[Cisco 836] Bridge probleem - Netwerken

dinsdag 20 september 2005 07:18

Acties:

ing.

Topicstarter

hi,

I heb de volgende situatie op dit moment,

Internet (1 Public ip) --> Cisco 836 --> Cisco Pix 501 unlimited

Wat ik wil is dat het public ip gebridged wordt naar de Outside interface van de Pix501

Op de router draait IOS 12.3

Nu heb ik de volgende configuratie, van een versie 12.1 of 12.2

interface Ethernet0
no ip address
no ip route-cache
bridge-group 1
!
interface ATM0
no ip address
no ip route-cache
no ip mroute-cache
no atm ilmi-keepalive
pvc 0 8/48
encapsulation aal5mux
!
bundle-enable
dsl operating-mode auto
bridge-group 1
hold-queue 224 in
!
bridge 1 protocol ieee

Alleen het 'bundle-enable' werkt niet meer in IOS 12.3

In de Pix501 dan de volgende settings

vpdn group pppoex request dialout pppoe
vpdn group pppoex localname $USER
vpdn group pppoex ppp authentication pap
vpdn username $USER password $PASSWORD

Iemand een idee?

ps; ik wil hier geen discussie starten waarom ik eerst een 836 in bridge zet terwijl deze ook firewall feature set heeft.
Hier is bij ons voor gekozen, eerst een 836 dan een pix501 (en je wil niet weten wat daar achter hangt

)

dinsdag 20 september 2005 12:48

Acties:

Flyduck

Gewoon een ip nat inside translatie maken werkt toch ook? Of bedoel je dat niet?

ip nat inside source static x.x.x.x y.y.y.y extend

x.x.x.x = pix outside address
y.y.y.y = router outside address

[ Voor 11% gewijzigd door Flyduck op 20-09-2005 12:48 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

dinsdag 20 september 2005 13:36

Acties:

Mikey!

Ik zag je vraag al op Cisco Netpro, leuk om te zien dat er meer GoTters daar rondhangen

Het commando bundle-enable werkt inderdaad niet meer in versie 12.3, gelukkig hebben ze er weer een mooie nieuwe reeks commando's voor gemaakt!

De informatie die je zoekt kan je waarschijnlijk hier vinden, het stuurt je door naar het bridging gedeelte van de 800 series Configuration Guide. De volledige guide is hier ook als PDF te downloaden

dinsdag 20 september 2005 13:44

Acties:

Movinghead

ing.

Topicstarter

Mikey schreef op dinsdag 20 september 2005 @ 13:36:
Ik zag je vraag al op Cisco Netpro, leuk om te zien dat er meer GoTters daar rondhangen

Het commando bundle-enable werkt inderdaad niet meer in versie 12.3, gelukkig hebben ze er weer een mooie nieuwe reeks commando's voor gemaakt!

De informatie die je zoekt kan je waarschijnlijk hier vinden, het stuurt je door naar het bridging gedeelte van de 800 series Configuration Guide. De volledige guide is hier ook als PDF te downloaden

Dat vind ik ook

Ik zal eens door deze documentatie lezen. Ik heb het namelijk snel nodig.

@flyduck
Ik wil die 836 gewoon een dumb router laten zijn, dus puur bridgen tussen atm en eth

dinsdag 20 september 2005 14:19

Acties:

Mikey!

Ik ben trouwens best benieuwd naar de reden van deze opstelling, alhoewel ik al wel een vermoeden heb waarom je voor deze oplossing hebt gekozen

de PIX is je VPN eindpunt en je hebt maar beschikking over één publiek ip adres?

Edit: laat maar, ik zie het al in de topicstart

[ Voor 11% gewijzigd door Mikey! op 20-09-2005 14:20 ]

woensdag 21 september 2005 07:39

Acties:

Movinghead

ing.

Topicstarter

Mikey schreef op dinsdag 20 september 2005 @ 14:19:
Ik ben trouwens best benieuwd naar de reden van deze opstelling, alhoewel ik al wel een vermoeden heb waarom je voor deze oplossing hebt gekozen

de PIX is je VPN eindpunt en je hebt maar beschikking over één publiek ip adres?

Edit: laat maar, ik zie het al in de topicstart

Klopt de PIX is het VPN eindpunt, ik heb wel een Netblock van 8 ip's (natuurlijk - 2 vanwege networkID en broadcast) dus 6 effectief.

ik zou ook de router kunnen laten NATten, maar dan moet ik dus zorgen dat die 6 ip's richting de PIX gaan, waarvan 1 op de outside van de PIX, 2 voor de NAT pool, en nog 3 voor webservers.

Nu moet de PIX ten alle tijden, VPN eindpunt zijn, en die router moet alleen routen en niet firewallen anders krijg ik problemen met IPsec VPN.

Het voordeel is dat het "verbinding maken" stuk bij de router neerleg.
NAT wil ik afhandelen op de PIX dit omdat je anders met VPN problemen kan krijgen als je NAT bij de router legt.

Wat zou kunnen is:

ADSL IP
Outside 836

Netblock
1e IP = NetworkID
2e IP = Outside PIX
3e IP = NAT pool PIX
4e IP = NAT pool PIX
5e IP =
6e IP =
7e IP =
8e IP = Broadcast adres

Wat zou jij doen?

En hoe zou jij dan routen zodat dit werkt,

En in bovenstaande setup is het dan niet verstandig nog een public ip bv het 5e aan de inside van de router te hangen, dan kan ik die nog beheren.

ps het netwerk ziet er ongeveer zo uit

(wan) --> Cisco 836 --> PIX501 -->--dmz--> PIX501 --> Cisco 3560G L3 EMI --> 20 VLANs via interVlan routing via 8 tal access switches.

[ Voor 23% gewijzigd door Movinghead op 21-09-2005 07:51 ]

woensdag 21 september 2005 10:19

Acties:

Mikey!

ik zou ook de router kunnen laten NATten, maar dan moet ik dus zorgen dat die 6 ip's richting de PIX gaan, waarvan 1 op de outside van de PIX, 2 voor de NAT pool, en nog 3 voor webservers.

Ik zou hier zelf niet voor kiezen, twee NATtende apparaten achter elkaar gaat nooit lekker werken en al helemaal niet als er ook nog eens VPNs bij betrokken zijn

Nu moet de PIX ten alle tijden, VPN eindpunt zijn, en die router moet alleen routen en niet firewallen anders krijg ik problemen met IPsec VPN.

Jups

Het voordeel is dat het "verbinding maken" stuk bij de router neerleg.
NAT wil ik afhandelen op de PIX dit omdat je anders met VPN problemen kan krijgen als je NAT bij de router legt.

Dit is inderdaad de beste manier

ADSL IP
Outside 836

Netblock
1e IP = NetworkID
2e IP = Outside PIX
3e IP = NAT pool PIX
4e IP = NAT pool PIX
5e IP =
6e IP =
7e IP =
8e IP = Broadcast adres

De indeling van de ip adressen van de Netblock zijn goed, dit is de meest logische manier van indelen die ik vaak in de praktijk gebruik

Wat zou jij doen?

Ik zou de router de verbinding laten beheren (een pix is zoiezo niet gemaakt om een ADSL binnen te krijgen) en nat niet configureren op de router. Tevens de router gewoon zijn ADSL ip laten behouden.

Verder zou ik de pix de ip addressen toewijzen uit de Netblock, zoals beschreven in het lijstje hierboven. De routering tussen de pix en router zit ik nog even over in omdat het ip adres van de router en van de outside van de pix niet uit dezelfde range komen. Hoogstwaarschijnlijk maakt het niet veel uit omdat het public ip's zijn. Let hier wel even extra op bij het testen, dit kan misschien problemen veroorzaken!

En in bovenstaande setup is het dan niet verstandig nog een public ip bv het 5e aan de inside van de router te hangen, dan kan ik die nog beheren.

Dit is opzich niet nodig, je kan de router altijd nog telnetten op zijn publieke ip, let er wel op dat de access-list goed ingesteld is

Ik hoop dat je hier wat mee kan

ik heb als het nodig is ook wel configuraties voor je van klanten van het bedrijf waar ik werk. (bijvoorbeeld wan --> 828 --> pix....zonder dmz ingesteld, met ip adressen uit één range, etc..). De situaties zijn vaak net iets anders maar het kan je misschien wel helpen

woensdag 21 september 2005 11:55

Acties:

richard_kraal

ben zelf zeer benieuwd naar de configuratie ....

ik ben al tijden bezig met 'bridge functionaliteit', helaas wil het niet werken
nu heb ik het opgelost met nat, maar dat heb ik liever niet ivm mogelijke vpn problemen

iemand een voorbeeld scriptje voor een 836 en 1public ip

woensdag 21 september 2005 14:18

Acties:

Mikey!

richardkraal schreef op woensdag 21 september 2005 @ 11:55:
ben zelf zeer benieuwd naar de configuratie ....

ik ben al tijden bezig met 'bridge functionaliteit', helaas wil het niet werken
nu heb ik het opgelost met nat, maar dat heb ik liever niet ivm mogelijke vpn problemen

iemand een voorbeeld scriptje voor een 836 en 1public ip

De configuraties die ik tot mijn beschikking heb, zijn allemaal voor situaties waar er meerdere publieke ip adressen gebruikt worden. Compleet passende configuraties (waarbij de router helemaal als bridge functionaliseerd) heb ik helaas niet. Via de search van Cisco kan je veel configuratievoorbeelden en documenten vinden, het is het zeker waard om daar een keer te zoeken

woensdag 21 september 2005 15:55

Acties:

Flyduck

En waarom moet je dan persee een 836 gebruiken, als je toch de firewall & router functie niet gaat gebruiken? Kan je net zogoed een simpel modem in de plaats hangen.

Afbeeldingslocatie: http://www.xs4all.nl/helpdesk/abonnement/adsl/gif/modems/alcatel_ethernet.gif

Afbeeldingslocatie: http://www.xs4all.nl/helpdesk/abonnement/adsl/gif/modems/alcatel_ethernet.gif

[ Voor 23% gewijzigd door Flyduck op 21-09-2005 15:57 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 21 september 2005 18:03

Acties:

Movinghead

ing.

Topicstarter

Flyduck schreef op woensdag 21 september 2005 @ 15:55:
En waarom moet je dan persee een 836 gebruiken, als je toch de firewall & router functie niet gaat gebruiken? Kan je net zogoed een simpel modem in de plaats hangen.

[afbeelding]

Bij ons is Cisco de standaard.

Zoiezo heb ik daar SmartNET contract opgezet, en de support van Cisco is toch een stukje beter

Hadden eerst zo'n alcatel, niet echt professioneel he

Aangezien op de locatie een private adsl ligt en geen business dsl op dit moment met als gevolg maar 1 public ip, is de situatie vanmiddag voorlopig als volgt opgelost omdat het spoed heeft( dit wil dus zeggen dat dit later nog eens wordt overwogen)

De 836 NAT, en de pixen routen naar de 836.

Men kan vanuit de 20 VLAN's mooi internetten, dus die case is voorlopig opgelost.

1 ding moet ik nog wel even uitzoeken hoe ik op die 836 , hoe ik de PIX Outside 10.0.0.2
als default server instellen, zodat ik het de poorten op de PIX kan verdelen, en niet nog eens rules op die 836 hoef te zetten. Dus iemand nog een id.

[ Voor 6% gewijzigd door Movinghead op 21-09-2005 18:04 ]