Jump to content

Routing zwischen 3 Standorten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

 

ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst.

Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht.

 

Standort A Netzwerk 10.0.0.0/16

Standort B Netzwerk 192.168.42.0/24

Standort C Netzwerk 192.168.4.0/24

Standort D Netzwerk 192.168.44.0/24

 

Standort A:

 

version 12.3

no service pad

!

hostname Router-A

!

ip name-server 217.237.149.161

ip name-server 217.237.151.225

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

!

isdn switch-type basic-net3

!

crypto isakmp policy 20

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key xxxxx address 999.999.999.999

crypto isakmp key xxxxx address 888.888.888.888

crypto isakmp key xxxxx address 777.777.777.777

!

crypto ipsec transform-set SET1 esp-3des esp-sha-hmac

crypto ipsec transform-set SET2 esp-3des esp-sha-hmac

crypto ipsec transform-set SET3 esp-3des esp-sha-hmac

!

crypto map XVPN 1 ipsec-isakmp

set peer 213.146.119.47

set transform-set SET1

match address 101

crypto map XVPN 2 ipsec-isakmp

set peer 217.91.53.48

set transform-set SET2

match address 102

crypto map XVPN 3 ipsec-isakmp

set peer 87.139.18.218

set transform-set SET3

match address 103

!

interface Tunnel1

ip address 192.168.191.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 999.999.999.999

crypto map XVPN

!

interface Tunnel2

ip address 192.168.192.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 888.888.888.888

crypto map XVPN

!

interface Tunnel3

ip address 192.168.193.1 255.255.255.252

ip mtu 1432

tunnel source Dialer0

tunnel destination 777.777.777.777

crypto map XVPN

!

interface FastEthernet0

description $ETH-WAN$

no ip address

no ip unreachables

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

no cdp enable

!

interface Vlan1

ip address 10.0.1.253 255.255.0.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

!

interface Dialer0

ip address negotiated

ip mtu 1456

ip nat outside

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname inetuser

ppp chap password password

ppp pap sent-username inetuser password password

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer0

ip route 192.168.4.0 255.255.255.0 Tunnel1

ip route 192.168.42.0 255.255.255.0 Tunnel2

ip route 192.168.44.0 255.255.255.0 Tunnel3

ip http server

ip http authentication local

ip http secure-server

ip nat inside source list 111 interface Dialer0 overload

ip nat inside source route-map XMAP1 interface Dialer0 overload

ip nat inside source route-map XMAP2 interface Dialer0 overload

ip nat inside source route-map XMAP3 interface Dialer0 overload

ip nat inside source route-map nonat interface Dialer0 overload

!

Fortsetzung folgt..

Link zu diesem Kommentar

Fortsetzung:

 

access-list 1 permit 10.0.0.0 0.0.255.255

access-list 23 permit 10.0.0.0 0.0.255.255

access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

access-list 105 permit ip 10.0.0.0 0.0.255.255 any

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

access-list 111 permit ip 10.0.0.0 0.0.255.255 any

access-list 111 permit udp any any

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255

dialer-list 1 protocol ip permit

no cdp run

!

route-map XMAP1 permit 1

match ip address 101

!

route-map XMAP2 permit 1

match ip address 102

!

route-map XMAP3 permit 1

match ip address 103

!

route-map nonat permit 10

match ip address 105

!

end

 

Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C.

 

Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert.

Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert.

Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe.

 

Ich danke schon mal im Voraus.

 

Viele Grüße

 

Dieter

Link zu diesem Kommentar

Hallo Wordo,

 

ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.

 

Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.

Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.

Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).

 

Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?

 

Viele Grüße und Dank

 

Dieter Kühlborn

Link zu diesem Kommentar
Hallo Wordo,

 

ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht.

 

Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl.

Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen.

Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN).

 

Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist?

 

Viele Grüße und Dank

 

Dieter Kühlborn

 

hallo DieterK

 

dein Router 831 sollte DMVPN als spoke unterstützen können:

 

Configuring DMVPN Spoke Router in Full Mesh IPsec VPN Using SDM [iPSec Negotiation/IKE Protocols] - Cisco Systems

 

Cisco IOS Software Release 12.3(8)T, Cisco 831 Series Router (C831-K9O3SY6-M)

 

p.s

an deiner stelle, wäre nächstes mal wirklich sehr vorsichtig, config files mit öffentlichen IP adressen einfach so zu posten.

wir sind ganz "nette" leute.

dies ist eine anständige kneipe, kein hacker forum, aber man weiss nie...

 

gruss

ccc

Link zu diesem Kommentar

Du kannst dir einen SMARTnet Vertrag holen, kostet ca 70 Euro fuer Service Kategorie 1 (sollte passen, auf eigene Gefahr). Damit kannst du dann 1 Jahr lang so viele IOS Versionen von Cisco.com laden wie du willst. Ob das in weniger als 4 Wochen ueber die Buehne laeuft kann ich dir nicht sagen.

 

Ich hab nen SMARTnet mit Kategorie 6, da kann ich laden was ich will, ob das mit 1 genauso geht weiss ich leider nicht. Kat 6 kostet aber ueber 400 Euro fuer ein Jahr.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...