:fill(white):strip_exif()/i/1231150582.jpg?f=thumbmini)
Beste Tweakers,
Na een lange tijd van afwezigheid val ik toch voor raad en daad weer terug op GoT
Situatie is als volgt:
Conclusie na weken van troubles met internetlijn en RDP problemen op een Zyxel-router, is dat de firewall van dat ding de boel verziekt. Ondanks correcte NAT forwards en corresponderende firewall rules worden class-A ip's naar willekeurige class-C ip's doorgezet (die zelfs niet eens in een NAT forward staan)
Ik kon gelukkig een Cisco 877W pakken om te testen, aldus geschiedde.
Klant heeft 8-ip adressen van XS4ALL, die corresponderen met wat apparaten aan de binnenkant.
Aangezien dit de eerste keer was voor mij om een Cisco te configureren, alles echt stap-voor-stap.
Verbinding aangemaakt, PPOA ingesteld conform settings XS4ALL, lijn-test -> fail tijdens ping.
Foutmelding opgezocht, static route aangemaakt. Lijn-test -> succes
Daar was mijn vreugde. Rechtstreeks een werkstation aangehangen, DHCP op de Cisco staat aan.
Krijg netjes IP-adres 10.10.10.2, router is 10.10.10.1
In de DHCP van de Cisco in eerste instantie geen DNS geconfigureerd.
Vervolgens browser geopend, pagina openen...... timeout. Ping www.google.nl, geen naamomzetting.
Uiteindelijk DNS settings van XS4ALL in de DHCP van de Cisco opgenomen, zelfde verhaal.
Ik krijg dus vanuit de Cisco een alles ok op de connection check van de ADSL, van de line check tot ping.
Ik kan vanuit de connection check ook een willekeurige website pingen.
Configuratie heb ik vergeleken met een voorbeeldconfiguratie van de klant waar deze vandaan komt (voor de goede orde, een los *.txt file, dus niet in de router
).
Anders dan de verschillen in IP adressen WAN/LAN/DNS zie ik geen gekke verschillen.
Hieronder de running config:
Ik zie vast iets over het hoofd, maar ik zie het echt niet en het is niet dat ik nu vroeg op ben, moet nog te bed gaan.
Deze valt me wel op:
Ten eerste heb ik bij dns-server ook de primaire gehad van XS4ALL, dus zo:
Ten tweede zijn sdm-pool1 en sdm-pool2 niet meer actief, daar heb ik wel wat mee geprobeerd.
edit:
Overigens is de DC wel DNS in de huidige internet setup met de Zyxel, alleen puur voor testdoeleinden heb ik de client rechtstreeks op de Cisco gezet. De DC heeft echter nog niet op de Cisco gezeten. Zou het niet met DNS lookup te maken kunnen hebben, aangezien op de server een DNS forward draait voor alle overige DNS adressen.
Iemand de gouden tip? Zou enorm gewaardeerd worden!
Na een lange tijd van afwezigheid val ik toch voor raad en daad weer terug op GoT
Situatie is als volgt:
Conclusie na weken van troubles met internetlijn en RDP problemen op een Zyxel-router, is dat de firewall van dat ding de boel verziekt. Ondanks correcte NAT forwards en corresponderende firewall rules worden class-A ip's naar willekeurige class-C ip's doorgezet (die zelfs niet eens in een NAT forward staan)
Ik kon gelukkig een Cisco 877W pakken om te testen, aldus geschiedde.
Klant heeft 8-ip adressen van XS4ALL, die corresponderen met wat apparaten aan de binnenkant.
- x.x.x.113 - modem
- x.x.x.114 - 192.168.0.5 (DFS replicatie)
- x.x.x.115 - 192.168.0.10 (applicatieserver)
- x.x.x.116 - 192.168.0.6 (DC)
- x.x.x.117 - 192.168.0.7 (IP-alarm)
Aangezien dit de eerste keer was voor mij om een Cisco te configureren, alles echt stap-voor-stap.
Verbinding aangemaakt, PPOA ingesteld conform settings XS4ALL, lijn-test -> fail tijdens ping.
Foutmelding opgezocht, static route aangemaakt. Lijn-test -> succes
Daar was mijn vreugde. Rechtstreeks een werkstation aangehangen, DHCP op de Cisco staat aan.
Krijg netjes IP-adres 10.10.10.2, router is 10.10.10.1
In de DHCP van de Cisco in eerste instantie geen DNS geconfigureerd.
Vervolgens browser geopend, pagina openen...... timeout. Ping www.google.nl, geen naamomzetting.
Uiteindelijk DNS settings van XS4ALL in de DHCP van de Cisco opgenomen, zelfde verhaal.
Ik krijg dus vanuit de Cisco een alles ok op de connection check van de ADSL, van de line check tot ping.
Ik kan vanuit de connection check ook een willekeurige website pingen.
Configuratie heb ik vergeleken met een voorbeeldconfiguratie van de klant waar deze vandaan komt (voor de goede orde, een los *.txt file, dus niet in de router
).Anders dan de verschillen in IP adressen WAN/LAN/DNS zie ik geen gekke verschillen.
Hieronder de running config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
| !This is the running config of the router: 10.10.10.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.0.1 192.168.0.2
ip dhcp excluded-address 192.168.0.5 192.168.0.254
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.11 192.168.1.254
!
ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
dns-server 10.10.10.1 194.109.9.99
lease 0 2
!
ip dhcp pool sdm-pool1
network 192.168.0.0 255.255.255.0
default-router 192.168.0.2
!
ip dhcp pool sdm-pool2
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
!
!
ip inspect log drop-pkt
ip inspect name SDM_MEDIUM appfw SDM_MEDIUM
ip inspect name SDM_MEDIUM cuseeme
ip inspect name SDM_MEDIUM dns
ip inspect name SDM_MEDIUM ftp
ip inspect name SDM_MEDIUM h323
ip inspect name SDM_MEDIUM https
ip inspect name SDM_MEDIUM icmp
ip inspect name SDM_MEDIUM imap reset
ip inspect name SDM_MEDIUM pop3 reset
ip inspect name SDM_MEDIUM netshow
ip inspect name SDM_MEDIUM rcmd
ip inspect name SDM_MEDIUM realaudio
ip inspect name SDM_MEDIUM rtsp
ip inspect name SDM_MEDIUM esmtp
ip inspect name SDM_MEDIUM sqlnet
ip inspect name SDM_MEDIUM streamworks
ip inspect name SDM_MEDIUM tftp
ip inspect name SDM_MEDIUM tcp
ip inspect name SDM_MEDIUM udp
ip inspect name SDM_MEDIUM vdolive
ip domain name yourdomain.com
ip name-server 194.109.6.66
ip name-server 194.109.9.99
!
appfw policy-name SDM_MEDIUM
application im aol
service default action allow alarm
service text-chat action allow alarm
server permit name login.oscar.aol.com
server permit name toc.oscar.aol.com
server permit name oam-d09a.blue.aol.com
audit-trail on
application im msn
service default action allow alarm
service text-chat action allow alarm
server permit name messenger.hotmail.com
server permit name gateway.messenger.hotmail.com
server permit name webmessenger.msn.com
audit-trail on
application http
strict-http action allow alarm
port-misuse im action reset alarm
port-misuse p2p action reset alarm
port-misuse tunneling action allow alarm
application im yahoo
service default action allow alarm
service text-chat action allow alarm
server permit name scs.msg.yahoo.com
server permit name scsa.msg.yahoo.com
server permit name scsb.msg.yahoo.com
server permit name scsc.msg.yahoo.com
server permit name scsd.msg.yahoo.com
server permit name cs16.msg.dcn.yahoo.com
server permit name cs19.msg.dcn.yahoo.com
server permit name cs42.msg.dcn.yahoo.com
server permit name cs53.msg.dcn.yahoo.com
server permit name cs54.msg.dcn.yahoo.com
server permit name ads1.vip.scd.yahoo.com
server permit name radio1.launch.vip.dal.yahoo.com
server permit name in1.msg.vip.re2.yahoo.com
server permit name data1.my.vip.sc5.yahoo.com
server permit name address1.pim.vip.mud.yahoo.com
server permit name edit.messenger.yahoo.com
server permit name messenger.yahoo.com
server permit name http.pager.yahoo.com
server permit name privacy.yahoo.com
server permit name csa.yahoo.com
server permit name csb.yahoo.com
server permit name csc.yahoo.com
audit-trail on
!
!
crypto pki trustpoint TP-self-signed-676567595
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-676567595
revocation-check none
rsakeypair TP-self-signed-676567595
!
!
crypto pki certificate chain TP-self-signed-676567595
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 36373635 36373539 35301E17 0D303230 33303130 30343834
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3637 36353637
35393530 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
F023E721 833F01BF D2148A9A E715E6C8 08FEA273 E347D5C4 7149C279 AD340E01
73B9CA50 50B40898 5D764CB3 0D980FBA 744B1FAE E39E433A C31CB699 9D60727F
3B380607 90A75339 FA0839EC A252D39D 2EAD4078 FDC3EBA6 34E2C0FC DE1FDCCA
B3B188A2 36953D78 212E7730 2176B3E1 22A031B1 A9778252 A43C33B6 9FE11C25
02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 168014A6 0A481A34 609E37F3 C047EA23 534F65E0 8CDEBF30
1D060355 1D0E0416 0414A60A 481A3460 9E37F3C0 47EA2353 4F65E08C DEBF300D
06092A86 4886F70D 01010405 00038181 00771FDF 6BC670D5 FE775427 63B0C73A
528A245C 430C28FB 15A7C9F1 5975E8D8 6BC59765 03E82C9E 413BD1CB C14E7C45
7327F56D 5865A062 E5B4D733 0B9DD38A 3BAAC291 FB410737 AC5A7DDF E4EEA86B
1F3257E3 D654DD97 03CA4401 DD3D9ECC B2B7D2A7 84225F9E 0F51C7A8 7BB650F8
C78E17CA 2721854C 0950B3A9 A0169686 39
quit
username administrator privilege 15 secret 5 _pass_
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.5 point-to-point
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.248
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer4
ip address x.x.x.113 255.255.255.248
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username _username_ password 0 _password_
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer4 permanent
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool T 10.10.10.1 10.10.10.1 netmask 255.255.255.248
ip nat inside source list 4 interface Dialer4 overload
ip nat inside source static 10.10.10.1 80.127.189.113
ip nat inside source static tcp 192.168.0.6 3389 80.127.189.116 3389 extendable
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark INSIDE_IF=Vlan1
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.7
access-list 3 remark SDM_ACL Category=2
access-list 3 permit 192.168.0.0 0.0.0.255
access-list 4 remark SDM_ACL Category=2
access-list 4 permit 192.168.0.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip X.X.X.112 0.0.0.7 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 deny ip X.X.X.X 0.0.0.7 any
access-list 101 deny ip 10.10.10.0 0.0.0.7 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip any any
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip 10.10.10.0 0.0.0.7 any
access-list 102 permit icmp any host X.X.X.113 echo-reply
access-list 102 permit icmp any host X.X.X.113 time-exceeded
access-list 102 permit icmp any host X.X.X.113 unreachable
access-list 102 permit tcp any host X.X.X.113 eq 443
access-list 102 permit tcp any host X.X.X.113 eq 22
access-list 102 permit tcp any host X.X.X.113 eq cmd
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 deny ip 10.10.10.0 0.0.0.7 any
access-list 103 permit icmp any host X.X.X.113 echo-reply
access-list 103 permit icmp any host X.X.X.113 time-exceeded
access-list 103 permit icmp any host X.X.X.113 unreachable
access-list 103 permit tcp any host X.X.X.113 eq 443
access-list 103 permit tcp any host X.X.X.113 eq 22
access-list 103 permit tcp any host X.X.X.113 eq cmd
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip host 0.0.0.0 any
access-list 103 deny ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
banner login ^C
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device.
This feature requires the one-time use of the username "cisco"
with the password "cisco". The default username and password have a privilege level
of 15.
Please change these publicly known initial credentials using SDM or the IOS CLI.
Here are the Cisco IOS commands.
username <myuser> privilege 15 secret 0 <mypassword>
no username cisco
Replace <myuser> and <mypassword> with the username and password you want to use.
For more information about SDM please follow the instructions in the QUICK START
GUIDE for your router or go to http://www.cisco.com/go/sdm
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end |
Ik zie vast iets over het hoofd, maar ik zie het echt niet en het is niet dat ik nu vroeg op ben, moet nog te bed gaan.
Deze valt me wel op:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| ip dhcp pool sdm-pool import all network 10.10.10.0 255.255.255.248 default-router 10.10.10.1 dns-server 10.10.10.1 194.109.9.99 lease 0 2 ! ip dhcp pool sdm-pool1 network 192.168.0.0 255.255.255.0 default-router 192.168.0.2 ! ip dhcp pool sdm-pool2 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 |
Ten eerste heb ik bij dns-server ook de primaire gehad van XS4ALL, dus zo:
code:
1
| dns-server 194.109.6.66 194.109.9.99 |
Ten tweede zijn sdm-pool1 en sdm-pool2 niet meer actief, daar heb ik wel wat mee geprobeerd.
edit:
Overigens is de DC wel DNS in de huidige internet setup met de Zyxel, alleen puur voor testdoeleinden heb ik de client rechtstreeks op de Cisco gezet. De DC heeft echter nog niet op de Cisco gezeten. Zou het niet met DNS lookup te maken kunnen hebben, aangezien op de server een DNS forward draait voor alle overige DNS adressen.
Iemand de gouden tip? Zou enorm gewaardeerd worden!
:strip_icc():strip_exif()/u/1604/60x60.jpg?f=community)