pharit
Goto Top

Cisco hinter Fritz!box, vom VLAN kein Internet

Hey ich habe das ganze jetzt so aufgesetzt (scheinbar musste ich für die Layer3 IP Vergabe das VLAN für den Port 0 aufsetzen). Allerdings komme ich per LAN nicht ins Internet raus.

Könnte jemand vielleicht kurz einen Blick darauf werfen?

Ich nutze GigabitEthernet8 als DHCP Client vorgesehen an meiner Fritz!box und GigabitEthernet0 sollte testweise mein Notebook per LAN daran. Der Router kann zu Google pingen, mein Laptop nicht. Als ersten Hop nach draußen habe ich die Fritz!box. Passt zumindest das?

version 15.5
no parser cache
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5xxx
!
no aaa new-model
ethernet lmi ce
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
 import all
 network 10.10.10.0 255.255.255.0
 default-router 10.10.10.1
 dns-server 192.168.178.1
!
!
!
ip name-server 192.168.178.1
ip cef
no ipv6 cef
!
!
flow record nbar-appmon
 match ipv4 source address
 match ipv4 destination address
 match application name
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp absolute first
 collect timestamp absolute last
!
!
flow monitor application-mon
 cache timeout active 60
 record nbar-appmon
!
!
!
!
!
multilink bundle-name authenticated
!
license udi pid C891F-K9 sn FCZ202093U7
!
!
object-group network local_cws_net
!
object-group network local_lan_subnets
 any
!
object-group network vpn_remote_subnets
 any
!
username Cisco privilege 15 password 7 xxxx
!
!
!
zone security LAN
zone security WAN
zone security VPN
zone security DMZ
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet0
 no ip address
 no cdp enable
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description PrimaryWANDesc_
 ip address dhcp
 duplex auto
 speed auto
!
interface Vlan1
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address
 encapsulation slip
 shutdown
!
ip forward-protocol nd
ip http server
no ip http secure-server
!
!
ip nat inside source list nat-list interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.178.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet8
ip route 0.0.0.0 0.0.0.0 Vlan1
!
ip access-list extended nat-list
 permit ip object-group local_lan_subnets any
!
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 exec-timeout 30 0
 login local
 length 0
 transport input none
!
scheduler max-task-time 5000
scheduler allocate 20000 1000

Content-Key: 312743

Url: https://administrator.de/contentid/312743

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: aqui
Lösung aqui 16.08.2016 aktualisiert um 14:30:03 Uhr
Goto Top
für die Layer3 IP Vergabe das VLAN für den Port 0 aufsetzen
Bahnhof ?? Ägypten ??
Was ist Port 0 ??
Ich nutze GigabitEthernet8 als DHCP Client vorgesehen
Tödlich ! Ein Router sollte niemals dynamische IP Adressen bekommen !
Als ersten Hop nach draußen habe ich die Fritz!box. Passt zumindest das?
Klingt erstmal richtig !
Bitte halte dich an dieses Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort findest du eine laufende Konfig an der du dich orientieren kannst !
(Zitat)
Ganz wichtig ist hier auch DHCP !
Wer das WAN Interface statt mit PPPoE wie bei xDSL hier als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang, usw. muss hier auch DHCP erlauben in der WAN Accessliste, ansonsten bezieht der Port keine IP Adresse:
access-list 111 permit udp any eq bootps any


Bedenke das die Gigabit Interfaces Teil eines Switches sind !!! Es sind also OHNE entsprechende Konfig keine dedizierten Interfaces !!!
Im Default sind alle Switchports aus Layer 2 Sicht auf das VLAN 1 gebunden und damit zu dem korrespondierenden Interface vlan 1.
Willst du weitere separate Ports darauf legen, dann musst du ein weiteres VLAN erzeugen. z.B.
(config)#vlan 10
(config)#name VLAN-10

einen (oder mehrere) der Switchports dieses VLAN zuweisen:
(config)#int gigabit 2
(config)#switchport access vlan 10

und ein dazu korrespondierendes vlan Interface:
(config)#interface vlan 10
(config)#ip address 10.1.1.254 255.255.255.0
(config)#ip nat xyz...

Das erstmal zu den Grundlagen der Ports.

Was den Koppelport zur Fritzbox anbetrifft hast du mehrere gravierende Fehler gemacht. Zuallererst solltest du mal klären ob du mit oder ohne NAT (IP Adress Translation) auf die FB gehen willst. Einmal routest du dann transparent, einmal (ohne NAT) dann nur in einer Richtung wegen der NAT Firewall.
2 der 3 statischen Routen sind ziemlicher Blödsinn und solltest du dringend entfernen !
Hier hast du beide Optionen mal als Grundkonfig:
1.) Konfig Option ohne NAT:
!
service timestamps debug datetime localtime
service timestamps log datetime localtime
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Router
!
ip dhcp excluded-address 10.10.10.1 10.10.10.100
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp binding cleanup interval 600
ip dhcp pool lokaleslan
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 192.168.178.1
domain-name pharit.intern
!
ip name-server 192.168.178.1
!
interface GigabitEthernet0
no ip address
no cdp enable
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
description WAN Port zur FritzBox
ip address dhcp <<<--- Nicht gut !!!
(ip address 192.168.178.254 255.255.255.0)
duplex auto
speed auto
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip virtual-reassembly in
!
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip dns server


ACHTUNG: Ohne NAT ist zwingend eine statische Route:
Zielnetz 10.10.10.0, Maske: 255.255.255.0, Gateway: 192.168.178.x (.254)
in der FritzBox zu konfigurieren !!!
Und jetzt siehst du auch warum es unsinnig ist dem Router eine dynmaische IP zu geben, denn die WAN Port IP ist damit variabel und birgt dann die Gefahr das diese Route ins Nirwana geht sollte sich die IP durch DHCP mal ändern. Deshalb oben in der Konfig optional als Beispiel die .254 als WAN Port IP !
Wenn du DHCP behalten willst kannst du über die Mac Adresse das Cisco WAN Ports die .254 auch immer fest durch die FB vergeben lassen. Das wäre dann eine sinnvolle Option mit DHCP, da die IP durch das Mac Nailing in der FB immer konstant bleibt face-wink

2.) Konfig Option mit NAT zur FB:

!
service timestamps debug datetime localtime
service timestamps log datetime localtime
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Router
!
ip dhcp excluded-address 10.10.10.1 10.10.10.100
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
ip dhcp binding cleanup interval 600
ip dhcp pool lokaleslan
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 192.168.178.1
domain-name pharit.intern
!
ip name-server 192.168.178.1
!
interface GigabitEthernet0
no ip address
no cdp enable
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
description WAN Port zur FritzBox
ip address dhcp <<<--- Nicht gut !!!
(ip address 192.168.178.254 255.255.255.0)
ip nat outside
duplex auto
speed auto
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip nat inside source list 102 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.178.1
!
ip dns server
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
!

Eine Route in der FB ist hier mit dieser NAT Variante nicht erforderlich. Allerdings kannst du dann auch nicht vom WAN Netz ins lokale LAN am Cisco routen durch die NAT Firewall. Ohne NAT wäre das möglich.
Damit hast du 2 lauffähige Optionen !!

Fürs weitere Troublesshooting wäre ein
show ip int brief
show vlan

sehr hilfreich !

Halte dich wie bereits gesagt an das o.a. Cisco Tutorial !
Mitglied: PharIT
PharIT 17.08.2016 um 14:45:13 Uhr
Goto Top
Nach viel Lektüre und dem Studium Deines Beitrags, habe ich es endlich geschafft!

Tausend Dank aqui, für Deine wie so oft ins schwarze treffende Antwort!

Viele Grüße,

PharIT
Mitglied: aqui
aqui 18.08.2016 um 09:42:13 Uhr
Goto Top
Immer gerne wieder... face-smile
Mitglied: IT-Service.sb
IT-Service.sb 24.12.2022, aktualisiert am 25.12.2022 um 15:46:41 Uhr
Goto Top
habe Probleme mit der Namens Auflösung


anbei die Startup-config
C891F>en
Password:
C891F#sh startup-config
Using 2686 out of 262136 bytes
!
version 15.3
service config
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
!
hostname C891F
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$qEv0$iPYkwR8/YlGfmjkx9Bnfa1
enable password xxxxxx
!
no aaa new-model
no process cpu extended history
no process cpu autoprofile hog
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!


!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.0.1 192.168.0.100
ip dhcp excluded-address 192.168.0.150 192.168.0.254
!
ip dhcp pool Home
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 182.168.1.1
!
!
!
ip name-server 192.168.1.1
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C891F-K9 sn FCZ195095ZD
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
 no cdp enable
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0
 description LAN
 no ip address
 no cdp enable
!
interface GigabitEthernet1
 no ip address
 no cdp enable
!
interface GigabitEthernet2
 no ip address
 no cdp enable
!
interface GigabitEthernet3
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 no cdp enable
!
interface GigabitEthernet5
 no ip address
 no cdp enable
!
interface GigabitEthernet6
 no ip address
 no cdp enable
!
interface GigabitEthernet7
 no ip address
 no cdp enable
!
interface GigabitEthernet8
 ip address 192.168.1.76 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address

 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 182.168.1.1
!
!
!
ip name-server 192.168.1.1
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C891F-K9 sn FCZ195095ZD
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
 no cdp enable
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0
 description LAN
 no ip address
 no cdp enable
!
interface GigabitEthernet1
 no ip address
 no cdp enable
!
interface GigabitEthernet2
 no ip address
 no cdp enable
!
interface GigabitEthernet3
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 no cdp enable
!
interface GigabitEthernet5
 no ip address
 no cdp enable
!
interface GigabitEthernet6
 no ip address
 no cdp enable
!
interface GigabitEthernet7
 no ip address
 no cdp enable
!
interface GigabitEthernet8
 ip address 192.168.1.76 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address
 encapsulation slip
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip nat inside source list 1 interface GigabitEthernet8 overload<-- wie bekomme ich das wg?
ip nat inside source list 102 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.0.0
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
no service-routing capabilities-manager
no cdp run
!
access-list 1 permit 192.168.0.0 0.0.0.255
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
line con 0
 exec-timeout 0 0
 no modem enable
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 password xxxxxxx
 login
 transport input all
!
scheduler allocate 20000 1000
!
end

C891F#


Des weiteren wie bekomme ich folgende Fehlermeldung weg (*Dec 24 00:50:40: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (tftp://255.255.255.255/network-confg) failed)
Mitglied: aqui
aqui 24.12.2022 aktualisiert um 10:59:16 Uhr
Goto Top
habe Probleme mit der Namens Auflösung
Das verwundert auch wenig...

Du gibst deinen globalen Name Server mit ip name-server 192.168.1.1 an was per se erstmal richtig ist! (Sofern sich dahinter wirklich ein (lokaler) DNS Server befindet?!)
Am Async Interface wird daraus dann aber plötzlich dns-server 182.168.1.1 was so natürlich dann nicht klappen kann.
Der Router ist außerdem selber kein DNS Proxy Server (ip dns server Kommando fehlt) was aber ja durchaus gewollt sein kann und der Konfig keine Abbruch tut.
Man muss aber dann bedenken das der Router selber dann keine DNS Anfragen von Clients an ihn beantwortet.

Weitere Fehler in deiner Konfig:
Kardinalsfehler ist das dein Async3 Interface (SLIP) im gleichen IP Netz liegt wie dein lokales LAN (vlan1 Interface). Auch als Laie und zu Weihnachten 🎄 weiss man das IP Adressen immer einzigartig sein müssen im IP Netz sonst scheitert die Wegefindung.
ip route 0.0.0.0 0.0.0.0 192.168.0.0
Diese statische Default Route ist Quatsch, denn als Gateway ist wiederum ein Netz angegeben. Diesen Fauxpas solltest du also dringenst wieder entfernen! (NO davor ist dein Freund! 😉)
<-- wie bekomme ich das weg?
Indem du no ip nat inside source list 1 interface GigabitEthernet8 overload eingibst und das Kommando neu erstellst.
Ein NO vor dem Kommando löscht es immer!
Des weiteren wie bekomme ich folgende Fehlermeldung weg
Das ist normal, denn der Cisco versucht beim Booten per TFTP eine Default Konfig zu laden. Das ist das "Autoinstall" Feature. Kannst du entweder ignorieren weil die Meldung nach einiger Zeit verschwindet oder du gibst global no service config ein um es zu deaktivieren.

Alle weiteren Cisco Konfig Infos findest du inkl. detaillierter Beschreibung, wie immer, im hiesigen Cisco Tutorial!
Mitglied: IT-Service.sb
IT-Service.sb 24.12.2022 aktualisiert um 11:28:31 Uhr
Goto Top
Danke für die schnelle Antwort, kann erst heute spät aben wieder an den Cisco.

(ip dns server Kommando fehlt) wie und was muss da genau eingetragen werden?

interface Async3
no ip address
encapsulation slip taucht im Konfig beispiel nicht auf. wie müsste das aussehen?

Frohe Weihnachten face-smile
Mitglied: aqui
aqui 24.12.2022 aktualisiert um 11:27:38 Uhr
Goto Top
wie und was muss da genau eingetragen werden?
Steht, wie bereits gesagt, ALLES kommentiert und erklärt im oben zitierten Cisco Tutorial, Kapitel "Grundkonfiguration"!
Auch Weihnachten gilt: Lesen und verstehen!
kann erst heute spät aben wieder an den Cisco.
Wen wunderst an Heilig Abend...?! 😉
Frohe Weihnachten 🎄🎅
Mitglied: IT-Service.sb
IT-Service.sb 24.12.2022 aktualisiert um 11:32:02 Uhr
Goto Top
hatte eher mit Hipath anlagen und Fritzboxen zu tun

hab auf Erzieher um gesattelt

Cisco ist für mich neu land bin in dem bereich ein noob face-smile

Frohe Weihnachten
Mitglied: aqui
aqui 24.12.2022 aktualisiert um 11:45:32 Uhr
Goto Top
Deshalb ja auch immer aufmerksam und genau das o.a. Tutorial lesen und verstehen!! 😉
Es ist ja Weihnachten, deshalb gibts ein kleines Weihnachtsgeschenk 🎁
Lösung:
Das globale Kommando ip dns server erledigt das.
Mit einem show hosts kannst du dir den DNS Cache anzeigen lassen!
Dein DHCP Server sollte dann als DNS Server den Router selber an die Clients propagieren:
ip dhcp pool Home
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name it-service.intern

(Hier hast du übrigens ebenso wie unter Async3 auch noch einen kardinalen Tippfehler begangen!! (dns-server 182.168.1.1) Also immer auch einmal etwas genauer hinsehen was du da an wichtigen IP Adressen eingetippt hast!! Das schafft auch an Weihnachten deutlich weniger Admin Frust und mehr Zeit für Kekse, Stollen, Glühwein und Familie!)
Mitglied: IT-Service.sb
IT-Service.sb 25.12.2022 aktualisiert um 15:45:29 Uhr
Goto Top
Vielen Dank!

Läuft.

#########################################################################
#                                                                      #
#    P.Kohr IT-Service.sb                                              #
#                                                                   #
#   "FINGER WEG VON MEINEM ROUTER"                                    # 
#
#                                                                       #
#########################################################################



C891F>en
Password:
C891F#sh statup-config
            ^
% Invalid input detected at '^' marker.  

C891F#sh
C891F#show startup-config
Using 3235 out of 262136 bytes
!
! Last configuration change at 14:07:31 CET Sun Dec 25 2022
version 15.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
!
hostname C891F
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$qEv0$iPYkwR8/YlGfmjkx9Bnfa1
enable password xxxx
!
no aaa new-model
no process cpu extended history
no process cpu autoprofile hog
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!


!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.0.1 192.168.0.100
ip dhcp excluded-address 192.168.0.150 192.168.0.254
!
ip dhcp pool Home
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 192.168.1.1
 domain-name it-service.intern
!
!
!
ip name-server 192.168.1.1
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C891F-K9 sn FCZ195095ZD
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
 no cdp enable
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0
 description LAN
 no ip address
 no cdp enable
!
interface GigabitEthernet1
 no ip address
 no cdp enable
!
interface GigabitEthernet2
 no ip address
 no cdp enable
!
interface GigabitEthernet3
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 no cdp enable
!
interface GigabitEthernet5
 no ip address
 no cdp enable
!
interface GigabitEthernet6
 no ip address
 no cdp enable
!
interface GigabitEthernet7
 no ip address
 no cdp enable
!
interface GigabitEthernet8
 ip address 192.168.1.76 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address
 encapsulation slip
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 1 interface GigabitEthernet8 overload
ip nat inside source list 102 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
no service-routing capabilities-manager
no cdp run
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
banner motd ^C
#########################################################################
#                                                                      #
#    P.Kohr IT-Service.sb                                              #
#                                                                   #
#   "FINGER WEG VON MEINEM ROUTER"                                    #  
#
#                                                                       #
#########################################################################




^C
!
line con 0
 exec-timeout 0 0
 no modem enable
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 password xxxxx
 login
 transport input all
!
scheduler allocate 20000 1000
!
end
C891F#
Mitglied: IT-Service.sb
IT-Service.sb 25.12.2022 um 18:38:02 Uhr
Goto Top
Wie müsste das aussehen, wenn am WAN (GigabitEthernet 8) die IP Adresse per DHCP zugewiesen wird?, Welsches das eigendliche Ziel sein soll.
Mitglied: aqui
aqui 26.12.2022 aktualisiert um 11:24:30 Uhr
Goto Top
Läuft.
Hast du bei Cisco etwas anderes erwartet?! 😉
Allerdings ist deine DNS Konfig immer noch falsch, zumindestens ist sie logisch falsch.
Du hast zwar jetzt den Cisco als DNS Caching Server eingerichtet, vergibst an seine Clients per DHCP aber dann nicht die IP des Routers sondern fälschlicherweise wieder den DHCP Server direkt. Damit umgehen deine lokalen Clients dann den Router DNS Server!
Richtig bei Caching wäre:
ip dhcp pool Home
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name it-service.intern

Solltest du also ggf. nochmal korrigieren. Ein show hosts zeigt dir dann auf dem Router immer die gecachten DNS Anfragen der Clients.

Wie müsste das aussehen, wenn am WAN (GigabitEthernet 8) die IP Adresse per DHCP zugewiesen wird?
Du hast wieder mal das Cisco Tutorial NICHT gelesen!!! 🧐
Genau um solche Fragen wie deine obige zu beantworten ist es geschrieben worden! Kapitel: "WAN Interface mit DHCP"
Lesen und verstehen!
interface GigabitEthernet8
description Internet Port
ip address dhcp
ip nat outside
no ip redirects
no ip unreachables
no ip proxy-arp


Noch ein paar kosmetische und auch wichtige Tips zu deiner Konfig:
  • Das unsinnige und überflüssige ip nat inside source list 1 interface GigabitEthernet8 overload und die dazu auch überflüssige ACL 1 sind Blödsinn und kannst du entfernen. Die ACL 102 erledigt das ja. Solche überflüssigen Konfig "Leichen" immer löschen denn sie können negative Side Effects haben.
  • Das CDP Protokoll global auszuschalten wie du es gemacht hast ist per se nicht falsch. Es erspart dir dann auch das überflüssige und einzelne Deaktivieren an den Interfaces wie du es (noch) gemacht hast. Wichtig ist aber fürs Management dennoch, wenn möglich, ein Infrastruktur Protokoll laufen zu lassen. Idealerweise dann immer LLDP!
lldp run
no cdp run

Auf dem Internet Interface willst du LLDP ggf. nicht, um Fremden da nicht zu zeigen was an dem Port angeschlossen ist. Deshalb schaltest du es dort Interface spezifisch ab!
interface GigabitEthernet8
description Internet Port
no lldp transmit
( no lldp receive)

Empfangen kannst du sie aber dennoch um so gefahrlos zu sehen was andere auf der anderen Seite haben. Willst du auch nix empfangen, dann schaltest du auch das "receive" ab.
Ein sh lldp neig zeigt dir immer an welche anderen HW Teilnehmer noch im Netz aktiv sind.
  • Benutze den "description" Parameter an den Interfaces um deren Funktion oder Port zu beschreiben. Hilft bei der Management Übersicht wenn du nach längerer Zeit die Konfig siehst oder andere das System managen müssen.
  • Anzeige der Uhrzeit machst du übersichtlicher mit:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime

Zudem solltest du mit ntp server <ntp_server> source int giga 8 immer einen NTP Server deiner Wahl konfigurieren um die korrekte Uhrzeit auf dem Router sicherzustellen. Das ist essentiall bei VPNs, Zertifikaten und auch das Log usw. Ein zusätzliches ntp update-calendar dated auch immer die HW Uhr ab.
  • Externen Zugang mit SSH oder Telnet etwas sicherer machen mit Keepalives:
service tcp-keepalives-in
service tcp-keepalives-out

  • Es ist NICHT sinnvoll die Konfig und Passwörter per HTTP unverschlüsselt zu übertragen, deshalb gehört der HTTP Server aus Sicherheitsgründen mit no ip http server abgeschaltet! Gleiches gilt für den Telnet Zugriff sofern Datensicherheit bei dir ein Thema ist.
  • Besser ist das modernere aaa Verfahren mit aaa new-model zu aktivieren.
  • Die process cpu history abzuschalten ist keine so gute Idee. Sie schadet nicht und zeigt dir mit sh proc cpu his immer wie hoch die CPU Belastung der Maschine ist, was immer ganz hilfreich ist.

Wichtigster Punkt zum Schluss: Du benutzt keinerlei Firewall auf deinem Router! Nicht einmal eine ACL Absicherung für den Zugriff auf dem Internet Port "Gig8".
Das ist keine gute Idee wenn das Netzwerk an Gig8 für dich unbekannt und nicht kontrollierbar bzw. öffentlich ist, denn der Router lässt so allen Zugriff zu.
Mache dir also Gedanken dort eine CBAC oder die modernere ZWF Firewall zu aktivieren. Zumindestens dort aber den Zugriff auf den Router mit einer ACL abzusichern.
Das Tutorial hat alle Infos dazu für dich! Man muss es nur einmal lesen...und verstehen. 😉
Mitglied: IT-Service.sb
IT-Service.sb 26.12.2022 aktualisiert um 11:57:49 Uhr
Goto Top
das mit dem Verstehen, ist so eine Sache eine Hipath und Fritzbox ist einfacher zu Konfigurieren.Und in sachen Cisco ein völliger Noob bin, dat dingen hab ich geschekt bekommen war aus Nachlass.

Da der cisco hinter einer FB hängt ist er durch die Firewall in der FB gesichert. So solltes es zumindest sein.

Das http hatte ,den sinn den cisco via Webbrowser einzurichten ,das wohl nicht so wirklich ohne Web SetUp Tool geht, da das teil EOL ist und nicht an das Tool Ohne Servicevertrag rankomme, bleibt mir nur config via cli, das sehr mühseelig als Noob ist.

Wünsche Frohe Rest Weihnachten face-smile
Mitglied: aqui
aqui 26.12.2022 aktualisiert um 12:47:54 Uhr
Goto Top
eine Hipath und Fritzbox ist einfacher zu Konfigurieren
Na ja, das kann ja auch jeder Schüler in der Informatik AG in 10 Minuten und dazu braucht es keinerlei Kenntnisse. Kann man also nicht vergleichen bzw. ist so wenn du bei einer Seifenkiste das Rad wechseln musst und einmal bei einem BMW M3 Alpina. face-wink
Da der cisco hinter einer FB hängt ist er durch die Firewall in der FB gesichert.
OK, dann ist die FW natürlich wneiger wichtig, keine Frage.
Warum so einen unnützen "Durchlauferhitzer" davor oder ist das nur zum Üben und Testen für dich?!
das wohl nicht so wirklich ohne Web SetUp Tool geht
Das ist richtig! Es gilt: "WebGUI is for wimps. Real networkers do CLI!" 😉
und nicht an das Tool Ohne Servicevertrag rankomme
Und wieder einmal das Tutorial nicht gelesen!! Ist ja wirklich schlimm mit dir!! Und das an Weihnachten! 🎄 🧐
https://www.firewall.cx/downloads/cisco-tools-a-applications.html
das sehr mühseelig als Noob ist.
Das mit dem Noob ändert sich ja gerade massiv! 😉
Mitglied: IT-Service.sb
IT-Service.sb 26.12.2022 um 13:14:20 Uhr
Goto Top
ich komme mit dem Totorial nicht wirklich klar
Mitglied: aqui
aqui 26.12.2022 aktualisiert um 13:37:30 Uhr
Goto Top
Es ist auch ein T'u'torial, aber egal. Sind es nur die Grundlagen des Cisco Kommando Sets weil du nur KlickiBunti gewöhnt bist?
Ansonsten kannst du das etwas konkretisieren an WAS es liegt??
Konstruktive Kritik ist ja gewollt und wenn es hilft dort etwas zu verbessern bringt es ja für alle etwas. Also immer her damit... 😉
Mitglied: IT-Service.sb
IT-Service.sb 26.12.2022 um 15:40:06 Uhr
Goto Top
vielen dank fir die seite mit den Commando sets.


werd mir das ganze nochmal anschauen ggf. mal Ausdrucken.
Mitglied: aqui
aqui 26.12.2022 aktualisiert um 20:18:48 Uhr
Goto Top
Die Konfig Datei die dir mit show run ausgegeben wird ist eine reine Textdatei aller Setup Kommandos deines Setups auf der Maschine. Die kannst du z.B. mit einem einfachen Editor bearbeiten. Im Konf Modus kannst du die zur Sicherung auch einfach dort rein cut and pasten. Oder eben alle Kommandos einzeln eingeben oder in Abschnitten. Je nach persönlichem Geschmack.
Kommandos löschst du generell immer mit einem no davor.
Hilfe bei der Kommando Syntax gibt dir der Router auch immer selber wenn du ein "?" eingibst. (ohne "")
Die TAB Taste autokomplettiert alle Kommandos und erspart Tiparbeit. 😉
Was welche Kommandos genau machen erklärt dir die Cisco Command Reference.
Zu allem gibt es auch jede Menge Literatur.
Ansonsten einfach hier fragen. Dafür ist ein Forum ja da... 😉
Mitglied: IT-Service.sb
IT-Service.sb 01.01.2023 um 12:45:19 Uhr
Goto Top
Hallo und Frohes Neues Jahr 2023

nun hab ich etwas aufgeräumt in der Config

C891F#
C891F#
C891F#sh startup-config
Using 3405 out of 262136 bytes
!
! Last configuration change at 12:22:12 MET Sun Jan 1 2023 by cisco
! NVRAM config last updated at 12:24:03 MET Sun Jan 1 2023 by cisco
! NVRAM config last updated at 12:24:03 MET Sun Jan 1 2023 by cisco
version 15.3
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname C891F
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$qEv0$iPYkwR8/YlGfmjkx9Bnfa1
enable password 7 045802150C2E
!
no aaa new-model
no process cpu extended history
no process cpu autoprofile hog
clock timezone MET 1 0
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!


!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.0.1 192.168.0.100
ip dhcp excluded-address 192.168.0.150 192.168.0.254
!
ip dhcp pool Home
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.1.1
domain-name it-service.intern
!
!
!
ip domain name it-service.intern
ip name-server 192.168.1.1
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C891F-K9 sn FCZ195095ZD
!
!
username cisco privilege 15 password 7 104D000A0618
!
!
!
!
lldp run
!
!
!
!
!
!
!
!
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
no cdp enable
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0
description LAN
no ip address
no cdp enable
!
interface GigabitEthernet1
no ip address
no cdp enable
!
interface GigabitEthernet2
no ip address
no cdp enable
!
interface GigabitEthernet3
no ip address
no cdp enable
!
interface GigabitEthernet4
no ip address
no cdp enable
!
interface GigabitEthernet5
no ip address
no cdp enable
!
interface GigabitEthernet6
no ip address
no cdp enable
!
interface GigabitEthernet7
no ip address
no cdp enable
!
interface GigabitEthernet8
description WAN-Internet
ip address 192.168.1.76 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no cdp enable
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Async3
no ip address
encapsulation slip
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 102 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
no service-routing capabilities-manager
no cdp run
!
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
banner login ^C
Finger weg von meinem Cisco-Router ####
Eigentum! von Phillip Kohr ####
Sbr ####
Telefon: 017x/xxxxxxxx ####
M@il: it-service.sb@xxx.de ####
####
^C
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
password 7 0822455D0A16
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server ptbtime1.ptb.de source GigabitEthernet8
!
end

C891F#


Passwörter sind auch Verschlüsselt

der Rest ist erst mal bewusst so gelassen worden.

lg

Phillip
Mitglied: aqui
aqui 01.01.2023 aktualisiert um 17:03:01 Uhr
Goto Top
Sieht gut aus! 👍
Einziger Punkt:
Wenn du in deiner DHCP Konfig einen externen DNS Server nutzt für deine lokalen LAN Clients, also nicht den DNS Caching Server des Routers, ist es unsinnig den Router dann als DNS Caching Server ohne aktive Nutzung laufen zu lassen. Das kannst du dann mit no ip dns server auch wieder deaktivieren.

Vorteil ist das der Caching Server alles was er kennt den Clients lokal beantwortet statt die Client DNS Requestst alle immer auf den 192.168.1.1 direkt forzuwarden. Das minimiert dann auch den lokalen DNS Traffic an den DNS Server.
Um die DNS Caching Funktion zu nutzen MUSST du den Router selber als DNS Server an die Clients geben im DHCP!!
ip dhcp pool Home
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name it-service.intern

Tip:
sh startup-conf zeigt dir immer nur das Konfig Flash nicht aber das was aktuell an Konfig rennt auf dem Router. Das macht immer nur ein show run!!