r4z13l

Hi, also um VLAN´s usw auf allen Switchen zu verteilen, kannst du eine VTP - Domain erstellen: Switch - VTP Konfiguration IP und Name musst du nach meinem Wissen selbst anpassen (wenn du auf DHCP verzichtest)

Guten Morgen, schließe ich den AP direkt an den Switch an habe ich leider das gleiche Ergebnis :( Ich bin um jede Idee dankbar! lg r4 EDIT: Ich glaube ich bin einen Schritt weiter: Der Switch unterstützt nicht dot1Q: sh interface GigabitEthernet1/0/31 capabilities GigabitEthernet1/0/31 Model: WS-C2960S-48FPS-L Type: 10/100/1000BaseTX Speed: 10,100,1000,auto Duplex: half,full,auto Trunk encap. type: 802.1Q Trunk mode: on,off,desirable,nonegotiate Channel: yes Broadcast suppression: percentage(0-100) Flowcontrol: rx-(off,on,desired),tx-(none) Fast Start: yes QoS scheduling: rx-(not configurable on per port basis), tx-(4q3t) (3t: Two configurable values and one fixed.) CoS rewrite: yes ToS rewrite: yes UDLD: yes Inline power: yes SPAN: source/destination PortSecure: yes Dot1x: yes Will ich beim AP auf 802.1Q umstellen, wird mir dies zwar Vorgeschalgen, ich kann es aber nicht auswählen: ap(config-subif)#encapsulation ? dot1Q IEEE 802.1Q Virtual LAN ap(config-subif)#encapsulation 802.1Q 5 ^ % Invalid input detected at '^' marker.

Hi, einzeln funktionieren die VLAN´s problemlos. Der kleine Switch unterstützt keine VLAN´s. Leider kann ich aber erst morgen vormittag den AP direkt an den Switch hängen um zu gucken ob das dann funktioniert. Ich werde das morgen ausprobieren und Berichten ;)

Hallo Zusammen, ich habe auf einem 2960-Switch zum testen einem Port zwei VLAN´s zugewiesen: interface GigabitEthernet1/0/31 switchport trunk allowed vlan 5,10 switchport mode trunk switchport nonegotiate macro description cisco-switch spanning-tree link-type point-to-point An diesem Port hängt ein kleiner Netgear-Switch und an diesem Switch ein Accesspoint (1242). Unschön, weiß ich, ist jedoch auch nur zum testen. Auf dem AP habe ich 2 SSID´s in den verschieden VLAN´s konfiguriert. Jedoch komme ich nur über VLAN 10 ins Internet. In VLAN 10 ist ein DHCP Server activ, im VLAN 5 arbeite ich mit statischen IP - Adressen. anbei noch die config vom Switch: Building configuration... Current configuration : 2767 bytes ! version 12.4 no service pad service timestamps debug uptime service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname apTest ! enable secret 5 ... ! no aaa new-model ! ! dot11 vlan-name DHCP vlan 10 dot11 vlan-name festeIP vlan 5 ! dot11 ssid SSID01 vlan 5 authentication open mbssid guest-mode ! dot11 ssid SSID02 vlan 10 authentication open authentication key-management wpa version 2 mbssid guest-mode wpa-psk ascii 7 ... ! power inline negotiation prestandard source ! ! ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 10 mode ciphers aes-ccm ! ssid SSID01 ! ssid SSID02 ! mbssid channel 2437 station-role root bridge-group 1 bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface Dot11Radio0.5 encapsulation dot1Q 5 no ip route-cache bridge-group 5 bridge-group 5 subscriber-loop-control bridge-group 5 block-unknown-source no bridge-group 5 source-learning no bridge-group 5 unicast-flooding bridge-group 5 spanning-disabled ! interface Dot11Radio0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 10 bridge-group 10 subscriber-loop-control bridge-group 10 block-unknown-source no bridge-group 10 source-learning no bridge-group 10 unicast-flooding bridge-group 10 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown no dfs band block channel dfs station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface FastEthernet0.5 encapsulation dot1Q 5 no ip route-cache bridge-group 5 no bridge-group 5 source-learning bridge-group 5 spanning-disabled ! interface FastEthernet0.10 encapsulation dot1Q 10 no ip route-cache bridge-group 10 no bridge-group 10 source-learning bridge-group 10 spanning-disabled ! interface BVI1 ip address 192.168.0.x 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.0.x ip http server no ip http secure-server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag bridge 1 route ip ! ! ! line con 0 logging synchronous line vty 0 4 logging synchronous login local ! end Habt ihr eine Idee was ich falsch mache?

gratulation :)

kannst du die config posten?

gratuliere :)

hier würde ich auch gerne mitmachen :) Steht die Gruppe bereits?

Hi Zusammen, wenn jemand intresse an einer Lerngruppe in RV +-30km hat, bitte melden :) Es geht um den MCITP (70-680, 70-640, 70-642, 70-643 und 70-647) lg r4

freut mich, dass anderen die Lösung ebenfalls hilft :)

Cisco 2901 Integrated Services Router - Cisco Systems

ich habe nun eine funktionierende Lösung: Cisco ASA remote management via VPN | Booches.nl Vielen Dank für eure Mühen! :)

richtig, darum will ich ja soetwas wie ein Loopback-Interface. Einfach ein virtuelles Interface auf der Firewall dem ich eine IP zuweisen kann. Das war ja meine ursprüngliche Frage, wie ich soetwas realisieren kann.

object-group network DM_INLINE_NETWORK_1 network-object host 192.168.200.33 network-object host 192.168.200.34 object-group network DM_INLINE_NETWORK_2 network-object host 192.168.0.100 network-object host 192.168.0.106 network-object host 192.168.0.108 network-object host 192.168.0.126 network-object host 192.168.0.150 network-object host 192.168.0.156 network-object host 192.168.0.159 network-object host 192.168.0.199 network-object host 192.168.0.226 network-object host 192.168.0.235 network-object host 192.168.0.41 network-object host 192.168.0.49 network-object host 192.168.0.51 network-object host 192.168.0.55 network-object host 192.168.0.128 network-object host 192.168.0.211 network-object host 192.168.0.234 object-group network DM_INLINE_NETWORK_3 network-object host 192.168.200.18 network-object host 192.168.200.19 network-object host 192.168.200.250 network-object host 192.168.200.251 network-object host 192.168.200.252 network-object host 192.168.200.35 network-object host 192.168.200.37 network-object host 192.168.200.7 network-object host 192.168.200.36 object-group network DM_INLINE_NETWORK_4 network-object host 192.168.0.120 network-object host 192.168.0.148 network-object host 192.168.0.175 network-object host 192.168.0.176 network-object host 192.168.0.177 network-object host 192.168.0.48 network-object host 192.168.0.149 object-group service DM_INLINE_SERVICE_1 service-object ip service-object tcp eq echo object-group service DM_INLINE_SERVICE_2 service-object ip service-object tcp eq echo access-list inside_nat0_outbound remark xxx access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list outside_6_cryptomap extended permit ip 192.168.0.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list xxxFilter remark ... und ... auf Arbeitsstationen access-list xxxFilter extended permit ip object-group DM_INLINE_NETWORK_1 object-group DM_INLINE_NETWORK_2 access-list xxxFilter remark ... auf Drucker access-list xxxFilter remark Zugriff von ... auf Drucker access-list xxxFilter extended permit ip object-group DM_INLINE_NETWORK_3 object-group DM_INLINE_NETWORK_4 access-list xxxFilter remark OpenNMS auf xxx VPN-Router access-list xxxFilter extended permit object-group DM_INLINE_SERVICE_1 host 192.168.200.249 host 192.168.0.173 access-list xxxFilter remark Nagios auf PIX access-list xxxFilter extended permit object-group DM_INLINE_SERVICE_2 host 192.168.200.254 host 192.168.0.251 crypto map outside_map 6 match address outside_6_cryptomap crypto map outside_map 6 set peer xxx.xxx.xxx.xxx crypto map outside_map 6 set transform-set ESP-3DES-SHA crypto map outside_map 6 set nat-t-disable 192.168.200.254 soll auf 192.168.0.251 zugreifen können (per ping)

hier mal die betreffenden config-zelen: access-list inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list outside_6_cryptomap extended permit ip 192.168.0.0 255.255.255.0 192.168.200.0 255.255.255.0 access-list xxxFilter extended permit ip object-group DM_INLINE_NETWORK_1 object-group DM_INLINE_NETWORK_2 access-list xxxFilter extended permit object-group DM_INLINE_SERVICE_1 host 192.168.200.249 host 192.168.0.173 access-list xxxFilter remark Nagios auf PIX access-list xxxFilter extended permit object-group DM_INLINE_SERVICE_2 host 192.168.200.254 host 192.168.0.251 In der DM_INLINE - Gruppen stehen die betroffenen IP-Adressen

hmmm, ich glaube ich habe mich nicht genau genug ausgedrückt: Der VPN-Tunnel steht, unsere Clients kommen ohne Probleme auf die Kundensysteme und der Kunde kommt ohne Probleme an unsere Drucker. Ich kann mit meinem OpenNMS sein VPN-Router überwachen, er mit seinem Nagios-Server aber nicht unsere Firewall. Soweit ich das richtig verstehe, kann unsere Firewall nicht auf dem selben Interface routen, darum die Idee mit dem Loopback-Interface auf der Firewall. Also alles funktioniert nur das pingen vom Kunden auf unsere inside-IP der Firewall geht nicht.

Hallo Zusammen, wir haben mit einem Kunden eine L2L-VPN Verbindung aufgebaut. Dies funktioniert auch problemlos. Nur einen kleinen Schönheitsfehler hat das ganze noch... Wir überwachen gegenseitig das Gateway, also ob der VPN-Tunnel noch steht (wir: OpenNMS, Kunde: Nagios). Auf unserer Seite ist eine PIX515E: Cisco Pix Security Appliance Software Version 8.0(2) Device Manager Software 6.0(2) Von unserer Seite aus (192.168.0.173 = OpenNMS-Server) kann ich das Gateway des Kunden (192.168.200.249) pingen. Wenn er von seinem Nagios-Server (192.168.200.254) unser Gateway (192.168.0.251) pingen möchte bekommt er keine Antwort. Das Problem ist, dass unsere Pix nicht auf dem selben Interface antwortet. Ich benötige also soetwas wie ein Loopback-Interface. Jedoch, so wie ich das verstehe ist ein Loopbackinterface nur auf einem Router, nicht auf einer Firewall verfügbar. Auch eine Konfigurationsvorlage die ich im Internet gefunden habe bei der das Problem mit NAT gelöst wird, hat bei mir leider nicht funktioniert (https://supportforums.cisco.com/thread/2038631). Ich hoffe Ihr könnt mir weiter helfen. Sollten noch angaben fehlen, stelle ich diese gerne bereit. Vielen Dank für eure Antworten :) lg r4