Subnet splitsen en doorrouteren - Serversoftware en clouddiensten

maandag 18 juli 2005 16:07

Acties:

Verwijderd

Topicstarter

Ik heb een probleem waar ik zelf niet uitkom en daarom deze schreeuw om hulp.

Ik heb een KPN InternetDSL aansluiting met een Cisco 828 router en 256 publieke IP-adressen:

Internet
|
Cisco 828 Router
|
x.y.z.0/24

Nu wil ik het subnet splitsen en doorrouteren naar een satelliet IP-modem en via de satelliet naar twee remote networks:

Internet
|
Cisco 828 Router
| |
| x.y.z.a/25
|
Satelliet IP-modem
| |
| x.y.z.b/26
|
x.y.z.c/26

De klant die gebruik gaat maken van dit remote networks wil publieke IP-adressen en wil geen gebruik maken van port forwarding of iets dergelijks via een FireWall (dat doen we voor andere klanten).

KPN support dit niet en wil dus niet helpen met het instellen van de Cisco 828 router en ik kan niet zelf de instellingen veranderen, omdat ik geen username en password heb.

Nu zijn er volgens mij 2 oplossingen mogelijk:

1 – nieuwe router aanschaffen, echter welke router (Cisco 828 router of iets vergelijkbaars) en met welke settings?

2 – een computer (met twee netwerkkaarten) met software installeren tussen de Cisco 828 router en de subnetten, echter welke software kan IP packets voor subnet x.y.z.b/26 en x.y.z.c/26 oppikken en doorsturen naar het Satelliet IP-modem, vanwaar het doorgestuurd wordt via de satelliet naar de remote subnets?

Wie kan deze schreeuw om hulp beantwoorden?

maandag 18 juli 2005 16:23

Acties:

leuk_he

1. Controleer de kabel!

Verwijderd schreef op maandag 18 juli 2005 @ 16:07:
KPN support dit niet en wil dus niet helpen met het instellen van de Cisco 828 router en ik kan niet zelf de instellingen veranderen, omdat ik geen username en password heb.

Is die eigendom van kpn of de klant?

Als die van de klant is kun je vast het wachtwoord resetten. In het beroerste geval een factory reset....

maar als ik dit lees

ciscos troublsohooting kun hem ook met een seriele aansluiting password recoveren.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 18 juli 2005 16:46

Acties:

Verwijderd

Topicstarter

De Cisco 828 router is van KPN, dus het password resetten lijkt mij niet zo'n goed idee.

De seriele port vereist een speciale kabel die ik aan de hand van de pin-layout geprobeerd heb na te maken. Het lukt me echter niet een telnet sessie te starten, dus heb ik maar aangenomen dat KPN de seriele port dicht heeft gezet.

maandag 18 juli 2005 17:10

Acties:

Verwijderd

Aangezien de router van KPN is kan je weinig doen omdat je de config wel moet wijzigen wil je de buitenwereld vertellen waar de nieuwe subnetten te vinden zijn.

Die "serieele" poort die je bedoeld is waarschijnlijk een rj45 aansluiting ? dat is de console poort en die werkt zoiezo niet met telnet.
Hyperterminal zou meer succes moeten geven.

Het enige wat volgens mij aangepast moet worden is het subnetmask van de 828 en daarna 2 routes aanmaken naar de satelite ip voor de nieuwe subnets.

ps: wat is een satelite ip modem ?

maandag 18 juli 2005 17:33

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op maandag 18 juli 2005 @ 17:10:
Die "serieele" poort die je bedoeld is waarschijnlijk een rj45 aansluiting ? dat is de console poort en die werkt zoiezo niet met telnet.
Hyperterminal zou meer succes moeten geven.

Ik heb van alles geprobeerd, oa hyperterminal. Omdat niks werkte heb ik maar aangenomen dat KPN de port dicht heeft gezet (geen idee of dit kan).

Verwijderd schreef op maandag 18 juli 2005 @ 17:10:
Het enige wat volgens mij aangepast moet worden is het subnetmask van de 828 en daarna 2 routes aanmaken naar de satelite ip voor de nieuwe subnets.

Kan dat met de Cisco 828 router?

Verwijderd schreef op maandag 18 juli 2005 @ 17:10:
ps: wat is een satelite ip modem ?

Een satellite IP-modem is een soort router die IP verkeer omzet in een RF signaal dat naar een satelliet opgestraald kan worden. De satelliet stuurt het signaal weer terug naar de aarde waar het signaal opgevangen wordt en door een ander satellite IP-modem weer wordt omgezet in IP verkeer.
Aldus heeft men een netwerk verbinding via een satelliet, en kan dus op afgelegen gebieden (bv midden in de woestijn) geinternet en gemaild worden.

maandag 18 juli 2005 18:28

Acties:

Verwijderd

Is gewoon basis routering dus ja dat kan met een 828 maar ik kan het ook fout hebben natuurlijk dus zou zoiezo cisco om advies vragen.

Helemaal als je geen ervaring hebt met het configureren van cisco routers.

maandag 18 juli 2005 20:05

Acties:

schroevendraaier480

certified prutser

moelijk doen, hoeft allemaal niet.

Laten we zeggen voor het voorbeeld dat je een subnet hebt 192.168.16.0 mask 255.255.255.0
gateway is voor het gemak 192.168.16.1

Dit netje hakken we gewoon in twee stukken,

dus voor je klant 192.168.16.0 mask 255.255.255.128
BC wordt dan 192.168.16.127. adressen voor je klant zijn 192.168.16.1 tm 192.168.16.126

en voor jezelf 192.168.16.0 mask 255.255.255.0
BC wordt dan 255. Adressen voor jouzelf zijn 192.168.16.130 tm 192.168.16.254

Jijzelf kan het hele subnet bereiken inclusief de adressen van je klant, je klant ziet door het subnet masker alleen zijn eigen netje. Wel heb je een gemeenschappelijk gateway adres, maar dat is geen probleem.

Iedereen blij, geen wijzigingen aan je router en dat allemaal rechtstreeks uit het grote IPV4 boek.

wat nou router, gewoon een kroonsteentje!

dinsdag 19 juli 2005 14:56

Acties:

Verwijderd

Topicstarter

Ik ben bang dat het helaas iets ingewikkelder is: de Satelliet IP-modem zijn namelijk routers en dienen als gateways ingesteld te worden.

Uitgebreider:

Internet
|
Cisco 828 Router
| |
| x.y.z.a/25
|
Satelliet IP-modem 1
\
\
Satelliet
/
/
Satelliet IP-modem 2
|
x.y.z.b/26

Waarbij subnet x.y.z.b/26 Satelliet IP-modem 2 als gateway heeft. Normaal installeren we een FireWall tussen de Cisco en Satelliet IP-modem 1 en geven we x.y.z.b/26 niet-publieke IP-nummers en laten we de FireWall het routeren doen.

Helaas moeten we nu publieke IP-nummers gebruiken en wordt het een heel ander verhaal.

dinsdag 19 juli 2005 15:21

Acties:

Verwijderd

zolang je de cisco router niet kan wijzigen, dan kan je helemaal niks beginnen. Tenminste ik neem aan dat de routing table van de cisco router de c-klasse ziet als directly connected en dan kan je niks meer routeren...

of je moet vage trucken uit gaan halen met dubbele nat, maar dan hoop ik dat je precies weet waar je mee bezig bent

(als je dat weet, dan weet je ook dat je dat niet wilt

)

[ Voor 30% gewijzigd door Verwijderd op 19-07-2005 15:31 ]

dinsdag 19 juli 2005 19:56

Acties:

Verwijderd

Move NT > PNS

dinsdag 19 juli 2005 20:06

Acties:

StevenK

Voor dit soort situaties kunnen sommige routers, bijvoorbeeld cisco's, toch proxy-arp gebruiken ? Hiermee kun je een deel van een subnet routeren zonder dat de hoofdrouter (je 828) dit doorheeft.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

woensdag 20 juli 2005 13:07

Acties:

Verwijderd

Allereerst zou ik zeggen, console kabel in die
828 KPN. Je zou in de config wel de console
poort uit kunnen zetten, echter als je dat
ding reboot staat de console poort gewoon aan
wat je dus nodig hebt om het config register
van de router te veranderen, zodat de startup-config
niet wordt ingeladen.

Jou oplossing met een computer met 2 netwerkkaarten vindt ik
zelf niet zo mooi, aangezien ze daar routers voor
hebben uitgevonde

Je zegt dat de situatie als volgt is :
even normale ipadressen ipv xyz

Internet
|
Cisco 828 Router
|
192.168.10.0/24 (publiek IP-range)

wat je dan moet maken is het volgende:

ik weet niet wat de mogelijkheden van dat satteliet ding
zijn, maar laten we even een cisco 831 erbij pakken in het plaatje

cisco 828 -> 192.168.10.1/25

in de 828 voeg je de volgende route toe:
ip route 192.168.10.128 255.255.255.128 192.168.10.2

cisco 831 -> eth0 : 192.168.10.2 (/25) (verbonden met 828)
-> eth1 : 192.168.10.129 (/26) (verbonden met satellietding)

satellietding 1: 192.168.10.130 (/26)
satellietding 2: 192.168.10.193 (/26)
als die satellietdingen kunnen bridgen, hoef je niet nog een keer te subnetten

woensdag 20 juli 2005 13:10

Acties:

axis

Als je trouwens zo'n console kabel wil maken, van deze pin-layout weet ik gewoon dat ie werkt: http://www.hardwarebook.net/cable/serial/ciscoconsole9.html

Heb namelijk paar weken geleden een 827 gekocht zonder console kabel, en heb vier keer verkeerde pin-layout gebruikt, tot ik deze pagina tegen kwam.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

woensdag 20 juli 2005 17:22

Acties:

Verwijderd

Topicstarter

Ik had de correcte pin-layout, alleen gebruikte ik niet de correcte kabel. Ik gebruikte een gewone UTP kabel, maar het moet dus een "rolled cable" zijn (zie ook http://www.cisco.com/warp/public/701/14.html#topic8) waarbij pin 1 met pin 8 is verbonden en pin 2 met pin 7 enz.

Nu kan ik in de cisco 828 komen, alleen krijg ik nu een leuke boodschap van onze KPN vrienden:

*****************************************************************
This node is KPN-telecom property
SDSL Router
Unauthorized access prohibited
*****************************************************************

User Access Verification

Password:

Ik lees helaas geen Engels, dus heb ik de cisco manual erbij gepakt en heb via een aantal stappen een "enable secret 0" weten te achterhalen. Hiermee zou je moeten kunnen inloggen, maar helaas...

Iemand enig idee?

woensdag 20 juli 2005 19:27

Acties:

Verwijderd

Mja, hier houdt het mijns inziens wel op. Je moet dit verder met KPN regelen.

woensdag 20 juli 2005 22:41

Acties:

Verwijderd

mijn engels is ook niet al te best, dus ik zeg
password recovery procedure uitvoeren

op deze link staat beschreven hoe je het moet doen:
http://www.tech-faq.com/cisco-password-recovery.shtml

in het kort:
Sluit de computer aan op de console van de router
zet de router uit en vervolgens weer aan.
Op het moment dat je decompressing image ziet staan moet je
send break doen (via het menu in hyperterminal)
dan kom je in de zogenaamde rommon
hier kan je het configregister aanpassen, reboot de router en
de config staat in de startup-config , en je running-config is leeg :-)

donderdag 21 juli 2005 09:58

Acties:

StevenK

Verwijderd schreef op woensdag 20 juli 2005 @ 17:22:
Ik had de correcte pin-layout, alleen gebruikte ik niet de correcte kabel. Ik gebruikte een gewone UTP kabel, maar het moet dus een "rolled cable" zijn (zie ook http://www.cisco.com/warp/public/701/14.html#topic8) waarbij pin 1 met pin 8 is verbonden en pin 2 met pin 7 enz.

Nu kan ik in de cisco 828 komen, alleen krijg ik nu een leuke boodschap van onze KPN vrienden:

Ik denk dat als je deze tekst leest en de faq erbij pakt, dat je conclusie zal moeten zijn dat je deze vraag (hoe kom ik in een KPN router waar ik niet in mag) niet op GoT terecht kunt.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 21 juli 2005 11:04

Acties:

axis

Verwijderd schreef op woensdag 20 juli 2005 @ 17:22:
Ik had de correcte pin-layout, alleen gebruikte ik niet de correcte kabel. Ik gebruikte een gewone UTP kabel, maar het moet dus een "rolled cable" zijn (zie ook http://www.cisco.com/warp/public/701/14.html#topic8) waarbij pin 1 met pin 8 is verbonden en pin 2 met pin 7 enz.

Rolled? Ik gebruik ook een gewone UTP kabel (heb doos met 300m staan), en ik heb gewoon volgens dat document de juiste pinnetjes aan elkaar gesoldeerd.

Nu kan ik in de cisco 828 komen, alleen krijg ik nu een leuke boodschap van onze KPN vrienden:

Weet niet hoeveel geld jullie er voor over hebben, maar wat let je om deze als backup te houden, en een 2e nieuwe te houden? Als je dan een probleem hebt met de connectie, en je hebt support nodig, hang je gewoon de KPN doos terug.

Ik lees helaas geen Engels, dus heb ik de cisco manual erbij gepakt en heb via een aantal stappen een "enable secret 0" weten te achterhalen. Hiermee zou je moeten kunnen inloggen, maar helaas...

Als je geen Engels leest, weet ik niet of IT wel het juist vakgebied is? Vraag iemand of ie de procedure vertaalt: http://www.cisco.com/warp/public/474/pswdrec_800.html. Als je stap voor stap doet wat hier staat, kun je het password resetten. Maar let wel dat je dan alle support voor je lijn kwijt bent..

Ik zou een 2e kopen

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

donderdag 21 juli 2005 11:35

Acties:

Verwijderd

Topicstarter

axis schreef op donderdag 21 juli 2005 @ 11:04:
Ik zou een 2e kopen

Ik ook, dus heb ik er al een besteld. Echter ik zou graag de settings afkijken en deze overnemen en aanpassen in de nieuwe router.

Rolled? Ik gebruik ook een gewone UTP kabel (heb doos met 300m staan), en ik heb gewoon volgens dat document de juiste pinnetjes aan elkaar gesoldeerd.

Ligt er natuurlijk aan of je links of rechts als pin 1 neemt.

Verwijderd schreef op woensdag 20 juli 2005 @ 17:22:
Ik lees helaas geen Engels

Was cynisch bedoeld, maar misschien had ik er een

bij moeten plaatsen.

donderdag 21 juli 2005 14:59

Acties:

TrailBlazer

Karnemelk FTW

Verwijderd schreef op woensdag 20 juli 2005 @ 17:22:
Ik had de correcte pin-layout, alleen gebruikte ik niet de correcte kabel. Ik gebruikte een gewone UTP kabel, maar het moet dus een "rolled cable" zijn (zie ook http://www.cisco.com/warp/public/701/14.html#topic8) waarbij pin 1 met pin 8 is verbonden en pin 2 met pin 7 enz.

Nu kan ik in de cisco 828 komen, alleen krijg ik nu een leuke boodschap van onze KPN vrienden:

[...]

Ik lees helaas geen Engels, dus heb ik de cisco manual erbij gepakt en heb via een aantal stappen een "enable secret 0" weten te achterhalen. Hiermee zou je moeten kunnen inloggen, maar helaas...

Iemand enig idee?

kortom ik mag op elke router waar niet in het swahili opstaat dat ik er niet in mag inloggen immers dat is mijn moedertaal. Ik denk dat de juristen van KPN daar anders over denken. Op dit moment ben je namelijk intelectueel eigendom aan het stelen van KPN. Is in iedergeval reden voor ze om je contract per direct te beeindigen. Benieuwd wat je klant daar van vindt

donderdag 21 juli 2005 15:22

Acties:

_-= Erikje =-_

ik neem aan dat in de config toch wel een enable secret 7 (*Bfadskj1 of zo stond en geen enable secret 0 cleartext ?

donderdag 21 juli 2005 16:48

Acties:

Verwijderd

Topicstarter

Het is wel degelijk enable secret 0

donderdag 21 juli 2005 19:36

Acties:

DSmarty

Ik weet niet in hoeverre KPN actief beheer uitvoert op die zaken en/of via SNMP dingen uitleest/instelt.
Maar hier kan je idd vrij forse problemen door krijgen.

Als ze erachter komen zijn ze gerechtigd om jou af te sluiten, vraag me af of jouw werkgever dat gaat waarderen.

Als je toch die publieke adressen door wil zetten dan lijkt het me raadzaam om achter die KPN-router een eigen router te zetten die de boel doorzet. (een 2621XM bijvoorbeeld, kan je 2ehands voor iets van 500/600 euro krijgen tegenwoordig)
Of simpelweg een Linux-doos als het el-cheapo moet.