onedread

The router performs the following process in overloading inside global addresses, as shown in Figure 2. Both host B and host C believe they are communicating with a single host at address 2.2.2.2. They are actually communicating with different hosts; the port number is the differentiator. In fact, many inside hosts could share the inside global IP address by using many port numbers. 1. The user at host 1.1.1.1 opens a connection to host B. 2. The first packet that the router receives from host 1.1.1.1 causes the router to check its NAT table: –If no translation entry exists, the router determines that address 1.1.1.1 must be translated, and sets up a translation of inside local address 1.1.1.1 to a legal global address. –If overloading is enabled, and another translation is active, the router reuses the global address from that translation and saves enough information to be able to translate back. This type of entry is called an extended entry. 3. The router replaces the inside local source address 1.1.1.1 with the selected global address and forwards the packet. 4. Host B receives the packet and responds to host 1.1.1.1 by using the inside global IP address 2.2.2.2. 5. When the router receives the packet with the inside global IP address, it performs a NAT table lookup, using the protocol, the inside global address and port, and the outside address and port as a key; translates the address to inside local address 1.1.1.1; and forwards the packet to host 1.1.1.1. Host 1.1.1.1 receives the packet and continues the conversation. The router performs Steps 2 through 5 for each packet. SUMMARY STEPS 1. enable 2. configure terminal 3. ip nat pool CLIENTS start-ip end-ip {netmask netmask| prefix-length prefix-length} 4. access-list access-list-number permit source [source-wildcard] 5. ip nat inside source list access-list-number pool name overload 6. interface type number 7. ip address ip-address mask 8. ip nat inside 9. exit 10. interface type number 11. ip address ip-address mask 12. ip nat outside Bei Fragen nur schreiben, is vo der Cisco Seite über NAT. mfg onedread

HI Naja willst du jetzt von innen nach aussen, oder von aussen nach innen? mfg onedread

HI na passt hast es schon gemacht? is ned so schwer. ciao onedread

Wie kann es sein das sich der Config Register umstellt? Bzw. gibt es ne Tabelle wo die Einträge beschrieben werden? thx onedread

HI was meinst du mit 1:1 NAT? ip nat inside source static tcp 192.168.1.1 5022 interface 200.1.1.1 5022 ip nat inside source static tcp 192.168.1.50 49152 interface 200.1.1.1 49152 mit diesem Befehl machst du das NAT auf die Internen Adresse 10.1.1.3 auf den TCP/5022 von der externe Adresse 200.1.1.1 von TCP/5022 und natürlich eine Access-list die aufs Externe Interface gebunden ist welche Ports du freigeben willst. das wäre der Befehl wie du ein Nat am Router machst. von EXTERN nach INTERN. mfg onedread

Ok danke diesen Lösungsansatz wollte ich aber vermeiden, irgendwie ist es mir lieber wenn die Public direkt am Outside steht. Any ideas? thx onedread – HI Ist es möglich mit dem 827 DHCP Spoofing zu machen, hab gelesen das das gehen könnte. Der gibt dann die Öffentliche IP an einen anderen Client weiter. mfg onedread

HI Ganz versteh ich das jetzt noch nicht. Ich hab nun den Router als Bridge konfiguriert. habs einmal mit ethernet0 bridge-group 1 atm0 bridge-group 1 probiert und einmal mit ethernet0 bridge-group1 und dialer0 bridge-group1 probiert beide male konnte ich zwar die 192.168.1.100 Adresse pingen aber keine Adresse mehr von aussen. Ich hab da so meine Verständnisprobleme damit. Weiters hab ich versucht ein normales speedtouch 546v6 anzuhängen und dann gleich mittels pppoe von untrust interface der Firewall mich zu connecten auch ohne Erfolg. Wie bekomme ich die Public Adresse ans Untrust Interface der Firewall? oder sonstige Vorschläge? thx onedread

HI Ich hab ja schon länger einen 827v4 Router der bei mir zu Hause für DSL einwahl und für VPN zuständig ist konfiguriert. So nun hab ich mir eine neue Firewall gekauft, die ist auch für ADSL aber leider nur über ISDN und ich habe POTS. Ich will jetzt aber auf meinem Untrust Port in der Firewall aber die Öffentliche Ip Adresse haben, gibt es da ne Möglichkeit das ich dem Router sage das er die IP die er vom Provider kriegt transparent an den UntrustPort der Firewall weitergibt? Wenn es jemanden interessiert Firewall ist eine Juniper 5GT weil wir in der Firma uch von den PIXN auf die Juniper umgestiegen sind hab ich mir auch eine zugelegt. thx 4 help onedread

HI Folgendes Beispiel hatten wir beim Kurs. webvpn gateway SNRS-GW hostname GW-1 ip address 10.0.1.2 port 443 http-redirect port 80 ssl trustpoint TP-self-signed-3141056884 inservice ! webvpn context Default_context ssl authenticate verify all ! no inservice ! ! webvpn context SSLVPN title "HELL ENTRANCE" title-color RED ssl authenticate verify all ! url-list "MYLINKS" heading "QUICKLINKS" url-text "PD Homepage" url-value "home.cisco.com" url-text "Super Server" url-value "superserver.cisco.com" ! login-message "HI ARE U READY 4 THE HELL" ! port-forward "Portlist" local-port 30020 remote-server "mail.corporate.com" remote-port 25 description "SMTP" local-port 30021 remote-server "mail.corporate.com" remote-port 110 description "POP3" ! policy group SSL-Policy url-list "MYLINKS" port-forward "Portlist" banner "LOGIN SUCCESS" timeout idle 1800 timeout session 36000 default-group-policy SSL-Policy gateway SNRS-GW inservice ! ! end 1. solltest mal Zertifikate am Router erstellen damit die Verbindung gesichert ist. Vielleicht hilts dir ja weiter, unter Portforward bzw. Url-list müsstest dann eben die Adresse deines Terminalserver angeben dann sollte es funktionieren. mfg onedread

Zur Theorie müsstes du auf dem Router einen Dial Up Vpn einrichten damit der VPN von jeder IP aus funktioniert. Und die PIX müssstest dann als Client konfigurieren was ich aber leider nicht weis sob das mit der PIX get mit nem Router gehts aufjedenfall. Zur Router config eines DialUpVpns mit dynmaps. crypto isakmp policy 3 encr 3des authentication pre-share group 2 no crypto isakmp ccm ! crypto isakmp client configuration group VPNHOME key key dns 192.168.1.100 pool vpnpool acl 108 ! ! crypto ipsec transform-set myset esp-aes esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap und natürlich die access-listen. zur PIx weiss ich jetzt nicht genau wie man das konfigurieren muss.

HI Soviel ich weiss geht das nicht weil ich nur pro VLAN eine SSID zuweisen kann. Deswegen ist dein Vorschlag zwar nicht schlecht aber leider geht das bei meiner Konfig nicht so wie du es bschrieben hast. Andere Tipps?

HI Weiss jemand wie man die SSID über das IOS umbenennt? Würde nämlich gern das Web Menü aussenvor lassen. mfg onedread

ok sorry geht eh ganz einfach über das web menü, naja vielleicht hat wer nen tipp wie mans auch über die console machen kann? thx onedread

HI ist möglich die ssid einfach umzubennen oder muss man die löschen und dann neu anlegen? Mir ist es egal ob über web oder ssh/telnet hauptsache es geht irgendwie. Jemand einen Tipp? thx onedread

ok thx wordo werd das mal machen. besuch nämlich grad den snrs, aber wir sind noch nicht soweit. dere onedread

Hi Ich hab hier ein Netzwerk, im Bereich 192.168.1.X wo ich über einen Router ins Internet gehe. An einem 2. Punkt hab ich einen Cisco Router wo ich einen DialUp VPN drauflaufen habe, dort ist ebenfalls das Lokale Lan 192.168.1.X und per VPN bekomme ich 192.168.2.X. So wie komm ich nun von meinem lokalen lan 192.168.1.X ins VPN Lokale Lan mit ebenfalls der 192.168.1.X adresse? thx onedread

naja auf der asa kann man mal schätz ich den Ping deaktvieren das die Box keine Antwort zurückgibt, vielleicht ist die so eingestellt, ich würd mal das machen was Wordo dir sagt. Er hat aufjedenfall mehr Erfahrung deswegen würd ich auf ihn hören. mfg onedread

HI Hab diesen Befehl auch noch nicht gesehen, aber folgendes dazu gefunden File Menu Commands Now that an erase flash: has been performed on the router, you will be able to execute the squeeze flash command when necessary. Vielleicht musst zuerst den erase flash: und dann de squeeze flash machen, damit die dateien auch wirklich gelöscht wurden.

HI Dieser Router hat nur eine Ethernetschnittstelle, und ein ADSL Modem integriert. Ich mach eigentlich nur NAT/PAT von inside nach outside damit ich Internetsurfen kann. Was ich noch eingerichtet hatte, war ein VPN, das auch gut lief, bis der später vom Router eben voll war. Dann musste ich immer memory freischaufeln damit, ich mich wieder einloggn konnte. onedread

ok, danke mal für die antwort. so das heißt also, das ich das outside interface der pix mit einer 10er adresse versorgen sollte, weil meine internen clients 192.168.1.xxx sind. und dann am router statics konfigurier um zum beispiel ipsecs auf der pix zu terminieren? ????? onedread

Hi Hab momentan einen Cisco 827 laufen bei mir für die ADSL einwahl, will nun eine PIX501 dazwischen hängen weil mein 827 mit VPN usw. schon erhebliche Speicherprobleme hat. Wie muss ich das ATM und den Dialer konfigurieren, damit ich die PIX als einwahlclient benutzen kann damit auf dem Outside interface der pix gleich die Öffentliche IP gebunden wird? Hier die momentane Konfig des ATM und Dialier Interface des Routers. interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 ! ! interface Dialer0 ip address negotiated no ip redirects ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname XXX ppp chap password 7 XXX ppp pap sent-username XXX password 7 XXX crypto map clientmap hold-queue 224 in Bzw. ist es überaupt möglich dies so zu realisieren? mit dem PIX Befehl vpdn ? thx 4 help onedread

he ja das hab ich vorhin eh gemcht nur diese pix steht in ungarn und die sind nur bis 3 uhr in der firma und wenn's nach 3 uhr ist, dann hab ich eben ein problem :) also gibt es keine Möglichkeit den ADSL zu starten? thx onedread

HI yeah supa danke jetzt hats funktioniert bin jetzt drinn im VPN und im internen netz. Trotzdem gibt es keinen Befehl mit dem man die ADSL connection manuell aufmachen kann? thx hegl, wordo usw... onedread

HI wenn ich das mache kommt: Can not enable vpdn on the same interface as PPPoE. onedread

HI vpdn group PPPOEGROUP request dialout pppoe vpdn group PPPOEGROUP localname airamkft@fixip vpdn group PPPOEGROUP ppp authentication pap vpdn username airamkft@fixip password ********* naja die pix wählt sich bei einem adsl modem ein. ok werd das dann mal gleich überprüfen. mfg manu