[CISCO871] NAT Configuratie - Netwerken

dinsdag 29 september 2009 15:47

Acties:

Topicstarter

(Ik ben niet volledig bekend met de terminologie van de begrippen die ik in deze post aanhaal, bij voorbaat excuses als ik dingen niet helemaal bij de juiste naam noem

)
De KPN Zakelijk Glas verbinding op mijn werk is opgeleverd met een CISCO871 router. Deze is standaard zo ingesteld om de beschikbare WAN IP adressen uit te delen via DHCP. De DHCP service heb ik reeds uitgeschakeld via "no service dhcp". De huidige (werkende) config staat onderaan dit bericht.

Momenteel staat er achter de cisco router een belkin huis- tuin- en keukenrouter die statisch een WAN ip aanneemt (die voorheen via DHCP uitgedeeld zou worden) en de NAT functionaliteit vervult richting ons LAN. Niet ideaal dus. Wat ik graag wil is dat de cisco router deze NAT functionaliteit op zich gaat nemen.

Wat ik precies wil
Dat de cisco router het LAN ip 192.168.1.254 aanneemt zodat dit IP door de overige apparaten in het LAN als gateway naar het internet gebruikt kan worden. Tegelijkertijd wil ik indien mogelijk de mogelijkheid behouden om een WAN IP in te stellen op de verbonden apparaten (Zoals de Belkin nu een statisch WAN adres aanneemt met het WAN ip van de cisco router als gateway).
De router hoeft niet via DHCP adressen uit te delen op het LAN, dat doet een andere server al.

Ik heb al meerdere uren besteed aan het bekijken van andere configuraties op het internet en lopen spelen met de CLI maar ik kom er simpelweg niet uit.

De huidige config:

code:

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname C871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password *******
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-123
 revocation-check none
 rsakeypair TP-self-signed-123
!
!
crypto pki certificate chain TP-self-signed-123
 certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
   import all
   network 10.10.10.0 255.255.255.248
   default-router 10.10.10.1
   lease 0 2
!
ip dhcp pool IAS
   import all
   origin ipcp
   dns-server 213.75.63.70 213.75.63.36
!
!
no ip domain lookup
ip domain name yourdomain.com
ip name-server 213.75.63.70
ip name-server 213.75.63.36
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet1
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet3
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet4
 description Link to EVPN CPE
 no ip address
 load-interval 30
 speed 100
 full-duplex
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address pool IAS
 ip access-group 99 out
 ip verify unicast reverse-path
 ip tcp adjust-mss 1452
 load-interval 30
!
interface Dialer1
 description Customer Traffic PPPoE Connection
 mtu 1492
 ip address negotiated
 ip verify unicast reverse-path
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username KPN password 0 KPN
 ppp ipcp mask request
 ppp ipcp address accept
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 98 deny   any
access-list 99 deny   10.0.0.0 0.255.255.255
access-list 99 deny   172.16.0.0 0.15.255.255
access-list 99 deny   192.168.0.0 0.0.255.255
access-list 99 permit any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
banner exec ^C
*****************************************************************
Exec banner
*****************************************************************
^C
banner login ^C
*****************************************************************
Login banner
*****************************************************************
^C
!
line con 0
 exec-timeout 30 0
 password *******
 login
 no modem enable
 notify
line aux 0
 transport output none
line vty 0 4
 access-class 98 in
 exec-timeout 20 0
 privilege level 15
 password *******
 login
 notify
 transport input telnet
 transport output none
!
scheduler max-task-time 5000
end

Wat ik geprobeerd heb op basis van allerlei verschillende soortgelijke configuraties:
(namelijk: [CISCO 876] Krijg mijn ADSL verbinding niet werkend, http://articles.techrepub...100-10878_11-6102399.html , etc.)

code:

interface vlan2
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
!
interface dialer1
 ip nat outside
!
access-list 100 permit ip any any
ip nat inside source list 100 interface dialer1 overload

Als ik echter een computer instel met ip adres 192.168.1.250/255.255.255.0, die rechtstreeks op de FastEthernet0 poort patch en vervolgens 192.168.1.254 probeer te pingen krijg ik timeouts.
Ook het pingen van 192.168.1.254 op de router zelf geeft timeouts.

Wat doe ik verkeerd? Ik kom er zelf niet uit

dinsdag 29 september 2009 15:55

Acties:

TrailBlazer

Karnemelk FTW

Je moet eerst de ethernetpoort waar die computer in hangt in vlan 2 zetten
interface fastethernet2
switchport access vlan 2
eventueel moet je ook nog even je vlan2 interface een no shut geven
interface vlan2
no shut.

Ik zit even te kijken naar dat ipcp en dat wordt gebruikt om dynamisch een DHCP pool aan te vragen bij een DHCP server. Weet je zeker dat je altijd dezelfde reeks krijgt?

[ Voor 28% gewijzigd door TrailBlazer op 29-09-2009 16:07 ]

dinsdag 29 september 2009 16:34

Acties:

JasperE

Topicstarter

Perfect, zodra ik het switchport commando gaf veranderde de vlan2 status van down naar up en kon ik heen en weer pingen. Ook naar WAN. Zat ik dus toch nog aardig in de buurt

(De DHCP van KPN geeft inderdaad altijd dezelfde reeks uit (en de router krijgt als ik KPN moet geloven ook altijd hetzelfde adres))

[ Voor 0% gewijzigd door JasperE op 29-09-2009 17:45 . Reden: Leestekens ]

dinsdag 29 september 2009 16:44

Acties:

TrailBlazer

Karnemelk FTW

De vraag is nu wat ga je met die reeks ip publieke ip adressen doen. Je kan alle devices die direct aan het internet hangen in Vlan 1 hangen dus bijvoorbeeld op Ethernet2. Verkeer tussen de lokale machines en die devices moet dan wel via die Cisco 871 lopen en ik denk niet dat die 871 daar heel vrolijk van wordt.

dinsdag 29 september 2009 17:43

Acties:

JasperE

Topicstarter

Een goed punt ja.

Vooralsnog heb ik hier nog geen concrete ideeen over. Voordat we deze glasvezellijn opgeleverd kregen hadden we überhaupt maar 1 WAN IP adres dat toegewezen was aan een Netopia SDSL router. Dus op het moment hebben alle apparaten (nog) gewoon een LAN IP.

Ik begrijp dat het routeren tussen LAN en WAN IP adressen door de 871 problematisch kan worden. De routering capaciteiten van de 871 verschillen waarschijnlijk nogal van de Gbit switching capaciteiten van de geinstalleerde switches. Een tweede NIC plaatsen in een apparaat dat een WAN IP nodig heeft (dus 1x LAN NIC en 1x WAN NIC) zou dan wellicht een oplossing zijn.

dinsdag 29 september 2009 18:50

Acties:

Uberprutser

JasperE schreef op dinsdag 29 september 2009 @ 17:43:
Ik begrijp dat het routeren tussen LAN en WAN IP adressen door de 871 problematisch kan worden. De routering capaciteiten van de 871 verschillen waarschijnlijk nogal van de Gbit switching capaciteiten van de geinstalleerde switches.

Zolang jij deze router door KPN is geleverd kan ie alles perfect aan (lees: de hoeveelheid data verwerken die jij afneemt). Switches nemen deze functie niet op zich.

Ik mis overigens ook een shaper in je config; zo voorkom je packet drops op je upload verkeer.

p.s. Ik zie redelijk wat verschil in de normale "KPN Koop" config die in 871's wordt geschoten.
Als je wil heb ik de "officiële" mocht het niet meer werken.

[ Voor 11% gewijzigd door Uberprutser op 29-09-2009 18:54 ]

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

dinsdag 29 september 2009 18:57

Acties:

ChaserBoZ_

JasperE schreef op dinsdag 29 september 2009 @ 17:43:
Een goed punt ja.

Vooralsnog heb ik hier nog geen concrete ideeen over. Voordat we deze glasvezellijn opgeleverd kregen hadden we überhaupt maar 1 WAN IP adres dat toegewezen was aan een Netopia SDSL router. Dus op het moment hebben alle apparaten (nog) gewoon een LAN IP.

Ik begrijp dat het routeren tussen LAN en WAN IP adressen door de 871 problematisch kan worden. De routering capaciteiten van de 871 verschillen waarschijnlijk nogal van de Gbit switching capaciteiten van de geinstalleerde switches. Een tweede NIC plaatsen in een apparaat dat een WAN IP nodig heeft (dus 1x LAN NIC en 1x WAN NIC) zou dan wellicht een oplossing zijn.

Ga er vanuit dat die 871 bij inter vlan routing zo'n 30 - 35 mbps trekt, meer echt niet, en als je bijzondere features gebruikt wordt het alleen maar minder.

Je zou kunnen overwegen een Cisco 1811 in te zetten bijvoorbeeld, iets van 8 poorten, en die trekt zo'n 90 mbit tussen de vlans.

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 29 september 2009 21:38

Acties:

JasperE

Topicstarter

Ballebek schreef op dinsdag 29 september 2009 @ 18:50:
[...]
Zolang jij deze router door KPN is geleverd kan ie alles perfect aan (lees: de hoeveelheid data verwerken die jij afneemt). Switches nemen deze functie niet op zich.

Tenzij je 'm LAN traffic laat routeren tussen Vlan1 en Vlan2. Daar wil je bijvoorbeeld liever geen server-server backups over versturen. Dat bedoelde ik eigenlijk met die opmerking als reactie op de voorgaande post van TrailBlazer.

Ik mis overigens ook een shaper in je config; zo voorkom je packet drops op je upload verkeer.

Voor zover ik weet heb ik nog geen last van drops op mijn upload verkeer gehad. Voor mijn beeldvorming: Heb je misschien een voorbeeld van een dergelijke shaper configuratie en een omschrijving van een situatie waar die configuratie een concrete verbetering geeft? (Waarom alleen drops in het upload verkeer? Onze lijn is symmetrisch.)

p.s. Ik zie redelijk wat verschil in de normale "KPN Koop" config die in 871's wordt geschoten.
Als je wil heb ik de "officiële" mocht het niet meer werken.

Dit is grotendeels de KPNKoop config zoals ik 'm van KPN opgeleverd kreeg, ik heb enkel de dhcp service uitgeschakeld, de wachtwoorden veranderd en de banners er even tussenuit geknipt om 't overzichtelijk te houden. Ik ben benieuwd hoe de jouwe er dan uitziet. Zou je dat eens kunnen laten zien?

[ Voor 4% gewijzigd door JasperE op 30-09-2009 01:32 ]

donderdag 1 oktober 2009 16:14

Acties:

JasperE

Topicstarter

Ik heb nog enkele problemen met mijn configuratie.
Alles leek goed ingesteld zijn totdat ik de router een reload commando gaf.
(WAN ip's in deze post zijn niet de mijne, de eerste 3 getallen telkens vervangen door fictieve getallen)

Tijdens het opstarten kwam het volgende in beeld:

code:

1 2	SETUP: new interface Vlan1 placed in "shutdown" state SETUP: new interface NVI0 placed in "shutdown" state

Dus even gecheckt:

code:

C871#show interface vlan1
Vlan1 is administratively down, line protocol is down
  Hardware is EtherSVI, address is 0023.5ef3.a4c4 (bia 0023.5ef3.a4c4)
  Description: $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
  Internet address is 26.58.123.233/29
-knip-

C871#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
C871(config)#interface vlan1
C871(config-if)#no shutdown
% 26.58.123.232 overlaps with Dialer1
Vlan1: incorrect IP address assignment

Oke, vlan1 werd dus tijdens booten uitgeschakeld vanwege overlapping met Dialer1.
Met als gevolg dat ik geen WAN ip's uit VLan1 kan uitdelen.

Dit kon ik vervolgens handmatig oplossen door eerst Dialer1 een "shutdown" te geven, dan Vlan1 vervolgens een "no shutdown" te geven en vervolgens Dialer1 weer een "no shutdown" te geven.
(Blijkbaar moet Vlan1 eerst up zijn, voordat Dialer1 up komt)

code:

C871(config)#interface dialer1
C871(config-if)#shutdown
Oct  1 13:57:15.501: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
Oct  1 13:57:15.505: Di1 DDR: dialer shutdown complete
Oct  1 13:57:15.521: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down
Oct  1 13:57:16.521: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to downt
Oct  1 13:57:17.505: %LINK-5-CHANGED: Interface Dialer1, changed state to administratively down vlan1
C871(config)#exit

C871(config)#interface vlan1
C871(config-if)#no shutdown
Oct  1 13:57:29.000: %LINK-3-UPDOWN: Interface Vlan1, changed state to upface dialer1

C871(config-if)#exit
C871(config-if)#interface dialer1
C871(config-if)#no shutdown
Oct  1 13:57:37.931: %LINK-3-UPDOWN: Interface Dialer1, changed state to up
Oct  1 13:57:57.934: %DIALER-6-BIND: Interface Vi1 bound to profile Di1
Oct  1 13:57:57.938: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
% A pool already exists for network 26.58.123.232 / 255.255.255.248.
Oct  1 13:58:04.029: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up
C871(config-if)#exit

En dan werkt alles weer naar behoren

Hoe kan ik het zo configureren dat dit automatisch goed gaat bij booten?

De huidige running-config en 'show interfaces' (na bovenstaande handmatige commando's).

code:

C871#show interfaces
FastEthernet0 is up, line protocol is up
  Hardware is Fast Ethernet, address is 0023.5ef3.a4c4 (bia 0023.5ef3.a4c4)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 6000 bits/sec, 4 packets/sec
  5 minute output rate 12000 bits/sec, 4 packets/sec
     4411 packets input, 915645 bytes, 0 no buffer
     Received 375 broadcasts, 0 runts, 0 giants, 0 throttles
     31 input errors, 31 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     4624 packets output, 2161640 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
FastEthernet1 is up, line protocol is down
  Hardware is Fast Ethernet, address is 0023.5ef3.a4c5 (bia 0023.5ef3.a4c5)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto-speed
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
FastEthernet2 is up, line protocol is down
  Hardware is Fast Ethernet, address is 0023.5ef3.a4c6 (bia 0023.5ef3.a4c6)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto-speed
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
FastEthernet3 is up, line protocol is down
  Hardware is Fast Ethernet, address is 0023.5ef3.a4c7 (bia 0023.5ef3.a4c7)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto-speed
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
FastEthernet4 is up, line protocol is up
  Hardware is PQUICC_FEC, address is 0023.5ef3.a4ce (bia 0023.5ef3.a4ce)
  Description: Link to EVPN CPE
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:09:57, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  30 second input rate 80000 bits/sec, 18 packets/sec
  30 second output rate 16000 bits/sec, 13 packets/sec
     4821 packets input, 2370131 bytes
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     4764 packets output, 942800 bytes, 0 underruns
     0 output errors, 0 collisions, 3 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
Vlan1 is up, line protocol is down
  Hardware is EtherSVI, address is 0023.5ef3.a4c4 (bia 0023.5ef3.a4c4)
  Description: $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
  Internet address is 26.58.123.233/29
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  30 second input rate 0 bits/sec, 0 packets/sec
  30 second output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     1 packets output, 60 bytes, 0 underruns
     0 output errors, 3 interface resets
     0 output buffer failures, 0 output buffers swapped out
Vlan2 is up, line protocol is up
  Hardware is EtherSVI, address is 0023.5ef3.a4c4 (bia 0023.5ef3.a4c4)
  Description: VLan for 192.168.20.0/24
  Internet address is 192.168.20.253/24
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:01, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 11000 bits/sec, 10 packets/sec
  5 minute output rate 44000 bits/sec, 12 packets/sec
     5134 packets input, 980487 bytes, 0 no buffer
     Received 322 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     5971 packets output, 3295463 bytes, 0 underruns
     0 output errors, 1 interface resets
     0 output buffer failures, 0 output buffers swapped out
NVI0 is administratively down, line protocol is down
  Hardware is NVI
  MTU 1514 bytes, BW 10000000 Kbit/sec, DLY 0 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation UNKNOWN, loopback not set
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
Dialer1 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Description: Customer Traffic PPPoE Connection
  Internet address is 26.58.123.233/32
  MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 4/255, rxload 127/255
  Encapsulation PPP, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi1
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 00:14:06
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 5
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops)
     Conversations  0/0/16 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
     Available Bandwidth 42 kilobits/sec
  5 minute input rate 28000 bits/sec, 4 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
     6466 packets input, 3454647 bytes
     5118 packets output, 896559 bytes
Bound to:
Virtual-Access1 is up, line protocol is up
  Hardware is Virtual Access interface
  MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 36/255, rxload 186/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoE vaccess, cloned from Dialer1
  Vaccess status 0x44, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Di1 (Encapsulation PPP)
  Last input 00:00:02, output never, output hang never
  Last clearing of "show interface" counters 00:11:13
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 59000 bits/sec, 14 packets/sec
  5 minute output rate 8000 bits/sec, 9 packets/sec
     6549 packets input, 3820295 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     4720 packets output, 774306 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
Virtual-Access1 is up, line protocol is up
  Hardware is Virtual Access interface
  MTU 1492 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 40/255, rxload 8/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoE vaccess, cloned from Dialer1
  Vaccess status 0x44, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Di1 (Encapsulation PPP)
  Last input 00:00:14, output never, output hang never
  Last clearing of "show interface" counters 00:11:31
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 55000 bits/sec, 10 packets/sec
  5 minute output rate 8000 bits/sec, 6 packets/sec
     6585 packets input, 3835047 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     4791 packets output, 791018 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions

Running-Config:

code:

C871#show running-config
Building configuration...

Current configuration : 5555 bytes
!
! Last configuration change at 16:07:11 CET Thu Oct 1 2009
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname C871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password *********
!
no aaa new-model
clock timezone GMT 1
clock summer-time CET recurring
!
crypto pki trustpoint TP-self-signed-123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-123
 revocation-check none
 rsakeypair TP-self-signed-123
!
!
crypto pki certificate chain TP-self-signed-123
 certificate self-signed 01
-Knip-
        quit
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool IAS
   import all
   origin ipcp
   dns-server 213.75.63.70 213.75.63.36
!
!
no ip domain lookup
ip domain name mijndomein.com
ip name-server 213.75.63.70
ip name-server 213.75.63.36
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
 switchport access vlan 2
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet1
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet3
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet4
 description Link to EVPN CPE
 no ip address
 load-interval 30
 speed 100
 full-duplex
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address pool IAS
 ip access-group 99 out
 ip verify unicast reverse-path
 ip tcp adjust-mss 1452
 load-interval 30
!
interface Vlan2
 description VLan for 192.168.20.0/24
 ip address 192.168.20.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description Customer Traffic PPPoE Connection
 mtu 1492
 ip address negotiated
 ip verify unicast reverse-path
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username KPN password 0 KPN
 ppp ipcp mask request
 ppp ipcp address accept
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static tcp 192.168.20.10 25 26.58.123.233 25 extendable
ip nat inside source static tcp 192.168.20.11 80 26.58.123.233 80 extendable
!
access-list 23 permit 192.168.20.0 0.0.0.255
access-list 98 deny   any
access-list 99 deny   10.0.0.0 0.255.255.255
access-list 99 deny   172.16.0.0 0.15.255.255
access-list 99 deny   192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO 23
no cdp run
!
!
!
control-plane
!
banner login ^C
Authorized access only!
^C
!
line con 0
 exec-timeout 30 0
 password *********
 login
 no modem enable
 notify
line aux 0
 transport output none
line vty 0 4
 access-class 98 in
 exec-timeout 20 0
 privilege level 15
 password *********
 login
 notify
 transport input telnet
 transport output none
!
scheduler max-task-time 5000
ntp clock-period 17178621
ntp server 131.155.2.3
end

donderdag 1 oktober 2009 16:25

Acties:

TrailBlazer

Karnemelk FTW

doe eens show start. Dat is de config waarmee hij opstart.

donderdag 1 oktober 2009 16:45

Acties:

JasperE

Topicstarter

Oke, die ziet er denk ik wel grotendeels hetzelfde uit.
Grappig is dat als je na startup en voordat je de handmatige shutdown/noshutdown/noshutdown stappen de running-config bekijkt, er "shutdown" bij vlan1 is bijgekomen.

code:

C871#show startup-config
Using 4240 out of 131072 bytes
!
! Last configuration change at 15:26:29 CET Thu Oct 1 2009
! NVRAM config last updated at 15:29:37 CET Thu Oct 1 2009
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname C871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password *********
!
no aaa new-model
clock timezone GMT 1
clock summer-time CET recurring
!
crypto pki trustpoint TP-self-signed-123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-123
 revocation-check none
 rsakeypair TP-self-signed-123
!
!
crypto pki certificate chain TP-self-signed-123
 certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
dot11 syslog
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool IAS
   import all
   origin ipcp
   dns-server 213.75.63.70 213.75.63.36
!
!
no ip domain lookup
ip domain name yourdomain.com
ip name-server 213.75.63.70
ip name-server 213.75.63.36
!
!
!
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
 switchport access vlan 2
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet1
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet2
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet3
 duplex full
 speed 100
 no cdp enable
!
interface FastEthernet4
 description Link to EVPN CPE
 no ip address
 load-interval 30
 speed 100
 full-duplex
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address pool IAS
 ip access-group 99 out
 ip verify unicast reverse-path
 ip tcp adjust-mss 1452
 load-interval 30
!
interface Vlan2
 description VLan for 192.168.20.0/24
 ip address 192.168.20.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description Customer Traffic PPPoE Connection
 mtu 1492
 ip address negotiated
 ip verify unicast reverse-path
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username KPN password 0 KPN
 ppp ipcp mask request
 ppp ipcp address accept
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static tcp 192.168.20.244 25 26.58.123.233 25 extendable
ip nat inside source static tcp 192.168.20.241 80 26.58.123.233 80 extendable
!
access-list 23 permit 192.168.20.0 0.0.0.255
access-list 98 deny   any
access-list 99 deny   10.0.0.0 0.255.255.255
access-list 99 deny   172.16.0.0 0.15.255.255
access-list 99 deny   192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO 23
no cdp run
!
!
!
control-plane
!
banner login ^C
Authorized access only!
^C
!
line con 0
 exec-timeout 30 0
 password *********
 login
 no modem enable
 notify
line aux 0
 transport output none
line vty 0 4
 access-class 98 in
 exec-timeout 20 0
 privilege level 15
 password *********
 login
 notify
 transport input telnet
 transport output none
!
scheduler max-task-time 5000
ntp clock-period 17178621
ntp server 131.155.2.3
end

[ Voor 9% gewijzigd door JasperE op 01-10-2009 16:52 ]

vrijdag 2 oktober 2009 01:20

Acties:

Verwijderd

C871(config-if)#no shutdown
% 26.58.123.232 overlaps with Dialer1
Vlan1: incorrect IP address assignment

Vlan1 is up, line protocol is down
Hardware is EtherSVI, address is 0023.5ef3.a4c4 (bia 0023.5ef3.a4c4)
Description: $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
Internet address is 26.58.123.233/29

Dialer1 is up, line protocol is up (spoofing)
Hardware is Unknown
Description: Customer Traffic PPPoE Connection
Internet address is 26.58.123.233/32

Het probleem is dat het ip adres dat je dialer interface van de provider krijgt door "ip address negotiated" hetzelfde is als dat vlan1 van de geïmporteerde pool krijgt uitgedeeld. Als het externe IP-adres op vlan1 moet komen heeft je dialer interface geen eigen IP-adres nodig. Je kunt dit oplossen door onder dialer1 "ip unnumbered vlan1" te configureren.

vrijdag 2 oktober 2009 14:58

Acties:

JasperE

Topicstarter

Als ik Dialer1 "unnumbered vlan1" maak dan werkt het uitdelen van WAN ip adressen inderdaad. Maar het NAT verkeer op Vlan2 werkt dan weer niet. Ik kan 192.168.20.253 wel pingen vanaf het lan, maar internet werkt niet

Is het toegenstaan om een unnumbered ip te hebben op een interface die tevens "ip nat oustide" is?

Edit: En als ik het andersom doe, mijn /29 statisch aan de dialer1 toeken en vlan1 unnumbered dialer1 maak, dan werkt het voor de clients achter vlan2 weer wel maar de clients in vlan1 weer niet

[ Voor 115% gewijzigd door JasperE op 02-10-2009 16:32 ]

vrijdag 2 oktober 2009 16:43

Acties:

Verwijderd

ip unnumbered kan alleen op point-to-point interfaces. Je dialer interface is dit omdat je PPP gebruikt.

ip nat inside source list 100 interface Dialer1 overload

Het probleem is waarschijnlijk dat je dialer1 geen IP-adres meer heeft terwijl de interne IP-adressen daar naartoe vertaald moeten worden. Probeer het volgende eens:

ip nat pool NATPOOL 26.58.123.233 26.58.123.233 netmask 255.255.255.248
ip nat inside source list 100 pool NATPOOL overload

En als dat niet werkt een ander publiek IP-adres uit je reeks die je niet van plan bent te gebruiken

[ Voor 11% gewijzigd door Verwijderd op 02-10-2009 16:45 ]

vrijdag 2 oktober 2009 17:07

Acties:

JasperE

Topicstarter

Dat was het inderdaad!! Superbedankt. Probleem opgelost $_/-\o_$

[ Voor 195% gewijzigd door JasperE op 02-10-2009 17:10 ]

donderdag 8 oktober 2009 13:18

Acties:

JasperE

Topicstarter

De NAT configuratie op Vlan1 in combinatie met het uitdelen van WAN adressen op Vlan2 werkt nu.
Bij het inschakelen van VPN functionaliteit ben ik echter tegen een nieuw probleem aangelopen: Vanuit Vlan2 (het LAN) kan ik wel verbinding maken met VPN, maar van buitenaf (het internet) lukt dit niet. (Foutmelding: VPN Server unreachable)

Na lang zoeken op internet ben ik dit probleem niet tegengekomen. De configuraties van het vpdn gedeelte van de config van anderen lijken telkens precies op die van mij. (Klik)

Zou het iets met de access-lists te maken kunnen hebben? Of met het feit dat dialer1 ip unnumbered is?

De huidige config;

code:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname C871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password *********
!
aaa new-model
!
!
aaa authentication ppp default local
!
!
aaa session-id common
clock timezone GMT 1
clock summer-time CET recurring
!
crypto pki trustpoint TP-self-signed-123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-123
 revocation-check none
 rsakeypair TP-self-signed-123
!
!
crypto pki certificate chain TP-self-signed-123
 certificate self-signed 01
-knip-
        quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name mijndomein.nl
ip name-server 213.75.63.70
ip name-server 213.75.63.36
!
vpdn enable
!
vpdn-group metavpn
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
username testuser password 0 *********
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
 switchport access vlan 2
 no cdp enable
!
interface FastEthernet1
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 description Link to EVPN CPE
 no ip address
 load-interval 30
 speed 100
 full-duplex
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Virtual-Template1
 ip unnumbered Vlan2
 peer default ip address pool metavpnpool
 ppp encrypt mppe auto required
 ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 26.58.123.233 255.255.255.248
 ip access-group 99 out
 ip verify unicast reverse-path
 ip tcp adjust-mss 1452
 load-interval 30
!
interface Vlan2
 description VLan for 192.168.20.0/24
 ip address 192.168.20.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description Customer Traffic PPPoE Connection
 mtu 1492
 ip unnumbered Vlan1
 ip verify unicast reverse-path
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username KPN password 0 KPN
 ppp ipcp mask request
 ppp ipcp address accept
!
ip local pool metavpnpool 192.168.20.31 192.168.20.49
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NATPOOL 26.58.123.233 26.58.123.233 netmask 255.255.255.248
ip nat inside source list 100 pool NATPOOL overload
ip nat inside source static tcp 192.168.20.244 25 26.58.123.233 25 extendable
ip nat inside source static tcp 192.168.20.241 80 26.58.123.233 80 extendable
ip nat inside source static tcp 192.168.20.243 3046 26.58.123.233 3046 extendable
ip nat inside source static udp 192.168.20.243 3046 26.58.123.233 3046 extendable
ip nat inside source static tcp 192.168.20.3 3380 26.58.123.233 3380 extendable
ip nat inside source static tcp 192.168.20.6 3381 26.58.123.233 3381 extendable
ip nat inside source static tcp 192.168.20.10 3382 26.58.123.233 3382 extendable
ip nat inside source static tcp 192.168.20.11 3383 26.58.123.233 3383 extendable
ip nat inside source static tcp 192.168.20.240 3389 26.58.123.233 3389 extendable
ip nat inside source static tcp 192.168.20.110 6502 26.58.123.233 6502 extendable
ip nat inside source static tcp 192.168.20.111 6503 26.58.123.233 6503 extendable
ip nat inside source static tcp 192.168.20.109 6504 26.58.123.233 6504 extendable
ip nat inside source static udp 192.168.20.244 24441 26.58.123.233 24441 extendable
!
access-list 23 permit 192.168.20.0 0.0.0.255
access-list 98 deny   any
access-list 99 deny   10.0.0.0 0.255.255.255
access-list 99 deny   172.16.0.0 0.15.255.255
access-list 99 deny   192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO 23
no cdp run
!
!
!
control-plane
!
banner login ^C
Authorized access only!
^C
!
line con 0
 exec-timeout 30 0
 password *********
 no modem enable
 notify
line aux 0
 transport output none
line vty 0 4
 access-class 98 in
 exec-timeout 20 0
 privilege level 15
 password *********
 notify
 transport input telnet
 transport output none
!
scheduler max-task-time 5000
ntp clock-period 17178621
ntp server 131.155.2.3
end

Wanneer ik vanuit VLan2 (het LAN) verbinding maak met VPN verschijnt dit in de console:

code:

.Oct  8 10:31:08.615: %LINK-3-UPDOWN: Interface Virtual-Access4, changed state to up
.Oct  8 10:31:09.615: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access4, changed state to up
.Oct  8 10:31:15.974: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x81A54674  reading 0x0
.Oct  8 10:31:15.974: %ALIGN-3-TRACE: -Traceback= 0x81A54674 0x8134F3C8 0x813527C4 0x8136F0C8 0x8136DD84 0x8132044C 0x8132F374 0x8078752C
.Oct  8 10:31:15.974: %ALIGN-3-TRACE: -Traceback= 0x81A54674 0x8134F3C8 0x8134F7F4 0x8134F8F4 0x8134C2AC 0x8134E498 0x8134DE50 0x81351680

(Wellicht omdat het niet de bedoeling is vanuit een LAN een VPN op te zetten met datzelfde LAN)

donderdag 8 oktober 2009 13:23

Acties:

TrailBlazer

Karnemelk FTW

Tracebacks zijn nooit een goed teken en lijkt eerder een software bug. Misschien wel doordat het allemaal hetzelfde segment is. Waarom wil je zo graan je virtual template ip unnumbered hebben er is private IP space genoeg.

donderdag 8 oktober 2009 13:49

Acties:

JasperE

Topicstarter

Wanneer ik virtual-template1 unnumbered maak op een nieuw vlan3 /24 op het LAN en daar adressen laat uitdelen. Verdwijnen de tracebacks inderdaad als ik verbinding maak met VPN vanaf Vlan2.
Maar van buitenaf verbinden lukt nog steeds niet.

[ Voor 9% gewijzigd door JasperE op 08-10-2009 13:52 ]

vrijdag 9 oktober 2009 14:01

Acties:

Verwijderd

access-list 100 permit ip any any
interface Dialer1
ip nat outside

Deze regels zorgen ervoor dat alles genat moet worden. Wanneer er verkeer op je dialer1 interface binnenkomt moet er dus een nat translatie zijn voordat hij het doorlaat naar het ip-adres van vlan 1 waarvoor het packetje bedoelt is. Het probleem is dat er geen nat translaties zijn voor verkeer van vlan 1 naar buiten. Waarschijnlijk dat pc's met externe ip-adressen in vlan 1 nu ook niet van buitenaf benaderbaar zijn.

Oplossing is access-list 100 permit ip any any vervangen door access-list 100 permit ip 192.168.20.0 0.0.0.255 any

vrijdag 16 oktober 2009 17:19

Acties:

JasperE

Topicstarter

Check! Dat was 't probleem inderdaad.
Verder heb ik ook nog een loopback interface aangemaakt met het IP dat VLan1 eerst had. Vlan1 en Dialer1 zijn nu unnumbered op deze loopback. Voordeel daarvan is dat VPN en pingen op het publieke WAN ip ook werkt als VLan1 down is (als er geen apparaten op aangesloten zijn dus).

De config ziet er nu uiteindelijk zo uit:
(wellicht handig als andere mensen in de toekomst nog tegen soortgelijke problemen aanlopen

)

code:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname C871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password ********
!
aaa new-model
!
!
aaa authentication ppp default local
!
!
aaa session-id common
clock timezone GMT 1
clock summer-time CET recurring
!
crypto pki trustpoint TP-self-signed-123
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-123
 revocation-check none
 rsakeypair TP-self-signed-123
!
!
crypto pki certificate chain TP-self-signed-123
 certificate self-signed 01
-knip-
        quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name mijndomein.nl
ip name-server 213.75.63.70
ip name-server 213.75.63.36
!
vpdn enable
!
vpdn-group mijnvpn
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
username gebruikersnaam privilege 15 password 0 ********
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface Loopback1
 description Loopback interface for main public IP (always up)
 ip address 26.58.123.233 255.255.255.248
!
interface FastEthernet0
 switchport access vlan 2
 no cdp enable
!
interface FastEthernet1
 no cdp enable
!
interface FastEthernet2
 no cdp enable
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 description Link to EVPN CPE
 no ip address
 load-interval 30
 speed 100
 full-duplex
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Virtual-Template1
 description Template for VPDN
 ip address 192.168.21.253 255.255.255.0
 peer default ip address pool mijnvpnpool
 ppp encrypt mppe auto required
 ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
 description VLan for public IP address pool
 ip unnumbered Loopback1
 ip access-group 99 out
 ip verify unicast reverse-path
 ip tcp adjust-mss 1452
 load-interval 30
!
interface Vlan2
 description VLan for local IP address pool 192.168.20.0/24
 ip address 192.168.20.253 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Dialer1
 description Customer Traffic PPPoE Connection
 mtu 1492
 ip unnumbered Loopback1
 ip verify unicast reverse-path
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username KPN password 0 KPN
 ppp ipcp mask request
 ppp ipcp address accept
!
ip local pool mijnvpnpool 192.168.21.1 192.168.21.49
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool NATPOOL 26.58.123.233 26.58.123.233 netmask 255.255.255.248
ip nat inside source list 100 pool NATPOOL overload
ip nat inside source static tcp 192.168.20.244 25 26.58.123.233 25 extendable
ip nat inside source static tcp 192.168.20.241 80 26.58.123.233 80 extendable
!
access-list 23 permit 192.168.20.0 0.0.0.255
access-list 98 deny   any
access-list 99 deny   10.0.0.0 0.255.255.255
access-list 99 deny   172.16.0.0 0.15.255.255
access-list 99 deny   192.168.0.0 0.0.255.255
access-list 99 permit any
access-list 100 permit ip 192.168.20.0 0.0.0.255 any
dialer-list 1 protocol ip permit
snmp-server community public RO 23
no cdp run
!
!
!
control-plane
!
banner login ^C
Authorized access only!
^C
!
line con 0
 exec-timeout 30 0
 password ********
 no modem enable
 notify
line aux 0
 transport output none
line vty 0 4
 access-class 98 in
 exec-timeout 20 0
 privilege level 15
 password ********
 notify
 transport input telnet
 transport output none
!
scheduler max-task-time 5000
ntp clock-period 17178621
ntp server 131.155.2.3
end

[ Voor 98% gewijzigd door JasperE op 16-10-2009 17:28 ]