magic-alwin
Goto Top

Cisco C1111 Router, routet nicht

Hallo zusammen,

ich möchte einen Cisco C1111-4PLTEEA Router einrichten.

Jetzt habe ich das Problem:
- Ich kann ( über Console) , das Internet (interface Cellular0/2/0) erreichen.
- Ich kann ( über Console) , das LAN-01 Internet (interface GigabitEthernet0/0/0) erreichen.
- Ich kann ( über Console) , das LAN-02 WLAN-Access-Point (interface GigabitEthernet0/0/1) erreichen.
- die DNS-Auflösung ( über Console) ist auch in Ordnung.

Vom Laptop (192.168.1.100) komme ich nicht ins Internet (weder über CMD noch über http)
die DNS-Auflösung funktioniert jedoch!


Zum Testaufbau:

Aktuell habe ich das interface Cellular0/2/0 als Internetverbindung via LTE herstellt.
Am Interface GigabitEthernet0/0/0 ist der Laptop direkt angeschlossen und bekommt via DHCP auch seine Adresse
(192.168.1.100).
Am Interface GigabitEthernet0/0/1 ist der ein Fritz.Repeater direkt angeschlossen und bekommt via DHCP auch seine Adresse (192.168.178.100).

Hier meine angepasste Config:

!
! Last configuration change at 16:19:31 UTC Mon May 8 2023
!
version 17.6
service timestamps debug datetime msec
service timestamps log datetime msec
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
ip name-server 10.74.210.210 10.74.210.211
ip dhcp excluded-address 192.168.178.0 192.168.178.99
ip dhcp excluded-address 192.168.178.200 192.168.178.255
ip dhcp excluded-address 192.168.1.0 192.168.1.99
ip dhcp excluded-address 192.168.1.200 192.168.1.255
!
ip dhcp pool 192.168.1.1
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1 
 dns-server 192.168.1.1 
 lease 0 0 1
!
ip dhcp pool 192.168.178.1
 network 192.168.178.0 255.255.255.0
 default-router 192.168.178.1 
 dns-server 192.168.178.1 
 lease 0 0 1
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXXX
 revocation-check none
 rsakeypair TP-self-signed-XXXXXXXXXX
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3093964891
 certificate self-signed 01
  XXXXXXXX
  	quit
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  XXXXXXXX
  	quit
!
!
license udi pid C1111-4PLTEEA sn XXXXXXXXXX
memory free low-watermark processor 70210
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username dennis privilege 15 secret 9 XXXXXXXXXX
!
redundancy
 mode none
!
controller Cellular 0/2/0
 lte modem link-recovery disable
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/0/1
 ip address 192.168.178.1 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface Cellular0/2/0
 ip address negotiated
 ip tcp adjust-mss 1460
 dialer in-band
 dialer idle-timeout 0
 dialer-group 1
 ipv6 enable
 pulse-time 1
!
interface Cellular0/2/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
!
ip http server
ip http authentication local
ip http secure-server
ip forward-protocol nd
ip dns server
ip route 0.0.0.0 0.0.0.0 Cellular0/2/0
!
!
!
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 transport input none
 stopbits 1
line vty 0 4
 login
 transport input ssh
line vty 5 14
 login
 transport input ssh
!
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"  
  active
  destination transport-method http
!
!
!
!
!
!
end


Ich finde den Fehler nicht!

Content-Key: 7071239067

Url: https://administrator.de/contentid/7071239067

Printed on: July 27, 2024 at 12:07 o'clock

Member: iDeathz
Solution iDeathz May 08, 2023 at 21:14:21 (UTC)
Goto Top
Hi, habe bisher noch keinen Kontakt mit den Cisco Devices. Wenn ich die Konfig aber richtig verstehe fehlt dir die NAT Konfiguration 😊

Schaue mal hier: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...

Jedoch bin ich mir nicht sicher ob du das für deine Firmware anwenden kannst.
Member: aqui
Solution aqui May 09, 2023 updated at 07:42:02 (UTC)
Goto Top
Das hiesige Cisco Router Tutorial hast du zu der Thematik gelesen?!
Das sollte alle deine Fragen umfassend beantworten.

Kollege @iDeathz hat Recht: Ohne das bei jeglichen Internet Routern erforderliche NAT (IP Adress Translation) am WAN Port wird das generell nix, denn deine lokalen lokalen 192.168er RFC IP Netze sind im Internet ja bekanntlich nicht routebar.
Konfiguriere das (ip nat inside/outside), dann wird das auch sofort klappen! Tutorial lesen hilft wirklich. 😉
Aktuell habe ich das interface Cellular0/2/0 als Internetverbindung via LTE herstellt.
Da fehlt aber irgendwie noch das korrespondierende PPP Dialer Interface in der Konfig. 🤔
https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...
Member: aqui
Solution aqui May 18, 2023 at 07:17:46 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!!
Member: Magic-Alwin
Magic-Alwin May 19, 2023 at 16:44:26 (UTC)
Goto Top
Ich werde am Dienstag eine Config einstellen und es dann schliessen,
bin z.Zt unterwegs und kommen nicht an den Router ran
Member: aqui
aqui May 19, 2023 at 17:48:20 (UTC)
Goto Top
👍 Wir sind gespannt... face-wink
Member: Magic-Alwin
Solution Magic-Alwin May 22, 2023 at 05:27:42 (UTC)
Goto Top
Hier, ist meine jetzige Config

!
! Last configuration change at 16:19:31 UTC Mon May 8 2023
!
version 17.6
service timestamps debug datetime msec
service timestamps log datetime msec
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
ip name-server 8.8.8.8 8.8.4.4
ip dhcp excluded-address 192.168.178.0 192.168.178.99
ip dhcp excluded-address 192.168.178.200 192.168.178.255
ip dhcp excluded-address 192.168.1.0 192.168.1.99
ip dhcp excluded-address 192.168.1.200 192.168.1.255
!
ip dhcp pool 192.168.1.1
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1 
 dns-server 192.168.1.1 
 lease 0 1
!
ip dhcp pool 192.168.178.1
 network 192.168.178.0 255.255.255.0
 default-router 192.168.178.1 
 dns-server 192.168.178.1 
 lease 0 1
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXXX
 revocation-check none
 rsakeypair TP-self-signed-XXXXXXXXXX
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3093964891
 certificate self-signed 01
  XXXXXXXX
  	quit
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  XXXXXXXX
  	quit
!
!
license udi pid C1111-4PLTEEA sn XXXXXXXXXX
memory free low-watermark processor 70210
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username dennis privilege 15 secret 9 XXXXXXXXXX
!
redundancy
 mode none
!
controller Cellular 0/2/0
 lte modem link-recovery disable
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 description Lokal LAN - Port 0/0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 negotiation auto
!
interface GigabitEthernet0/0/1
 description Lokal WLAN - Port 0/0/1
 ip address 192.168.178.1 255.255.255.0
 ip nat inside
 negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface Cellular0/2/0
 description Primary_Internet via LTE
 ip address negotiated
 ip nat outside
 ip tcp adjust-mss 1460
 dialer in-band
 dialer idle-timeout 0
 dialer-group 1
 ipv6 enable
 pulse-time 1
!
interface Cellular0/2/1
 no ip address
 shutdown
!
interface Vlan1
 no ip address
!
ip http server
ip http authentication local
ip http secure-server
ip forward-protocol nd
ip dns server
ip nat inside source list 101 interface Cellular0/2/0 overload
ip route 0.0.0.0 0.0.0.0 Cellular0/2/0
!
!
ip access-list extended 101
 10 permit ip 192.168.1.0 0.0.0.255 any
 20 permit ip 192.168.178.0 0.0.0.255 any
!
!
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 transport input none
 stopbits 1
line vty 0 4
 login
 transport input ssh
line vty 5 14
 login
 transport input ssh
!
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"  
  active
  destination transport-method http
!
!
!
!
!
!
end

Ihr hatte alle recht !

Es fehlten "nur" die NAT-Einträge
Member: aqui
aqui May 22, 2023 updated at 07:55:23 (UTC)
Goto Top
Ein paar kosmetische Fehler in deiner Konfig solltest du besser noch bereinigen:

  • Google DNS Nameserver anzugeben ist ziemlicher Unsinn und machen heute nur noch Dummies. Jedermann weiss das damit Nutzungsprofile erstellt werden die Google dann weltweit an Dritte vermarktet. Wenn dir deine eigene Datensicherheit also etwas wert ist lässt du diesen Unsinn und verwendest datenschutzfreundliche DNS wie HIER oder HIER. Nebenbei ist es auch völlig überflüssig einen statischen DNS im Router zu definieren, denn den bekommt mit ppp ipcp dns request der Router IMMER dynamisch vom Provider automatisch über das Dialer Interface mitgeteilt (fehlt in deiner Konfig oben). Kannst du mit dem Kommando show hosts auch immer selber sehen! Solltest du also besser wieder entfernen. Ganz besonders die Google Schnüffelei.
  • Ebenso ist auch eine feste, statische Route unsinnig und auch kontraproduktiv. Auch diese bekommt der Router über das Dialer Interface mit dem Kommando ppp ipcp route default dort immer automatisch vom Provider! Kannst du auch entfernen.
  • Das Zeitformat solltest du mit service timestamps log datetime localtime show-timezone year entsprechend einstellen was dir das Logging erleichtert.
  • Die automatische Sommerzeit Umstellung mit clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 fehlt.
  • Ein NTP Zeitserver fehlt der die Uhrzeit nach dem Booten immer korrekt setzt (Logging und Zertifikate!) ntp server ntps1-0.cs.tu-berlin.de und ntp update-calendar Öffentliche NTP Server in D findest du u.a. HIER.
  • Eine Adresse .255 im DHCP zu exkluden ist überflüssiger Unsinn, denn das ist bekanntlich die Broadcast Adresse des /24er Netzes die so oder so funktionell niemals im DHCP vergeben wird.
  • Einen ungeschützten HTTP Server auf dem Router zu aktivieren ist fahrlässig und gefährlich. Wenn du unbedingt meinst HTTP zu brauchen solltest du wenn, dann nur den Secure Server aktivieren.
  • Eine Access Liste die den Zugriff auf den Router beschränkt ist sinnvoll und wichtig. Leider fehlt diese komplett so das der Router auch frei aus dem Internet zugänglich ist. Das solltest du besser korrigieren.
  • Eine aktive Firewall CBAC oder ZFW fehlt vollständig.

Etwas Handarbeit zum perfekten Finish täte deiner o.a. Konfig also noch gut und ein doch etwas genauerer Blick in das hiesige Cisco Tutorial was auf alle diese Punkte der Konfiguration im Detail eingeht!
Wirklich lesen und verstehen hilft also! 😉