tomcatshs
Apr 19, 2012, updated at Oct 18, 2012 (UTC)
view8089
view25
1
Goto Top

Cisco 1841 Konfiguration als Firewall Router

GermanQuestionRouters, RoutingNetworks
Hallo,

Ich versuche einen Cisco 1841 Zu Konfigurieren.

Die Verkabelung sieht so aus

Kabelmodem --> FE0/1-->FE0/0-->Switch und Klienten.


Ich bekomme einfach keine Verbindung ins Internet der Router sagt zwar das eine Verbindung besteht aber leider werden keine Daten übertragen..

Config:

Router1>en
Password:
Router1#show running-config
Building configuration...

Current configuration : 3295 bytes
!
version 12.4
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxx
enable password xxxxxxxx
!
no aaa new-model
ip cef
!
!
!
!
ip name-server 208.67.222.222
ip name-server 208.67.222.220
ip name-server 208.67.220.220
ip name-server 208.67.220.222
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2715553889
revocation-check none
rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
certificate self-signed 01
3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32373135 35353338 3839301E 170D3132 30343139 31393533
32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100A65E 3380BB19 97444B8F D97BAFCC 614F1BBA B73E2038 EFF4A218 620E625C
557E180D C7917FAB A0199B83 682D480E 8F46732F A670924F 96A8B78E 4E96381A
9A182435 31171D64 35E428A2 06596D8C EE73C94E 4B7ABFB2 DD1589E8 6A22284F
2BBEB8B1 24D951F9 6706883A 4ECC3CC7 3924C6F5 165A48FA 45082998 BE57F164
C49D0203 010001A3 67306530 0F060355 1D130101 FF040530 030101FF 30120603
551D1104 0B300982 07526F75 74657231 301F0603 551D2304 18301680 14F8535C
26BC4499 19972BA3 EB121521 5C4C6806 53301D06 03551D0E 04160414 F8535C26
BC449919 972BA3EB 1215215C 4C680653 300D0609 2A864886 F70D0101 04050003
81810075 21C05D48 4E0AC6AF D93462BE E8069B18 901D1A78 C077460B AB4188DA
08017480 6BEC331C 0793D82C 186476F3 68623C93 693CA952 7011E82B 4F187667
1430E9F1 DB8ACF46 D59975D3 368FFE7F 629B2332 9120A4B2 3A8908A6 8459675F
833BFC5B 702FBCFB C933DE56 A91F6C60 035099C4 B7CA6DA9 969F3D37 2763726B 4B1C87
quit
!
!
username root privilege 15 password 0 xxxxxxxxxx
archive
log config
hidekeys
!
!
controller DSL 0/0/0
line-term cpe
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 10.48.58.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address dhcp client-id FastEthernet0/1 hostname Router1841
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.48.58.0 0.0.0.255
snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password xxxxxxxxx
login local
transport input telnet ssh
!
scheduler allocate 20000 1000

!
webvpn cef
end

Router1#


Danke für eure Hilfe
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 183822

Url: https://administrator.de/contentid/183822

Printed on: April 18, 2024 at 23:04 o'clock

25 Comments
Latest comment
Goto Top
Member: aqui
aqui Apr 20, 2012, updated at Oct 18, 2012 at 16:50:42 (UTC)
Goto Top
Hier werden sie geholfen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Nur das du bei dir die Dialer x Konfig vergessen kannst !
Letztlich hast du schon alles richtig gemacht.
Am Kabel TV Modem Interface muss stehen ip address dhcp also richtig....
Ein blödsinniger Eintrag ist allerdings in deiner Konfig:
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
Der ist Unsinn, denn dein Default Gateway ist ja das Fa 0/1 sprich das Kabel TV Modem !!
Den Eintrag musst du also zwingend mit no ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 entfernen !

Nochwas wichtiges das generell für alle Kabel TV Modem Nutzer gilt:
Wenn vorher an deinem Kabel TV Modem ein anderes Endgerät dran war cacht das Modem die Mac Adresse und lässt kein anderes Gerät mit anderer Mac mehr ins Netz.
Du musst also zwingend einmal das TV Kabelmodem mit angeschlossenem Cisco stromlos machen damit das Modem neu die Mac Adresse des Ciscos lernt an dem Port.
Dann sollte deine Konfig auf Anhieb funktionieren !!
Ansonsten einmal ein:
  • show int fa 0/1
  • show ip int
hier posten !!

Das wäre dann erstmal der erste Schritt um das generell zum Fliegen zu bringen.
Ansonsten fehlt komplett die Firewall Funktion in deiner Konfig (ip inspect xyz). Mit anderen Worten die Firewall des Systems ist gar nicht aktiviert in deiner Konfig !!
Sie dir das in der o.a. Tutorial an. Dort findest du eine lauffähige Firewall Konfig mit einer CBAC Access Liste die du nur einfach abtippen musst.
Dann ist auch deine Firewall aktiv. Jetzt ist sie es de facto nicht !!
Member: TomCatShS
TomCatShS Apr 20, 2012 at 20:41:57 (UTC)
Goto Top
Hallo,
Danke für deine Antwort:

Leider funktioniert hier etwas noch nicht:

Die Route habe ich gelöscht

Ping anfragen verlaufen erfolgreich, aber leider die namensauflösung nicht.


Router1#ping ip 10.48.55.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.48.55.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router1#ping ip www.google.de
Translating "www.google.de"...domain server (208.67.222.222) (208.67.222.220) (208.67.220.220) (208.67.220.222) (10.48.55.1) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 173.194.35.151, timeout is 2 seconds:
Success rate is 0 percent (0/5)


Router1>show int fa 0/1
FastEthernet0/1 is up, line protocol is up
Hardware is Gt96k FE, address is 0026.99b4.1189 (bia 0026.99b4.1189)
Description: $ETH-WAN$
Internet address is 10.48.55.156/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:06, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
3065 packets input, 343536 bytes
Received 3047 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
751 packets output, 61736 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out

Router1>show ip int
FastEthernet0/0 is up, line protocol is down
Internet address is 10.48.58.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain inside
BGP Policy Mapping is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
FastEthernet0/1 is up, line protocol is up
Internet address is 10.48.55.156/24
Broadcast address is 255.255.255.255
Address determined by DHCP
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain outside
BGP Policy Mapping is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
ATM0/1/0 is administratively down, line protocol is down
Internet protocol processing disabled
NVI0 is up, line protocol is up
Interface is unnumbered. Using address of NVI0 (0.0.0.0)
Broadcast address is 255.255.255.255
MTU is 1514 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is disabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is disabled
IP Null turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is disabled
BGP Policy Mapping is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
Member: TomCatShS
TomCatShS Apr 21, 2012 at 09:17:29 (UTC)
Goto Top
Morgen,

ich habe noch diese IOS Version drauf:

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(15)T, RE
LEASE SOFTWARE (fc3)

Installed image archive
Cisco 1841 (revision 7.0) with 176128K/20480K bytes of memory.
Processor board ID xxxxxxxxxx
1 DSL controller
2 FastEthernet interfaces
1 ATM interface
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62496K bytes of ATA CompactFlash (Read/Write)

sie scheint ja schon was älter zu sein, welche sollte ich raufspielen ?

VPN sollte der kleine ja auch noch können .

Danke !
Member: aqui
aqui Apr 21, 2012 at 10:48:01 (UTC)
Goto Top
Dein Problem ist wie du ja auch selber sehen kannst dein lokales LAN:
FastEthernet0/0 is up, line protocol is down

Da besteht keinerlei Verbindung zum LAN oder dem Switch wo das LAN drauf ist. "Line Proocoll auf DOWN" !!
Wenn du das fixt dann wird es auch klappen !!
Das die Namensauflösung nicht klappt ist logisch, denn du hast keinen DNS Server auf dem Cisco konfiguriert !
Das musst du mit :
ip name-server a.b.c.d
entsprechend auf dem Cisco eintragen, wobei a.b.c.d die dir bekannte Internet DNS Server IP ist. Weitere DNS Server trägst du dann zusätzlich wieder mit ip name-server a.b.c.dein.
Mit sh ip dns view kannst du die DNS Konfig des Routers ansehen.
Also LAN Verbindung fixen und DNS Server eintragen...das sollte es dann gewesen sein !!
Firewall fehlt aber immer noch !!
Member: TomCatShS
TomCatShS Apr 21, 2012 at 18:51:25 (UTC)
Goto Top
Abend,
also der Fe0/0 ist down da ja kein gerät dran hängt Fe0/1 ist online bekomme eine IP aber leider funktioniert kein ping Befehl


Router1#ping ip www.google.de
Translating "www.google.de"...domain server (208.67.222.222) (208.67.222.220) (208.67.220.220) (208.67.220.222) (10.48.55.1) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 173.194.35.159, timeout is 2 seconds:
Success rate is 0 percent (0/5)
Router1#


Router1#sh ip dns view
DNS View default parameters:
Logging is off
DNS Resolver settings:
Domain lookup is enabled
Default domain name:
Domain search list:
Lookup timeout: 3 seconds
Lookup retries: 2
Domain name-servers:
208.67.222.222
208.67.222.220
208.67.220.220
208.67.220.222
10.48.55.1
DNS Server settings:
Forwarding of queries is enabled
Forwarder addresses:

Wenn ich einen PC an Fe0/0 anschließe bekommt er eine Ip zugewiesen aber leider funktioniert auch keine internetverbindung..
Member: aqui
aqui Apr 22, 2012 at 08:15:01 (UTC)
Goto Top
Na ja du kannst ja sehen das Google richtig aufgelöst wird aus DNS Sicht: Echos to 173.194.35.159, ... Also die DNS Abfrage funktioniert einwandfrei auf die DNS Server und damit kann man davon ausgehen das generell der Internet Zugang rennt, denn wie du in der DNS Liste sehen kannst ist 208.67.222.222 und die folgenden 3 Server in der Abfragehierarchie öffentliche IPs. Die Google IP Adresse holt er also daher.
Es ist also daher zu vermuten das der eigentliche Internet Router der hinter deiner privaten IP an Fa 0/1 leigt vermutlich ICMP Pakete filtert (Ping).
Daher kommt kein Ping und Traceroute durch. Oder....
www.google.de lässt sich nicht pingen (ICMP Filter am Server). Warst du so intelligent auch alternativ mal einen wirklich pingbaren Host wie "www.heise.de" oder "www.spiegel.de" oder den DNS Server von Google "8.8.8.8" zu probieren???
Von denen solltest du in jedem Falle eine Antwort bekommen...sofern nicht wie gesagt der vor deinem Fa 0/1 liegende Internet Router ICMPs filtert !
Sonst kannst du auch mit "show ip route" mal deine Routing Tabelle ansehen und den am Fa 0/1 Interface hängenden Default Router pingen !
Member: TomCatShS
TomCatShS Apr 22, 2012 at 11:45:57 (UTC)
Goto Top
Hallo aquí,
danke für deine Hilfe.

Ich komme jetzt ins Internet, über den Router natürlich ist noch keine Firewall eingerichtet etc.

Ich habe die Route von FastEthernet0/1 auf die ip Adresse die er vom Router der davor hängt geändert
"ip route 0.0.0.0 0.0.0.0 10.48.55.1"

Mein Problem ist. Ich habe vor kurzem nach unitymedia gewechselt dort habe ich eine 100.00Mbits Leitung
wenn jetzt aber der cisco als router fungiert habe ich nur noch 39.00Mbits, ich denke das liegt an den 10/100Mbs Ports,
Der Hauptrouter vor dem Cisco hat 1000Mbs WAN/LAN anschlüße dort habe ich einen Leistung von 96.00Mits.

das Hauptrouter ist ein Netgear w900 in diesem kann ich Statische Routen erstellen.

Wäre es möglich den Cisco "nur" als VPN client zu konfigurieren über ipsec?


Current configuration : 3708 bytes
!
! No configuration change since last restart
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$c/4N$Yzkwhw9Y9MDlcxbAgaqlJ/
enable password xxxxxxxxx
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.48.58.100 10.48.58.250
!
ip dhcp pool VLAN1
network 10.48.58.0 255.255.255.0
domain-name network386.local
default-router 10.48.58.1
dns-server 208.67.222.222 208.67.220.220
lease 7
!
!
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2715553889
revocation-check none
rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
certificate self-signed 01
3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32373135 35353338 3839301E 170D3132 30343232 31313230
34385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100A65E 3380BB19 97444B8F D97BAFCC 614F1BBA B73E2038 EFF4A218 620E625C
557E180D C7917FAB A0199B83 682D480E 8F46732F A670924F 96A8B78E 4E96381A
9A182435 31171D64 35E428A2 06596D8C EE73C94E 4B7ABFB2 DD1589E8 6A22284F
2BBEB8B1 24D951F9 6706883A 4ECC3CC7 3924C6F5 165A48FA 45082998 BE57F164
C49D0203 010001A3 67306530 0F060355 1D130101 FF040530 030101FF 30120603
551D1104 0B300982 07526F75 74657231 301F0603 551D2304 18301680 14F8535C
26BC4499 19972BA3 EB121521 5C4C6806 53301D06 03551D0E 04160414 F8535C26
BC449919 972BA3EB 1215215C 4C680653 300D0609 2A864886 F70D0101 04050003
81810046 EC1D3D56 6DA96042 15B6EC89 6B477BEB DFA66D96 3B6704C9 FF3C30DC
E89305C1 60F43E69 03A5FEDA 18636751 9E8D542E 1499C624 F69696D1 47D269BF
561B9FEA 28F1C0F2 55054E9C 62AD71BD 65D3B6AA 30F56704 DEEE742D BA7F4F11
2BAE7D85 7BC25793 89A4C8AE 1F6107DF BA33A32A AC467C8C 1F975AC4 819CCEBE 4B560C
quit
!
!
username root privilege 15 password 0 xxxxxxxxxx
archive
log config
hidekeys
!
!
controller DSL 0/0/0
line-term cpe
!
!
!
!
interface FastEthernet0/0
description $ES_LAN$$ETH-LAN$
ip address 10.48.58.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address dhcp client-id FastEthernet0/1 hostname Router1841
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 10.48.55.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
ip access-list extended VLAN1
permit ip any any
!
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.48.58.0 0.0.0.255
snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password Xrayt1r63456
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17179825
ntp update-calendar
ntp server 192.53.103.108 source FastEthernet0/1

!
webvpn cef
end

Router1#
Router1#
Router1#
Router1#
Member: aqui
aqui Apr 22, 2012 at 13:30:20 (UTC)
Goto Top
Hi TomCat

auf die ip Adresse die er vom Router der davor hängt geändert ... Sehr sinnvoll, denn so ist es auch syntaktisch richtig !

...wenn jetzt aber der cisco als router fungiert habe ich nur noch 39.00Mbits, ich denke das liegt an den 10/100Mbs Ports,
Das obige ist natürlich technischer Blödsinn, sorry !
Erstmal ist 39 Mbit keine genormte Geschwindigkeit im Ethernet aus dem Grunde also schon Unsinn ! Der Provider könnte ein Rate Limiting machen allerdings sind auch solche "krummen" Werte da absolut unüblich. Wie kommst du also drauf ??
Zweitens besagt Fa 0/1 Fa=Fast Ethernet = 100 Mbit/s das das Interface des Ciscos sehr wohl 100 Mbit kann (und vermutlich auch macht) !
Drittens kannst du immer mit dem Kommando show int fa 0/1 ganz genau sehen WIE dein Cisco Interface sich per Autonegotiation eingestellt hat !!
Und.... du kannst zwangsweise diesen Port am Cisco auf 100 Mbit setzen mit dem Interface Kommando speed 100 und duplex full !
Damit erzwingst du dann eine 100 Mbit Verbindung an diesem Port und kannst so ggf. Probleme mit der Autonegotiation sicher verhindern, hast also immer sicher 100 Mbit/s.
Die Frage die sich also letztlich stellt ist WIE du auf diesen ominösen "39 Mbit" Wert kommst ???
Vergiss nicht das Kabelprovider dir auch bei 100 Mbit Versprechen KEINE 100 Mbit garantieren !! Da lügen die wie alle Provider das Blaue vom Himmel um Otto Dummieverbraucher zu ködern.
Sicher, deine physische Punkt zu Punkt Verbindung aufs TV Kabelmodem ist 100 Mbit, das ist aber schon alles !
Jeder Laie weiss das die Kabelprovider mehrere 100 oder noch mehr User gemeinsam in ein Endsegment bringen mit denen man sich dann die vorhandenen 100 Mbit teilen muss, du also je nach Aktivität immer nur ein Bruchteil dieser Bandbreite bekommst...ein alter bekannter Hut.
Sinnigerweise sagt dir kein Kabelprovider wieviel User er in so ein Endkundensegment bringt ! Ein Schelm also wer Böses dabei denkt....
In Zeiten hoher Benutzung teilst du dir also diese Bandbreite mit all den anderen.
Wenn du zur Bandbreitenmessung diese wenig aussagekräftigen Webseiten benutzt, kann es bei Überlast zu solch krummen Anzeigen wie deinen oben kommen. Solche Messungen sind aber eher ein grobes Schätzeisen...mehr nicht !
Die von dir angesprochenen 1000 Mbit sind also unsinnig, denn deine Internet Bandbreite kann ja im besten Falle nie mehr als 100 Mbit sein, denn der Provider gibt dir ja nicht mehr. Das Kabelmodem kann vermutlich auch nicht mehr als 100 Mbit auf dem LAN Port. Das Argument ist also Unsinn.
Das Problem ist sehr wahrscheinlich die NetGear Gurke davor !
Das ist ein Billiges Consumer Gerät und wie immer sind diese Produkte Kabel Provider Speeds nicht gewachsen.
Auch die schaffen zwar 1000 Mbit physischen Link aufs Modem aber deren Paket Forwarding Rate im NAT Betrieb ist meist grottenschlecht oder reicht gerade mal für 6-16 Mbit DSL. Da ist natürlich 100 Mbit ne ganz andere Welt !!
Die Frage die sich stellt ist also warum du diese üble NetGear Gurke von vor dem Cisco hast ???
Was soll dieser Unsinn einer Router Kaskadierung wenn du auch den Cisco direkt ans Kabelmodem anschliessen kannst ??
Niemand wird dir hier glauben das ein Cisco Router schlechter in der Forwarding Rate ist als ein billiges Consumer Produkt vom Blödmarkt Grabbeltisch.
Abgesehen davon machst du ja nun auch 2 mal NAT also doppeltes NAT was nicht sein müsste. Einmal macht der Cisco NAT und dann macht mit den geNATeten Paketen der NG auch nochmal NAT...Wozu ?
Fazit: NG entsorgen und Cisco direkt an den Kabelanschluss. Das wäre dann sinnvoll.
Member: TomCatShS
TomCatShS Apr 22, 2012 at 20:49:58 (UTC)
Goto Top
Hallo aquí

Das Kabelmodem ist ein Cisco EPC3208 und hat einen 10/100/1000 Mbits port

Der Netgear hat auch einen 10/100/1000 Mbits WAN Port sowie 4 10/100/1000 Mbits LAN posts

"Gemessen" habe ich die Leitung über Spendetest.net und Unitymedia eigener Spendetest Seite.

Ich habe gerade noch einmal den Test durchlaufen lassen, sobald ich ein Endgerät mit 10/100 Mbits Netzwerk angeklemmt habe,geht der Speedetest nur bis ca. 36 Mbit/s das gleiche ist auch wenn ich mich hinter dem cisco klemme.

Wenn ich über WLAN messe komme ich auf ca. 53Mbit/s bei einer Kabelgebunden Messung direkt am Netgear Router komme ich auf 96 Mbits.

Das soll ja nicht bedeuten das der Cisco ein schlechter Router ist nur in Verbindung mit einer Internet Anbindung von Bis zu 100 Mbit/s hat er und auch alle anderen Router mit 10/100 Mbits
WAN/LAN Ports ein Problem.

Ich klemme gleich den Cisco direkt ans Kabelmodem dann lass ich den Spendetest noch einmal durchlaufen "ohne doppelte NAT"

Danke


PS: Es kann ja sein das ich Komplet falsch liege, aber dann verstehe ich nicht das ein Komplettes Netzwerk mit 1000 Mbits Verbindungen die Volle Leistung die der Provider angibt erfühlt, dabei sagt der Provider selber das man ein komplett ausgebautes 1000 Mbits Netz haben muss..



OK SORRY
Cisco ist direkt am Kabelmodem angeschlossen Verbindung ist bei ca. 83Mbits

jetzt muss ich die Firewall noch einstellen und NAT richtig ?

gibt es da schon fertige Regeln ?


Uns zum schluß noch VPN

MfG
DANKE !!


*** Ich muss nachher noch einmal nachmessen
ich habe nun ein anderes Tool gefunden http://speedtest.netcologne.net/

da scheinen die Werte schon um einiges realer zu sein als die Unitymedia Messung, wie du schon sagst es ist nur ein Anhaltspunkt.
Member: aqui
aqui Apr 23, 2012, updated at Oct 18, 2012 at 16:50:43 (UTC)
Goto Top
Siehste !! Wie vermutet....! Wie gesagt du kannst auch am Modemport die Speed fest auf 100 Mbit setzetn und Fulldup, damit eliminiert man ggf. Autonegotiation Probleme aber wie du siehst geht es ja auch so fehlerfrei.... Cisco eben halt face-wink

Ja natürlich gibt es fertige Konfigs für die Firewall !
Ist wie oben schon bemerkt alles in dem angegeben Tutorial im Detail nachzulesen aber für dich machen wir es dann auch gerne hier nochmal separat als Extrawurst..! Einfach nur abtippen.

Firewall aktivieren
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
ip domain name tomcat.intern
ip inspect name meinefw tcp
ip inspect name meinefw udp
!
interface FastEthernet0/1
description Internet Verbindung Kabel TV
ip address dhcp
ip nat outside
ip access-group 111 in
ip inspect meinefw out
ip virtual-reassembly
no cdp enable
duplex auto
speed auto
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any (log)
!
Das "log" am Ende des letzten Statements (ohne die () ) zeigt dir alle unerlaubten externen Zugriffe an und damit die, die versuchen den Router anzugreifen. Ist mal interessant das zu sehen wenn du show logg eingibst. Wenn es dich nervt und du wichtigeres im Logging sehen willst kannst du es natürlich auch weglassen.

PPTP VPN aktivieren
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password test123
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered FastEthernet0/0
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 10.48.58.200 10.48.58.220
!
Achtung !: Usernamen und IP Adresspool hier ggf. den eigenen Anforderungen anpassen !!
Und wichtig: Die IP Adresse am Interface Fa 0/1 (Internet) ist immer deinen Ziel IP für die PPTP Clients !!
Wenn du keine feste IP vom Kabel TV Provider hast kannst du hier mit DynDNS Hostnamen arbeiten, auch das supportet dein Cisco 1841 !!
DynDNS Account natürlich vorher bei DynDNS anlegen:
http://www.nwlab.net/tutorials/dsl-server/

Optional: DynDNS aktivieren aktivieren )
!
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface FastEthernet0/1
description Internet Verbindung Kabel TV
ip address dhcp
ip nat outside
ip access-group 111 in
ip inspect meinefw out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
ip ddns update hostname <dyndns hostname>
ip ddns update dyndns
!

Optional: Automatische IP Vergabe DHCP auf dem lokalen LAN aktivieren (Bereich .100 bis .150)
!
ip dhcp excluded-address 10.48.58.1 10.48.58.99
ip dhcp excluded-address 10.48.58.151 10.48.58.254
!
ip dhcp pool 1841-dhcp
network 10.48.58.0 255.255.255.0
default-router 10.48.58.1
domain-name tomcat.intern
dns-server <hier_dns_ip_eintragen>
lease 1 0
!

Und fertig ist der Lack mit deinen 1841 !!
Member: TomCatShS
TomCatShS Apr 23, 2012 at 19:19:15 (UTC)
Goto Top
Abend,
Danke für deine Antwort und für die Extra Wurst

Ich habe zz. noch ein problem..

Network386(config)#vpdn-group 1
% VPDN is not enabled
Network386(config-vpdn)#

woran kann es liegen oder ist es normal da noch keine VPN bis jetzt eingerichtet wurde ?

Der Cisco soll aber nicht als VPN Server sondern eine Verbindung zu einem anderen VPN Server herstellen , also als Client.

MfG



ich habe den kleinen nun von Grund auf neu aufgesetzt

nun habe ich leider wieder das Problem das etwas mit den Routen nicht stimmt

der Router wird zz. noch nicht produktiv genutzt daher sitzt er jetzt "noch" hinter dem NG

der NG hat das Netz 10.48.30.0/24

Bash log:
*Apr 23 20:22:52.363: %SEC-6-IPACCESSLOGP: list 111 denied udp 10.48.30.150(138) -> 10.48.30.255(138), 1 packet
*Apr 23 20:23:00.819: %SEC-6-IPACCESSLOGP: list 111 denied udp 10.48.30.1(137) -> 10.48.30.255(137), 1 packet
*Apr 23 20:23:23.487: %SEC-6-IPACCESSLOGP: list 111 denied udp 10.48.30.1(67) -> 255.255.255.255(68), 1 packet


Config:


Building configuration...

*Apr 23 20:13:51.999: %SYS-5-CONFIG_I: Configured from console by console[OK]
Network386#show running-conf
Building configuration...

Current configuration : 4300 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Network386
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$CT.w$/Hcxp136PSpUwzGQF6sd4/
enable password """Geheim""""
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip routing
no ip gratuitous-arps
no ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.48.55.1 10.48.55.99
ip dhcp excluded-address 10.48.55.151 10.48.55.254
!
ip dhcp pool 1841-dhcp
network 10.48.55.0 255.255.255.0
default-router 10.48.55.1
domain-name Network386.local
dns-server 208.67.222.222 208.67.220.220
!
!
ip inspect name Network386fw tcp
ip inspect name Network386fw udp
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
ip domain name Network386.local
ip ddns update method dyndns
HTTP
add http://"""Geheim"""":"""Geheim"""":@members.dyndns.org/nic/updatesystem=dyndns&hostname="""Geheim""""&myip="""Geheim""""
interval maximum 1 0 0 0
!
!
multilink bundle-name authenticated
vpdn-group 1
l2tp tunnel receive-window 1024
!
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2715553889
revocation-check none
rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
certificate self-signed 01
--More--
A0030201 02020101 300D0609
2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32373135 35353338 3839301E 170D3132 30343233 32303039
30355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AB70 1C1C486E CA30A70A 3488DDF5 3AFCB703 EBF3484D A28A1DFF A83D4276
630A4F81 241D4036 70FA72F3 B353190E 9CF0369A 19209EE5 4DF574CD 532A9616
1AAA00EC 6325F9F0 D732A0F5 57B0AB69 E8E3B2AF 07525DDA 3380F487 45D4897A
B6812B6E E958DC96 9B46001C 7C8A3306 A1A06A03 E1ABE9A8 5F3F2ECB E176A391
4D010203 010001A3 7B307930 0F060355 1D130101 FF040530 030101FF 30260603
551D1104 1F301D82 1B4E6574 776F726B 3338362E 4E657477 6F726B33 38362E6C
6F63616C 301F0603 551D2304 18301680 1451C4E6 A5929798 0CCF4A74 79AB1C01
676F0265 C8301D06 03551D0E 04160414 51C4E6A5 9297980C CF4A7479 AB1C0167
6F0265C8 300D0609 2A864886 F70D0101 04050003 818100A6 148585F8 B6D21DCE
9E589689 807BE4C2 1DA65EB4 F03E6C99 633DA6BC EF48F620 960682A2 7C52130C
902B3E77 EC461191 F0DF265D D6298A2F 5A20D985 C322BA7E A21C6A18 AADEF33F
016314A8 E8A65EFB 5F0C4B5A C8C93577 9DE18120 E899FA9F E2164129 55225435
8F39998F 692A542B 21C69A2E 11E1DA86 DB393F20 A441DF
quit
!
!
username root privilege 15 password 0 """Geheim""""
archive
log config
hidekeys
!
!
controller DSL 0/0/0
line-term cpe
!
!
!
!
interface FastEthernet0/0
description Local Area Network
ip address 10.48.55.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description Internet Verbindung Kabel TV
ip ddns update hostname network297b
ip ddns update dyndns
ip address dhcp
ip access-group 111 in
ip inspect Network386fw out
ip nat outside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
no cdp enable
!
interface ATM0/1/0
no ip address
no ip route-cache
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
!
!
ip http server
ip http authentication local
--More--

!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any

snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password """Geheim""""
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end

Network386#
Network386#
Network386#
Member: aqui
aqui Apr 24, 2012 at 14:10:12 (UTC)
Goto Top
Checkst du eigentlich einmal deine Konfig auf Sinnhaftigkeit bevor du loslegst ?? Dzzz
show nat trans und auch show ip route helfen dir da !!
Jeder Grundschüler sieht sofort das NAT und die default Route fehlen in deiner o.a. Konfig !!

ip nat inside source list 1 interface FastEthernet0/1 overload
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
!
Um das VPN zu aktivieren gibt du zuerst
vpdn enable

im Config Modus ein !!
Dann funktioniert es auch !
"Augen auf beim Konfig Lauf !!!!"
Member: TomCatShS
TomCatShS Apr 24, 2012 at 17:04:01 (UTC)
Goto Top
Hallo,
ich hoffe ich werde nicht noch gesteinigt aber leider funktioniert hier immer etwas noch nicht face-sad


<
Network386#show nat trans
^
% Invalid input detected at '^' marker.
<

Hier noch einmal die Conf:
Network386#wr
Building configuration...
[OK]
Network386#sh running-conf
Building configuration...

Current configuration : 4045 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Network386
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$CT.w$/Hcxp136PSpUwzGQF6sd4/
enable password  "Geheim"  
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.48.55.1 10.48.55.99
ip dhcp excluded-address 10.48.55.151 10.48.55.254
!
ip dhcp pool 1841-dhcp
   network 10.48.55.0 255.255.255.0
   default-router 10.48.55.1
   domain-name Network386.local
   dns-server 208.67.222.222 208.67.220.220
!
!
ip inspect name Network386fw tcp
ip inspect name Network386fw udp
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
ip domain name Network386.local
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip ddns update method dyndns
 HTTP
  add http:// "Geheim": "Geheim":@members.dyndns.org/nic/updatesystem=dyndns&hostname=network297b&myip= "Geheim"  
 interval maximum 1 0 0 0
!
!
multilink bundle-name authenticated
vpdn-group 1
 l2tp tunnel receive-window 1024
!
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2715553889
 revocation-check none
 rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
 certificate self-signed 01
  30820253 308201BC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32373135 35353338 3839301E 170D3132 30343233 32303039
  30355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
  35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100AB70 1C1C486E CA30A70A 3488DDF5 3AFCB703 EBF3484D A28A1DFF A83D4276
  630A4F81 241D4036 70FA72F3 B353190E 9CF0369A 19209EE5 4DF574CD 532A9616
  1AAA00EC 6325F9F0 D732A0F5 57B0AB69 E8E3B2AF 07525DDA 3380F487 45D4897A
  B6812B6E E958DC96 9B46001C 7C8A3306 A1A06A03 E1ABE9A8 5F3F2ECB E176A391
  4D010203 010001A3 7B307930 0F060355 1D130101 FF040530 030101FF 30260603
  551D1104 1F301D82 1B4E6574 776F726B 3338362E 4E657477 6F726B33 38362E6C
  6F63616C 301F0603 551D2304 18301680 1451C4E6 A5929798 0CCF4A74 79AB1C01
  676F0265 C8301D06 03551D0E 04160414 51C4E6A5 9297980C CF4A7479 AB1C0167
  6F0265C8 300D0609 2A864886 F70D0101 04050003 818100A6 148585F8 B6D21DCE
  9E589689 807BE4C2 1DA65EB4 F03E6C99 633DA6BC EF48F620 960682A2 7C52130C
  902B3E77 EC461191 F0DF265D D6298A2F 5A20D985 C322BA7E A21C6A18 AADEF33F
  016314A8 E8A65EFB 5F0C4B5A C8C93577 9DE18120 E899FA9F E2164129 55225435
  8F39998F 692A542B 21C69A2E 11E1DA86 DB393F20 A441DF
        quit
!
!
username root privilege 15 password 0  "Geheim"  
archive
 log config
  hidekeys
!
!
controller DSL 0/0/0
 line-term cpe
!
!
!
!
interface FastEthernet0/0
 description Local Area Network$ETH-LAN$
 ip address 10.48.55.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
 full-duplex
 no mop enabled
!
interface FastEthernet0/1
 description Internet Verbindung Kabel TV
 ip ddns update hostname  "Geheim"  
 ip ddns update dyndns
 ip address dhcp
 ip access-group 111 in
 ip inspect Network386fw out
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password "Geheim"  
 login local
 transport input telnet ssh
!
scheduler allocate 20000 1000

!
webvpn cef
end

Network386#
Member: aqui
aqui Apr 25, 2012 at 07:45:39 (UTC)
Goto Top
Ja, Mist... sorry, hatte oben in der Aufregung die source list 1 vergessen, damit das NAT Translation klappt als folgendes musst du noch hinzufügen:

access-list 1 permit 10.48.58.0 0.0.0.255

Hätte dir auch selber auffallen müssen wenn du das NAT Overload Statement gesehen hast ! Konfig ansehen... !!! Nun funktioniert auch show ip nat transl
Noch ein Tip: .local sollte man niemals als interne Domain verwenden, denn das wir fest von mDNS (Multicast DNS) verwendet !
Besser also immer .intern oder .test verwenden !!

So.... Nun aber !!
Member: TomCatShS
TomCatShS Apr 25, 2012 at 22:21:33 (UTC)
Goto Top
Sorry aber leider funktioniert die config immer noch nicht ich bekomme einfach keine Verbindung ins Netz.

Ich habe den Router nun neu aufgesetzt mit der domain Endung .intern nach deiner Anleitung.

Wenn ich in der Konfig diese FW Regel eintrage, kann er keine DHCP IP mehr beziehen

access-list 111 deny ip any any log

Hier noch einmal die Aktuelle Konfig:

Network386#wr
Building configuration...
[OK]
Network386#show running-config
Building configuration...

Current configuration : 3792 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Network386
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$WyaR$u96aDEqJTEVbox/FQAwUu.
enable password "geheim"  
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.48.55.1 10.48.55.99
ip dhcp excluded-address 10.48.55.151 10.48.55.254
!
ip dhcp pool 1841-dhcp
   network 10.48.55.0 255.255.255.0
   default-router 10.48.55.1
   domain-name network386.intern
   dns-server 208.67.222.222 208.67.220.220
!
!
ip inspect name meinefw tcp
ip inspect name meinefw udp
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
ip domain name network386.intern
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip ddns update method dyndns
!
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2715553889
 revocation-check none
 rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
 certificate self-signed 01
  30820254 308201BD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32373135 35353338 3839301E 170D3132 30343235 32313439
  35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
  35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100D00B D041E2EC F2B1F8C4 18A7C503 E9903568 5376C605 05879E46 E0391DC0
  85ED27F3 853143BD 2D365D1A 7BB4E478 6D5E5B47 0BE97830 93FDC6A8 E0A0A0D3
  40313254 EC096E4E 5EA5DF41 71C2BE7C 4CE70190 A3494FAA 1173688A 7FC62B9F
  871123FC 38363E5C 99E5718A 13D85830 19FD1317 266BDD03 21437EC5 98E4847E
  01F70203 010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603
  551D1104 20301E82 1C4E6574 776F726B 3338362E 6E657477 6F726B33 38362E69
  6E746572 6E301F06 03551D23 04183016 80148BCE 33D3CCAC FB73B010 9865251C
  8DBE64C6 C886301D 0603551D 0E041604 148BCE33 D3CCACFB 73B01098 65251C8D
  BE64C6C8 86300D06 092A8648 86F70D01 01040500 03818100 07A4CD03 7A158A8F
  E9EF602A A8E506EB FA20B706 0D973152 22A8151B 6A592EAD ED1C7684 B756A0FF
  46C68772 8B498DCD A47D230A C9960E5F 52AFF448 6A10399C 6B52DF40 9365900C
  3BB8AA0B 63F491B5 D270C313 B1BC743D 7BDD6E9D 7A3BB635 68204E81 0EFD056A
  C90CAF0B 0B087BC6 53CBF7A8 C6CA1309 ABB2408A 63772B72
        quit
!
!
username root privilege 15 password 0 "geheim"  
archive
 log config
  hidekeys
!
!
controller DSL 0/0/0
 line-term cpe
!
!
!
!
interface FastEthernet0/0
 ip address 10.48.55.1 255.255.255.0
 speed auto
 half-duplex
 no mop enabled
!
interface FastEthernet0/1
 description Internet Verbindung Kabel TV$ETH-WAN$
 ip address dhcp client-id FastEthernet0/1 hostname Router1841
 ip access-group 111 in
 ip inspect meinefw out
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 10.48.55.0 0.0.0.255
snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password "geheim"  
 login local
 transport input telnet ssh
!
scheduler allocate 20000 1000

!
webvpn cef
end

Network386#
Member: TomCatShS
TomCatShS Apr 27, 2012 at 15:44:53 (UTC)
Goto Top
Ich habe die Route nach FA0/1 auch gegen die gültige WAN IP adresse geändert aber leider ohne erfolg.
Member: aqui
aqui Apr 27, 2012 at 17:57:44 (UTC)
Goto Top
Ist ja auch ganz klar das das nicht gehen kann !!! Wo bitte ist deine Access Liste 111 in deiner obigen Konfig ????
Du hast die komplette Access Liste 111 vergessen einzugeben in die Konfig !!!! Grrrr... face-sad
Mach doch bitte einmal genau was man dir sagt ! So macht das hier keinen Spass wenn du hier immer wie ein Dummie die Hälfte vergisst beim Abtippen !!
Wenn du die Access Listen Einträge access-list 111... komplett vergisst gilt ein deny any any also es wird alles verboten !
Wenn du dann diese ACL auf dem Fa0/1 aktivierst wie oben, also eine leere nicht definierte ACL access-group 111 in wird alles verboten an dem Interface...genau was bei dir passiert.
Denk doch bitte mal etwas nach und sieh dir deine Konfig genau an damit sowas nicht wieder passiert !! Die lauffähige Konfig siehst du doch oben zum Vergleich !!
Also... klar mit der ACL 111 das das nicht geht mit DHCP, denn die ist gedacht wenn der Router direkt am Internet hängt um ihn wasserdicht zu machen gegen Angriffe.
Da du ja jetzt zum Testen erstmal einen NAT Firewall Router noch davor hast lasse das "ip access-group 111 in" erstmal komplett weg !!
Mit
conf t
int fa 0/1
no ip access-group 111 in
<ctrl> z
wr
bekommst du das erstmal wieder raus vom Fa0/1 Interface. Du musst das erst wieder reinkonfigurieren wenn der Router direkt am Modem / Internet hängt !
Die Accessliste lass aber drin im Router !!!
Änder sie bitte so ab:
access-list 111 permit udp any any eq bootps
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
Du siehst...im ersten Statement in der Liste aktivierst du nun DHCP so das DHCP Pakete vom Router davor auch durchkommen, dann klappts auch mt der IP Adressvergabe !!!
Wenns kneift bitte dann NUR ip access-group 111 in vom Fa0/1 Interface wegnehmen wie oben beschrieben, das deaktiviert die ACL auf dem Interface. Die ACL Definition selber kann bleiben, denn das ist nur das Regelwerk !!
Jetzt verstanden ???
Außerdem: Niemals Half Duplex an Ethernet Interfaces !! Das ist Ethernet Steinzeit ! Stell das auch wieder auf duplex full oder duplex-auto !!
Hier nochmal die ganze Konfig mit den Kommandos die fehlen für Dummies:
!
service timestamps log datetime localtime
!
hostname Network386
!
interface FastEthernet0/0
description Lokales Ethernet LAN
ip address 10.48.55.1 255.255.255.0
ip nat inside
speed auto
duplex-auto
!
interface FastEthernet0/1
description Internet Verbindung Kabel TV
ip address dhcp client-id FastEthernet0/1 hostname Router1841
ip access-group 111 in
ip inspect meinefw out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface ATM0/1/0
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 10.48.55.0 0.0.0.255
!
access-list 111 permit udp any any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit gre any any
!
Network386#
Mit der korrigierten ACL (...und bitte jetzt nicht wieder vergessen die abzutippen !!!) sollte es auch mit ACL jetzt sauber klappen !
So...und wehe dir du kommst jetzt wieder mit "es geht nicht..." oder sowas ?! face-smile
Member: TomCatShS
TomCatShS Apr 27, 2012 at 19:01:52 (UTC)
Goto Top
Danke für deine Config änderungen,

ABER leider muss ich dir sagen dann ich keine DHCP Adresse mehr bezogen bekomme ich kann mir auch nicht erklären warum plötzlich nicht .

Nun habe ich "no ip access-group 111 in" eingeben und es funktioniert wieder der DHCP client .

PS:

Kann es sein , wenn man "access-list 1 permit 10.48.58.0 0.0.0.255" eingibt ,dass die access-list 111 gelöscht wird?

Ich bin der Meinung das ich alles eingegeben habe , sonnst hätte ich ja nicht das Problem mit (log)...?
Member: aqui
aqui Apr 28, 2012 at 07:28:25 (UTC)
Goto Top
OK, kleine Änderung der ACL und addiere ein Statement. Bitte tippe die so ein:
!
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit gre any any
!
Am einfachsten geht das wenn du im config Mode sagst no access-list 111 die damit weglöschst und sie von oben dann mit cut and paste wieder einsetzt.
Mit wr sichern.
Und dann mal wieder testen mit ip access-group 111 in am Fa0/1 Interface ob DHCP nun klappt. Sollte eigentlich !!

Zu deiner Frage "Kann es sein , wenn man "access-list 1 permit 10.48.58.0 0.0.0.255" eingibt ,dass die access-list 111 gelöscht wird?"
A.: Nein, das ist Unsinn ! Du hast ja 200 einzelne Access Listen die sich anhand der Nummer unterscheiden. Jede einzelne ACL ist für sich relevant und wird ja auch so in der Konfig angezeigt wenn du mal show run eingibst !
Du solltest dann beide Regelwerke also einmal die ACL 1 und die ACL 111 sehen !
Was meinst du mit deiner Frage "sonnst hätte ich ja nicht das Problem mit (log)...?"
Das ist irgendwie unverständliches Kauderwelsch.... Funktioniert der Internet Zugang nun ??
Appropos, das DHCP Problem kannst du auch umgehen indem du dem Router eine statische IP vergibst auf dem Interface, dann ist der DHCP Spuk vorbei.
Ist so oder so sinnvoller da Router, Server, etc. immer statische IPs haben im Netz.
Allerdings musst du zwingend beachten das wenn der Cisco nacher hirekt am Kabel TV Modem hängt du DHCP wieder aktivieren musst, denn Kabel TV Provider vergeben ihre IPs per DHCP.
Daher sollte die ACL 111 auch laufen um den Router dann wasserdicht zu machen wenn du dort eine öffentliche Internet IP bekommst !!
Also check das nochmal so aus und gib ein Feedback hier.
Member: TomCatShS
TomCatShS Apr 28, 2012 at 09:11:17 (UTC)
Goto Top
Morgen,

DHCP beziehen funktioniert nun, aber leider komme ich immer noch nicht in Internet.

Ich habe Gestern Abend den cisco direkt ans Kabelmodem angeschlossen er beziehet auch eine Adresse aber leider will er auch da nicht online gehen .

Er kommt auch nicht ins Internet wenn ich " ip access-group 111 " im interface 0/1 entferne.

Und nochmal die Config

Network386#sh running-config
Building configuration...

Current configuration : 4252 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Network386
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$WyaR$u96aDEqJTEVbox/FQAwUu.
enable password "Geheim"  

no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.48.55.1 10.48.55.99
ip dhcp excluded-address 10.48.55.151 10.48.55.254
!
ip dhcp pool 1841-dhcp
   network 10.48.55.0 255.255.255.0
   default-router 10.48.55.1
   domain-name network386.intern
   dns-server 208.67.222.222 208.67.220.220
!
!
ip inspect name meinefw tcp
ip inspect name meinefw udp
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
ip domain name network386.intern
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip ddns update method dyndns
!
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-2715553889
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2715553889
 revocation-check none
 rsakeypair TP-self-signed-2715553889
!
!
crypto pki certificate chain TP-self-signed-2715553889
 certificate self-signed 01
  30820254 308201BD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32373135 35353338 3839301E 170D3132 30343235 32313439
  35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 37313535
  35333838 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100D00B D041E2EC F2B1F8C4 18A7C503 E9903568 5376C605 05879E46 E0391DC0
  85ED27F3 853143BD 2D365D1A 7BB4E478 6D5E5B47 0BE97830 93FDC6A8 E0A0A0D3
  40313254 EC096E4E 5EA5DF41 71C2BE7C 4CE70190 A3494FAA 1173688A 7FC62B9F
  871123FC 38363E5C 99E5718A 13D85830 19FD1317 266BDD03 21437EC5 98E4847E
  01F70203 010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603
  551D1104 20301E82 1C4E6574 776F726B 3338362E 6E657477 6F726B33 38362E69
  6E746572 6E301F06 03551D23 04183016 80148BCE 33D3CCAC FB73B010 9865251C
  8DBE64C6 C886301D 0603551D 0E041604 148BCE33 D3CCACFB 73B01098 65251C8D
  BE64C6C8 86300D06 092A8648 86F70D01 01040500 03818100 07A4CD03 7A158A8F
  E9EF602A A8E506EB FA20B706 0D973152 22A8151B 6A592EAD ED1C7684 B756A0FF
  46C68772 8B498DCD A47D230A C9960E5F 52AFF448 6A10399C 6B52DF40 9365900C
  3BB8AA0B 63F491B5 D270C313 B1BC743D 7BDD6E9D 7A3BB635 68204E81 0EFD056A
  C90CAF0B 0B087BC6 53CBF7A8 C6CA1309 ABB2408A 63772B72
        quit
!
!
username root privilege 15 password 0 "Geheim"  
archive
 log config
  hidekeys
!
!
controller DSL 0/0/0
 line-term cpe
!
!
!
!
interface FastEthernet0/0
 description Lokales Ethernet LAN
 ip address 10.48.55.1 255.255.255.0
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/1
 description Internet Verbindung Kabel TV
 ip address dhcp client-id FastEthernet0/1 hostname Router1841
 ip access-group 111 in
 ip inspect meinefw out
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 10.48.55.0 0.0.0.255
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit gre any any
snmp-server community read_me RO
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 password "Geheim"  
 login local
 transport input telnet ssh
!
scheduler allocate 20000 1000

!
webvpn cef
end
Member: aqui
aqui Apr 28, 2012 at 11:28:25 (UTC)
Goto Top
So..... die beiden Fehler gefunden, hatt ich aber im Konfig Stress übersehen !!
Da du ja DHCP machst auf dem Internet Interface bekommst du von dort auch immer eine Default Route !
Du darfst also keine statische Route mit einem festen Interface oder IP Next Hop zusätzlich konfigurieren, da es dann zu einer Race Kondition mit der DHCP Default Route kommt. Das war der Fehler, der sich auch im Testaufbau reproduzieren lässt !

Folgendes musst du ändern:
  • Default Route mit no ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent entfernen !
  • Neue Default Route ip route 0.0.0.0 0.0.0.0 dhcp konfigurieren !
Fertig !
Damit wird die Default Route vom DHCP Offer bestimmt und alles wird gut !

Einen weiteren Kardinalsfehler hast du wiederum in der neuen Konfig !!! Bitte Augen auf beim Abtippen...
Dort fehlt in der Fa0/0 Interface Konfig: ip nat inside !!!
Ohne das machst du KEIN NAT und es ist logisch das das nicht klappt !

Ein show ip route zeigt dir das korrekte Routing und show ip nat trans zeigt dir die laufende NAT Translation Tabelle zur Kontrolle.
Hier nochmals die Bereiche und Änderungen für dich zum Vergleichen !
!
interface FastEthernet0/0
description Lokales Ethernet LAN
ip address 10.48.55.1 255.255.255.0
ip nat inside
duplex auto
speed auto
no mop enabled
!
und...
!
ip route 0.0.0.0 0.0.0.0 dhcp
!
Check das bitte mal und korrigiere diese 2 Fehler. Eine Testkonfig renn damit (inklusive ACL 111 usw.) fehlerfrei hier !

Zur Erinnerung: Bei der PPTP VPN Konfig vpdn enable nicht vergessen vorweg bevor du die anderen Kommandos eintippst !
Member: TomCatShS
TomCatShS Apr 28, 2012 at 19:22:52 (UTC)
Goto Top
Abend,
so die Config funktioniert, er ist jetzt direkt hinterm Modem, mal sehen wie die Performens ist.

PPTP habe ich nocht nicht aktiviert da dieser ja als Client laufen muss und ich denke deine befehle oben bezogen sich auf die Server Installation , richtig ?

DynDNS muss ich mir noch einmal anschauen der hatte Probleme mit meinem Hostname von dyndns.org , bin jetzt erst einmal froh das er soweit rennt.

Ich habe noch eine Anleitung zu sperren von Internet Seiten gefunden, dass muss ich mir dann als nächsten anschauen.

gibt es sonnst noch Möglichkeiten die ich aktivieren sollte ?


Um Angriffe zu erkennen muss ich das eingeben ?

access-list 111 deny ip any any (log)

oder

access-list 111 deny ip any any log

bei (log) kommt ein Syntax Fehler und bei log funktioniert der DHCP nicht mehr.

Ich Danke dir dann noch einmal für deine Hilfe.!!!
Member: aqui
aqui Apr 29, 2012 at 10:38:15 (UTC)
Goto Top
Ja, natürlich gibt man das "log" Kommando ohne die "()" ein !
Log steht für logging ind damit kann man alle Angriffe bzw. Verbindungsversuche von außen auf den Router mitprotokollieren !
Ist mal interessant zu sehen was da so abgeht.... Wenns nervt weil das Log dann ewig voll ist lässt man es einfach wieder weg.
Denk dran das das eny any any Stantement immer am Ende der ACL stehen muss ! Reihenfolge zählt hier also !

Und, ja die PPTP Konfig ist nur der Server. Der Cisco kann nicht als PPTP Client arbeiten ! Da brauchst du dann doch wieder dein Alix mit der pfSense, der kann das problemlos !
Member: TomCatShS
TomCatShS May 01, 2012 at 18:07:05 (UTC)
Goto Top
Abend ich muss das Thema Bandbreite leider noch einmal aufgreifen.

Ich habe mit Unitymedia Telefoniert, dort teilte man mir mit das man für eine 100Mibit Internetleitung auch eine 1Gbit fähige Netzwerkkarte bzw eine 1Gbit fähige Netzwerk Infrastruktur Bereitstellen muß.

Ich habe über dieser Seite Gemessen: "http://speedtest-1.unitymedia.de/"


Direkt das Notebook am Modem ergibt """86 MBits"""
Netgear Router "84 Mbits"
Cisco Router "56 Mbits"

Im Upload sind alle bei 5,98Mbits

Lauf diversen Foren Einträgen Schaft eine 100Mbit Netzwerkarte netto 70Mbit

was sagst du dazu ?

Ich würde gerne den Cisco als Router weiter benutzen aber wenn er nicht die Leistung bringt ist es schade.


Der Alix 2d13 mit pfsense schaft Netto LAN -> WAN 63Mbits


MfG
Member: aqui
aqui May 02, 2012 at 17:30:57 (UTC)
Goto Top
Nimm den Cisco und schliess auf beiden Seiten ein Laptop / Rechner an mit NetIO und mach einen Durchsatztest:
http://www.nwlab.net/art/netio/netio.html
So hast du wirklich verlässliche Daten was den Paket Durchsatz anbetrifft. Das solltest du einmal mit NAT und ohne Testen.
Was der Provider sagt ist ja Unsinn, das zeigen ja auch deinen Tests.
Die Frage ist letztlich was der interne Prozessor des Router schafft im Paket Forwarding mit und ohne NAT (NAT kostet mehr Performance)
Du solltest bei deinem Router darauf achten das dort IP Cef aktiviert ist (Express Forwarding).
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_tech_no ...
GermanQuestionRouters, RoutingNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment