Der Chip'ler 10 Geschrieben 19. März 2004 Melden Teilen Geschrieben 19. März 2004 Hallo, wie kann ich dem Interface 1 (192.168.0.1) sagen, das es an die IP 10.x.x.x (Gateway) weiterleitet? Vielleicht habe ich dies ja schon?! Der Router hängt hinter einem Switch, an dem ein Server mit Clients angeschlossen ist. Diese Clients dürfen aber nicht auf die Clients zugreifen können, die sich hinter dem Router befinden. Was muss ich dafür konfigurieren? Der Switch geht dann an das Gateway/Firewall. Die IP der Firewall muss ich doch beim Interface 1 eintragen, oder? Das Interface auf der Seite zum Gateway hin hat die IP 10.17.13.1. hier mal meine Config: Elit-Router#sh run Building configuration... Current configuration : 2580 bytes ! ! Last configuration change at 14:00:35 PCTimeZ Fri Mar 19 2004 by user01 ! NVRAM config last updated at 14:05:41 PCTimeZ Fri Mar 19 2004 by user01 ! version 12.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname Elit-Router ! security authentication failure rate 3 log security passwords min-length 6 logging queue-limit 100 logging buffered 51200 debugging logging console critical enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxx ! username xxxxx privilege 15 password xxxxxxxxxxxxxxxx clock timezone PCTimeZone 1 clock summer-time PCTimeZone date Mar 30 2003 2:00 Oct 26 2003 3:00 ip subnet-zero no ip source-route ! ! ip tcp synwait-time 10 no ip domain lookup ! ! no ip bootp server ip cef ip audit notify log ip audit po max-events 100 ip ssh time-out 60 ip ssh authentication-retries 2 no ftp-server write-enable ! ! ! ! ! ! ! ! interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow shutdown no cdp enable ! interface FastEthernet0 description $ETH-WAN$xxxxxxxxxxxxxxxxxx no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 no cdp enable ! interface FastEthernet1 no ip address no cdp enable ! interface FastEthernet2 no ip address no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface FastEthernet4 no ip address no cdp enable ! interface Dialer0 ip address 10.17.13.1 255.255.255.0 ip mtu 1452 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ! interface Vlan1 description $FW_INSIDE$$ETH-SW-LAUNCH$ ip address 192.168.0.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow ! ip default-gateway 10.17.x.x ip classless ip route 0.0.0.0 0.0.0.0 10.17.x.x ip http server ip http authentication local ip http secure-server ! ! logging trap debugging dialer-list 1 protocol ip permit no cdp run ! banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user! ^C ! line con 0 login local transport output telnet line aux 0 login local transport output telnet line vty 0 4 privilege level 15 login local transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 4000 1000 scheduler interval 500 ! end Elit-Router# Schon mal Danke für eure Hilfe! Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 19. März 2004 Melden Teilen Geschrieben 19. März 2004 Ähm...also, was soll wer machen. Also ich verstehe es nicht ganz ? In der Konfig ist aber jedenfalls ip default gateway und default route auf die gleiche Ip Adresse doppeltgemoppelt. Der Dialer wird auch nix tun... Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 19. März 2004 Autor Melden Teilen Geschrieben 19. März 2004 @Frank04 Der Router soll den Clients die (192.168..) an das Gateway über den Switch (an dem das andere Netz (10.17..)) leiten & dann an das Gateway. Jedoch sollen die Clients aus dem einen Netz nicht auf das andere zugreifen können & umgekehrt. Was ist das mit dem Dialer & was ist nun überflüssig? Ich habe auch schon etwas mit dem Secure Device Manager & dann auch noch mit der Konsole konfiguriert, vielleicht kam so die Doppelmoppelung zustande Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 19. März 2004 Melden Teilen Geschrieben 19. März 2004 Also es tut mir leid, aber ich verstehe noch nicht ganz was du tun willst, kannst du es mal deutlich hinschreiben, ohne Wörter etc. wegfallen zu lassen ? Bisher glaube ich aus deinen Schilderungen ableiten zu können, das dein netz in etwa wie folgt aussieht: Netz A ------- RTR -------- Switch...... am Switch hängt eine PIX(???) und Netz B (bestehend aus: Server und Clients) ? Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 22. März 2004 Autor Melden Teilen Geschrieben 22. März 2004 Ich habe mal einen Netzplan gemacht: Plan Neues Netz -------- Router -------- Switch (mit bestehendem Netz) -------- Gateway Was ist eine PIX? In beiden Netzten gibt es einen Server, aber der aus dem bestehenden Netz interessiert mich nicht. Schon mal Danke. Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 22. März 2004 Melden Teilen Geschrieben 22. März 2004 Also, dass erste habe ich jetzt, glaube ich, verstanden: Das Netz 192.168.0.0 soll auf das Gateway zugreifen können. Das würde in etwa so aussehen: interface fastethernet1 descrip Verbindung zum Gateway no switchport ip address 10.17.13.1 255.?.?.? no shut no interface dialer0 no ip default-gatew... interface FastEthernet0 description Verbindung zum 192ner Netz no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache flow duplex auto speed auto no pppoe enable no pppoe-client dial-pool-number 1 no cdp enable Was ich immer noch nicht blicke ist, welche Clients sollen wohin nicht zugreifen dürfen ? Bitte mal Netze angeben, wer mit wenn soll bzw. nicht soll.... Übrigens eine PIX ist eine Firewall Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 22. März 2004 Autor Melden Teilen Geschrieben 22. März 2004 @Frank04 Danke für die schnelle Antwort :) Die 10.17.er Clients dürfen nicht auf die 192.168er Clients zugreifen & umgekehrt. Die 192.168er sollen lediglich auf das Gateway über den Switch (an dem die 10.17er hängen) zugreifen können. Ich täte gerne wissen, was all' diese Befehle bedeuten. Kannst du sie mir bitte erklären oder wo kann ich mich über sie schlau machen? - no switchport - no shut - no interface dialer0 - no ip address - no ip redirects - no ip unreachables (muss hier nochwas dazugeschrieben werden & wenn ja, die 10.17er?!) - no ip proxy-arp - no ip route-cache flow - no pppoe-client dial-pool-number 1 - no cdp enable Der Befehl "descrip Verbindung zum Gateway" ... einfach so hinschreiben? Ach, am Router hängt das 192.168er Netz am Interface 1 & am Interface 0 (10/100 Ethernet) geht's zum 10.17er. Stimmen dann deine Befehle noch Glaube nicht, oder?! Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 22. März 2004 Melden Teilen Geschrieben 22. März 2004 Mit "no" deaktiviert man Befehle bzw. nimmt Sie zurück. Auf dem Interface 0 ist viel konfiguriert, was man nicht braucht. Du brauchst auch keinen Dialer, da nix am ISDN hängt. Im einzelnen: - no switchport Macht aus dem Port einen Routerport. Du hast ja ein intergrierten 4-Port Switch. - no shut Schaltet das Interface ein (no shutdown) - no interface dialer0 - no ip address - no ip redirects - no ip unreachables (muss hier nochwas dazugeschrieben werden & wenn ja, die 10.17er?!) - no ip proxy-arp - no ip route-cache flow - no pppoe-client dial-pool-number 1 - no cdp enable Alles Befehle zum zurücknehmen alter Eingaben. Am besten Du würdest den Router "factory default" setzen und alles neu aufsetzen. Ist ja nicht zuviel. "descrip" war die Abkürzung für description. Ich war nur zu faul zum schreiben. Heisst ja nur Beschreibung und ist für die Funktion egal. Die Cisco-Webseite ist eine Quelle mit viel Informationsgehalt... Also wenn das 10ner Netz am interne FastEthernet0 hängt und das 192ner Netz hängt am Switch, dann würde ich wie folgt vorgehen: interface fastethernet0 ip address 10.17.13.1 255.x.x.x no shutdown ip access-group 20 out interface vlan1 ip address 192.168.0.1 255.255.255.0 no shutdown ip route 0.0.0.0 0.0.0.0 10.Gatewayadresse access-list 40 permit GATEWAYadresse access-list 40 deny any Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 22. März 2004 Autor Melden Teilen Geschrieben 22. März 2004 @Frank04 So, habe nun mal folgendes eingegeben: Eingabe wie du siehst, hat das mit der "#ip route 0.0.0.0 0.0.0.0. 10.17.13.250" nicht geklappt & ein paar andere Eingaben nicht geklappt :( Was nun? War ich im falschen Modus? aktuelle sh run Danke für die Befehlserklärungen!!! Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 22. März 2004 Melden Teilen Geschrieben 22. März 2004 Hallo, es fehlte ein exit: Elit-Router(config)#interface vlan 1 Elit-Router(config-if)#ip address 192.168.0.1 255.255.255.0 Elit-Router(config-if)#no shutdown Elit-Router(config-if)#EXIT Elit-Router(config)#access-list 40 permit 10.17.13.250 Elit-Router(config)#access-list 40 deny any Die Default-Route zeigt aufs Fastethernet0, dass ist auch o.k. Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 22. März 2004 Autor Melden Teilen Geschrieben 22. März 2004 Aha, nun ging auch alles ohne eine Fehlermeldung :) Hier nun nochmal die aktuelle Satzung. Was aber nun mit ""#ip route 0.0.0.0 0.0.0.0. 10.17.13.250" & mit diesen ganzen Befehlen? - no interface dialer0 - no ip address - no ip redirects - no ip unreachables (muss hier nochwas dazugeschrieben werden & wenn ja, die 10.17er?!) - no ip proxy-arp - no ip route-cache flow - no pppoe-client dial-pool-number 1 - no cdp enable Der Chipler Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 23. März 2004 Melden Teilen Geschrieben 23. März 2004 Also nochmal, Du hast nirgendwo ISDN dranhängen ? Wenn ja, dann brauchst Du dieses nicht mehr: interface Dialer0 ip address 10.17.13.1 255.255.255.0 ip mtu 1452 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable Das denn mit: Elit-Router(config)#no interface dialer0 löschen. Jetzt kannst Du Deinem FastEthernet0 die IP Adresse vergeben: Elit-Router(config)#interface fastethernet0 Elit-Router(config-if)#ip address 10.17.13.1 255.255.255.0 Elit-Router(config-if)#no shutdown Elit-Router(config-if)#no pppoe-client dial-pool-number 1 Elit-Router(config-if)#no pppoe enable Elit-Router(config-if)#EXIT Du braucht ja kein "pppoe", also bitte ausschalten. So jetzt solltest Du vom jedem aus dem Netz 192...auf das Netz 10... pingen können. Jetzt müssten wir noch mal über die Access-Liste reden. So wie es jetzt ist, ist die Kommunikation nur mit dem Gateway möglich. Soll das wirklich so sein ? Ansonsten müssen wir das umschreiben. Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 23. März 2004 Autor Melden Teilen Geschrieben 23. März 2004 @Frank Nein, habe kein ISDN dran hängen. So, bin nun mal etwas weiter: Authorized access only! Disconnect IMMEDIATELY if you are not an authorized user! User Access Verification Username: xxxxxx Password: Elit-Router#enable Elit-Router#enable Elit-Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Elit-Router(config)#no interface Dialer0 Elit-Router(config)#interface vlan1 Elit-Router(config-if)#shut down ^ % Invalid input detected at '^' marker. Elit-Router(config-if)#shut ? <cr> Elit-Router(config-if)#shut Elit-Router(config-if)#no ip address Elit-Router(config-if)#no description Elit-Router(config-if)#interface vlan 100 Elit-Router(config-if)#interface vlan100 Elit-Router(config-if)#ip address 192.168.0.1 255.255.255.0 Elit-Router(config-if)#no ip redirects Elit-Router(config-if)#no ip unreachables Elit-Router(config-if)#no ip proxy-arp Elit-Router(config-if)#ip route-cache flow Elit-Router(config-if)#no access-list 40 Elit-Router(config)#$ 110 permit ip host "FIREWALL-IP" 192.168.0.0 0.0.0.255 "access-list" wird wohl ausgeblendet weil die Eingabe zu lange ist!? access list 110 permit ip host "FIREWALL-IP" 192.168.0.0 0.0.0.255 ^ % Invalid input detected at '^' marker. Elit-Router(config)#access-list 110 permit ip host "FIREWALL-IP" 192.168.0.0 0.$ warum ist da ein $-Zeichen? Ich habe aber "access-list 110 permit ip host 10.17.13.250 192.168.0.0 0.0.0.255" eingegeben Elit-Router(config)#$ 110 deny ip 10.17.13.0 0.0.0.255 192.168.0.1 0.0.0.255 Elit-Router(config)#access-list 110 permit ip any any Elit-Router(config)#no dialer-list 1 protocol ip permit Elit-Router(config)#exit Elit-Router#vlan database Elit-Router(vlan)#vlan 100 name Elit-Bereich VLAN 100 added: Name: Elit-Bereich Elit-Router(vlan)#ip ssh time-out 1000 ^ % Invalid input detected at '^' marker. Elit-Router(vlan)#conf t ^ % Invalid input detected at '^' marker. Elit-Router(vlan)#ip ssh time-out 1000 ^ % Invalid input detected at '^' marker. Elit-Router(vlan)#interface fastethernet0 ^ % Invalid input detected at '^' marker. Elit-Router(vlan)#exit APPLY completed. Exiting.... Elit-Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Elit-Router(config)#interface fastethernet0 Elit-Router(config-if)#ip address 10.17.13.1 255.255.255.0 Elit-Router(config-if)#access-group 110 in ^ % Invalid input detected at '^' marker. Elit-Router(config-if)#access ? input Filter input packets output Filter output packets Elit-Router(config-if)#access % Incomplete command. wie lautet der Befehl? Elit-Router(config-if)#no pppoe enable Elit-Router(config-if)#no pppoe-client dial-pool-number 1 Elit-Router(config-if)#cdp enable % Cannot enable CDP on this interface, since CDP is not running Elit-Router(config-if)#start cdp ^ % Invalid input detected at '^' marker. Elit-Router(config-if)#run ^ % Invalid input detected at '^' marker. wo liegt der Fehler? Elit-Router(config-if)#access input ? LINE A boolean expression of bridge access lists Elit-Router(config-if)#access input 110 EXPR: Unknown Symbol encountered in Expression. Elit-Router(config-if)#access input access-group 110 EXPR: Unknown Symbol encountered in Expression. Elit-Router(config-if)#interface fastethernet1 Elit-Router(config-if)#no ip address Elit-Router(config-if)#no cdp enable Elit-Router(config-if)#switchport access vlan 110 Elit-Router(config-if)#exit Elit-Router(config)#exit Elit-Router#wr Building configuration... [OK] Hier die aktuelle Config. Nachtrag: "ip access-group 110 in" lautete der Befehl. Habe ihn nun eingetragen & die sh run aktuallisiert. Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 23. März 2004 Melden Teilen Geschrieben 23. März 2004 Sorry aber, wie soll man helfen, wenn Du Dich gar nicht an die Anleitung richtest. Wo steht was von vlan110 oder vlan 100, wo steht was von shutdown von vlan 1??? Zitieren Link zu diesem Kommentar
Der Chip'ler 10 Geschrieben 23. März 2004 Autor Melden Teilen Geschrieben 23. März 2004 @Frank Ja, sorry. Aber ich stehe unter Zeitdruck & nun konnte mir kurz mal jemand helfen, der alle Cisco-Scheine hat. Das mit vlan 110 hat er gesagt, wäre für erweiterte Adresslisten. Info Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.