Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kein Zugriff auf WAN Cisco 1812

Frage Netzwerke Router & Routing

Mitglied: ozer

ozer (Level 1) - Jetzt verbinden

08.05.2013, aktualisiert 15:43 Uhr, 1804 Aufrufe, 11 Kommentare

Hallo zusammen,

habe ein kleinen Cisco 1812 in meiner Testumgebung und paar Probleme damit.

Vom Router kann ich z.b. heise.de pingen. Das geht soweit. Aber vom Client aus geht das leider nicht. Der Name wird korrekt per DNS aufgelöst.

Die Cisco hat die Ip Adressen 192.168.100.111 und die xx.xx.xx.170, das Cable Modem hat die Ip xx.xx.xx.169...

Hier mal meine running-config. Eventuell sieht ja jemand gleich den Fehler.
VLAN und sicherheit ist bewusst erst einmal minimiert.

Current configuration : 1654 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DE1
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
ip cef
!
interface FastEthernet0
ip address 192.168.100.111 255.255.255.0
ip access-group 101 in
ip access-group 101 out
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
ip address xx.xx.xx.170 255.255.255.252
ip access-group 101 in
ip access-group 101 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
no cdp enable
!
interface FastEthernet2
shutdown
no cdp enable
!
interface FastEthernet3
shutdown
no cdp enable
!
interface FastEthernet4
shutdown
no cdp enable
!
interface FastEthernet5
shutdown
no cdp enable
!
interface FastEthernet6
shutdown
no cdp enable
!
interface FastEthernet7
shutdown
no cdp enable
!
interface FastEthernet8
shutdown
no cdp enable
!
interface FastEthernet9
shutdown
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.169
!
ip http server
ip http authentication local
no ip http secure-server
!
access-list 101 permit ip any any
snmp-server community public RO
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password xxxxxx
login
!
no process cpu extended
no process cpu autoprofile hog
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end



Vielen Dank für eure Hilfe.

Mitglied: killtec
08.05.2013 um 14:33 Uhr
Hi,
ich hatte so etwas mit eine ASA5505, dort musste ich über Firewallregeln erst das ICMP erlauben.
Zum Testen in der Access-list 101:
permit icmp any any

Gruß
Bitte warten ..
Mitglied: ozer
08.05.2013, aktualisiert um 15:11 Uhr
Ich kann leider weder pingen noch sonst irgendwie traffic ins WAN senden.
Habe aber trotzdem deinen Tipp getestet und einen icmp explizit freigegeben. Geht immernoch nicht ;)

Als Nachtrag noch meine show ip routes

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is xx.xx.xx.169 to network 0.0.0.0

xx.0.0.0/30 is subnetted, 1 subnets
C xx.xx.xx.168 is directly connected, FastEthernet1
C 192.168.100.0/24 is directly connected, FastEthernet0
S* 0.0.0.0/0 [1/0] via xx.xx.xx.169
DE1#Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
Bitte warten ..
Mitglied: killtec
08.05.2013, aktualisiert um 15:19 Uhr
Zitat von ozer:
S* 0.0.0.0/0 [1/0] via xx.xx.xx.169

sollte die statische Route nicht auf die 170 (IP-Adresse des Modems) zeigen? an die übergibt der Router als next hop die Daten.
Evtl. lässt sich über ein bestimmtes interface pingen. Weiß ich aktuell nicht genau ob das ging.

Gruß
Bitte warten ..
Mitglied: ozer
08.05.2013 um 15:42 Uhr
Hast natürlich recht, mir ist beim tippen vom Text ein Fehler unterlaufen.

.169 ist das Modem, .170 das zweite INterface vom Router.
Bitte warten ..
Mitglied: DerSchorsch
08.05.2013 um 16:23 Uhr
Hallo,

spontan würde ich sagen deine NAT-Konfig ist nicht vollständig. Du hast zwar ip nat inside bzw. outside bei den Interfaces definiert, mehr aber nicht.
Da müsste dann noch sowas hin:

access-list 1 permit 192.168.100.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet1 overload


Gruß,
Schorsch
Bitte warten ..
Mitglied: brammer
08.05.2013 um 18:34 Uhr
Hallo,

Mal eine blöde Frage, an welchem Interface des Routers ist der Rechner mit welcher IP angeschlossen??

Laut deiner Conifg sind die beiden Interfaces fa0 und fa1 mit IP's des Router belegt.
Alle anderen Interfaces sind shutdown...

Wo bitte ist der Rechner angeschlossen?

brammer
Bitte warten ..
Mitglied: aqui
10.05.2013 um 23:47 Uhr
Welchen Gateway Eintrag hat denn dein Client ?? Zeigt der auch auf die IP des Cisco ??
Ebenso: Welchen DNS Eintrag hat dein Client. Sofern der Cisco Proxy DNS ist muss er auch auf die IP des Cisco zeigen wenigstens aber auf die Provider DNS IP !
Hast du das beachtet ?? Ein ipconfig -all (Winblows) oder ifconfig (Unix) zeigt dir diese Client Einstellungen.

Ein Praxisbeispiel wie so ein Cisco richtig zu konfigurieren ist findest du hier:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Das sollte eigentlich alle deine Fragen beantworten... ?!

Nochwas: Deine Accessliste 101 ist totaler Schwachsinn, sorry. Damit permittest du alles incoming und outgoing. Die Liste und die Interface Kommandos kannst du dann auch gleich komplett weglöschen, das hat den gleichen Effekt !
Bitte warten ..
Mitglied: ozer
13.05.2013 um 09:24 Uhr
Hallo,

vielen Dank für die Antworten.

@DerSchorsch
Danke für den Tipp, werde ich gleich ergänzen.

@bremmer:
Der PC ist an fa0 mit einer Ip aus dem Bereich 192.168.100.50-100 angeschlossen

@aqui
GW ist der Cisco also die 192.168.100.111, Dns ist mein DNS Server im Netz (192.168.100.104)
Die Anleitung werde ich mir jetzt mal anschauen, ich denke dann sollte ich meinen Fehler auch finden. Ich werde berichten.

Das die ACL schwachsinn ist, ist mir klar, wollte zum testen halt den Fehler ausschließen das keine ACL alles blockiert, Daher habe ich erst mal alles freigegeben.

Grüße
Bitte warten ..
Mitglied: aqui
13.05.2013, aktualisiert um 09:31 Uhr
Solange du keine ACL am Interface konfigurierst ist immer ALLES erlaubt ! Vermutlich machst du hier einen Denkfehler ! Lass also den ganzen ACL Quatsch erstmal weg !
OK, GW ist dann richtig.
Bei deinem DNS Server musst du zwingend darauf achten das der dann eine Weiterleitung an den Cisco hat sofern du den Cisco als Proxy DNS eingerichtet hast ?! (Siehe Beispiel Konfig im Tutorial)
Wenn du ihn nicht als Proxy DNS eingerichtet hast muss als Weiterleitung dort die Provider DNS stehen in deinem Server ! Vergiss das nicht !
Besser ist immer die Einrichtung des Cisco als Proxy DNS:
interface Dialer0
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip dns server

Damit klappt es dann sicher !
Bitte warten ..
Mitglied: ozer
13.05.2013 um 16:33 Uhr
Danke an alle für die Hilfe.
Schorsch hatte den richtigen Tip mit dem Nat.

Nachdem ich mich etwas in Ciscos Whitepapers eingelesen habe, hat es dann auch funktioniert.

danke
Bitte warten ..
Mitglied: aqui
13.05.2013 um 16:56 Uhr
Die oben genannte Cisco_Beispielkonfiguration zeigt das ja auch schwarz auf weiss !!
Gut wenns nun klappt....
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Cisco 1812 ISR Hardwaredefekt?
gelöst Frage von ozerRouter & Routing9 Kommentare

Hallo zusammen, ich habe hier eine Cisco 1812 ISR, die mit als Internetrouter, als Firewall und VPN Server dient. ...

Router & Routing
Cisco 1812 Vlan1 kein Zugriff ausserhalb des Routers
gelöst Frage von ozerRouter & Routing6 Kommentare

Hallo zusammen, ich habe ein kleines Problem. Ich nutze ein Cisco 1812 version 15.1 und habe aktuell ein funktionierendes ...

Switche und Hubs
Cisco Switch 1812 Konfigurieren
Frage von OsiMacSwitche und Hubs2 Kommentare

Hallo, ich habe einen alten Cisco Switch /Router 1812 von einem Kollegen bekommen. Jetzt wollte ich den gerne Konfigurieren. ...

Router & Routing
Cisco 888E Router-WAN Interface
gelöst Frage von AMD9558Router & Routing6 Kommentare

Hallo, ich habe da mal folgende Frage. Ich habe auf der Arbeit einen Cisco 888E Router ausgegraben. Da dieser ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 8 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 12 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 12 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 15 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...