czappb

chap...

nur pap ist möglich chap geht bei t-online eigentlich nicht - längere geschichte

sähe dann so aus:

ppp authentication pap callin optional

ppp pap sent-username xxx@xxx.de password 7 xxxxx

und das ganze ppp chap kann weg.

Einen hab ich noch...

der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken

Minimum fände ich:

ACLs für das Management (web, telnet/ssh, ggf. snmp):

access-list 1 permit 192.168.0.0 0.0.0.255

ip http access-class 1

snmp-server community %WORD% 1

line vty 0 4

access-class 1 in

Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt:

access-list 122 permit tcp any any established

access-list 122 remark Aufraeumen...

access-list 122 deny tcp any any eq 135

access-list 122 deny tcp any any eq 137

access-list 122 deny tcp any any eq 139

access-list 122 deny tcp any any eq 445

access-list 122 deny ip any any log-input

Interface %outside%

ip access-group 122 in

NAT:

Im Externen Interface "ip nat outside"

für das/die Interne(n) "ip nat inside"

dann noch eine ACL die den Internen Bereich angibt

access-list 18 permit 192.168.0.0 0.0.0.255

und noch aktivieren

ip nat inside source list 18 interface Dialer1 overload

(wobei Dialer1 durch dein Extern interface ersetzt werden muss)

wie ein ganz normales default gateway?

ip route 0.0.0.0 0.0.0.0 %gateway-IP%

oder bei z.B. PPPoE

ip route 0.0.0.0 0.0.0.0 %PPPoE-interface%

nein static stimme schon nur keine static ip ip

sonder ein static tcp ip service ip service

statt tcp kann man natürlich auch udp nehmen, bei bedarf

und das für beide dienste.

Also der Router ist in den PCs mit seiner jeweiligen IP als Defaultgateway eingetragen?

Läßt sich die Router-IP aus dem anderen Subnetz von den PCs aus anpingen?

Ist das IP-Routing ganz sicher aktiviert? (Vielleicht nochmal "ip routing" eingeben...)

okay...

das ist die nicht mehr laufende konfig, oder?

EDIT: Also die mit dem EasyVPN aktiviert?

was sagt denn das logging, steht da irgendwas an meldungen drin?

wird der pppoe-tunnel aufgebaut oder geht der Tunnel erst gar nicht mehr auf?

Naja, wenn man ehrlich ist muss man sagen ISDN-Wählverbindungen sind echt teuer, besonders wenn sie für die normale Arbeit genutzt werden.

DSL-Leitungen sind heute echt nicht mehr teuer, haben eine höhere Bandbreite und per VPN ist das auch sicher.

Falls du es doch machen willst solltest du statt des Bridging (beide seiten gleiches Subnetz) lieber ein Routing nutzen sonst hast du sobald irgendein Gerät einen Broadcast sendet die Verbindung offen.

Da Broadcasts für die Kommunikation im Netzwerk gebraucht werden lassen die sich auch nicht ganz sperren(per ACL oder so).

Ähhh sorry für die Verwirrung...

ich war etwas verwirrt mit priority...

Es ist natürlich RICHTIG so wie es da bei dir steht.

Nochmals sorry.

Ich bin mir jetzt nicht 100%ig sicher ob das Modulübergreifend geht, sollte aber schon.

set port channel 1/1,2/1 mode on

so gehts normalerweise wenn es so nicht geht dann kann der das wohl nicht.

Hmm eine 501 wird wohl als überfordert sein wenn sie das ganze Internet hosten soll...

Aber ernsthaft...

eine Fehlkonfiguration würde ich vermuten.

Wie ist denn die config des Geräts?

EDIT: leider ist keine genauere Fehleranalyse möglich mit den Informationen.

130BBit für VoIP weil eh maximal 2 Gespräche gleichzeitig und halt einfach noch bischen Luft dazwischen.

Also das sichert so keine Bandbreite von 130KBit/s zu, sondern es beschränkt die class-map auf eine maximale Bandbreite von 130KBit/s.

Ich vermute das ist nicht das was du erreichen wolltest, oder?

OK, ich muss sagen ich sehe nichts das wirklich die Funktion behindern dürfte.

jedoch ein paar Dinge könntest du prüfen - konstruktiv gemeint.

Generell:

-Accesslists für das Management(telnet,ssh,http,snmp,...) z.B. für ACL Nummer 2 sähe das aus:

ip http access-class 2 in
snmp-server community nobus RO 2
line vty 0 4
access-class 2 in

-Accesslist ist nur die Nummer 1 wirklich aktiv, den Rest könnte man entfernen.

brauchst du das "any" wirklich in ACL1?

policy-map voip
 class lan
  priority 130

Class Voip soll maximal 130KBit/s benutzen, Absicht?

interface FastEthernet0/1
description uplink DTAG.DE
pppoe enable
pppoe-client dial-pool-number 1
speed 100
full-duplex
no cdp enable
load-interval 30

Das sollte für Fa0/1 reichen, denn:

service-policy output voip - Bringt dir auf PPTP-getunnelten Paketen nix, sollte auf Dialer1

ip nat outside - hat nichtmal eine IP, kann kein NAT outside sein

bandwidth 6016 - zieht um auf den Dialer1

ip access-group 100 in - es läuft eh nur PPTP...

ip access-group 100 out - es läuft eh nur PPTP...

ip directed-broadcast - kein ip

daher kommt dann zu dialer1 hinzu

interface Dialer1
service-policy output voip

shutdown - vom testen nehme ich an

Jaja das dass eine Tochtergesellschaft ist weiß ich.

Ich habe jedenfalls nie geschrieben das du das hier nicht schreiben darfst, viel mehr, dass die ich in diesem Forum eher IOS, CatOS & PIXOS Konfiguartionshilfe geleistet werden kann.

Zwar beinhaltet das das Wissen um die VPN allgemein jedoch kann die Konfiguration von Produkt zu Produkt sehr unterschiedlich sein.

Nichts böses nur ist halt so.

Naja, das Forum heißt nicht "Netzwerk Forum - Allgemein" sonder... Richtig "Cisco Forum - Allgemein".

Daher muss ich mich wundern wenn du hier die Frage stellst wie man einen Linksys konfiguriert. Würdest du in ein Linux Forum posten wie man Solaris konfiguriert, oder gar Windows?

Nein, unzwar weil du weißt es macht keinen Sinn. Die Leute sind vielleicht hilfsbereit aber wer Produkt 1 kennt, kennt noch lange nicht Produkt 2.

Also vielleicht gibts noch was zu finden wenn du die Konfig postest.

4(bzw. X) Augen sehen immer mehr als 2 ;)

EDIT:

Natürlich nur für X > 2

Ja, spannend.

Linksys hat zwar irgendwie/wo was mit Cisco zu tun aber. Wie werden die Teile Konfiguriert, nur über Webinterface oder? Was haben die für ein OS, gibt es da wirklich gemeinsamkeiten?

Naja, sobald der Switch (hier 2950) BPDUs auf einem Portfast-Port bekommt schaltet der diesen wieder zurück und der muss listening und learning machen. Portfast ist nur zum Anschluss von Endgeräten gedacht.

Wenn es um sicherheit geht ist man auch gut beraten:

-CDP auf Access-Ports abzustellen

(no cdp enable)

-den BPDUGuard&-Filter zu aktivieren

spanningtree portfast bpduguard default

spanningtree portfast bpdufilter default

-DHCP snooping zu aktivieren...

ip dhcp snooping

ip dhcp snooping vlan 1 4094

(auf den entsprechenden Ports)ip dhcp snooping trust

-Portsecurity auf den Access-Ports (default: max 1 MAC-A. pro Port)

switchport portsecurity

erstmal als empfehlenswert und was noch so alles möglich ist.

Der Cisco eh nicht, aber der Spanningtree.

Wenn du dem Spanningtree das abgewöhnen willst mußt du die Ports auf:

switchport mode access

umstellen und entweder jeden port

spanningtree portfast

oder global

spanningtree portfast default

einstellen.

Damit übergeht Spanningtree den Listening und den Learning State.

EDIT:

portfast geht nur auf access-Ports, auf trunk-ports gibt es noch spanningtree portfast trunk oder so ähnlich

gibt es denn eine Defaultroute?

(ip route 0.0.0.0 0.0.0.0 DialerX)

Was sind für DNS-Server eingestellt?

(ip name-server xxx.xxx.xxx.xxx)

Naja DMZ...

DMZ würde normalerweise öffentliche IPs haben oder zumindest keinen overload (also mehr interne als externe).

Aber ein static NAT könnte das

ip nat inside source static 192.168.xxx.xxx interface DialerX

sollte fast das gleiche sein wie schon für die Box existiert (hoffe ich) alternativ können auch nur bestimmte UDP oder TCP-Ports umgeleitet werden

ip nat inside source static tcp 192.168.xxx.xxx 7000 interface DialerX 7000

(7000 ist hier der TCP-Port)

Also das Problem das der längere Konfigurationen nicht nimmt kenne ich auch nur von Problemen mit der Konsole(seriell). Ich stelle bei sowas immer ein delay ein.

Bei Hyperterminal lassen sich damit dann die Probleme beheben.

Ein Zeichendelay von 10ms und ein Zeilendelay von 1/200ms dann klappt es bei mir.

Ja das stimmt HSRP (Hot Standby Router Protocol) gibt dem aktiven Router eine virtuelle IP und auch MAC. Die Router senden ständig Multicasts (alle paar Sekunden per default).

Sobald der Standby dann keine Multicasts mehr vom Active erhält geht er von einem Ausfall aus und übernimmt die IP und MAC des Clusters

Der Befehl standby wird bei Cisco für die HSRP Konfiguration verwendet

standby ip ...

standby priority ...

standby preempt

standby track ...

"standby ..." halt. Falls du mehr zu HSRP wissen willst such einfach im Internet, da findest sich jede Menge.

-------

Ich sehe gerade das bei eurer Konfiguration für Interface Vlan6 "standby track Vlan6" steht, das macht mal gar keinen Sinn.

Ich kann dir nur empfehlen mach dich schlau zu HSRP, ist nicht so kompliziert wenn ihr nur zwei 4000/4500er Coreswitche habt.

normalerweise würde ich es z.B. so machen:

SWITCH1

interface Vlan6

ip address 192.168.1.1 255.255.255.0

standby ip 192.168.1.5

standby priority 110 preempt

standby timers 5 15

SWITCH2

interface Vlan6

ip address 192.168.1.2 255.255.255.0

standby ip 192.168.1.5

standby priority 105 preempt

standby timers 5 15

----

Alles natürlich ohne Gewähr ;)

Die beiden Befehle dienen der HSRP Konfiguration

standby ip gibt dabei die virtuelle IP des HSRP-Clusters an

standby track hat mit der Priorität zu tun. Die wird abhängig von Zustand des Interface Vlan6 geändert.

Wenn Vlan6 z.B. down ist wird die Priorität niedriger so das ein anderer Router übernehmen kann. Mir fehlt hier allesdings das standby peempt, das dafür sorgt das immer auf den router mit der höheren priorität umgeschaltet wird, nicht nur bei einem ausfall des aktiven. Ohne ein preempt macht ein track eigentlich keinen sinn...

EDIT:

Das mit dem standby track macht aber mit einem Verweis auf ein VLAN Interface eh nicht soviel Sinn, glaube ich. Mir fällt jedenfalls kein Fall ein bei dem ein Vlan Interface auf down schalten sollte und ein umschalten was nutzt (VTP und so...).

Gedacht ist es eigentlich mehr für physikalische Interface wie Standleitungen mit Backup.

Den Link/Das Datenblatt:

http://www.cisco.com/application/pdf/en/us/guest/products/ps4874/c1650/ccmigration_09186a008010e5c5.pdf

hattest du schon?

Ich hab das Gefühl da steht sehr genau drin was die können und was nicht...

Ich meine der sollte ohne Cisco-Account zu öffnen sein.