Jump to content

Frittenbude

Members
  • Content Count

    43
  • Joined

  • Last visited

Community Reputation

10 Neutral

About Frittenbude

  • Rank
    Newbie
  1. Okay, habe es jetzt so übernommen - in der Hoffnung, dass die DNS-Server-Adressen sich nicht in den nächsten Monaten ändern. Für den Fall der Fälle wäre mir daher ne dynamische Zuweisung schon lieber gewesen. Aber so tut's es erst einmal auch. Gruß, Frittenbude
  2. Hab ich so drin: ip dhcp pool DSL_Modem_1 import all ... ! interface Dialer1 ppp ipcp dns request ... ! Funktioniert leider aber nicht. Gruß, Frittenbude
  3. @ Otaku19: Okay, ich kann Deinen Einwand nachvollziehen. Andererseits ist die Wahrscheinlichkeit dafür, dass einer von drei Routern ausfällt höher als bei einem Gerät. Klar, dafür steht dann natürlich alles, wenn denn der Router defekt ist. An ein Ersatzgerät komme ich relativ zeitnah. Die DSL-Zugänge sind bei Ausfällen für einen gewissen Zeitraum für die Nutzer zu verkraften. Ich denke der Einsatz des Cisco-Routers ist sowohl für sie als auch für uns zukünftig eine erleichterung. Drei separate Router hätte ich auch bevorzugt. Nur ob ich die für das Projekt bekommen werde ist leide
  4. Erst einmal vielen Dank, Servidge. Es funktioniert nun. Mir ist zwar nicht klar, warum das mit dem Pool anstelle der Interfaceangabe nicht funktioniert hat. Aber Hauptsache es läuft nun. ;-) @ Otaku19: Es hat zwei Gründe, warum ich das so gewählt habe. 1. Ich hatte nur einen Router zur Verfügung und sehe auch keinen Mehrwert darin, für jede DSL-Verbindung einen eigenen Cisco-Router einzusetzen. Es sollten drei voneinander getrennte Internetzugänge für unterschiedliche Benutzergruppen sein, die jeweils einen zugesicherten DSL-Anschluss erhalten sollen. Hintergrund: Es gab bisher d
  5. Danke für die Rückmeldung. Die VRF-Zuweisung habe ich von den DHCP-Pools wieder herausgenommen, da sonst keine IP-Adressen zugewiesen wurden. Könnte aber sein, dass ich gleichzeitig auch andere Änderungen an der Konfiguration vorgenommen hatte. Ich nehme die VRF-Zuweisung morgen testweise noch einmal rein. Also, folgendes geht: - Zuweisung von IP-Adressen per DHCP an Clients im jeweiligen User-VLAN - Aufbau der Internetverbindung (Ping aus VRF DSL_Modem_1 auf eine öffentliche IP-Adresse im Weg geht) - Routingeinträge im VRF DSL_Modem_1 sind korrekt - NAT Eintrag im Router wird ers
  6. Hallo zusammen, ich möchte NATing gerne in Verbindung mit VRFs auf einem Cisco Router 1812 nutzen. D.h. auf drei getrennte DSL-Verbindungen soll jeweils ein NAT-Pool für interne Nutzer (in insgesamt 3 VLANs) genutzt werden. Ich habe die Konfiguration auch soweit durchgeführt. NATing wird laut "sh ip nat translations" durchgeführt, wenn ich beispielsweise eine IP-Adresse im Internet von einem Client versuche anzupingen. Die Internetverbindung wird von dem besagten Router über Dialer (PPPoE) aufgebaut und funktioniert soweit. Nachfolgend ein Konfigurationsauszug mit den relevanten Te
  7. Danke Otaku, Deine Idee werde ich in Zukunft berücksichtigen. Nur derzeit reicht die Performance dieses Aufbaus noch. Folgende Frage hätte ich noch zusätzlich. Und zwar soll der in der Grafik gezeigte Aufbau für eine Site-To-Site-Verbindung auf IPSec-Basis genutzt werden. Die Gegenstelle stellt folgende Anforderung. VPN-Endpoint (auf deren Seite): 194.1.1.1 (verfremdet) Deren VPN-Netz: 194.1.1.0/27 Unser öffentlicher Endpunkt: x.x.x.x (wird durch NATing auf die ASA als tatsächlicher VPN-Endpunkt 192.168.1.2 gemappt) Das zu erreichende System: 192.168.16.150/32
  8. Danke für Eure schnelle Reaktion. @hegl: Okay, das ist gut zu wissen. Mir war nicht bewusst, dass die VPN-Lösung solche Aufgaben übernimmt. @Otaku19: Deinen Hinweis werde ich berücksichtigen. Könntest Du mir genauer sagen, wie Du die Verbindung zwischen ASA und Router ändern würdest? Mir ist nicht klar, wie ich das doppelte NATing (bzw. NAT auf dem Router) umgehen kann, da der Router die Internetverbindung aufbaut und somit die einzige nach außen bekannte IP-Adresse besitzt. Gerade bin ich mir auch nicht ganz sicher, ob die ASA für Internetverbindungen überhaupt NATing durchführt.
  9. Hallo zusammen, ich habe eine Frage an Euch für ein generelles Verständnis. Dazu sei folgender, anonymisierter Aufbau gegeben (siehe Grafik). Vorab: Ich würde gerne wissen, wie die Kommunikation aus einem VPN-Netz unter der Nutzung von NAT in das interne Netz funktioniert. Kurze Beschreibung des Aufbaus: An dem Catalyst 3560 liegen die Netze 192.168.16.0/24, 192.168.17.0/24 sowie 192.168.18.0/24 an. Das Routing wird mittels Inter-VLAN-Routing an diesem Switch ermöglicht. Das Netz 192.168.19.0/24 wird zwischen dem Catalyst 3560 und der ASA 5500 genutzt - wohlgemerkt ohne VLAN-
  10. Ist das für eine Grundkonfiguration wirklich erforderlich? Ich habe inzwischen einen anderen Switch mit Debugging-Funktionalität verwendet und folgende Meldungen erhalten: Erfolgreiche TACACS-Anmeldung mittels SecurID: 00:27:55: AAA: parse name=tty1 idb type=-1 tty=-1 00:27:55: AAA: name=tty1 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=1 chan0 00:27:55: AAA/MEMORY: create_user (0x187EF650) user='NULL' ruser='NULL' ds0=0 p) 00:27:55: AAA/AUTHEN/START (568432380): port='tty1' list='' action=LOGIN servicN 00:27:55: AAA/AUTHEN/START (568432380): using "default" list 00:27:55: AAA
  11. Hallo zusammen, wir testen derzeit eine RSA SecurID Authentifizierung an Cisco-Geräten mit Hilfe von TACACS+. Die Authentifizierung auf einem testweise eingebundenen Catalyst der 29xx-Serie funktioniert über ein SecurID-Token auch soweit über Telnet. Allerdings funktioniert ein Loginversuch mittels eines in der TACACS-Konfiguration angelegten Benutzer (dieser ist kein SecurID-Nutzer, sondern ein lokal angelegter mit cleartext) nicht. Egal, ob das Passwort bei der Abfrage richtig oder falsch eingegeben wurde, folgt ein Fallback auf den Default-Login des Cisco-Geräts (lokale Authentifiz
  12. Die Sache hat sich wohl gerade erledigt. Der Switch unterstützt reflexive ACLs doch nicht, obwohl die Option im IOS zur Verfügung steht: Reflexive ACL on 3750 Catalyst 3750 Switch Software Configuration Guide, 12.2(40)SE - Configuring IPv6 ACLs [Cisco Catalyst 3750 Series Switches] - Cisco Systems Gruß, Frittenbude
  13. Ich war vorhin etwas vorschnell mit der Behauptung, es würde auf dem Test-Switch funktionieren. Besser ist es, wenn ich doch mal eine Beispielkonfig poste: Es geht darum, dass aus dem Netz 172.17.1.0/24 nach 172.18.1.0/24 beispielhaft kommuniziert werden soll. Die dynamische Refection-Liste wird nur für einen Spezialfall gefüllt. Dieser wäre, wenn ich vom System 172.17.1.10 nach 172.18.1.1 (Schnittstelle VLAN18 des Switches) beispielsweise einen Ping absetze. Sobald ich jedoch einen Host an einem Port mit VLAN18 versuche zu erreichen, wird keine dynamische Regel erzeugt. Die Rückr
  14. Hallo zusammen, wir nutzen einen Switch-Stack bestehend aus 3 C3750 bei einem Kunden. Allerdings gibt es Probleme mit ACLs, die scheinbar nicht richtig funktionieren. Zwischen verschiedenen VLANs sollen ACLs greifen, welche automatisch mit Hilfe von reflected ACLs die Rückroute jeder aufbauenden Verbindung erlauben sollen. Leider greifen die Regeln auf dem Switch-Stack überhaupt nicht. Im Normalfall wird durch den Befehl "show access-lists" ein Match für jede Regel angezeigt, die bei der Regelüberprüfung zutreffend war. Matches werden merkwürdigerweise ausschließlich bei einem Deny an
  15. Die Reflective-Sache klingt gut. Kennst Du zufällig ein Tutorial, das einen in die Thematik einführt? Ich würde mich da gerne schlauer machen. EDIT: Unter folgendem Link habe ich etwas gefunden: http://www.firstdigest.com/2009/03/cisco-how-to-use-reflexive-access-list-and-why-they-are-useful/ Vielleicht ist es auch für den ein oder anderen interessant, der die gleiche Problematik hat wie ich. Danke nochmals an alle für die schnelle Hilfe. Gruß, Frittenbude
×
×
  • Create New...