Problemen om https pagina's te bereiken - Netwerken

maandag 24 augustus 2009 16:03

Acties:

Topicstarter

Tweakers,

Over dit probleem ben ik met mijn provider scarlet al een kleine maand aan het onderhandelen. Maar ik word van het kastje naar de muur gestuurd, kortom ik kom er niet meer uit.

Zolas jullie wellicht zullen weten is scarlet overgenomen door belgacom. Wij zijn sinds 7 augustus omgezet door scarlet naar het netwerk van belgacom. Vanaf dan kan ik een aantal sites niet meer bereiken. Het probleem situeert zich op alle pc's

Apparatuur

Cisco 877w router/modem
server met Windows 2003 standard
GEEN enkele vorm van beveiliging - geen firewall, wel virusscanners

Probleem

Alle http en andere verkeer naar de server toe (sql enz) gaat. Ik kan alleen bepaalde sites niet meer bereiken, waaronder:

www.fortisbanking.be - zeer belangrijke site, nodig voor betalingen
www.goudengids.be
www.tradedoubler.com - hiervan zijn een groot aantal sites afhankelijk., doordat deze site onbereikbaar is kan ik de meeste sites die van de advertenties van deze site gebruikmaken niet meer openen.

Geprobeerde oplossingen

alles herstarten (server & router)
mtu waarde verlagen van 1492 naar 1432 op aanraden van scarlet - situatie bleef ongewijzigd
De DNS wordt door de server verzorgd, reeds de servers van OpenDNS geprobeerd - situatie bleef ongewijzigd
surfen via een proxyserver - geen probleem om de bovengenoemde pagina's te bereiken, wel zéér traag surfen zo
andere modem/router - een consumentending - geen probleem meer om de bovengenoemde pagina's te bereiken

reeds verschillende techniekers hebben telefonisch de router zijn configuratie nagelopen (nadat ik ze telnet toegang had gegeven).
Het zou niet aan de router en ook niet aan de configuratie ervan liggen. Maar waar ligt het dan wel aan
Vorige week is er een monteur van scarlet langsgeweest en die heeft de aansluitingen nagekeken, die zijn ook in orde.

De configuratie en de router hebben reeds 2 jaar zonder problemen gedraait.

Hierbij nog even mijn cisco configuratie

code:

Cisco877w#sh run
Building configuration...

Current configuration : 5911 bytes
!
! Last configuration change at 10:46:14 UTC Mon Aug 24 2009 by ***
! NVRAM config last updated at 13:43:06 UTC Thu Aug 20 2009 by ***
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Cisco877w
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret **********
enable password **********
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
no ip domain lookup
ip domain name scarlet.be
ip name-server 193.74.208.65
ip name-server 194.119.228.67
ip ssh time-out 60
ip ssh authentication-retries 2
vpdn enable
!
!
!
crypto pki trustpoint TP-self-signed-1370484972
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1370484972
 revocation-check none
 rsakeypair TP-self-signed-1370484972
!
!
crypto pki certificate chain TP-self-signed-1370484972
 certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333730 34383439 3732301E 170D3038 30333331 31363232
  32305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33373034
  38343937 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100ABFD 55C1230A 865939B0 C5035588 7D873DAA E1453722 480F9983 07911AEA
  A094617F F454658A 786BF2DF B8A88932 B1DE4148 9DC68957 8D422D55 5AAB4D76
  B8D3CD03 26539C2D E606D4C0 88694D67 3836954F BCF16501 2B86ACAE AF043167
  58227BA6 79159F59 714512E8 9B3E5C68 1062CB43 68992954 5291D1C3 1D4D34B7
  B8E30203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
  551D1104 18301682 14436973 636F3837 37772E73 6361726C 65742E62 65301F06
  03551D23 04183016 8014789A BA3DDE0A 537BFBFC 8FE2D5A6 8A5D247A E224301D
  0603551D 0E041604 14789ABA 3DDE0A53 7BFBFC8F E2D5A68A 5D247AE2 24300D06
  092A8648 86F70D01 01040500 03818100 6D7C060F 56603249 60CE6E9C DB2604D6
  2CBF1E04 8243F5A4 F1067C7E 547B1041 D80F87DF A4204A3D 386BE36A E6F588D5
  90583E97 C9520980 E0E9C973 E31F8620 05DB4D50 283377DB DA082B56 913E2F99
  C8F480AC 66A53307 5AAD637F 2C8C31E1 0F98D2A4 F69D208C 22DD294C 76111AF2
  7FAE4A35 E7C4DF16 69B24320 85E82ED7
  quit
username **** privilege 15 secret *********
username **** privilege 15 secret*********
!
!
!
bridge irb
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
 hold-queue 224 in
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 128bit 7 CE6B241F059DADC0DC132074A185 transmit-key
 encryption mode wep mandatory
 !
 ssid Kimpen
    authentication open
    guest-mode
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Vlan1
 no ip address
 ip virtual-reassembly
 bridge-group 1
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *******@SCARLET
 ppp chap password *********
 ppp pap sent-username ******@SCARLET password ********
!
interface BVI1
 description $ES_LAN$
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
router rip
 version 2
 network 10.0.0.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.80 443 interface Dialer0 443
ip nat inside source static tcp 10.10.10.80 2002 interface Dialer0 2002
ip nat inside source static tcp 10.10.10.80 80 interface Dialer0 80
ip nat inside source static tcp 10.10.10.80 25 interface Dialer0 25
ip nat inside source static tcp 10.10.10.80 1433 interface Dialer0 1433
ip nat inside source static tcp 10.10.10.80 1987 interface Dialer0 1987
ip nat inside source static tcp 10.10.10.80 110 interface Dialer0 110
ip nat inside source static tcp 10.10.10.80 21 interface Dialer0 21
ip nat inside source static tcp 10.10.10.80 3389 interface Dialer0 3389
ip nat inside source static tcp 10.10.10.80 1311 interface Dialer0 1311
ip nat inside source static tcp 10.10.10.80 8098 interface Dialer0 8098
ip nat inside source static udp 10.10.10.3 9 interface Dialer0 9
ip nat inside source static tcp 10.10.10.80 3306 interface Dialer0 3306
!
logging trap debugging
access-list 1 permit any
access-list 101 remark SDM_ACL Category=18
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 no modem enable
 transport output telnet
line aux 0
 transport output telnet
line vty 0 4
 password 7 02050D4808090E25414707
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
sntp server 193.74.71.200
end

hierbij ook nog enkele traces:

code:

Pingen naar www.fortisbanking.be [193.58.4.3] met 32 byte ge

Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.

Ping-statistieken voor 193.58.4.3:
    Pakketten: verzonden = 4, ontvangen = 0, verloren = 4
    (100% verlies).
Z:\>ping www.fortisbanking.be

Pingen naar www.fortisbanking.be [193.58.4.3] met 32 byte ge

Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.

Ping-statistieken voor 193.58.4.3:
    Pakketten: verzonden = 4, ontvangen = 0, verloren = 4
    (100% verlies).
Z:\>tracert www.fortisbanking.be

Bezig met het traceren van de route naar www.fortisbanking.b
via maximaal 30 hops:

  1     3 ms     3 ms     3 ms  10.10.10.1
  2    17 ms    17 ms    17 ms  ip-81-11-230-1.dsl.scarlet.b
  3    19 ms    19 ms    19 ms  195.207.176.10
  4    20 ms    22 ms    19 ms  ge0-3.icitystr1.isp.belgacom
  5     *        *        *     Time-out bij opdracht.
  6     *        *        *     Time-out bij opdracht.
  7     *        *        *     Time-out bij opdracht.
  8     *        *        *     Time-out bij opdracht.
  9     *        *        *     Time-out bij opdracht.
 10     *        *        *     Time-out bij opdracht.
 11     *        *        *     Time-out bij opdracht.
 12     *        *        *     Time-out bij opdracht.
 13     *        *        *     Time-out bij opdracht.
 14     *        *        *     Time-out bij opdracht.



Pingen naar 193.58.4.3 met 32 byte gegevens:

Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.
Time-out bij opdracht.

Ping-statistieken voor 193.58.4.3:
    Pakketten: verzonden = 4, ontvangen = 0, verloren = 4
    (100% verlies).

Kunnen jullie mij helpen? ik ben zowat ten einde raad, ik heb echt geen zin om mijn duur cisco router te gaan vervangen.

Bedankt!

maandag 24 augustus 2009 16:21

Acties:

Noork

Waarom zou je de router vervangen, werkt het dan wel wanneer je je pc direct aan de lijn hangt?

maandag 24 augustus 2009 16:40

Acties:

wagenveld

Ik neem aan dat die Cisco niet is geleverd door de provider? Aangezien een andere modem/router wel werkt en ik zie dat je traces halverwege (bij Belgacom) blijven steken zal 1 en ander niet lekker samenwerken. Gekeken naar firmware upgrade voor de Cisco? Gekeken of Cisco support een optie is? Misschien zweven hier nog wat Cisco experts rond die uitkomst kunnen bieden.

Wat pointers (zie ook daar MTU tussenstaan):
http://forum.cisco.com/ef...tline%40^1%40%40.1ddce796

http://forum.cisco.com/ef...tline%40^1%40%40.1ddce796

[ Voor 39% gewijzigd door wagenveld op 24-08-2009 16:49 ]

maandag 24 augustus 2009 16:44

Acties:

Xorsist

Ik heb hier vanuit Nederland ook even een ping en tracert uitgevoerd en ook hier krijg ik een timeout op ping en de tracert stopt op hetzelfde punt. Ik kan wel de site benaderen via https.

maandag 24 augustus 2009 16:56

Acties:

Pieter Kimpen

Topicstarter

Bedankt voor de reacties allemaal!!

De cisco heb ik toendertijd gekocht om mijn CCNA op te leren en te gebruiken. ik heb deze bij www.hardwareshop.eu besteld. Deze is dus niet geleverd door de provider.

Ik heb net van scarlet vernomen dat de Fortisbank traces en pings blokkeert

@Noork

Het is een alles in 1 toestel. (wireless, modem en router). Ik heb dus geen apart modem waar ik een pc kan aanhangen. Het werkt echter wel met een gewoon consumentending (lees SMC of speedtouch router )

@wagenveld

voor Cisco IOS upgrades heb je een cisco account nodig dat kost voor een KMO vrij veel geld. Ook voor de support moet je redelijk veel geld neer leggen. Dat geld heb ik als startend ondernemer niet. Ik betwijfel zelf of een IOS upgrade gaat helpen...

Scarlet steekt het op de Alcatel modem die in de cisco ingebouws zit. Maar waarom kan ik dat wel andere HTTPS en HTTP pagina's enz bezoeken/bereiken? FTP enz is ook gen probleem en alle inkomend verkeer voor mijn server is ook geen probleem.

Edit:

Hier nog even een wireshark capture uitgevoed vanaf mijn pc
Ik probeer hier te surfen naar de fortisbanking [193.58.4.3] en de goudengids

http://www.pjkcomputers.be/GOT/wiresharkfortisgg.pcap

[ Voor 9% gewijzigd door Pieter Kimpen op 24-08-2009 17:17 ]

maandag 24 augustus 2009 17:20

Acties:

wagenveld

Dat is het vreemde natuurlijk, het lijkt mij waarschijnlijk dat door de overname bepaalde apparatuur aan de provider kant veranderd is waardoor jouw modem in de Cisco moeite heeft met bepaald verkeer/bepaalde packet sizes/vul hier iets in. Nou lijkt me niet dat je provider hier iets aan kan of wil doen dus zul je toch moeten kijken naar een vervanger voor de Cisco.

Is het een optie om dat apparaat enkel als router in te zetten en een simpele modem bij je provider aan te vragen?

maandag 24 augustus 2009 17:47

Acties:

Pieter Kimpen

Topicstarter

Wagenveld,

Zo ziet het er naar uit ja,

Alle consumenterrouters gebruiken PPPoE met LLC encapsulatie. Kan je LLC ook op de cisco gebruiken?
Ik zou in ieder geval graag de cisco blijven verder gebruiken (heeft mij een rib uit mijn lijf gekost - koop ik ook eens iets degelijks en nu werkt het niet meer

om van te balen), echter heeft de cisco 877w geen WAN poort enkel een poort voor het ingebouwde adsl modem en 4 switch poorten en een console poortje.

Kan je misschien 1 van de switch poorten instellen zodat zo'n poortje als wan poortje fungeert?
Ikzelf tast wat betreft deze mogelijkheid een beetje in het duister.

Edit:

indien ik een switchport van de cisco als wanpoort kan inzitten kan ik er voor 50 euro een simpel speedtouchmodem aanknopen.

http://images.google.com/...ei=qreSStvRDIPe-QaNouzyDQ

dit wordt ondersteund door scarlet... en is voor wat nu betreft de simpelste/goedkoopste oplossing.

edit 2:

kan je die speedtouches een intern IP geven?

dan kan ik misschien de route veranderen van:

ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0

naar:

ip classless
ip route <ip en subnet speedtouch modem > fa0

of volstaat dit ook al?

ip classless
ip route 0.0.0.0 0.0.0.0 fa0

Edit 3:

Na wat rondzoeken op internet blijkt dat je de poorten in de 877 niet individueel kan aanspreken. Ik heb wel gevonden dat je met vlans kan werken en zodoende 1 van de switchpoorten als wanpoort te gebruiken.

[quote]

The 871 and 877 series routers are both capable of VLANs. You can divide up the internal 4 port switch and/or trunk one or more VLANs to another switch.

You can use an 877 for a cable connection, you just VLAN off one of the switch ports and use that as your WAN interface while the remaining 3 can be used for your LAN.

This also gives you the ability to hook up to ADSL in the future if its a better alternative than cable. Just keep in mind that current Cisco ADSL hardware does not support Annex M.

Yes you do need Advanced IP to do VLANs on the 870 series, so make sure you factor that into the cost when purchasing.

Your other cheaper alternative might be an 851, which is pretty much the same as the 871 except the switch isnt managed so you cant VLAN it up.

edit: an 870 is also suitable for CCNA, but you dont have the option for things like serial interfaces, and depending on the IOS version you may be lacking some features.

edit 2: www.cisco.com/en/US/prod...cd8028a982.shtml will answer all of the questions you are likely to raise about the 870 and 850 series, and much more.

[/qoute]

code:

Cisco877w#sh vers
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(4)T8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Sat 11-Aug-07 03:34 by khuie

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Cisco877w uptime is 34 minutes
System returned to ROM by reload at 16:29:31 UTC Mon Aug 24 2009
System restarted at 16:30:12 UTC Mon Aug 24 2009
System image file is "flash:c870-advsecurityk9-mz.124-4.T8.bin"
Last reload reason: Reload Command

Ik zit met een advanced security image. Ik hoop dat ik hiermee evengoed met meerdere vlans kan werken.

Zou dit werken?

edit 4

vlans aanmaken lukt op de router maar toewijzen aan een switchpoort daar struikelt ie inderdaad over....

code:

conf t
int vlan2
<commando voor een naam te geven lukt niet, normaal "vlan name" maar gaat niet>
ip add 192.168.2.100 255.255.255.0
no shut

dit lukt maar:

code:

1
2
3

int fa0
switchport mode access
switchport mode access vlan2 <<< dit gaat niet

ik zal dus een ander IOS moeten hebben vrees ik, maar heb hier niet genoeg geheigen voor in de router zitten....

[ Voor 88% gewijzigd door Pieter Kimpen op 24-08-2009 20:40 ]

dinsdag 25 augustus 2009 13:58

Acties:

Pieter Kimpen

Topicstarter

Subtiel shopje.
Iemand nog mogelijke hersenspinsels die ik uit kan proberen?

vrijdag 11 september 2009 16:27

Acties:

Pieter Kimpen

Topicstarter

Tweakers,

Om nog even een vervolg aan dit verhaal te breien.
Ondertussen heb ik (om toch probleemloss HTTPS pagina's te kunnen bereiken) een linksys WAG54G2 router gekocht.

Ik ben hier niet helemaal tevreden over (stroperig internet tegenover mijn cisco 877w router) en heb dus via marktplaats een cisco 1801 router gekocht. Deze wordt waarschijnlijk dinsdag geleverd.

Deze heeft ook een interne ADSL modem maar heeft het voordeel dat er ook een gewone WAN poort inzit, waar je dus een los ADSL of kabelmodem aan kan hangen.

In eerste instantie ga ik proberen om mijn bestaande configuratie van de cisco 877w router naar de cisco 1801 router over te brengen (met wat aanpassingen)

Indien op de 1801 router na het invoeren van mijn bestaande configuratie zich hetzelfde euvel voordoet kan ik er een los modem aanhangen.

Nu ben ik opzoek gegaan naar een gewoon modem zonder routerfunctie die ADSL2+ ondersteunt, maar die zijn blijkbaar niet te vinden. Het modem moet ook ondersteunt worden door mijn provider scarlet.
In de scarletshop kwam ik het volgende tegen:
http://scarletstore.acbs-...uit.asp?PdtNum=DSLGP604NT

Dit is een multi-user modem. De volgende vraag was dan: Hoe kan ik daar mijn cisco router achterhangen?
Dus gingen we even door de database van het tweakers.net forum zoeken. Daarin kwam ik het volgende tegen:

[cisco 18410]Router puur als gateway instellen voor ADSL

Hoe traint mijn linksys nu in

dit diende ik te weten omdat in het bovenstaande topic de modem ingesteld staat op "briged"

de waardes van de linksysmodem zijn:

code:

Encapsulatie:   RFC 2516 PPPoE
Multiplexing:   LLC
QoS:    UBR
PCR:    
SCR:    
Automatische detectie:  Uitschakelen
VPI:    8
VCI:    35
Inschakelen:    1
PVC-status: Actief

speedtouch modem aan cisco hangen en configureren

Ik veronderstel dat ik dit op het speedtouchmodem exact hetzelde kan instellen? Of moet 'k deze ook op briged instellen?

en kan ik dan op de 1801 het volgende instellen:

code:

conf t
interface fe0/0
ip address dhcp
exit
ip route 0.0.0.0 0.0.0.0 FE0/0

en daarna nat instellen op deze manier:

code:

interface BVI1
 description Intern netwerk
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

Verder heb ik ook nog een cisco aironet 1230 AP gekocht, maar eerst afwachten wat het geeft met de 1801 router

samengevat

Indien mijn huidige config wel werkt op het interne adsl modem van de cisco 1801 situatie zo laten
Indien niet los modem kopen (is bovenstaande geschikt hiervoor?). Moet ik het modem in briged state zetten?
Modem aan cisco hangen en WAN interface via bovenstaande manier configureren (als bovenstaande manier correct is).

Kunnen jullie bevestiging geven op mijn vragen? Bedankt!

Edit:

Onderstaande screenshots zijn misschien nuttig. Deze heeft de vorige eigenaar gemaakt.

Afbeeldingslocatie: http://remote.pjkcomputers.be/GOT/cisco/cisco1small.JPG

Afbeeldingslocatie: http://remote.pjkcomputers.be/GOT/cisco/cisco2small.JPG

Afbeeldingslocatie: http://remote.pjkcomputers.be/GOT/cisco/cisco3small.JPG

De screens zijn clickable.

Edit2:

Deze ook nog gevonden:

Ik zou bij

ip route 0.0.0.0 0.0.0.0 het ip van de speedtouch moeten opgeven als next hop en geen interface dus zo:

code:

1	ip route 0.0.0.0 0.0.0.0 <intern ip speedtouch modem>

[ Voor 13% gewijzigd door Pieter Kimpen op 03-06-2011 15:47 ]

zaterdag 12 september 2009 15:29

Acties:

Pieter Kimpen

Topicstarter

Tweakers,

volgens deze link:
http://www.cisco.com/en/U...ple09186a0080094be1.shtml
zou ik bij ip route 0.0.0.0 0.0.0.0 de standaardgateway van mijn provider moeten neerplemen. Dit IP adres heb ik ondertussen gevonden. Maar is dit wel zo?

Ook blijkt uit zoeken op google dat de 877w en de 1801 over dezelfde Alcatel 20190 chipset beschikken. Ik heb dus weinig hoop dat het via de ingeboude ADSL modem wél gaat werken, maar we kunnen het proberen.

zaterdag 12 september 2009 23:47

Acties:

Kabouterplop01

chown -R me base:all

Ik heb een 1801 modem; als je wilt kan ik wel een config voor je maken; ik maak dan een routed LLC config voor je (Althans het broodnodige gedeelte)
Ik heb dan wel wat instellingen nodig die zij gebruiken (Belgacom)
Wel een beetje maf over die alcatel chipset, het hele atm netwerk is ook van alcatel (ik heb zo mijn bronnen).

edit: als het echt een pppoe verbinding is en ze melden jou dat je je mtu naar 1432 moet aanpassen dan weet ik niet of ze het zelf wel snappen. daarbij hoort je mtu gewoon 1492 te zijn....
ah well.

[ Voor 23% gewijzigd door Kabouterplop01 op 13-09-2009 01:14 ]

zondag 13 september 2009 13:39

Acties:

Pieter Kimpen

Topicstarter

Kabouterplop,

Bedankt voor je reactie!

Ja, ikzelf vind het ook raar. Ik weet dat scarlet zelf ook cisco aparatuur gebruikt en dat op het netwerk van belgacom ook verschillende Alcatel spullen zitten.
Er hebben van scarlet zelf 2 mensen van de 2de lijns naar mijn cisco 877w config gekeken. Volgens deze mensen was mijn config goed.

Verder heeft er ook een engineer van Belgacom (van de 3de lijns) naar de configuratie gekeken, maar deze man was alles behalve vriendelijk...
Hij kon ook geen fouten ontdekken in de configuratie. Dus hebben ze geprobeerd via een gewoon copperjet modem (die geconfigureert was met diezelfde instellingen als mijn Linksys nu) en daarmee kon ik zonder problemen https pagina's bereiken...

Het rare is als ik de linksys instel op RFC 2364 PPPoA met VC Multiplexing, dat ik dan ook verbinding krijg en kan surfen met de linksys...
De engineer van Belgacom zei dat dit met mijn 877w niet zou lukken.

Enfin als je me zegt welke instellingen je nodig hebt zal ik deze proberen te achterhalen. Ga je de configuratie dan klaarmaken voor het ingebouwde ADSL modem of om te surfen via een externe modem.
Als het een configuratie is voor de interne modem kan ik deze al testen op de 877w router (daar ik de 1801 nog niet heb).

kan je bevestigen of bovenstaande commando's correct zijn om te surfen met de 1801 via een externe modem?

Voor de mensen die zich afvragen waarom ik bij Cisco wil blijven. Dat heeft deels te maken met de uitgebreide mogelijkheden van deze toestellen, firewalling, VPN, enz + dat de consumentenrouters bij teveel connecties te stroperig worden. Met een cisco heb je dit praktisch niet voor.
Een andere reden is dat ik koppig ben... en blijf proberen tot iets werkt

zondag 13 september 2009 18:16

Acties:

Kabouterplop01

chown -R me base:all

De config voor je cisco natuurlijk!:) Je hebt die externe modem helemaal niet nodig.
Je kunt gewoon je ip adres vast zetten! (Jij weet je ip adres en de next hop; we maken een routed config, anders wordt je arp tabel te groot)
Jammer dat je daar geen sniffer capture van hebt; dat scheelt de helft. Bovendien heb je maar een capture nodig van 10 regels, namelijk het opzetten van de sessie naar de https site.

anyway dit is een routed bridge config RFC 1483:

code:

interface ATM0
 mtu 1500
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode adsl2 <dsl operating-mode adsl2+>
 dsl enable-training-log failure
!
interface ATM0.1 point-to-point
 description ATM Routed Bridge Encapsulation 
 ip address <xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy>
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 logging event subif-link-status
 atm route-bridged ip
 pvc 8/35
  oam-pvc manage
  encapsulation aal5snap


interface Vlan1
 description LAN
 ip address <xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy>
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache same-interface
 ip tcp adjust-mss 1452
!
ip route 0.0.0.0 0.0.0.0 <next hop>
!
!

ip nat pool NAT-POOL 10.10.10.0 10.10.10.255 netmask 255.255.255.0

[ Voor 84% gewijzigd door Kabouterplop01 op 13-09-2009 18:55 . Reden: code tags gezocht; staat netter ]

zondag 13 september 2009 19:29

Acties:

Pieter Kimpen

Topicstarter

Kabouterplop,

Ik beschik niet over een vast IP adres. Ik krijg om de 36 uur een nieuw IP toegewezen van scarlet (dynamisch dus...) Dit staat ook in mijn huidige config: ip address negotiated.

Voor zover ik aan je voorgestelde code kan zien dien je daar je pubiek IP adres hard in op te geven. Dat kan ik niet. Ik ken alleen de standaard gateway van scarlet.

Met welke modem wil je dat ik een capture maak. Met de cisco krijg ik geen HTTPS site te zien (gewoon een leeg scherm, en na verloop van tijd komt firefox met de melding dat de verbinding werd geherïnitialiseerd.

Via de linksys kan ik eventueel wel een capture maken. Laat maar even weten wat je wilt.

Edit:

deze zou ik in kunnen vullen:
ip route 0.0.0.0 0.0.0.0 <next hop>
moet worden:
Ip route 0.0.0.0 0.0.0.0 62.235.188.1

Uit deze range krijg ik ook een IP toegewezen, hoewel scarlet deze range wel eens durft te veranderen.

[ Voor 19% gewijzigd door Pieter Kimpen op 13-09-2009 19:36 ]

zondag 13 september 2009 23:09

Acties:

Kabouterplop01

chown -R me base:all

je kunt daar ook prima ip address negotiated neerzetten.

Het is alleen een basis config.
Je kunt er ook een dialer neerzetten, als je maar op de encapsulation type let.

code:

interface ATM0/0
no ip address
no ip route-cache
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member
!
interface Dialer0
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ppp chap hostname xxxxxxxx@ 
ppp chap password 0 xxxxxxxx
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
dialer-list 1 protocol ip permit

----
of

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto 
!
interface ATM0.1 point-to-point
pvc 8/35 
  pppoe-client dial-pool-number 1
!
!
interface Dialer0
description <xxxxxx>
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname username@
ppp chap password 
!
ip route 0.0.0.0 0.0.0.0 Dialer0 1

m.a.w. zo kun je er een bridged modem voorzetten.

[ Voor 103% gewijzigd door Kabouterplop01 op 13-09-2009 23:31 ]

maandag 14 september 2009 10:46

Acties:

Pieter Kimpen

Topicstarter

Kabouterplop,

Goed. De eerste manier zit eigenlijk al zo in mijn huidige configuratie. alleen heb jij er een ander encapsulatietype ingestoken.

Wat de 2de manier betreft, ik weet niet of scarlet met point to point interfaces werkt (voor wat de ATM interface betreft dan). Die Dialer ziet er mij hetzelfde uit als in mijn huidige config.

Ik ga wel even proberen om et encapsulatietype te veranderen... maar of dat verschil gaat uitmaken, daar ben ik zo zeker niet van.

maandag 14 september 2009 19:03

Acties:

Pieter Kimpen

Topicstarter

Kabouterplop,

Ondertussen heb ik de cisco 1801 binnen en geconfigureert. Nu werkt het surfen naar HTTPS sites wél!!!!
Ik ben hier blij om.

Bij deze de configuratie die op de 1801 draait:

code:

Cisco1801#sh ru
Building configuration...

Current configuration : 4899 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Cisco1801
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret ****
enable password *****
!
no aaa new-model
no ip source-route
!
!
ip cef
!
!
ip tcp synwait-time 10
no ip domain lookup
ip domain name scarlet.be
ip name-server 193.74.208.65
ip name-server 194.119.228.67
ip ssh time-out 60
ip ssh authentication-retries 2
!
multilink bundle-name authenticated
vpdn enable
!
!
crypto pki trustpoint TP-self-signed-4270858707
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4270858707
 revocation-check none
 rsakeypair TP-self-signed-4270858707
!
!
crypto pki certificate chain TP-self-signed-4270858707
 certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34323730 38353837 3037301E 170D3039 30393134 31343130
  32365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 32373038
  35383730 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DD86 F2180A01 52D5C609 CD77A5FD 250F173B 4F6A4F0A 1F6016FE 56AC862E
  DF622CA3 DFD25FB0 5718276C 23F9D1CB 6D1A009A 9AF3BC16 4FA5B6A4 65A3DD4B
  765B3CF0 3E325D9C 7C66D26E 9387B4FC 893C4DFA AB96C7C7 C1A15E7C 2ED97549
  F3B6E09D 9A3C6FC5 05187204 91EABC28 1149DD85 B4678C29 EA90048B F601D776
  256F0203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
  551D1104 18301682 14436973 636F3138 30312E73 6361726C 65742E62 65301F06
  03551D23 04183016 80149A65 AE2E55C9 ACCA71D0 97210FD4 87CFAF7C 1008301D
  0603551D 0E041604 149A65AE 2E55C9AC CA71D097 210FD487 CFAF7C10 08300D06
  092A8648 86F70D01 01040500 03818100 8199022F 55DB4FBD 5EADB1C8 2D652A74
  3C352E84 A809999C 0C346284 D31C9234 FDCDCFA3 56FC7770 0FF1E458 3F4A1E07
  9D00770C E88FF993 8890A2A6 6F59FDED 57BCF82F FB17C22B 3D4066C2 663A1A84
  FB90C278 39693635 3F03AE67 A0487BE9 5DED9D2A 79392955 9D87987D 53D23FA7
  D55DCAD0 8EB7BD2C 8BDF45B8 E357D998
  quit
!
!
username $$$ privilege 15 secret ******
!
!
!
!
!
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 description De buitenwereld WAN
 no ip address
 no atm ilmi-keepalive
 pvc 8/35
  pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
 hold-queue 224 in
!
interface Vlan1
 description Intern LAN
 ip address 10.10.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache same-interface
 ip tcp adjust-mss 1452
!
interface Dialer0
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname $$$$$$@SCARLET
 ppp chap password ******
 ppp pap sent-username $$$$$$@SCARLET password ******
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NAT-POOL 10.10.10.0 10.10.10.255 netmask 255.255.255.0
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.80 3389 interface Dialer0 3389
ip nat inside source static tcp 10.10.10.80 21 interface Dialer0 21
ip nat inside source static tcp 10.10.10.80 110 interface Dialer0 110
ip nat inside source static tcp 10.10.10.80 1987 interface Dialer0 1987
ip nat inside source static tcp 10.10.10.80 1433 interface Dialer0 1433
ip nat inside source static tcp 10.10.10.80 443 interface Dialer0 443
ip nat inside source static tcp 10.10.10.80 25 interface Dialer0 25
ip nat inside source static tcp 10.10.10.80 80 interface Dialer0 80
!
logging trap debugging
access-list 1 permit any
access-list 101 remark SDM_ACL Category=18
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
bridge 1 protocol ieee
!
line con 0
 login local
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 password 7 02050D4808090E25414707
 login local
 transport input telnet ssh
!
end

Het HTTPS probleem is dus opgelost.
Ik probeer nu mijn aironet 1230 AP aan de praat te krijgen. Ik heb een SSID ingestel en deze wordt ook gevonden, maar ik kan niet verbinden met het netwerk. Windows komt steeds met de melding: "wachten op hetnetwerk"

Ik herinner me van mijn cisco 877W dat het wireless gedeelte mee in een Vlan zat. Echter weet ik niet goed hoe ik dit moet instellen op het AP of op de cisco 1801. ik kan wel Vlans maken maar waar moet ik wat configureren.

Bij deze even de huidige configuratie van het AP:

code:

Current configuration : 1393 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Airopont1230
!
enable secret ****
!
username **** password ****
username **** password *****
ip subnet-zero
ip domain name www.pjkcomputers.be
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption key 1 size 128bit **************** transmit-key
 encryption mode wep mandatory
 !
 ssid Kimpen
    guest-mode
    infrastructure-ssid optional
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 rts threshold 2312
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 10.10.10.254 255.255.255.0
 no ip route-cache
!
ip http server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
bridge 1 route ip
!
!
line con 0
line vty 0 4
 login local
line vty 5 15
 login
!
end

Kan jij even helpen zodat ik via de cisco 1801 router ook wireless kan surfen.
Ik ben nu al heel blij dat de 1801 router werkt, zoder issues. als alles werkt dan doe ik met alle plezier een donatie!

Bedankt!

EDIT

Hierbij nog een show version:

code:

Airopont1230>sh vers
Cisco Internetwork Operating System Software
IOS (tm) C1200 Software (C1200-K9W7-M), Version 12.2(13)JA4, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 16-Apr-04 12:22 by cmong
Image text-base: 0x00003000, data-base: 0x0053CF74

ROM: Bootstrap program is C1200 boot loader
BOOTLDR: C1200 Boot Loader (C1200-BOOT-M) Version 12.3(2)JA4, RELEASE SOFTWARE (fc1)

Airopont1230 uptime is 2 hours, 30 minutes
System returned to ROM by power-on
System image file is "flash:/c1200-k9w7-mx.122-13.JA4/c1200-k9w7-mx.122-13.JA4"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco AIR-AP1231G-E-K9 (PowerPC405GP) processor (revision A0) with 14326K/2048K bytes of memory.
Processor board ID FOC09312B53
PowerPC405GP CPU at 196Mhz, revision number 0x0145
Last reset from power-on
Bridging software.
1 FastEthernet/IEEE 802.3 interface(s)
1 802.11 Radio(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:15:2B:11:1D:34
Part Number : 73-8704-09
PCA Assembly Number : 800-23211-10
PCA Revision Number : A0
PCB Serial Number : FOC09312B53
Top Assembly Part Number : 800-23304-10
Top Assembly Serial Number : FCZ0938Z232
Top Revision Number : A0
Product/Model Number : AIR-AP1231G-E-K9

Configuration register is 0xF

Airopont1230>

een dir all

code:

Airopont1230#dir /all
Directory of flash:/

    3  -rwx        1393   Mar 01 1993 01:30:55  config.txt
    4  -rwx         135   Mar 01 1993 00:10:07  env_vars
    6  drwx         384   Jan 01 1970 00:04:34  c1200-k9w7-mx.122-13.JA4
    5  -rwx        1097   Mar 01 1993 01:30:55  private-config

7741440 bytes total (4046848 bytes free)

Verder mis ik het tabblad Express security.... zou hij misschien in LWAPP modus?
zie: Cisco Aironet 1200 router niet werkende

[ Voor 28% gewijzigd door Pieter Kimpen op 14-09-2009 21:22 ]

maandag 14 september 2009 21:20

Acties:

jvanhambelgium

Je had mischien effe moet zoeken naar een nieuw OS'je voor 877 en dan had dat ook gewerkt hoor.
Met een 877w moet het gewoon mogelijk zijn! Het is toch te gek dat enkel https verkeer niet zou werken? Denkelijk een bugje met je huidige c870-advsecurityk9-mz.124-4.T8.bin image.

Mah bon, met de andere spullen werkt het uiteraard ook!

maandag 14 september 2009 21:22

Acties:

raymonvdm

Ondersteund je cisco wel mtu-path-discovery. Ik heb gezien dat het dan ook wel eens misgaat. Het aanpassen van de mtu size heeft dan juist een averechts effect.

Blijkbaar gaat je 1801 er beter mee om..

Ik heb wel een cisco account en merk dat vaak een nieuwere versie veel verschil kan maken. Maar dat geld voor alle firmware`s

[ Voor 36% gewijzigd door raymonvdm op 14-09-2009 21:33 ]

maandag 14 september 2009 21:24

Acties:

Pieter Kimpen

Topicstarter

ja,

't zal zo wel iets zijn hoor.... echter heb je voor de cisco site een account nodig en die heb 'k niet.
En om het via de illegale weg te zoeken... dat doe 'k liever niet...

Ik moet nu enkel nog mijn wireless AP deftig aan de praat zien te krijgen...

edit

@ raymon:
dewelke die 877w? Daar heb 'k geen idee van.

[ Voor 11% gewijzigd door Pieter Kimpen op 14-09-2009 21:26 ]

maandag 14 september 2009 21:34

Acties:

Kabouterplop01

chown -R me base:all

Zo te zien zit je AP reeds in hetzelfde vlan1 als op je routert. ik denk dat je een test opstelling moet maken en dan moet je de ap met een utp kabeltje aan een van de SWITCH ports hangen. guess what... een AP is een switch dus verbindt ze met een crosscable.
Als het goed is moet je dan de AP kunnen pingen vanaf je router! en andersom. Je moet je gateway kunnen pingen vanaf je AP

(Int fa0 is geen switchport op je 1801)

Ik zie ook een regeltje staan over radius over de BVi interface; gebruik je die radius?

[ Voor 14% gewijzigd door Kabouterplop01 op 14-09-2009 21:37 ]

maandag 14 september 2009 22:16

Acties:

Pieter Kimpen

Topicstarter

Kabouterplop,

De AP hangt aan 1 van de switchports

Dit is wat er gebeurd als ik van de cisco 1801 ping naar het AP

van router naar AP

code:

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Cisco1801#ping 10.10.10.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Cisco1801#ping 10.10.10.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Cisco1801#ping 10.10.10.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Cisco1801#

van ap naar router

code:

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Airopont1230>ping 10.10.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Airopont1230>ping 10.10.10.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
Airopont1230>

Nee, ik gebruik geen radius server. als je even kan zeggen welke regel dat is dan haal ik hem er even uit...
de router en het AP zien elkaar dus wel, (ik krijg alleen het eewig durende "wachten op het netwerk" te zien.

ik kan nog eens proberen met een crosscable. Maar heeft dit zin?

EDIT:

is het deze?

code:

1	ip radius source-interface BVI1

EDIT 2:

zo dan?

code:

version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Airopoint
!
enable secret *****
!
username *** password ****
username *** password ****
ip subnet-zero
ip domain name www.pjkcomputers.be
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption key 1 size 128bit 7 46150A7B949EF1A0C96B241F059D transmit-key
 encryption mode wep mandatory
 !
 ssid Kimpen
    guest-mode
    infrastructure-ssid optional
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 rts threshold 2312
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 10.10.10.254 255.255.255.0
 no ip route-cache
!
ip http server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
bridge 1 route ip
!
!
line con 0
line vty 0 4
 login local
line vty 5 15
 login
!
end

Het rare is dat ik nu niet meer kan ssh'en naar het AP (maar dat is opzich niet nodig)

Hierbij nog een screenshot van hoe de settings er nu bij staan:

Afbeeldingslocatie: http://www.pjkcomputers.be/GOT/cisco/airopointsmall.JPG

Bij "open" hoort normaal een vinkje te staan... en dat staat er niet...

EDIT3:

Net geprobeert zonder de WEP key. Daar ligt het niet aan. security-loos stuit ik op hetzelfde probleem...

EDIT4

DE OPLOSSING:

Ik heb nog eens goed zitten pielen in het wireless gedeelte van mijn Cisco 877w. Hieruit kwam deze config die voor het wireless AP ook werkt:

code:

 Current configuration : 1372 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Airopoint
!
enable secret ***
!
username *** password ***
username *** password ***
ip subnet-zero
ip domain name www.pjkcomputers.be
!
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption key 1 size 128bit 7 CE6B241F059DADC0DC132074A185 transmit-key
 encryption mode wep mandatory
 !
 ssid Kimpen
    authentication open
    guest-mode
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 rts threshold 2312
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 10.10.10.254 255.255.255.0
 no ip route-cache
!
ip http server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
bridge 1 protocol ieee
bridge 1 route ip
!
!
line con 0
line vty 0 4
 login local
line vty 5 15
 login
!
end

Allemaal bedankt voor het meedenken. 't zit em soms in de kleine dingen en de details!

[ Voor 49% gewijzigd door Pieter Kimpen op 14-09-2009 23:17 ]

donderdag 17 september 2009 19:15

Acties:

Pieter Kimpen

Topicstarter

Tweakers,

Nog een kleine vraag waarover ik twijfel. Dit om de configuratie af te maken.

Ik zou graag nog een access-list configureren welke telnet verkeer en ssh verkeer dat van buitenaf naar binnen komt blokkeert. Dit zowel voor de router (10.10.10.1 als mijn server 10.10.10.80)
als ik van binnenuit naar een server in het datacentre wil ssh'en moet dit uiteraard kunnen.

Ik twijfel op welke interface ik de ACL moet toepassen... aangezien ik nergens in mijn config "ip access-group 101" of iets dergelijks tegen kom.

Ik zelf dacht op de dialer interface en wel met de volgende ACL:

code:

access-list 101 remark Toegang internet - geen telnet en ssh van buitenaf
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny tcp host any host any eq telnet
access-list 101 deny tcp host any host any eq 22
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any

en

code:

1 2	int dialer 0 ip access-group in

Ik heb daarnet wat geprobeert, maar daarbij kwam ik zonder internet te zitten. Daarom graag jullie advies. Misschien apply ik die acl op de verkeerde interface...

De huidige configuratie van de router staat nog steeds iets hoger in dit topic...

EDIT:

het is me gelukt met deze commando's:

code:

conf t
ip access-list extended 120 
acc 120 remark ....
 5 deny tcp any any eq telnet (3 matches)
    6 deny tcp any any eq 22 (3 matches)
    30 permit tcp any any (2764 matches)
    40 permit udp any any (360 matches)
    50 permit icmp any any
    60 permit ip any any

Men krijgt dat dit in de running config en men kan dit opvragen door het command "show access-lists in te geven

code:

access-list 120 remark geen toegang tot ssh en telnet via internet
access-list 120 remark geen toegang tot ssh en telnet via internet
access-list 120 deny   tcp any any eq telnet
access-list 120 deny   tcp any any eq 22
access-list 120 permit tcp any any
access-list 120 permit udp any any
access-list 120 permit icmp any any
access-list 120 permit ip any any

handige url:
http://www.cisco.com/en/U...ote09186a00800a5b9a.shtml

Edit 2

dit commando

code:

1	ip nat inside source list 101 interface Dialer0 overload

moet vervangen worden door dit:

code:

1	ip nat inside source list 120 interface Dialer0 overload

dan ook nog

code:

1	no acc 101

en ik was klaar

[ Voor 33% gewijzigd door Pieter Kimpen op 17-09-2009 22:40 ]