[Cisco 851] Internet tot ISP, niet verder - Netwerken

dinsdag 1 december 2009 18:38

Acties:

Topicstarter

Ik zit met een kleine uitdaging.
Net overgestapt van een Cisco PIX 506 naar een Cisco 851, dus enthousiast begonnen met het configureren van de 851.

Nu zit ik met 1 uitdaging.

De 851 krijgt op zijn WAN (FastEthernet4) een IP van de DHCP server van mijn ISP.
Ik kan de default GW van mijn ISP pingen, dit lukt ook vanaf een client op het LAN (NAT werkt ook).
Maar verder dan de default GW van mijn ISP kom ik niet het internet op.

Hebben jullie ideëen? Ik weet dat je bij de 1800 series een checkbox hebt om de gateway van de ISP als volgende hop te gebruiken, maar hoe ik dat op een 851 in moet stellen...

Ik heb hier gezocht, en gebruik gemaakt van google, maar geen (voor mij) werkend antwoord gevonden.

Hebben jullie hierover ideëen?

Hieronder het meeste van mijn config:

code:

!
dot11 syslog
no ip subnet-zero
no ip source-route
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description === Uplink ===
 ip address dhcp client-id FastEthernet4
 ip access-group FW-OUTSIDE in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect fw out
 ip nat outside
 ip virtual-reassembly
 load-interval 30
 duplex auto
 speed auto
!
interface Vlan1
 description === Inside ===
 ip address 172.16.0.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT-OVERLOAD interface FastEthernet4 overload
!
ip access-list standard NAT-OVERLOAD
 permit 172.16.0.0 0.0.0.255
!
ip access-list extended FW-OUTSIDE
 permit icmp any any echo-reply
 permit icmp any any time-exceeded
 permit icmp any any unreachable
 permit udp any eq bootps any eq bootpc
 permit tcp any any eq 22
 deny   ip any any
!
no cdp run

while ( !$succeed ) { $try++ }

dinsdag 1 december 2009 18:43

Acties:

Glashelder

Anti Android

Misschien doet je provider niet aan proxy-arp. Probeer het eens zonder default route (zodat hij de route uit het DHCP antwoord pakt). Of probeer een default route naar het adres van de router van je ISP, ipv FastEthernet4.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 1 december 2009 18:44

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Je zou kunnen proberen om je default route niet naar Fastethernet4 te verwijzen maar naar het publieke IP-adres van je modem?

Vicariously I live while the whole world dies

dinsdag 1 december 2009 18:56

Acties:

_fm

Je static route naar FastEthernet4 moet er niet in. Die route moet via dhcp komen.

dinsdag 1 december 2009 19:29

Acties:

Bas_je

Topicstarter

Ik heb de tips geprobeerd, waarvoor dank.

Bestaande route verwijderd (no ip route 0.0.0.0 0.0.0.0 FastEthernet4)

- Route instellen naar IP van ISP
ip route 0.0.0.0 0.0.0.0 IP_van_ISP
%Invalid next hop address (it's this router)

- Geen route
Als ik er geen route op heb staan kan ik het ip van de ISP ook niet meer pingen. Zowel vanuit de 851 als de pc die erachter staat

- Route instellen naar GW van ISP
ip route 0.0.0.0 0.0.0.0 194.109.5.219
Als ik deze route invul kan ik de GW (194.109.5.219) niet bereiken, ook niet vanaf de PC die erachter staat

ps provider is xs4all

while ( !$succeed ) { $try++ }

dinsdag 1 december 2009 19:34

Acties:

Glashelder

Anti Android

Hoe zit je routetabel eruit als je je default route eruit gehaald hebt?

En testen doen we het liefst zonder ACL's

En probeer ook eens:

code:

1 2	interface FastEthernet4 ip proxy-arp

als je die default route er wel in hebt staan..

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 1 december 2009 21:32

Acties:

Vicarious

☑Rekt | ☐ Not rekt

En wat is de config die je in je PIX hebt staan?

Vicariously I live while the whole world dies

dinsdag 1 december 2009 23:33

Acties:

Kabouterplop01

chown -R me base:all

ik zou als ik jou was eerst even die acl weghalen....
daarmee block je volgens mij behoorlijk essentiele dingen, namelijk ip verkeer

volgens die acl mag je alleen bepaalde ICMP berichten ontvangen een ip adres ontvangen en ssh-en, maar niet ip-en om het zo maar te zeggen.

Overigens hoef je alleen als je pppoe hebt die tcp-adjust parameter in te geven en zo te zien gebruik je dat niet; ik zie geen dialer..

[ Voor 54% gewijzigd door Kabouterplop01 op 01-12-2009 23:37 ]

woensdag 2 december 2009 07:47

Acties:

jvanhambelgium

Bingo! Haal de ACL weg en het gaat werken!

woensdag 2 december 2009 16:12

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Huh? Die ACL staat op de outside interface met richting IN. Dat is dus alleen binnenkomend verkeer toch?

Vicariously I live while the whole world dies

woensdag 2 december 2009 17:17

Acties:

Jasper Janssen

Je ISP is XS4All, en het gaat om een ADSL verbinding? Wat staat er dan nog tussen de Cisco Fa0/4 en de telefoonlijn, is dat een Speedtouch of Fon modem? En wat doet die op dit moment kwa routen? Is het een ex-Demon (dus RFC1483) verbinding met een modem in bridgestand (moet haast wel) of is het een MxStream/WBA PPPoA verbinding?

Ik zou eerst eens gewoon je hele config eruit gooien en beginnen vanaf het begin. Eerst zorgen dat je router gewoon als host het (hele) net kan pingen, en dan pas NAT en ACLs gaan toevoegen. Op dit moment is de hoeveelheid dingen die er fout kan zijn gewoon erg groot.

BTW, probeer ook eens wat er gebeurt als je een PC met DHCP gewoon direct aan het modem hangt. Kun je dan wel internetten? (let ook op de DHCP leasetime bij demon in bridge, het kan tot 4 uur duren voor je weer een andere MAC mag hebben).

[ Voor 182% gewijzigd door Jasper Janssen op 02-12-2009 17:27 ]

woensdag 2 december 2009 17:58

Acties:

Bas_je

Topicstarter

Jasper Janssen schreef op woensdag 02 december 2009 @ 17:17:
Je ISP is XS4All, en het gaat om een ADSL verbinding? Wat staat er dan nog tussen de Cisco Fa0/4 en de telefoonlijn, is dat een Speedtouch of Fon modem? En wat doet die op dit moment kwa routen? Is het een ex-Demon (dus RFC1483) verbinding met een modem in bridgestand (moet haast wel) of is het een MxStream/WBA PPPoA verbinding?

Ik zou eerst eens gewoon je hele config eruit gooien en beginnen vanaf het begin. Eerst zorgen dat je router gewoon als host het (hele) net kan pingen, en dan pas NAT en ACLs gaan toevoegen. Op dit moment is de hoeveelheid dingen die er fout kan zijn gewoon erg groot.

BTW, probeer ook eens wat er gebeurt als je een PC met DHCP gewoon direct aan het modem hangt. Kun je dan wel internetten? (let ook op de DHCP leasetime bij demon in bridge, het kan tot 4 uur duren voor je weer een andere MAC mag hebben).

Dank jullie wel allemaal voor de berichten.

Ik heb een PC aan de modem gehangen, dit was een speedtouch die geflashed was om al het netwerk verkeer keihard door te zetten naar het eerste device erachter.

Hier stond echter een DHCP server!!! op actief, deze is opnieuw geflashed en het issue is opgelost.

De PC direct op de modem heert de truuk uitgehaald.

Wel vreemd dat de 506 hier geen last van had...

while ( !$succeed ) { $try++ }

woensdag 2 december 2009 19:51

Acties:

jvanhambelgium

ip access-list extended FW-OUTSIDE
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any unreachable
permit udp any eq bootps any eq bootpc
permit tcp any any eq 22
deny ip any any

Wat lezen we hier ? Als ik een TCP sessie opzet "naar buiten" zullen alle terugkerende TCP packet de vuilbak in gaan behalve SSH. Ook "bootps" verkeer mag probleemloos door.
Je zou het keyword "established" kunnen gebruiken om packets die deel uitmaken van een TCP-sessie toch binnen te laten
Als ik een "ping" doen (ICMP echo request) mag inderdaad de ICMP echo-reply terug binnen zonder probleem. Hetzelfde voor een aantal andere ICMP types die van belang zijn.
Maar voor klassiek TCP/UDP verkeer is deze ACL dramatisch! en met zo'n ACL kan je dus niets aanvangen!

woensdag 2 december 2009 19:52

Acties:

jvanhambelgium

Bas_je schreef op woensdag 02 december 2009 @ 17:58:
[...]

Dank jullie wel allemaal voor de berichten.

Ik heb een PC aan de modem gehangen, dit was een speedtouch die geflashed was om al het netwerk verkeer keihard door te zetten naar het eerste device erachter.

Hier stond echter een DHCP server!!! op actief, deze is opnieuw geflashed en het issue is opgelost.

De PC direct op de modem heert de truuk uitgehaald.

Wel vreemd dat de 506 hier geen last van had...

Dus met de Cisco router werkt alles nu terug en die ACL blijft gewoon op de poort zitten ????

woensdag 2 december 2009 20:26

Acties:

Kabouterplop01

chown -R me base:all

dat lijkt me sterk

Pagina: 1

Reageer