mels 10 Geschrieben 3. Oktober 2007 Melden Teilen Geschrieben 3. Oktober 2007 Hallo Leute! Ich stehe hier irgenwie auf dem Schlau. Wir haben einen Cisco Router 8xx der unsere Firewall ist, jetzt haben wir eine Zusätliche Standleitung zu unserem Ausenposten von der Post bekommen. Die Post hat uns jetzt noch einen Cisco Router hergestellt der die IP-ADresse 192.168.20.3 hat. Die Ausenstelle hat denn Adressenbereich 10.200.0.xxx. Jetzt möchte ich alles was von Intern auf die Ausenstelle zugreifen will, das user Router diese auf den neuen Postrouter weiterroutet, und umgekehrt. Wo muß ich dieses routing einstellen? Bin für jeden Tip dankbar. mfg Mels Zitieren Link zu diesem Kommentar
Joerg Wiessner 10 Geschrieben 3. Oktober 2007 Melden Teilen Geschrieben 3. Oktober 2007 Du musst in allen 3 Routern einen entsprechenden Routingeintrag setzen. Im 800er geht das in Config Modus über ip route 10.200.0.0 255.255.255.0 NextHopIP Wichtig ist aber das ALLE Router auch den Rückweg kennen. Gruß Joerg Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Hallo! Danke für Deine Hilfe! ich hab jetzt folgende Config: ip classless ip route 0.0.0.0 0.0.0.0 60.190.25.15 ip route 10.200.0.0 255.255.0.0 192.168.20.3 kann jetzt aber trozdem zB. die IP-Adresse 10.200.1.2 nicht anpingen? Was muß ich noch tun. Vielen dank für Deine Hilfe! mfg Mels Zitieren Link zu diesem Kommentar
Joerg Wiessner 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Die Route für den Rückweg Deiner IP Packete auf dem/den Gegenstellen Router(n) setzten...! Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Hallo! Also die gegenroute ist gesetzt! Muß ich auf meinem Router noch was machen das die aus dem Netz 10.130.0.0 zB. auf 192.168.20.2 zugreifen können zB. Pingen Vielen dank im Voraus! mfg Mels Zitieren Link zu diesem Kommentar
Joerg Wiessner 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Da Du davon sprichst, das Du den 800er als "Firewall" betreibst, hast Du vielleicht noch ACLs gebunden die noch erweitert werden müssen? Hast Du NAT/PAT im Einsatz, dann müsste die neue Route evtl. exkludiert werden. Am einfachsten wäre es wenn Du mal die komplette Konfig ohne Passwörter postet. Gruß Joerg Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Hallo! Hier die Konfig Teil1! interface Null0 no ip unreachables ! interface Ethernet0 description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN ip address 192.168.20.3 255.255.255.0 ip access-group LAN_in in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow no cdp enable ! interface Ethernet1 description $FW_OUTSIDE$$ETH-WAN$WAN to tel ip address 60.190.25.16 255.255.255.240 ip access-group WAN_in in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect MyFW out ip virtual-reassembly no ip route-cache cef no ip route-cache no ip mroute-cache duplex auto no cdp enable crypto map SDM_CMAP_1 ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address duplex auto speed auto ! interface FastEthernet3 no ip address duplex auto speed auto ! interface FastEthernet4 no ip address duplex auto speed auto ! ip local pool SDM_POOL_1 192.168.21.1 ip local pool SDM_POOL_2 192.168.21.2 192.168.21.254 ip classless ip route 0.0.0.0 0.0.0.0 60.190.25.15 ip route 10.200.0.0 255.255.0.0 192.168.20.3 ip http server ip http access-class 1 ip http authentication local ip http secure-server ! ip nat inside source route-map NAT-RMAP interface Ethernet1 overload ip nat inside source static tcp 192.168.21.2 25 interface Ethernet1 25 ! ! ip access-list extended CFG_vty remark SDM_ACL Category=1 permit ip 192.168.20.0 0.0.0.255 any ip access-list extended LAN_in remark Verbindung LAN Firma remark SDM_ACL Category=1 deny ip 60.190.25.14 0.0.0.3 any deny ip host 255.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any permit tcp host 192.168.20.2 any permit udp host 192.168.20.2 any eq domain permit udp host 192.168.20.2 any eq ntp permit tcp host 192.168.20.4 any permit udp host 192.168.20.4 any eq domain permit udp host 192.168.20.4 any eq ntp permit tcp host 192.168.20.5 any permit udp host 192.168.20.5 any eq domain permit udp host 192.168.20.5 any eq ntp permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 host 82.xxxx permit ip 192.168.20.0 0.0.0.255 192.168.1.0 0.0.0.255 permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq telnet permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq 22 permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq www permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.3 eq 443 deny ip any any log ip access-list extended NO-NAT1 remark SDM_ACL Category=2 deny ip 192.168.20.0 0.0.0.255 60.190.25.14 0.0.0.3 deny ip 192.168.20.0 0.0.0.255 host 82.xxx deny ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255 deny ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255 deny ip 192.168.20.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 any mfg mels Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Und Teil 2 ip access-list extended WAN_in remark Verbindung vom Internet remark SDM_ACL Category=1 permit ahp host 82.xxx host 60.190.25.16 permit esp host 82.xx host 60.190.25.16 permit udp host 82.xx host 60.190.25.16 eq isakmp permit udp host 82.xx host 60.190.25.16 eq non500-isakmp permit ip host 82.xx 192.168.20.0 0.0.0.255 permit ahp host 2xxx host 60.190.25.16 permit esp host 2xxx host 60.190.25.16 permit udp host 21xxx host 60.190.25.16 eq isakmp permit udp host 2xx host 60.190.25.16 eq non500-isakmp permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 permit udp any host 60.190.25.16 eq non500-isakmp permit udp any host 60.190.25.16 eq isakmp permit esp any host 60.190.25.16 permit ahp any host 60.190.25.16 permit udp host 2xxx eq domain 192.168.20.0 0.0.0.255 permit udp host 8xxx eq domain 192.168.20.0 0.0.0.255 permit udp host 19xxxeq domain 192.168.20.0 0.0.0.255 permit udp host 19xxx eq ntp host 60.190.25.16 eq ntp permit udp host 1xx eq ntp host 60.190.25.16 eq ntp permit ahp host 2xxx host 60.190.25.16 permit esp host 2xxxhost 60.190.25.16 permit udp host 2xxx host 60.190.25.16 eq isakmp permit udp host 2xx host 60.190.25.16 eq non500-isakmp permit icmp any host 60.190.25.16 echo-reply permit icmp any host 60.190.25.16 time-exceeded permit icmp any host 60.190.25.16 unreachable permit tcp any host 60.190.25.16 eq smtp remark Lotus permit tcp any gt 1400 host 60.190.25.16 eq 1352 permit ip 192.168.21.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip 192.168.22.0 0.0.0.255 192.168.20.0 0.0.0.255 deny ip 192.168.20.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any deny ip any any log access-list 1 remark SDM_ACL Category=1 access-list 1 remark HTTP Access-class list access-list 1 permit 192.168.20.0 0.0.0.255 access-list 1 deny any no cdp run route-map NAT-RMAP permit 10 match ip address NO-NAT1 ! control-plane ! banner login ^CCCAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C ! line con 0 no modem enable transport preferred all transport output telnet line aux 0 transport preferred all transport output telnet line vty 0 4 access-class CFG_vty in privilege level 15 transport preferred all transport input telnet ssh transport output all Zitieren Link zu diesem Kommentar
J@e 10 Geschrieben 6. Oktober 2007 Melden Teilen Geschrieben 6. Oktober 2007 Ähm, das verwirrt mich jetzt. Welcher Router soll das denn jetzt sein, der alte 800er oder der neue von der Post. Und warum setzt Du die Route auf die Adresse des eigenen Ethernet0??? Greetz J@e Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 7. Oktober 2007 Autor Melden Teilen Geschrieben 7. Oktober 2007 Hallo! Also das ist der alte Router, und dieser Router soll alles was auf 10.200.0.0 an den neuen Router der Post 192.168.20.3 weiterleiten. Und warum setzt Du die Route auf die Adresse des eigenen Ethernet0??? Wie meinst Du das? Meinst Du diese Zeile damit? ip route 10.200.0.0 255.255.0.0 192.168.20.3 Jetzt stehe ich ein bischen auf dem Schlauch? mfg mels Zitieren Link zu diesem Kommentar
J@e 10 Geschrieben 8. Oktober 2007 Melden Teilen Geschrieben 8. Oktober 2007 Dann solltest Du die Adresse 192.168.20.3 aber auch dem Post Router zugestehen und nicht auf Dein Interface Eth0 binden... ;) interface Ethernet0 description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN ip address 192.168.20.3 255.255.255.0 und ip route 10.200.0.0 255.255.0.0 192.168.20.3 Auf dem SELBEN Router, bringen nicht wirklich was!!! Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 8. Oktober 2007 Autor Melden Teilen Geschrieben 8. Oktober 2007 Hallo! Danke für Deine Hilfe! Ich hab mich da vertippt! interface Ethernet0description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN ip address 192.168.20.3 255.255.255.0 so ist es richtig. interface Ethernet0 description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN ip address 192.168.20.6 255.255.255.0 also der alte Router hat 192.168.20.6 hast Du noch eine Idee für mich was ich tun kann? Vielen dank im Voraus! Zitieren Link zu diesem Kommentar
J@e 10 Geschrieben 8. Oktober 2007 Melden Teilen Geschrieben 8. Oktober 2007 Naja, auf den ersten Blick fehlt Dir auf jeden Fall die Freigabe des Netzes in der LAN_IN ACL auf Ethernet0... Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 8. Oktober 2007 Autor Melden Teilen Geschrieben 8. Oktober 2007 Hallo! Also ich hab das jetzt so eingetragen: ip access-list extended LAN_in remark Verbindung LAN S remark SDM_ACL Category=1 deny ip 60.190.25.14 0.0.0.3 any deny ip host 255.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255 permit ip 192.168.20.0 0.0.0.255 host 8xxxx permit ip 192.168.20.0 0.0.0.255 10.120.0.0 0.0.255.255 permit ip 192.168.20.0 0.0.0.255 192.168.1.0 0.0.0.255 permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.6 eq telnet permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.6 eq 22 permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.6 eq www permit tcp 192.168.20.0 0.0.0.255 host 192.168.20.6 eq 443 deny ip any any log ip access-list extended WAN_in remark Verbindung vom Internet remark SDM_ACL Category=1 permit ahp host 8xx host 60.190.25.16 permit esp host 8xx host 60.190.25.16 permit udp host 8xx host 60.190.25.16 eq isakmp permit udp host 8xx host 60.190.25.16 eq non500-isakmp permit ip host 8xx 192.168.20.0 0.0.0.255 permit ip host 10.130.0.0 192.168.20.0 0.0.0.255 permit ahp host 2xx host 60.190.25.16 permit esp host 2xx host 60.190.25.16 permit udp host 2xx host 60.190.25.16 eq isakmp permit udp host 2xx host 60.190.25.16 eq non500-isakmp permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip 10.120.0.0 0.0.0.255 192.168.20.0 0.0.0.255 ip route 10.120.0.0 255.255.255.0 192.168.20.3 Aber irgenwie funktioniert es immer noch nicht! was hab ich da falsch! viele dank im voraus! Zitieren Link zu diesem Kommentar
mels 10 Geschrieben 8. Oktober 2007 Autor Melden Teilen Geschrieben 8. Oktober 2007 Hallo! habs jetzt geschaft ip route 10.120.0.0 255.255.255.0 192.168.20.3 hab ich auf ip route 10.120.0.0 255.255.0.0 192.168.20.3 geändert und dann ist es gegangen! Vielen dank für Eure Hilfe. mfg mels Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.