michael5612
Goto Top

Cisco 2800 als gateway

Hallo,

in einem Netzwerk gibt es einen Router des Providers, der mir drei öffentliche IPs zur Verfügung stellt.
Nun soll der Cisco als Gateway dienen (und in weiterer Folge auch SSL-VPN ermöglichen, das aber nebenbei und vorallem später).

Ich habe es schon geschafft den Cisco so weit zu konfigurieren, dass ich von diesem aus sowohl in das LAN als auch ins Internet pingen kann. Ein Client, welcher den Router als Gateway eingetragen hat, bekommt allerdings keine Verbindung zum Internet.

Laut den Angaben meines Kollegen sollte das so funktionieren, hier mal die Konfiguration:
(123.123.123.x sind Dummys, FE0/1 ist mit dem WAN verbunden, FE0/0 LAN)

--
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gateway
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *
enable password *
!
no aaa new-model
!
ip cef
!
ip name-server 195.3.96.67
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
archive
log config
hidekeys
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.123.15 255.255.255.0
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 123.123.123.124 255.255.255.248
duplex auto
speed auto
!
ip default-gateway 123.123.123.123
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password *
login
!
scheduler allocate 20000 1000
end
--

Ich hatte es auch schon mit 'ip route 0.0.0.0 0.0.0.0 123.123.123.123' versucht, erfolglos.
Falls noch weitere Infos benötigt werden, einfach schreiben.
Ich hoffe jemand kann mir helfen ;)

Content-ID: 103079

Url: https://administrator.de/contentid/103079

Ausgedruckt am: 26.11.2024 um 15:11 Uhr

spacyfreak
spacyfreak 02.12.2008 um 05:26:37 Uhr
Goto Top
Wie wäre es mit NAT bzw. PAT?
Die privaten IP-Adressen des Intranets können im Internet ja nicht geroutet werden, also musst du NAT (oder besser gesagt Overload bzw. PAT) konfigurieren damit die ausgehenden IP-Pakete als Quell-IP keine private IP haben sondern deine öffentliche.
Die Clients schicken zwar auch ohne PAT Pakete raus aufgrund der Ziel-IP - doch wie soll da je eine Antwort zurückkommen wenn keiner im Internet weiss wie er zu Deinem privaten Netz routen soll?
Die Quell-IP in den Paketen muss daher eine öffentliche IP sein, also eine der IPs die du vom ISP bekommen hast, dann finden Antwortpakete auch den Weg back Home.

router(config)#access-list 100 permit 192.168.123.0 0.0.0.255
router(config)#ip nat inside source list 100 interface FastEthernet1 overload
router(config)#interface fa0/0
router(config-if)#ip nat inside
router(config-if)#exit
router(config)#interface fa0/1
router(config-if)#ip nat outside
router(config-if)#no shut
router(config-if)#end
router#copy run start

Die Default Route auf dem Router bestimmt wohin die Pakete gehen für die keine explizite Route besteht.
Das sollte der "next Hop" sein, bzw. die IP-Adresse am "anderen Ende der WAN Seite". Alternativ "könnte" auch deine Konfiguration funktionieren indem du das lokale Interface der WAN Schnittstelle angibst.
Falls nicht dann probier es mit der "next Hop IP-Adresse".#

Ausserdem wäre es kein Fehler den Router bisschen abzusichern.

username admin privilege 15 password 0 pa55w0rd

line vty 0 15
login
login local
aqui
aqui 02.12.2008 um 17:43:19 Uhr
Goto Top
Nimmt man das alles zusammen sähe eine einigermaßen sauber funktionierende Konfig für dich so aus:


service timestamps debug datetime msec
service timestamps log datetime localtime
!
hostname gateway
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
logging buffered
!
ip name-server 195.3.96.67
!
interface FastEthernet0/0
description Lokales LAN
ip address 192.168.123.254 255.255.255.0
(Router IP besser ganz oben oder unten im IP Bereich !!!)
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
description Link zum Provider
ip address 123.123.123.124 255.255.255.248
ip nat outside
ip access-group noaccess in
(Kein Ping und Telnet von aussen möglich !!)
no cdp enable
(Damit nicht jeder gleich deinen Cisco sieht im Internet !!)
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <ip_adresse_ProviderRouter>
!
ip nat inside source list 101 interface Fa0/1 overload
!
access-list 101 permit ip 192.168.123.0 0.0.0.255 any
!
ip access-list extended noaccess
deny tcp any host 123.123.123.124 eq telnet
deny icmp any host 123.123.123.124 echo
permit ip any any
(Kein Ping und Telnet von aussen möglich !!)
!
no ip http server
(Damit keiner im Internet auf dem Router rumfummelt !!)
no ip http secure-server
(ebenso..)
!
ip sntp server ptbtime2.ptb.de
(Damit die Uhrzeit im Logg stimmt !!)


Wenn der Router auch noch DHCP machen soll (Bereich .1 bis .149) für die LAN Clients dann kommt noch dies dazu:

ip dhcp pool 0
network 192.168.123.0 255.255.255.0
default-router 192.168.123.254
dns-server 195.3.96.67

ip dhcp excluded-address 192.168.123.150 192.168.123.254


Denk dran das der Cisco kein DNS Proxy macht. Du musst also einen internen DNS Server mit weiterleitung oder den DNS des Providers auf den Endgeräten konfigurieren !!
sysad
sysad 03.12.2008 um 00:40:19 Uhr
Goto Top
Zitat von @aqui:
@aqui:

wieso das?

(Router IP besser ganz oben oder unten im IP Bereich !!!)


Danke!
aqui
aqui 03.12.2008 um 15:22:35 Uhr
Goto Top
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und nicht zwingend...und es funktioniert mit jeglicher IP in einem Segment.
michael5612
michael5612 03.12.2008 um 21:20:58 Uhr
Goto Top
Hallo,

danke an alle für die Antworten, wird mir mit Sicherheit weiter helfen.
Ausprobieren kann ich es leider erst nach Weihnachten (Gott seis gedankt - ich habe Urlaub).

Der Router ist natürlich mit Passwörtern gesichert, ich habe diese nur für den Post im Forum entfernt.

Gruß
Michael
sysad
sysad 03.12.2008 um 22:17:29 Uhr
Goto Top
Zitat von @aqui:
Damit das nicht mit wilden DHCP Ranges oder Benutzern kollidiert bei
der IP Adress Verteilung und so zu IP Tohuwabohu führt
Generell hast du natürlich Recht ist das kosmetisch und
nicht zwingend...und es funktioniert mit jeglicher IP in einem
Segment.

Schon gut, gute Optik ist ja heutzutage oft das ausschlaggebende Kriterium...


aqui
aqui 08.12.2008 um 09:42:52 Uhr
Goto Top
Wenns das jetzt war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
michael5612
michael5612 30.12.2008 um 10:16:42 Uhr
Goto Top
Besten Dank an alle für die Hilfe, funktioniert alles Bestens!