8
Routingproblem zwischen 886VA - SG200-26 - PF-Sense
Hallo Administratoren, Ich hoffe Ihr könnt uns helfen, da wir mittlerweile nicht weiter wissen. Wir haben ein Problem beim Routing und finden keine Lösung.
Hallo Administratoren,
wir sind eine kleine Firma und haben seit kurzem einen neuen professionellen Router (Cisco 886 VA) bis jetzt haben wir mit Ihm ein paar Probleme gehabt (trotz VDSL 50 hatten wir nur 10 Mbit Leistung) und leider haben wir immer noch ein Problem das ich kurz beschreiben möchte.
Nachdem wir eine neue Firmware aufgespielt haben, spielt der Router ganz gut mit und ich denke mal das er jetzt auch die volle Bandbreite vom VDSL 50 nutzt (sorry bin Netzwerk Noob und eigentlich Softwareentwickler, ich würde mich trotzdem freuen wenn Ihr helfen könntet)
Auf dem Router sind verschiedene VLAN's eingerichtet die auf einen Cisco SG200-26 gepatcht sind(dieser ist auch unterteilt in virtuelle Netze)und eine PF-Sense FW hängt auch noch in unserem Netz.
Der Switch und die FW waren schon vorher da und haben mit der Fritzbox die wir vorher hatten gut funktioniert. die FritzBox wurde jetzt gegen den Cisco Router ausgetauscht.
Problem:
Einige Webseiten können nicht mehr geöffnet werden, z.B. www.Yahoo.de oder www.Bitdefender.de und viele andere, die Seite bleibt weiß und die Eieruhr dreht sich, aber es passiert nichts. Heise.de oder auch Eure Seite funktioniert zum Glück.
Ein tracert oder Ping oder NSLOOKUP funktionieren und zeigen eine richtige Route an.
In einem Beitrag habe ich was zum Thema MTU-Size gefunden das haben wir auch schon probiert aber es brachte nicht das gewünschte Ergebnis. Wenn ich jetzt an einem freien Port direkt am Router ein Notebook anschliesse, dann funktionieren alle Seiten.
Ich suche jetzt ein Tool das mir alle Pakete die raus gehen und rein kommen anzeigt oder eine Idee wo ich suchen kann um das Problem zu lösen.
Ich habe den Verdacht das irgendwie die anfrage in Internet rausgeht aber dann auf dem Rückweg irgendwie die falsche Abkürzung nimmt und im Kreisverkehr stecken bleibt.
Der Router wurde von einem Freund aufgesetzt der sich mit Cisco Geräten und Routern auskennt, aber halt eher nicht im SmallBusiness Bereich.
Wenn ich Euch weitere Informationen geben muss, so sagt mir das bitte, ich versuche das dann darzustellen.
VIELLLLLLENNN Dank für Eure Hilfe
Viele Grüße
Stephan Berger
IT-Conomic
wir sind eine kleine Firma und haben seit kurzem einen neuen professionellen Router (Cisco 886 VA) bis jetzt haben wir mit Ihm ein paar Probleme gehabt (trotz VDSL 50 hatten wir nur 10 Mbit Leistung) und leider haben wir immer noch ein Problem das ich kurz beschreiben möchte.
Nachdem wir eine neue Firmware aufgespielt haben, spielt der Router ganz gut mit und ich denke mal das er jetzt auch die volle Bandbreite vom VDSL 50 nutzt (sorry bin Netzwerk Noob und eigentlich Softwareentwickler, ich würde mich trotzdem freuen wenn Ihr helfen könntet)
Auf dem Router sind verschiedene VLAN's eingerichtet die auf einen Cisco SG200-26 gepatcht sind(dieser ist auch unterteilt in virtuelle Netze)und eine PF-Sense FW hängt auch noch in unserem Netz.
Der Switch und die FW waren schon vorher da und haben mit der Fritzbox die wir vorher hatten gut funktioniert. die FritzBox wurde jetzt gegen den Cisco Router ausgetauscht.
Problem:
Einige Webseiten können nicht mehr geöffnet werden, z.B. www.Yahoo.de oder www.Bitdefender.de und viele andere, die Seite bleibt weiß und die Eieruhr dreht sich, aber es passiert nichts. Heise.de oder auch Eure Seite funktioniert zum Glück.
Ein tracert oder Ping oder NSLOOKUP funktionieren und zeigen eine richtige Route an.
In einem Beitrag habe ich was zum Thema MTU-Size gefunden das haben wir auch schon probiert aber es brachte nicht das gewünschte Ergebnis. Wenn ich jetzt an einem freien Port direkt am Router ein Notebook anschliesse, dann funktionieren alle Seiten.
Ich suche jetzt ein Tool das mir alle Pakete die raus gehen und rein kommen anzeigt oder eine Idee wo ich suchen kann um das Problem zu lösen.
Ich habe den Verdacht das irgendwie die anfrage in Internet rausgeht aber dann auf dem Rückweg irgendwie die falsche Abkürzung nimmt und im Kreisverkehr stecken bleibt.
Der Router wurde von einem Freund aufgesetzt der sich mit Cisco Geräten und Routern auskennt, aber halt eher nicht im SmallBusiness Bereich.
Wenn ich Euch weitere Informationen geben muss, so sagt mir das bitte, ich versuche das dann darzustellen.
VIELLLLLLENNN Dank für Eure Hilfe
Viele Grüße
Stephan Berger
IT-Conomic
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204290
Url: https://administrator.de/contentid/204290
Printed on: April 26, 2024 at 14:04 o'clock
8 Comments
Latest comment
Habt ihr einen anderen Switch mal drangehängt?
Es ist ja ein Layer 3 Switch.
nimm bitte iwo ein dummen switch und tausch ihn gegen den Cisco
Es ist ja ein Layer 3 Switch.
nimm bitte iwo ein dummen switch und tausch ihn gegen den Cisco
Hallo,
wenn das mit der AVM Box gefunkt hat und mit dem 886 nicht soll das am Switch liegen? Tracert geht auch? Dann eher nicht der Switch ;)
Die ACLs auf dem Cisco würden mich interessieren.
Poste mal die Konfig und entferne persönliche Infos!
Ansonsten gibt es hier eine Anleitung für das Teil: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Gruß
Heiko
wenn das mit der AVM Box gefunkt hat und mit dem 886 nicht soll das am Switch liegen? Tracert geht auch? Dann eher nicht der Switch ;)
Die ACLs auf dem Cisco würden mich interessieren.
Poste mal die Konfig und entferne persönliche Infos!
Ansonsten gibt es hier eine Anleitung für das Teil: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Gruß
Heiko
Vielen Dank für Eure Hilfe. Wir haben mittlerweile noch ein paar Dinge probiert, z.B. die MTU Size verändert, das hat aber auch nichts gebracht. Dann haben wir ein NB direkt am Switch am FETH0 angeschlossen und ihm das VLAN3 zugeordnet und stellten fest das das NB dann alles machen konnte. Auch wenn wir unsere zweite interne FW ausschalten passiert nichts (wir hatten den verdacht das vielleicht der ganze Traffic erst darüber läuft, aber es zeigte sich kein unterschied)
Übrigens viele Seiten die man sich noch ansehen kann, z.B. wie diese hier, haben die Eigenheit das der Courser sich trotzdem ständig weiter dreht.
Achja und was sehr komisch ist, wir haben hier auch zwei Weblösungen gebaut und auf unserem Server am laufen, Ausserhalb unseres Netzes erreicht man sie, das funktioniert also. Aber hier aus dem Netz funktioniert es nicht. Nehme ich den Namen: www.xxxx.de dann kann er die Seite nicht anzeigen, nehme ich direkt die IP (ich glaube die Interne IP, dann geht es) Vielleicht hat das ja auch was damit zutun.
Nachdem wir den Cisco Router installiert haben, haben wir auch neue VLANs auf dem switch eingerichtet, also hat sich gegenüber der alten Config schon was verändert.
Hier unsere Config:
Magelan#sh configuration
Using 4306 out of 262136 bytes
!
! Last configuration change at 09:59:17 UTC Tue Apr 2 2013 by test
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Magelan
!
boot-start-marker
boot system flash:c880data-universalk9-mz.153-1.T.bin
boot-end-marker
!
!
logging buffered informational
logging console informational
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
!
!
!
!
ip dhcp excluded-address 192.168.3.254
ip dhcp excluded-address 192.168.3.1
ip dhcp excluded-address 192.168.3.253
ip dhcp excluded-address 192.168.3.199
!
ip dhcp pool User-VLAN
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 192.168.3.1
!
!
!
ip inspect name Firewall http
ip inspect name Firewall https
ip inspect name Firewall imap
ip inspect name Firewall udp
ip inspect name Firewall tcp
ip cef
no ipv6 cef
ipv6 multicast rpf use-bgp
!
!
license udi pid XXXXXXXXXXXXXXXXXXXXXXX
!
!
!
spanning-tree vlan 3 priority 4096
spanning-tree vlan 99 priority 4096
spanning-tree vlan 100 priority 4096
username test privilege 15 password XXXXXXXXXX
!
!
!
!
!
controller VDSL 0
!
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!
!
!
!
!
!
!
!
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
description Uplink zum Switch
switchport trunk allowed vlan 1,3,100,1002-1005
switchport mode trunk
no ip address
!
interface FastEthernet1
description WLAN-Accessport
switchport access vlan 99
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
switchport access vlan 3
no ip address
!
interface Virtual-Template1
no ip address
!
interface Vlan1
no ip address
!
interface Vlan3
description User
ip address 192.168.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
ip policy route-map Intern-Mgmnt
!
interface Vlan99
description WLAN-User
ip address 192.168.99.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan100
description FW-Transfer
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password 7 XXXXXXXXXXXXXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXXXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list NAT-Range interface Dialer1 overload
ip nat inside source static tcp 192.168.4.203 80 interface Dialer1 80
ip nat inside source static tcp 192.168.4.204 81 interface Dialer1 81
ip nat inside source static tcp 192.168.4.203 443 interface Dialer1 443
ip nat inside source static tcp 192.168.4.201 143 interface Dialer1 143
ip nat inside source static udp 192.168.100.254 1194 interface Dialer1 1194
ip route 192.168.4.0 255.255.255.0 192.168.100.254 name Transfer
!
ip access-list extended Deny-User-VLANS
deny ip 192.168.99.0 0.0.0.255 192.168.4.0 0.0.0.255
permit ip any any
ip access-list extended Intern-Mgmnt
permit ip any 192.168.4.0 0.0.0.255
ip access-list extended NAT-Range
permit ip 192.168.3.0 0.0.0.255 any
permit ip 192.168.100.0 0.0.0.255 any
permit ip 192.168.99.0 0.0.0.255 any
permit ip 192.168.4.0 0.0.0.255 any
deny ip any any
!
!
route-map Intern-Mgmnt permit 10
match ip address Intern-Mgmnt
set ip next-hop 192.168.3.254
!
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXX
transport input all
!
!
end
Magelan#
Übrigens viele Seiten die man sich noch ansehen kann, z.B. wie diese hier, haben die Eigenheit das der Courser sich trotzdem ständig weiter dreht.
Achja und was sehr komisch ist, wir haben hier auch zwei Weblösungen gebaut und auf unserem Server am laufen, Ausserhalb unseres Netzes erreicht man sie, das funktioniert also. Aber hier aus dem Netz funktioniert es nicht. Nehme ich den Namen: www.xxxx.de dann kann er die Seite nicht anzeigen, nehme ich direkt die IP (ich glaube die Interne IP, dann geht es) Vielleicht hat das ja auch was damit zutun.
Nachdem wir den Cisco Router installiert haben, haben wir auch neue VLANs auf dem switch eingerichtet, also hat sich gegenüber der alten Config schon was verändert.
Hier unsere Config:
Magelan#sh configuration
Using 4306 out of 262136 bytes
!
! Last configuration change at 09:59:17 UTC Tue Apr 2 2013 by test
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Magelan
!
boot-start-marker
boot system flash:c880data-universalk9-mz.153-1.T.bin
boot-end-marker
!
!
logging buffered informational
logging console informational
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
!
!
!
!
ip dhcp excluded-address 192.168.3.254
ip dhcp excluded-address 192.168.3.1
ip dhcp excluded-address 192.168.3.253
ip dhcp excluded-address 192.168.3.199
!
ip dhcp pool User-VLAN
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 192.168.3.1
!
!
!
ip inspect name Firewall http
ip inspect name Firewall https
ip inspect name Firewall imap
ip inspect name Firewall udp
ip inspect name Firewall tcp
ip cef
no ipv6 cef
ipv6 multicast rpf use-bgp
!
!
license udi pid XXXXXXXXXXXXXXXXXXXXXXX
!
!
!
spanning-tree vlan 3 priority 4096
spanning-tree vlan 99 priority 4096
spanning-tree vlan 100 priority 4096
username test privilege 15 password XXXXXXXXXX
!
!
!
!
!
controller VDSL 0
!
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!
!
!
!
!
!
!
!
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
description Uplink zum Switch
switchport trunk allowed vlan 1,3,100,1002-1005
switchport mode trunk
no ip address
!
interface FastEthernet1
description WLAN-Accessport
switchport access vlan 99
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
switchport access vlan 3
no ip address
!
interface Virtual-Template1
no ip address
!
interface Vlan1
no ip address
!
interface Vlan3
description User
ip address 192.168.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
ip policy route-map Intern-Mgmnt
!
interface Vlan99
description WLAN-User
ip address 192.168.99.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan100
description FW-Transfer
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer1
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap callin
ppp chap hostname XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
ppp chap password 7 XXXXXXXXXXXXXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXXXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list NAT-Range interface Dialer1 overload
ip nat inside source static tcp 192.168.4.203 80 interface Dialer1 80
ip nat inside source static tcp 192.168.4.204 81 interface Dialer1 81
ip nat inside source static tcp 192.168.4.203 443 interface Dialer1 443
ip nat inside source static tcp 192.168.4.201 143 interface Dialer1 143
ip nat inside source static udp 192.168.100.254 1194 interface Dialer1 1194
ip route 192.168.4.0 255.255.255.0 192.168.100.254 name Transfer
!
ip access-list extended Deny-User-VLANS
deny ip 192.168.99.0 0.0.0.255 192.168.4.0 0.0.0.255
permit ip any any
ip access-list extended Intern-Mgmnt
permit ip any 192.168.4.0 0.0.0.255
ip access-list extended NAT-Range
permit ip 192.168.3.0 0.0.0.255 any
permit ip 192.168.100.0 0.0.0.255 any
permit ip 192.168.99.0 0.0.0.255 any
permit ip 192.168.4.0 0.0.0.255 any
deny ip any any
!
!
route-map Intern-Mgmnt permit 10
match ip address Intern-Mgmnt
set ip next-hop 192.168.3.254
!
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXX
transport input all
!
!
end
Magelan#
Du schreibst das du die MTU Size verändert hast usw. aber das aktuelle Posting der Router Konfig zeigt das du leider gar nichts in der Richtung gemacht hast !!!
Also wenn dann poste hier wirklich deine ToDo Schritte und nicht irgendwelche Phantastereien, denn die helfen weder dir noch uns hier !!
Dein Problem liegt in der Tat daran das du sowohl auf dem Dialer Interface als auch auf dem lokalen VLAN Interfaces falsche MTUs und auch falsche TCP Segment Sizes benutzt ! Da hast du nämlich entgegen deiner obigen Behauptung rein gar nix gemacht !!
Folgende ToDos sollten dein Problem schnell fixen:
MTU auf dem Dialer Interface anpassen:
interface Dialer 1
ip mtu 1492
Dann auf allen LAN Ports die TCP Segment Size anpassen:
interface vlan 3
ip tcp adjust-mss 1452
interface vlan 99
ip tcp adjust-mss 1452
interface vlan 100
ip tcp adjust-mss 1452
Warum machst du auf einem VLAN Interface "ip virtual reassembly" auf anderen aber nicht ?! Ein Konfig Fehler ! Das ist Unsinn und gehört einheitlich ! Also zwingend korrigieren !
Router reloaden und damit sollten dann alle Webseiten erreichbar sein.
Auf dem Router ist noch ziemlicher Blödsinn konfiguriert, den du auch gleich beseitigen solltest:
1.) switchport trunk allowed vlan 1,3,100,1002-1005
Ist Unsinn, denn die VLANs 1 und 1002 bis 1005 sind auf dem Router gar nicht vorhanden ?? Warum also dahin übertragen und seine Performance damit beeinträchtigen ??
switchport trunk allowed vlan 3,100 reicht also hier völlig !
2.) Mit "ppp authentication chap callin" machst du ja außschliesslich CHAP zum Provider !! Was soll hier also noch eine überflüssige PAP Authentisierung ??
Oder andersrum ?? Wenn das ein T-Com Anschluss ist machen die außschliesslich PAP und kein CHAP !
Es reicht also immer nur EINE Authentisierungs Option auf dem Dialer !
3.) Mit "ip nat inside source static udp 192.168.100.254 1194 interface Dialer1 1194" machst du ja vermutlich von remote OpenVPN auf die pfSense in VLAN 100 wenn die die 192.168.100.254 hat ?!
Warum bohrst du dann Löcher mit statischem NAT für das 4er Netz in die Cisco Firewall und kompromitierst so das 4er Netz was erst hinter der pfSense liegt ? Unverständlich..?
Gefährlich aus Sicherheitssicht und eigentlich auch unnötig wenn du ein VPN betreibst (ist aber hier nur geraten..)
4.) "line vty 0 4" und dort "transport input all" erlaubt auch das unsichere Telnet vom Internet auf den Router. Nicht gut...und solltest du auf SSH begrenzen !
Zudem solltest du immer Pings aus dem Internet auf den Router unterpinden, denn das zeigt Hackern ja nur das etwas hinter deiner statischen IP zu holen ist ! Zumal im Hinblick darauf die Ports TCP 80, 81, 443 und 143 durch das statische NAT völlig frei geöffnet sind ! Nicht wirklich gut....?!
Halte die einfach an das oben gepostete Cisco886_Tutorial, was eine wasserdichte Konfig die ALLE Webseiten erreicht per ADSL und VDSL beschreibt !
Also wenn dann poste hier wirklich deine ToDo Schritte und nicht irgendwelche Phantastereien, denn die helfen weder dir noch uns hier !!
Dein Problem liegt in der Tat daran das du sowohl auf dem Dialer Interface als auch auf dem lokalen VLAN Interfaces falsche MTUs und auch falsche TCP Segment Sizes benutzt ! Da hast du nämlich entgegen deiner obigen Behauptung rein gar nix gemacht !!
Folgende ToDos sollten dein Problem schnell fixen:
MTU auf dem Dialer Interface anpassen:
interface Dialer 1
ip mtu 1492
Dann auf allen LAN Ports die TCP Segment Size anpassen:
interface vlan 3
ip tcp adjust-mss 1452
interface vlan 99
ip tcp adjust-mss 1452
interface vlan 100
ip tcp adjust-mss 1452
Warum machst du auf einem VLAN Interface "ip virtual reassembly" auf anderen aber nicht ?! Ein Konfig Fehler ! Das ist Unsinn und gehört einheitlich ! Also zwingend korrigieren !
Router reloaden und damit sollten dann alle Webseiten erreichbar sein.
Auf dem Router ist noch ziemlicher Blödsinn konfiguriert, den du auch gleich beseitigen solltest:
1.) switchport trunk allowed vlan 1,3,100,1002-1005
Ist Unsinn, denn die VLANs 1 und 1002 bis 1005 sind auf dem Router gar nicht vorhanden ?? Warum also dahin übertragen und seine Performance damit beeinträchtigen ??
switchport trunk allowed vlan 3,100 reicht also hier völlig !
2.) Mit "ppp authentication chap callin" machst du ja außschliesslich CHAP zum Provider !! Was soll hier also noch eine überflüssige PAP Authentisierung ??
Oder andersrum ?? Wenn das ein T-Com Anschluss ist machen die außschliesslich PAP und kein CHAP !
Es reicht also immer nur EINE Authentisierungs Option auf dem Dialer !
3.) Mit "ip nat inside source static udp 192.168.100.254 1194 interface Dialer1 1194" machst du ja vermutlich von remote OpenVPN auf die pfSense in VLAN 100 wenn die die 192.168.100.254 hat ?!
Warum bohrst du dann Löcher mit statischem NAT für das 4er Netz in die Cisco Firewall und kompromitierst so das 4er Netz was erst hinter der pfSense liegt ? Unverständlich..?
Gefährlich aus Sicherheitssicht und eigentlich auch unnötig wenn du ein VPN betreibst (ist aber hier nur geraten..)
4.) "line vty 0 4" und dort "transport input all" erlaubt auch das unsichere Telnet vom Internet auf den Router. Nicht gut...und solltest du auf SSH begrenzen !
Zudem solltest du immer Pings aus dem Internet auf den Router unterpinden, denn das zeigt Hackern ja nur das etwas hinter deiner statischen IP zu holen ist ! Zumal im Hinblick darauf die Ports TCP 80, 81, 443 und 143 durch das statische NAT völlig frei geöffnet sind ! Nicht wirklich gut....?!
Halte die einfach an das oben gepostete Cisco886_Tutorial, was eine wasserdichte Konfig die ALLE Webseiten erreicht per ADSL und VDSL beschreibt !
Vielen Dank Aqui für Deine Schimpfe und deine tollen Tips. Wir werden das gleich ausprobieren.
Das Du von unseren MTU Versuchen nichts mehr gesehen hast, liegt daran, das wir es natürlich wieder zurück gedreht haben, nachdem das keinen Erfolg gebracht hat. Das Tutorial hatte sich mein Kumpel wohl durch gelesen und die Konfig danach erstellt. (wie gesagt ich baue nur Software und kenne mich mit Administration nicht wirklich aus ;-( ) Telnet via Internet sollte eigentlich ausgeschaltet sein, wir haben es eben probiert und waren selbst geschockt. Logisch das sowas nichtttttt passieren darf.
zur Erklärung mit dem 4er Netz: Wir haben ein VPN Zugang für uns. aber wir haben auch mehrere Webanwendungen auf die direkt zugegriffen werden können. Mhm, ist das jetzt verständlich? Ich denke dafür ist das 4er Netz gedacht.
Vielen Dank nochmal, ich melde mich wenn es dann funktioniert.
DANKKEEEEE
Das Du von unseren MTU Versuchen nichts mehr gesehen hast, liegt daran, das wir es natürlich wieder zurück gedreht haben, nachdem das keinen Erfolg gebracht hat. Das Tutorial hatte sich mein Kumpel wohl durch gelesen und die Konfig danach erstellt. (wie gesagt ich baue nur Software und kenne mich mit Administration nicht wirklich aus ;-( ) Telnet via Internet sollte eigentlich ausgeschaltet sein, wir haben es eben probiert und waren selbst geschockt. Logisch das sowas nichtttttt passieren darf.
zur Erklärung mit dem 4er Netz: Wir haben ein VPN Zugang für uns. aber wir haben auch mehrere Webanwendungen auf die direkt zugegriffen werden können. Mhm, ist das jetzt verständlich? Ich denke dafür ist das 4er Netz gedacht.
Vielen Dank nochmal, ich melde mich wenn es dann funktioniert.
DANKKEEEEE
Die "Schimpfe" müsste ja nicht sein wenn nur 70% der TOs hier mal lesen würden und auch umsetzen was die Kollegen hier als Tipps geben. Aber egal...das ist ein anderes Thema !
...hatte sich mein Kumpel wohl durch gelesen und die Konfig danach erstellt.... Wohl kaum !! Denn sonst wäre der Thread hier völlig überflüssig. Wie immer scheitert es am Lesen...wer tut sowas altmodisches heute auch noch ??
Warum dich dein Netzwerk Kumpel dann hier vorschickt als blutigen Laien obwohl er selber den Mist verbockt hat, ist wieder so ein Thema für "Schimpfe"... Aber vermutlich springst du auch von der Hochbrücke wenn er dir das sagt. Besser du ziehst deinem "Kumpel" mal die Löffel lang ! (...oder bringst ihm das Lesen bei !)
Komische Arbeitsteilung ist das...du musst dann als Laie alles was du hier als Lösung liest als "Relaisstation" ihm verklickern und setzt das dann um...na ihr 2 zieht euch eure Hosen dann auch vermutlich morgens mit der Kneifzange an....oha nun schimpfen wir schon wieder...
Man muss sich nur manchmal schon wirklich wundern was für IT Kaspereien in Unternehmen passieren...für Ernst kann man euch ja eigentlich nicht mehr nehmen bei solcher Vorgehensweise. Hoffentlich müssen wir dann eure Software niemals nutzen wenn ihr da auch so arbeitet...schei...schon wieder schimpfen, was ist nur los heute ?!
...hatte sich mein Kumpel wohl durch gelesen und die Konfig danach erstellt.... Wohl kaum !! Denn sonst wäre der Thread hier völlig überflüssig. Wie immer scheitert es am Lesen...wer tut sowas altmodisches heute auch noch ??
Warum dich dein Netzwerk Kumpel dann hier vorschickt als blutigen Laien obwohl er selber den Mist verbockt hat, ist wieder so ein Thema für "Schimpfe"... Aber vermutlich springst du auch von der Hochbrücke wenn er dir das sagt. Besser du ziehst deinem "Kumpel" mal die Löffel lang ! (...oder bringst ihm das Lesen bei !)
Komische Arbeitsteilung ist das...du musst dann als Laie alles was du hier als Lösung liest als "Relaisstation" ihm verklickern und setzt das dann um...na ihr 2 zieht euch eure Hosen dann auch vermutlich morgens mit der Kneifzange an....oha nun schimpfen wir schon wieder...
Man muss sich nur manchmal schon wirklich wundern was für IT Kaspereien in Unternehmen passieren...für Ernst kann man euch ja eigentlich nicht mehr nehmen bei solcher Vorgehensweise. Hoffentlich müssen wir dann eure Software niemals nutzen wenn ihr da auch so arbeitet...schei...schon wieder schimpfen, was ist nur los heute ?!
Nun wirds Lustig !!
Wir entwickeln seit über 25 Jahren Software für die verschiedensten Kunden große und kleine. Und das mit einigem Erfolg.
Das ich jetzt hier "vorgeschickt werde" ist auch nicht ganz richtig. Er kennt sich halt mit cisco Routern an sich aus. Nur nicht mit dem Small Kram. Scheinbar gibt es da doch unterschiede. NAchdem uns die Probleme aufgefallen sind, haben wir halt nach einer Lösung gesucht und weil uns dann nichts mehr eingefallen ist und wir nach dem stöbern im Internet auch keine Lösung gelesen (das kann ich sogar) haben die uns auf den ersten Schlag weiter gebracht hat habe ich mich einfach mal hier angemeldet und mein Glück probiert. Er wußte davon nichts.
Ich habe neben Ihm gehockt als er das Dokument offen hatte. Also hat er die Anleitung gelesen.
Aber naja was soll, ich danke dir jedenfalls für Deine Hilfe, jetzt funktioniert alles und wir können weiter machen.
Ich würde mich freuen wenn Ihr unsere Lösungen nutzen würdet. (Denn programmieren können wir besser als Administrieren)
Viele Grüße
Stephan
Wir entwickeln seit über 25 Jahren Software für die verschiedensten Kunden große und kleine. Und das mit einigem Erfolg.
Das ich jetzt hier "vorgeschickt werde" ist auch nicht ganz richtig. Er kennt sich halt mit cisco Routern an sich aus. Nur nicht mit dem Small Kram. Scheinbar gibt es da doch unterschiede. NAchdem uns die Probleme aufgefallen sind, haben wir halt nach einer Lösung gesucht und weil uns dann nichts mehr eingefallen ist und wir nach dem stöbern im Internet auch keine Lösung gelesen (das kann ich sogar) haben die uns auf den ersten Schlag weiter gebracht hat habe ich mich einfach mal hier angemeldet und mein Glück probiert. Er wußte davon nichts.
Ich habe neben Ihm gehockt als er das Dokument offen hatte. Also hat er die Anleitung gelesen.
Aber naja was soll, ich danke dir jedenfalls für Deine Hilfe, jetzt funktioniert alles und wir können weiter machen.
Ich würde mich freuen wenn Ihr unsere Lösungen nutzen würdet. (Denn programmieren können wir besser als Administrieren)
Viele Grüße
Stephan
OK...alles wird gut... Du musst dich hier nicht rechtfertigen 
Wir wollen hier nicht von der eigentlichen Fragestellung wegkommen.
Wichtig ist das ihr das Problem gefixt bekommt was ja nun der Fall ist !! Der ganze andere Rest ist eure Sache... Es klang für einen Außenstehenden nur schon etwas "merkwürdig".
Klasse wenn nun alles so klappt wie es soll !
Wir wollen hier nicht von der eigentlichen Fragestellung wegkommen.
Wichtig ist das ihr das Problem gefixt bekommt was ja nun der Fall ist !! Der ganze andere Rest ist eure Sache... Es klang für einen Außenstehenden nur schon etwas "merkwürdig".
Klasse wenn nun alles so klappt wie es soll !