Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Cisco 2800 als gateway

Mitglied: michael5612

michael5612 (Level 1) - Jetzt verbinden

01.12.2008, aktualisiert 08.12.2008, 7562 Aufrufe, 8 Kommentare

Hallo,

in einem Netzwerk gibt es einen Router des Providers, der mir drei öffentliche IPs zur Verfügung stellt.
Nun soll der Cisco als Gateway dienen (und in weiterer Folge auch SSL-VPN ermöglichen, das aber nebenbei und vorallem später).

Ich habe es schon geschafft den Cisco so weit zu konfigurieren, dass ich von diesem aus sowohl in das LAN als auch ins Internet pingen kann. Ein Client, welcher den Router als Gateway eingetragen hat, bekommt allerdings keine Verbindung zum Internet.

Laut den Angaben meines Kollegen sollte das so funktionieren, hier mal die Konfiguration:
(123.123.123.x sind Dummys, FE0/1 ist mit dem WAN verbunden, FE0/0 LAN)

--
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gateway
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *
enable password *
!
no aaa new-model
!
ip cef
!
ip name-server 195.3.96.67
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
archive
log config
hidekeys
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.123.15 255.255.255.0
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 123.123.123.124 255.255.255.248
duplex auto
speed auto
!
ip default-gateway 123.123.123.123
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password *
login
!
scheduler allocate 20000 1000
end
--

Ich hatte es auch schon mit 'ip route 0.0.0.0 0.0.0.0 123.123.123.123' versucht, erfolglos.
Falls noch weitere Infos benötigt werden, einfach schreiben.
Ich hoffe jemand kann mir helfen ;)
Mitglied: spacyfreak
02.12.2008 um 05:26 Uhr
Wie wäre es mit NAT bzw. PAT?
Die privaten IP-Adressen des Intranets können im Internet ja nicht geroutet werden, also musst du NAT (oder besser gesagt Overload bzw. PAT) konfigurieren damit die ausgehenden IP-Pakete als Quell-IP keine private IP haben sondern deine öffentliche.
Die Clients schicken zwar auch ohne PAT Pakete raus aufgrund der Ziel-IP - doch wie soll da je eine Antwort zurückkommen wenn keiner im Internet weiss wie er zu Deinem privaten Netz routen soll?
Die Quell-IP in den Paketen muss daher eine öffentliche IP sein, also eine der IPs die du vom ISP bekommen hast, dann finden Antwortpakete auch den Weg back Home.

router(config)#access-list 100 permit 192.168.123.0 0.0.0.255
router(config)#ip nat inside source list 100 interface FastEthernet1 overload
router(config)#interface fa0/0
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface fa0/1
router(config-if)#ip nat outside
router(config-if)#no shut
router(config-if)#end
router#copy run start

Die Default Route auf dem Router bestimmt wohin die Pakete gehen für die keine explizite Route besteht.
Das sollte der "next Hop" sein, bzw. die IP-Adresse am "anderen Ende der WAN Seite". Alternativ "könnte" auch deine Konfiguration funktionieren indem du das lokale Interface der WAN Schnittstelle angibst.
Falls nicht dann probier es mit der "next Hop IP-Adresse".#

Ausserdem wäre es kein Fehler den Router bisschen abzusichern.

username admin privilege 15 password 0 pa55w0rd

line vty 0 15
login
login local
Bitte warten ..
Mitglied: aqui
02.12.2008 um 17:43 Uhr
Nimmt man das alles zusammen sähe eine einigermaßen sauber funktionierende Konfig für dich so aus:


service timestamps debug datetime msec
service timestamps log datetime localtime
!
hostname gateway
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
logging buffered
!
ip name-server 195.3.96.67
!
interface FastEthernet0/0
description Lokales LAN
ip address 192.168.123.254 255.255.255.0
(Router IP besser ganz oben oder unten im IP Bereich !!!)
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
description Link zum Provider
ip address 123.123.123.124 255.255.255.248
ip nat outside
ip access-group noaccess in
(Kein Ping und Telnet von aussen möglich !!)
no cdp enable
(Damit nicht jeder gleich deinen Cisco sieht im Internet !!)
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <ip_adresse_ProviderRouter>
!
ip nat inside source list 101 interface Fa0/1 overload
!
access-list 101 permit ip 192.168.123.0 0.0.0.255 any
!
ip access-list extended noaccess
deny tcp any host 123.123.123.124 eq telnet
deny icmp any host 123.123.123.124 echo
permit ip any any
(Kein Ping und Telnet von aussen möglich !!)
!
no ip http server
(Damit keiner im Internet auf dem Router rumfummelt !!)
no ip http secure-server
(ebenso..)
!
ip sntp server ptbtime2.ptb.de
(Damit die Uhrzeit im Logg stimmt !!)


Wenn der Router auch noch DHCP machen soll (Bereich .1 bis .149) für die LAN Clients dann kommt noch dies dazu:

ip dhcp pool 0
network 192.168.123.0 255.255.255.0
default-router 192.168.123.254
dns-server 195.3.96.67

ip dhcp excluded-address 192.168.123.150 192.168.123.254


Denk dran das der Cisco kein DNS Proxy macht. Du musst also einen internen DNS Server mit weiterleitung oder den DNS des Providers auf den Endgeräten konfigurieren !!
Bitte warten ..
Mitglied: sysad
03.12.2008 um 00:40 Uhr
Zitat von aqui:
@aqui:

wieso das?

(Router IP besser ganz oben oder unten im IP Bereich !!!)

Danke!
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:22 Uhr
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und nicht zwingend...und es funktioniert mit jeglicher IP in einem Segment.
Bitte warten ..
Mitglied: michael5612
03.12.2008 um 21:20 Uhr
Hallo,

danke an alle für die Antworten, wird mir mit Sicherheit weiter helfen.
Ausprobieren kann ich es leider erst nach Weihnachten (Gott seis gedankt - ich habe Urlaub).

Der Router ist natürlich mit Passwörtern gesichert, ich habe diese nur für den Post im Forum entfernt.

Gruß
Michael
Bitte warten ..
Mitglied: sysad
03.12.2008 um 22:17 Uhr
Zitat von aqui:
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei
der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und
nicht zwingend...und es funktioniert mit jeglicher IP in einem
Segment.

Schon gut, gute Optik ist ja heutzutage oft das ausschlaggebende Kriterium...

Bitte warten ..
Mitglied: aqui
08.12.2008 um 09:42 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: michael5612
30.12.2008 um 10:16 Uhr
Besten Dank an alle für die Hilfe, funktioniert alles Bestens!
Bitte warten ..
Ähnliche Inhalte
ISDN & Analoganschlüsse
Cisco 2600 als Media Gateway
Frage von Herbrich19ISDN & Analoganschlüsse3 Kommentare

Hallo, Ich würde gerne mit denn OCS2007 / Lync 2010 VoIP einrichten. Es handelt sich nur um Testversionen. Ich ...

Router & Routing
OpenConnect Hardware Gateway (Cisco ASA Router)
Frage von K-ist-KRouter & Routing1 Kommentar

Hallo, wir haben seit neuem einen Home Office Mitarbeiter, der zu 95% von zuhause arbeitet. Diese Person kommt nur ...

LAN, WAN, Wireless
VLAN Mikrotik keine Verbindung zum Gateway Cisco Switch
Frage von Joshua2goLAN, WAN, Wireless16 Kommentare

Hallo, ich habe folgendes Problem: Ich habe auf dem Mikrotik 2 VLAN erstellt. Diese VLAN haben Verbindung zu 2 ...

Router & Routing
Default-Gateway und policy-based-routing PBR auf Cisco Switch
gelöst Frage von panguuRouter & Routing17 Kommentare

Hallo und ein frohes neues Jahr nachträglich wünsche ich Allen, meine Umstrukturierung der Netzwerkstruktur beinhaltet auch die Einführung VLANs ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...