Servidge

mirhören ist in diesem Fall ja sogar wörtlich zu nehmen.

Für die 1841er gibt es nen AIM-VPN. Die 180x/181x sind dahingehend nicht erweiterbar.

Q. Are Advanced Integration Modules (AIM) supported?

A. No. AIM slots are not available.

Quelle

Da lässt sich nur noch Speicher nachträglich einbauen.

Und die Defaultroute könnte Fehlen.

Außerdem sind auf dem Dialer und dem LAN ip access-groups gebunden.

Dazu fehlen zumindest in der angegebenen Konfig die Acesslisten

Den Zugriff auf die Externe IP versuchst du aber auch von einer anderen öffentlichen IP aus und nicht aus dem LAN des Routers, also aus dem Netz 192.168.16.254/24 oder? Frage nur um Sicher zu gehen.

Ansonsten geht es ohne die ACLs auf dem Dialer und den vtys?

Genauso mit der Zonebased Fiewall Konfiguration.

Was gibt es für eine Ausgabe wenn du dich per telnet auf die Router ip und Port 22 connectest. Sollte sowas wie "SSH-2.0-Cisco-1.2" kommen.

Im debug crypro ipsec sollte die Auflösung des Dyndns hostnamen zu sehen sein.

in etwa so:

Feb 4 10:23:32.902 MEZ: IPSEC: Peer hostname.dyndns.org's addr (10.15.20.30) is stale, triggering DNS

Feb 4 10:23:33.022 MEZ: IPSEC: Peer hostname.dyndns.org has been DNS resolved to 10.15.20.30, expires in 00:00:40.

oder

Feb 4 10:20:56.395 MEZ: IPSEC: Peer hostname.dyndns.org's addr (10.15.20.30) is stale, triggering DNS

Feb 4 10:20:56.395 MEZ: IPSEC: Peer has the (DNS cached) address 10.15.20.30.

Dann sollte der auch nen passenden Peer finden.

Das die IPSec Verbindung nicht sofort wieder funktioniert wenn die Gegenseite ein neue IP hat kann an der DNS Auflösung liegen.

Ist eigentlich auf dem Rouer auch "ip domain lookup" konfiguriert? sonst funktioniert die Auflösung nicht.

Im debug crypto ipsec solltest du die Auflösung des hostname.dyndns.org sehen können.

Also das IOS kann "Real-time Resolution for IPsec Tunnel Peer"

Real-Time Resolution for IPsec Tunnel Peer [Cisco IOS and NX-OS Software] - Cisco Systems

Wichtig ist dafür das die DNS Auflösung funktioniert.

Davon ist in der angehängten Konfig nichts zu erkennen.

Welches IOS hat denn der Router, und was ist das für einer.

Nicht jedes IOS kann die dynamischen Peers

und woran hakt es überhaupt.

Ist ein Monitorport für Host A konfiguriert?

Stimmen die Netzmasken der Hosts?

Eine defekte Netzwerkkarte?

Mehrfach vorkommende MAC-Adresse?

Findet die Kommunikation über Multicast statt?

ja, zu Hause, im Labor, bei Kunden.

Ist ja auch nicht viel zu konfigurieren in den LAN/WAN Netzen. Der Server, das Magic Packet sendende System sendet das Paket in das richtige Subnetz und die aufzuweckenden Komponenten müssen auf das Magic Packet reagieren.

Je nach Intelligenz des Servers prüft der nach dem ersten Versuch ob die Komponente erreichbar ist oder nicht und startet dann andere Aktionen.

Neuerdings wird es aber weniger, da bei vollverschlüsselten Systemen das WOL nicht wirklich brauchbar funktioniert. Es gibt ja niemand PIN oder Username und Passwort ein damit bis ins Betriebssystem gestartet wird.

Kommt auf den Server drauf an.

mal angenommen.

Der Server hat die IP 192.168.0.1/24

Der aufzuweckende Client ist im Netz 192.168.1.0/24.

In diesem Moment muss der Server nur das Magic Packet an die 192.168.1.255 senden.

Dafür muss dann aber auf dem Interface zum Clientnetz "ip directed-broadcast" konfiguriert sein.

Dadurch werden dann die anderen Clientnetze nicht unnötig belastet.

ob einzeln oder alle ist ja egal.

Trotzdem sollte der Server doch wissen welche IP der Client hat. Somit würde das Magic Packet nur in das entsprechende Netzsegment, und dort an die Broadcast Adresse gehen und nicht als Broadcast auf der Schnittstelle des Servers.

Das Konstrukt ist etwas merkwürdig bzw die Umsetzung.

Sollte der WOL Server nicht wissen in welchem Netzsegment der Client zu finden ist? Somit kann das Paket direkt in das Netz gesendet werden.

teste das mal mit nem anderen Portscanner, nmap oder so und oder poste mal die Konfiguration des Switch.

Hab das mal eben auf einigen 2960 durchlaufen lassen und da war nie einer der Ports offen.

So ohne weitere Anhaltspunkte ist mal Port 443 ganz sicher vom https.

Da es sich um einen Switch handelt und dieser Typ keinen EEM hat ist der Teil mit einem Serverscript auch schon mal ausgeschlossen für die Ports 25 und 110.

Wit welchem Portscanner ist das denn getestet worden und ist das Ergebnis reproduzierbar?

Was gibt es für ne Ausgabe bei einem Telnet auf die Switch IP und den Port?

25 Smtp und 110 Pop sind ja "klartext" Protokolle. Die sind einfach per Telnet durchzuspielen.

so,

An dem NAT stimmt was nicht.

Die beiden Zeilen

ip nat pool DSL_Modem_1 192.168.101.10 192.168.101.254 prefix-length 24
ip nat inside source list 1 pool DSL_Modem_1 vrf DSL_Modem_1 match-in-vrf overload

würde ich rauswerfen und durch folgendes ersetzen

ip nat inside source list 1 interface Dialer1 vrf  DSL_Modem_1 match-in-vrf overload

Damit wird dann alles was in der aceessliste 1 bestimmt ist auf die IP des Dialer1 Interface umgesetzt.

Wenn es mit einer Kennung geht sollte es auch mit mehreren funktionieren.

Mit der Anzahl der VLANs kommst du auch noch nicht an die Grenze.

Sieht soweit eigentlich ganz gut aus.

Was geht denn nicht?

Edit: doch noch was.

die DHCP Pools sollten auch noch in die entsprechenden VRFs konfiguriert werden.

..

ip dhcp pool DSL_Modem_1

vrf DSL_Modem_1

network 192.168.101.0 255.255.255.0

default-router 192.168.101.1

dns-server 192.168.101.1

lease 0 0 1

...

Der Cisco876 hat ein BRI Interface, ein ATM Interface und 4 FastEthernet Interface. Auf diesen 4 Ports ist es aber nicht möglich IP Adressen zu konfigurieren. Dies muß über Vlans gemacht werden. Ähnlich wie bei einem Switch. Es können maximal 4 Vlans konfiguriert werden.

Bedeutet du hängst das externe DSL Modem auf den FastEthernet0 Port und konfigurierst diesen mit "switchport access vlan 2" heraus. Damit hast du dann deine neue WAN Schnittstelle vlan2

Beispiel:

interface FastEthernet0
description zum DSL Modem
switchport access vlan 2
!
interface FastEthernet1
description LAN
!
interface FastEthernet2
description LAN
!
interface FastEthernet3
description LAN
!
interface Vlan1
description LAN
ip address x.x.x.x y.y.y.y
!
interface Vlan2
description zum DSL Modem
no  ip address 
pppoe...

Hi,

Performance

In dem Dokument wird die Performance für eine Zone Based Firewall, und dann auch nur für http beschrieben. Wenn auf eine Konfiguration der Zone Based Firewall auf dem Router verzichtet wird ist dann für einen 871 mehr drin als die angegebenen 32 Mbit.

Die 25/5 Mbit kann der Cisco876 über eine herauskonfigurierte LAN Schnittstelle des 4 Port Switch abhändeln. Ist ja auch die Frage ob das dann immer voll beansprucht wird.

Ok, ist dann doch etwas größer als vermutet, aber auf den beiden WAN Schnittstellen werden wohl unterschiedliche Cryptomaps gebunden sein und somit ist das Ausgangsinterface klar.

Für die dynamischen peers (IOS feature) wird unter der cryptomap folgendes konfiguriert:

crypto map HOME 20 ipsec-isakmp 
[b]set peer hostname.dyndns.org dynamic[/b]
set transform-set TRANSFORM-SET-NAME
match address ACL123

Und ganz wichtig, der presharedkey mit einer Wildcard als Adresse. (alles erlaubt)

crypto isakmp key Pre-shared-key address 0.0.0.0 0.0.0.0

Warum bei der crypromap hostnamen eingetragen werden können, aber nicht für crypto isakmp key verstehe ich nicht, ist aber so (12.4.15T...). Ne Möglichkeit das per Script zu ändern habe ich zwar, aber das ist noch nicht vorzeigbar.

Die Adresse 0.0.0.0 0.0.0.0 und der DNS Name als Peer könnten bei einer Sicherheitsprüfung "negativ" auffallen. Alle dürfen mal Ihr PSK ausprobieren. Also nicht ein simples PSK nehmen. Danach wird nur noch anhand des transformset, der crypromap und der ACL eine Entscheidung getroffen ob die Verbindung aufgebaut wird.

Ist eigentlich nicht so schwer.

Vorher aber noch ne Frage. Haben beide Seiten eine Dynamische IP oder nur eine Seite? Sind auf der Cisco Seite auf beiden WAN Schnittstellen VPN Verbindungen eingerichtet oder ist das jetzt die erste?

Zuhause ist es ein Cisco1802W mit IOS c180x-adventerprisek9-mz.124-24.T3.bin.

Da die Telekom für Privatkunden noch kein ipv6 anbietet habe ich mir nen ipv6 Tunnel über Hurricane Electric besorgt. Für Kleinkram und zum Testen reicht das.

Im Lab war es ein 2851 (124-24T1) und ein 3825 (124-24T4) die übers LAN einen NTP Server abgefragt haben.

Alles aber auch nicht mit nem 15er IOS.

Cisco88x bzw Router mit nem 15er IOS habe ich zwar bei einigen Kunden im Einsatz, aber am Produktivnetz probiere ich das nicht. Da ist noch kein ipv6 aktiv.

Auf den Laborroutern hats fehlerfrei funktioniert.

IPv4 und IPv6 zusammen oder einzeln. Die machen aber auch sonst nichts.

Und auch bei mir läuft es nun. Hab zu später Stunde wohl das debugging auch nicht richtig gesehen. War ne Mischung aus verhunzten accesslisten auf dem tunnelinterface und zu allem Überfluss noch ne ntp access-group.

Nachdem ich das geändert habe läuft es fehlerfrei.

Hi,

gute Frage, bei mir läuft es auch nur über IPv4 auf dem 1802w mit den letzten 12.4.

Das konfigurierte "ntp server 2001:638:902:1::10 version 4 source Loopback0" steht zwar in der Konfig. Mehr aber auch nicht. Die Restliche IPv6 Kommunikation geht. Vielleicht liegt es bei mir aber auch nur am Tunnel.

Nach Cisco Implementing NTPv4 in IPv6 [Cisco IOS and NX-OS Software] - Cisco Systems sollte es einfach zu konfigurieren sein ;). Ist ja auch nicht viel.

Morgen mal im Büro testen. Vielleicht mag der Router auch nur entweder IPv4 oder IPv6

Das snmpset ist kein Cisco cli Befehl.

ähm, das stimmt nicht ganz. Hängt von der IOS Version ab.

Wenn sich auf dem Router "snmp-server manager" konfigurieren lässt, sollte es mit dem Befehl

"snmp set v1 x.x.x.x PRIVATE oid 1.3.6.1.4.1.9.2.9.9.0 integer 2" möglich sein.

Die SNMP Version v1 oder v2c könnten variieren.

In der Testumgebung hat es funktioniert. Ob das auch aus einem VRF heraus geht weiß ich nicht.