8
Umstellung auf VDSL mit Speedlink 5501
Hallo Forum Gemeinde,
bei uns hat man auf VDSL umgestellt.
Bisher hatten wie DSL + ISDN (Telefonanlage). Als Router war bis jetzt ein Cisco 881 verwendet. Dieser machte die Einwahl in Internet+ VPN-Verbindungen.
Nun wurde uns ein Speedlink 5501 geliefert (ich hatte leider auf diesen keinen Einfluss). An diesem hängt nun die Telefonanlage + Internet. Leider kann der Speedlink kein VPN !
Nun kam mir die Idee den Cisco wieder zu verwenden, die Idee wäre der Speedlink routet alles zum Cisco. Es wäre natürlich gut, wenn dann auch die VPN´s funktionieren.
Ich bin schon hergegangen habe am Speedlink eine Routing auf das passende Netz eingestellt und diesen mit der WAN-Port am Cisco verbunden. Dann habe ich noch die komplette Einwahl aus der Config am Cisco entfernt. Leider funktioniert das noch nicht.
Hat mir jemand hier zu ein paar Tips?
Vielen Dank
bei uns hat man auf VDSL umgestellt.
Bisher hatten wie DSL + ISDN (Telefonanlage). Als Router war bis jetzt ein Cisco 881 verwendet. Dieser machte die Einwahl in Internet+ VPN-Verbindungen.
Nun wurde uns ein Speedlink 5501 geliefert (ich hatte leider auf diesen keinen Einfluss). An diesem hängt nun die Telefonanlage + Internet. Leider kann der Speedlink kein VPN !
Nun kam mir die Idee den Cisco wieder zu verwenden, die Idee wäre der Speedlink routet alles zum Cisco. Es wäre natürlich gut, wenn dann auch die VPN´s funktionieren.
Ich bin schon hergegangen habe am Speedlink eine Routing auf das passende Netz eingestellt und diesen mit der WAN-Port am Cisco verbunden. Dann habe ich noch die komplette Einwahl aus der Config am Cisco entfernt. Leider funktioniert das noch nicht.
Hat mir jemand hier zu ein paar Tips?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 310801
Url: https://administrator.de/contentid/310801
Printed on: April 25, 2024 at 16:04 o'clock
8 Comments
Latest comment
Hi,
poste doch mal bitte die aktuelle Config des Cisco 881 sowie des 5501 (wenn das überhaupt möglich ist).
Muss denn der 5501 unbedingt verwendet werden?
Gruß
Kümmel
poste doch mal bitte die aktuelle Config des Cisco 881 sowie des 5501 (wenn das überhaupt möglich ist).
Muss denn der 5501 unbedingt verwendet werden?
Gruß
Kümmel
Zitat von @frank99:
Hallo Forum Gemeinde,
bei uns hat man auf VDSL umgestellt.
Bisher hatten wie DSL + ISDN (Telefonanlage). Als Router war bis jetzt ein Cisco 881 verwendet. Dieser machte die Einwahl in Internet+ VPN-Verbindungen.
Nun wurde uns ein Speedlink 5501 geliefert (ich hatte leider auf diesen keinen Einfluss). An diesem hängt nun die Telefonanlage + Internet. Leider kann der Speedlink kein VPN !
Nun kam mir die Idee den Cisco wieder zu verwenden, die Idee wäre der Speedlink routet alles zum Cisco. Es wäre natürlich gut, wenn dann auch die VPN´s funktionieren.
Ich bin schon hergegangen habe am Speedlink eine Routing auf das passende Netz eingestellt und diesen mit der WAN-Port am Cisco verbunden. Dann habe ich noch die komplette Einwahl aus der Config am Cisco entfernt. Leider funktioniert das noch nicht.
Hat mir jemand hier zu ein paar Tips?
jo, das mit dem Routing wird nix- das bedeuet du sollst ein port forwarding machen.Hallo Forum Gemeinde,
bei uns hat man auf VDSL umgestellt.
Bisher hatten wie DSL + ISDN (Telefonanlage). Als Router war bis jetzt ein Cisco 881 verwendet. Dieser machte die Einwahl in Internet+ VPN-Verbindungen.
Nun wurde uns ein Speedlink 5501 geliefert (ich hatte leider auf diesen keinen Einfluss). An diesem hängt nun die Telefonanlage + Internet. Leider kann der Speedlink kein VPN !
Nun kam mir die Idee den Cisco wieder zu verwenden, die Idee wäre der Speedlink routet alles zum Cisco. Es wäre natürlich gut, wenn dann auch die VPN´s funktionieren.
Ich bin schon hergegangen habe am Speedlink eine Routing auf das passende Netz eingestellt und diesen mit der WAN-Port am Cisco verbunden. Dann habe ich noch die komplette Einwahl aus der Config am Cisco entfernt. Leider funktioniert das noch nicht.
Hat mir jemand hier zu ein paar Tips?
bzw. Router Kaskade: VPN Zugriff in Router Kaskade
Vielen Dank
Frank
das war die bisherige Config des Cisco´s, für den Speedlink gibt es keine ,-(
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
!
!
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnintern
key xxxxxxxxxxxxx
pool VPN-Pool
acl 120
max-users 2
!
crypto isakmp client configuration group vpnextern
key xxxxxxxxxxxx
pool VPN-Pool
acl 120
max-users 1
!
crypto isakmp client configuration group vpnservice
key xxxxxxxxx
pool VPN-Pool-Service
acl 130
max-users 1
crypto isakmp profile vpn-ike-profile-1
match identity group vpnintern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
crypto isakmp profile vpn-ike-profile-2
match identity group vpnextern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 2
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN Servce VPN Port
switchport access vlan 50
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port
no ip address
no ip redirects
no ip unreachables
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
description VPN-intern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template2 type tunnel
description VPN-extern
ip unnumbered Vlan1
ip access-group 122 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered Vlan50
ip access-group 131 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip access-group intLAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan50
description Service VLAN
ip address 172.16.237.1 255.255.255.0
ip access-group ServiceLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group INTERNET_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.22
ip local pool VPN-Pool-Service 192.168.3.20 192.168.3.22
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.17.2 1723 interface Dialer0 1723
ip nat inside source static tcp 192.168.17.2 443 interface Dialer0 443
ip nat inside source static tcp 192.168.17.2 25 interface Dialer0 25
ip nat inside source static tcp 192.168.17.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.17.2 987 interface Dialer0 987
ip nat inside source static tcp 192.168.17.9 7578 interface Dialer0 7578
!
ip access-list extended GastLAN
deny ip 172.16.17.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended INTERNET_IN
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit udp any eq 10000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any established
deny ip any any
ip access-list extended ServiceLAN
deny ip 192.16.3.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended intLAN
deny ip 192.168.17.0 0.0.0.255 172.16.17.0 0.0.0.255
permit ip any any
!
logging trap debugging
access-list 10 remark Permittable Subnet To Access
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.17.0 0.0.0.255
access-list 10 permit 172.16.17.0 0.0.0.255
access-list 10 permit 172.16.237.0 0.0.0.255
access-list 100 remark [Deny NAT fuer VPN Clients Only ]=-
access-list 100 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.17.0 0.0.0.255 any
access-list 100 permit ip 172.16.17.0 0.0.0.255 any
access-list 120 remark [kein NAT fuer VPN traffic]
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 remark [VPN Traffic speziell sperren]
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.2
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.5
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.8
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.9
access-list 122 deny ip any any
access-list 122 remark
access-list 130 remark [kein NAT fuer VPN traffic Service]
access-list 130 permit ip 172.16.237.0 0.0.0.255 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
no ipv6 cef
!
!
!
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnintern
key xxxxxxxxxxxxx
pool VPN-Pool
acl 120
max-users 2
!
crypto isakmp client configuration group vpnextern
key xxxxxxxxxxxx
pool VPN-Pool
acl 120
max-users 1
!
crypto isakmp client configuration group vpnservice
key xxxxxxxxx
pool VPN-Pool-Service
acl 130
max-users 1
crypto isakmp profile vpn-ike-profile-1
match identity group vpnintern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
crypto isakmp profile vpn-ike-profile-2
match identity group vpnextern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 2
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN Servce VPN Port
switchport access vlan 50
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port
no ip address
no ip redirects
no ip unreachables
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
description VPN-intern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template2 type tunnel
description VPN-extern
ip unnumbered Vlan1
ip access-group 122 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered Vlan50
ip access-group 131 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip access-group intLAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan50
description Service VLAN
ip address 172.16.237.1 255.255.255.0
ip access-group ServiceLAN in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group INTERNET_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.22
ip local pool VPN-Pool-Service 192.168.3.20 192.168.3.22
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.17.2 1723 interface Dialer0 1723
ip nat inside source static tcp 192.168.17.2 443 interface Dialer0 443
ip nat inside source static tcp 192.168.17.2 25 interface Dialer0 25
ip nat inside source static tcp 192.168.17.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.17.2 987 interface Dialer0 987
ip nat inside source static tcp 192.168.17.9 7578 interface Dialer0 7578
!
ip access-list extended GastLAN
deny ip 172.16.17.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended INTERNET_IN
permit gre any any
permit esp any any
permit icmp any any echo-reply
permit icmp any any echo
permit icmp any any ttl-exceeded
permit udp any eq domain any
permit tcp any eq www any
permit tcp any any eq www
permit tcp any eq 443 any
permit tcp any any eq 443
permit tcp any eq smtp any
permit udp any eq isakmp any
permit udp any any eq isakmp
permit udp any eq non500-isakmp any
permit udp any any eq non500-isakmp
permit udp any eq 3000 any
permit udp any eq 10000 any
permit tcp any any eq 1723
permit tcp any eq 1723 any
permit tcp any any established
deny ip any any
ip access-list extended ServiceLAN
deny ip 192.16.3.0 0.0.0.255 192.168.17.0 0.0.0.255
permit ip any any
ip access-list extended intLAN
deny ip 192.168.17.0 0.0.0.255 172.16.17.0 0.0.0.255
permit ip any any
!
logging trap debugging
access-list 10 remark Permittable Subnet To Access
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.17.0 0.0.0.255
access-list 10 permit 172.16.17.0 0.0.0.255
access-list 10 permit 172.16.237.0 0.0.0.255
access-list 100 remark [Deny NAT fuer VPN Clients Only ]=-
access-list 100 deny ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.17.0 0.0.0.255 any
access-list 100 permit ip 172.16.17.0 0.0.0.255 any
access-list 120 remark [kein NAT fuer VPN traffic]
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 remark [VPN Traffic speziell sperren]
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.2
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.5
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.8
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.9
access-list 122 deny ip any any
access-list 122 remark
access-list 130 remark [kein NAT fuer VPN traffic Service]
access-list 130 permit ip 172.16.237.0 0.0.0.255 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
Hey,
du den Cisco wieder seine Arbeit machen lassen, packst den Zyxel hinter den Cisco und machst Port forwarding der ganzen Ports für die Telefonie. Dann kann der Speedlink die Telefonie bereitstellen und du kannst voll und ganz ohne Router Kaskade den Cisco wieder nutzen....
du den Cisco wieder seine Arbeit machen lassen, packst den Zyxel hinter den Cisco und machst Port forwarding der ganzen Ports für die Telefonie. Dann kann der Speedlink die Telefonie bereitstellen und du kannst voll und ganz ohne Router Kaskade den Cisco wieder nutzen....
Moin,
ich würde das anders machen:
zwei Möglichkeiten:
lks
ich würde das anders machen:
zwei Möglichkeiten:
- eine bintec-elmeg be.ip oder be.ip plus, die auch vpn kann und Dir voip auf ISDN umsetzt.
- Wirf den speedlink weg und die(oder eine) Cisco als VDSL/VPN-Router. um die Telefonanlage dann an Voip dranzupappen nimmst Du entweder eine IP-Modul zu einer uns unbekannten Telefonanlage oder eine Fritzbox die nur für die Umsetzung VOIP/ISDN- Zuständig ist.
lks
Nun kam mir die Idee den Cisco wieder zu verwenden, die Idee wäre der Speedlink routet alles zum Cisco.
Mit einer Router Kaskade ist das ja kinderleicht und auch sehr sinnvoll das so zu machen um die bestehende Infrastruktur weiter betreiben zu können ! Wo ist hier dein wirkliches Problem:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bei dir scheitert es daran das schlicht und einfach deine Cisco Konfig für das neue Design vollkommen falsch ist oben und so ja niemals mit dem Speedlink in der Kaskade laufen kann.
Das sieht auch ein IT Azubi sofort.
Grund ist das du immer noch PPPoE Eincapsulation machst auf dem Cisco WAN Port !
Das ist ja totaler Blödsinn, denn die Speedlink (Zyxel) Gurke macht ja nun das PPPoE Dialin und stellt nur noch einen normalen LAN Ethernet Port zur Verfügung für den Cisco.
Folglich musst du auch doch logischerweise den WAN Port des Cisco umfonfigurieren, das sagt einem doch schon der gesunde Menschenverstand !!
Also, der Reihe nach....
Nehmen wir mal an die Speedlink Gurke arbeitet auf dem Ethernet mit seinem Default Netzwerk 192.168.100.0 /24 und hat die IP Adresse .1 dort
https://www.zyxel.com/de/de/uploads/images/1404_BA_SL5501_1.2_de.pdf (Seite 4 !)
Dann änderst du die Cisco Konfig folgendermaßen:
!
interface FastEthernet4
description WAN-Port auf Speedlink LAN
ip address 192.168.100.254 255.255.255.0
no ip redirects
no ip unreachables
no cdp enable
duplex auto
speed auto
!
Dialer Interface mit no interface Dialer 0 löschen, denn der Cisco macht ja in dieser neuen Konstellation kein PPPoE mehr sondern nur noch simples Ethernet !!
Weitere Anpassungen der Cisco Konfig:
ALLE ip nat inside source... Kommandos mit no davor löschen !!!
Der Cisco macht ja auch kein NAT mehr, denn das erledigt ja nun die Zyxel Gurke davor ! Die NAT Port Forwardings musst du dann jetzt logischerweise dort einrichten.
Als letztes definierst du eine feste statische Default Route vom Cisco auf den Speedlink:
ip route 0.0.0.0 0.0.0.0 192.168.100.1
Das wars...!
Nun verbindest du den Cisco FastEth 4 Port (WAN) mit einem Patchkabel mit einem der LAN Ports des Zyxel.
Dann machst einen Ping Test auf dem Cisco CLI das du die .100.1 IP des Zyxel anpingen kannst. Das sollte dann fehlerlos klappen.
Jetzt musst du noch gemäß deiner auf dem Cisco verwendeten IP Netze ein paar statische Routen auf dem Zyxel definieren damit der diesen IP Traffic zum Cisco sendet !!
Zielnetz: 172.16.0.0, Maske: 255.255.0.0, Gateway: 192.168.100.254
Zielnetz: 192.168.0.0, Maske: 255.255.224.0, Gateway: 192.168.100.254
Fertisch... !
Die erste Route routet alle 172.16er Netze auf den Cisco (Gast und Service Segment)
Die zweite Route routet alle 192.168.0.x bis .31.254 Netze auf den Cisco (Internes LAN und VPN Pools)
Dann richtest du noch ein Port Forwarding auf dem Speedlink ein das die IPsec VPN Ports:
- UDP 500
- UDP 4500
- ESP Protokoll mit der IP Nummer 50
Fertig ist der Lack !
So und nicht anders wird ein Schuh draus.
Die Konfig Änderungen sind in 10 Minuten auf dem Cisco und Speedlink erledigt und so hast du wieder ein sinnvolles Netzwerk mit all deinen Funktionen.
Wie man einen Cisco Router so planlos mit so einer billigen Plastikgurke ersetzen kann ist nicht nachzuvollziehen. Ein Unding für eine Firma, denn das ist ein billiges Consumer System für Oma Gretes Zuhausenetz nicht aber für eine Firma. Alein die fehlende VPN Funktion spricht ja schon Bände !
Da hat einer (Praktikant usw.) nicht wirklich gewusst was er tut um es mal sehr vorsichtig zu formulieren !
Mit der o.a. Kaskaden Konfig bekommst du es aber genau so wieder hin wie es war....wenn man es denn richtig macht !
Hallo aqui,
danke für deine Ausführliche Beschreibung.
mit der Cisco Config hatte ich geschrieben, das dies die ursprüngliche Konfiguration war
Im Zykel hatte ich die statische route eingrichtet
Ich hatte den Dialer schon entfernt, ip route eingerichtet,..... ich hatte diese nur nicht parat als ich den Forum Eintrag schrieb. Ich hatte aber vergessen die NAT Einträge zu löschen.
Ich habe nun die Config passend angepasst, wie Du es Ausführlich beschrieben hast mit folgendem Ergebniss: (PC ist an LAN1 am Cisco eingesteckt und hat eine feste 192.168.17 Adresse)
ich kann vom Cisco den Zykel 192.168.100.1 anpingen
ich kann vom Cisco die google 172.217.21.67 anpingen
vom PC kann ich den Zykel, bzw. google nicht anpingen.
Warum nicht? Hier meine aktuelle Konfiguration:
no ip source-route
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
ip domain name axsun.local
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ14529130
!
!
username xxxxxxxx
username xxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnintern
key xx234,SdRsdf
pool VPN-Pool
acl 120
max-users 2
!
crypto isakmp client configuration group vpnextern
key xx#2,.s34lSvpn
pool VPN-Pool
acl 120
max-users 1
!
crypto isakmp client configuration group vpnservice
key xx4,.s37lSvpn
pool VPN-Pool
acl 120
max-users 2
crypto isakmp profile vpn-ike-profile-1
match identity group vpnintern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
crypto isakmp profile vpn-ike-profile-2
match identity group vpnextern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 2
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN Servce VPN Port
switchport access vlan 50
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port auf Speedlink LAN
ip address 192.168.100.254 255.255.255.0
no ip redirects
no ip unreachables
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1 type tunnel
description VPN-intern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template2 type tunnel
description VPN-extern
ip unnumbered Vlan1
ip access-group 122 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered Vlan1
ip access-group 131 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan50
description Service VLAN
ip address 172.16.237.1 255.255.255.0
ip access-group ServiceLAN in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.22
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip route 0.0.0.0 0.0.0.0 192.168.100.1
!
logging trap debugging
access-list 120 remark [kein NAT fuer VPN traffic]
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 remark [VPN Traffic speziell sperren]
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.2
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.5
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.8
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.9
access-list 122 deny ip any any
access-list 122 remark
access-list 131 remark [VPN-Service Traffic speziell zulassen]
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.208
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.209
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.210
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.211
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.212
access-list 131 deny ip any any
access-list 131 remark
no cdp run
danke für deine Ausführliche Beschreibung.
mit der Cisco Config hatte ich geschrieben, das dies die ursprüngliche Konfiguration war
Im Zykel hatte ich die statische route eingrichtet
Ich hatte den Dialer schon entfernt, ip route eingerichtet,..... ich hatte diese nur nicht parat als ich den Forum Eintrag schrieb. Ich hatte aber vergessen die NAT Einträge zu löschen.
Ich habe nun die Config passend angepasst, wie Du es Ausführlich beschrieben hast mit folgendem Ergebniss: (PC ist an LAN1 am Cisco eingesteckt und hat eine feste 192.168.17 Adresse)
ich kann vom Cisco den Zykel 192.168.100.1 anpingen
ich kann vom Cisco die google 172.217.21.67 anpingen
vom PC kann ich den Zykel, bzw. google nicht anpingen.
Warum nicht? Hier meine aktuelle Konfiguration:
no ip source-route
!
ip dhcp excluded-address 192.168.17.1 192.168.17.49
!
ip dhcp pool gastLAN
import all
network 172.16.17.0 255.255.255.0
default-router 172.16.17.1
!
!
ip cef
no ip bootp server
no ip domain lookup
ip domain name axsun.local
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FCZ14529130
!
!
username xxxxxxxx
username xxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnintern
key xx234,SdRsdf
pool VPN-Pool
acl 120
max-users 2
!
crypto isakmp client configuration group vpnextern
key xx#2,.s34lSvpn
pool VPN-Pool
acl 120
max-users 1
!
crypto isakmp client configuration group vpnservice
key xx4,.s37lSvpn
pool VPN-Pool
acl 120
max-users 2
crypto isakmp profile vpn-ike-profile-1
match identity group vpnintern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 1
crypto isakmp profile vpn-ike-profile-2
match identity group vpnextern
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 2
crypto isakmp profile vpn-ike-profile-3
match identity group vpnservice
client authentication list vpn_xauth_ml_1
isakmp authorization list vpn_group_ml_1
client configuration address respond
virtual-template 3
!
!
crypto ipsec transform-set encrypt-method-1 esp-3des esp-sha-hmac
!
crypto ipsec profile VPN-Profile-1
set transform-set encrypt-method-1
!
!
!
!
!
!
interface FastEthernet0
description LAN intern Port
!
interface FastEthernet1
description LAN intern Port
!
interface FastEthernet2
description LAN Servce VPN Port
switchport access vlan 50
!
interface FastEthernet3
description LAN Gast Port
switchport access vlan 2
!
interface FastEthernet4
description WAN-Port auf Speedlink LAN
ip address 192.168.100.254 255.255.255.0
no ip redirects
no ip unreachables
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1 type tunnel
description VPN-intern
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template2 type tunnel
description VPN-extern
ip unnumbered Vlan1
ip access-group 122 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Virtual-Template3 type tunnel
description VPN-service
ip unnumbered Vlan1
ip access-group 131 in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN-Profile-1
!
interface Vlan1
description LAN-intern
ip address 192.168.17.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description Gast LAN
ip address 172.16.17.1 255.255.255.0
ip access-group GastLAN in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan50
description Service VLAN
ip address 172.16.237.1 255.255.255.0
ip access-group ServiceLAN in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
ip local pool VPN-Pool 192.168.2.20 192.168.2.22
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip route 0.0.0.0 0.0.0.0 192.168.100.1
!
logging trap debugging
access-list 120 remark [kein NAT fuer VPN traffic]
access-list 120 permit ip 192.168.17.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 remark [VPN Traffic speziell sperren]
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.2
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.5
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.8
access-list 122 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.9
access-list 122 deny ip any any
access-list 122 remark
access-list 131 remark [VPN-Service Traffic speziell zulassen]
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.208
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.209
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.210
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.211
access-list 131 permit ip 192.168.2.0 0.0.0.255 host 192.168.17.212
access-list 131 deny ip any any
access-list 131 remark
no cdp run
mit der Cisco Config hatte ich geschrieben, das dies die ursprüngliche Konfiguration war
Oooops...sorry, überlesen im Eifer des Gefechts.Im Zykel hatte ich die statische route eingrichtet
Eine reicht ja nicht 
ich hatte diese nur nicht parat als ich den Forum Eintrag schrieb.
Schlecht, denn eine falsche und unvollständige Beschreibung verwirrt ja nur die Community hier und kann niemals zu einer zielführenden Hilfe führen. Das hätte dir aber auch selber klar sein sollen..!ich kann vom Cisco den Zykel 192.168.100.1 anpingen
OK, das ist schonmal gut. Vermutlich nutzt der Cisco aber die 192.168.100.254 als Absender IP für sein Ping. Mit der IP hat er dann ja eine direkte Verbindung und dann ist es klar das es klappt.Das du einen Google IP wie z.B. 8.8.8.8 auch pingen kann ist schonmal gut, zeigt aber auch das der Cisco vermutlich wieder die 192.168.100.254 als Absender IP nimmt für den Ping.
Mache bitte mal ein extended Ping beim Cisco. Das geht indem du nur das Kommando ping eingibst. Dann springt der Router in einen Dialog indem du die Absender IP des Pings angeben kannst wenn du die Frage Extended Commands mit yes benatwortest. Damit kannst du dann ein Ping vom lokalen LAN Segment 192.168.17.0 /24 simulieren:
Cisco#ping
Protocol [ip]:
Target IP address: 8.8.8.8
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.17.1
Type of service :
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.168.17.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/48/48 ms
Hier solltest du dann auch mal die IP Adresse des Zyxels angeben. Die MUSS in jedem Fall pingbar sein vom PC.
Es gibt eigentlich nur 3 mögliche Fehler die du gemacht haben kannst:
- a.) Der PC steckt nicht auf einem Port der mit VLAN 1 verbunden ist ! Kannst du vom PC die 192.168.17.1 pingen ?
- b.) Die IP Adresse und Gateway des PC stimmt nicht im VLAN 1 ! Hast du das mal mit ipconfig -all überprüft ? Gateway und DNS sollten wenn du es statisch konfiguriert auf die Cisco IP eingestellt sein 192.168.17.1. Ping darauf sollte klappen !
- c.) Die statische Route im Zyxel ist falsch oder fehlt für das 192.168.17.0er Netz ! Dort muss sowas stehen wie ip route 192.168.17.0 255.255.255.0 192.168.100.254.
Diese 3 Punkte solltest du nochmal genauestens prüfen. Ggf. macht es Sinn auf dem Cisco auch einen DHCP Pool für die automatische IP Adressvergabe in VLAN 1 zu konfigurieren, dann kannst du ggf. Fehler mit der statischen Vergabe ausschliessen. Die Kommandos
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.17.1 192.168.100.99
ip dhcp excluded-address 192.168.17.150 192.168.100.254
!
ip dhcp pool vlan1local
network 192.168.17.0
default-router 192.168.17.1
dns-server 192.168.17.1
domain-name franksvlan1.intern
!
richten einen Pool mit 50 IP Adressen von .100 bis .150 für das VLAN1 ein.
