onedread
-
Gesamte Inhalte
377 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von onedread
-
-
HI
Naja willst du jetzt von innen nach aussen, oder von aussen nach innen?
mfg
onedread
-
HI
na passt hast es schon gemacht? is ned so schwer.
ciao onedread
-
Wie kann es sein das sich der Config Register umstellt?
Bzw. gibt es ne Tabelle wo die Einträge beschrieben werden?
thx
onedread
-
HI
was meinst du mit 1:1 NAT?
ip nat inside source static tcp 192.168.1.1 5022 interface 200.1.1.1 5022
ip nat inside source static tcp 192.168.1.50 49152 interface 200.1.1.1 49152
mit diesem Befehl machst du das NAT auf die Internen Adresse 10.1.1.3 auf den TCP/5022 von der externe Adresse 200.1.1.1 von TCP/5022
und natürlich eine Access-list die aufs Externe Interface gebunden ist welche Ports du freigeben willst.
das wäre der Befehl wie du ein Nat am Router machst.
von EXTERN nach INTERN.
mfg
onedread
-
Ok
danke diesen Lösungsansatz wollte ich aber vermeiden, irgendwie ist es mir lieber wenn die Public direkt am Outside steht.
Any ideas?
thx
onedread
–
HI
Ist es möglich mit dem 827 DHCP Spoofing zu machen, hab gelesen das das gehen könnte.
Der gibt dann die Öffentliche IP an einen anderen Client weiter.
mfg
onedread
-
HI
Ganz versteh ich das jetzt noch nicht. Ich hab nun den Router als Bridge konfiguriert.
habs einmal mit ethernet0 bridge-group 1 atm0 bridge-group 1 probiert und einmal mit ethernet0 bridge-group1 und dialer0 bridge-group1 probiert beide male konnte ich zwar die 192.168.1.100 Adresse pingen aber keine Adresse mehr von aussen.
Ich hab da so meine Verständnisprobleme damit.
Weiters hab ich versucht ein normales speedtouch 546v6 anzuhängen und dann gleich mittels pppoe von untrust interface der Firewall mich zu connecten auch ohne Erfolg.
Wie bekomme ich die Public Adresse ans Untrust Interface der Firewall?
oder sonstige Vorschläge?
thx
onedread
-
HI
Ich hab ja schon länger einen 827v4 Router der bei mir zu Hause für DSL einwahl und für VPN zuständig ist konfiguriert.
So nun hab ich mir eine neue Firewall gekauft, die ist auch für ADSL aber leider nur über ISDN und ich habe POTS.
Ich will jetzt aber auf meinem Untrust Port in der Firewall aber die Öffentliche Ip Adresse haben, gibt es da ne Möglichkeit das ich dem Router sage das er die IP die er vom Provider kriegt transparent an den UntrustPort der Firewall weitergibt?
Wenn es jemanden interessiert Firewall ist eine Juniper 5GT weil wir in der Firma uch von den PIXN auf die Juniper umgestiegen sind hab ich mir auch eine zugelegt.
thx 4 help
onedread
-
HI
Folgendes Beispiel hatten wir beim Kurs.
webvpn gateway SNRS-GW
hostname GW-1
ip address 10.0.1.2 port 443
http-redirect port 80
ssl trustpoint TP-self-signed-3141056884
inservice
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
webvpn context SSLVPN
title "HELL ENTRANCE"
title-color RED
ssl authenticate verify all
!
url-list "MYLINKS"
heading "QUICKLINKS"
url-text "PD Homepage" url-value "home.cisco.com"
url-text "Super Server" url-value "superserver.cisco.com"
!
login-message "HI ARE U READY 4 THE HELL"
!
port-forward "Portlist"
local-port 30020 remote-server "mail.corporate.com" remote-port 25 description "SMTP"
local-port 30021 remote-server "mail.corporate.com" remote-port 110 description "POP3"
!
policy group SSL-Policy
url-list "MYLINKS"
port-forward "Portlist"
banner "LOGIN SUCCESS"
timeout idle 1800
timeout session 36000
default-group-policy SSL-Policy
gateway SNRS-GW
inservice
!
!
end
1. solltest mal Zertifikate am Router erstellen damit die Verbindung gesichert ist.
Vielleicht hilts dir ja weiter, unter Portforward bzw. Url-list müsstest dann eben die Adresse deines Terminalserver angeben dann sollte es funktionieren.
mfg
onedread
-
Zur Theorie müsstes du auf dem Router einen Dial Up Vpn einrichten damit der VPN von jeder IP aus funktioniert. Und die PIX müssstest dann als Client konfigurieren was ich aber leider nicht weis sob das mit der PIX get mit nem Router gehts aufjedenfall.
Zur Router config eines DialUpVpns mit dynmaps.
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
no crypto isakmp ccm
!
crypto isakmp client configuration group VPNHOME
key key
dns 192.168.1.100
pool vpnpool
acl 108
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
und natürlich die access-listen.
zur PIx weiss ich jetzt nicht genau wie man das konfigurieren muss.
-
HI
Soviel ich weiss geht das nicht weil ich nur pro VLAN eine SSID zuweisen kann. Deswegen ist dein Vorschlag zwar nicht schlecht aber leider geht das bei meiner Konfig nicht so wie du es bschrieben hast.
Andere Tipps?
-
HI
Weiss jemand wie man die SSID über das IOS umbenennt? Würde nämlich gern das Web Menü aussenvor lassen.
mfg
onedread
-
ok
sorry geht eh ganz einfach über das web menü, naja vielleicht hat wer nen tipp wie mans auch über die console machen kann?
thx
onedread
-
HI
ist möglich die ssid einfach umzubennen oder muss man die löschen und dann neu anlegen?
Mir ist es egal ob über web oder ssh/telnet hauptsache es geht irgendwie. Jemand einen Tipp?
thx
onedread
-
ok
thx wordo werd das mal machen. besuch nämlich grad den snrs, aber wir sind noch nicht soweit.
dere
onedread
-
Hi
Ich hab hier ein Netzwerk, im Bereich 192.168.1.X wo ich über einen Router ins Internet gehe.
An einem 2. Punkt hab ich einen Cisco Router wo ich einen DialUp VPN drauflaufen habe, dort ist ebenfalls das Lokale Lan 192.168.1.X und per VPN bekomme ich 192.168.2.X.
So wie komm ich nun von meinem lokalen lan 192.168.1.X ins VPN Lokale Lan mit ebenfalls der 192.168.1.X adresse?
thx
onedread
-
naja auf der asa kann man mal schätz ich den Ping deaktvieren das die Box keine Antwort zurückgibt, vielleicht ist die so eingestellt, ich würd mal das machen was Wordo dir sagt.
Er hat aufjedenfall mehr Erfahrung deswegen würd ich auf ihn hören.
mfg
onedread
-
HI
Hab diesen Befehl auch noch nicht gesehen, aber folgendes dazu gefunden
Now that an erase flash: has been performed on the router, you will be able to execute the squeeze flash command when necessary.
Vielleicht musst zuerst den erase flash: und dann de squeeze flash machen, damit die dateien auch wirklich gelöscht wurden.
-
HI
Dieser Router hat nur eine Ethernetschnittstelle, und ein ADSL Modem integriert.
Ich mach eigentlich nur NAT/PAT von inside nach outside damit ich Internetsurfen kann.
Was ich noch eingerichtet hatte, war ein VPN, das auch gut lief, bis der später vom Router eben voll war.
Dann musste ich immer memory freischaufeln damit, ich mich wieder einloggn konnte.
onedread
-
ok, danke mal für die antwort.
so das heißt also, das ich das outside interface der pix mit einer 10er adresse versorgen sollte, weil meine internen clients 192.168.1.xxx sind.
und dann am router statics konfigurier um zum beispiel ipsecs auf der pix zu terminieren?
?????
onedread
-
Hi
Hab momentan einen Cisco 827 laufen bei mir für die ADSL einwahl, will nun eine PIX501 dazwischen hängen weil mein 827 mit VPN usw. schon erhebliche Speicherprobleme hat.
Wie muss ich das ATM und den Dialer konfigurieren, damit ich die PIX als einwahlclient benutzen kann damit auf dem Outside interface der pix gleich die Öffentliche IP gebunden wird?
Hier die momentane Konfig des ATM und Dialier Interface des Routers.
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address negotiated
no ip redirects
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXX
ppp chap password 7 XXX
ppp pap sent-username XXX password 7 XXX
crypto map clientmap
hold-queue 224 in
Bzw. ist es überaupt möglich dies so zu realisieren? mit dem PIX Befehl vpdn ?
thx 4 help
onedread
-
he
ja das hab ich vorhin eh gemcht nur diese pix steht in ungarn und die sind nur bis 3 uhr in der firma und wenn's nach 3 uhr ist, dann hab ich eben ein problem :)
also gibt es keine Möglichkeit den ADSL zu starten?
thx
onedread
-
HI
yeah supa danke jetzt hats funktioniert bin jetzt drinn im VPN und im internen netz.
Trotzdem gibt es keinen Befehl mit dem man die ADSL connection manuell aufmachen kann?
thx hegl, wordo usw...
onedread
-
HI
wenn ich das mache kommt:
Can not enable vpdn on the same interface as PPPoE.
onedread
-
HI
vpdn group PPPOEGROUP request dialout pppoe
vpdn group PPPOEGROUP localname airamkft@fixip
vpdn group PPPOEGROUP ppp authentication pap
vpdn username airamkft@fixip password *********
naja die pix wählt sich bei einem adsl modem ein.
ok werd das dann mal gleich überprüfen.
mfg
manu
Cisco C3845 soll für 1:1 NAT eingerichtet werden
in Cisco Forum — Allgemein
Geschrieben
The router performs the following process in overloading inside global addresses, as shown in Figure 2. Both host B and host C believe they are communicating with a single host at address 2.2.2.2. They are actually communicating with different hosts; the port number is the differentiator. In fact, many inside hosts could share the inside global IP address by using many port numbers.
1. The user at host 1.1.1.1 opens a connection to host B.
2. The first packet that the router receives from host 1.1.1.1 causes the router to check its NAT table:
–If no translation entry exists, the router determines that address 1.1.1.1 must be translated, and sets up a translation of inside local address 1.1.1.1 to a legal global address.
–If overloading is enabled, and another translation is active, the router reuses the global address from that translation and saves enough information to be able to translate back. This type of entry is called an extended entry.
3. The router replaces the inside local source address 1.1.1.1 with the selected global address and forwards the packet.
4. Host B receives the packet and responds to host 1.1.1.1 by using the inside global IP address 2.2.2.2.
5. When the router receives the packet with the inside global IP address, it performs a NAT table lookup, using the protocol, the inside global address and port, and the outside address and port as a key; translates the address to inside local address 1.1.1.1; and forwards the packet to host 1.1.1.1.
Host 1.1.1.1 receives the packet and continues the conversation. The router performs Steps 2 through 5 for each packet.
SUMMARY STEPS
1. enable
2. configure terminal
3. ip nat pool CLIENTS start-ip end-ip {netmask netmask| prefix-length prefix-length}
4. access-list access-list-number permit source [source-wildcard]
5. ip nat inside source list access-list-number pool name overload
6. interface type number
7. ip address ip-address mask
8. ip nat inside
9. exit
10. interface type number
11. ip address ip-address mask
12. ip nat outside
Bei Fragen nur schreiben, is vo der Cisco Seite über NAT.
mfg
onedread