Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco hat Internet - Computer nicht

Mitglied: PharIT

PharIT (Level 1) - Jetzt verbinden

15.02.2017, aktualisiert 12:05 Uhr, 3335 Aufrufe, 21 Kommentare

Hi allerseits,

im Stadium mit meinen "Cisco-Übungen" bin ich mal wieder an einem Punkt, wo ein Rat toll wäre.

Habe zwei Internetanschlüsse an meinem Cisco, die jetzt auch beide laufen. Das Problem ist nur, wenn ich alle meine Geräte über

ip route 0.0.0.0 0.0.0.0 dialer0

rausschicke, haben die kein Internet... Der Cisco selbst löst pings zu google.de bestens auf und pingt sie an, daher suche ich im NAT und access-lists. Richtig soweit?

sh ip route:
Regeln:
Access Lists:
VLAN, wo alle dran sind
Edit: Und natürlich der Dialer selbst, sorry:
Wäre toll, wenn mir jemand helfen könnte.



Viele Grüße,

PharIT
Mitglied: aqui
15.02.2017, aktualisiert um 14:19 Uhr
Es fehlt das wichtigste Kommando damit der Dialer überhaupt per PPPoE rauswählt !!!

dialer-list 1 protocol ip list 103
als Schrotschuss geht auch:
dialer-list 1 protocol ip permit
Besser ist aber die erste Version.
Ohne das kann nix gehen...

Was zum Troubleshooting wichtig ist:
sh ip route
sh ip int brie

Zum Testen von den Clients erstmal immer ne nackte IP versuchen (z.B. 8.8.8.8)
Das 2te Overload (NAT) Interface solltest du erstmal zum testen auf shutdown setzen.

Lesenswert auch dieser Thread dazu:
https://www.administrator.de/content/detail.php?id=326292&token=154
Bitte warten ..
Mitglied: PharIT
15.02.2017, aktualisiert um 15:54 Uhr
Hi Aqui,

ist ja kaum zu glauben, wem Du noch alles nebenher hilfst


Leider habe ich nicht das Problem aus dem anderen Thread. Wenn ich über mein anderes Interface (GigabitEthernet8) reingehe, läuft ja alles. Das heißt mein VLAN1 macht das ip nat inside korrekt. Der Ping läuft perfekt durch zu 8.8.8.8 und auch trace zeigt die Stationen über M-Net, wo mein PPPoe läuft (das andere, was schon geht, ist Kabel)

Das hier ist meine Config, wenn ich das Internet über 0.0.0.0 0.0.0.0 dialer0 erzwinge:
(wenn ich über 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx <- fixe IP von Kabel gehe, dann läuft es bestens...)

Mein sh ip route sieht doch so gut aus, oder?
sh ip int brief zeigt mir das hier
Hast Du noch irgendeine Idee? Wäre super.

Viele Grüße,

PharIT
Bitte warten ..
Mitglied: PharIT
15.02.2017 um 15:57 Uhr
Da fällt mir auf, hat mein Dialer zwei IP-Adressen???
Bitte warten ..
Mitglied: aqui
15.02.2017, aktualisiert um 17:28 Uhr
Das ist normal, das ist einmal die Provider IP und die des PPPoE Tunnels am xDSL Anschluss.

Wie gesagt das kann nur noch was mit dem NAT und Routing zu tun haben. Du bist 3mm vor dem Ziel
Mmmhhh etwas komisch sieht deine Routing Tabelle schon aus... So sollte sie eingentlich aussehen:
C = Connected L = Local S = Static
Was auffällig ist das bei dir 2 wichtige Einträge fehlen:
  • Gateway of last resort is 217.1.2.3 to network 0.0.0.0
  • S* 0.0.0.0/0 [1/0] via 217.1.2.3
Der letzte Routing Eintrag mit dem "*" ist die Default Route, der Stern kennzeichnet diese. Die fehlt irgendwie.
Gateway of Last resort ist das Gateway an das der Cisco alles schickt was er sonst nicht los wird. Die Default Route.
Das müsste zu sehen sein, bei dir fehlt das aber...

Kann es sein das du beides, also ipcp def route im Dialer und die stat Route aktiv hast ??
Das solltest du besser erstmal vermeiden. Normal überbügelt die statische Route alles aber um sicherzugehen solltest du entweder oder machen.
Eleganter ist immer ipcp def route. Sonst das löschen und statische Route 0.0.0.0 oder andersrum.

Dann strategisch vorgehen.
Beispiel IPs hier von einer aktuell laufenden Kiste...musst dir deine denken !
  • Erstmal alle weiteren Internet Interfaces auf shutdown setzen ! Nur LAN und WAN aktiv
  • Nochmals alle NAT relevanten Kommados querchecken minimal ist das nötig:
Lokales LAN Interface:
interface Vlan1
description Lokales LAN
ip address 192.168.1.254 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!

Dialer:
interface Dialer0
description Dialin DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz passwort geheim
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
(---> Wenn konfiguriert KEINE def. Route !)
no cdp enable

NAT Overload (PAT):
ip nat inside source list 103 interface Dialer0 overload
access-list 103 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip list 103

Statische Default Route:
ip route 0.0.0.0 0.0.0.0 int dialer 0

(Nur konfigurieren wenn KEIN ppp ipcp route default im Dialer !!
Entweder oder..
Danach nochmal Check der Routing Tabel ob Last resort und "*" Route da ist ?
Client am lokalen LAN checken:
Mit ipconfig -all ob IP Adress passt zum lokalen LAN und die Cisco IP anpingbar ist
Wenn ja pinge mal die Provider IP bei dir die 82.135.16.28. Müsste auch gehen vom Client
Wenn ja muss auch ein Ping 8.8.8.8 gehen.

Noch ein wichtiger Test falls es immer noch nicht klappt dann schalte testweise mal die Firewall mit NO ip inspect myfw out auf dem Dialer Interface aus !
Keine Sorge passiert nichts, denn die NAT Firewall ist noch aktiv. Kann aber sein das du in der CBAC ACL noch einen Fehler hast und deshalb ICMP Echo Ping nicht durchgeht.
Ohne die FW am Dialer solle es sofort gehen. Wenn nicht dann nimm zusätzlich auch die inbound ACL 111 weg mit NO ip access-group 111 in
Spätestens dann sollte es aber klappen, denn dann hast du nichts mehr als deinen NAT Prozess dazwischen. Zum Testen ist das auch noch sicher..keine Sorge.
Bitte warten ..
Mitglied: PharIT
15.02.2017 um 18:17 Uhr
Hi Aqui,

tausend Dank Dir für die Hilfe, leider noch immer nichts...
Hatte auch alle Lists mal aus, ebenso die Firewall. Könntest Du vielleicht nochmals einen Blick darauf werfen?
Zumindest die Routing-Tabelle entspricht nun Deinen Vorstellungen: (Nur weiß ich nicht, ob dort meine IP an der richtigen Stelle steht (die 9xx):
VLAN:
Dialer stimmt auch, oder?
Routes
Access-Lists:
Bitte warten ..
Mitglied: aqui
15.02.2017, aktualisiert um 18:34 Uhr
Dein Dialer 0 oben ist auf shutdown !!!!
Da ist dann aber klar das gar nix geht !!

Mach ein sh ip in brie da siehst du immer den Status der Interfaces.
Das physische Interface und das dazu korrespondierende Dialer Interface dürfen NICHT auf shutdown sein.
Kannst du auch selber checken, denn wenn ein Ping ins Internet vom CLI Prompt klappt dann ist auch der Internet Anschluss aktiv ?

Zum Schluss noch die Kardinalsfrage: Kann es sein das evtl. auf dem Router kein IP Routing aktiviert ist ?
Bei einigen Modellen MUSS als Global Command dediziert ip routing eingegeben werden um das zu aktivieren !
Ansonsten fällt mir auch nicht mehr viel ein...außer einem Defekt was ich aber durch den funktionierenden Internet Port nicht wirklich glaube.
Im Zweifel mit write erase alles platt machen und nochmal ganz sauber von vorne anfangen und erstma ausschliesslich nur das DSL zum Fliegen bringen.
Bitte warten ..
Mitglied: PharIT
15.02.2017 um 22:18 Uhr
HI Aqui,

habe ich nun erledigt und die ganze Config nur mit PPPoe aufgebaut -hat bestens funktioniert nach Deinen ganzen Hilfestellungen. Tausend Dank für Deine Hilfe und Geduld!

Nun ist es so, dass wenn ich meinen zweiten Internetzugang via Kabel "einschalte" (no sh) und die Route darüber erzwinge, läuft auch alles. Schalte ich den GigabitEthernet8 aber wieder aus, funktioniert mein Dialer-Internet hier am Rechner erst wieder wenn ich:
eingebe und es somit entferne.


Weißt Du, wie ich nun weiter machen kann, wenn ich meine beiden Internetanschlüsse ordentlich nutzen will? Ich würde gerne den VPN über beide IPs erreichen wollen, da ich gemerkt habe, dass M-Net mir unabsichtlich eine feste IP per DHCP vergibt.


Viele Grüße,

PharIT
Bitte warten ..
Mitglied: PharIT
15.02.2017 um 22:33 Uhr
Und wie kann ich dann einen "intelligenten" Lastenausgleich aus Beiden erzeugen? Im Moment scheinen sie ja noch zu konkurrieren...
Bitte warten ..
Mitglied: aqui
16.02.2017 um 09:48 Uhr
Das NAT auf beiden Interfaces sollte eigentlich nichts bewirken und sauber funktionieren:
Du kannst es an einem Cisco eigenen Beispiel sehen was exakt deinem entspricht, einmal PPPoE einmal DHCP:
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...

Ich vermute das die dynamische Default Route Injizierung hier das eigentliche Problem ist. Das gilt sowohl für den PPPoE Dialin Port als auch für den Kabel TV Port mit DHCP.
Es ist wenigstens so das das nur auf einem Port geht. Der andere muss dan statisch oder mit einer PBR Policy Map konfiguriert werden.
Das o.a. Cisco Beispiel zeigt das wie es geht. Das ist zwar erstmal ein einfaches Failover entsprich aber ja exakt deinem Design mit einem PPPoE und einem DHCP Port beide per NAT ins Internet !
Du kannst es ja mal spaßeshalber so definieren. Erstmal so nackt nur NAT ohne Firewall und CBAC und das verifizieren. Das sollte so fehlerfrei laufen.
Bitte warten ..
Mitglied: PharIT
17.02.2017, aktualisiert um 23:10 Uhr
Hi Aqui,

vielen Dank Dir! Nach dem ausgiebigen Studium des Beitrags hänge ich noch an einer Sache.

Da auch mein Kabelanbieter mir eine fixe IP gegeben hat, und es hier etwas umständlich geregelt ist, habe ich per

ip route 0.0.0.0 0.0.0.0 109.xx.xx.xx

den nächsten Hop definiert, während das GigabitEthernet8 Kabel-WAN-Interface meine statische IP trägt. Es wird dann ja aber alles über den next hop geschickt, sobald der steht. Kann ich den nächsten Hop irgendwo definieren, wo es nur den Internetaufbau von meinem GigabitEthernet8 beeinflusst, sodass ich den Lastenausgleich aufsetzen kann?

Und da ich ja kein DHCP dann habe, wie ändert sich der folgende Config-Eintrag aus Deinem Beispiel?

ip nat inside source route-map dhcp-nat interface GigabitEthernet8 overload




Wäre super, wenn Du mir dazu eine Antwort hättest



Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
18.02.2017 um 19:21 Uhr
Was genau meinst du mit "den nächsten Hop irgendwo definieren" ??
Der nächste Hop nach dem Privider ist ein interner Provider Router. Dahin hast du ja keinerlei Einfluss.
Oder meinst du deinen beiden statischen Routen im Cisco ?
Hier geht es nach Reihenfolge wenn du 2 Default Routen hast. Irgendwie musst du dem Router ja sagen welche gelten soll sonst verwirrst du ihn
2 Default Routen kann es ja nicht geben.
Du kannst eine Metrik am Ende der Route vergeben, dann zieht er die eine oder die andere vor. Nutzen tut er aber immer nur eine...klar.
Wenn du beide aktiv nutzen willst musst du mit einer Route Map den Traffic klassifizieren der über den einen oder den anderen Links soll mit Backup.
Hier findest du ein Beispiel:
https://www.administrator.de/articles/detail.php?id=103423
Bitte warten ..
Mitglied: PharIT
19.02.2017 um 14:07 Uhr
Hi Aqui,

Vielen Dank! Habe es probiert, wie in dem Thread -kommt aber nicht zum Fliegen Könntest Du mal schauen?

Mein GigEth8 Interface bekommt eine feste IP, ich sollte aber den hächsten Hop laut meinem Netzbetreiber kommunizieren (bisher tat ich das über ip route 0.0.0.0 0.0.0.0 nexthopip) jetzt würde das aber ja meinen PPPoe Anschluss dann gesamt ignorieren. FastEth hält den PPPoe

Was bewirkt eigentlich permit 10? Sollte das eine irgendwo definierte ACL sein?

Wenn ich in der Konfig unten jetzt mein GigEth8 via ip nat inside source list 101 interface GigabitEthernet8 overload "freischalte" steht der Verkehr. Hab beide sh ip route unten mal angefügt.



interface FastEthernet0
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet8
description Internet Port Kabelmodem
ip address xx.xx.xx.xx 255.255.255.192
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
duplex auto
speed auto
!
!
interface Dialer0
description xDSL Einwahl Interface
mtu 1492
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp chap hostname xxx@xxx.de
ppp chap password 0 xx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
ip nat inside source route-map cable interface GigabitEthernet8 overload
ip nat inside source route-map mnet interface FastEthernet0 overload
ip ssh time-out 60
ip ssh authentication-retries 2
!
ip access-list extended vpndynmt
permit ip 10.10.10.0 0.0.0.255 192.168.88.0 0.0.0.255
!
dialer-list 1 protocol ip list 103
!
route-map m-net permit 10
set ip next-hop 82.135.16.28
set interface FastEthernet0
!
route-map cable permit 10
match ip address 10
set ip next-hop 109.125.67.193
set interface GigabitEthernet8
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any

sh ip route nur Dialer:
mit GigEth8 funktioniert es nur noch, wenn ich den Dialer komplett ausschalte und alles über ip route zum next-hop erzwinge.

Hast Du vielleicht eine Idee, was falsch ist?


Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
20.02.2017 um 09:02 Uhr
Was bewirkt eigentlich permit 10? Sollte das eine irgendwo definierte ACL sein?
Nein, das ist nur rein eine Index Nummer.
Du kannst mehrere permit oder deny Statements in solche Route Map einbauen und mit der Index Nummerierung 10, 20 30...usw. oder 1, 2, 3 usw. bestimmst du die Reihenfolge

Dein grundlegender Fehler ist vermutlich das du wieder "ppp ipcp route default" benutzt im Dialer. Das bewirkt das damit eine Default Route in die Routing Tabelle zwangsweise injiziert wird.
Wenn du also mit einer Route Map arbeitest wie im Cisco Beispiel dann ist es auf alle Fälle ratsam NICHT mit diesen Automatismen zu arbeiten, sprich "ppp ipcp route default" entfernen und das mit einer statischen Router zu machen.
Das entspricht ja auch genau deinem Verhalten das dann nur noch der Dialer Link arbeitet ins Internet. Verifiziert das das autom. Injizieren der PPPoE Route höchste Prio hat.
Das Cisco Route Map Beispiel ist ja erstmal nur ein Failover Beispiel aber das ist ja erstmal egal für den Test.
Das sollte in jedem Falle so umsetztbar sein.
Außerdem ist deinen Route Map auch noch falsch !
route-map m-net permit 10
set ip next-hop 82.135.16.28
set interface FastEthernet0
!

Das Ziel Interface ist niemals das physische sondern immer der Dialer !!! Alles was via PPPoE Provider geht ist IMMER auf das Dialer Interface bezogen. Das hält die Provider IP ! Das musst du korrigieren.

Später kannst du ja die Route Map erweitern und in der Routemap mit einer ACL mal Traffic klassifizieren den du dann mit einer unterschiedlichen Gateway IP in der einen und anderen Route Map dann mal via Kabel TV und PPPoE Anschluss schickst. Das klappt in jedem Falle.
Wenn du die 2 Dinge korrigierst muss es eigentlich klappen.
Mit show ip nat translation kannst du immer sehen welcher Traffic über welchen Anschluss geht.
Bitte warten ..
Mitglied: PharIT
20.02.2017 um 21:39 Uhr
Vielen vielen Dank, Aqui!!!

Bisher habe ich alles korrigiert und wie hier zu sehen, die Route Map des Cable Anschlusses schon zum Laufen bekommen!

Nur habe ich ein Problem, ich glaube die Access-Lists greifen nicht mehr, da mein VPN nicht mehr geht... Weißt Du, ob ich den noch irgendwo "freischalten" muss?

Bitte warten ..
Mitglied: PharIT
20.02.2017 um 21:50 Uhr
Mir ist gerade aufgefallen, dass der Router selbst ja garnicht rauspingt.

Mein VLAN hat ja nun die richtige Route via route-map. Kann mir jemand sagen, wie ich dem Cisco Router noch sagen kann, dass er beide Anschlüsse nutzen kann?


Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
21.02.2017, aktualisiert um 14:23 Uhr
Mir ist gerade aufgefallen, dass der Router selbst ja garnicht rauspingt.
Hier besteht die Gefahr das du die falsche Absender IP nimmst. Wenn du keinen extended Ping machst kannst du die Absender IP nicht bestimmen und der Router nimmt die niedrigste IP.
Mach einen extend Ping mit ping <return> und gibt menügeführt alles an. Bei der Frage extended commands antwortest du mit Ja und gibst deine Absender IP oder Interface an. Alles andere mit Default bestätigen.
Damit kannst du die Adressen genau bestimmen.
Kann mir jemand sagen, wie ich dem Cisco Router noch sagen kann, dass er beide Anschlüsse nutzen kann?
Beide Anschlüsse sind ja online und aktiv. Mit einem extended Ping müsstest du über beide Provider Links pingen können.
Der Router oder ein Router allgemein kann nur anhand seiner Routing Tabelle entscheiden wo was hinsoll.
Machst du nix gilt die Default Route z.B. über Provider 1 und immer nur die .
Provider 2 dümpelt dann rum solange bis Provider 1 ausfällt. Siehe deine Konfig.

Wenn du jetzt beide Links benutzen willst musst du erstmal klassifizieren was zum anderen Provider soll.
Das machst du mit der ACL in der Route Map.
Dort steht dann z.B. permit ip <lokales_netz> host 8.8.8.8 next hop <ip_provider2>
Das würde z.B. jeglichen Traffic dann zum Host 8.8.8.8 via Provider 2 senden. Oder
permit ip <lokales_netz> any eq http next hop <ip_provider2>
Sende allen HTTP Trafic via Provider 2.
So kannst du genau customizen was über 1 oder 2 gehen soll.

Wenn du ein Session basiertes Load Balancing willst findest du hier ein Beispiel zum Abtippen:
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
https://supportforums.cisco.com/discussion/11710646/dual-isp-connection- ...
Bitte warten ..
Mitglied: PharIT
21.02.2017 um 14:26 Uhr
Tausend Dank Aqui! Mache mich direkt mal ans Werk!

Hättest Du vielleicht für den Nichtsahnenden noch eine Idee, warum der VPN nicht mehr gehen könnte, bzw die Access-Lists nicht greifen?


Viele Grüße,

PharIT
Bitte warten ..
Mitglied: aqui
21.02.2017 um 14:43 Uhr
warum der VPN nicht mehr gehen könnte, bzw die Access-Lists nicht greifen?
Ohne Logauszug wird das ne Raterei.
Du musst erstmal klären ob es das VPN selber ist oder ne ACL dir da einen Streich spielt.
Bitte warten ..
Mitglied: PharIT
21.02.2017, aktualisiert 22.02.2017
Hallo Aqui,

vielen Dank Dir mal wieder für die Antwort und Hilfestellung und besonders die Tutorials, die ich in einem Folgeschritt in Angriff nehmen werde! Also von intern funktioniert der VPN perfekt.

Ich denke mir fehlen einfach absolut die Routing Grundlagen, die ich mir hiermit erarbeiten will Sorry für diese Amateurfragen...


Wenn ich den Dialer0 overload entferne und ip route 0.0.0.0 0.0.0.0 109.125.67.293 eingebe, ist er auch von außen wieder erreichbar. Spricht für richtige ACLs, denke ich.


Ist die Router-IP selbst denn nicht Bestandteil vom VLAN1? Da hätte ich ja die Route Map ordentlich drauf... Jedenfalls kommt mit meinem Routing von da oben nix mehr rein. Oder muss ich Traffic, der von außen reinkommt, nochmals irgendwo angeben? Bzw. die ACL reinlassen?

Habe mir gerade das CCNA Routing Buch besorgt, vielleicht ist das ein Ausblick
Bitte warten ..
Mitglied: aqui
22.02.2017, aktualisiert um 13:04 Uhr
Sorry für diese Amateurfragen...
Locker bleiben...dafür ist ein Forum ja da !
Wenn ich den Dialer0 overload entferne
Das wäre tödlich, denn damit schlatest du NAT aus, das IP Adresstranslation !
Damit gehen deine privaten RFC 1918 IP Adressen dann ins Internet und direkt ins Nirwana weil der Provider sie am Eingang filtert und gleich wegschmeisst.
ist er auch von außen wieder erreichbar. Spricht für richtige ACLs, denke ich.
Klar, denn dann greift die NAT Firewall nicht mehr !
Ist die Router-IP selbst denn nicht Bestandteil vom VLAN1
Ja, natürlich da sist sie.
Der Router hat ja aber mehrere IPs bzw. kennt immer mehrere IP Netze, die alle Bestandteil der Router IP sind wenn du so willst.
Das Dialer Interface hat ne IP usw. "Die" Router IP gibts ja deshalb gar nicht oder wie meintest du das jetzt ?
Oder muss ich Traffic, der von außen reinkommt, nochmals irgendwo angeben? Bzw. die ACL reinlassen?
Ahem...jaaa !
Die ACL 111 regelt ja was von außen reindarf durch die Firewall. Hier hast du zB. die Einträge:
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any

Die erlauben von any (also von jeglicher Absender IP im Internet) IPsec Protokollkomponenten (UDP 500, 4500 und ESP) Zugriff auf die Router IP und zwar die des Dialers.
Das als Ziel any angegeben ist beruht auf der Tatsache das im PPPoE DSL du wechselnde IPs hast.
Wenn du z.B. immer eine feste Internet IP mit 84.1.1.10 von deinem Provider bekommst oder zugeteilt hast dann kannst du die ACL natürlich auch dichter ziehen:
access-list 111 permit udp any host 84.1.1.10 eq isakmp
access-list 111 permit udp any host 84.1.1.10 eq non500-isakmp
access-list 111 permit esp any host 84.1.1.10

Jetzt dürfen nur noch die Protokollkomponenten IPsec mit der Ziel IP 84.1.1.10 dort passieren.
Willst du Webzugriff auf den Router erlauben (was du hoffentlich nie machst!) dann sähe das so aus:
access-list 111 permit tcp any any eq www
oder mit IP dann entsprechend:
access-list 111 permit tcp any host 84.1.1.10 eq www


Hier musst du also alles bestimmen was passieren darf auf die Router IP.
Ein deny any any log schaltet übrigens immer ein Logging für die ACL ein ! Damit kannst du dann immer sehen mit sh logg WAS nicht passieren durfte und was die ACL geblockt hat.
Pfiffiger Workaround um ACLs zu troubleshooten
Im Produktivbetrieb sollte man das aber bei heftig frequentierten ACls lassen, da es sehr CPU intensiv ist.
Bei den Internet ACLs hast du Port Scan und Angriffe im Sekundentakt.

Wenn du Port Forwarding machen willst vom Internet direkt ins interne LAN, dann ist das wieder eine andere Geschichte. Das geht dann über statisches NAT.

Ein gutes Buch ist auch:
https://www.amazon.de/Network-Warrior-Gary-Donahue/dp/1449387861/ref=sr_ ...
Bitte warten ..
Mitglied: aqui
24.02.2017, aktualisiert um 13:46 Uhr
Nochmal zur Klarstellung:
Wenn du die Erzwingung der Default Route via IPCP entfernst kann der die konfigurierten Routen nicht mehr "übermangeln" !
Du musst dann 2 statische Routen einrichten:
ip route 0.0.0.0 0.0.0.0 109.125.67.193
ip route 0.0.0.0 0.0.0.0 dialer0

Da es ja jetzt KEIN Kommando ppp ipcp route default mehr auf dem Dialer0 gibt, ignoriert der Router die Default Route von dort und nimmt nur das was ihm statisch konfiguriert ist.
Ein sh ip route zeigt dir das dann auch.
Bei 2 statischen default Routen mit gleicher Metrik macht der Router automatisch ein Session basiertes Round Robin also ein Balancing über beide Leitungen anhand der Ziel IP Adressen.
Per Default nutzt er also aktiv beide Links.

Wenn du das nicht willst und bestimmte UDP oder TCPDienste oder Absender IPs über dedizierte Links schicken willst musst du mit einer route-map, ACL und entsprechendem Next Hop Gateway arbeiten.

Du kannst auch z.B. eine der Routen in der Metrik herabsetzen:
ip route 0.0.0.0 0.0.0.0 109.125.67.193 metric 100
ip route 0.0.0.0 0.0.0.0 dialer0

(Höhere Metrik = Schlechter)
So würde alles über den Dialer gehen. Erst wenn der weg ist (down Status) geht das über die andere Route.
Das Cisco Backup Beispiel nennt das so. Dort sogar noch verbunden mit einem Tracking was das Failover Verhalten natürlich verbessert !
Eigentlich ist das alles in allem ein einfach nachzuvollziehendes Verhalten.
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL
Cisco 886VA kein Internet
gelöst Frage von Bone126DSL, VDSL8 Kommentare

Hallo Leute, Ich versuche seit Wochen meinen Cisco Router zum laufen zu bringen. Ich habe VDSL 100 mit Entertain. ...

Voice over IP

Cisco WebEx - Audio übers Internet Proxy-fähig ?

Frage von Tuborg85Voice over IP

Hallo Forengemeinde, die Telekom behauptet das bei Cisco WebEx -Audio übers Internet nicht Proxyfähig ist. Wir betreiben einen McAfee ...

LAN, WAN, Wireless

Cisco hinter Fritz!box, vom VLAN kein Internet

gelöst Frage von PharITLAN, WAN, Wireless3 Kommentare

Hey ich habe das ganze jetzt so aufgesetzt (scheinbar musste ich für die Layer3 IP Vergabe das VLAN für ...

Router & Routing

Cisco C892 Gastnetz Vlan keine Verbindung ins Internet

gelöst Frage von ozerRouter & Routing3 Kommentare

Hallo Community, ich habe hier ein Cisco C892 mit aktuellen IOS. Gäste buchen sich über WLAN ins vlan200 ein. ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 1 TagInformationsdienste7 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 1 TagInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 2 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 2 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Windows Server
Windows 7 wird im WSUS nicht angezeigt
gelöst Frage von DavidHergWindows Server24 Kommentare

Guten Abend zusammen, nachdem sich die Frage mit meinem WSUS erledigt hat und somit alles jetzt funktioniert, hab ich ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server24 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

Festplatten, SSD, Raid
Storage Wahl für Virtualisierungsumgebung
Frage von Le2000Festplatten, SSD, Raid11 Kommentare

Hallo allerseits, da ich bereits seit einiger Zeit aus der Materie ausgestiegen war und mich allmählich wieder einarbeite, wüsste ...

Batch & Shell
Lokale Variable belegen
gelöst Frage von IleiesBatch & Shell11 Kommentare

Hallo zusammen, Wie kann ich, wenn ich zwei cmd-Fenster geöffnet habe, von dem einen die Variablen des anderen verändern?