DieterK 10 Geschrieben 5. Juli 2007 Melden Teilen Geschrieben 5. Juli 2007 Hallo Forum, ich habe 4 Standorte mit Cisco-Routern vernetzt. Die Verbindung der Standorte habe ich über GRE-Tunnel gelöst. Standort A ist die Zentrale und ist mit Standort B, C und D verbunden. Zwischen B und C ist keine direkte Verbindung. Bisher war nur ein Zugriff von der Zentrale auf B oder C erforderlich. Nun muss ich ein Routing aufbauen, welches ein direkten Zugriff von Standort B auf Standort C ermöglicht. Standort A Netzwerk 10.0.0.0/16 Standort B Netzwerk 192.168.42.0/24 Standort C Netzwerk 192.168.4.0/24 Standort D Netzwerk 192.168.44.0/24 Standort A: version 12.3 no service pad ! hostname Router-A ! ip name-server 217.237.149.161 ip name-server 217.237.151.225 vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! isdn switch-type basic-net3 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxxxx address 999.999.999.999 crypto isakmp key xxxxx address 888.888.888.888 crypto isakmp key xxxxx address 777.777.777.777 ! crypto ipsec transform-set SET1 esp-3des esp-sha-hmac crypto ipsec transform-set SET2 esp-3des esp-sha-hmac crypto ipsec transform-set SET3 esp-3des esp-sha-hmac ! crypto map XVPN 1 ipsec-isakmp set peer 213.146.119.47 set transform-set SET1 match address 101 crypto map XVPN 2 ipsec-isakmp set peer 217.91.53.48 set transform-set SET2 match address 102 crypto map XVPN 3 ipsec-isakmp set peer 87.139.18.218 set transform-set SET3 match address 103 ! interface Tunnel1 ip address 192.168.191.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 999.999.999.999 crypto map XVPN ! interface Tunnel2 ip address 192.168.192.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 888.888.888.888 crypto map XVPN ! interface Tunnel3 ip address 192.168.193.1 255.255.255.252 ip mtu 1432 tunnel source Dialer0 tunnel destination 777.777.777.777 crypto map XVPN ! interface FastEthernet0 description $ETH-WAN$ no ip address no ip unreachables ip nat outside ip virtual-reassembly duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 no cdp enable ! interface Vlan1 ip address 10.0.1.253 255.255.0.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface Dialer0 ip address negotiated ip mtu 1456 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname inetuser ppp chap password password ppp pap sent-username inetuser password password ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.4.0 255.255.255.0 Tunnel1 ip route 192.168.42.0 255.255.255.0 Tunnel2 ip route 192.168.44.0 255.255.255.0 Tunnel3 ip http server ip http authentication local ip http secure-server ip nat inside source list 111 interface Dialer0 overload ip nat inside source route-map XMAP1 interface Dialer0 overload ip nat inside source route-map XMAP2 interface Dialer0 overload ip nat inside source route-map XMAP3 interface Dialer0 overload ip nat inside source route-map nonat interface Dialer0 overload ! Fortsetzung folgt.. Zitieren Link zu diesem Kommentar
DieterK 10 Geschrieben 5. Juli 2007 Autor Melden Teilen Geschrieben 5. Juli 2007 Fortsetzung: access-list 1 permit 10.0.0.0 0.0.255.255 access-list 23 permit 10.0.0.0 0.0.255.255 access-list 101 permit ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 102 permit ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 103 permit ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 access-list 105 permit ip 10.0.0.0 0.0.255.255 any access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 105 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 access-list 111 permit ip 10.0.0.0 0.0.255.255 any access-list 111 permit udp any any access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.4.0 0.0.0.255 access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.42.0 0.0.0.255 access-list 111 deny ip 10.0.0.0 0.0.255.255 192.168.44.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run ! route-map XMAP1 permit 1 match ip address 101 ! route-map XMAP2 permit 1 match ip address 102 ! route-map XMAP3 permit 1 match ip address 103 ! route-map nonat permit 10 match ip address 105 ! end Die Router von den anderen Standorten sind ähnlich konfiguriert, wobei es nur ein Tunnel zum Router A eingetragen ist. Ich erspare das posten der weiteren Konfigurationen der Router von B und C. Der Zugriff von 192.168.4.5 auf 10.0.2.1 funktioniert. Der Zugriff von 192.168.42.10 auf 10.0.2.1 funktionert. Der Zugriff von 192.168.42.10 auf 192.168.4.5 funktioniert nicht. Wie kann ich dieses ändern. Sieht jemand von Euch, wo ich einen Knoten im meinen Konfigurationen habe. Ich danke schon mal im Voraus. Viele Grüße Dieter Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Juli 2007 Melden Teilen Geschrieben 6. Juli 2007 Such mal bei Cisco.com nach "DMVPN", da konfigurierst du die Zentrale als Hub und die Standorte als Clients welche das VPN dann ueber den Hub untereinander herstellen. Sparste dir auch viele Zeilen in der Konfiguration :) Zitieren Link zu diesem Kommentar
DieterK 10 Geschrieben 10. Juli 2007 Autor Melden Teilen Geschrieben 10. Juli 2007 Hallo Wordo, ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht. Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl. Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen. Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN). Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist? Viele Grüße und Dank Dieter Kühlborn Zitieren Link zu diesem Kommentar
ccc 10 Geschrieben 10. Juli 2007 Melden Teilen Geschrieben 10. Juli 2007 Hallo Wordo, ich habe in einem separatem Posting mal die Frage gestellt, ob mein Router 831 als Spoke im DMVPN eingesetzt werden kann. Mein Router mit Firmware "Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.4(5b), RELEASE SOFTWARE (fc2)" kann dieses laut SDM 2.3 nicht. Ich ich die Filialen des Netzwerkes meines Kunden vernetzt hatte, habe ich den 1712 als Hub eingerichtet und zwei 8xx als Spoke konfiguriert. Der Zugriff zwischen den beiden Spoke lief ohne Probleme. Der Zugriff vom Netzwerk des Spoke auf das Netzwerk vom Hub schlug jedoch fehl. Nach Umstellung auf GRE-Tunnel mit statischem Routing konnte ich von den Netzwerken auf das Zentralnetzwerk am Cisco 1712 zugreifen. Ich habe das Thema wieder aufgegriffen, da ein weiterer Router und Standort im Netzwerk aufgenommen werden soll und der neue Standort (Spoke) auf einen anderen Standort (ebenfalls Spoke) via Zentral zugreifen soll (als eine klassische Konstellation für DMVPN). Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist? Viele Grüße und Dank Dieter Kühlborn hallo DieterK dein Router 831 sollte DMVPN als spoke unterstützen können: Configuring DMVPN Spoke Router in Full Mesh IPsec VPN Using SDM [iPSec Negotiation/IKE Protocols] - Cisco Systems Cisco IOS Software Release 12.3(8)T, Cisco 831 Series Router (C831-K9O3SY6-M) p.s an deiner stelle, wäre nächstes mal wirklich sehr vorsichtig, config files mit öffentlichen IP adressen einfach so zu posten. wir sind ganz "nette" leute. dies ist eine anständige kneipe, kein hacker forum, aber man weiss nie... gruss ccc Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2007 Melden Teilen Geschrieben 11. Juli 2007 Nun kann leider der neue Router 831 mit der o.g. Firmware kein DMVPN. Gibt es eine ältere oder andere Firmware für den 831, bei der das DMVPN enthalten ist? Mit Sicherheit, die Frage ist eher ob du sie auch besorgen kannst? :cool: Zitieren Link zu diesem Kommentar
DieterK 10 Geschrieben 11. Juli 2007 Autor Melden Teilen Geschrieben 11. Juli 2007 Hallo Wordo, nach meinen Recherchen benötige ich das PLUS-Paket für meine Firmware. Mein Lieferant (Techdata/azlan) behauptet jedoch, dass eine Lieferfrist von 4 Wochen besteht. Ist das real oder kann die Software man das auf einer andere seriösen Weise schneller bekommen? Viele Grüße Dieter Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Juli 2007 Melden Teilen Geschrieben 11. Juli 2007 Du kannst dir einen SMARTnet Vertrag holen, kostet ca 70 Euro fuer Service Kategorie 1 (sollte passen, auf eigene Gefahr). Damit kannst du dann 1 Jahr lang so viele IOS Versionen von Cisco.com laden wie du willst. Ob das in weniger als 4 Wochen ueber die Buehne laeuft kann ich dir nicht sagen. Ich hab nen SMARTnet mit Kategorie 6, da kann ich laden was ich will, ob das mit 1 genauso geht weiss ich leider nicht. Kat 6 kostet aber ueber 400 Euro fuer ein Jahr. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.