7
wie kann ich ein LAN über einen Router mit öffentlicher ip Adresse ins WAN bringen?
Hallo,
da in unserer Firma kein ADSL möglich ist, habe ich schweren Herzens bei der t-com SDSL bestellt.
Wir sollen nun einen cisco 2600 Router bekommen und 8 statische ip-adressen.
Ich nutze ein LAN mit 1 x w2k-Server/16 XPP Clients - Domäne mit DHCP und Weiterleitung auf einen ISDN-Router,
die Clients kennen als Gateway den ISDN Router und als DNS den w2k-server.
Der SDSL-Router soll den ISDN-Router ablösen. Kann ich denn einfach die ip-Adresse (statische) des neuen Routers
bei den Clients und im Server eintragen(die ip-Adresse liegt ja nicht im gleichen Segment wie das LAN)? oder muss ich in den Server eine 2. NIK einbauen und mit
statischer Route arbeiten??
Kann mir jemand einen Tip geben???
Vielen Dank!
-Gerd
da in unserer Firma kein ADSL möglich ist, habe ich schweren Herzens bei der t-com SDSL bestellt.
Wir sollen nun einen cisco 2600 Router bekommen und 8 statische ip-adressen.
Ich nutze ein LAN mit 1 x w2k-Server/16 XPP Clients - Domäne mit DHCP und Weiterleitung auf einen ISDN-Router,
die Clients kennen als Gateway den ISDN Router und als DNS den w2k-server.
Der SDSL-Router soll den ISDN-Router ablösen. Kann ich denn einfach die ip-Adresse (statische) des neuen Routers
bei den Clients und im Server eintragen(die ip-Adresse liegt ja nicht im gleichen Segment wie das LAN)? oder muss ich in den Server eine 2. NIK einbauen und mit
statischer Route arbeiten??
Kann mir jemand einen Tip geben???
Vielen Dank!
-Gerd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33243
Url: https://administrator.de/contentid/33243
Printed on: April 19, 2024 at 17:04 o'clock
7 Comments
Latest comment
Hallo Gerd!
Ganz einfach, Du musst nur DNS- & DHCP-Server richtig einrichten, die Clients auf "atomatisch" stellen in den TCP/IP-Einstellungen und los geht's.
DHCP betreibst Du ja schon.
Als Beispiel sei gegeben:
IP-Range Deines Netzwerkes: 192.168.1.1 bis 192.168.1.255
Server vergibt IP-Adressen an Clients via DHCP
Subnetzmaske: 255.255.255.0
1. Nameserver (DNS) des Providers: 194.8.194.60
2. Nameserver des Providers: 213.168.112.60
Die Angaben zu den Nameserver bekommst Du beim Provider (Webseite/Anruf)
Router
IP-Adresse manuell einstellen auf 192.168.1.200
DNS-Server des Providers evtl. eintragen.
DHCP deaktivieren
Clients
Bei den TCP/IP-Einstellungen alles auf "automatisch" einstellen
Server
TCP/IP-Einstellungen:
Manuelle IP-Adresse einstellen: 192.168.1.100
Als DNS-Server die eigene DNS-Adresse einstellen
Als Gateway die IP-Adresse des Routers (192.168.1.200) einstellen
DNS-Server - Einstellungen:
Konsole des DNS-Servers mit START - VERWALTUNG - DNS aufrufen.
Findest Du dort einen Zoneneintrag der mit einem Punkt (.) gekennzeichnet ist - löschen.
Reiter Schnittstellen:
Die IP-Adresse des Servers eintragen
Reiter Weiterleitung:
Weiterleitung aktivieren "Alle anderen Domänen"
Die IP-dressen der DNS-server des Providers (im Beispiel s.o.) eintragen
KEINE Rekursion aktivieren
Restliche Reiter bleiben bei Standard-Einstellungen
DHCP-Server - Einstellungen:
Konsole des DHCP-Server mit START - VERWALTUNG - DHCP aufrufen
Bereich aufklappen
rechter Mausklick auf "Bereichsoptionen", "Optionen konfigureiren" auswählen
ROUTER: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-SERVERS: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-DOMAIN NAME: Der Name deiner Domain (meinedomain.local, AD-Name, nicht Internetdomain!!)
WINS-SERVER: IP-Adresse des Servers (192.168.1.100)
Nach einem heilsamen Neustart von
1. Server
2. Clients nachdem der Server sauber hochgelaufen ist
Sollte alles wunderbar funktionieren.
Diese Einstellungen kannst Du auch jetzt schon mit dem vorhandenen ISDN-Router prüfen, daran ändert SDSL (ausser vielleicht die DNS-Server des Providers) eigentlich nix.
Die dargestellte Konfiguration is allerdings sicherheitsmässig eher "Light".
Etwas besser wäre eine IP-seitige Trennung von Router und Domain durch den Einbau einer zweiten Netzwerkkarte im Server und Vergane unterschiedlicher Segmente für Router (externes Netz) und internem Netzwerk. Dann muss aber zwischen den Netzen (Karten) geroutet werden.
Sicher gehört bei einer solchen dauerhaften Verbindung auch zwingend eine vernünftige Firewall dazu. Entweder eine Appliance als Hardwarelösung oder eine vernünftige Softwarelösung, vielleicht integriert mit Virenschutz.
Ohne diese Dinge halte ich es sicherheitsmässig für Harakiri ...
Empfehlen kann ich Dir hierzu, für eine solche kleine Domäne den MS Small Business-Server 2003 in der Premium-Version, vor allem wenn du auch kein hautberuflicher Admin bist,
Die Einrichtung und Verwendung ist einfach und assistentengesteuert.
SBS 2003 Premium bringt
Windows Small Business 2003 Server SP1
MS Exchange 2003 Mailserver
ISA Server 2004 Firewall
SQL Server 2000 SP4
Alle Komponenten sind unter einer einheitlichen Verwaltungsoberfläche vereint und die Assistenten bringen auch ungeübte Admins zum Ergebnis.
Kann ich nur empfehlen.
Gruß aus Köln
Peter
p.s.
Für die sicherlich kommenden Kommentare :
Ja - es geht auch billiger
Ja - es gibt besseres
Ja - kaum jemand braucht den SQL-Server
Wenn es aber schnell und einigermassen einfach gehen soll, ist das meines Erachtens ziemlich konkurrenzlos. In Anbetracht von Mailserver und hochwertigster Firewall allerdings m.E. mehr als preiswert, man versuche bloss einmal die Einzelprodukte anderer Firmen incl. Lizenzen und das Netzwewrkbetriebssystem incl. Lizenzen zusammenrechenen und wird zweifelsohne auf einen immens höheren Preis kommen.
Ganz einfach, Du musst nur DNS- & DHCP-Server richtig einrichten, die Clients auf "atomatisch" stellen in den TCP/IP-Einstellungen und los geht's.
DHCP betreibst Du ja schon.
Als Beispiel sei gegeben:
IP-Range Deines Netzwerkes: 192.168.1.1 bis 192.168.1.255
Server vergibt IP-Adressen an Clients via DHCP
Subnetzmaske: 255.255.255.0
1. Nameserver (DNS) des Providers: 194.8.194.60
2. Nameserver des Providers: 213.168.112.60
Die Angaben zu den Nameserver bekommst Du beim Provider (Webseite/Anruf)
Router
IP-Adresse manuell einstellen auf 192.168.1.200
DNS-Server des Providers evtl. eintragen.
DHCP deaktivieren
Clients
Bei den TCP/IP-Einstellungen alles auf "automatisch" einstellen
Server
TCP/IP-Einstellungen:
Manuelle IP-Adresse einstellen: 192.168.1.100
Als DNS-Server die eigene DNS-Adresse einstellen
Als Gateway die IP-Adresse des Routers (192.168.1.200) einstellen
DNS-Server - Einstellungen:
Konsole des DNS-Servers mit START - VERWALTUNG - DNS aufrufen.
Findest Du dort einen Zoneneintrag der mit einem Punkt (.) gekennzeichnet ist - löschen.
Reiter Schnittstellen:
Die IP-Adresse des Servers eintragen
Reiter Weiterleitung:
Weiterleitung aktivieren "Alle anderen Domänen"
Die IP-dressen der DNS-server des Providers (im Beispiel s.o.) eintragen
KEINE Rekursion aktivieren
Restliche Reiter bleiben bei Standard-Einstellungen
DHCP-Server - Einstellungen:
Konsole des DHCP-Server mit START - VERWALTUNG - DHCP aufrufen
Bereich aufklappen
rechter Mausklick auf "Bereichsoptionen", "Optionen konfigureiren" auswählen
ROUTER: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-SERVERS: IP-Adresse des Servers eintragen (192.168.1.100)
DNS-DOMAIN NAME: Der Name deiner Domain (meinedomain.local, AD-Name, nicht Internetdomain!!)
WINS-SERVER: IP-Adresse des Servers (192.168.1.100)
Nach einem heilsamen Neustart von
1. Server
2. Clients nachdem der Server sauber hochgelaufen ist
Sollte alles wunderbar funktionieren.
Diese Einstellungen kannst Du auch jetzt schon mit dem vorhandenen ISDN-Router prüfen, daran ändert SDSL (ausser vielleicht die DNS-Server des Providers) eigentlich nix.
Die dargestellte Konfiguration is allerdings sicherheitsmässig eher "Light".
Etwas besser wäre eine IP-seitige Trennung von Router und Domain durch den Einbau einer zweiten Netzwerkkarte im Server und Vergane unterschiedlicher Segmente für Router (externes Netz) und internem Netzwerk. Dann muss aber zwischen den Netzen (Karten) geroutet werden.
Sicher gehört bei einer solchen dauerhaften Verbindung auch zwingend eine vernünftige Firewall dazu. Entweder eine Appliance als Hardwarelösung oder eine vernünftige Softwarelösung, vielleicht integriert mit Virenschutz.
Ohne diese Dinge halte ich es sicherheitsmässig für Harakiri ...
Empfehlen kann ich Dir hierzu, für eine solche kleine Domäne den MS Small Business-Server 2003 in der Premium-Version, vor allem wenn du auch kein hautberuflicher Admin bist,
Die Einrichtung und Verwendung ist einfach und assistentengesteuert.
SBS 2003 Premium bringt
Windows Small Business 2003 Server SP1
MS Exchange 2003 Mailserver
ISA Server 2004 Firewall
SQL Server 2000 SP4
Alle Komponenten sind unter einer einheitlichen Verwaltungsoberfläche vereint und die Assistenten bringen auch ungeübte Admins zum Ergebnis.
Kann ich nur empfehlen.
Gruß aus Köln
Peter
p.s.
Für die sicherlich kommenden Kommentare :
Ja - es geht auch billiger
Ja - es gibt besseres
Ja - kaum jemand braucht den SQL-Server
Wenn es aber schnell und einigermassen einfach gehen soll, ist das meines Erachtens ziemlich konkurrenzlos. In Anbetracht von Mailserver und hochwertigster Firewall allerdings m.E. mehr als preiswert, man versuche bloss einmal die Einzelprodukte anderer Firmen incl. Lizenzen und das Netzwewrkbetriebssystem incl. Lizenzen zusammenrechenen und wird zweifelsohne auf einen immens höheren Preis kommen.
Hallo,
ich bin mir nicht ganz sicher, ob ich das Problem ganz richtig verstanden habe. Aber grundsätzlich hat der Router zwei IP-Adressen. Einmal die externe, statische, die dir von T-Com bereitgestellt wird. Und dann kannst du noch eine interne zuweisen, die im Segment des LANs liegen muss. Bei dem bisherigen ISDN-Router ist das genauso, nur dass die externe nicht statisch ist, sondern bei jeder Einwahl neu zugeteilt wird. Der Router funktioniert damit als Gateway zwischen zwei Netzen (LAN und Internet bzw. LAN und T-Com-Netz, hier gibt es dann weitere Router (Gateways) zu anderen Internetsegmenten).
Das ist zumindest die einfache Variante. Du kannst auch in den Server eine zweite Netzwerkkarte einbauen, und dann ihn als Gateway für ein neues Netz nehmen, das nur aus Server und Router besteht. Clients müssen dann über den Server auf den Router und damit das Internet zugreifen. Das hätte den Vorteil, dass du dort den Netzwerkverkehr nochmal überwachen/steuern kannst. Dafür nimmt man dann aber meist einen dedizierten Rechner (der sich dann wiederrum Router nennt).
War das deine Frage?
Filipp
Edit: nochmal klarstellen: grundsätzlich funktioniert deine Netzwerkinfrastruktur mit dem neuen Router genauso wie mit dem alten ISDN-Router. Im Idealfall tauschst du die Geräte einfach gegeneinander aus und keiner merkts. Die externe statische Adresse ist nur dafür da, dass du damit einen Server betreiben kannst, der dann auch von extern unter einer immer gleichen IP-Adresse erreichbar ist.
ich bin mir nicht ganz sicher, ob ich das Problem ganz richtig verstanden habe. Aber grundsätzlich hat der Router zwei IP-Adressen. Einmal die externe, statische, die dir von T-Com bereitgestellt wird. Und dann kannst du noch eine interne zuweisen, die im Segment des LANs liegen muss. Bei dem bisherigen ISDN-Router ist das genauso, nur dass die externe nicht statisch ist, sondern bei jeder Einwahl neu zugeteilt wird. Der Router funktioniert damit als Gateway zwischen zwei Netzen (LAN und Internet bzw. LAN und T-Com-Netz, hier gibt es dann weitere Router (Gateways) zu anderen Internetsegmenten).
Das ist zumindest die einfache Variante. Du kannst auch in den Server eine zweite Netzwerkkarte einbauen, und dann ihn als Gateway für ein neues Netz nehmen, das nur aus Server und Router besteht. Clients müssen dann über den Server auf den Router und damit das Internet zugreifen. Das hätte den Vorteil, dass du dort den Netzwerkverkehr nochmal überwachen/steuern kannst. Dafür nimmt man dann aber meist einen dedizierten Rechner (der sich dann wiederrum Router nennt).
War das deine Frage?
Filipp
Edit: nochmal klarstellen: grundsätzlich funktioniert deine Netzwerkinfrastruktur mit dem neuen Router genauso wie mit dem alten ISDN-Router. Im Idealfall tauschst du die Geräte einfach gegeneinander aus und keiner merkts. Die externe statische Adresse ist nur dafür da, dass du damit einen Server betreiben kannst, der dann auch von extern unter einer immer gleichen IP-Adresse erreichbar ist.
Stimmt, habe ich vergessen zu schreiben, der Router bringt natürlich die statische IP nur für den externen Verkehr mit .
Die interne ist frei bestimmbar.
Nur würde ich die Lösung mit dem Austausch nicht wirklich empfehlen, da ich die DNS-Auflösung nicht clientseitig betreiben würde (indem dort der Router als Gateway eingetragen ist) sondern eher serverseitig, wie ich beschrieben habe.
Bei einer SDSL-Ansbindung dürfte auch kein Geschwindigkeitsvorteil bei einer clientseitigen DNS-Auflösung gegeben sien.
Zudem ist es sicherheitsmässig eher bedenklich, die Clients "direkt" ans Internet zu hängen ohne jegliche Steuerung und Filterung.
Die interne ist frei bestimmbar.
Nur würde ich die Lösung mit dem Austausch nicht wirklich empfehlen, da ich die DNS-Auflösung nicht clientseitig betreiben würde (indem dort der Router als Gateway eingetragen ist) sondern eher serverseitig, wie ich beschrieben habe.
Bei einer SDSL-Ansbindung dürfte auch kein Geschwindigkeitsvorteil bei einer clientseitigen DNS-Auflösung gegeben sien.
Zudem ist es sicherheitsmässig eher bedenklich, die Clients "direkt" ans Internet zu hängen ohne jegliche Steuerung und Filterung.
Vielen Dank für die schnellen Antworten!
ja, mit 2 ip-Adressen hätte ich das auch verstanden.
Auf dem Router steht adressrange :
xxx.xxx.xxx.48-xxx.xxx.xxx.55 Subnet Mask 255.255.225.248
Gateway xxx.xxx.xxx.49
Wenn ich mein Notebook nehme und den Router direkt per crosslink anschließe ip auf
x.x.x.50 GW auf x.x.x.49 mask 255.255.225.248 komme ich problemlos ins Internet (übrigens auch mit x.x.x.51 bis .54.
Ich bin nicht der grosse Netzwerkexperte, habe wohl schon ein paar Router konfiguriert aber nicht in der Grössenordnung cisco 2600, d.h. ich nächstes Problem -- wie die Kiste administrieren.
Deshhalb auch die Idee den Router erstmal nicht anzufassen und mein Netz anzupassen.
-Gerd
ja, mit 2 ip-Adressen hätte ich das auch verstanden.
Auf dem Router steht adressrange :
xxx.xxx.xxx.48-xxx.xxx.xxx.55 Subnet Mask 255.255.225.248
Gateway xxx.xxx.xxx.49
Wenn ich mein Notebook nehme und den Router direkt per crosslink anschließe ip auf
x.x.x.50 GW auf x.x.x.49 mask 255.255.225.248 komme ich problemlos ins Internet (übrigens auch mit x.x.x.51 bis .54.
Ich bin nicht der grosse Netzwerkexperte, habe wohl schon ein paar Router konfiguriert aber nicht in der Grössenordnung cisco 2600, d.h. ich nächstes Problem -- wie die Kiste administrieren.
Deshhalb auch die Idee den Router erstmal nicht anzufassen und mein Netz anzupassen.
-Gerd
Du kannst den Router ganz normal "telnetten" zum konfigurieren oder gehst über seinen Konsolport (RJ45 Buchse) mit einem Terminalprogramm (TeraTerm, Hyperterm etc. mit 9600 Baud N81 keine Flowcontrol) und bist dann auf dem Command Line Interface.
Wenn du schreibst das du schon eine Internetverbindung realisiert hast dann ist der Router ja schon fertig konfiguriert von der T-Com. Scheinbar wird er dann auch von denen gemanaged und du hast sowieso keinerlei Chance an der Konfig etwas zu verändern da der mit einem Passwort der T-Com gesichert ist. Man kann zwar pfiffigerweise mal auf der Cisco Seite nach "password recovery 2600" suchen und wird fündig aber das wird dir den geballten Zorn der T-Com bescheren...
Normalerweise ist auf dem Router eine Network Adress Translation konfiguriert, denn wie solltest du sonst mit einem internen Netz ins Internet kommen wenn dies eine RFC 1918 Adressierung hat wie eurer Netz vermutlich. Außerdem würden deine 8 öffentlichen Adressen ja nicht reichen für deine 16 Clients und den Server.
Leider schreibst du gar nichts welches 2600er Model das ist denn die 8 öffentlichen Adressen würden brach liegen und man könnte damit ein offenes Segment am Router bedienen, was aber eine 3 Ethernet Schnittstelle voraussetzt. Dies kann man sehr gut nutzen für ein VPN Gateway zum Remote Zugriff wenn man dies nicht mit dem Router selber erledigen will.
Ein einfacher Tausch der Router ist das einfachste. Die T-Com wird die interne Adresse ja sicher auf eure Adressierung angepasst haben. Wenn du schlau bist hast du denen gleich die IP des ISDN Routers mitgeteilt.
Hast du das nicht musst du lediglich die Gateway Adresse in eurem DHCP Server ändern auf die des Routers und auch den DNS Server auf den des Carriers (Bei T-Online z.B. 194.25.2.129). Das sollte es dann gewesen sein.
Das Szenario hat aber einen Haken. Sollte der Router T-Com gemanged sein seit ihr vollständig davon abhängig das die Kollegen keinen Fehler in der Konfig machen. Übrprüfen ob eurer Netzwerk wirklich sicher hinterm NAT hängt könnt ihr ja nicht durch den Zugangsschutz des Routers. In solchem Falle ist es also zwingend angeraten sich zusätzlich mit einer Firewall die man SELBER administriert abzusichern zumal es ein Unternehmensnetz mit sicherheitsrelevanten Daten ist. die T-Com wird in Ihren AGBs eine Haftung sicherloch ausschliessen !!!
Sollte der 2600er wider Erwarten doch eurer eigenes System sein hilft dir folgende Konfig weiter: (IP Adressen auf deine Belange anpassen)
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
interface Ethernet 0
description Lokales Ethernet
ip address 172.16.1.254 255.255.255.0
ip access-group 103 in
ip nat inside
no cdp enable
!
interface Ethernet 1
description SDSL Leitung T-Com
ip address 212.123.123.123 255.255.255.248
ip nat outside
no cdp enable
!
ip nat inside source list 101 interface ethernet1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 (next hop router ip Carrier)
no ip http server
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 103 deny udp any any range netbios-ns netbios-ss
access-list 103 deny udp any any range 1433 1434
access-list 103 deny udp any any eq 135
access-list 103 deny tcp any any eq 135
access-list 103 deny udp any any eq tftp
access-list 103 deny tcp any any eq 445
access-list 103 deny tcp any any eq 593
access-list 103 deny tcp any any eq 4444
access-list 103 permit ip 172.16.1.0 0.0.0.255 any
access-list 103 deny ip any any
Die ACL 103 filtert Windows Broadcasts und die wichtigsten Malware Protokolle. ACL 101 bestimmt wer ins Internet darf.
Wenn du schreibst das du schon eine Internetverbindung realisiert hast dann ist der Router ja schon fertig konfiguriert von der T-Com. Scheinbar wird er dann auch von denen gemanaged und du hast sowieso keinerlei Chance an der Konfig etwas zu verändern da der mit einem Passwort der T-Com gesichert ist. Man kann zwar pfiffigerweise mal auf der Cisco Seite nach "password recovery 2600" suchen und wird fündig aber das wird dir den geballten Zorn der T-Com bescheren...
Normalerweise ist auf dem Router eine Network Adress Translation konfiguriert, denn wie solltest du sonst mit einem internen Netz ins Internet kommen wenn dies eine RFC 1918 Adressierung hat wie eurer Netz vermutlich. Außerdem würden deine 8 öffentlichen Adressen ja nicht reichen für deine 16 Clients und den Server.
Leider schreibst du gar nichts welches 2600er Model das ist denn die 8 öffentlichen Adressen würden brach liegen und man könnte damit ein offenes Segment am Router bedienen, was aber eine 3 Ethernet Schnittstelle voraussetzt. Dies kann man sehr gut nutzen für ein VPN Gateway zum Remote Zugriff wenn man dies nicht mit dem Router selber erledigen will.
Ein einfacher Tausch der Router ist das einfachste. Die T-Com wird die interne Adresse ja sicher auf eure Adressierung angepasst haben. Wenn du schlau bist hast du denen gleich die IP des ISDN Routers mitgeteilt.
Hast du das nicht musst du lediglich die Gateway Adresse in eurem DHCP Server ändern auf die des Routers und auch den DNS Server auf den des Carriers (Bei T-Online z.B. 194.25.2.129). Das sollte es dann gewesen sein.
Das Szenario hat aber einen Haken. Sollte der Router T-Com gemanged sein seit ihr vollständig davon abhängig das die Kollegen keinen Fehler in der Konfig machen. Übrprüfen ob eurer Netzwerk wirklich sicher hinterm NAT hängt könnt ihr ja nicht durch den Zugangsschutz des Routers. In solchem Falle ist es also zwingend angeraten sich zusätzlich mit einer Firewall die man SELBER administriert abzusichern zumal es ein Unternehmensnetz mit sicherheitsrelevanten Daten ist. die T-Com wird in Ihren AGBs eine Haftung sicherloch ausschliessen !!!
Sollte der 2600er wider Erwarten doch eurer eigenes System sein hilft dir folgende Konfig weiter: (IP Adressen auf deine Belange anpassen)
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
interface Ethernet 0
description Lokales Ethernet
ip address 172.16.1.254 255.255.255.0
ip access-group 103 in
ip nat inside
no cdp enable
!
interface Ethernet 1
description SDSL Leitung T-Com
ip address 212.123.123.123 255.255.255.248
ip nat outside
no cdp enable
!
ip nat inside source list 101 interface ethernet1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 (next hop router ip Carrier)
no ip http server
!
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 103 deny udp any any range netbios-ns netbios-ss
access-list 103 deny udp any any range 1433 1434
access-list 103 deny udp any any eq 135
access-list 103 deny tcp any any eq 135
access-list 103 deny udp any any eq tftp
access-list 103 deny tcp any any eq 445
access-list 103 deny tcp any any eq 593
access-list 103 deny tcp any any eq 4444
access-list 103 permit ip 172.16.1.0 0.0.0.255 any
access-list 103 deny ip any any
Die ACL 103 filtert Windows Broadcasts und die wichtigsten Malware Protokolle. ACL 101 bestimmt wer ins Internet darf.
Vielen Dank für die antworten und Anregungen!
Ich habe jetzt doch einen LAN-Router genommen.
GW - ip-Adresse ist lokale Routeradresse.
Im Router dann als feste WAN eine von den zugewiesenen t-online ip-Ardessen, Subnet und die GW steht auf dem Cisco-Router. - Hatte dann sofort Verbindung ins www.
Router im LAN ist übrigens ein ALL-1294VPN.
VPN funktionierte auch auf Anhieb. Die Konf. des Cisco ist also völlig Transparent und im Moment sehe ich auch keinen Grund da etwas zu konfigurieren.
- Gerd
Ich habe jetzt doch einen LAN-Router genommen.
GW - ip-Adresse ist lokale Routeradresse.
Im Router dann als feste WAN eine von den zugewiesenen t-online ip-Ardessen, Subnet und die GW steht auf dem Cisco-Router. - Hatte dann sofort Verbindung ins www.
Router im LAN ist übrigens ein ALL-1294VPN.
VPN funktionierte auch auf Anhieb. Die Konf. des Cisco ist also völlig Transparent und im Moment sehe ich auch keinen Grund da etwas zu konfigurieren.
- Gerd
Zu den IP-Adressen ... es gibt die Maske 32 (nur eine IP) oder halt ein 8ter Netz,
Netzadresse und Broadcast Adresse!
Du hast halt die Möglichkeit, 6 verschiedene Server auf der gleichen Leitung zu betreiben ... eigentlich ist das zwar zuviel overhead, was du da hast, aber nich schlimm!
...
Naja, Beitrag ist wahrscheinlich gelöst und sollte dementsprechend markiert werden, danke!
Midivirus
Netzadresse und Broadcast Adresse!
Du hast halt die Möglichkeit, 6 verschiedene Server auf der gleichen Leitung zu betreiben ... eigentlich ist das zwar zuviel overhead, was du da hast, aber nich schlimm!
...
Naja, Beitrag ist wahrscheinlich gelöst und sollte dementsprechend markiert werden, danke!
Midivirus
