Jump to content
Sign in to follow this  
bodo40

config von routing, def.gateway und natting

Recommended Posts

Hi,

 

was muss denn eigentlich alles configuriert werden, damit man mit einem C831 DSL nutzen kann.

 

intern Subnetz 172.25.22.0 255.255.255.0

Eth 0 ip address 172.25.19.254

Eht 1 ip address 87.87.87.234

 

Router ISP vor meinem Router 87.87.87.233

 

Rechnermit x-over-kabel an Router interface fa 0/0

 

interface fa 0/0 ohne ip wobei über den vier fa buchsen auch noch e0 steht. scheint ein interner hub zu sein.

 

 

man kann nicht raus pingen (z.B.:Google)

 

 

irgendwas mit dem Routing habe ich nicht richtig genacht. Ich glaube ich habe noch gar kein Routing eingerichtet. Wie macht man das denn mit einer statischen Route.?

 

alles vom Subnetz 172.25.22.0 soll über das Def.Gateway e0 des Subnetzes über das interface e1 raus.

 

Muss ich dann auch noch natting aktivieren. habe davon gehört, weis aber in diesem einfachen fall trotzdem nicht wie das eingerichtet wird.

 

ohoh.

 

vielen Dank für Rat

 

euer Bodo40

Share this post


Link to post

OK, hier die show run infos.

 

Danke schon mal, ich hoffe wir kommen weiter. Wie du siehst ist schon ein Tunnel auf ipsec basis eingestellt, der auch noch nicht läuft. geht wohl erst wenn die Fragen von oben gegessen sind.

 

Router-Wien#show run
Building configuration...

Current configuration : 1580 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router-Wien
!
enable secret 5 **********
enable password 7 **********
!
no aaa new-model
ip subnet-zero
no ip routing
ip name-server 87.87.87.233
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key 0 ********** address 217.217.217.210
!
!
crypto ipsec transform-set hannover esp-3des esp-md5-hmac 
!
crypto map dyn-map 5 ipsec-isakmp 
set peer 217.217.217.210
set transform-set hannover 
match address 110
!
!
!
!
interface Ethernet0
ip address 172.25.22.254 255.255.255.0
no ip route-cache
!
interface Ethernet1
ip address 87.87.87.234 255.255.255.248
no ip route-cache
duplex auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet3
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
ip classless
ip http server
no ip http secure-server
!
access-list 100 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255
access-list 110 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255
access-list 110 permit icmp any any
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 **********
login
!
scheduler max-task-time 5000
!
end

 

Gruss

Bodo40

Share this post


Link to post

Den erste Fehler habe ich endlich gefunden.

 

Router-Wien(config)#ip routing

 

ein kleiner befehl, den es sehr schwer zu finden war.

 

trotzdem kann ich noch nicht ins internet pingen.

 

def.gate für den router irgendwie einstellen?

wieder so ein kleiner befehl. wer ihn kennt bitte melden.

 

 

Danke

 

euer Bodo40

Share this post


Link to post

wie ein ganz normales default gateway?

 

ip route 0.0.0.0 0.0.0.0 %gateway-IP%

oder bei z.B. PPPoE

ip route 0.0.0.0 0.0.0.0 %PPPoE-interface%

Share this post


Link to post

NAT:

Im Externen Interface "ip nat outside"

für das/die Interne(n) "ip nat inside"

 

dann noch eine ACL die den Internen Bereich angibt

access-list 18 permit 192.168.0.0 0.0.0.255

 

und noch aktivieren

ip nat inside source list 18 interface Dialer1 overload

(wobei Dialer1 durch dein Extern interface ersetzt werden muss)

Share this post


Link to post

Einen hab ich noch...

der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken

 

Minimum fände ich:

ACLs für das Management (web, telnet/ssh, ggf. snmp):

access-list 1 permit 192.168.0.0 0.0.0.255

ip http access-class 1

snmp-server community %WORD% 1

line vty 0 4

access-class 1 in

 

Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt:

access-list 122 permit tcp any any established

access-list 122 remark Aufraeumen...

access-list 122 deny tcp any any eq 135

access-list 122 deny tcp any any eq 137

access-list 122 deny tcp any any eq 139

access-list 122 deny tcp any any eq 445

access-list 122 deny ip any any log-input

 

Interface %outside%

ip access-group 122 in

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...