xcooldj 10 Geschrieben 11. Oktober 2004 Melden Teilen Geschrieben 11. Oktober 2004 Hallo, ich möchte einen Exchange Server an meinem Router betreiben. Ich habe eine Feste IP von meinem ISP bekommen. Nur bastele ich schon einige Tagen mit dem Problem den Port 25 für SNMTP frei zu bekommen. IP Nat Inside habe ich schon gemacht dennoch funzt das irgendwie nicht richtig. Meine Access Listen habe ich auch schon versucht zu ändern > ohne Erfolg! Was vergesse ich? Ich nutze einen Cisco 836 Gruß Tino Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 11. Oktober 2004 Melden Teilen Geschrieben 11. Oktober 2004 ip nat inside source static tcp "lokale IP des Server" 25 interface Dialer1 25 diese Zeile sollte zusammen mit einer passenden Access-Liste die Erreichbarkeit deines Servers auf port 25 sichern Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 11. Oktober 2004 Autor Melden Teilen Geschrieben 11. Oktober 2004 Hi, hmm ich habe also dies schon eingetragen. Kann sein das schon einiges an unsinn drin steht aber egal. Wie entferne ich einträge aus der IOS Config? Was muss noch gemacht werden weil es immer noch nicht funzt!! Auszüge IOS Config interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.2.201-255.25 5.255.0 ip address 192.168.2.201 255.255.255.0 secondary ip address 10.10.10.1 255.255.255.0 ip access-group 122 out ip nat inside ip virtual-reassembly interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ip http server no ip http secure-server ip nat inside source list 102 interface Dialer1 overload ip nat inside source static tcp 192.168.1.253 6129 interface Dialer1 6129 ip nat inside source static tcp 192.168.2.253 2121 interface Dialer1 2121 ip nat inside source static tcp 192.168.2.253 6667 interface Dialer1 6667 ip nat inside source static tcp 192.168.2.253 20 interface Dialer1 20 ip nat inside source static tcp 192.168.2.253 80 interface Dialer1 80 ip nat inside source static tcp 192.168.2.253 21 interface Dialer1 21 ip nat inside source static tcp 192.168.2.251 25 interface Dialer1 25 ! access-list 23 permit 195.63.63.132 access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 access-list 96 permit 192.168.0.0 0.0.255.255 access-list 96 remark SNMP Access-List access-list 102 permit ip 192.168.2.0 0.0.0.255 any access-list 102 permit 25 any any access-list 102 permit ip any any access-list 111 permit tcp any any eq www access-list 111 permit tcp any any eq ftp access-list 111 permit tcp any any eq telnet access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any access-list 122 deny tcp any any eq telnet access-list 122 permit ip any any access-list 122 permit 25 any any Gruß Tino Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Hi xcooldj Erlaube mir eine Frage ! Was funktioniert denn mit dieser Konfiguration ? Wozu benötigst Du zwei LAN Netze ? Ich bin mir nicht sicher ob es nicht eventuell Probleme mit der secondary IP am Ethernet gibt. An Deiner Stelle würde ich ersteinmal auf das Minimum reduzieren. Das bedeutet: Mache 192.168.2.0/24 erstmal zum einzigen (primary) Netz. Dieses brauchst Du offensichtlich für das static NAT. Dann nimm eine standard access-list für die inside source list und keine extended ! Wozu brauchst Du access-list 102 permit 25 any any ? Hier steht die 25 nicht für den IP:Port 25 ! 25 ist hier eine Protokoll Nummer. Beispiele: Assigned Internet Protocol Numbers Decimal Keyword Protocol References ------- ------- -------- ---------- 0 HOPOPT IPv6 Hop-by-Hop Option [RFC1883] 1 ICMP Internet Control Message [RFC792] 2 IGMP Internet Group Management [RFC1112] 3 GGP Gateway-to-Gateway [RFC823] 4 IP IP in IP (encapsulation) [RFC2003] 5 ST Stream [RFC1190,RFC1819] 6 TCP Transmission Control [RFC793] 7 CBT CBT [ballardie] 8 EGP Exterior Gateway Protocol [RFC888,DLM1] 9 IGP any private interior gateway [iANA] (used by Cisco for their IGRP) 10 BBN-RCC-MON BBN RCC Monitoring [sGC] 11 NVP-II Network Voice Protocol [RFC741,SC3] 12 PUP PUP [PUP,XEROX] 13 ARGUS ARGUS [RWS4] 14 EMCON EMCON [bN7] 15 XNET Cross Net Debugger [iEN158,JFH2] 16 CHAOS Chaos [NC3] Nimm z.B. diese List: access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 Damit klappt es dann bestimmt. Binde anschließend das zweite Netz 10.10.10.0/24 an das eth int und teste nochmal ! Und nimm beim Test auch erstmal Deine ip access-group 122 out vom int eth. P.S.: Eintäge können mit dem "no" vor dem jeweiligen Command entfernt werden. Beispiel ip address 192.168.2.201 255.255.255.0 secondary löscht man mit no ip address 192.168.2.201 255.255.255.0 secondary am int eth. Oder global Befehle: access-list 23 permit 195.63.63.132 access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 löscht man mit no access-list 23 MfG Mr. Oiso Zitieren Link zu diesem Kommentar
corc 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Hi, mr._oiso hat recht - die Accessliste müßte lauten permit tcp [iP Mailserver] any eq 25 Desweiteren scheint es, als sei auf Deinem Router die Firewall aktiviert (ip inspect myfw out); die Cisco-Firewall hat Probleme mit SMTP, daher würde ich den Eintrag 'ip inspect myfw smtp' rausschmeißen. Gruß, corc. Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 14. Oktober 2004 Autor Melden Teilen Geschrieben 14. Oktober 2004 Hi, danke ! Ich habe nur noch Probleme mit dem Secondary Eintrag auf dem eth0 wie mache ich die 10.10.10.1 ip zur Secondary und die 192.168.2.201 zu primary? Die 10.10.10.1 kann gelöscht werden! Wie wechsele ich auf das eth0? Sobald ich no ip address 192.168.2.201 255.255.255.0 secondary eingebe kommt da nen verweis das etwas mit dem Eintrag nicht ok ist. Mit no ip access-group 122 out komme ich auch nicht weit. Ich vermute das ich wie schon oben genannt erst auf das eth0 wechseln muss?? *grübel* version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Router ! boot-start-marker boot system flash c836-k9o3sy6-mz.123-8.T.bin boot-end-marker ! no logging buffered enable secret 5 xxxx ! username Router password 7 xxxx username CRWS_Jaidil privilege 15 password 7 xxx no aaa new-model ip subnet-zero ! ! ip dhcp excluded-address 192.168.2.201 ip dhcp excluded-address 192.168.2.1 192.168.2.9 ip dhcp excluded-address 192.168.2.41 192.168.2.254 ip dhcp excluded-address 192.168.2.253 ! ip dhcp pool CLIENT import all network 192.168.2.0 255.255.255.0 default-router 192.168.2.201 lease 0 2 ! ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip ips po max-events 100 no ftp-server write-enable ! ! ! ! ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.2.201-255.25 5.255.0 ip address 192.168.2.201 255.255.255.0 secondary ip address 10.10.10.1 255.255.255.0 ip access-group 122 out ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface BRI0 no ip address shutdown ! interface ATM0 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode annexb-ur2 pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address duplex auto speed auto ! interface FastEthernet3 no ip address duplex auto speed auto ! interface FastEthernet4 no ip address duplex auto speed auto ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxxxxxxx ppp chap password xxxxx ppp pap sent-username dxxxx ppp ipcp dns request ppp ipcp wins request ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 23 interface Dialer1 overload ip nat inside source static tcp 192.168.2.251 25 interface Dialer1 25 ip nat inside source static tcp 192.168.2.253 21 interface Dialer1 21 ip nat inside source static tcp 192.168.2.253 80 interface Dialer1 80 ip nat inside source static tcp 192.168.2.253 20 interface Dialer1 20 ! ! access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 access-list 96 permit 192.168.0.0 0.0.255.255 access-list 96 remark SNMP Access-List dialer-list 1 protocol ip permit snmp-server community wan RW 96 snmp-server location Sturm Home 2OG snmp-server contact Tino Sturm <xxxxx> snmp-server enable traps tty ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable transport preferred all transport output all stopbits 1 line aux 0 transport preferred all transport output all line vty 0 4 exec-timeout 120 0 login local length 0 transport preferred all transport input all transport output all ! scheduler max-task-time 5000 ! end Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Hi xcooldj Das ist eigentlich ganz einfach ! Alles was Du an diesem Promt: Routername(config)# eingibst, sind globale Befehle ! Um am Interface Ethernet die IP zu entfernen oder zu ändern, musst Du in die Interfaceeinstellung wechseln mit: Routername(config)#interface ethernet 0 danach bekommst Du einen Promt: Routername(config-if)# An dieser Stelle gibst Du ein no ip address 192.168.2.201 255.255.255.0 secondary no ip address 10.10.10.1 255.255.255.0 ip address 192.168.2.201 255.255.255.0 ip address 10.10.10.1 255.255.255.0 secondary und fertig ! Über Console wäre gut ! Sonst entzieht er Dir bei der Operation die Telnet-Session ! Gruß Mr. Oiso Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 14. Oktober 2004 Autor Melden Teilen Geschrieben 14. Oktober 2004 Hi mr. oizo, danke.... auch das hat funktioniert. Ich sollte jetzt noch den eintrag vom eth0 access-group 122 out entfernen. Ich habe das "probiert" mit no access-group 122 out. Es erscheint die Meldung bei: Router(config-if)#no access-group 122 out % Invalid input detected at marker. Der marker steht bei group! Gruß Tino Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 14. Oktober 2004 Melden Teilen Geschrieben 14. Oktober 2004 Es muss vollständig heissen: "no ip access-group 122 out" Bei dir fehlte das ip Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 14. Oktober 2004 Autor Melden Teilen Geschrieben 14. Oktober 2004 Hi, danke Pretender da hat sich wohl der fehlerteufel eingeschlichen. Jetzt zu meinem problem und meiner never ending story :-) ich möchte wie schon weit oben beschrieben einen exchange server an dem router betreiben. nach dem umstellen der config kann ich das teil immer noch nicht von extern erreichen. Warum???? Hier noch mal die aktuelle config :-) no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname Router ! boot-start-marker boot system flash c836-k9o3sy6-mz.123-8.T.bin boot-end-marker ! no logging buffered enable secret xxx ! username Router password xxx username CRWS_Jaidil privilege 15 password 7 xxx no aaa new-model ip subnet-zero ! ! ip dhcp excluded-address 192.168.2.201 ip dhcp excluded-address 192.168.2.1 192.168.2.9 ip dhcp excluded-address 192.168.2.41 192.168.2.254 ip dhcp excluded-address 192.168.2.253 ! ip dhcp pool CLIENT import all network 192.168.2.0 255.255.255.0 default-router 192.168.2.201 lease 0 2 ! ! ip ips po max-events 100 no ftp-server write-enable ! ! ! ! ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.2.201-255.25 5.255.0 ip address 10.10.10.1 255.255.255.0 secondary ip address 192.168.2.201 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface BRI0 no ip address shutdown ! interface ATM0 no ip address atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode annexb-ur2 pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address duplex auto speed auto ! interface FastEthernet3 no ip address duplex auto speed auto ! interface FastEthernet4 no ip address duplex auto speed auto ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxx ppp chap password xxx ppp pap sent-username xxx ppp ipcp dns request ppp ipcp wins request ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server no ip http secure-server ip nat inside source list 23 interface Dialer1 overload ip nat inside source static tcp 192.168.2.251 25 interface Dialer1 25 ip nat inside source static tcp 192.168.2.253 21 interface Dialer1 21 ip nat inside source static tcp 192.168.2.253 80 interface Dialer1 80 ip nat inside source static tcp 192.168.2.253 20 interface Dialer1 20 ! ! access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 10.10.10.0 0.0.0.255 access-list 96 permit 192.168.0.0 0.0.255.255 access-list 96 remark SNMP Access-List dialer-list 1 protocol ip permit snmp-server community wan RW 96 snmp-server location Sturm Home 2OG snmp-server contact Tino Sturm <xxx> snmp-server enable traps tty ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable transport preferred all transport output all stopbits 1 line aux 0 transport preferred all transport output all line vty 0 4 exec-timeout 120 0 login local length 0 transport preferred all transport input all transport output all ! scheduler max-task-time 5000 ! end Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 15. Oktober 2004 Melden Teilen Geschrieben 15. Oktober 2004 Erklär mal was du mit "kann den Exchange von aussen nicht erreichen" genau meinst. Versuchst du es mit: telnet "ip des Exchange" 25 ??? Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 15. Oktober 2004 Autor Melden Teilen Geschrieben 15. Oktober 2004 Hi Pretender, 1. Versuch intern = telnet ex01 25 > ist OK 2. Versuch extern = telnet "meine feste IP vom ISP" 25 > konte keine Verbindung aufbauen Gruß Tino Zitieren Link zu diesem Kommentar
xcooldj 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 Hallo, ich kann nicht sagen woran es gelegen hat das es nicht funktionierte. Ich habe die Konfiguration komplett gelöscht und neu eingehämmert. Jetzt geht’s *grübel* Danke an alle!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.