czappb

chap... nur pap ist möglich chap geht bei t-online eigentlich nicht - längere geschichte sähe dann so aus: ppp authentication pap callin optional ppp pap sent-username xxx@xxx.de password 7 xxxxx und das ganze ppp chap kann weg.

Einen hab ich noch... der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken Minimum fände ich: ACLs für das Management (web, telnet/ssh, ggf. snmp): access-list 1 permit 192.168.0.0 0.0.0.255 ip http access-class 1 snmp-server community %WORD% 1 line vty 0 4 access-class 1 in Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt: access-list 122 permit tcp any any established access-list 122 remark Aufraeumen... access-list 122 deny tcp any any eq 135 access-list 122 deny tcp any any eq 137 access-list 122 deny tcp any any eq 139 access-list 122 deny tcp any any eq 445 access-list 122 deny ip any any log-input Interface %outside% ip access-group 122 in

NAT: Im Externen Interface "ip nat outside" für das/die Interne(n) "ip nat inside" dann noch eine ACL die den Internen Bereich angibt access-list 18 permit 192.168.0.0 0.0.0.255 und noch aktivieren ip nat inside source list 18 interface Dialer1 overload (wobei Dialer1 durch dein Extern interface ersetzt werden muss)

wie ein ganz normales default gateway? ip route 0.0.0.0 0.0.0.0 %gateway-IP% oder bei z.B. PPPoE ip route 0.0.0.0 0.0.0.0 %PPPoE-interface%

nein static stimme schon nur keine static ip ip sonder ein static tcp ip service ip service statt tcp kann man natürlich auch udp nehmen, bei bedarf und das für beide dienste.

Also der Router ist in den PCs mit seiner jeweiligen IP als Defaultgateway eingetragen? Läßt sich die Router-IP aus dem anderen Subnetz von den PCs aus anpingen? Ist das IP-Routing ganz sicher aktiviert? (Vielleicht nochmal "ip routing" eingeben...)

okay... das ist die nicht mehr laufende konfig, oder? EDIT: Also die mit dem EasyVPN aktiviert? was sagt denn das logging, steht da irgendwas an meldungen drin? wird der pppoe-tunnel aufgebaut oder geht der Tunnel erst gar nicht mehr auf?

Naja, wenn man ehrlich ist muss man sagen ISDN-Wählverbindungen sind echt teuer, besonders wenn sie für die normale Arbeit genutzt werden. DSL-Leitungen sind heute echt nicht mehr teuer, haben eine höhere Bandbreite und per VPN ist das auch sicher. Falls du es doch machen willst solltest du statt des Bridging (beide seiten gleiches Subnetz) lieber ein Routing nutzen sonst hast du sobald irgendein Gerät einen Broadcast sendet die Verbindung offen. Da Broadcasts für die Kommunikation im Netzwerk gebraucht werden lassen die sich auch nicht ganz sperren(per ACL oder so).

Ähhh sorry für die Verwirrung... ich war etwas verwirrt mit priority... Es ist natürlich RICHTIG so wie es da bei dir steht. Nochmals sorry.

Ich bin mir jetzt nicht 100%ig sicher ob das Modulübergreifend geht, sollte aber schon. set port channel 1/1,2/1 mode on so gehts normalerweise wenn es so nicht geht dann kann der das wohl nicht.

Hmm eine 501 wird wohl als überfordert sein wenn sie das ganze Internet hosten soll... Aber ernsthaft... eine Fehlkonfiguration würde ich vermuten. Wie ist denn die config des Geräts? EDIT: leider ist keine genauere Fehleranalyse möglich mit den Informationen.

130BBit für VoIP weil eh maximal 2 Gespräche gleichzeitig und halt einfach noch bischen Luft dazwischen. Also das sichert so keine Bandbreite von 130KBit/s zu, sondern es beschränkt die class-map auf eine maximale Bandbreite von 130KBit/s. Ich vermute das ist nicht das was du erreichen wolltest, oder?

OK, ich muss sagen ich sehe nichts das wirklich die Funktion behindern dürfte. jedoch ein paar Dinge könntest du prüfen - konstruktiv gemeint. Generell: -Accesslists für das Management(telnet,ssh,http,snmp,...) z.B. für ACL Nummer 2 sähe das aus: ip http access-class 2 in snmp-server community nobus RO 2 line vty 0 4 access-class 2 in -Accesslist ist nur die Nummer 1 wirklich aktiv, den Rest könnte man entfernen. brauchst du das "any" wirklich in ACL1? policy-map voip class lan priority 130 Class Voip soll maximal 130KBit/s benutzen, Absicht? interface FastEthernet0/1 description uplink DTAG.DE pppoe enable pppoe-client dial-pool-number 1 speed 100 full-duplex no cdp enable load-interval 30 Das sollte für Fa0/1 reichen, denn: service-policy output voip - Bringt dir auf PPTP-getunnelten Paketen nix, sollte auf Dialer1 ip nat outside - hat nichtmal eine IP, kann kein NAT outside sein bandwidth 6016 - zieht um auf den Dialer1 ip access-group 100 in - es läuft eh nur PPTP... ip access-group 100 out - es läuft eh nur PPTP... ip directed-broadcast - kein ip daher kommt dann zu dialer1 hinzu interface Dialer1 service-policy output voip shutdown - vom testen nehme ich an

Jaja das dass eine Tochtergesellschaft ist weiß ich. Ich habe jedenfalls nie geschrieben das du das hier nicht schreiben darfst, viel mehr, dass die ich in diesem Forum eher IOS, CatOS & PIXOS Konfiguartionshilfe geleistet werden kann. Zwar beinhaltet das das Wissen um die VPN allgemein jedoch kann die Konfiguration von Produkt zu Produkt sehr unterschiedlich sein. Nichts böses nur ist halt so.

Naja, das Forum heißt nicht "Netzwerk Forum - Allgemein" sonder... Richtig "Cisco Forum - Allgemein". Daher muss ich mich wundern wenn du hier die Frage stellst wie man einen Linksys konfiguriert. Würdest du in ein Linux Forum posten wie man Solaris konfiguriert, oder gar Windows? Nein, unzwar weil du weißt es macht keinen Sinn. Die Leute sind vielleicht hilfsbereit aber wer Produkt 1 kennt, kennt noch lange nicht Produkt 2.

Also vielleicht gibts noch was zu finden wenn du die Konfig postest. 4(bzw. X) Augen sehen immer mehr als 2 ;) EDIT: Natürlich nur für X > 2

Ja, spannend. Linksys hat zwar irgendwie/wo was mit Cisco zu tun aber. Wie werden die Teile Konfiguriert, nur über Webinterface oder? Was haben die für ein OS, gibt es da wirklich gemeinsamkeiten?

Naja, sobald der Switch (hier 2950) BPDUs auf einem Portfast-Port bekommt schaltet der diesen wieder zurück und der muss listening und learning machen. Portfast ist nur zum Anschluss von Endgeräten gedacht. Wenn es um sicherheit geht ist man auch gut beraten: -CDP auf Access-Ports abzustellen (no cdp enable) -den BPDUGuard&-Filter zu aktivieren spanningtree portfast bpduguard default spanningtree portfast bpdufilter default -DHCP snooping zu aktivieren... ip dhcp snooping ip dhcp snooping vlan 1 4094 (auf den entsprechenden Ports)ip dhcp snooping trust -Portsecurity auf den Access-Ports (default: max 1 MAC-A. pro Port) switchport portsecurity erstmal als empfehlenswert und was noch so alles möglich ist.

Der Cisco eh nicht, aber der Spanningtree. Wenn du dem Spanningtree das abgewöhnen willst mußt du die Ports auf: switchport mode access umstellen und entweder jeden port spanningtree portfast oder global spanningtree portfast default einstellen. Damit übergeht Spanningtree den Listening und den Learning State. EDIT: portfast geht nur auf access-Ports, auf trunk-ports gibt es noch spanningtree portfast trunk oder so ähnlich

gibt es denn eine Defaultroute? (ip route 0.0.0.0 0.0.0.0 DialerX) Was sind für DNS-Server eingestellt? (ip name-server xxx.xxx.xxx.xxx)

Naja DMZ... DMZ würde normalerweise öffentliche IPs haben oder zumindest keinen overload (also mehr interne als externe). Aber ein static NAT könnte das ip nat inside source static 192.168.xxx.xxx interface DialerX sollte fast das gleiche sein wie schon für die Box existiert (hoffe ich) alternativ können auch nur bestimmte UDP oder TCP-Ports umgeleitet werden ip nat inside source static tcp 192.168.xxx.xxx 7000 interface DialerX 7000 (7000 ist hier der TCP-Port)

Also das Problem das der längere Konfigurationen nicht nimmt kenne ich auch nur von Problemen mit der Konsole(seriell). Ich stelle bei sowas immer ein delay ein. Bei Hyperterminal lassen sich damit dann die Probleme beheben. Ein Zeichendelay von 10ms und ein Zeilendelay von 1/200ms dann klappt es bei mir.

Ja das stimmt HSRP (Hot Standby Router Protocol) gibt dem aktiven Router eine virtuelle IP und auch MAC. Die Router senden ständig Multicasts (alle paar Sekunden per default). Sobald der Standby dann keine Multicasts mehr vom Active erhält geht er von einem Ausfall aus und übernimmt die IP und MAC des Clusters Der Befehl standby wird bei Cisco für die HSRP Konfiguration verwendet standby ip ... standby priority ... standby preempt standby track ... "standby ..." halt. Falls du mehr zu HSRP wissen willst such einfach im Internet, da findest sich jede Menge. ------- Ich sehe gerade das bei eurer Konfiguration für Interface Vlan6 "standby track Vlan6" steht, das macht mal gar keinen Sinn. Ich kann dir nur empfehlen mach dich schlau zu HSRP, ist nicht so kompliziert wenn ihr nur zwei 4000/4500er Coreswitche habt. normalerweise würde ich es z.B. so machen: SWITCH1 interface Vlan6 ip address 192.168.1.1 255.255.255.0 standby ip 192.168.1.5 standby priority 110 preempt standby timers 5 15 SWITCH2 interface Vlan6 ip address 192.168.1.2 255.255.255.0 standby ip 192.168.1.5 standby priority 105 preempt standby timers 5 15 ---- Alles natürlich ohne Gewähr ;)

Die beiden Befehle dienen der HSRP Konfiguration standby ip gibt dabei die virtuelle IP des HSRP-Clusters an standby track hat mit der Priorität zu tun. Die wird abhängig von Zustand des Interface Vlan6 geändert. Wenn Vlan6 z.B. down ist wird die Priorität niedriger so das ein anderer Router übernehmen kann. Mir fehlt hier allesdings das standby peempt, das dafür sorgt das immer auf den router mit der höheren priorität umgeschaltet wird, nicht nur bei einem ausfall des aktiven. Ohne ein preempt macht ein track eigentlich keinen sinn... EDIT: Das mit dem standby track macht aber mit einem Verweis auf ein VLAN Interface eh nicht soviel Sinn, glaube ich. Mir fällt jedenfalls kein Fall ein bei dem ein Vlan Interface auf down schalten sollte und ein umschalten was nutzt (VTP und so...). Gedacht ist es eigentlich mehr für physikalische Interface wie Standleitungen mit Backup.

Den Link/Das Datenblatt: http://www.cisco.com/application/pdf/en/us/guest/products/ps4874/c1650/ccmigration_09186a008010e5c5.pdf hattest du schon? Ich hab das Gefühl da steht sehr genau drin was die können und was nicht... Ich meine der sollte ohne Cisco-Account zu öffnen sein.