mal folgende Einträge:
access-list nonat permit ip 192.168.201.0 255.255.255.0 172.16.2.0 255.255.255.0
--> Access Liste für den Nat 0 (Nonat) Befehl
nat (inside) 0 access-list nonat --> Kein Adressen Natting für den VPN Tunnel
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
Gruss
-
Die Pix 501 hat kein DMZ interface. Die 515 ist die erste Pix in der Reihe die mit einer DMZ ausgerüstet werden kann.
501
Prozessor 133 Mhz
1x 10 Base-T
4x 10/100 Switch
User
10/50 oder unlimited
Anzahl VPN Tunnel gleichzeitig 10
Preis ca. 650-1000
________________________________________________
515
Prozessor 433 Mhz
2x 10/100 Base-T
2x PCI Slots für Netzwerkkarten
Max Interface 6
User
unlimited
Anzahl VPN Tunnel gleichzeitig 2000
Möglichkeit von 2. 515 als Failover
Rack mountable
Preis ca. 5000 - 8000
-
Hallo
Da Du auch VPN benützen willst rate ich zu einer Firewall und
nicht zu einem Router. Ob Cisco oder nicht hängt von Deinem
know how im Cisco Bereich ab.
Mit einer Pix 501 bist Du aber gut bedient.
bye
-
Hallo Klettermaxx
Ich hatte das gleiche Problem und musste einen IOS update
auf dem Router machen.
Siehe:
-
Hier gibt es noch eine aussführliche Dokumentation:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_tech_note09186a0080093bc7.shtml
-
Hallo tobey
Der ip mtu Wert ist der MTU das heisst im Cisco OS wird der Wert mit ip mtu abgeändert. (Das ist halt Cisco spezifisch).
Nach meinen Erfahrungen ist es besser das Gerät schnell neu zu booten nach dem ändern des MTU. Bei änderung anderer Parameter ist dies nicht notwendig. z.b. Route Einträge.
Der MTU Wert bezieht sich auf die Dialer Schnittstelle.
Gruss Herbert
-
Hallo
Wenn Du mit Telnet auf den Router verbindest, und
mit enable und dem enable Passwort in den privileged level
wechselst, kannst Du den mtu wert verändern.
enable
<enable Passwort>
# conf t
config# interface dialer0 (eventuell auch 1)
config-if# ip mtu 1492 --> hier den Mtu Wert eingeben
config-if# exit
config# exit
# wr mem --> Konfiguration abspeichern
Neu starten und testen
;)
-
Hi Oiso
Schlussendlich musste ich die IOS Version wechseln von der Version c836-k9o3s8y6-mz.123-4.T.bin auf die Version c836-k9o3sy6-mz.122-13.ZH4.bin.
Die Version c836-k9o3s8y6-mz.123-4.T.bin ist von der Cisco als schlecht gekennzeichnet, mit VPN.
Wer hätte das gedacht jetzt läuft es auf alle Fälle ;-)
mmuellh
-
Hi Oiso
Die ACL 111 wird erstellt wenn Du auf dem CRWS Web Gui
die Option Firewall einschalten anwählst.;-) Natürlich nicht mit den Einträgen 192.168 die sind von mir zum testen gesetzt worden. Daher sollte diese ACL eigentlich gut sein. (sollte..)
Du meinst also ich soll die ip inspect tcp weglassen und mir eine
neue ACL 111 basteln ?
Wie sieht Deine Empfehlung für eine ACL aus.
Access Points an WLAN Controller
in Cisco Forum — Allgemein
Geschrieben
Ok. Besten Dank für die schnell Antwort.