Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Routering tussen 2 cisco 871

Pagina: 1
Acties:

Vraag

maandag 21 november 2016 16:32

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Hallo,

ik heb op 2 locaties een Cisco871 modem staan. 1 op een RoutIT verbinding, 1 op een Ziggo zakelijk.
Op beide cisco's zijn 2 Vlans actief (vlan1 = data, vlan2 = voice).
Tussen beide zijn tunnels (geen ipsec) opgebouwd (tunnel1 = vlan1, tunnel2 = vlan2)
Nu is het zo dat ik vanuit het data netwerk op locatie 1 een traceroute uitvoer naar een server op locatie 2 en dat deze via de verkeerde tunnel naar de andere kant gaat.
Ik kan zelf niet ontdekken waarom het mis gaat.
Wellicht is hier iemand die mij in de juiste richting kan wijzen?
Of eventueel hoe de huidige configs aan te passen zodat ipsec tunnels (en dus middels acl gerouteerd wordt) actief worden.

Ook zou ik graag weten hoe ik de configs hier zichtbaar kan krijgen :D

Alvast bedankt.

Leon

Beste antwoord (via Arunok op 22-11-2016 13:21)

dinsdag 22 november 2016 12:12

  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Wat ik even niet begrijp is waarom ip unnumbered vlan# op je tunnel interfaces....

Suggestie is, uit mn hoofd & geeb lab-test, is het volgende:

router A:
tunnel 1: ip address 172.16.31.1 255.255.255.252
tunnel 2: ip address 172.16.31.5 255.255.255.252

router B:
tunnel 1: ip address 172.16.31.2 255.255.255.252
tunnel 2: ip address 172.16.31.6 255.255.255.252

Dan je routes aanpassen

router A:

ip route 10.11.1.0 255.255.255.0 172.16.31.6
ip route 10.12.1.0 255.255.255.0 172.16.31.6
ip route 10.13.1.0 255.255.255.0 172.16.31.6
ip route 10.15.1.0 255.255.255.0 172.16.31.6
ip route 10.16.1.0 255.255.255.0 172.16.31.6
ip route 10.17.1.0 255.255.255.0 172.16.31.6
ip route 10.65.150.0 255.255.255.0 172.16.31.2

ip route 10.10.1.0 255.255.255.0 172.16.3.5
ip route 10.10.250.0 255.255.255.0 172.16.3.5
ip route 10.12.1.0 255.255.255.0 172.16.3.5
ip route 10.13.1.0 255.255.255.0 172.16.3.5
ip route 10.14.1.0 255.255.255.0 172.16.3.5
ip route 10.15.1.0 255.255.255.0 172.16.3.5
ip route 10.16.1.0 255.255.255.0 172.16.3.5
ip route 10.17.1.0 255.255.255.0 172.16.3.5
ip route 10.65.156.0 255.255.255.0 172.16.3.1

Nadien even een "show ip route" op beide en je ziet duidelijk het goede pad.


Maar zoals hierboven al gezegd, 2x een tunnel slaat echt nergens op, het bied geen extra veiligheid, geen speciale segmentatie of andere voordelen, geen congestie oplossing want het gaat alsnog over 1 'pijp' naar buiten.

Mijn voorstel; 1 tunnel, met dus de outer config erop (source/destination) en dan een inner config erop (kleine /30 is zat, zoals 172.16.31.0) en daar over heen routeren. Dat houd het makkelijk en beheersbaar.

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

Alle reacties

maandag 21 november 2016 21:18

Acties:
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Configuratie kun je hier gewoon tussen code tags plakken. En dat zal je ook eerst moeten doen om hier verder wat zinnigs over te kunnen zeggen.

dinsdag 22 november 2016 09:16

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Ik vemoed een GRE tunnel? Dan is het een route op beide zetten. Het is net als de bewegwijzering op straat. Bordjes de ene kant op, en vanaf de andere kant gezien ook de andere kant op.

Router A heeft route voor subnet van B met als next-hop het ip adres van de GRE interface op router B.
Router B heeft route voor subnet van A met als next-hop het ip adres van de GRE interface op router A.

Maar een configuratie helpt zeker.

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

dinsdag 22 november 2016 09:27

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Config 1:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223

!
! Last configuration change at 11:45:21 GMT Wed Nov 16 2016
! NVRAM config last updated at 11:45:21 GMT Wed Nov 16 2016
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname XXXXX-Koppelrouter-Helmond
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxx
!
no aaa new-model
clock timezone GMT 1
clock summer-time GMT date Mar 30 2002 1:00 Oct 26 2035 1:59
!
crypto pki trustpoint TP-self-signed-2907688789
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2907688789
 revocation-check none
 rsakeypair TP-self-signed-2907688789
!
!
crypto pki certificate chain TP-self-signed-2907688789
 certificate self-signed 01
  30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32393037 36383837 3839301E 170D3132 30333239 31353138 
  31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 39303736 
  38383738 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100E273 3A425414 7E45DC9B 0B56E5AE 881301DB 3DCD494D E954726C 187F3D1C 
  1E29F9F8 46E73DBD 6DB7DE95 0FAEE6BB 5AF064B6 69B273CC E2C6A6A0 E543F2F2 
  29D04862 96E39E98 FCA0731D D2EC6B73 CC131B40 1E379521 3C65D032 EC27FE44 
  7CA92683 05542DEA 222865F1 36A87EB1 D5BC159D 850DE2BF 1CF8EA75 40B5C38C 
  5F690203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037 
  0603551D 11043030 2E822C44 72696573 73656E2D 4B6F7070 656C726F 75746572 
  2D48656C 6D6F6E64 2E647269 65737365 6E2E6C6F 63616C30 1F060355 1D230418 
  30168014 8EB2F09C 1352F4BE A11123EE 4D88B51A 5D3315AD 301D0603 551D0E04 
  1604148E B2F09C13 52F4BEA1 1123EE4D 88B51A5D 3315AD30 0D06092A 864886F7 
  0D010104 05000381 81000AEA 89A8AD4D 2335F78A 4924D69D 76B2A820 1D638A60 
  9E6C1797 93494289 AB695F7D 9B8A17DF 2FDF6F07 E037CC52 4242BFAE 6B55D5C6 
  12186C2F 5E6C544B 86068EF1 007525AE EAF27EAD D77A7ABB 63945B65 3D4258BD 
  ED00581C 6705DA1C D5BC0977 79DA2D4F 49073D72 F16440C0 F9277DF3 ED3EDB90 
  797F066E BFF10B72 BEFF
    quit
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name xxxxx.local
ip name-server 10.65.156.41
ip name-server 10.65.156.43
ip name-server 213.144.235.1
ip name-server 213.144.235.2
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username admin privilege 15 secret 5 xxxxx
! 
!
!
archive
 log config
  logging enable
  logging size 50
  hidekeys
 path tftp://x.x.x.x/$h
 write-memory
 time-period 43200
!
!
ip tcp synwait-time 10
ip tftp source-interface FastEthernet4
ip ssh time-out 60
ip ssh authentication-retries 2
!
policy-map custom-shaper-2048kbps-WAN
 class class-default
    shape average 1960000
!
!
!
!
interface Tunnel1
 description DATA
 ip unnumbered Vlan1
 tunnel source Dialer1
 tunnel destination 80.113.12.50
!
interface Tunnel2
 description Voip
 ip unnumbered Vlan2
 tunnel source Dialer1
 tunnel destination 80.113.12.50
!
interface FastEthernet0
!
interface FastEthernet1
 shutdown
!
interface FastEthernet2
 shutdown
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4
 description WAN
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 speed 100
 full-duplex
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
 service-policy output custom-shaper-2048kbps-WAN
!
interface Vlan1
 description LAN
 ip address 10.65.156.9 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Vlan2
 description Voip
 ip address 10.10.1.215 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Dialer1
 mtu 1492
 bandwidth 2048
 ip address negotiated
 ip access-group 110 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username xxxxx password 7 xxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.11.1.0 255.255.255.0 Tunnel2
ip route 10.12.1.0 255.255.255.0 10.10.1.254
ip route 10.13.1.0 255.255.255.0 10.10.1.254
ip route 10.15.1.0 255.255.255.0 10.10.1.254
ip route 10.16.1.0 255.255.255.0 10.10.1.254
ip route 10.17.1.0 255.255.255.0 10.10.1.254
ip route 10.65.150.0 255.255.255.0 Tunnel1
no ip http server
ip http secure-server
!
!
ip nat inside source list 101 interface Dialer1 overload
!
access-list 23 remark TTY Security
access-list 23 permit 91.189.228.192 0.0.0.3
access-list 23 permit 10.10.250.0 0.0.0.255
access-list 23 permit 10.65.150.0 0.0.0.255
access-list 23 permit 46.44.185.0 0.0.0.63
access-list 23 permit 5.57.251.96 0.0.0.15
access-list 101 remark nat
access-list 101 permit ip host 10.65.156.9 any
access-list 101 permit ip host 10.10.1.215 any
access-list 101 deny   ip any any
access-list 110 permit icmp 5.57.251.96 0.0.0.15 any echo
access-list 110 deny   icmp any any echo
access-list 110 deny   udp any any eq domain
access-list 110 permit ip any any
!
!
!
!
snmp-server community public RO 23
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp server 213.144.235.1 prefer
end




Config 2:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225

!
! No configuration change since last restart
! NVRAM config last updated at 12:07:35 GMT Wed Nov 16 2016 by admin
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname XXXX-Helmond
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxx
!
no aaa new-model
clock timezone GMT 1
clock summer-time GMT date Mar 30 2002 1:00 Oct 26 2035 1:59
!
crypto pki trustpoint TP-self-signed-2888807145
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2888807145
 revocation-check none
 rsakeypair TP-self-signed-2888807145
!
!
crypto pki certificate chain TP-self-signed-2888807145
 certificate self-signed 01
  30820257 308201C0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32383838 38303731 3435301E 170D3032 30333031 30313431 
  35395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38383838 
  30373134 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100BDC8 A8E84BDB 9A8C3B9B 303EA951 8E2BF0CA F7C12519 2FC174D4 51148084 
  2C820084 8418EBA3 F7E1F9F7 958B06A3 3F2B5D18 411C943E 53E72132 7C5A6002 
  2852F1CA 5A6A7335 2AF43C16 FE5EAB97 82854FEF 4E9D1389 25F906E0 0C02755B 
  A6ADFD88 EA5FCAA0 660F1620 5FE60929 B4BC1EAF 92039799 5BB367B6 E6616B1B 
  DAA10203 010001A3 7F307D30 0F060355 1D130101 FF040530 030101FF 302A0603 
  551D1104 23302182 1F447269 65737365 6E2D4865 6C6D6F6E 642E6472 69657373 
  656E2E6C 6F63616C 301F0603 551D2304 18301680 14F97792 B7476907 2B1073E7 
  BED886EC 364105A3 C5301D06 03551D0E 04160414 F97792B7 4769072B 1073E7BE 
  D886EC36 4105A3C5 300D0609 2A864886 F70D0101 04050003 8181008C 295A1AB9 
  85FCF8FE 188A662E F632D4FF 0C363F7E ED3D27E9 B66D8117 F90AD8FA F3F25F27 
  E57752CE 34DF94D5 F4FF9A20 029353A2 7464F406 BFA8F2D8 C93D8120 61856915 
  59A5FFDA 30E397FB 509ACCF3 53B59EB5 DFA263A1 0B70FC34 1DD228F6 57F5B69E 
  87EDB669 8499269E 890B2E40 1B96DE0A 9FB23F0F 4D3EE356 4034DB
    quit
dot11 syslog
no ip source-route
!
!
ip dhcp excluded-address 10.11.1.1 10.11.1.50
!
!
ip cef
no ip bootp server
ip domain name xxxxx.local
ip name-server 213.160.212.3
ip name-server 213.160.223.35
ip name-server 10.65.156.41
ip name-server 10.65.156.43
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username xxxxx privilege 15 secret 5 xxxxx
username xxxxx privilege 15 secret 5 xxxxx
! 
!
!
archive
 log config
  logging enable
  logging size 50
  hidekeys
 path tftp://x.x.x.x/$h
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface Tunnel1
 description DATA
 ip unnumbered Vlan1
 tunnel source FastEthernet4
 tunnel destination 37.0.81.110
!
interface Tunnel2
 ip unnumbered Vlan2
 tunnel source FastEthernet4
 tunnel destination 37.0.81.110
!
interface FastEthernet0
!
interface FastEthernet1
 shutdown
!
interface FastEthernet2
 shutdown
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4
 description WAN
 ip address 80.113.12.50 255.255.255.248
 ip access-group 110 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly max-reassemblies 64
 speed 10
 full-duplex
 no cdp enable
!
interface Vlan1
 description LAN
 ip address 10.65.150.254 255.255.255.0 secondary
 ip address 10.65.150.80 255.255.255.0
 ip helper-address 10.65.156.43
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Vlan2
 description Voip
 ip address 10.11.1.254 255.255.255.0
 ip helper-address 10.10.1.1
 ip helper-address 10.65.156.12
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
ip local pool defaultpool 10.65.150.240 10.65.150.250
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 80.113.12.49
ip route 10.10.1.0 255.255.255.0 Tunnel2
ip route 10.10.250.0 255.255.255.0 Tunnel2
ip route 10.12.1.0 255.255.255.0 Tunnel2
ip route 10.13.1.0 255.255.255.0 Tunnel2
ip route 10.14.1.0 255.255.255.0 Tunnel2
ip route 10.15.1.0 255.255.255.0 Tunnel2
ip route 10.16.1.0 255.255.255.0 Tunnel2
ip route 10.17.1.0 255.255.255.0 Tunnel2
ip route 10.65.156.0 255.255.255.0 Tunnel1
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
ip nat inside source static tcp 10.65.150.115 80 interface FastEthernet4 80
ip nat inside source static tcp 10.65.150.115 9010 interface FastEthernet4 9010
ip nat inside source static tcp 10.65.150.115 9011 interface FastEthernet4 9011
ip nat inside source static udp 10.65.150.115 9010 interface FastEthernet4 9010
ip nat inside source static udp 10.65.150.115 9011 interface FastEthernet4 9011
!
access-list 23 remark TTY Security
access-list 23 permit 91.189.228.192 0.0.0.3
access-list 23 permit 10.10.250.0 0.0.0.255
access-list 23 permit 10.65.150.0 0.0.0.255
access-list 23 permit 46.44.185.0 0.0.0.63
access-list 23 permit 5.57.251.96 0.0.0.15
access-list 101 remark NAT
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.12.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.15.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.12.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.15.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 permit ip 10.65.150.0 0.0.0.255 any
access-list 101 permit ip 10.11.1.0 0.0.0.255 any
access-list 101 deny   ip any any
access-list 110 remark ACL Firewall Incomming
access-list 110 permit icmp 91.189.228.192 0.0.0.3 any echo
access-list 110 permit icmp 5.57.251.96 0.0.0.15 any echo
access-list 110 deny   icmp any any echo
access-list 110 deny   udp any any eq domain
access-list 110 permit ip any any
!
!
!
!
snmp-server community public RO 23
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp server 213.144.235.1 prefer
end

[ Voor 0% gewijzigd door Arunok op 22-11-2016 11:03 . Reden: aangepast naar code tags ]

dinsdag 22 november 2016 10:37

Acties:
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 16:15

T.Kreeftmeijer

Thomas Kreeftmeijer

Cable-Guy schreef op dinsdag 22 november 2016 @ 09:27:
Geen idee hoe ik de code tag moet gebruiken, dus dan maar zo:
Gewoon, zo:

code:
1
2
3

[code]
Je plakt de tekst tussen deze twee tags.
[/code]


Inhoudelijk kan ik helaas geen antwoord geven. Daar zijn andere weer voor... :)

[ Voor 13% gewijzigd door T.Kreeftmeijer op 22-11-2016 10:39 ]

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

dinsdag 22 november 2016 10:51

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

GRE tunnels zijn layer 3 (aan de binnenkant), VLANs zijn layer 2. Je kunt gewoon 1 tunnel gebruiken voor beide VLANs.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 11:11

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
CyBeR,

ik zou graag ook zien wanneer ik een traceroute uitvoer dat deze volledig over Vlan1/Tunnel1 of Vlan2/Tunnel2 gaat

hoe kan ik dat oplossen?

dinsdag 22 november 2016 11:26

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Door routes in te stellen. Maar dat heeft echt nul nut.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 11:29

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Ik heb toch in ip-route de betreffende ip adressen al gerouteerd naar de betreffende tunnel?

dinsdag 22 november 2016 11:32

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ah ja klopt, dan gaat 't waarschijnlijk wel over die tunnel maar zegt traceroute iets anders. Maar nogmaals: nutteloze exercitie.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 11:35

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Ok.
Nu wil ik dit toch gescheiden hebben. Wat zou ik dan aan de configs moeten wijzigen?
Dus denk breder dan de huidige opstelling.

dinsdag 22 november 2016 11:39

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Als je het verkeer zou sniffen zie je 't waarschijnlijk goed gaan. Alleen de traceroute komt met een verkeerd source ip terug.

Waarom wil je deze rare setup zo graag?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 11:48

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Op verzoek van de gebruiker

dinsdag 22 november 2016 11:49

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ok, waarom wil die dat?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 12:00

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Omdat hij denkt dat het beter is.
Heb alles uit de kast gehaald hem te overtuigen dat het niet zo is, echter zonder succes.

dinsdag 22 november 2016 12:12

Acties:
  • Beste antwoord
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Wat ik even niet begrijp is waarom ip unnumbered vlan# op je tunnel interfaces....

Suggestie is, uit mn hoofd & geeb lab-test, is het volgende:

router A:
tunnel 1: ip address 172.16.31.1 255.255.255.252
tunnel 2: ip address 172.16.31.5 255.255.255.252

router B:
tunnel 1: ip address 172.16.31.2 255.255.255.252
tunnel 2: ip address 172.16.31.6 255.255.255.252

Dan je routes aanpassen

router A:

ip route 10.11.1.0 255.255.255.0 172.16.31.6
ip route 10.12.1.0 255.255.255.0 172.16.31.6
ip route 10.13.1.0 255.255.255.0 172.16.31.6
ip route 10.15.1.0 255.255.255.0 172.16.31.6
ip route 10.16.1.0 255.255.255.0 172.16.31.6
ip route 10.17.1.0 255.255.255.0 172.16.31.6
ip route 10.65.150.0 255.255.255.0 172.16.31.2

ip route 10.10.1.0 255.255.255.0 172.16.3.5
ip route 10.10.250.0 255.255.255.0 172.16.3.5
ip route 10.12.1.0 255.255.255.0 172.16.3.5
ip route 10.13.1.0 255.255.255.0 172.16.3.5
ip route 10.14.1.0 255.255.255.0 172.16.3.5
ip route 10.15.1.0 255.255.255.0 172.16.3.5
ip route 10.16.1.0 255.255.255.0 172.16.3.5
ip route 10.17.1.0 255.255.255.0 172.16.3.5
ip route 10.65.156.0 255.255.255.0 172.16.3.1

Nadien even een "show ip route" op beide en je ziet duidelijk het goede pad.


Maar zoals hierboven al gezegd, 2x een tunnel slaat echt nergens op, het bied geen extra veiligheid, geen speciale segmentatie of andere voordelen, geen congestie oplossing want het gaat alsnog over 1 'pijp' naar buiten.

Mijn voorstel; 1 tunnel, met dus de outer config erop (source/destination) en dan een inner config erop (kleine /30 is zat, zoals 172.16.31.0) en daar over heen routeren. Dat houd het makkelijk en beheersbaar.

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

dinsdag 22 november 2016 13:21

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Barreljan bedankt.

Ik heb deze wijzigingen doorgevoerd echter loopt dan de traceroute nog steeds over de verkeerde tunnel naar de andere kant.
De configuratie is teruggedraaid.
Nu is het zoeken naar een oplossing die de gebruiker accepteert

dinsdag 22 november 2016 13:32

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Dan staan de IP's in de statische routes verkeerd (kan mijn fout zijn). Teken het even uit op een blaadje, dan vind je het vanzelf wel. Dit moet wel de manier zijn namelijk

[ Voor 6% gewijzigd door Barreljan op 22-11-2016 13:32 ]

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

dinsdag 22 november 2016 13:33

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Cable-Guy schreef op dinsdag 22 november 2016 @ 13:21:
Barreljan bedankt.

Ik heb deze wijzigingen doorgevoerd echter loopt dan de traceroute nog steeds over de verkeerde tunnel naar de andere kant.
Heb je ook gecheckt dat dat daadwerkelijk zo is of ga je blind af op traceroute zonder te weten hoe dat werkt en hoe je het moet interpreteren?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 13:35

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
CyBeR schreef op dinsdag 22 november 2016 @ 13:33:
[...]


Heb je ook gecheckt dat dat daadwerkelijk zo is of ga je blind af op traceroute zonder te weten hoe dat werkt en hoe je het moet interpreteren?
De eerste hop in traceroute vanuit de cisco (met of zonder source) is altijd het ip-adres van het verkeerde vlan op de andere cisco.

dinsdag 22 november 2016 13:36

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Barreljan schreef op dinsdag 22 november 2016 @ 13:32:
Dan staan de IP's in de statische routes verkeerd (kan mijn fout zijn). Teken het even uit op een blaadje, dan vind je het vanzelf wel. Dit moet wel de manier zijn namelijk
ik heb niet je volledige router overgenomen, aangezien sommige wel juist stonden.
Alle routes zouden goed moeten staan zoals ik het nu zie, echter hetzelfde probleem.
Wellicht is intervlan routing het probleem?

dinsdag 22 november 2016 13:40

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Cable-Guy schreef op dinsdag 22 november 2016 @ 13:35:
[...]


De eerste hop in traceroute vanuit de cisco (met of zonder source) is altijd het ip-adres van het verkeerde vlan op de andere cisco.
Ja, maar dat zegt niet heel erg veel is dus mijn punt hier. Dat is hetzelfde apparaat met meerdere interfaces, hij kan net zo goed het verkeerde source IP gebruiken bij het antwoorden. Je moet eerst controleren of het verkeer zelf door de goede tunnel gaat.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 22 november 2016 14:41

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Doe even een config (met de aanpassingen die je had doorgevoerd) en de show ip route, van beide routers, in de aangepaste situatie. Dan kunnen we met zn allen even zien hoe het staat en beter sturen op de juiste aanpassing(en)

[ Voor 6% gewijzigd door Barreljan op 22-11-2016 14:41 ]

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

dinsdag 22 november 2016 15:34

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

Barreljan schreef op dinsdag 22 november 2016 @ 12:12:
*KNIP*

Dan je routes aanpassen

router A:

ip route 10.11.1.0 255.255.255.0 172.16.31.6
ip route 10.12.1.0 255.255.255.0 172.16.31.6
ip route 10.13.1.0 255.255.255.0 172.16.31.6
ip route 10.15.1.0 255.255.255.0 172.16.31.6
ip route 10.16.1.0 255.255.255.0 172.16.31.6
ip route 10.17.1.0 255.255.255.0 172.16.31.6
ip route 10.65.150.0 255.255.255.0 172.16.31.2

ip route 10.10.1.0 255.255.255.0 172.16.31.5
ip route 10.10.250.0 255.255.255.0 172.16.31.5
ip route 10.12.1.0 255.255.255.0 172.16.31.5
ip route 10.13.1.0 255.255.255.0 172.16.31.5
ip route 10.14.1.0 255.255.255.0 172.16.31.5
ip route 10.15.1.0 255.255.255.0 172.16.31.5
ip route 10.16.1.0 255.255.255.0 172.16.31.5
ip route 10.17.1.0 255.255.255.0 172.16.31.5
ip route 10.65.156.0 255.255.255.0 172.16.31.1

Nadien even een "show ip route" op beide en je ziet duidelijk het goede pad.


Maar zoals hierboven al gezegd, 2x een tunnel slaat echt nergens op, het bied geen extra veiligheid, geen speciale segmentatie of andere voordelen, geen congestie oplossing want het gaat alsnog over 1 'pijp' naar buiten.

Mijn voorstel; 1 tunnel, met dus de outer config erop (source/destination) en dan een inner config erop (kleine /30 is zat, zoals 172.16.31.0) en daar over heen routeren. Dat houd het makkelijk en beheersbaar.
Je kan ook overwegen om je statische ip routes te supernetten:

Router A - Oorpsronkelijk:
code:
1
2
3
4
5
6
7

ip route 10.11.1.0 255.255.255.0 172.16.31.6
ip route 10.12.1.0 255.255.255.0 172.16.31.6
ip route 10.13.1.0 255.255.255.0 172.16.31.6
ip route 10.15.1.0 255.255.255.0 172.16.31.6
ip route 10.16.1.0 255.255.255.0 172.16.31.6
ip route 10.17.1.0 255.255.255.0 172.16.31.6
ip route 10.65.150.0 255.255.255.0 172.16.31.2

Router A wordt dan:
code:
1
2
3

ip route 10.8.0.0 255.248.0.0 172.16.31.6
ip route 10.16.0.0 255.254.0.0  172.16.31.6
ip route 10.65.150.0 255.255.255.0 172.16.31.2



Router B - Oorpsronkelijk:
code:
1
2
3
4
5
6
7
8
9

ip route 10.10.1.0 255.255.255.0 172.16.31.5
ip route 10.10.250.0 255.255.255.0 172.16.31.5
ip route 10.12.1.0 255.255.255.0 172.16.31.5
ip route 10.13.1.0 255.255.255.0 172.16.31.5
ip route 10.14.1.0 255.255.255.0 172.16.31.5
ip route 10.15.1.0 255.255.255.0 172.16.31.5
ip route 10.16.1.0 255.255.255.0 172.16.31.5
ip route 10.17.1.0 255.255.255.0 172.16.31.5
ip route 10.65.156.0 255.255.255.0 172.16.31.1

Router B wordt dan:
code:
1
2
3

ip route 10.8.0.0 255.248.0.0 172.16.31.5
ip route 10.16.0.0 255.254.0.0  172.16.31.5
ip route 10.65.156.0 255.255.255.0 172.16.31.1


Hint: http://www.subnet-calculator.com/cidr.php
Waarom zou je dat doen?
Omdat de routers dan veel minder CPU power nodig hebben om routes uit te wisselen...
En zo vallen al je subneten die je oorspronkelijk had om te routeren binnen de range van de supernets :)

en dan inderdaad
code:
1

sh ip route
of anders een andere vorm van CIDR gebruiken als dat kan

[ Voor 40% gewijzigd door mindwarper op 22-11-2016 15:50 . Reden: Qoute toevoegen, zodat het duidelijk si waar het een vervolg op is ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 22 november 2016 15:41

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 24-11 19:55

Barreljan

...Zoom-Zoom...

Routes uitwisselen doen ze ook niet dynamisch met fancy protocollen (bgp/ospf/etc), dus veel cpu kost het niet. Daarnaast zijn het nog < 10 routes die je stelt, dus dat valt nog mee :) In grotere omgevingen is het zeker aan te raden.

Het is enerzijds overzichtelijk, maar anderzijds ook nét weer niet door de kleine hoeveelheid.

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

dinsdag 22 november 2016 15:44

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

Barreljan schreef op dinsdag 22 november 2016 @ 15:41:
Routes uitwisselen doen ze ook niet dynamisch met fancy protocollen (bgp/ospf/etc), dus veel cpu kost het niet. Daarnaast zijn het nog < 10 routes die je stelt, dus dat valt nog mee :) In grotere omgevingen is het zeker aan te raden.

Het is enerzijds overzichtelijk, maar anderzijds ook nét weer niet door de kleine hoeveelheid.
valt mee denk ik, nu heb je over en weer maar 3 routes te verwerken..
maar je hebt ergens wel gelijk :)
CIDR - Classless Inter Domain Routing - was adopted to help ease the load imposed on internet and large network backbone routers by the increasing size of routing tables.

Large routing tables have several adverse effects:
  • Routers require more memory in order to store and manipulate their routing tables which increases operation costs.
  • Routing latency is increased due to the large amount of data contained in the routing tables.
  • Network bandwidth usage is increased by routing updates when routers exchange their routing tables.
A solution to these problems was found in CIDR. CIDR permits IP Address aggregation which in turn reduces the size of routing tables and so addresses the problems listed above.

[ Voor 98% gewijzigd door mindwarper op 22-11-2016 16:03 . Reden: extra info ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 22 november 2016 16:06

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
mag ik jullie allemaal danken voor het meedenken?
Aangezien het GRE tunnels zijn weet de andere kant niet het verschil tussen verkeer op tunnel1 en tunnel2.
De gebruiker wil graag zien dat verkeer gescheiden wordt (hoewel niet mogelijk dit klaar te krijgen met maar 1 destination).
Mijn oplossing:
gebruik maken van 1 tunnel interface en daarop 2 subnetjes.
Vervolgens deze subnetjes routeren zodat het lijkt dat deze gescheiden zijn omdat beide vlans een eigen ip-adres aan de andere kant aanspreken.

dinsdag 22 november 2016 16:18

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

Cable-Guy schreef op dinsdag 22 november 2016 @ 16:06:
mag ik jullie allemaal danken voor het meedenken?
Aangezien het GRE tunnels zijn weet de andere kant niet het verschil tussen verkeer op tunnel1 en tunnel2.
De gebruiker wil graag zien dat verkeer gescheiden wordt (hoewel niet mogelijk dit klaar te krijgen met maar 1 destination).
Mijn oplossing:
gebruik maken van 1 tunnel interface en daarop 2 subnetjes.
Vervolgens deze subnetjes routeren zodat het lijkt dat deze gescheiden zijn omdat beide vlans een eigen ip-adres aan de andere kant aanspreken.
graag gedaan meneer of mevouw ;)
ik hoop dat het nu allemaal goed werkend is gekregen... en ja ik ben best benieuwd wat de configs nu geworden zijn, wellicht in een PM als het nodig is...
maar lijkt me dat iedereen wel wil zien en leren - lol :P

Kom ik net op een idee voor mijn static routing thuis lol ;) even uitproberen straks

[ Voor 5% gewijzigd door mindwarper op 22-11-2016 16:19 ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 22 november 2016 16:31

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
Zeg maar Leon ;) (of meneer)

Hieronder de configs zoals ik gedacht had deze te maken.
Ze zijn nog niet live omdat de gebruiker op dit moment geen onderbreking wil.

Router 1
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218

!
! Last configuration change at 11:45:21 GMT Wed Nov 16 2016
! NVRAM config last updated at 11:45:21 GMT Wed Nov 16 2016
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname XXXXX-Koppelrouter-Helmond
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxx
!
no aaa new-model
clock timezone GMT 1
clock summer-time GMT date Mar 30 2002 1:00 Oct 26 2035 1:59
!
crypto pki trustpoint TP-self-signed-2907688789
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2907688789
 revocation-check none
 rsakeypair TP-self-signed-2907688789
!
!
crypto pki certificate chain TP-self-signed-2907688789
 certificate self-signed 01
  30820266 308201CF A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32393037 36383837 3839301E 170D3132 30333239 31353138 
  31365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 39303736 
  38383738 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100E273 3A425414 7E45DC9B 0B56E5AE 881301DB 3DCD494D E954726C 187F3D1C 
  1E29F9F8 46E73DBD 6DB7DE95 0FAEE6BB 5AF064B6 69B273CC E2C6A6A0 E543F2F2 
  29D04862 96E39E98 FCA0731D D2EC6B73 CC131B40 1E379521 3C65D032 EC27FE44 
  7CA92683 05542DEA 222865F1 36A87EB1 D5BC159D 850DE2BF 1CF8EA75 40B5C38C 
  5F690203 010001A3 818D3081 8A300F06 03551D13 0101FF04 05300301 01FF3037 
  0603551D 11043030 2E822C44 72696573 73656E2D 4B6F7070 656C726F 75746572 
  2D48656C 6D6F6E64 2E647269 65737365 6E2E6C6F 63616C30 1F060355 1D230418 
  30168014 8EB2F09C 1352F4BE A11123EE 4D88B51A 5D3315AD 301D0603 551D0E04 
  1604148E B2F09C13 52F4BEA1 1123EE4D 88B51A5D 3315AD30 0D06092A 864886F7 
  0D010104 05000381 81000AEA 89A8AD4D 2335F78A 4924D69D 76B2A820 1D638A60 
  9E6C1797 93494289 AB695F7D 9B8A17DF 2FDF6F07 E037CC52 4242BFAE 6B55D5C6 
  12186C2F 5E6C544B 86068EF1 007525AE EAF27EAD D77A7ABB 63945B65 3D4258BD 
  ED00581C 6705DA1C D5BC0977 79DA2D4F 49073D72 F16440C0 F9277DF3 ED3EDB90 
  797F066E BFF10B72 BEFF
    quit
dot11 syslog
no ip source-route
!
!
!
!
ip cef
no ip bootp server
ip domain name xxxxx.local
ip name-server 10.65.156.41
ip name-server 10.65.156.43
ip name-server 213.144.235.1
ip name-server 213.144.235.2
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username admin privilege 15 secret 5 xxxxx
! 
!
!
archive
 log config
  logging enable
  logging size 50
  hidekeys
 path tftp://x.x.x.x/$h
 write-memory
 time-period 43200
!
!
ip tcp synwait-time 10
ip tftp source-interface FastEthernet4
ip ssh time-out 60
ip ssh authentication-retries 2
!
policy-map custom-shaper-2048kbps-WAN
 class class-default
    shape average 1960000
!
!
!
!
interface Tunnel1
 description naar Helmond
 ip address 172.16.31.1 255.255.255.252 secondary
 ip address 192.168.1.1 255.255.255.252
 tunnel source Dialer1
 tunnel destination 80.113.12.50
!
interface FastEthernet0
!
interface FastEthernet1
 shutdown
!
interface FastEthernet2
 shutdown
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4
 description WAN
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 speed 100
 full-duplex
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable
 service-policy output custom-shaper-2048kbps-WAN
!
interface Vlan1
 description LAN
 ip address 10.65.156.9 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Vlan2
 description Voip
 ip address 10.10.1.215 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Dialer1
 mtu 1492
 bandwidth 2048
 ip address negotiated
 ip access-group 110 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username xxxxx password 7 xxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.11.1.0 255.255.255.0 172.16.31.2
ip route 10.12.1.0 255.255.255.0 10.10.1.254
ip route 10.13.1.0 255.255.255.0 10.10.1.254
ip route 10.15.1.0 255.255.255.0 10.10.1.254
ip route 10.16.1.0 255.255.255.0 10.10.1.254
ip route 10.17.1.0 255.255.255.0 10.10.1.254
ip route 10.65.150.0 255.255.255.0 192.168.1.2
no ip http server
ip http secure-server
!
!
ip nat inside source list 101 interface Dialer1 overload
!
access-list 23 remark TTY Security
access-list 23 permit 91.189.228.192 0.0.0.3
access-list 23 permit 10.10.250.0 0.0.0.255
access-list 23 permit 10.65.150.0 0.0.0.255
access-list 23 permit 46.44.185.0 0.0.0.63
access-list 23 permit 5.57.251.96 0.0.0.15
access-list 101 remark nat
access-list 101 permit ip host 10.65.156.9 any
access-list 101 permit ip host 10.10.1.215 any
access-list 101 deny   ip any any
access-list 110 permit icmp 5.57.251.96 0.0.0.15 any echo
access-list 110 deny   icmp any any echo
access-list 110 deny   udp any any eq domain
access-list 110 permit ip any any
!
!
!
!
snmp-server community public RO 23
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp server 213.144.235.1 prefer
end


Router 2
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221

!
! No configuration change since last restart
! NVRAM config last updated at 12:07:35 GMT Wed Nov 16 2016 by admin
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname XXXX-Helmond
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxx
!
no aaa new-model
clock timezone GMT 1
clock summer-time GMT date Mar 30 2002 1:00 Oct 26 2035 1:59
!
crypto pki trustpoint TP-self-signed-2888807145
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2888807145
 revocation-check none
 rsakeypair TP-self-signed-2888807145
!
!
crypto pki certificate chain TP-self-signed-2888807145
 certificate self-signed 01
  30820257 308201C0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32383838 38303731 3435301E 170D3032 30333031 30313431 
  35395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38383838 
  30373134 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100BDC8 A8E84BDB 9A8C3B9B 303EA951 8E2BF0CA F7C12519 2FC174D4 51148084 
  2C820084 8418EBA3 F7E1F9F7 958B06A3 3F2B5D18 411C943E 53E72132 7C5A6002 
  2852F1CA 5A6A7335 2AF43C16 FE5EAB97 82854FEF 4E9D1389 25F906E0 0C02755B 
  A6ADFD88 EA5FCAA0 660F1620 5FE60929 B4BC1EAF 92039799 5BB367B6 E6616B1B 
  DAA10203 010001A3 7F307D30 0F060355 1D130101 FF040530 030101FF 302A0603 
  551D1104 23302182 1F447269 65737365 6E2D4865 6C6D6F6E 642E6472 69657373 
  656E2E6C 6F63616C 301F0603 551D2304 18301680 14F97792 B7476907 2B1073E7 
  BED886EC 364105A3 C5301D06 03551D0E 04160414 F97792B7 4769072B 1073E7BE 
  D886EC36 4105A3C5 300D0609 2A864886 F70D0101 04050003 8181008C 295A1AB9 
  85FCF8FE 188A662E F632D4FF 0C363F7E ED3D27E9 B66D8117 F90AD8FA F3F25F27 
  E57752CE 34DF94D5 F4FF9A20 029353A2 7464F406 BFA8F2D8 C93D8120 61856915 
  59A5FFDA 30E397FB 509ACCF3 53B59EB5 DFA263A1 0B70FC34 1DD228F6 57F5B69E 
  87EDB669 8499269E 890B2E40 1B96DE0A 9FB23F0F 4D3EE356 4034DB
    quit
dot11 syslog
no ip source-route
!
!
ip dhcp excluded-address 10.11.1.1 10.11.1.50
!
!
ip cef
no ip bootp server
ip domain name xxxxx.local
ip name-server 213.160.212.3
ip name-server 213.160.223.35
ip name-server 10.65.156.41
ip name-server 10.65.156.43
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
username xxxxx privilege 15 secret 5 xxxxx
username xxxxx privilege 15 secret 5 xxxxx
! 
!
!
archive
 log config
  logging enable
  logging size 50
  hidekeys
 path tftp://x.x.x.x/$h
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface Tunnel1
 description naar Eindhoven
 ip address 172.16.31.2 255.255.255.252 secondary
 ip address 192.168.1.2 255.255.255.252
 tunnel source FastEthernet4
 tunnel destination 37.0.81.110
!
interface FastEthernet0
!
interface FastEthernet1
 shutdown
!
interface FastEthernet2
 shutdown
!
interface FastEthernet3
 switchport access vlan 2
!
interface FastEthernet4
 description WAN
 ip address 80.113.12.50 255.255.255.248
 ip access-group 110 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly max-reassemblies 64
 speed 10
 full-duplex
 no cdp enable
!
interface Vlan1
 description LAN
 ip address 10.65.150.254 255.255.255.0 secondary
 ip address 10.65.150.80 255.255.255.0
 ip helper-address 10.65.156.43
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
interface Vlan2
 description Voip
 ip address 10.11.1.254 255.255.255.0
 ip helper-address 10.10.1.1
 ip helper-address 10.65.156.12
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
 no autostate
!
ip local pool defaultpool 10.65.150.240 10.65.150.250
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 80.113.12.49
ip route 10.10.1.0 255.255.255.0 172.16.31.1
ip route 10.10.250.0 255.255.255.0 172.16.31.1
ip route 10.12.1.0 255.255.255.0 172.16.31.1
ip route 10.13.1.0 255.255.255.0 172.16.31.1
ip route 10.14.1.0 255.255.255.0 172.16.31.1
ip route 10.15.1.0 255.255.255.0 172.16.31.1
ip route 10.16.1.0 255.255.255.0 172.16.31.1
ip route 10.17.1.0 255.255.255.0 172.16.31.1
ip route 10.65.156.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
ip nat inside source static tcp 10.65.150.115 80 interface FastEthernet4 80
ip nat inside source static tcp 10.65.150.115 9010 interface FastEthernet4 9010
ip nat inside source static tcp 10.65.150.115 9011 interface FastEthernet4 9011
ip nat inside source static udp 10.65.150.115 9010 interface FastEthernet4 9010
ip nat inside source static udp 10.65.150.115 9011 interface FastEthernet4 9011
!
access-list 23 remark TTY Security
access-list 23 permit 91.189.228.192 0.0.0.3
access-list 23 permit 10.10.250.0 0.0.0.255
access-list 23 permit 10.65.150.0 0.0.0.255
access-list 23 permit 46.44.185.0 0.0.0.63
access-list 23 permit 5.57.251.96 0.0.0.15
access-list 101 remark NAT
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.12.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.15.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.12.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.15.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 permit ip 10.65.150.0 0.0.0.255 any
access-list 101 permit ip 10.11.1.0 0.0.0.255 any
access-list 101 deny   ip any any
access-list 110 remark ACL Firewall Incomming
access-list 110 permit icmp 91.189.228.192 0.0.0.3 any echo
access-list 110 permit icmp 5.57.251.96 0.0.0.15 any echo
access-list 110 deny   icmp any any echo
access-list 110 deny   udp any any eq domain
access-list 110 permit ip any any
!
!
!
!
snmp-server community public RO 23
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp server 213.144.235.1 prefer
end

dinsdag 22 november 2016 16:46

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

voor router B evntueel supernetting doen voor de static routes
en ook voor de ACL list kan je dat ook toepassen :)

ik zal later vandaag of later deze week je configs even aanpassen, OK?
dan is er minder overhead voor de routers in kwestie want routes en ACLs verwerken leveren overhead en extra memory usage op...

[ Voor 81% gewijzigd door mindwarper op 22-11-2016 16:50 . Reden: info ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

dinsdag 22 november 2016 16:50

Acties:
  • Arunok
  • Registratie: November 2016
  • Laatst online: 05-10 13:05

Arunok

Topicstarter
volgens mij staan beide 871 uit hun neus te eten, zo zwaar zijn de configs niet maar toch bedankt

dinsdag 22 november 2016 16:57

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

on 2nd thought gaat dat niet zomaar 1-2-3 op... ik zie dat 10.11.1.0/24 gebruikt wordt en in supernetting met 10.0.0.0 /12 gaat dat niet zo makkelijk of anders met 10.8.0.0 /13 ook niet

maar ik ga kijken wat ik kan doen eventueel

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

woensdag 23 november 2016 09:10

Acties:
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 20-11 17:51

mindwarper

mindwarper schreef op dinsdag 22 november 2016 @ 16:57:
on 2nd thought gaat dat niet zomaar 1-2-3 op... ik zie dat 10.11.1.0/24 gebruikt wordt en in supernetting met 10.0.0.0 /12 gaat dat niet zo makkelijk of anders met 10.8.0.0 /13 ook niet

maar ik ga kijken wat ik kan doen eventueel
Ik heb nu het e.e.a. aangepast in je to be configs voor beide routers.
Heb wat logging parameters uitgebreid en de juiste timezone en winter- & zomertijd goed gezet ;)

Kijk hier in code snippets ;) Overigens heb ik in ACL 101 deze weggelaten:
code:
1

deny ip any any

Omdat er in een ACL altijd een implicit deny is ;)
Maar je mag hem altijd zetten als je dat nog wenst hoor ;)

Success ermee!
Laat ons weten wat uitkomst is...


Router 1:
code:
1
2
3
4

service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
clock timezone NL 1
clock summer-time NL recurring last Sun Mar 2:00 last Sun Oct 3:00

code:
1
2
3

access-list 101 remark NAT - RTR 1
access-list 101 permit ip host 10.65.156.9 any
access-list 101 permit ip host 10.10.1.215 any

code:
1
2
3
4
5

ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.11.1.0 255.255.255.0 172.16.31.2
ip route 10.12.0.0 255.252.0.0 10.10.1.254
ip route 10.16.0.0 255.254.0.0 10.10.1.254
ip route 10.65.150.0 255.255.255.0 192.168.1.2



Router 2:
code:
1
2
3
4

service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
clock timezone NL 1
clock summer-time NL recurring last Sun Mar 2:00 last Sun Oct 3:00

code:
1
2
3
4
5
6
7
8
9
10
11

access-list 101 remark NAT - RTR 2
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.12.0.0 0.3.255.255
access-list 101 deny   ip 10.65.150.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.65.156.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.12.0.0 0.3.255.255
access-list 101 deny   ip 10.11.1.0 0.0.0.255 10.16.1.0 0.0.0.255
access-list 101 permit ip 10.65.150.0 0.0.0.255 any
access-list 101 permit ip 10.11.1.0 0.0.0.255 any

code:
1
2
3
4
5

ip route 0.0.0.0 0.0.0.0 80.113.12.49
ip route 10.10.0.0 255.255.0.0 172.16.31.1
ip route 10.12.0.0 255.252.0.0 172.16.31.1
ip route 10.16.0.0 255.254.0.0 172.16.31.1
ip route 10.65.156.0 255.255.255.0 192.168.1.1

[ Voor 15% gewijzigd door mindwarper op 23-11-2016 11:27 . Reden: layout fixes & extra config (o.a. zomer-/wintertijd) ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq