Toon posts:

[Cisco 877]Wel pingen vanaf router , niet vanaf werkstation

Pagina: 1
Acties:

woensdag 1 juli 2009 21:02

Acties:
  • degroot
  • Registratie: December 2003
  • Niet online

degroot

Topicstarter
Ik heb een probleem met mijn onlangs aangeschafte Cisco 877.
Ik heb ADSL van Online , hierdoor moet de Cisco bridged werken en kon ik dus de SDM software helaas niet gebruiken.

Het probleem is als volgt:
Ik kan vanaf mijn router wel naar mijn dns van online pingen(194.134.5.55)
Als ik dat zelfde probeer vanaf mijn werkstation , dan lukt dat niet.
Wel kan ik vanaf mijn werkstation mijn WAN IP pingen.

Nu heb ik niet heel erg veel kennis van cisco , heb al wel het een en ander gegoogled.
Volgens mij mis ik namelijk een NAT pool , heb wel veel voorbeelden gezien , maar kan daar niet echt aan uitkomen
dit is mijn config
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

bridge irb
!
!
!
interface Null0
 no ip unreachables
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5snap
 !
 dsl operating-mode auto
 bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
interface BVI1
 description $FW_OUTSIDE$
 mac-address 001f.9f4c.2bd4
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 BVI1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface ATM0.1 overload
ip nat inside source list nat_allowed interface BVI1 overload
!
ip access-list extended nat_allowed
 permit ip 0.0.0.0 255.255.255.0 any
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 102 permit ip any host 10.10.10.1

www.degroot-it.nl

donderdag 2 juli 2009 07:28

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 20:01

jvanhambelgium

Een NAT-pool mis je niet aangezien je het "overload" statement gebruikt waardoor die Cisco eigenlijk "PAT" gaat doen. (dus hij gebruikt het publieke IP van je WAN voor alle NAT werk)

Nu, mischien moet je maar eens beginnen met dit weg te halen :

"ip nat inside source list 1 interface ATM0.1 overload"

En vervolgens moet je de ACL "nat_allowed" aanpassen want die deugd eigenlijk niet...

0.0.0.0 255.255.255.0 wil in Cisco ACL terminology zeggen X.X.X.0 dus altijd de netwerk-ID van eenders welk IPv4 netwerk.Een "0" in het mask gedeelte wil zeggen "follow strictly" terwij een 255 "don't care" wil zeggen.
Wat je eigenlijk wilt is gewoon :

"permit ip any any" OF "permit ip 10.10.10.0 0.0.0.255" of zoiets. (dus alle stations op je LAN met een 10.10.10.x address)

ACL "1" is bijvoorbeeld WEL goed opgemaakt.

Daarna zal het wel werken.

De reden dat je vanaf de Cisco de DNS van online kan pingen is omdat hij standaard het IP van de uitgaande interface neemt bij deze ping (dus je verkregen publiek IP) en dat verhaaltje klopt.
Dat je vanaf een intern adres de WAN IP kan pingen is omdat deze ook "directly connected" is.

Dus ik denk dat het NAT verhaaltje nog niet helemaal in orde is.
Success!

donderdag 2 juli 2009 19:07

Acties:
  • degroot
  • Registratie: December 2003
  • Niet online

degroot

Topicstarter
Thanks voor je hulp.
Ik ben nu inderdaad een heel eind verder.
Heb je oplossing ingevoerd , maar kom nu tegen een ander probleem.

Zodra de cisco zijn adsl verbinding heeft , dan kan ik voor een aantal seconden een ping uitvoeren.
Dat kan zowel vanaf router als vanaf werkstation.
Alleen krijg ik soms time outs , en na een minuut ofzo , dan kan ik helemaal niks meer pingen.
Ook niet vanaf router......
http://img6.imageshack.us/img6/6249/ciscoh.jpg

www.degroot-it.nl

donderdag 2 juli 2009 19:12

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 20:01

jvanhambelgium

Hmm, is niet logisch.
Je zal op de router aan het debuggen moeten vrees ik ;-)

Ben je met Cisco cli bekend ??

doe eens een "debug ip nat" en dan "term mon" en doe dan die ping nog eens van dat workstation ?

Post je huidige config eens ?
Heb je tussen de config-veranderingen ook de router eens af/op gezet ? doet ook wonderen vooral als je allerlei zaken op NAT enzo ligt aan te passen.

** Haal ook die "ip nat outside" van de ATM0.1 maar weg. Dus enkel nog op de BVI

[ Voor 9% gewijzigd door jvanhambelgium op 02-07-2009 19:17 ]

donderdag 2 juli 2009 20:05

Acties:
  • degroot
  • Registratie: December 2003
  • Niet online

degroot

Topicstarter
Ik heb de router al een aantal keer aan/uit gezet.
Ik vind het ook vreemd, laat nu me router ff aanstaan , misschien moet hij zich nog volledig registreren in het netwerk van de ISP(zoals vroeger bij orange.)

hier is mijn running-config
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname degroot
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$BM.Z$23rglFlvE0T3tob1nbBY30
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.9
!
ip dhcp pool sdm-pool1
   import all
   network 10.10.10.0 255.255.255.0
   dns-server 194.134.5.55 194.134.5.5
   default-router 10.10.10.1
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name degroot.local
ip name-server 194.134.5.55
ip name-server 194.134.5.5
ip ssh time-out 60
ip ssh authentication-retries 2
!
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-3530484955
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3530484955
 revocation-check none
 rsakeypair TP-self-signed-3530484955
!
!

!
!
vtp mode transparent
username hagroot privilege 15 secret 5 $1$h4.K$kHAv7nOi8SPOJDTSJVD70.
!
!
vlan 2,10
!
!
bridge irb
!
!
!
interface Null0
 no ip unreachables
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5snap
 !
 dsl operating-mode auto
 bridge-group 1
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
interface BVI1
 description $FW_OUTSIDE$
 mac-address 001f.9f4c.2bd4
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 BVI1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list nat_allowed interface BVI1 overload
!
ip access-list extended nat_allowed
 permit ip any any
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 102 permit ip any host 10.10.10.1
no cdp run
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end



HMMM,heel vreemd.
Ik heb de router geen reset gegeven , maar steek opnieuw het dsl stekketje er terug in en hij blijft nu wel gelijk signaal houden :P

www.degroot-it.nl

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq