Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco statisches Routing mehrere Standorte

Frage Netzwerke Router & Routing

Mitglied: Dkuehlborn

Dkuehlborn (Level 1) - Jetzt verbinden

06.07.2007, aktualisiert 18.07.2007, 6737 Aufrufe, 13 Kommentare

Hallo Forum,

ich möchte 3 Standorten über eine Zentrale vernetzen. Standort A ist mit B und C verbunden. B und C haben keine direkte Verbindung. Nun sollen die PC von Standord B direkt auf Standord C zugreifen können. Ich setze hierfür Cisco-Router ein. Die Standorte habe ich mit IPSec und GRE-Tunnel verbunden.
Mittels statischen Routing können die PC vom Standort B und C auf Standort A zugreifen.

IP-Adressen an den Standorten:

A: 10.0.0.0/16 (255.255.0.0)
B: 192.168.4.0/24 (255.255.255.0)
C: 192.168.42.0/24 (255.255.255.0)

Das Routing am Standort A sieht so aus:

ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.4.0 255.255.255.0 Tunnel1
ip route 192.168.42.0 255.255.255.0 Tunnel2

ACL vom Standort A

access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255

Das Routing am Standort B sieht so aus:

ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.0.0 255.255.255.0 Tunnel1

ACL vom Standort B

>access-list 101 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255

Das Routing am Standort C sieht so aus:

ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.0.0 255.255.255.0 Tunnel1

ACL vom Standort B

access-list 101 permit ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255

Wie muss ich meine Routing ändern, damit ein direkter Zugriff von 192.168.4.x auf 192.168.42.x entsteht.

Vielen Dank im Voraus und viele Grüße

Dieter
Mitglied: spacyfreak
06.07.2007 um 09:54 Uhr
http://img470.imageshack.us/img470/8183/abcyv2.png


Erläuterung:
So lange die Router die anderen Netze nicht kennen, wissen sie nicht über welches Interface sie die Pakete in die Zielnetze bringen sollen und senden sie über das Internet-Interface Dialer0.
Daher müssen auf Router B und C entsprechende Routen eingetragen werden (Hin- und Rückroute). Auf Router A muss nichts gemacht werden, da A sowohl die Netze von B und C kennt. Doch B kennt nicht C, und C kennt nicht B.

Soviel zur Theorie...
Hab ich was vergessen?
Bitte warten ..
Mitglied: aqui
06.07.2007 um 15:18 Uhr
Also einfach gesagt muss an Standort B zusätzlich folgende Route ins Setup:

ip route 192.168.42.0 255.255.255.0 Tunnel1

und analog bei Standort C:

ip route 192.168.4.0 255.255.255.0 Tunnel1

Ohne diese zusätzlichen Routen landen siese Routen auf dem Dialer 0 Interface (default Route) und dann sehr wahrscheinlich im Internet und dann sofort im Datenmülleimer des providers denn dies sind im Internet nicht geroutete RFC 1918 Adressen !!!

Du hast noch einen erheblichen Konfig Fehler in deinem Setup an den Client Standorten B und C mit einem Adressmasken Mismatch den du unbedingt noch ausbügeln solltest wenn du keine Probleme bekommen willst !!!

Dein Netz an Standort A ist mit 16 Bit als Class B gesubnettet !!! Deine statischen Routen in den Standorten behandeln dies Netz aber mit einer falschen Subnetzmaske als Class C gesubnettet. Das kann dir über kurz oder lang erhebliche Verbindungsprobleme bescheren. Du solltest deshalb dringenst die statischen Routen in den Standorten B und C korrigieren auf:

ip route 10.0.0.0 255.255.0.0 Tunnel1

Mit einer 16 Bit Netzmaske statt der falschen 24 Bit !!!


Deine ACLs (vermutlich incoming auf den Ethernet oder Tunnel Interfaces wie Standort A, oder ??) sind ebenfalls nicht richtig oder du hast sie falsch gepostet ! Sie müssen folgendermaßen lauten:

Standort B:

access-list 101 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255
access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.42.0 0.255.255.255


Standort C:

access-list 101 permit ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255
access-list 101 permit ip 192.168.42.0 0.0.0.255 192.168.4.0 0.255.255.255


Wie gesagt das gilt für incoming ACLs wenn sie Outgoing sind musst du ggf. die Quell- und Zielnetze vertauschen.
Leider machst du ja zu den ACLs und wo sie positioniert sind keinerlei Angaben, so das man vorerst nur raten kann
Bitte warten ..
Mitglied: Dkuehlborn
06.07.2007 um 19:03 Uhr
Hallo aqui, hallo einfach-mal-die-klappe-halten,

ich danke für Eure Infos.

Mit dem Routing habe ich mir das schon gedacht. Ich wusste nur nicht wo genau ich welche Informationen hinterlegen muss.

Für die Klärung der ACL möchte ich nun mal die Konfigs posten:

Standort A:


01.
version 12.3 
02.
service password-encryption 
03.
04.
hostname ROUTER-A 
05.
boot-start-marker 
06.
boot-end-marker 
07.
08.
security authentication failure rate 10 log 
09.
security passwords min-length 6 
10.
no logging buffered 
11.
logging console critical 
12.
enable secret 5 xxxxx 
13.
enable password 7 xxxxx 
14.
15.
username admin privilege 15 password 7 xxxxx 
16.
clock timezone Berlin 1 
17.
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00 
18.
mmi polling-interval 60 
19.
no mmi auto-configure 
20.
no mmi pvc 
21.
mmi snmp-timeout 180 
22.
aaa new-model 
23.
24.
aaa authentication login local_auth local 
25.
aaa session-id common 
26.
ip subnet-zero 
27.
no ip source-route 
28.
no ip gratuitous-arps 
29.
30.
ip name-server 217.237.149.161 
31.
ip name-server 217.237.151.225 
32.
no ip bootp server 
33.
ip cef 
34.
ip ids po max-events 100 
35.
vpdn enable 
36.
37.
vpdn-group pppoe 
38.
 request-dialin 
39.
 protocol pppoe 
40.
41.
no ftp-server write-enable 
42.
43.
isdn switch-type basic-net3 
44.
45.
crypto isakmp policy 20 
46.
 encr 3des 
47.
 hash md5 
48.
 authentication pre-share 
49.
 group 2 
50.
51.
crypto isakmp key PSKEY address 111.111.111.111 
52.
crypto isakmp key PSKEY address 222.222.222.222 
53.
54.
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac 
55.
crypto ipsec transform-set SET2 esp-3des esp-sha-hmac 
56.
57.
crypto map XVPN 1 ipsec-isakmp 
58.
 set peer 111.111.111.111 
59.
 set transform-set SET1 
60.
 match address 101 
61.
crypto map XVPN 2 ipsec-isakmp 
62.
 set peer 222.222.222.222 
63.
 set transform-set SET2 
64.
 match address 102 
65.
66.
interface Tunnel1 
67.
 ip address 192.168.191.1 255.255.255.252 
68.
 ip mtu 1432 
69.
 tunnel source Dialer0 
70.
 tunnel destination 111.111.111.111 
71.
 crypto map XVPN 
72.
73.
interface Tunnel2 
74.
 ip address 192.168.192.1 255.255.255.252 
75.
 ip mtu 1432 
76.
 tunnel source Dialer0 
77.
 tunnel destination 222.222.222.222 
78.
 crypto map XVPN 
79.
80.
interface BRI0 
81.
82.
interface FastEthernet0 
83.
 no ip address 
84.
 no ip unreachables 
85.
 ip nat outside 
86.
 ip virtual-reassembly 
87.
 duplex auto 
88.
 speed auto 
89.
 pppoe enable 
90.
 pppoe-client dial-pool-number 1 
91.
 no cdp enable 
92.
93.
interface FastEthernet1 
94.
95.
interface FastEthernet2 
96.
97.
interface FastEthernet3 
98.
99.
interface FastEthernet4 
100.
101.
interface Vlan1 
102.
 ip address 10.0.1.253 255.255.0.0 
103.
 ip nat inside 
104.
 ip virtual-reassembly 
105.
 ip tcp adjust-mss 1452 
106.
107.
interface Dialer0 
108.
 ip address negotiated 
109.
 ip mtu 1456 
110.
 ip nat outside 
111.
 ip virtual-reassembly 
112.
 encapsulation ppp 
113.
 ip tcp adjust-mss 1452 
114.
 dialer pool 1 
115.
 dialer-group 1 
116.
 no cdp enable 
117.
 ppp authentication chap pap callin 
118.
 ppp chap hostname internet-account 
119.
 ppp chap password xxxxxx 
120.
 ppp pap sent-username internet-account password xxxxxxx 
121.
122.
ip classless 
123.
ip route 0.0.0.0 0.0.0.0 Dialer0 
124.
ip route 192.168.4.0 255.255.255.0 Tunnel1 
125.
ip route 192.168.42.0 255.255.255.0 Tunnel2 
126.
ip http server 
127.
ip http authentication local 
128.
ip http secure-server 
129.
ip nat inside source list 111 interface Dialer0 overload 
130.
ip nat inside source route-map XMAP1 interface Dialer0 overload 
131.
ip nat inside source route-map XMAP2 interface Dialer0 overload 
132.
ip nat inside source route-map nonat interface Dialer0 overload 
133.
134.
logging trap debugging 
135.
logging facility local2 
136.
access-list 1 permit 10.0.0.0 0.0.255.255 
137.
access-list 23 permit 10.0.0.0 0.0.255.255 
138.
access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 
139.
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 
140.
access-list 105 permit ip 10.0.0.0 0.0.255.255 any 
141.
access-list 105 deny   ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 
142.
access-list 105 deny   ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 
143.
access-list 111 permit ip 10.0.0.0 0.0.255.255 any 
144.
access-list 111 permit udp any any 
145.
access-list 111 deny   ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 
146.
access-list 111 deny   ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 
147.
dialer-list 1 protocol ip permit 
148.
no cdp run 
149.
150.
route-map XMAP1 permit 1 
151.
 match ip address 101 
152.
153.
route-map XMAP2 permit 1 
154.
 match ip address 102 
155.
156.
route-map nonat permit 10 
157.
 match ip address 105
Standort B:

01.
version 12.3 
02.
no service pad 
03.
04.
hostname ROUTER-C 
05.
06.
boot-start-marker 
07.
boot-end-marker 
08.
09.
memory-size iomem 5 
10.
no logging buffered 
11.
enable secret 5 xxxx 
12.
13.
username admin privilege 15 password 7 xxxx 
14.
no aaa new-model 
15.
ip subnet-zero 
16.
17.
ip inspect name myfw cuseeme timeout 3600 
18.
ip inspect name myfw ftp timeout 3600 
19.
ip inspect name myfw rcmd timeout 3600 
20.
ip inspect name myfw realaudio timeout 3600 
21.
ip inspect name myfw smtp timeout 3600 
22.
ip inspect name myfw tftp timeout 30 
23.
ip inspect name myfw udp timeout 15 
24.
ip inspect name myfw tcp timeout 3600 
25.
ip inspect name myfw h323 timeout 3600 
26.
ip ips po max-events 100 
27.
vpdn enable 
28.
29.
vpdn-group pppoe 
30.
 request-dialin 
31.
  protocol pppoe 
32.
33.
no ftp-server write-enable 
34.
35.
crypto isakmp policy 1 
36.
 encr 3des 
37.
 hash md5 
38.
 authentication pre-share 
39.
 group 2 
40.
crypto isakmp key PSKEY address 11.11.11.11 
41.
42.
43.
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac 
44.
45.
crypto map XVPN 1 ipsec-isakmp 
46.
 set peer 11.11.11.11 
47.
 set transform-set SET1 
48.
 match address 101 
49.
50.
interface Tunnel1 
51.
 ip address 192.168.191.2 255.255.255.252 
52.
 ip mtu 1432 
53.
 tunnel source Dialer1 
54.
 tunnel destination 11.11.11.11 
55.
 crypto map XVPN 
56.
 crypto ipsec df-bit clear 
57.
58.
interface Ethernet0 
59.
 ip address 192.168.4.3 255.255.255.0 
60.
 ip virtual-reassembly 
61.
 ip tcp adjust-mss 1452 
62.
63.
interface BRI0 
64.
65.
interface ATM0 
66.
 no ip address 
67.
 atm vc-per-vp 64 
68.
 no atm ilmi-keepalive 
69.
 dsl operating-mode annexb-ur2 
70.
 pvc 1/32 
71.
  pppoe-client dial-pool-number 1 
72.
73.
interface FastEthernet1 
74.
75.
interface FastEthernet2 
76.
77.
interface FastEthernet3 
78.
79.
interface FastEthernet4 
80.
81.
interface Dialer1 
82.
 ip address negotiated 
83.
 ip access-group 111 in 
84.
 ip mtu 1492 
85.
 ip inspect myfw out 
86.
 ip virtual-reassembly 
87.
 encapsulation ppp 
88.
 ip tcp adjust-mss 1452 
89.
 dialer pool 1 
90.
 dialer remote-name redback 
91.
 dialer-group 1 
92.
 ppp authentication pap chap callin 
93.
 ppp chap hostname internet-account 
94.
 ppp chap password 7 xxxx 
95.
 ppp pap sent-username internet-account password 7 xxxxx 
96.
97.
ip classless 
98.
ip route 0.0.0.0 0.0.0.0 Dialer1 
99.
ip route 10.0.0.0 255.255.0.0 Tunnel1 
100.
101.
ip http server 
102.
no ip http secure-server 
103.
104.
ip nat inside source route-map XMAP1 interface Dialer1 overload 
105.
ip nat inside source route-map nonat interface Dialer1 overload 
106.
107.
access-list 1 permit 192.168.4.0 0.0.0.255 
108.
access-list 23 permit 192.168.4.0 0.0.0.255 
109.
access-list 101 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255 
110.
access-list 105 deny   ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255 
111.
access-list 105 permit ip 192.168.4.0 0.0.0.255 any 
112.
dialer-list 1 protocol ip permit 
113.
114.
route-map nonat permit 10 
115.
 match ip address 105 
116.
117.
route-map XMAP1 permit 1 
118.
 match ip address 101
Fortsetzung folgt...
Bitte warten ..
Mitglied: Dkuehlborn
06.07.2007 um 19:04 Uhr
Standort C:

01.
version 12.3 
02.
no service pad 
03.
04.
hostname ROUTER-B 
05.
06.
boot-start-marker 
07.
boot-end-marker 
08.
09.
memory-size iomem 5 
10.
no logging buffered 
11.
enable secret 5 xxxx 
12.
13.
username admin privilege 15 password 7 xxxx 
14.
no aaa new-model 
15.
ip subnet-zero 
16.
17.
ip inspect name myfw cuseeme timeout 3600 
18.
ip inspect name myfw ftp timeout 3600 
19.
ip inspect name myfw rcmd timeout 3600 
20.
ip inspect name myfw realaudio timeout 3600 
21.
ip inspect name myfw smtp timeout 3600 
22.
ip inspect name myfw tftp timeout 30 
23.
ip inspect name myfw udp timeout 15 
24.
ip inspect name myfw tcp timeout 3600 
25.
ip inspect name myfw h323 timeout 3600 
26.
ip ips po max-events 100 
27.
vpdn enable 
28.
29.
vpdn-group pppoe 
30.
 request-dialin 
31.
  protocol pppoe 
32.
33.
no ftp-server write-enable 
34.
35.
crypto isakmp policy 1 
36.
 encr 3des 
37.
 hash md5 
38.
 authentication pre-share 
39.
 group 2 
40.
crypto isakmp key PSKEY address 11.11.11.11 
41.
42.
43.
crypto ipsec transform-set SET1 esp-3des esp-sha-hmac 
44.
45.
crypto map XVPN 1 ipsec-isakmp 
46.
 set peer 11.11.11.11 
47.
 set transform-set SET1 
48.
 match address 101 
49.
50.
interface Tunnel1 
51.
 ip address 192.168.192.2 255.255.255.252 
52.
 ip mtu 1432 
53.
 tunnel source Dialer1 
54.
 tunnel destination 11.11.11.11 
55.
 crypto map XVPN 
56.
 crypto ipsec df-bit clear 
57.
58.
interface Ethernet0 
59.
 ip address 192.168.42.3 255.255.255.0 
60.
 ip virtual-reassembly 
61.
 ip tcp adjust-mss 1452 
62.
63.
interface BRI0 
64.
65.
interface ATM0 
66.
 no ip address 
67.
 atm vc-per-vp 64 
68.
 no atm ilmi-keepalive 
69.
 dsl operating-mode annexb-ur2 
70.
 pvc 1/32 
71.
  pppoe-client dial-pool-number 1 
72.
73.
interface FastEthernet1 
74.
75.
interface FastEthernet2 
76.
77.
interface FastEthernet3 
78.
79.
interface FastEthernet4 
80.
81.
interface Dialer1 
82.
 ip address negotiated 
83.
 ip access-group 111 in 
84.
 ip mtu 1492 
85.
 ip inspect myfw out 
86.
 ip virtual-reassembly 
87.
 encapsulation ppp 
88.
 ip tcp adjust-mss 1452 
89.
 dialer pool 1 
90.
 dialer remote-name redback 
91.
 dialer-group 1 
92.
 ppp authentication pap chap callin 
93.
 ppp chap hostname internet-account 
94.
 ppp chap password 7 xxxx 
95.
 ppp pap sent-username internet-account password 7 xxxxx 
96.
97.
ip classless 
98.
ip route 0.0.0.0 0.0.0.0 Dialer1 
99.
ip route 10.0.0.0 255.255.0.0 Tunnel1 
100.
101.
ip http server 
102.
no ip http secure-server 
103.
104.
ip nat inside source route-map XMAP1 interface Dialer1 overload 
105.
ip nat inside source route-map nonat interface Dialer1 overload 
106.
107.
access-list 1 permit 192.168.42.0 0.0.0.255 
108.
access-list 23 permit 192.168.42.0 0.0.0.255 
109.
access-list 101 permit ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255 
110.
access-list 105 deny   ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255 
111.
access-list 105 permit ip 192.168.42.0 0.0.0.255 any 
112.
dialer-list 1 protocol ip permit 
113.
114.
route-map nonat permit 10 
115.
 match ip address 105 
116.
117.
route-map XMAP1 permit 1 
118.
 match ip address 101
Ich hoffe diese Konfigs klären das Thema ACL auf. Für gute Vorschläge und kritische Anmerkungen bin ich grundsätzlich offen und dankbar.

Viele Grüße

Dieter
Bitte warten ..
Mitglied: 25510
07.07.2007 um 01:53 Uhr
Hallo,

nur mal als kleine Zwischenfrage: wenn das alles Cisco-Router sind, warum dann nicht dynamisches Routing?

Mit freundlichen Grüßen. TZ
Bitte warten ..
Mitglied: spacyfreak
07.07.2007 um 08:29 Uhr
Hallo,

nur mal als kleine Zwischenfrage: wenn das
alles Cisco-Router sind, warum dann nicht
dynamisches Routing?

Mit freundlichen Grüßen. TZ

Könnte man machen. Statische Routen bieten sich jedoch an, wenn es keine absehbaren ständigen Veränderungen gibt. Da setzt man statische Routen u. gut ist. Je simpler, desto weniger probleme treten in der Regel auf.
Bitte warten ..
Mitglied: aqui
09.07.2007 um 17:54 Uhr
Die Konfigs für B und C sind wieder falsch, da du damit keine Any to Any Kommunikation erreichen kannst !!! Oder hast du die Tips von oben einfach noch nicht umgesetzt ??? Alle Packete für die jeweiligen Standorte B und C werden von den Routern in B und C ins Internet geroutet und verschwinden da auf Nimmerwiedersehen....

In Standort B müssen die Routen so aussehen:
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.0.0.0 255.255.0.0 Tunnel1
ip route 192.168.42.0 255.255.255.0 Tunnel1


Denn die Packet für das Netzwerk an Standort C müssen hier bei B ja auch über den Tunnel via A sonst landen sie im Nirwana !!! Analog gilt das für C !

In Standort C müssen die Routen so aussehen:
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.0.0.0 255.255.0.0 Tunnel1
ip route 192.168.4.0 255.255.255.0 Tunnel1


Ggf. musst du die ACLs noch anpassen bei Router B:
access-list 101 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255
access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.42.0 0.0.0.255


Bei Router C:
access-list 101 permit ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255
access-list 101 permit ip 192.168.42.0 0.0.0.255 192.168.4.0 0.0.0.255


Damit sollte dann eine Kommunikation von Clients in Netz B zu Clients in Netz C und vice versa via Standort A problemlos klappen !
Bitte warten ..
Mitglied: Dkuehlborn
09.07.2007 um 18:52 Uhr
Hallo Aqui,

ich hatte bisher noch nicht die Gelegenheit Deine Tipps umzusetzen. Daher habe ich die Konfig aufgeführt, die zum Zeitpunkt der Postingerstellung aktiv waren.

@25510,

ich hatte als ich diese 3 Router verbunden hatte Probleme mit dem dynamischen Routing. Nach Umstellung auf statisches Routing habe ich meine damals geplante Konfiguration zum Laufen gebracht. Ich hatte zu diesem Zeitpunkt noch weniger Ahnung von Cisco-Routern.

Ich denke, dass ich morgen oder übermorgen die Tipps von Aqui umsetzen werde.
Sobald ich neuer Konfigurationen habe, teile ich es Euch mit.

Viele grüße und vielen Dank

Dieter
Bitte warten ..
Mitglied: Dkuehlborn
10.07.2007 um 21:50 Uhr
Hallo Forum,

ich bin am verzweifeln.

Ich habe die folgenden Routereintragungen vorgenommen:

Router A:

01.
ip route 0.0.0.0 0.0.0.0 Dialer1 
02.
ip route 192.168.4.0 255.255.255.0 Tunnel1 
03.
ip route 192.168.42.0 255.255.255.0 Tunnel2 
04.
 
05.
access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 
06.
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
Router B:

01.
ip route 0.0.0.0 0.0.0.0 Dialer1 
02.
ip route 10.0.0.0 255.255.0.0 Tunnel1 
03.
ip route 192.168.4.0 255.255.255.0 Tunnel1 
04.
 
05.
access-list 101 permit ip 192.168.42.0 0.0.0.255 10.0.0.0 0.0.255.255 
06.
access-list 101 permit ip 192.168.42.0 0.0.0.255 192.168.4.0 0.0.0.255
Router C:

01.
ip route 0.0.0.0 0.0.0.0 Dialer1 
02.
ip route 10.0.0.0 255.255.0.0 Tunnel1 
03.
ip route 192.168.42.0 255.255.255.0 Tunnel1 
04.
 
05.
access-list 101 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.255.255 
06.
access-list 101 permit ip 192.168.4.0 0.0.0.255 192.168.42.0 0.0.0.255
Der Rest der Konfiguration ist unverändert. Daher habe nur die Änderung gepostet, die ich aufgrund der Vorschläge übernommen habe.

Ich habe weiterhin die Situation, das die Zugriff wie folgt laufen.

B auf A ist möglich
C auf A ist möglich
A auf B ist möglich
A auf C ist möglich
B auf C ist nicht möglich
C auf B ist nicht möglich

Viele Grüße

Dieter
Bitte warten ..
Mitglied: Dkuehlborn
10.07.2007 um 23:38 Uhr
Hallo Forum,

ich war nun weiter auf der Suche nach der Lösung meines Problems und habe auf dem Router A mal "Debug ip routing" aktiviert.

Hier ist die Ausgabe am Router A, während ich vom Netzwerk B nach Netzwerk C pinge:

01.
*Jun 13 23:29:46.267 Berlin: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mo 
02.
de failed with peer at 84.178.22.73 
03.
*Jun 13 23:30:40.031 Berlin: RT: NET-RED 0.0.0.0/0 
04.
*Jun 13 23:30:40.031 Berlin: RT: NET-RED queued, Queue size 1 
05.
*Jun 13 23:31:40.031 Berlin: RT: NET-RED 0.0.0.0/0 
06.
*Jun 13 23:31:40.031 Berlin: RT: NET-RED queued, Queue size 1 
07.
*Jun 13 23:32:40.031 Berlin: RT: NET-RED 0.0.0.0/0 
08.
*Jun 13 23:32:40.031 Berlin: RT: NET-RED queued, Queue size 1 
09.
*Jun 13 23:33:40.031 Berlin: RT: NET-RED 0.0.0.0/0 
10.
*Jun 13 23:33:40.031 Berlin: RT: NET-RED queued, Queue size 1 
11.
*Jun 13 23:34:09.683 Berlin: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mo 
12.
de failed with peer at 213.146.119.47 
13.
*Jun 13 23:34:40.031 Berlin: RT: NET-RED 0.0.0.0/0 
14.
*Jun 13 23:34:40.031 Berlin: RT: NET-RED queued, Queue size 1
Mir sagen diese Infos sehr wenig. Vielleicht könnt Ihr mir auf damit auf die Sprünge helfen.

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
11.07.2007 um 12:58 Uhr
Der Router A ist noch das Problem ! Du lässt ja über die Route Maps in die Tunnel nur Packete mit der 10.0.0.0 als Quelladresse (Accessliste 101 und 102) !! Wie sollen denn da bitteschön Packete die die 192.168.4.0 und 192.168.42.0 als Quelladresse haben durchkommen ??? Es wird also an A hängenbleiben wenn du bei Verbindungen von B nach C über A gehen musst. Also hier die ACL erweitern auf:

access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255
access-list 101 permit ip 192.168.42 0.0.0.255 192.168.4.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255
access-list 102 permit ip 192.168.4 0.0.0.255 192.168.42.0 0.0.0.255


Dann sollte es klappen.
Bitte warten ..
Mitglied: Dkuehlborn
11.07.2007 um 18:34 Uhr
Hallo Aqui,

da sieht man es wieder, wer hier der Kenner ist. Mein Problem ist mit Deiner genialen Hilfe gelöst worden.

Ich danke ganz herzlich.

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
18.07.2007 um 18:40 Uhr
Kein Problem, dafür ist ein Forum ja da
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Mehrere WAN-Adressen bei LANCOM und Policy-based Routing (13)

Frage von vBurak zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco SG300 - Kein Routing ins VLAN (4)

Frage von Fluxx1337 zum Thema Router & Routing ...

Router & Routing
gelöst Cisco SG300-10: VLAN und Routing (4)

Frage von niko123 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...