Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Cisco] SR520 RFC-1483, bridged Ethernet, LLC-SNAP

Pagina: 1
Acties:

woensdag 16 maart 2011 09:14

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Hallo allemaal,

Ik ben bezig om een Cisco SR520 te configureren alleen ik krijg mijn internetverbinding niet geconfigureerd op deze bak. Er draait op dit moment een Draytek modem met de volgende configuratie:
RFC-1483, bridged Ethernet, LLC-SNAP
VPI: 0
VCI: 35
IP: DHCP Auto (83.247.xx.xxx(static) ook geprobeerd).
Ik heb de volgende artikelen op het internet al geraadpleegd:
http://www.dslreports.com/forum/remark,15020785
http://www.ciscopress.com...cle.asp?p=169553&seqNum=4

Ik weet niet of het handig is dat ik ook mijn huidige config post aangezien ik de router een reset heb gegeven en het zonder verdere instellingen ook al heb geprobeerd maar niet werkend heb gekregen.

Groet,
M34nM4chin3

woensdag 16 maart 2011 20:51

Acties:

Verwijderd

Er zijn diverse types van de SR520, maar ik ga er vanuit dat je wel de SR520-ADSL-K9 of SR520-ADSLI-K9 gekocht hebt. Hieronder een begin voor je configuratie, vergeet niet dat dit slechts een basis configuratie is waar qua security nog het een en ander aan gefinetuned dient te worden ;)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

interface ATM0
 no ip address
 no shut
!
interface ATM0.1 point-to-point
 ip address x.x.x.x x.x.x.x
 ip nat outside
 ip virtual-reassembly
 atm route-bridged ip
 pvc 0/35
  encapsulation aal5snap
!
interface Vlan1
 ip address x.x.x.x x.x.x.x 
 ip nat inside
 ip virtual-reassembly
 !
ip nat inside source list ACL-NAT interface ATM0.1 overload
!
ip access-list extended ACL-NAT
 permit ip x.x.x.x x.x.x.x any
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x x.x..x.x

woensdag 16 maart 2011 23:43

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Zie:
http://www.cisco.com/en/U...guration_guides_list.html

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 17 maart 2011 09:40

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Verwijderd schreef op woensdag 16 maart 2011 @ 20:51:
Er zijn diverse types van de SR520, maar ik ga er vanuit dat je wel de SR520-ADSL-K9 of SR520-ADSLI-K9 gekocht hebt. Hieronder een begin voor je configuratie, vergeet niet dat dit slechts een basis configuratie is waar qua security nog het een en ander aan gefinetuned dient te worden ;)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

interface ATM0
 no ip address
 no shut
!
interface ATM0.1 point-to-point
 ip address x.x.x.x x.x.x.x
 ip nat outside
 ip virtual-reassembly
 atm route-bridged ip
 pvc 0/35
  encapsulation aal5snap
!
interface Vlan1
 ip address x.x.x.x x.x.x.x 
 ip nat inside
 ip virtual-reassembly
 !
ip nat inside source list ACL-NAT interface ATM0.1 overload
!
ip access-list extended ACL-NAT
 permit ip x.x.x.x x.x.x.x any
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x x.x..x.x
Super bedankt! Ik was zelf het volgende tegen gekomen:
ftp://dl.solcon.nl/pub/ds...0BBNED%20DHCP%20(NAT).txt

Hier is die op de ATM0 geconfigureerd nu is mijn volgende vraag wat het verschil is tussen ATM0 of ATM)/ATM0.1 in je config? Verder vraag ik me af of ik wel een static IP op moet geven of de internet connection op DHCP moet zetten. Dit laatste moet namelijk volgens de Solcon site(BBned):
http://www.solcon.nl/klan...tellingen-voor-mijn-modem

[ Voor 9% gewijzigd door Snors op 17-03-2011 09:43 ]

donderdag 17 maart 2011 11:47

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

Als je weet wat je ip adres moet zijn kun je deze idd het best vastzetten (Het is tenslotte een bridged config, er vindt nergens een authenticatie plaats, hooguit een mac-filter)
Misschien kun je als toevoeging wel je dsl operating mode in je ATM0 interface zetten.
voor de rest is de basis config die Smiley gaf, hetzelfde als in mijn router.

donderdag 17 maart 2011 16:44

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Ik heb het een en ander lopen pielen en ben tot de volgende config gekomen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347

SR520#show running
Building configuration...

Current configuration : 10895 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone GMT 1
clock summer-time GMT recurring last Sun Mar 1:00 last Sun Oct 2:00
!
crypto pki trustpoint TP-self-signed-4185080819
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4185080819
 revocation-check none
 rsakeypair TP-self-signed-4185080819
!
!
crypto pki certificate chain TP-self-signed-4185080819
 certificate self-signed 01
  3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34313835 30383038 3139301E 170D3032 30333031 30363138
  31375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 31383530
  38303831 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100BDB5 DEF3BDFA 5B49A07F 1A9DD49F F8DE0812 1BE77B92 F3877859 B5B8A3B9
  1BD72F84 D5E346A0 EE07AAC7 91C77543 8A1699E3 B18482B9 201F77E1 437C4CA1
  E149FB6D 9B9F294D 1C125DDD 296C4AD2 A21A8811 C2D605C1 0928DC58 7CA747B4
  8987F946 3D959B2A C72F3F71 1713BF0B E57B27BF A315BDBE DAC752FF 91C8C7F7
  9C0D0203 010001A3 65306330 0F060355 1D130101 FF040530 030101FF 30100603
  551D1104 09300782 05535235 3230301F 0603551D 23041830 1680143D A1B206C3
  DF02EB9E A36A018F 93718F7D 8888ED30 1D060355 1D0E0416 04143DA1 B206C3DF
  02EB9EA3 6A018F93 718F7D88 88ED300D 06092A86 4886F70D 01010405 00038181
  00AAE594 47DE5552 6ABF02A4 6E5E47EF 9D62650F EDECFDA3 32D7B1E7 C9B7517B
  8A00C09A 30AD51C4 5A3C4285 87A0CDFA 63F04D6D 31D7023D 3F01BD63 28143068
  D584D207 26A348C3 C262689D 19FA5EFB 2285FFA5 47B27672 7968FBE5 8918FE3F
  904D6DCD 1B9B0065 361E5D0A 00A52965 AEDF5F67 A2D57865 E7CF5DF5 384701E7 4B
        quit
dot11 syslog
no ip source-route
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.100
!
ip dhcp pool inside
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server removed
!
!
no ip cef
no ip bootp server
ip name-server removed
ip name-server removed
ip inspect log drop-pkt
!
no ipv6 cef
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
username cisco privilege 15 secret 5 XXXXX
!
!
!
archive
 log config
  logging enable
  logging size 600
  hidekeys
!
!
ip tcp synwait-time 10
!
class-map type inspect match-any PPTP
 match access-group name PPTP
class-map type inspect match-any SDM-Voice-permit
 match protocol h323
 match protocol skinny
 match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-invalid-src
 match access-group 100
class-map type inspect match-all dhcp_out_self
 match access-group name dhcp-resp-permit
class-map type inspect match-all dhcp_self_out
 match access-group name dhcp-req-permit
class-map type inspect match-all sdm-protocol-http
 match protocol http
class-map type inspect match-all sdm-nat-https-1
 match protocol https
class-map type inspect match-all sdm-pptp-in
 match protocol pptp
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect dhcp_self_out
  pass
 class type inspect sdm-cls-icmp-access
  inspect
 class class-default
  pass
policy-map type inspect sdm-inspect
 class type inspect sdm-cls-insp-traffic
  inspect
 class type inspect SDM-Voice-permit
  pass
 class type inspect sdm-invalid-src
  drop log
 class type inspect sdm-protocol-http
  inspect
 class class-default
  drop
policy-map type inspect sdm-inspect-voip-in
 class type inspect SDM-Voice-permit
  pass
 class class-default
  drop
policy-map type inspect sdm-permit
 class type inspect dhcp_out_self
  pass
 class type inspect PPTP
  pass
 class type inspect sdm-pptp-in
  pass
 class class-default
  drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-in source out-zone destination in-zone
 service-policy type inspect sdm-inspect-voip-in
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
!
!
!
interface ATM0
 no ip address
 no shut
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address removed
 ip nat outside
 ip virtual-reassembly
 atm route-bridged ip
 pvc 0/35
  encapsulation aal5snap
!
interface FastEthernet0
 switchport access vlan 75
 macro description cisco-desktop
 spanning-tree portfast
!
interface FastEthernet1
 switchport access vlan 75
 macro description cisco-desktop
 spanning-tree portfast
!
interface FastEthernet2
 switchport access vlan 75
 macro description cisco-desktop
 spanning-tree portfast
!
interface FastEthernet3
 switchport access vlan 75
 macro description cisco-desktop
 spanning-tree portfast
!
interface Virtual-Template1
 ip unnumbered ATM0.1
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
 peer default ip address pool PPTP_POOL
 no keepalive
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap
!
interface Vlan1
 ip address removed
 ip nat inside
 ip virtual-reassembly
!
interface Vlan75
 description $FW_INSIDE$
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!
ip local pool PPTP_POOL 192.168.1.80 192.168.1.99
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 removed
ip route 192.168.10.0 255.255.255.0 Vlan75
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 115 interface ATM0.1 overload
!
ip access-list extended PPTP
 permit tcp any any eq 1723
 permit gre any any
 permit tcp any eq 1723 any
ip access-list extended dhcp-req-permit
 remark SDM_ACL Category=1
 permit udp any eq bootpc any eq bootps
ip access-list extended dhcp-resp-permit
 remark SDM_ACL Category=1
 permit udp any eq bootps any eq bootpc
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 10.1.1.0 0.0.0.255
access-list 1 permit 10.1.10.0 0.0.0.3
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 115 permit ip host 192.168.1.21 host 195.20.9.87
access-list 115 permit ip host 192.168.1.21 host 192.150.16.117
access-list 115 permit ip host 192.168.1.21 host 195.20.8.250
access-list 115 permit ip host 192.168.1.21 host 195.20.9.52
access-list 115 permit ip host 192.168.1.21 host 145.222.84.65
access-list 115 permit ip host 192.168.1.21 host 82.94.214.144
access-list 115 permit ip host 192.168.1.21 host 81.93.174.82
access-list 115 permit ip host 192.168.1.21 host 89.255.60.74
access-list 115 permit ip host 192.168.1.21 host 89.18.179.38
access-list 115 permit ip host 192.168.1.21 host 91.197.72.24
access-list 115 permit ip host 192.168.1.21 host 78.31.116.35
access-list 115 permit ip host 192.168.1.21 host 80.95.165.83
access-list 115 permit ip host 192.168.1.21 host 82.94.253.159
access-list 115 permit ip host 192.168.1.21 host 94.124.139.238
access-list 115 permit ip host 192.168.1.21 host 80.79.193.22
access-list 115 permit ip host 192.168.1.21 host 213.75.28.140
access-list 115 permit ip host 192.168.1.21 host 213.206.99.110
access-list 115 permit ip host 192.168.1.21 host 195.20.9.119
access-list 115 permit ip host 192.168.1.21 host 188.93.15.13
access-list 115 permit ip host 192.168.1.21 host 85.158.202.238
access-list 115 permit ip host 192.168.1.21 host 213.188.130.110
access-list 115 permit ip host 192.168.1.21 host 217.115.197.58
access-list 115 permit ip host 192.168.1.21 host 81.4.88.78
access-list 115 permit ip host 192.168.1.21 host 209.213.105.179
access-list 115 permit ip host 192.168.1.21 host 217.115.196.114
access-list 115 permit ip host 192.168.1.21 host 208.75.84.28
access-list 115 permit ip host 192.168.1.21 host 217.195.123.113
access-list 115 permit ip host 192.168.1.21 host 83.96.142.185
access-list 115 permit ip host 192.168.1.21 host 62.250.4.182
access-list 115 permit ip host 192.168.1.21 host 79.99.132.247
access-list 115 permit ip host 192.168.1.21 host 77.94.248.249
access-list 115 permit ip host 192.168.1.21 host 145.222.145.183
access-list 115 permit ip host 192.168.1.21 host 145.58.30.134
access-list 115 permit ip host 192.168.1.21 host 213.197.216.76
access-list 115 permit ip host 192.168.1.21 host 95.170.72.229
access-list 115 permit ip host 192.168.1.21 host 79.99.133.31
access-list 115 permit ip host 192.168.1.21 host 195.20.9.41
access-list 115 permit ip host 192.168.1.21 host 109.237.210.28
access-list 115 permit ip host 192.168.1.21 host 87.233.179.106
access-list 115 permit ip host 192.168.1.21 host 84.241.128.73
access-list 115 permit ip host 192.168.1.21 host 216.52.242.86
access-list 115 permit ip host 192.168.1.21 host 216.52.242.80
access-list 115 permit ip host 192.168.1.21 host 74.125.77.19
access-list 115 permit ip host 192.168.1.21 host 74.125.77.83
access-list 115 deny   ip host 192.168.1.21 any
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
access-list 115 permit ip 192.168.10.0 0.0.0.255 any
access-list 115 permit ip 10.1.1.0 0.0.0.255 any
access-list 115 permit ip 10.1.10.0 0.0.0.3 any
!
!
!
!
!
control-plane
!
banner login ^CSR520 Base Config - MFG 1.0 ^C
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
ntp server 194.109.22.18 prefer
end


Ik denk dat er zeker nog wel wat misconfiguraties inzitten aangezien deze config is gebasseerd op Cisco SR520 met een PPPoA configuratie. Verder heb ik de vpn PPTP instellingen daarvan ook overgenomen. Wellicht dat iemand mij op enkele fouten kan wijzen? De access-list 115 staat voor een IP whitelist die alleen op 192.168.1.21 van toepassing moet zijn. De rest heeft full access.

Alvast bedankt!

donderdag 17 maart 2011 18:46

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

1. haal even je pub ip adressen weg!
2. je vlan 1 interface heeft een nat inside (dus heeft die al een private ip adres/subnet)

dit zou moeten werken:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

interface ATM0
no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto 
 dsl enable-training-log failure 
!
interface ATM0.1 point-to-point
 ip address <ip address>
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 logging event subif-link-status
 atm route-bridged ip
 pvc 0/35 
  no oam-pvc manage
  encapsulation aal5snap
!
interface Vlan1
 description $FW_INSIDE$
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 !
ip route 0.0.0.0 0.0.0.0 <ip address next-hop>
ip route 192.168.10.0 255.255.255.0 Vlan1
!
ip nat inside source list 115 interface ATM0.1 overload
!
ip http access-class 2
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny   any
!
end
wr


verder zou ik ip cef juist wel aanzetten; dit is sneller dan fast switching!
PPPoA heb je niet nodig je hoeft immers niet te authenticeren!

[ Voor 4% gewijzigd door Kabouterplop01 op 17-03-2011 18:50 ]

donderdag 17 maart 2011 19:05

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Kabouterplop01 schreef op donderdag 17 maart 2011 @ 18:46:
1. haal even je pub ip adressen weg!
2. je vlan 1 interface heeft een nat inside (dus heeft die al een private ip adres/subnet)

dit zou moeten werken:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

interface ATM0
no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto 
 dsl enable-training-log failure 
!
interface ATM0.1 point-to-point
 ip address <ip address>
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 logging event subif-link-status
 atm route-bridged ip
 pvc 0/35 
  no oam-pvc manage
  encapsulation aal5snap
!
interface Vlan1
 description $FW_INSIDE$
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 !
ip route 0.0.0.0 0.0.0.0 <ip address next-hop>
ip route 192.168.10.0 255.255.255.0 Vlan1
!
ip nat inside source list 115 interface ATM0.1 overload
!
ip http access-class 2
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny   any
!
end
wr


verder zou ik ip cef juist wel aanzetten; dit is sneller dan fast switching!
PPPoA heb je niet nodig je hoeft immers niet te authenticeren!
Thanks voor je bericht het enigste wat ik nog niet helemaal snap is
code:
1

ip route 0.0.0.0 0.0.0.0 <ip address next-hop>

En moet ik IP adres - subnet doe nof is het IP Adres voldoende?

Klopt de rest van mijn config wel of kom je nog meer dingen tegen, ik heb veel op internet gelezen alleen zoals ik al eerder aangaf ben ik er niet zeker van of de VPN instellingen juist zijn in mijn config.

donderdag 17 maart 2011 19:42

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

het is de default route.
Als je nu met je andere modem aangesloten een traceroute naar een willekeurige site oid zou doen dan is dat de 1e hop die je tegen komt.

je stuurt al het verkeer waarvan de router niet weet waar het heen moet naar de next hop.
en dat is alleen het ip adres.

van de VPN instelling heb ik geen kaas gegeten. zoals je ziet heb ik een kleine acl gemaakt om de toegang tot je http server te beperken tot je lokale subnet! Dat is een stuk veiliger. En ook alleen voor de functionaliteit de acl 115 beperkt tot je eigen subnet.
Verder had ik je ip route voor het andere interne netwerk aangepast naar vlan 1.
(niet te moeilijk doen is het motto) Eerst het werkend krijgen daarna dichttimmeren!!

[ Voor 37% gewijzigd door Kabouterplop01 op 17-03-2011 19:47 ]

vrijdag 18 maart 2011 14:25

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Kabouterplop01 schreef op donderdag 17 maart 2011 @ 19:42:
het is de default route.
Als je nu met je andere modem aangesloten een traceroute naar een willekeurige site oid zou doen dan is dat de 1e hop die je tegen komt.

je stuurt al het verkeer waarvan de router niet weet waar het heen moet naar de next hop.
en dat is alleen het ip adres.

van de VPN instelling heb ik geen kaas gegeten. zoals je ziet heb ik een kleine acl gemaakt om de toegang tot je http server te beperken tot je lokale subnet! Dat is een stuk veiliger. En ook alleen voor de functionaliteit de acl 115 beperkt tot je eigen subnet.
Verder had ik je ip route voor het andere interne netwerk aangepast naar vlan 1.
(niet te moeilijk doen is het motto) Eerst het werkend krijgen daarna dichttimmeren!!
Thanks moet ik bij interface ATM0.1 point-to-point
ip address <ip address>
Ook alleen maar het ip address neerzetten of ook het subnet erachter?

vrijdag 18 maart 2011 18:29

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

oepsie daar moet inderdaad <ip adres snmask> ingevuld worden

maandag 21 maart 2011 09:30

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Ik ben inmidels weer vanaf scratch begonnen en ben tot de volgende config gekomen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300

Current configuration : 9542 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SR520
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 XXXXX
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-4185080819
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4185080819
 revocation-check none
 rsakeypair TP-self-signed-4185080819
!
!
crypto pki certificate chain TP-self-signed-4185080819
 certificate self-signed 02
  3082023D 308201A6 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34313835 30383038 3139301E 170D3032 30333031 30363437
  34365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 31383530
  38303831 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100BDB5 DEF3BDFA 5B49A07F 1A9DD49F F8DE0812 1BE77B92 F3877859 B5B8A3B9
  1BD72F84 D5E346A0 EE07AAC7 91C77543 8A1699E3 B18482B9 201F77E1 437C4CA1
  E149FB6D 9B9F294D 1C125DDD 296C4AD2 A21A8811 C2D605C1 0928DC58 7CA747B4
  8987F946 3D959B2A C72F3F71 1713BF0B E57B27BF A315BDBE DAC752FF 91C8C7F7
  9C0D0203 010001A3 65306330 0F060355 1D130101 FF040530 030101FF 30100603
  551D1104 09300782 05535235 3230301F 0603551D 23041830 1680143D A1B206C3
  DF02EB9E A36A018F 93718F7D 8888ED30 1D060355 1D0E0416 04143DA1 B206C3DF
  02EB9EA3 6A018F93 718F7D88 88ED300D 06092A86 4886F70D 01010405 00038181
  004A4B46 F0A146AC C196F8F0 E097F84C 6C305763 CFBB5522 B4AA3165 058E7E55
  18B60C3D 1C23C985 BEB4810E E2D71635 D78F6755 084D37C7 DAB524C4 CC20571B
  F5189FA0 A5A6220C 9A425609 E9DCA5AD 8D11AD4F 6FE1561E 7F396322 8B47380E
  1512A603 D0A126D9 2309ADCF B6D8EE3A C66E64B1 EC7DF5D5 D91265A3 02B2E5CE EE
        quit
dot11 syslog
ip source-route
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool inside
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 212.45.33.3 212.45.32.3
!
!
ip cef
ip name-server 212.45.33.3
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 XXXXX
!
!
!
archive
 log config
  hidekeys
!
!
!
class-map type inspect match-any SDM-Voice-permit
 match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
class-map type inspect match-all sdm-invalid-src
 match access-group 100
class-map type inspect match-all dhcp_out_self
 match access-group name dhcp-resp-permit
class-map type inspect match-all dhcp_self_out
 match access-group name dhcp-req-permit
class-map type inspect match-all sdm-protocol-http
 match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect dhcp_self_out
  pass
 class type inspect sdm-cls-icmp-access
  inspect
 class class-default
  pass
policy-map type inspect sdm-inspect
 class type inspect sdm-invalid-src
  drop log
 class type inspect sdm-cls-insp-traffic
  inspect
 class type inspect sdm-protocol-http
  inspect
 class type inspect SDM-Voice-permit
  pass
 class class-default
  pass
policy-map type inspect sdm-inspect-voip-in
 class type inspect SDM-Voice-permit
  pass
 class class-default
  drop
policy-map type inspect sdm-permit
 class type inspect dhcp_out_self
  pass
 class class-default
  drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
zone-pair security sdm-zp-out-in source out-zone destination in-zone
 service-policy type inspect sdm-inspect-voip-in
!
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 dsl enable-training-log failure
!
interface ATM0.1 point-to-point
 ip address xx.xxx.xx.xxx 255.255.255.0 <IP adres + subnet die ook in huidige router staat)
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 logging event subif-link-status
 snmp trap ip verify drop-rate
 atm route-bridged ip
 pvc 0/35
  oam-pvc 0
  encapsulation aal5snap
 !
!
interface FastEthernet0
 switchport access vlan 75
 macro description cisco-desktop | cisco-desktop
 spanning-tree portfast
!
interface FastEthernet1
 switchport access vlan 75
 macro description cisco-desktop | cisco-desktop
 spanning-tree portfast
!
interface FastEthernet2
 switchport access vlan 75
 macro description cisco-desktop | cisco-desktop
 spanning-tree portfast
!
interface FastEthernet3
 switchport access vlan 75
 macro description cisco-desktop | cisco-desktop
 spanning-tree portfast
!
interface Vlan75
 description $FW_INSIDE$
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
 ip tcp adjust-mss 1412
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.xxx (IP adres 1e hop tracert)
ip route 192.168.10.0 255.255.255.0 Vlan75
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 115 interface ATM0.1 overload
!
ip access-list extended dhcp-req-permit
 remark SDM_ACL Category=1
 permit udp any eq bootpc any eq bootps
 remark SDM_ACL Category=2
ip access-list extended dhcp-resp-permit
 remark SDM_ACL Category=1
 permit udp any eq bootps any eq bootpc
 remark SDM_ACL Category=2
!
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny   any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 115 permit ip host 192.168.1.21 host 195.20.9.87
access-list 115 permit ip host 192.168.1.21 host 192.150.16.117
access-list 115 permit ip host 192.168.1.21 host 195.20.8.250
access-list 115 permit ip host 192.168.1.21 host 195.20.9.52
access-list 115 permit ip host 192.168.1.21 host 145.222.84.65
access-list 115 permit ip host 192.168.1.21 host 82.94.214.144
access-list 115 permit ip host 192.168.1.21 host 81.93.174.82
access-list 115 permit ip host 192.168.1.21 host 89.255.60.74
access-list 115 permit ip host 192.168.1.21 host 89.18.179.38
access-list 115 permit ip host 192.168.1.21 host 91.197.72.24
access-list 115 permit ip host 192.168.1.21 host 78.31.116.35
access-list 115 permit ip host 192.168.1.21 host 80.95.165.83
access-list 115 permit ip host 192.168.1.21 host 82.94.253.159
access-list 115 permit ip host 192.168.1.21 host 94.124.139.238
access-list 115 permit ip host 192.168.1.21 host 80.79.193.22
access-list 115 permit ip host 192.168.1.21 host 213.75.28.140
access-list 115 permit ip host 192.168.1.21 host 213.206.99.110
access-list 115 permit ip host 192.168.1.21 host 195.20.9.119
access-list 115 permit ip host 192.168.1.21 host 188.93.15.13
access-list 115 permit ip host 192.168.1.21 host 85.158.202.238
access-list 115 permit ip host 192.168.1.21 host 213.188.130.110
access-list 115 permit ip host 192.168.1.21 host 217.115.197.58
access-list 115 permit ip host 192.168.1.21 host 81.4.88.78
access-list 115 permit ip host 192.168.1.21 host 209.213.105.179
access-list 115 permit ip host 192.168.1.21 host 217.115.196.114
access-list 115 permit ip host 192.168.1.21 host 208.75.84.28
access-list 115 permit ip host 192.168.1.21 host 217.195.123.113
access-list 115 permit ip host 192.168.1.21 host 83.96.142.185
access-list 115 permit ip host 192.168.1.21 host 62.250.4.182
access-list 115 permit ip host 192.168.1.21 host 79.99.132.247
access-list 115 permit ip host 192.168.1.21 host 77.94.248.249
access-list 115 permit ip host 192.168.1.21 host 145.222.145.183
access-list 115 permit ip host 192.168.1.21 host 145.58.30.134
access-list 115 permit ip host 192.168.1.21 host 213.197.216.76
access-list 115 permit ip host 192.168.1.21 host 95.170.72.229
access-list 115 permit ip host 192.168.1.21 host 79.99.133.31
access-list 115 permit ip host 192.168.1.21 host 195.20.9.41
access-list 115 permit ip host 192.168.1.21 host 109.237.210.28
access-list 115 permit ip host 192.168.1.21 host 87.233.179.106
access-list 115 permit ip host 192.168.1.21 host 84.241.128.73
access-list 115 permit ip host 192.168.1.21 host 216.52.242.86
access-list 115 permit ip host 192.168.1.21 host 216.52.242.80
access-list 115 permit ip host 192.168.1.21 host 74.125.77.19
access-list 115 permit ip host 192.168.1.21 host 74.125.77.83
access-list 115 deny   ip host 192.168.1.21 any
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
control-plane
!
banner login ^CCSR520 Base Config - MFG 1.0 ^C
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

Kan iemand verifiëren of deze juist is? Of dat er nog onderdelen aangepast moeten worden..

Alvast bedankt!

maandag 21 maart 2011 23:16

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

die snap ik niet: ip tcp adjust-mss 1412
mtu op atm is stndaard en die van ethernet is 1500, waarom zou je dan 1412 nemen voor je sliding window size?

conf t
int vlan 75
no ip tcp adjust-mss 1412
ip access-group dhcp-req-permit in
ip access-group extended dhcp-resp-permit out

end
copy run start

[ Voor 15% gewijzigd door Kabouterplop01 op 21-03-2011 23:22 . Reden: toevoeging access-list ]

maandag 21 maart 2011 23:28

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Kabouterplop01 schreef op maandag 21 maart 2011 @ 23:16:
die snap ik niet: ip tcp adjust-mss 1412
mtu op atm is stndaard en die van ethernet is 1500, waarom zou je dan 1412 nemen voor je sliding window size?

conf t
int vlan 75
no ip tcp adjust-mss 1412
ip access-group dhcp-req-permit in
ip access-group extended dhcp-resp-permit out

end
copy run start
Dat is een line die er standaard inkwam met de cisco configuration assistant.. dat was het enigste wat dus nog 'fout' staat?

maandag 21 maart 2011 23:32

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

zo op het eerste gezicht ja :)

als het niet werkt zou ik eerst die zone member van je valn 75 afhalen en dan verder gaan; overigens heb ik niet naar al die policy maps gekeken

woensdag 23 maart 2011 13:33

Acties:
  • Snors
  • Registratie: Oktober 2007
  • Laatst online: 18-10 12:34

Snors

Topicstarter
Kabouterplop01 schreef op maandag 21 maart 2011 @ 23:32:
zo op het eerste gezicht ja :)

als het niet werkt zou ik eerst die zone member van je valn 75 afhalen en dan verder gaan; overigens heb ik niet naar al die policy maps gekeken
Ik heb alles gedaan zoals gezegt, wat zijn eventuele debug opties die ik kan uitproberen mocht het niet werken?

woensdag 23 maart 2011 15:37

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

http://www.kostis.net/hints/cisco/cisco-debug.htm

niet echt professional networking ....
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq