Cisco 851 Router configuratie - Netwerken

donderdag 28 mei 2009 10:57

Acties:

Topicstarter

Hallo!

Op het moment ben ik bezig een nieuwe router te configureren. Echter kom ik er zelf niet helemaal uit. Op het moment hebben wij hier een simpele linksys router staan. Maar wegens uitbreiding van het netwerk is er een iets professionelere router aangeschaft.

Nu wil ik deze configureren maar kom er niet helemaal uit. Deze router moet een aantal port forwards gaan maken naar een server die in het netwerk staat.

Nu heb ik op portforward.com al gekeken hoe dit ingesteld zou moeten worden maar krijg het helaas niet werkend. Daarnaast heb ik volgens mij eigenlijk de standaard "wizards" gedaan voor de NAT en Firewall.

(op het moment heb ik een test opstelling gemaakt en op de "server" krijg ik telkens de melding van een ip conflict.)

Wie kan mij een duwtje in de juiste richting geven voor het configureren van deze router.

Hier een aantal screenshots van mijn instellingen;

http://www.elana.nl/router/screens.html

Alvast Bedankt!

donderdag 28 mei 2009 11:19

Acties:

pouyann

heb nog nooit een cisco router met gui geconfigureerd, kan je misschien je "SHOW RUN" plaatsen?

ik denk dat het veel duidelijker is voor de mensen hier.

donderdag 28 mei 2009 11:38

Acties:

aap411vm

Topicstarter

Hierbij de running config.

http://www.elana.nl/router/runningconfig.html

donderdag 28 mei 2009 14:17

Acties:

Verwijderd

Wat is het adres van deze server? 192.168.1.2 of 192.168.1.12?

Sowieso is het het handigste om alles te testen zonder firewall-rules en pas als het werkt de firewall aan te zetten, dan hoef je tijdens het testen niet naar de fw te kijken en op het moment dat het niet meer werkt als je de fw aanzet, dan weet je waar je moet zoeken...

donderdag 28 mei 2009 16:39

Acties:

aap411vm

Topicstarter

Bedankt voor je input Jeroen,

Heb de router even compleet gereset en de SDM Express even opnieuw gedaan. Heb ook de router in het huidige netwerk gezet. nu doet hij een aardige portforward echter alleen als ik mij buiten het netwerk bevindt.

Evenkort de nieuwe setup: Vlan1: 10.10.10.1
"server": 10.10.10.4
FastEthernet4: 192.168.0.240 (dit wordt later public IP)

Als ik nu buiten het netwerk zit (dus in de 192.168.0.XXX) Dan forward hij keurig netjes naar 10.10.10.4.
Zodra ik in het nieuwe interne netwerk zit: (10.10.10.XXX) Dan port forward hij dus niet als ik 192.168.0.240 gebruik. Kan deze echter wel pingen dus hij is gewoon te benaderen.

Moet ik de forward ook nog "intern" bekend maken? Hoop dat iemand nog een suggestie kan doen

Running config te vinden http://www.elana.nl/router/runningconfig.html

vrijdag 29 mei 2009 09:56

Acties:

Verwijderd

Dat heb ik zelf ook nooit aan de praat gekregen, ik heb het uiteindelijk "opgelost" door de hostnaam op de interne DNS te laten resolven naar het interne IP adres.

donderdag 16 juli 2009 14:05

Acties:

aap411vm

Topicstarter

Hallo Allen, Eindelijk weer tijd gevonden om dit weer op te pakken. Ben nu inmiddels met de firewall bezig en de vraag is eigenlijk

Op mijn FastEthernet4 adapter heb ik de volgende configuratie:

Access Rule inbound: 105
Inspect Rule inbound: SDM-ins_in_100
Inspect Rule outbound: fw

op mijn vlan heb enkel een Access Rule inbound: 104.

Nu heb ik een server hier staan die taken moet opvangen. In welke inspect rule zet ik mijn poort open. Zeg maar PPTP poort bijvoorbeeld. Moet dit gedaan worden op de Inspect Rule Inbound of Outbound? En wat is precies het verschil tussen Access Rule en Inspect Rule?

Beide zijn services zoals FTP etc te kiezen. En hier is een relatief simpel netwerk. Moet er ook een outbound regel voor de VLAN komen? Ik wil deze groep geen dingen verbieden zoals MSN of iets dergelijks.\

Ik hoop dat iemand mij hier iets meer duidelijkheid over kan geven.

Groet,

Aap411vm

donderdag 16 juli 2009 14:15

Acties:

Mike2k

Zone grote vuurbal jonge! BAM!

Aap,
Zoals je zou moeten weten doen tweakers elkaar standaard de groeten

Daarnaast moet je een inbound regel creeëren.
Inbound is het verkeer wat van de buitenkant (internet) het netwerk op wil. Outboud is dan natuurlijk andersom.

Wat ik me alleen afvraag:
Je hebt FE4 als buitenkant en VLAN1 als binnenkant gedefinieërd?
Waar moet VLAN1 zijn verkeer op kwijt ? je zult wel fysieke poorten moeten aangeven waarop het VLAN van toepassing is...

PS:
Dump hier ook gelijk even je nieuwe config...(text)

[ Voor 6% gewijzigd door Mike2k op 16-07-2009 14:17 ]

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

donderdag 16 juli 2009 15:35

Acties:

aap411vm

Topicstarter

Fastex,

Omdat ik een Cisco 851 router heb. Heb ik het volgende toegepast: https://cisco.hosted.jivesoftware.com/thread/4741

Waarom wordt hier dan op de outside de "fw" gezet? Vond het al iets onlogisch. En waarom zou je dan uberhaupt een outbound definitie maken? Om MSN verkeer te blokeren of iets dergelijks?

Ik heb een Access point op één fysieke poort gezet. En heb NAT draaiend nu. De config is wel iets veranderd met betrekking tot bovenstaand verhaal.

Dus het doel is:

131.211.146.XXX router outside
192.168.0.3 router inside

192.168.0.2 (webserver)
192.168.0.244(andere server die nog moet komen)

Hier de running config:

http://www.elana.nl/router/runningconfig.html

De SDM High staat op het moment niet op een netwerk adapter maar had ik op de VLAN staan.

donderdag 16 juli 2009 15:54

Acties:

Mike2k

Zone grote vuurbal jonge! BAM!

Wat mis je nu dan nog ?
Want dit:

code:

1	ip nat inside source static tcp 10.10.10.4 80 interface FastEthernet4 80

is je port forwarding...

Waarom wordt hier dan op de outside de "fw" gezet? Vond het al iets onlogisch. En waarom zou je dan uberhaupt een outbound definitie maken? Om MSN verkeer te blokeren of iets dergelijks?

true

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

donderdag 16 juli 2009 16:10

Acties:

aap411vm

Topicstarter

Ik weet niet of ik wat mis. Ik wil gewoon weten of het correct is zo qua firewalls etc.

het IP adres 131.211.146.186 is een test omgeving waarbij alle poorten vanaf de universiteit ook dicht zitten. Live omgeving staan deze poorten wel open.

Maar ik hoef geen firewall regels op de VLAN te zetten als dit mijn enige netwerk "groep" is? Ze mogen inprincipe alles.

vrijdag 17 juli 2009 13:51

Acties:

aap411vm

Topicstarter

Verwijderd schreef op vrijdag 29 mei 2009 @ 09:56:
Dat heb ik zelf ook nooit aan de praat gekregen, ik heb het uiteindelijk "opgelost" door de hostnaam op de interne DNS te laten resolven naar het interne IP adres.

Heb het vandaag in de live omgeving gezet en alles werkt prima. Heb nog wat kleine firewall aanpassingen moeten maken. Maar hij doet wat ik wil

Echter de websites die we op de server hebben hosten zijn nu niet intern bereikbaar. Ik kom er ook niet helemaal uit hoe ik dit moet instellen in de DNS van de SBS machine. Kan iemand een zetje geven? $_/-\o_$

als ik een nslookup doe. verwijst mijn website ook naar 131.211.146.167 (FA4). Die hem zou moeten forwarden naar mijn interne server.

Thnx

vrijdag 17 juli 2009 14:42

Acties:

Mike2k

Zone grote vuurbal jonge! BAM!

Gebruik even de edit knop

Wat je moet gaan doen is 'split dns'.
Oftewel: je moet op je interne dns server een zone aanmaken voor de lokale website en dan het lokale ip adres van de webserver gebruiken.

Voorbeeld: Website heet www.example.nl en het ip van de interne webserver is 192.168.0.2
Zone: example.nl
A-record www -> 192.168.0.2

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

zaterdag 18 juli 2009 10:53

Acties:

Kabouterplop01

chown -R me base:all

Split DNS? Gewoon in je lokale zone een host adres voor je webserver toevoegen.

maandag 20 juli 2009 12:36

Acties:

aap411vm

Topicstarter

Super! het werkt perfect! Thanks!