zwei Standorte mit zwei verschiedenen Cisco Routern verbinden

[stelu 10]

Hallo Ihr alle!

 

Ich bin noch nicht sehr erfahren in Cisco Router und soll nun zwei Router so verbinden, dass der Cisco Router (ein 806er) aus einer Zweigstelle sich mit einen Router in der Hauptzentrale (1600er) verbinden soll. Es soll als Backuplösung über ISDN laufen. Das ganze soll wegen Umzug, Providerwechsel, IPSEC und ähnlichen über NAT geschehen. Folgendes habe ich zusammen getragen, was meint ihr klappt das so, oder was habe ich wichtiges vergessen? Die Configs sind durch Recherche in eurem Forum entstanden.

 

Ich bedanke mich schon einmal jetzt für eure Hilfe, der Cisco-Kram ist bei mir leider schon zwei Jahre her und das waren auch nur Basics mit Kollegen.

 

Hauptstelle:

version 11.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

service udp-small-servers

service tcp-small-servers

!

hostname Backup_Rostock

!

username BENUTZERNAME password PASSWORD

ip subnet-zero

isdn switch-type basic-net3

!

interface Ethernet0

description connected to LAN

ip address 193.66.240.254 255.255.255.0

no ip route-cache

!

interface BRI0

description connected to dial-inPC (ISDN)

no ip address

encapsulation ppp

no ip route-cache

dialer rotary-group 1

dialer-group 1

no fair-queue

!

interface Dialer1

description connected to Dial-inPC (ISDN)

ip unnumbered Ethernet0

encapsulation ppp

no ip route-cache

peer default ip address pool rostock

dialer in-band

dialer-group 1

no fair-queue

ppp multilink

ppp authentication chap pap callin

!

access-list 101 permit ip any any

access-list 101 permit ip 193.66.240.0 0.0.0.255 any

access-list 101 permit ip any 193.66.240.0 0.0.0.255

dialer-list 1 protocol ip permit

!

l

!

end

 

Nebenstelle folgt im zweiten Post

[stelu 10]

Nebenstelle (der 806):

hostname Nebenstelle

!

username BENUTZERNAME password PASSWORD

!

!

ip subnet-zero

!

ip name-server 192.168.0.254

no ip finger

isdn switch-type basic-net3

isdn voice-call-failure 0

no ip domain-lookup

!

!

!

interface Ethernet0

ip address 192.168.2.254 255.255.255.0

ip nat inside

load-interval 30

no ip directed-broadcast

no ip proxy-arp

no shutdown

!

interface BRI0

no ip address

encapsulation ppp

no ip directed-broadcast

load-interval 30

dialer pool-member 1

isdn switch-type basic-net3

no cdp enable

no shutdown

!

interface Dialer1

description Verbindung zur Hauptstelle

ip address negotiated

ip nat outside

encapsulation ppp

ip tcp header-compression

ip tcp compression-connections 64

no ip mroute-cache

no ip directed-broadcast

 

no ip proxy-arp

dialer pool 1

dialer idle-timeout 120 either

dialer load-threshold 255 outbound

dialer string "RUFNUMMER DER HAUPTSTELLE"

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname BENUTZERNAME

ppp chap password PASSWORT

ppp pap sent-username BENUTZERNAME password PASSWORT

ppp multilink

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

access-list 101 permit ip 192.168.2.0 0.0.0.255 any

access-list 102 deny udp any eq netbios-dgm any

access-list 102 deny udp any eq netbios-ns any

access-list 102 deny udp any eq netbios-ss any

access-list 102 deny udp any range snmp snmptrap any

access-list 102 deny udp any range bootps bootpc any

access-list 102 deny tcp any eq 137 any

access-list 102 deny tcp any eq 138 any

access-list 102 deny tcp any eq 139 any

access-list 102 permit ip any any

dialer-list 1 protocol ip list 102

!

line con 0

transport input none

stopbits 1

line vty 0 4

access-class 101 in

login local

!

end

[Otaku19 33]

access-list 101 permit ip any any

access-list 101 permit ip 193.66.240.0 0.0.0.255 any

access-list 101 permit ip any 193.66.240.0 0.0.0.255

dialer-list 1 protocol ip permit

 

wenn wirklich jeder IP Verkehr das wählen auslösen soll, dann kannst die beiden anderen Zeilen der ACl gleich ganz löschen ;) immer die speziellen bedingeungen zuerst,de allgemeinen zum schluss.

 

Dein telnet Passwort würd ich lieber mal schnell entfernen, es ist nur über so lala verschlüsselt, könnte jeder auslesen.

 

 

wenn eh chap verwendet wird, brauchst du:

ppp pap sent-username BENUTZERNAME password PASSWORT

nicht.

[stelu 10]

danke, für den rat. Sonst sollte es klappen? muss morgen die geräte konfigurieren, daher wollte ich schon vorher einen rat haben, damit man nicht dann bei den einen standort steht und nciths mehr weiß, weil die unterlagen ganz woanders sind.

 

Vielen Dank auch für die rasche Antwort.

[stelu 10]

Hallo Leute!

 

nachdem ihr meine letzte Frage so schnell beantwortet habt, habe ich nun ein neues Problem mit den beiden Routern:

Der eine Router ist ein 1603 und dieser hat das ios 11.1 drauf, hab schon gelesen, dass das kein NAT kann, doch bei mir kann das Ding noch nicht einmal ip route. Leider habe ich kein IOS zum drüberflashen. Kann mir einer ein Tipp geben, warum die Kiste noch nicht einmal den Befehl ip route kennt?

[adowoMAC 10]

Den Befehl "ip route" gibt es nur im config-terminal. Eigentlich sollte das klappen, mein 1600er mit 11.1 kann es jedenfalls. Ist bei dir "ip routing" eingeschaltet?

 

Hendrik

[stelu 10]

muss man das anschalten? sorry für die dumme frage

[adowoMAC 10]

Ohne IP Routing wird offiziell auch kein IP Traffic geroutet :) Am besten du schlägst die Verwendung auf cisco.com nach, damit dri klar wird, was IP Routing macht.

[thematrix 10]

Hai,

 

ich würde Dir dringends raten nur chap zu benutzen. Du möchtest sicherlich nicht das die Passwörter unverschlüsselt rumgeistern, oder ? Google mal ein bisschen und lies nach. Ich glaub nicht das es so funzt.

 

Soll das eine Backup Lösung sein, oder eine Übergangslösung?

 

 

Gruss, thematrix

[stelu 10]

Es soll eine Backuplösung werden.

Also mir ist IP Route soweit klar, dass ich es im config-temrinal eingeben muss, doch der Befehl wird nicht einmal angezeigt, wenn ich die Help des Routers aufrufe. War gestern ein wenig durch den Wind, deswegen war das eine sehr dumme Antwort von mir. Klar muss ich ip route im configure-temrinal angeben, aber wenn er dort unrecognized command sagt, scheint sich das IOS, wohl irgendwo verhaspelt zu haben, leider fehlt die CD mit dem IOS, sonst würde ich es einfach noch einmal draufspielen.

Bei den letzten Routern, mit denen ich gearbeitet habe, aus der 700er Serie, ging das alles problemlos, aber die sind ja auch neuer, bzw. das IOS war ein 12er.

Habt ihr noch eine Idee woran es liegen könnte?

[adowoMAC 10]

Geh mal in den configuration-terminal und gib ein: "ip ?" und dann poste hier mal was er da so ausspuckt bitte. Weiterhin hätte ich gern noch den Namen deines IOS. Dann gucke ich mal bei Cisco nach, was das Problem ist. Den Namen bekommst du raus indem du "show flash" eingibst. Irgendwo steht da dann was mit .bin am Ende.

 

Hendrik

[stelu 10]

Da steht dann unrecognized command. Was ich eben nicht verstehe. Das IOS ist 11.1, also schon ein paar Tage älter und Geld soll nicht investiert werden, wie ein neus IOS kaufen oder ähnliches. Von den 1600 bin ich echt enttäuscht.

[Wordo 11]

Poste mal bitte ein "sh ver" ... das kann doch nicht sein das er so ne Meldung bei "ip ?" bringt ..