Hey all,
Ik zit met een probleem bij een klant die geen internet meer heeft door een fout van de telco.
Nu heb ik een isdn 803 cisco router gekregen, en wil ik het volgende doen:
Ik heb een inbelaccount met 1 vast ip-adres. Ik wil deze router laten inbellen op dit account. Achter de router staat een firewall die o.a. ook een ipsec vpn tunnel wil opzetten. NAT wordt dus een probleem. Echter heb ik alleen een NAT voorbeeld configuratie kunnen vinden.
Mijn vraag is dus, kan ik met 1 ipadres toch deze router als modem laten functioneren en het "echte" ipadres doorgeven aan de firewall die erachter staat zodat we de vpn tunnel toch op kunnen zetten?
Ter info hierbij de voorbeeld config voor de router met NAT:
Standaard Cisco 803 ISDN
! NAT/SUA opstelling.
!
!
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXXX
!
logging buffered 65000 debugging
enable secret XXXXXXXX
!
!
!
!
!
!
!
ip subnet-zero
no ip source-route
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.1.254 255.255.255.0
ip access-group 121 in
no ip proxy-arp
ip nat inside
shutdown
!
interface BRI0
no ip address
encapsulation ppp
shutdown
dialer pool-member 1
isdn switch-type basic-net3
!
interface Dialer1
description XXXXXXXX
ip address negotiated
ip access-group 121 in
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip split-horizon
dialer remote-name XXXXXXXX
dialer pool 1
dialer idle-timeout 180
dialer string XXXXXXXX
dialer hold-queue 10
dialer max-call 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname XXXXXXXX
ppp chap password XXXXXXXX
ppp pap sent-username XXXXXXXX password XXXXXXXX
!
ip nat inside source list 18 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 18 permit 192.168.1.0 0.0.0.255
access-list 121 permit ip 192.168.1.0 0.0.0.255 host 192.168.1.254
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any time-range TIME
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
password XXXXXXXXXXXXXX
login
!
no rcapi server
!
!
time-range time
periodic daily 0:01 to 23:59
!
end
Ik zit met een probleem bij een klant die geen internet meer heeft door een fout van de telco.
Nu heb ik een isdn 803 cisco router gekregen, en wil ik het volgende doen:
Ik heb een inbelaccount met 1 vast ip-adres. Ik wil deze router laten inbellen op dit account. Achter de router staat een firewall die o.a. ook een ipsec vpn tunnel wil opzetten. NAT wordt dus een probleem. Echter heb ik alleen een NAT voorbeeld configuratie kunnen vinden.
Mijn vraag is dus, kan ik met 1 ipadres toch deze router als modem laten functioneren en het "echte" ipadres doorgeven aan de firewall die erachter staat zodat we de vpn tunnel toch op kunnen zetten?
Ter info hierbij de voorbeeld config voor de router met NAT:
Standaard Cisco 803 ISDN
! NAT/SUA opstelling.
!
!
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXXX
!
logging buffered 65000 debugging
enable secret XXXXXXXX
!
!
!
!
!
!
!
ip subnet-zero
no ip source-route
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.1.254 255.255.255.0
ip access-group 121 in
no ip proxy-arp
ip nat inside
shutdown
!
interface BRI0
no ip address
encapsulation ppp
shutdown
dialer pool-member 1
isdn switch-type basic-net3
!
interface Dialer1
description XXXXXXXX
ip address negotiated
ip access-group 121 in
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip split-horizon
dialer remote-name XXXXXXXX
dialer pool 1
dialer idle-timeout 180
dialer string XXXXXXXX
dialer hold-queue 10
dialer max-call 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname XXXXXXXX
ppp chap password XXXXXXXX
ppp pap sent-username XXXXXXXX password XXXXXXXX
!
ip nat inside source list 18 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 18 permit 192.168.1.0 0.0.0.255
access-list 121 permit ip 192.168.1.0 0.0.0.255 host 192.168.1.254
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any time-range TIME
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
password XXXXXXXXXXXXXX
login
!
no rcapi server
!
!
time-range time
periodic daily 0:01 to 23:59
!
end
/u/3626/front-kabels.png?f=community)
:strip_icc():strip_exif()/u/10517/nwkoffie.jpg?f=community)