7
Cisco C1111 Router, routet nicht
Hallo zusammen,
ich möchte einen Cisco C1111-4PLTEEA Router einrichten.
Jetzt habe ich das Problem:
- Ich kann ( über Console) , das Internet (interface Cellular0/2/0) erreichen.
- Ich kann ( über Console) , das LAN-01 Internet (interface GigabitEthernet0/0/0) erreichen.
- Ich kann ( über Console) , das LAN-02 WLAN-Access-Point (interface GigabitEthernet0/0/1) erreichen.
- die DNS-Auflösung ( über Console) ist auch in Ordnung.
Vom Laptop (192.168.1.100) komme ich nicht ins Internet (weder über CMD noch über http)
die DNS-Auflösung funktioniert jedoch!
Zum Testaufbau:
Aktuell habe ich das interface Cellular0/2/0 als Internetverbindung via LTE herstellt.
Am Interface GigabitEthernet0/0/0 ist der Laptop direkt angeschlossen und bekommt via DHCP auch seine Adresse
(192.168.1.100).
Am Interface GigabitEthernet0/0/1 ist der ein Fritz.Repeater direkt angeschlossen und bekommt via DHCP auch seine Adresse (192.168.178.100).
Hier meine angepasste Config:
Ich finde den Fehler nicht!
ich möchte einen Cisco C1111-4PLTEEA Router einrichten.
Jetzt habe ich das Problem:
- Ich kann ( über Console) , das Internet (interface Cellular0/2/0) erreichen.
- Ich kann ( über Console) , das LAN-01 Internet (interface GigabitEthernet0/0/0) erreichen.
- Ich kann ( über Console) , das LAN-02 WLAN-Access-Point (interface GigabitEthernet0/0/1) erreichen.
- die DNS-Auflösung ( über Console) ist auch in Ordnung.
Vom Laptop (192.168.1.100) komme ich nicht ins Internet (weder über CMD noch über http)
die DNS-Auflösung funktioniert jedoch!
Zum Testaufbau:
Aktuell habe ich das interface Cellular0/2/0 als Internetverbindung via LTE herstellt.
Am Interface GigabitEthernet0/0/0 ist der Laptop direkt angeschlossen und bekommt via DHCP auch seine Adresse
(192.168.1.100).
Am Interface GigabitEthernet0/0/1 ist der ein Fritz.Repeater direkt angeschlossen und bekommt via DHCP auch seine Adresse (192.168.178.100).
Hier meine angepasste Config:
!
! Last configuration change at 16:19:31 UTC Mon May 8 2023
!
version 17.6
service timestamps debug datetime msec
service timestamps log datetime msec
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
ip name-server 10.74.210.210 10.74.210.211
ip dhcp excluded-address 192.168.178.0 192.168.178.99
ip dhcp excluded-address 192.168.178.200 192.168.178.255
ip dhcp excluded-address 192.168.1.0 192.168.1.99
ip dhcp excluded-address 192.168.1.200 192.168.1.255
!
ip dhcp pool 192.168.1.1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
lease 0 0 1
!
ip dhcp pool 192.168.178.1
network 192.168.178.0 255.255.255.0
default-router 192.168.178.1
dns-server 192.168.178.1
lease 0 0 1
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXXX
revocation-check none
rsakeypair TP-self-signed-XXXXXXXXXX
!
crypto pki trustpoint SLA-TrustPoint
enrollment pkcs12
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3093964891
certificate self-signed 01
XXXXXXXX
quit
crypto pki certificate chain SLA-TrustPoint
certificate ca 01
XXXXXXXX
quit
!
!
license udi pid C1111-4PLTEEA sn XXXXXXXXXX
memory free low-watermark processor 70210
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username dennis privilege 15 secret 9 XXXXXXXXXX
!
redundancy
mode none
!
controller Cellular 0/2/0
lte modem link-recovery disable
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet0/0/1
ip address 192.168.178.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface Cellular0/2/0
ip address negotiated
ip tcp adjust-mss 1460
dialer in-band
dialer idle-timeout 0
dialer-group 1
ipv6 enable
pulse-time 1
!
interface Cellular0/2/1
no ip address
shutdown
!
interface Vlan1
no ip address
!
ip http server
ip http authentication local
ip http secure-server
ip forward-protocol nd
ip dns server
ip route 0.0.0.0 0.0.0.0 Cellular0/2/0
!
!
!
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
transport input none
stopbits 1
line vty 0 4
login
transport input ssh
line vty 5 14
login
transport input ssh
!
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
!
!
!
!
!
!
endIch finde den Fehler nicht!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7071239067
Url: https://administrator.de/contentid/7071239067
Printed on: July 27, 2024 at 00:07 o'clock
7 Comments
Latest comment
Hi, habe bisher noch keinen Kontakt mit den Cisco Devices. Wenn ich die Konfig aber richtig verstehe fehlt dir die NAT Konfiguration 😊
Schaue mal hier: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Jedoch bin ich mir nicht sicher ob du das für deine Firmware anwenden kannst.
Schaue mal hier: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Jedoch bin ich mir nicht sicher ob du das für deine Firmware anwenden kannst.
Das hiesige Cisco Router Tutorial hast du zu der Thematik gelesen?!
Das sollte alle deine Fragen umfassend beantworten.
Kollege @iDeathz hat Recht: Ohne das bei jeglichen Internet Routern erforderliche NAT (IP Adress Translation) am WAN Port wird das generell nix, denn deine lokalen lokalen 192.168er RFC IP Netze sind im Internet ja bekanntlich nicht routebar.
Konfiguriere das (ip nat inside/outside), dann wird das auch sofort klappen! Tutorial lesen hilft wirklich. 😉
https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...
Das sollte alle deine Fragen umfassend beantworten.
Kollege @iDeathz hat Recht: Ohne das bei jeglichen Internet Routern erforderliche NAT (IP Adress Translation) am WAN Port wird das generell nix, denn deine lokalen lokalen 192.168er RFC IP Netze sind im Internet ja bekanntlich nicht routebar.
Konfiguriere das (ip nat inside/outside), dann wird das auch sofort klappen! Tutorial lesen hilft wirklich. 😉
Aktuell habe ich das interface Cellular0/2/0 als Internetverbindung via LTE herstellt.
Da fehlt aber irgendwie noch das korrespondierende PPP Dialer Interface in der Konfig. 🤔https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!!
Ich werde am Dienstag eine Config einstellen und es dann schliessen,
bin z.Zt unterwegs und kommen nicht an den Router ran
bin z.Zt unterwegs und kommen nicht an den Router ran
👍 Wir sind gespannt... 
Hier, ist meine jetzige Config
Ihr hatte alle recht !
Es fehlten "nur" die NAT-Einträge
!
! Last configuration change at 16:19:31 UTC Mon May 8 2023
!
version 17.6
service timestamps debug datetime msec
service timestamps log datetime msec
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
ip name-server 8.8.8.8 8.8.4.4
ip dhcp excluded-address 192.168.178.0 192.168.178.99
ip dhcp excluded-address 192.168.178.200 192.168.178.255
ip dhcp excluded-address 192.168.1.0 192.168.1.99
ip dhcp excluded-address 192.168.1.200 192.168.1.255
!
ip dhcp pool 192.168.1.1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
lease 0 1
!
ip dhcp pool 192.168.178.1
network 192.168.178.0 255.255.255.0
default-router 192.168.178.1
dns-server 192.168.178.1
lease 0 1
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXXX
revocation-check none
rsakeypair TP-self-signed-XXXXXXXXXX
!
crypto pki trustpoint SLA-TrustPoint
enrollment pkcs12
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3093964891
certificate self-signed 01
XXXXXXXX
quit
crypto pki certificate chain SLA-TrustPoint
certificate ca 01
XXXXXXXX
quit
!
!
license udi pid C1111-4PLTEEA sn XXXXXXXXXX
memory free low-watermark processor 70210
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username dennis privilege 15 secret 9 XXXXXXXXXX
!
redundancy
mode none
!
controller Cellular 0/2/0
lte modem link-recovery disable
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface GigabitEthernet0/0/0
description Lokal LAN - Port 0/0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
negotiation auto
!
interface GigabitEthernet0/0/1
description Lokal WLAN - Port 0/0/1
ip address 192.168.178.1 255.255.255.0
ip nat inside
negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface Cellular0/2/0
description Primary_Internet via LTE
ip address negotiated
ip nat outside
ip tcp adjust-mss 1460
dialer in-band
dialer idle-timeout 0
dialer-group 1
ipv6 enable
pulse-time 1
!
interface Cellular0/2/1
no ip address
shutdown
!
interface Vlan1
no ip address
!
ip http server
ip http authentication local
ip http secure-server
ip forward-protocol nd
ip dns server
ip nat inside source list 101 interface Cellular0/2/0 overload
ip route 0.0.0.0 0.0.0.0 Cellular0/2/0
!
!
ip access-list extended 101
10 permit ip 192.168.1.0 0.0.0.255 any
20 permit ip 192.168.178.0 0.0.0.255 any
!
!
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
transport input none
stopbits 1
line vty 0 4
login
transport input ssh
line vty 5 14
login
transport input ssh
!
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
!
!
!
!
!
!
endIhr hatte alle recht !
Es fehlten "nur" die NAT-Einträge
Ein paar kosmetische Fehler in deiner Konfig solltest du besser noch bereinigen:
Etwas Handarbeit zum perfekten Finish täte deiner o.a. Konfig also noch gut und ein doch etwas genauerer Blick in das hiesige Cisco Tutorial was auf alle diese Punkte der Konfiguration im Detail eingeht!
Wirklich lesen und verstehen hilft also! 😉
- Google DNS Nameserver anzugeben ist ziemlicher Unsinn und machen heute nur noch Dummies. Jedermann weiss das damit Nutzungsprofile erstellt werden die Google dann weltweit an Dritte vermarktet. Wenn dir deine eigene Datensicherheit also etwas wert ist lässt du diesen Unsinn und verwendest datenschutzfreundliche DNS wie HIER oder HIER. Nebenbei ist es auch völlig überflüssig einen statischen DNS im Router zu definieren, denn den bekommt mit ppp ipcp dns request der Router IMMER dynamisch vom Provider automatisch über das Dialer Interface mitgeteilt (fehlt in deiner Konfig oben). Kannst du mit dem Kommando show hosts auch immer selber sehen! Solltest du also besser wieder entfernen. Ganz besonders die Google Schnüffelei.
- Ebenso ist auch eine feste, statische Route unsinnig und auch kontraproduktiv. Auch diese bekommt der Router über das Dialer Interface mit dem Kommando ppp ipcp route default dort immer automatisch vom Provider! Kannst du auch entfernen.
- Das Zeitformat solltest du mit service timestamps log datetime localtime show-timezone year entsprechend einstellen was dir das Logging erleichtert.
- Die automatische Sommerzeit Umstellung mit clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 fehlt.
- Ein NTP Zeitserver fehlt der die Uhrzeit nach dem Booten immer korrekt setzt (Logging und Zertifikate!) ntp server ntps1-0.cs.tu-berlin.de und ntp update-calendar Öffentliche NTP Server in D findest du u.a. HIER.
- Eine Adresse .255 im DHCP zu exkluden ist überflüssiger Unsinn, denn das ist bekanntlich die Broadcast Adresse des /24er Netzes die so oder so funktionell niemals im DHCP vergeben wird.
- Einen ungeschützten HTTP Server auf dem Router zu aktivieren ist fahrlässig und gefährlich. Wenn du unbedingt meinst HTTP zu brauchen solltest du wenn, dann nur den Secure Server aktivieren.
- Eine Access Liste die den Zugriff auf den Router beschränkt ist sinnvoll und wichtig. Leider fehlt diese komplett so das der Router auch frei aus dem Internet zugänglich ist. Das solltest du besser korrigieren.
- Eine aktive Firewall CBAC oder ZFW fehlt vollständig.
Etwas Handarbeit zum perfekten Finish täte deiner o.a. Konfig also noch gut und ein doch etwas genauerer Blick in das hiesige Cisco Tutorial was auf alle diese Punkte der Konfiguration im Detail eingeht!
Wirklich lesen und verstehen hilft also! 😉