dennisdyon
Goto Top

Cisco836 Erstkonfigurationsproblem und VPN mit PPTP

Hallo,
Ich habe zwei Cisco 836, den einen habe ich per Putty Konsole am PC geöffnet und den Ethernet0 Port konfiguriert, allerdings scheint dieser nicht mehr aktiv zu sein, da ich ihn nicht mehr anpingen kann. Als er noch die IP-Adresse über DHCP bezogen hat, konnte ich den Router anpingen.
Also mein erstes Problem ist folglich den Ethernet Port zu aktivieren, dass ich ihn anpingen kann. Den Webserver habe ich schon aktiviert, sodass ich dann auch auf die Weboberfläche kommen müsste.

Wie konfiguriere ich die beiden Router, dass ich eine VPN Verbindung zwischen den Routern hinkriege wenn beide Router nicht direkt per DSL angeschlossen sind sondern hinter einem weiteren Router im Netzwerk stehen.
Ich habe jeweils eine dynamische IP, diese registriere ich bei dyndns oder einem ähnlichen Anbieter.
D.h. der eine Cisco836 soll als VPN-Server und der andere als VPN-Client fungieren.
Ist das so grundsätzlich möglich?

Content-Key: 171532

Url: https://administrator.de/contentid/171532

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: aqui
aqui 16.08.2011, aktualisiert am 18.10.2012 um 18:47:56 Uhr
Goto Top
Ja natürlich ist das grundsätzlich möglich. Eine simple und banale Standardanwendung für einen Cisco Router.
Wenn du mal die Suchfunktion bemüht hättest findest du hier eine Anleitung für ein VPN zum Abtippen:
Vernetzung zweier Standorte mit Cisco 876 Router
Ggf. hilft dir auch noch dieses Tutorial mit ein paar Details:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Voraussetzung ist natürlich das der Router per IP erreichbar ist !
Generell konfiguriert man einen solchen Router immer über die serielle Console !! Damit hast du dann auch keinen Stress mit Telnet DHCP usw.
Du verwendest dafür ein Terminal Programm wie Putty (seriellen Port) oder TeraTerm oder wenn du einen Apple Mac hast analog dann ZTerm
Der serielle COM Port am PC ist der Anschluss für dein serielles Consolen Kabel das an jedem Cisco Router mitgeliefert wird. Das ist das taubenblaue Flachkabel mit RJ-45 Steckern an beiden Enden !
Wenn du keinen seriellen COM Port mehr hast an deinem Laptop oder PC (das ist die 9 polige Sub-D Buchse) dann besorgst du dir im PC Shop um die Ecke für ein paar Euro einen USB - Seriell Adapter wie z.B. diesen hier:
http://www.reichelt.de/USB-Konverter/USB2-SERIELL/index.html?;ACTION=3; ...
Fertig ist der Lack !
TeraTerm oder Putty stellst du am seriellen Setup auf:
9600 Baud
8 Bit, Keine Parity, 1 Stopbit

ein. Die Handshake Protokolle schaltest du alle AUS (Off)
Dann schliesst du den Router mit dem taubenblauen Consol Kabel am COM Port an oder dem seriell USB Adapter....et voila ! Schon bist du fest auf der Konfigurationsoberfläche des Routers völlig unabhängig von Netzwerken etc.
Damit kannst du auch generell mit dem Kommando write erase etwaige vorige Konfigs löschen und den Router in den Auslieferungszustand versetzen.
So macht man das und keine Frickelei mit DHCP usw.
Mitglied: DennisDyon
DennisDyon 16.08.2011 um 17:57:17 Uhr
Goto Top
Hallo,
Danke für deine Antwort. Ich habe schon im Forum und auch schon über Google gesucht und wirklich einiges gefunden.
Ich hab evtl. den Threadtitel falsch gewählt, weil es in erster Linie eigentlich darum ging, dass der Ethernet Port aktiv ist. Ich bin natürlich anfangs über den Consolenport per Putty auf den Router und nicht über Telnet oder so. Dann habe ich eben den ersten Ethernet Port eingerichtet mit fester IP und dann den Webserver aktiviert. Jetzt sollte man doch eigentlich die über die IP auf das Webinterface kommen? Wollte nämlich mal schauen, was ich alles über das Webinterface anstellen kann.

Bei meiner VPN Frage wollt ich nur wissen, ob ich alles soweit richtig verstanden habe und es so einrichten kann und nicht nacher auf dem Holzweg bin.

Danke!
Mitglied: aqui
aqui 17.08.2011 um 10:53:15 Uhr
Goto Top
Nein, in puncto VPN hast du alles richtig verstanden !
Was das Thema IP Adresse anbetrifft solltest du ggf. hier einemal deine aktuelle Konfig des Routers posten ("show run" Kommando) dann können wir hier sehen was du da verschlimmbessert hast an der Konfig.
Nur mal als Beispiel für die korrekte Konfig des Ethernet 0 Ports (Beispielnetz 172.16.1.0 /24) mit DHCP Adressvergabe durch den Cisco Router sollte das dort so aussehen:

interface Ethernet0
description Lokales LAN
ip address 172.16.1.254 255.255.255.0
no shut
!
ip dhcp excluded-address 172.16.1.30 172.16.1.254
!
ip dhcp pool cisco836
network 172.16.1.0 255.255.255.0
default-router 172.16.1.254
dns-server 172.16.1.254
domain-name ddyon.test
!

Damit klappt der IP Zugriff sofort. Clients im lokalen LAN bekommen dann vom Cisco 836 dynamisch IP Adressen im Bereich von 172.16.1.1 bis .29 vergeben !
Mitglied: DennisDyon
DennisDyon 17.08.2011 um 18:32:16 Uhr
Goto Top
Hallo,
1. Also hier steht:
interface Ethernet0
ip address 192.168.2.200 255.255.255.0
no ip route-cache
no cdp enable

Wie muss das ganze ohne DHCP aussehen? Es läuft nämlich ein extra DHCP. Der Cisco Router sollte trotzdem eine feste IP haben.

Brauch ich dann nur das hier?:
interface Ethernet0
description Lokales LAN
ip address 192.168.2.200 255.255.255.0
no shut

2. Ich kann zwar die IP Adresse ändern, aber no shut kann ich nicht ändern auch wenn ich es eingebe.
3. Bin rein über "config t" und dann "interface eth0" und dort kann ich ja die Sachen ändern oder?
4. Den Router muss ich doch über die erste Ethernet Buchse angeschlossen haben? Finde ihn im Netzwerk nämlich immer noch nicht.
5. Welchse sind die FastEthernet Buchsen?
6. Weiter unten in der Konfigdatei steht
ip http server
no ip http secure-server
Der Webserver müsste also laufen um mal auf das Webinterface zu schauen oder?


Danke!
Mitglied: aqui
aqui 20.08.2011 um 18:41:47 Uhr
Goto Top
1.) Ja, dann lässt du die ganze DHCP Konfig, exclude, pool etc. einfach weg und gut iss...
2.) Ja, ist klar. "no shut" ist auch nur zur Sicherheit da drin falls dein Interface im Shutdown Mode ist, dann geht nämlich gar nix mehr. "no shut" schaltet das Interface aktiv. Kannst du aber auch selber sehen mit "show int eth 0". Da müsstest du dann ein up / up sehen !
3.) Ja, genau richtig !
4.) Ja, genau sofern du keine VLANs definiert hast. An den Physischen Interfaces Fast<Ethernet x darf dann nur das hier stehen:
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
usw. usw.
5.) Fast Ethernet 1 bis 4 sind ein Switch der als gemeinsame Router IP Adresse das Interface eth0 hat. Bei einigen Modellen wie dem 831 ist einen 2te Router Schnittstelle (eth 1) auf dem Port FastEthernet4. Da musst du aufpassen ! (Handbuch !)
6.) Ja, richtig ! Mit dem Kommando ist der Webserver aktiv. Das sollte aber niemals dein Test sein ob der Router erreichbar ist !!
Besser ist immer ein ping auf die Router IP Adresse oder noch besser von der Router Konsole ein Ping auf einen Rechner der pingbar ist im angeschlossenen Netzwerk !
Mit "show logg" kannst du übrigens das Routerlog einsehen und findest dort auch Meldungen über Probleme die der Router ggf. hat !!
Eine komplette Konfig für den LAN Port sieht dann so aus:

!
version 12.4
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco836
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
ip domain name dennisdyon.test
!
interface Ethernet0
description Lokales LAN
ip address 192.168.2.200 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp

Fertisch !
Mitglied: DennisDyon
DennisDyon 20.08.2011 um 18:58:33 Uhr
Goto Top
Danke für deine schnelle Antwort.
Bei den FastEthernet steht überall shutdown drin, wenn ich bei eth0 "no shut" eingebe bleibt das trotzdem drin stehn.

Das mit dem anpingen ist klar.
Mitglied: aqui
aqui 21.08.2011 um 12:45:09 Uhr
Goto Top
Dann sind zusätzlich alle deine Switchports deaktiviert. Logisch das du dann keine Verbindung zum Netzwerk bekommst !!!
Gehe also dann analog wie bei den eth Interfaces auch auf die Fast Ethernet interfaces und gebe dort immer ein no shutein !! Also so
conf t
Int fast 0
no shut
Int fast 1
no shut

usw. usw.
Damit sind die dann auch aktiv. Auf diese einfache Logik sollte man eigentlich von selber kommen wenn man nur mal ein klein bischen nachdenkt, sorry !?
Dann nacher nicht vergessen alles mit wr zu sichern !!
Mitglied: DennisDyon
DennisDyon 22.08.2011 um 21:39:25 Uhr
Goto Top
Danke für deine Mühe!

Die Idee hat ich auch nur dass ich irgendwie es immer mit Int fast 0 versucht habe, wie du auch oben stehen hast, ich aber mit 1 beginnen muss. Bis ich da mal draufkam... D.h. ich habe ein kleines bisschen nachgedacht bzw. vllt. zu langsamface-smile

Ich wollte noch fragen was hier: Vernetzung zweier Standorte mit Cisco 876 Router
in Zeile 24 mit set peer <öffentl._ip_andere_seite> (*) gemeint ist. Ich benutze ja auf der Cisco Router Seite einen Dyndns Zugang. aber wozu bräucht ich eine ip Adresse von der anderen Seite? oder kann ich das in dem Fall einfach weglassen?
Ich glaub ich steh grad auf dem Schlauch...
Mitglied: aqui
aqui 23.08.2011 um 17:54:42 Uhr
Goto Top
OK statt der IP Adresse nimmst du dann halt deinen DynDNS Namen...ist ja klar.
Weglassen darfst du das auf gar keinen Fall denn sonst kennt der Router den VPN Tunnel Endpunkt ja nicht und dann ists aus mit dem VPN !
Denk aber dran das du dann mit ip domain-server <DNS IP> im Cisco einen oder mehrere Domain Server IPs eingeben musst damit er den DynDNS Namen auflösen kann...logisch. In der Regel nimmt man da immer den DNS Server vom lokalen Provider !
Wenn du von der Cisco Konsole den DynDNS Namen pingen oder auflösen kannst ist alles OK. (Zum Pingen muss die andere Seite einen ICMP Ping erlauben auf dem WAN Port, bei vilen Routern ist das aus Sicherheitsgründen sinnvollerweise deaktiviert !)

Übrigens: Wenn du einmal "show run" eingegeben hättest (was dir die gesamte Konfig zeigt !), dann hättest du die genaue Nummerierung der FastEthernet Interfaces auf Schlag sehen können.... Etwas Nachdenken hilft da in der Tat !! face-wink
Klappt denn nun wenigstens der Zugriff im lokalen Netz ??
Mitglied: aqui
aqui 27.08.2011 um 13:04:20 Uhr
Goto Top
Wenns das denn nun war oder du das Interesse an einem Feedback verloren hast bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Mitglied: DennisDyon
DennisDyon 27.08.2011, aktualisiert am 18.10.2012 um 18:48:04 Uhr
Goto Top
Hallo,
Es klappt jetzt alles soweit. VPN Verbindung im lokalen Netz funktioniert.
Jetzt hab ich zwei Möglichkeiten:
1. Ich betreibe den Cisco hinter einem anderen Router dann müsste ich Port-Forwarding machen (wie hier beschrieben: VPNs einrichten mit PPTP)
Allerdings ist es ein 0815 Telekom Router, bei welchem ich nur TCP und UDP Ports einstellen kann, aber kein "GRE Tunnel".
2. Ich betreibe den Cisco direkt als DSL Modem. Allerdings wird irgendwie bei uns ISDN und DSL wegen der Telefonanlage direkt "aufgesplittet" (kenn mich da zu wenig aus) so dass ich das Kabel nicht in der DSL Buchse einstecken kann sondern in einer von den anderen RJ45 Buchsen. Wie müsste dafür die Konfiguration aussehen?
Welche Möglichkeit soll ich in Betracht ziehen?

Danke für eure Mühe!
Mitglied: aqui
aqui 28.08.2011 um 12:33:49 Uhr
Goto Top
Mmmhhh deinen Beschreibung ist völlig konfus und eigentlich Murks....?!
Was meinst du mit "... Ich betreibe den Cisco hinter einem anderen Router" und dann gleich wieder mit "...Ich betreibe den Cisco direkt als DSL Modem" das ist eigentlich logischer Blödsinn, denn was machst du denn nun ?? Direkt am DSL oder in einer Kaskade mit einem anderen Router. Du beschreibst hier zwei logische Gegensätze die sich ausschliessen !
Da bleibt uns dann nur mal wieder die berühmte Kristallkugel face-sad
Wenn du blutiger Laie bist und dich da nicht auskennst warum machst du es dann und lässt da nicht jemanden ran der sich damit auskennt ?? Die Frage musst du dir mal gefallen lassen...sorry. Wenn es schon an solchen banalen technischen Grundlagen scheitert wie soll es dann erst bei der VPN Konfig werden ? ....nundenn...

Der Cisco 836 ist normalerweise ein Router mit integriertem DSL Modem, kommt also logischerweise direkt an den Splitter !
Ebenso: "...wird irgendwie bei uns ISDN und DSL wegen der Telefonanlage direkt "aufgesplittet" " Was soll dieses technische Kauderwelsch bedeuten ??
Normalerweise ist es doch auch so das der Amtsanschluss immer "aufgesplittet" wird, denn dafür benutzt man in der Regel ja den Splitter !! Der Name ist hier Programm !!
Eingang: Amt -->> 2 Ausgänge: 1 mal ISDN und 1 mal DSL !!
Der DSL Anschluss hat einen RJ-45 Port am Splitter
Die Aussage: "...nicht in der DSL Buchse einstecken kann sondern in einer von den anderen RJ45 Buchsen" ja was denn nun ??
DSL Splitter hat RJ-45, am ISDN NT ist RJ-45, hast du ggf. einen ISDN Router oder..oder ...oder
Hier können wir wieder nur im freien Fall raten oder die obige Kristallkugel bemühen face-sad
Solange du nicht technisch eindeutig beschreibst welche Komponente genau WO angeschlossen wird ist eine zielführende Hilfestellung für dich so gut wie aussichtslos ohne esotherische Hilfsmittel wie oben benutzen zu müssen...sorry aber was erwartest du ? Hellsehen können wir hier (noch) nicht....
Falls du also direkt am DSL hängen solltest ohne Modem, (denn das muss der Fall sein bei dir, da bekanntlich der Cisco 836 ein ADSL over ISDN Router mit integriertem DSL Modem ist und so direkt an den Splitter angeschlossen werden kann !!) dann sieht die korrekte Anschlusstechnik so aus:

d2933ba5ae36432c6108a51b8ee8ad2c

Was die entsprechende Konfiguration des Cisco 836 anbetrifft gilt dann genau das was im o.a. Tutorial steht !!:
!
interface ATM0
description DSL Modem Port --> Splitter
no ip address
no atm ilmi-keepalive
pvc 1/32
pppoe-client dial-pool-number 1
!
dsl operating-mode annexb-ur2
!
interface Dialer1
description Internet DSL Verbindung
ip address negotiated
ip mtu 1492
ip nat outside
no cdp enable
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 0011234567891234567896543#0001@provider.de
password Geheim
!

Und nochwas:
Cisco lässt keinerlei LAN to LAN VPN Kopplung mit PPTP zu sondern supportet nur IPsec. In der Beziehung ist deine Aussage von oben "...aber kein "GRE Tunnel". " also auch irgendwie unsinnig. Eine Router Router Kopplung funktioniert NUR per IPsec und da spielt ja nunmal GRE keinerlei Rolle als Protokoll wie du vermutlich selber weisst ?!
PPTP ist lediglich für ein Client Dialin gedacht, also die Anbindung remoter Mitarbeiter.
Kläre also deine Anschlussmodalitäten und bringe die DSL Verbindung zum Laufen und dann machen wir weiter hier mit dem VPN Tunnel !!
Mitglied: DennisDyon
DennisDyon 28.08.2011, aktualisiert am 18.10.2012 um 18:48:05 Uhr
Goto Top
Zitat von @aqui:
Mmmhhh deinen Beschreibung ist völlig konfus und eigentlich Murks....?!
Was meinst du mit "... Ich betreibe den Cisco hinter einem anderen Router" und dann gleich wieder mit "...Ich
betreibe den Cisco direkt als DSL Modem"
das ist eigentlich logischer Blödsinn, denn was machst du denn nun ?? Direkt
am DSL oder in einer Kaskade mit einem anderen Router. Du beschreibst hier zwei logische Gegensätze die sich ausschliessen !

Das waren meine zwei Möglichkeiten, entweder den Cisco 836 direkt hinter einen anderen Router oder als zweite Möglichkeit den Cisco direkt hinter den Splitter ohne den anderen Router. Das eine hat nichts mit dem anderen zu tun.

Das VPN hab ich nach dieser Anleitung gemacht: VPNs einrichten mit PPTP
Im lokalen Netz funktioniert es auch. Jetzt steht in der Anleitung auch, was man tun muss wenn man den Cisco hinter einem anderen Router betreibt.

Das weitere mit dem Splitter ist mir auch logisch, es wird für ISDN und DSL aufgesplittet. An die DSL Buchse kommt der Router per RJ45. Beim Cisco 836 ist aber die ADSLoISDN Buchse eine RJ11 (meine ich) Buchse.

Hätte noch erwähnen sollen dass ich doch PPTP mach und keine Router zu Router Kopplung mit IPsec.

Vielen Dank für deine Geduld!
Mitglied: aqui
aqui 29.08.2011 um 10:17:43 Uhr
Goto Top
Na dann....ist ja alles im grünen Bereich !!

Wenn denn nun alles klappt bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !