Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco 2800 als gateway

Frage Netzwerke Router & Routing

Mitglied: michael5612

michael5612 (Level 1) - Jetzt verbinden

01.12.2008, aktualisiert 08.12.2008, 7486 Aufrufe, 8 Kommentare

Hallo,

in einem Netzwerk gibt es einen Router des Providers, der mir drei öffentliche IPs zur Verfügung stellt.
Nun soll der Cisco als Gateway dienen (und in weiterer Folge auch SSL-VPN ermöglichen, das aber nebenbei und vorallem später).

Ich habe es schon geschafft den Cisco so weit zu konfigurieren, dass ich von diesem aus sowohl in das LAN als auch ins Internet pingen kann. Ein Client, welcher den Router als Gateway eingetragen hat, bekommt allerdings keine Verbindung zum Internet.

Laut den Angaben meines Kollegen sollte das so funktionieren, hier mal die Konfiguration:
(123.123.123.x sind Dummys, FE0/1 ist mit dem WAN verbunden, FE0/0 LAN)

--
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gateway
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *
enable password *
!
no aaa new-model
!
ip cef
!
ip name-server 195.3.96.67
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
archive
log config
hidekeys
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.123.15 255.255.255.0
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 123.123.123.124 255.255.255.248
duplex auto
speed auto
!
ip default-gateway 123.123.123.123
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password *
login
!
scheduler allocate 20000 1000
end
--

Ich hatte es auch schon mit 'ip route 0.0.0.0 0.0.0.0 123.123.123.123' versucht, erfolglos.
Falls noch weitere Infos benötigt werden, einfach schreiben.
Ich hoffe jemand kann mir helfen ;)
Mitglied: spacyfreak
02.12.2008 um 05:26 Uhr
Wie wäre es mit NAT bzw. PAT?
Die privaten IP-Adressen des Intranets können im Internet ja nicht geroutet werden, also musst du NAT (oder besser gesagt Overload bzw. PAT) konfigurieren damit die ausgehenden IP-Pakete als Quell-IP keine private IP haben sondern deine öffentliche.
Die Clients schicken zwar auch ohne PAT Pakete raus aufgrund der Ziel-IP - doch wie soll da je eine Antwort zurückkommen wenn keiner im Internet weiss wie er zu Deinem privaten Netz routen soll?
Die Quell-IP in den Paketen muss daher eine öffentliche IP sein, also eine der IPs die du vom ISP bekommen hast, dann finden Antwortpakete auch den Weg back Home.

router(config)#access-list 100 permit 192.168.123.0 0.0.0.255
router(config)#ip nat inside source list 100 interface FastEthernet1 overload
router(config)#interface fa0/0
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface fa0/1
router(config-if)#ip nat outside
router(config-if)#no shut
router(config-if)#end
router#copy run start

Die Default Route auf dem Router bestimmt wohin die Pakete gehen für die keine explizite Route besteht.
Das sollte der "next Hop" sein, bzw. die IP-Adresse am "anderen Ende der WAN Seite". Alternativ "könnte" auch deine Konfiguration funktionieren indem du das lokale Interface der WAN Schnittstelle angibst.
Falls nicht dann probier es mit der "next Hop IP-Adresse".#

Ausserdem wäre es kein Fehler den Router bisschen abzusichern.

username admin privilege 15 password 0 pa55w0rd

line vty 0 15
login
login local
Bitte warten ..
Mitglied: aqui
02.12.2008 um 17:43 Uhr
Nimmt man das alles zusammen sähe eine einigermaßen sauber funktionierende Konfig für dich so aus:


service timestamps debug datetime msec
service timestamps log datetime localtime
!
hostname gateway
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
logging buffered
!
ip name-server 195.3.96.67
!
interface FastEthernet0/0
description Lokales LAN
ip address 192.168.123.254 255.255.255.0
(Router IP besser ganz oben oder unten im IP Bereich !!!)
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
description Link zum Provider
ip address 123.123.123.124 255.255.255.248
ip nat outside
ip access-group noaccess in
(Kein Ping und Telnet von aussen möglich !!)
no cdp enable
(Damit nicht jeder gleich deinen Cisco sieht im Internet !!)
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <ip_adresse_ProviderRouter>
!
ip nat inside source list 101 interface Fa0/1 overload
!
access-list 101 permit ip 192.168.123.0 0.0.0.255 any
!
ip access-list extended noaccess
deny tcp any host 123.123.123.124 eq telnet
deny icmp any host 123.123.123.124 echo
permit ip any any
(Kein Ping und Telnet von aussen möglich !!)
!
no ip http server
(Damit keiner im Internet auf dem Router rumfummelt !!)
no ip http secure-server
(ebenso..)
!
ip sntp server ptbtime2.ptb.de
(Damit die Uhrzeit im Logg stimmt !!)


Wenn der Router auch noch DHCP machen soll (Bereich .1 bis .149) für die LAN Clients dann kommt noch dies dazu:

ip dhcp pool 0
network 192.168.123.0 255.255.255.0
default-router 192.168.123.254
dns-server 195.3.96.67

ip dhcp excluded-address 192.168.123.150 192.168.123.254


Denk dran das der Cisco kein DNS Proxy macht. Du musst also einen internen DNS Server mit weiterleitung oder den DNS des Providers auf den Endgeräten konfigurieren !!
Bitte warten ..
Mitglied: sysad
03.12.2008 um 00:40 Uhr
Zitat von aqui:
@aqui:

wieso das?

(Router IP besser ganz oben oder unten im IP Bereich !!!)

Danke!
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:22 Uhr
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und nicht zwingend...und es funktioniert mit jeglicher IP in einem Segment.
Bitte warten ..
Mitglied: michael5612
03.12.2008 um 21:20 Uhr
Hallo,

danke an alle für die Antworten, wird mir mit Sicherheit weiter helfen.
Ausprobieren kann ich es leider erst nach Weihnachten (Gott seis gedankt - ich habe Urlaub).

Der Router ist natürlich mit Passwörtern gesichert, ich habe diese nur für den Post im Forum entfernt.

Gruß
Michael
Bitte warten ..
Mitglied: sysad
03.12.2008 um 22:17 Uhr
Zitat von aqui:
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei
der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und
nicht zwingend...und es funktioniert mit jeglicher IP in einem
Segment.

Schon gut, gute Optik ist ja heutzutage oft das ausschlaggebende Kriterium...

Bitte warten ..
Mitglied: aqui
08.12.2008 um 09:42 Uhr
Wenns das jetzt war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: michael5612
30.12.2008 um 10:16 Uhr
Besten Dank an alle für die Hilfe, funktioniert alles Bestens!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
VLAN Mikrotik keine Verbindung zum Gateway Cisco Switch (16)

Frage von Joshua2go zum Thema LAN, WAN, Wireless ...

Router & Routing
OpenConnect Hardware Gateway (Cisco ASA Router) (1)

Frage von K-ist-K zum Thema Router & Routing ...

Internet
Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway (3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (29)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...