Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco 2800 als gateway

Frage Netzwerke Router & Routing

Mitglied: michael5612

michael5612 (Level 1) - Jetzt verbinden

01.12.2008, aktualisiert 08.12.2008, 7539 Aufrufe, 8 Kommentare

Hallo,

in einem Netzwerk gibt es einen Router des Providers, der mir drei öffentliche IPs zur Verfügung stellt.
Nun soll der Cisco als Gateway dienen (und in weiterer Folge auch SSL-VPN ermöglichen, das aber nebenbei und vorallem später).

Ich habe es schon geschafft den Cisco so weit zu konfigurieren, dass ich von diesem aus sowohl in das LAN als auch ins Internet pingen kann. Ein Client, welcher den Router als Gateway eingetragen hat, bekommt allerdings keine Verbindung zum Internet.

Laut den Angaben meines Kollegen sollte das so funktionieren, hier mal die Konfiguration:
(123.123.123.x sind Dummys, FE0/1 ist mit dem WAN verbunden, FE0/0 LAN)

--
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gateway
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *
enable password *
!
no aaa new-model
!
ip cef
!
ip name-server 195.3.96.67
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
archive
log config
hidekeys
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.123.15 255.255.255.0
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 123.123.123.124 255.255.255.248
duplex auto
speed auto
!
ip default-gateway 123.123.123.123
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password *
login
!
scheduler allocate 20000 1000
end
--

Ich hatte es auch schon mit 'ip route 0.0.0.0 0.0.0.0 123.123.123.123' versucht, erfolglos.
Falls noch weitere Infos benötigt werden, einfach schreiben.
Ich hoffe jemand kann mir helfen ;)
Mitglied: spacyfreak
02.12.2008 um 05:26 Uhr
Wie wäre es mit NAT bzw. PAT?
Die privaten IP-Adressen des Intranets können im Internet ja nicht geroutet werden, also musst du NAT (oder besser gesagt Overload bzw. PAT) konfigurieren damit die ausgehenden IP-Pakete als Quell-IP keine private IP haben sondern deine öffentliche.
Die Clients schicken zwar auch ohne PAT Pakete raus aufgrund der Ziel-IP - doch wie soll da je eine Antwort zurückkommen wenn keiner im Internet weiss wie er zu Deinem privaten Netz routen soll?
Die Quell-IP in den Paketen muss daher eine öffentliche IP sein, also eine der IPs die du vom ISP bekommen hast, dann finden Antwortpakete auch den Weg back Home.

router(config)#access-list 100 permit 192.168.123.0 0.0.0.255
router(config)#ip nat inside source list 100 interface FastEthernet1 overload
router(config)#interface fa0/0
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface fa0/1
router(config-if)#ip nat outside
router(config-if)#no shut
router(config-if)#end
router#copy run start

Die Default Route auf dem Router bestimmt wohin die Pakete gehen für die keine explizite Route besteht.
Das sollte der "next Hop" sein, bzw. die IP-Adresse am "anderen Ende der WAN Seite". Alternativ "könnte" auch deine Konfiguration funktionieren indem du das lokale Interface der WAN Schnittstelle angibst.
Falls nicht dann probier es mit der "next Hop IP-Adresse".#

Ausserdem wäre es kein Fehler den Router bisschen abzusichern.

username admin privilege 15 password 0 pa55w0rd

line vty 0 15
login
login local
Bitte warten ..
Mitglied: aqui
02.12.2008 um 17:43 Uhr
Nimmt man das alles zusammen sähe eine einigermaßen sauber funktionierende Konfig für dich so aus:


service timestamps debug datetime msec
service timestamps log datetime localtime
!
hostname gateway
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
logging buffered
!
ip name-server 195.3.96.67
!
interface FastEthernet0/0
description Lokales LAN
ip address 192.168.123.254 255.255.255.0
(Router IP besser ganz oben oder unten im IP Bereich !!!)
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
description Link zum Provider
ip address 123.123.123.124 255.255.255.248
ip nat outside
ip access-group noaccess in
(Kein Ping und Telnet von aussen möglich !!)
no cdp enable
(Damit nicht jeder gleich deinen Cisco sieht im Internet !!)
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <ip_adresse_ProviderRouter>
!
ip nat inside source list 101 interface Fa0/1 overload
!
access-list 101 permit ip 192.168.123.0 0.0.0.255 any
!
ip access-list extended noaccess
deny tcp any host 123.123.123.124 eq telnet
deny icmp any host 123.123.123.124 echo
permit ip any any
(Kein Ping und Telnet von aussen möglich !!)
!
no ip http server
(Damit keiner im Internet auf dem Router rumfummelt !!)
no ip http secure-server
(ebenso..)
!
ip sntp server ptbtime2.ptb.de
(Damit die Uhrzeit im Logg stimmt !!)


Wenn der Router auch noch DHCP machen soll (Bereich .1 bis .149) für die LAN Clients dann kommt noch dies dazu:

ip dhcp pool 0
network 192.168.123.0 255.255.255.0
default-router 192.168.123.254
dns-server 195.3.96.67

ip dhcp excluded-address 192.168.123.150 192.168.123.254


Denk dran das der Cisco kein DNS Proxy macht. Du musst also einen internen DNS Server mit weiterleitung oder den DNS des Providers auf den Endgeräten konfigurieren !!
Bitte warten ..
Mitglied: sysad
03.12.2008 um 00:40 Uhr
Zitat von aqui:
@aqui:

wieso das?

(Router IP besser ganz oben oder unten im IP Bereich !!!)

Danke!
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:22 Uhr
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und nicht zwingend...und es funktioniert mit jeglicher IP in einem Segment.
Bitte warten ..
Mitglied: michael5612
03.12.2008 um 21:20 Uhr
Hallo,

danke an alle für die Antworten, wird mir mit Sicherheit weiter helfen.
Ausprobieren kann ich es leider erst nach Weihnachten (Gott seis gedankt - ich habe Urlaub).

Der Router ist natürlich mit Passwörtern gesichert, ich habe diese nur für den Post im Forum entfernt.

Gruß
Michael
Bitte warten ..
Mitglied: sysad
03.12.2008 um 22:17 Uhr
Zitat von aqui:
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei
der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und
nicht zwingend...und es funktioniert mit jeglicher IP in einem
Segment.

Schon gut, gute Optik ist ja heutzutage oft das ausschlaggebende Kriterium...

Bitte warten ..
Mitglied: aqui
08.12.2008 um 09:42 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: michael5612
30.12.2008 um 10:16 Uhr
Besten Dank an alle für die Hilfe, funktioniert alles Bestens!
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst 2 URLs über Gateway 1, Rest über Gateway 2 (4)

Frage von Funky86 zum Thema Netzwerkmanagement ...

Switche und Hubs
Cisco SG200-8 Hardwaredefekt - Garantieleistungen direkt über Cisco ? (1)

Frage von IT-Alexander zum Thema Switche und Hubs ...

Netzwerkgrundlagen
gelöst Cisco SG300 mit VLANs und Fritzbox (8)

Frage von vinzgreg zum Thema Netzwerkgrundlagen ...

Router & Routing
VPN Verbindung einrichten mit Cisco RV320

Frage von Niklass zum Thema Router & Routing ...

Neue Wissensbeiträge
Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(9)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Sicherheit

Eventuell neue Lücke in Intels ME

Information von sabines zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Humor (lol)
Freidach Beitrag (25)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Windows 7
SSD - Win7 Lags (18)

Frage von ph5555 zum Thema Windows 7 ...

Humor (lol)
Wo ist der Fehler auf dem Bild? (17)

Information von the-buccaneer zum Thema Humor (lol) ...