bodo40 10 Geschrieben 16. August 2006 Melden Teilen Geschrieben 16. August 2006 Hi, was muss denn eigentlich alles configuriert werden, damit man mit einem C831 DSL nutzen kann. intern Subnetz 172.25.22.0 255.255.255.0 Eth 0 ip address 172.25.19.254 Eht 1 ip address 87.87.87.234 Router ISP vor meinem Router 87.87.87.233 Rechnermit x-over-kabel an Router interface fa 0/0 interface fa 0/0 ohne ip wobei über den vier fa buchsen auch noch e0 steht. scheint ein interner hub zu sein. man kann nicht raus pingen (z.B.:Google) irgendwas mit dem Routing habe ich nicht richtig genacht. Ich glaube ich habe noch gar kein Routing eingerichtet. Wie macht man das denn mit einer statischen Route.? alles vom Subnetz 172.25.22.0 soll über das Def.Gateway e0 des Subnetzes über das interface e1 raus. Muss ich dann auch noch natting aktivieren. habe davon gehört, weis aber in diesem einfachen fall trotzdem nicht wie das eingerichtet wird. ohoh. vielen Dank für Rat euer Bodo40 Zitieren Link zu diesem Kommentar
Chrusafan 10 Geschrieben 16. August 2006 Melden Teilen Geschrieben 16. August 2006 Hallo, wie ist den die gesamte Konfig? bitte im enable-Modus den Befehl show run eingeben und hier pasten. Danke Zitieren Link zu diesem Kommentar
bodo40 10 Geschrieben 16. August 2006 Autor Melden Teilen Geschrieben 16. August 2006 OK, hier die show run infos. Danke schon mal, ich hoffe wir kommen weiter. Wie du siehst ist schon ein Tunnel auf ipsec basis eingestellt, der auch noch nicht läuft. geht wohl erst wenn die Fragen von oben gegessen sind. Router-Wien#show run Building configuration... Current configuration : 1580 bytes ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Router-Wien ! enable secret 5 ********** enable password 7 ********** ! no aaa new-model ip subnet-zero no ip routing ip name-server 87.87.87.233 ! ! ip audit notify log ip audit po max-events 100 no ftp-server write-enable ! ! ! ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key 0 ********** address 217.217.217.210 ! ! crypto ipsec transform-set hannover esp-3des esp-md5-hmac ! crypto map dyn-map 5 ipsec-isakmp set peer 217.217.217.210 set transform-set hannover match address 110 ! ! ! ! interface Ethernet0 ip address 172.25.22.254 255.255.255.0 no ip route-cache ! interface Ethernet1 ip address 87.87.87.234 255.255.255.248 no ip route-cache duplex auto ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address shutdown duplex auto speed auto ! interface FastEthernet3 no ip address shutdown duplex auto speed auto ! interface FastEthernet4 no ip address shutdown duplex auto speed auto ! ip classless ip http server no ip http secure-server ! access-list 100 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255 access-list 110 permit ip 172.25.22.0 0.0.0.255 172.25.19.0 0.0.0.255 access-list 110 permit icmp any any ! line con 0 no modem enable line aux 0 line vty 0 4 password 7 ********** login ! scheduler max-task-time 5000 ! end Gruss Bodo40 Zitieren Link zu diesem Kommentar
bodo40 10 Geschrieben 16. August 2006 Autor Melden Teilen Geschrieben 16. August 2006 Den erste Fehler habe ich endlich gefunden. Router-Wien(config)#ip routing ein kleiner befehl, den es sehr schwer zu finden war. trotzdem kann ich noch nicht ins internet pingen. def.gate für den router irgendwie einstellen? wieder so ein kleiner befehl. wer ihn kennt bitte melden. Danke euer Bodo40 Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 16. August 2006 Melden Teilen Geschrieben 16. August 2006 wie ein ganz normales default gateway? ip route 0.0.0.0 0.0.0.0 %gateway-IP% oder bei z.B. PPPoE ip route 0.0.0.0 0.0.0.0 %PPPoE-interface% Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 16. August 2006 Melden Teilen Geschrieben 16. August 2006 NAT: Im Externen Interface "ip nat outside" für das/die Interne(n) "ip nat inside" dann noch eine ACL die den Internen Bereich angibt access-list 18 permit 192.168.0.0 0.0.0.255 und noch aktivieren ip nat inside source list 18 interface Dialer1 overload (wobei Dialer1 durch dein Extern interface ersetzt werden muss) Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 16. August 2006 Melden Teilen Geschrieben 16. August 2006 Einen hab ich noch... der Router soll im Internet sein? Dann solltest du unbedingt über Sicherheit nachdenken Minimum fände ich: ACLs für das Management (web, telnet/ssh, ggf. snmp): access-list 1 permit 192.168.0.0 0.0.0.255 ip http access-class 1 snmp-server community %WORD% 1 line vty 0 4 access-class 1 in Eine ACL für das Outside-Interface, ich würde nur notwendiges erlauben um die Nutzer vor sich selbst zu schützen. Beispiel das nur tcp-verbindungen zuläßt die schon von intern aufgebaut wurden, und die normalen angriffsports nicht loggt: access-list 122 permit tcp any any established access-list 122 remark Aufraeumen... access-list 122 deny tcp any any eq 135 access-list 122 deny tcp any any eq 137 access-list 122 deny tcp any any eq 139 access-list 122 deny tcp any any eq 445 access-list 122 deny ip any any log-input Interface %outside% ip access-group 122 in Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.