czappb
-
Gesamte Inhalte
384 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von czappb
-
-
Einen hab ich noch...
der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken
Minimum fände ich:
ACLs für das Management (web, telnet/ssh, ggf. snmp):
access-list 1 permit 192.168.0.0 0.0.0.255
ip http access-class 1
snmp-server community %WORD% 1
line vty 0 4
access-class 1 in
Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt:
access-list 122 permit tcp any any established
access-list 122 remark Aufraeumen...
access-list 122 deny tcp any any eq 135
access-list 122 deny tcp any any eq 137
access-list 122 deny tcp any any eq 139
access-list 122 deny tcp any any eq 445
access-list 122 deny ip any any log-input
Interface %outside%
ip access-group 122 in
-
NAT:
Im Externen Interface "ip nat outside"
für das/die Interne(n) "ip nat inside"
dann noch eine ACL die den Internen Bereich angibt
access-list 18 permit 192.168.0.0 0.0.0.255
und noch aktivieren
ip nat inside source list 18 interface Dialer1 overload
(wobei Dialer1 durch dein Extern interface ersetzt werden muss)
-
wie ein ganz normales default gateway?
ip route 0.0.0.0 0.0.0.0 %gateway-IP%
oder bei z.B. PPPoE
ip route 0.0.0.0 0.0.0.0 %PPPoE-interface%
-
nein static stimme schon nur keine static ip ip
sonder ein static tcp ip service ip service
statt tcp kann man natürlich auch udp nehmen, bei bedarf
und das für beide dienste.
-
Also der Router ist in den PCs mit seiner jeweiligen IP als Defaultgateway eingetragen?
Läßt sich die Router-IP aus dem anderen Subnetz von den PCs aus anpingen?
Ist das IP-Routing ganz sicher aktiviert? (Vielleicht nochmal "ip routing" eingeben...)
-
okay...
das ist die nicht mehr laufende konfig, oder?
EDIT: Also die mit dem EasyVPN aktiviert?
was sagt denn das logging, steht da irgendwas an meldungen drin?
wird der pppoe-tunnel aufgebaut oder geht der Tunnel erst gar nicht mehr auf?
-
Naja, wenn man ehrlich ist muss man sagen ISDN-Wählverbindungen sind echt teuer, besonders wenn sie für die normale Arbeit genutzt werden.
DSL-Leitungen sind heute echt nicht mehr teuer, haben eine höhere Bandbreite und per VPN ist das auch sicher.
Falls du es doch machen willst solltest du statt des Bridging (beide seiten gleiches Subnetz) lieber ein Routing nutzen sonst hast du sobald irgendein Gerät einen Broadcast sendet die Verbindung offen.
Da Broadcasts für die Kommunikation im Netzwerk gebraucht werden lassen die sich auch nicht ganz sperren(per ACL oder so).
-
Ähhh sorry für die Verwirrung...
ich war etwas verwirrt mit priority...
Es ist natürlich RICHTIG so wie es da bei dir steht.
Nochmals sorry.
-
Ich bin mir jetzt nicht 100%ig sicher ob das Modulübergreifend geht, sollte aber schon.
set port channel 1/1,2/1 mode on
so gehts normalerweise wenn es so nicht geht dann kann der das wohl nicht.
-
Hmm eine 501 wird wohl als überfordert sein wenn sie das ganze Internet hosten soll...
Aber ernsthaft...
eine Fehlkonfiguration würde ich vermuten.
Wie ist denn die config des Geräts?
EDIT: leider ist keine genauere Fehleranalyse möglich mit den Informationen.
-
130BBit für VoIP weil eh maximal 2 Gespräche gleichzeitig und halt einfach noch bischen Luft dazwischen.
Also das sichert so keine Bandbreite von 130KBit/s zu, sondern es beschränkt die class-map auf eine maximale Bandbreite von 130KBit/s.
Ich vermute das ist nicht das was du erreichen wolltest, oder?
-
OK, ich muss sagen ich sehe nichts das wirklich die Funktion behindern dürfte.
jedoch ein paar Dinge könntest du prüfen - konstruktiv gemeint.
Generell:
-Accesslists für das Management(telnet,ssh,http,snmp,...) z.B. für ACL Nummer 2 sähe das aus:
ip http access-class 2 in snmp-server community nobus RO 2 line vty 0 4 access-class 2 in
-Accesslist ist nur die Nummer 1 wirklich aktiv, den Rest könnte man entfernen.
brauchst du das "any" wirklich in ACL1?
policy-map voip class lan priority 130
Class Voip soll maximal 130KBit/s benutzen, Absicht?
interface FastEthernet0/1 description uplink DTAG.DE pppoe enable pppoe-client dial-pool-number 1 speed 100 full-duplex no cdp enable load-interval 30
Das sollte für Fa0/1 reichen, denn:
service-policy output voip - Bringt dir auf PPTP-getunnelten Paketen nix, sollte auf Dialer1
ip nat outside - hat nichtmal eine IP, kann kein NAT outside sein
bandwidth 6016 - zieht um auf den Dialer1
ip access-group 100 in - es läuft eh nur PPTP...
ip access-group 100 out - es läuft eh nur PPTP...
ip directed-broadcast - kein ip
daher kommt dann zu dialer1 hinzu
interface Dialer1 service-policy output voip
shutdown - vom testen nehme ich an
-
Jaja das dass eine Tochtergesellschaft ist weiß ich.
Ich habe jedenfalls nie geschrieben das du das hier nicht schreiben darfst, viel mehr, dass die ich in diesem Forum eher IOS, CatOS & PIXOS Konfiguartionshilfe geleistet werden kann.
Zwar beinhaltet das das Wissen um die VPN allgemein jedoch kann die Konfiguration von Produkt zu Produkt sehr unterschiedlich sein.
Nichts böses nur ist halt so.
-
Naja, das Forum heißt nicht "Netzwerk Forum - Allgemein" sonder... Richtig "Cisco Forum - Allgemein".
Daher muss ich mich wundern wenn du hier die Frage stellst wie man einen Linksys konfiguriert. Würdest du in ein Linux Forum posten wie man Solaris konfiguriert, oder gar Windows?
Nein, unzwar weil du weißt es macht keinen Sinn. Die Leute sind vielleicht hilfsbereit aber wer Produkt 1 kennt, kennt noch lange nicht Produkt 2.
-
Also vielleicht gibts noch was zu finden wenn du die Konfig postest.
4(bzw. X) Augen sehen immer mehr als 2 ;)
EDIT:
Natürlich nur für X > 2
-
Ja, spannend.
Linksys hat zwar irgendwie/wo was mit Cisco zu tun aber. Wie werden die Teile Konfiguriert, nur über Webinterface oder? Was haben die für ein OS, gibt es da wirklich gemeinsamkeiten?
-
Naja, sobald der Switch (hier 2950) BPDUs auf einem Portfast-Port bekommt schaltet der diesen wieder zurück und der muss listening und learning machen. Portfast ist nur zum Anschluss von Endgeräten gedacht.
Wenn es um sicherheit geht ist man auch gut beraten:
-CDP auf Access-Ports abzustellen
(no cdp enable)
-den BPDUGuard&-Filter zu aktivieren
spanningtree portfast bpduguard default
spanningtree portfast bpdufilter default
-DHCP snooping zu aktivieren...
ip dhcp snooping
ip dhcp snooping vlan 1 4094
(auf den entsprechenden Ports)ip dhcp snooping trust
-Portsecurity auf den Access-Ports (default: max 1 MAC-A. pro Port)
switchport portsecurity
erstmal als empfehlenswert und was noch so alles möglich ist.
-
Der Cisco eh nicht, aber der Spanningtree.
Wenn du dem Spanningtree das abgewöhnen willst mußt du die Ports auf:
switchport mode access
umstellen und entweder jeden port
spanningtree portfast
oder global
spanningtree portfast default
einstellen.
Damit übergeht Spanningtree den Listening und den Learning State.
EDIT:
portfast geht nur auf access-Ports, auf trunk-ports gibt es noch spanningtree portfast trunk oder so ähnlich
-
gibt es denn eine Defaultroute?
(ip route 0.0.0.0 0.0.0.0 DialerX)
Was sind für DNS-Server eingestellt?
(ip name-server xxx.xxx.xxx.xxx)
-
Naja DMZ...
DMZ würde normalerweise öffentliche IPs haben oder zumindest keinen overload (also mehr interne als externe).
Aber ein static NAT könnte das
ip nat inside source static 192.168.xxx.xxx interface DialerX
sollte fast das gleiche sein wie schon für die Box existiert (hoffe ich) alternativ können auch nur bestimmte UDP oder TCP-Ports umgeleitet werden
ip nat inside source static tcp 192.168.xxx.xxx 7000 interface DialerX 7000
(7000 ist hier der TCP-Port)
-
Also das Problem das der längere Konfigurationen nicht nimmt kenne ich auch nur von Problemen mit der Konsole(seriell). Ich stelle bei sowas immer ein delay ein.
Bei Hyperterminal lassen sich damit dann die Probleme beheben.
Ein Zeichendelay von 10ms und ein Zeilendelay von 1/200ms dann klappt es bei mir.
-
Ja das stimmt HSRP (Hot Standby Router Protocol) gibt dem aktiven Router eine virtuelle IP und auch MAC. Die Router senden ständig Multicasts (alle paar Sekunden per default).
Sobald der Standby dann keine Multicasts mehr vom Active erhält geht er von einem Ausfall aus und übernimmt die IP und MAC des Clusters
Der Befehl standby wird bei Cisco für die HSRP Konfiguration verwendet
standby ip ...
standby priority ...
standby preempt
standby track ...
"standby ..." halt. Falls du mehr zu HSRP wissen willst such einfach im Internet, da findest sich jede Menge.
-------
Ich sehe gerade das bei eurer Konfiguration für Interface Vlan6 "standby track Vlan6" steht, das macht mal gar keinen Sinn.
Ich kann dir nur empfehlen mach dich schlau zu HSRP, ist nicht so kompliziert wenn ihr nur zwei 4000/4500er Coreswitche habt.
normalerweise würde ich es z.B. so machen:
SWITCH1
interface Vlan6
ip address 192.168.1.1 255.255.255.0
standby ip 192.168.1.5
standby priority 110 preempt
standby timers 5 15
SWITCH2
interface Vlan6
ip address 192.168.1.2 255.255.255.0
standby ip 192.168.1.5
standby priority 105 preempt
standby timers 5 15
----
Alles natürlich ohne Gewähr ;)
-
Die beiden Befehle dienen der HSRP Konfiguration
standby ip gibt dabei die virtuelle IP des HSRP-Clusters an
standby track hat mit der Priorität zu tun. Die wird abhängig von Zustand des Interface Vlan6 geändert.
Wenn Vlan6 z.B. down ist wird die Priorität niedriger so das ein anderer Router übernehmen kann. Mir fehlt hier allesdings das standby peempt, das dafür sorgt das immer auf den router mit der höheren priorität umgeschaltet wird, nicht nur bei einem ausfall des aktiven. Ohne ein preempt macht ein track eigentlich keinen sinn...
EDIT:
Das mit dem standby track macht aber mit einem Verweis auf ein VLAN Interface eh nicht soviel Sinn, glaube ich. Mir fällt jedenfalls kein Fall ein bei dem ein Vlan Interface auf down schalten sollte und ein umschalten was nutzt (VTP und so...).
Gedacht ist es eigentlich mehr für physikalische Interface wie Standleitungen mit Backup.
-
Den Link/Das Datenblatt:
hattest du schon?
Ich hab das Gefühl da steht sehr genau drin was die können und was nicht...
Ich meine der sollte ohne Cisco-Account zu öffnen sein.
2811 DSL-Zugang
in Cisco Forum — Allgemein
Geschrieben
chap...
nur pap ist möglich chap geht bei t-online eigentlich nicht - längere geschichte
sähe dann so aus:
ppp authentication pap callin optional
ppp pap sent-username xxx@xxx.de password 7 xxxxx
und das ganze ppp chap kann weg.