11
Kein Zugriff auf WAN Cisco 1812
Hallo zusammen,
habe ein kleinen Cisco 1812 in meiner Testumgebung und paar Probleme damit.
Vom Router kann ich z.b. heise.de pingen. Das geht soweit. Aber vom Client aus geht das leider nicht. Der Name wird korrekt per DNS aufgelöst.
Die Cisco hat die Ip Adressen 192.168.100.111 und die xx.xx.xx.170, das Cable Modem hat die Ip xx.xx.xx.169...
Hier mal meine running-config. Eventuell sieht ja jemand gleich den Fehler.
VLAN und sicherheit ist bewusst erst einmal minimiert.
Current configuration : 1654 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DE1
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
ip cef
!
interface FastEthernet0
ip address 192.168.100.111 255.255.255.0
ip access-group 101 in
ip access-group 101 out
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
ip address xx.xx.xx.170 255.255.255.252
ip access-group 101 in
ip access-group 101 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
shutdown
no cdp enable
!
interface FastEthernet5
shutdown
no cdp enable
!
interface FastEthernet6
shutdown
no cdp enable
!
interface FastEthernet7
shutdown
no cdp enable
!
interface FastEthernet8
shutdown
no cdp enable
!
interface FastEthernet9
shutdown
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.169
!
ip http server
ip http authentication local
no ip http secure-server
!
access-list 101 permit ip any any
snmp-server community public RO
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password xxxxxx
login
!
no process cpu extended
no process cpu autoprofile hog
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
Vielen Dank für eure Hilfe.
habe ein kleinen Cisco 1812 in meiner Testumgebung und paar Probleme damit.
Vom Router kann ich z.b. heise.de pingen. Das geht soweit. Aber vom Client aus geht das leider nicht. Der Name wird korrekt per DNS aufgelöst.
Die Cisco hat die Ip Adressen 192.168.100.111 und die xx.xx.xx.170, das Cable Modem hat die Ip xx.xx.xx.169...
Hier mal meine running-config. Eventuell sieht ja jemand gleich den Fehler.
VLAN und sicherheit ist bewusst erst einmal minimiert.
Current configuration : 1654 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DE1
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
ip cef
!
interface FastEthernet0
ip address 192.168.100.111 255.255.255.0
ip access-group 101 in
ip access-group 101 out
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
ip address xx.xx.xx.170 255.255.255.252
ip access-group 101 in
ip access-group 101 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
shutdown
no cdp enable
!
interface FastEthernet5
shutdown
no cdp enable
!
interface FastEthernet6
shutdown
no cdp enable
!
interface FastEthernet7
shutdown
no cdp enable
!
interface FastEthernet8
shutdown
no cdp enable
!
interface FastEthernet9
shutdown
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.169
!
ip http server
ip http authentication local
no ip http secure-server
!
access-list 101 permit ip any any
snmp-server community public RO
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password xxxxxx
login
!
no process cpu extended
no process cpu autoprofile hog
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
Vielen Dank für eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206231
Url: https://administrator.de/contentid/206231
Printed on: April 19, 2024 at 09:04 o'clock
11 Comments
Latest comment
Hi,
ich hatte so etwas mit eine ASA5505, dort musste ich über Firewallregeln erst das ICMP erlauben.
Zum Testen in der Access-list 101:
permit icmp any any
Gruß
ich hatte so etwas mit eine ASA5505, dort musste ich über Firewallregeln erst das ICMP erlauben.
Zum Testen in der Access-list 101:
permit icmp any any
Gruß
Ich kann leider weder pingen noch sonst irgendwie traffic ins WAN senden.
Habe aber trotzdem deinen Tipp getestet und einen icmp explizit freigegeben. Geht immernoch nicht ;)
Als Nachtrag noch meine show ip routes
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is xx.xx.xx.169 to network 0.0.0.0
xx.0.0.0/30 is subnetted, 1 subnets
C xx.xx.xx.168 is directly connected, FastEthernet1
C 192.168.100.0/24 is directly connected, FastEthernet0
S* 0.0.0.0/0 [1/0] via xx.xx.xx.169
DE1#Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
Habe aber trotzdem deinen Tipp getestet und einen icmp explizit freigegeben. Geht immernoch nicht ;)
Als Nachtrag noch meine show ip routes
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is xx.xx.xx.169 to network 0.0.0.0
xx.0.0.0/30 is subnetted, 1 subnets
C xx.xx.xx.168 is directly connected, FastEthernet1
C 192.168.100.0/24 is directly connected, FastEthernet0
S* 0.0.0.0/0 [1/0] via xx.xx.xx.169
DE1#Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
sollte die statische Route nicht auf die 170 (IP-Adresse des Modems) zeigen? an die übergibt der Router als next hop die Daten.
Evtl. lässt sich über ein bestimmtes interface pingen. Weiß ich aktuell nicht genau ob das ging.
Gruß
Hast natürlich recht, mir ist beim tippen vom Text ein Fehler unterlaufen.
.169 ist das Modem, .170 das zweite INterface vom Router.
.169 ist das Modem, .170 das zweite INterface vom Router.
Hallo,
spontan würde ich sagen deine NAT-Konfig ist nicht vollständig. Du hast zwar ip nat inside bzw. outside bei den Interfaces definiert, mehr aber nicht.
Da müsste dann noch sowas hin:
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet1 overload
Gruß,
Schorsch
spontan würde ich sagen deine NAT-Konfig ist nicht vollständig. Du hast zwar ip nat inside bzw. outside bei den Interfaces definiert, mehr aber nicht.
Da müsste dann noch sowas hin:
access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet1 overload
Gruß,
Schorsch
Hallo,
Mal eine blöde Frage, an welchem Interface des Routers ist der Rechner mit welcher IP angeschlossen??
Laut deiner Conifg sind die beiden Interfaces fa0 und fa1 mit IP's des Router belegt.
Alle anderen Interfaces sind shutdown...
Wo bitte ist der Rechner angeschlossen?
brammer
Mal eine blöde Frage, an welchem Interface des Routers ist der Rechner mit welcher IP angeschlossen??
Laut deiner Conifg sind die beiden Interfaces fa0 und fa1 mit IP's des Router belegt.
Alle anderen Interfaces sind shutdown...
Wo bitte ist der Rechner angeschlossen?
brammer
Welchen Gateway Eintrag hat denn dein Client ?? Zeigt der auch auf die IP des Cisco ??
Ebenso: Welchen DNS Eintrag hat dein Client. Sofern der Cisco Proxy DNS ist muss er auch auf die IP des Cisco zeigen wenigstens aber auf die Provider DNS IP !
Hast du das beachtet ?? Ein ipconfig -all (Winblows) oder ifconfig (Unix) zeigt dir diese Client Einstellungen.
Ein Praxisbeispiel wie so ein Cisco richtig zu konfigurieren ist findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das sollte eigentlich alle deine Fragen beantworten... ?!
Nochwas: Deine Accessliste 101 ist totaler Schwachsinn, sorry. Damit permittest du alles incoming und outgoing. Die Liste und die Interface Kommandos kannst du dann auch gleich komplett weglöschen, das hat den gleichen Effekt !
Ebenso: Welchen DNS Eintrag hat dein Client. Sofern der Cisco Proxy DNS ist muss er auch auf die IP des Cisco zeigen wenigstens aber auf die Provider DNS IP !
Hast du das beachtet ?? Ein ipconfig -all (Winblows) oder ifconfig (Unix) zeigt dir diese Client Einstellungen.
Ein Praxisbeispiel wie so ein Cisco richtig zu konfigurieren ist findest du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das sollte eigentlich alle deine Fragen beantworten... ?!
Nochwas: Deine Accessliste 101 ist totaler Schwachsinn, sorry. Damit permittest du alles incoming und outgoing. Die Liste und die Interface Kommandos kannst du dann auch gleich komplett weglöschen, das hat den gleichen Effekt !
Hallo,
vielen Dank für die Antworten.
@DerSchorsch
Danke für den Tipp, werde ich gleich ergänzen.
@bremmer:
Der PC ist an fa0 mit einer Ip aus dem Bereich 192.168.100.50-100 angeschlossen
@aqui
GW ist der Cisco also die 192.168.100.111, Dns ist mein DNS Server im Netz (192.168.100.104)
Die Anleitung werde ich mir jetzt mal anschauen, ich denke dann sollte ich meinen Fehler auch finden. Ich werde berichten.
Das die ACL schwachsinn ist, ist mir klar, wollte zum testen halt den Fehler ausschließen das keine ACL alles blockiert, Daher habe ich erst mal alles freigegeben.
Grüße
vielen Dank für die Antworten.
@DerSchorsch
Danke für den Tipp, werde ich gleich ergänzen.
@bremmer:
Der PC ist an fa0 mit einer Ip aus dem Bereich 192.168.100.50-100 angeschlossen
@aqui
GW ist der Cisco also die 192.168.100.111, Dns ist mein DNS Server im Netz (192.168.100.104)
Die Anleitung werde ich mir jetzt mal anschauen, ich denke dann sollte ich meinen Fehler auch finden. Ich werde berichten.
Das die ACL schwachsinn ist, ist mir klar, wollte zum testen halt den Fehler ausschließen das keine ACL alles blockiert, Daher habe ich erst mal alles freigegeben.
Grüße
Solange du keine ACL am Interface konfigurierst ist immer ALLES erlaubt ! Vermutlich machst du hier einen Denkfehler ! Lass also den ganzen ACL Quatsch erstmal weg !
OK, GW ist dann richtig.
Bei deinem DNS Server musst du zwingend darauf achten das der dann eine Weiterleitung an den Cisco hat sofern du den Cisco als Proxy DNS eingerichtet hast ?! (Siehe Beispiel Konfig im Tutorial)
Wenn du ihn nicht als Proxy DNS eingerichtet hast muss als Weiterleitung dort die Provider DNS stehen in deinem Server ! Vergiss das nicht !
Besser ist immer die Einrichtung des Cisco als Proxy DNS:
interface Dialer0
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip dns server
Damit klappt es dann sicher !
OK, GW ist dann richtig.
Bei deinem DNS Server musst du zwingend darauf achten das der dann eine Weiterleitung an den Cisco hat sofern du den Cisco als Proxy DNS eingerichtet hast ?! (Siehe Beispiel Konfig im Tutorial)
Wenn du ihn nicht als Proxy DNS eingerichtet hast muss als Weiterleitung dort die Provider DNS stehen in deinem Server ! Vergiss das nicht !
Besser ist immer die Einrichtung des Cisco als Proxy DNS:
interface Dialer0
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip dns server
Damit klappt es dann sicher !
Danke an alle für die Hilfe.
Schorsch hatte den richtigen Tip mit dem Nat.
Nachdem ich mich etwas in Ciscos Whitepapers eingelesen habe, hat es dann auch funktioniert.
danke
Schorsch hatte den richtigen Tip mit dem Nat.
Nachdem ich mich etwas in Ciscos Whitepapers eingelesen habe, hat es dann auch funktioniert.
danke
Die oben genannte Cisco_Beispielkonfiguration zeigt das ja auch schwarz auf weiss !!
Gut wenns nun klappt....
Gut wenns nun klappt....
