Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst cisco router 2 gateways für verschiedene Clients

Mitglied: Dkuehlborn

Dkuehlborn (Level 1) - Jetzt verbinden

05.12.2008, aktualisiert 10.12.2008, 17955 Aufrufe, 14 Kommentare, 1 Danke

Hallo Cisco-Spezialisten,

ich habe ein Problem bei einem Kunden. Dort sind zwei verschiedene Internezugänge vorhanden.

1. T-DSL-Business 16000
2. T-Interconnect

Ich habe die folgende Interfaces auf dem Router 1811:

VLAN1: 192.168.10.x/24 (Lokales Netzwerk)
FastEthernet1: 192.168.12.x (Netzwerk zum Router für T-DSL-Business)
FastEthernet2: 192.168.13.x (Netzwerk zum Router von T-Interconnect; in der realen Konfig ist dies natürlich keine lokale IP)

Die lokalen PC und Server nutzen zurzeit die folgende Konfiguration und haben über T-DSL-Business eine Verbindung zum Internet:

IP-Adresse: 192.168.10.x
Gateway: 192.168.10.250 (Der Cisco 1811)

Über den T-Interconnect werden Mails versendet und empfangen. Der Mailserver und der Server für Virenprüfung hängt zurzeit an einem anderen Router

Die Server die über T-Interconnect Mails senden und Empfangen haben zur zeit die folgenden Konfiguration:

IP-Adresse: 192.168.10.x
Gateway: 192.168.10.240 (alter Router der abgelöst werden soll)

Ich hoffe, dass dieses bis dahin soweit verständlich ist.

Mein Ziel ist es die beiden Server für Mail ebenfalls über den Cisco 1811 an das Internet zu binden. Für diese Server sollte die Route im Cisco jedoch über das Interface Fastethernet2 laufen z.B.:
IP Route 0.0.0.0 0.0.0.0 192.168.12.250 (Default-Route für allgemeine PC über Interface FastEthernet1)
IP Route 0.0.0.0 0.0.0.0 192.168.13.250 (Default-Route für Mail-PC über Interface FastEthernet2)

Kann man so etwas Einrichten oder muss ich mir hier etwas anderes einfallen lassen? Die aktuelle Konfiguration läßt zurzeit nicht zu, dass die Mail-Server in einer DMZ ausgelagert werden, d.h. die Mailserver bleiben im Netzwerk 192.168.10.x.

So nun hoffe ich, dass Ihr mir vielleicht ein paar Gedanken für einen Lösungsansatz geben könnt.

Viele Grüße und Dank im Voraus

Dieter
Mitglied: aqui
06.12.2008 um 21:38 Uhr
Ja, natürlich ist deine Konfiguration einfach und problemlos möglich !

Bevor wir hier ins Eingemachte gehen solltest du aber erstmal verifizieren ob dein Netzwerk so aussieht:

69bd14bade4ae327c480ef0b28703a73-cisconetz - Klicke auf das Bild, um es zu vergrößern

Das ist wichtig fürs Verständnis und die richtige Konfig.

Der Schlüssel zur Lösung deiner Anforderung ist ein Policy based Routing auf dem Cisco 1811.
Die default Route auf dem 1811 wird ja vermutlich derzeit auf den T-DSL Business Router zeigen, so das in einer Standard Konfig alles erstmal über diesen Router geht.
Du musst nun den Verkehr der beiden Mailserver ausfiltern und sie an eine andere Gatway IP Adresse senden nämlich an den T-Interconnect Router.
Eben genau das mach PBR !! Und so gehts:
(Beispiel Mailserver haben die 192.168.10.200 und .201 )
Filterliste auf dem Cisco 1811 anlegen:

access-list 110 permit ip host 192.168.10.200 any
access-list 110 permit ip host 192.168.10.201 any

Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:

route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254
(IP Addresse T-Interconnect Router !)

Dann PBR Policy auf dem Interface aktivieren:

interface vlan 1
ip address 192.168.10.x 255.255.255.0
ip policy route-map t-inter


Das wars ! Das reroutet den gesamten Verkehr der beiden Server über T-Interconnect und der Rest geht über T-DSL Business.
Solltest du ausnahmslos nur Mail Traffic der Server (und keinen Web, FTP oder anderen Traffic) rerouten kannst du die ACL auch noch entsprechend enger ziehen mit den TCP Ports der Email Applikationen...
Bitte warten ..
Mitglied: Dkuehlborn
07.12.2008 um 13:32 Uhr
Hallo Aqui,

du hast es genau auf den Punkt gebracht. Ich habe zwar über policy based routing gelesen aber ich konnte mir nicht vorstellen, wie ich es in diesem Fall umsetze. Deine Vorstellung vom Aufbau des Netzwerkes ist absolut korrekt.

Danke für Deine Mühe

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
08.12.2008 um 09:36 Uhr
Wenns das war und es funktioniert bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: Dkuehlborn
08.12.2008 um 15:18 Uhr
Hallo Aqui,

ich habe mal Deinen Lösungsansatz versucht umzusetzen. Es funktioniett jedoch noch nicht. Hier ist meine Config:

Sobald ich die Zeile

ip policy route-map t-inter

rausnehme, kann ich wieder vom PC ins Internet.
Ich habe das NAT in Verdacht gehabt und habe die folgende Zeile eingebaut:

ip nat inside source route-map t-inter interface fastethernet1 overload

Leider ihne Erfolg.

Ich hoffe Du hast noch irgend eine Idee.

Viele Dank und Grüße

Dieter
Bitte warten ..
Mitglied: Dkuehlborn
09.12.2008 um 01:19 Uhr
Hallo Aqui,

ich habe mein Problem mit dem folgenden Code lösen können:

Im Interface FastEthernet1 muss die folgende Anweisung gelöscht werden.

Diese wird bei der Erstellung von der Firewall mittels SDM automatisch eingetragen. So ist es mir ergangen.

Vielen Dank und Grüße

Dieter
Bitte warten ..
Mitglied: aqui
09.12.2008 um 17:39 Uhr
Gut wenns jetzt klappt. Mit debug policy map kannst du auf dem Router verifizieren, das die Packete auch ans richtige Interface bzw. Router gehen.

Du könntest zusätzlich noch eine Sicherung einbauen: Wenn du jeweils den anderen Router in die next Hop Definition konfigurierst würde die Policy Map den DSL Router nehmen falls der Interconnect Router als erste Next Hop Definition einmal ausfällt.
So hast du für deine Mailserver noch ne Redundanz
Bitte warten ..
Mitglied: Markus1234B
10.12.2008 um 08:48 Uhr
Hallo Zusammen,
ich habe genau die selbe Anwendung mit einem Cisco 1812 und zwei DSL Routern dahinter. Wollte das Testweise mal nachstellen aber da ich in Sachen Cisco absoluter Anfänger bin, bekomme ich das nicht ans laufen.
Zur momentanen Konfig:
Vlan1: 10.130.10.5/24 Port 2-9
ETH0: 192.168.0.2 --->daran ist DSL Router 1 angeschlossen (IP 192.168.0.1)
ETH1: 192.168.1.2---> daran soll DSL Router 2 angeschlossen werden (ist aber noch nicht)
Die Firewall ist noch inaktiv,und als Standard route habe ich 0.0.0.0 0.0.0.0 192.168.0.1 Distance 1, Permanente Route No eingegeben. Also wenn ich vom Cisco Router einen Ping auf den DSL-Router mache funktioniert das. Wenn ich aber als Source IP für den Ping das Vlan von Port 2-9 angebe habe ich timeouts.
Muss die Firewall denn konfiguriert werden damit ich das Netz hinter dem Cisco erreiche??

Gruss

M.
Bitte warten ..
Mitglied: Dkuehlborn
10.12.2008 um 11:16 Uhr
Hallo Markus,

wir sieht den Deine gesamte Konfig aus? Welche ACL hast Du programmiert?

Du kannst dieses nur dann zum Laufen bringen, wenn am ETH1 auch eine Router angeschlossen ist, der eine Verbindung zum Internet hat.

Eine Beispielkonfig könnte wie folgt aussehen. Ich gehe davon, das die Hosts 10.130.10.200 und 10.130.10.201 über ETH1 ins Internet sollen. Diese sollte aber im Bereich der Zugriffsberechtigungen (ACL) und Firewall noch bearbeitet werden. Für einen Funktionstest ist es jedoch in Ordnung:

Ich hoffe, dass ich in meiner Beispielkonfig nicht irgend einen Fehler habe. Nach meinem Kentnissstand sollte es aber so funktionieren. Sollten Probleme auftreten, so können wir gerne über Deine Konfig schauen.

Viele grüße

Dieter
Bitte warten ..
Mitglied: Markus1234B
10.12.2008 um 11:35 Uhr
Hallo Dieter,

erstmal vielen Dank. Der ganze Aufbau dient erstmal zum testen und spielen, deswegen habe ich nur einen DSL Router an ETH0. Sollte aber rein vom Verständins doch funktionieren oder nicht? Werd die Beispielkonfig mal "einbauen"..

Gruss

Markus
Bitte warten ..
Mitglied: Markus1234B
10.12.2008 um 12:05 Uhr
Hallo Dieter,

geht irgendwie nicht..

Was ich eigentlich im moment erreichen möchte, ist das aus VLAN1 alle Adressen ins Internet über ETH0 gehen bis auf die zwei (.200 und 201).

Gruss

M.


interface FastEthernet0
description $ETH-WAN$
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 130.130.244.88 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
!
ip http server
no ip http secure-server
ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overload
!
access-list 10 deny 130.130.244.200
access-list 10 deny 130.130.244.201
access-list 10 permit 130.130.244.0 0.0.0.255
access-list 20 permit 130.130.244.200
access-list 20 permit 130.130.244.201
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
!
!
!
route-map dsl2 permit 10
match ip address 10
set interface FastEthernet0
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet1
set ip next-hop 192.168.1.1
Bitte warten ..
Mitglied: Dkuehlborn
10.12.2008 um 12:53 Uhr
Hallo Markus,

schau die mal die Anweisungen für das NAT an. Dort sind die Interfaces vertauscht.

Es müsste lauten:

In den Anweisungen route-map sind ebenfalls die Interfaces vertauscht.

Es müsste lauten:

Viele Grüße

Dieter
Bitte warten ..
Mitglied: Markus1234B
10.12.2008 um 13:06 Uhr
Hallo Dieter,

die habe ich getauscht, weil ich wollte das Vlan 1 auf ETh 0 routet( bis auf die 200 und 201) und eth0
hat ja die IP 192.168.0.2 mit dem angeschlossenen Router 192.168.0.1.
Hab ich jetzt zweimal gedreht und doch alles verkehrt??...

Gruss

Markus
Bitte warten ..
Mitglied: net-walker
22.04.2009 um 09:30 Uhr
hi aqui,

mit welchen prog. hast du den schönen Übersichts-Netzwerkplan erstellt. Würde mich brennend interessieren!

wars an addon von Visio ? (wenn ja, welche Version ist das)

danke
Bitte warten ..
Mitglied: aqui
09.07.2009 um 10:25 Uhr
Das ist Visio mit ein paar Cisco Logos geschmückt
Bitte warten ..
Ähnliche Inhalte
Router & Routing
1 Adressbereich - 2 Gateways
gelöst Frage von Alexander90Router & Routing10 Kommentare

Hallo zusammen, ich Suche nach einer einfachen Möglichkeit den Internet-Traffic einzelner Geräte über einen VPN-Server zu schicken (z.B. ein ...

LAN, WAN, Wireless
Cisco RV180W - Client VPN
Frage von MarkowitschLAN, WAN, Wireless3 Kommentare

Hallo lieber Netzwerker, ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet ...

Router & Routing
Cisco 2950 als DCHP Client
Frage von Windows10GegnerRouter & Routing23 Kommentare

Hallo, ich würde gerne meinen Switch als DHCP-Client betreiben, sodass der sich beim Boten die passende festgelegte IP vom ...

Netzwerkmanagement

Cisco Wireless Controller - Client finden

gelöst Frage von maretzNetzwerkmanagement8 Kommentare

Moin, gibt es eine Möglichkeit via CLI bei einem Cisco Wireless Controller rauszufinden auf welchem Accesspoint sich ein Gerät ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 1 TagiOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 1 TagSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS18 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Router & Routing
Vigor 165 vs. Fritzbox 7590
Frage von servilianusRouter & Routing13 Kommentare

Liebe Fachleute, bisher betreibe ich folgende Konstellation Büro: 50.000er-Leitung VDSL Telekom -> Fritzbox 7590 Exposed Host -> Vigor Draytek ...

Windows Server
MS Server 2019 Berechnung Lizenzen Check
gelöst Frage von anteNopeWindows Server10 Kommentare

Hallo zusammen, ich bräuchte nur kurz eine Bestätigung meiner Berechnung und mache es deshalb kurz: 1x Server, 1 Sockel, ...