× Fragen zu alternativen Routern, die an A1-Anschlüssen betrieben werden sollen, außerhalb der Speedtouch/Thomson/Technicolor/Pirelli/ADB - Welt!

sticky Frage Cisco 837 an AON ADSL - DynDNS


  • thomasbrandner
  • thomasbrandners Avatar Autor
  • Offline
  • Junior Boarder
  • Junior Boarder
Mehr
04 Nov 2011 14:55 #34609 von thomasbrandner
thomasbrandner antwortete auf Cisco 837 an AON ADSL - DynDNS
Hallo zid!

Ich habe jetzt mal manuell einen "clear interface Dialer 1" angekickt - der DNS Eintrag bei DynDNS wurde erfolgreich aktualisiert.

Wir werden ja sehen, was über Nacht (3:00) geschieht :-)

Vorerst mal vielen Dank für Deine Untestützung!
Thomas

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • thomasbrandner
  • thomasbrandners Avatar Autor
  • Offline
  • Junior Boarder
  • Junior Boarder
Mehr
07 Nov 2011 09:13 #34744 von thomasbrandner
thomasbrandner antwortete auf Cisco 837 an AON ADSL - DynDNS
Hurra!

Jetzt (7.11.2011 10:12) ist mein Router permanent (alle 10 min abgefragt) unter meiner DynDNS Adresse seit 4.11.2011 20:48 ohne Unterbrechung erreichbar - und das obwohl sich die IP Adresse geändert hat !!!

ich werd diese Woche die Konfig von pers. Daten befreien und kommentieren - dann kommt sie da herein. Mein Router macht jetzt:

- ADSL Internetzugang der Telekom AT
- Kleine Stateful Inspection Firewall
- DMZ (noch nicht in Verwendung)
- DHCP für's LAN mit MAC-Reservierung und bestimmter Client-Range
- NTP Sync mit öffentlichen Time Server und lokaler NTP Server für's LAN.
- Autom. Sommerzeitumschaltung
- DNS Server für's LAN
- DynDNS

für die Zukunft ist geplant: VoIP Anbindung mittels Astrix - daher auch die DMZ :-)


Vielen Dank für den Beistand!
Thomas

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
09 Nov 2011 13:20 #34805 von zid
zid antwortete auf Cisco 837 an AON ADSL - DynDNS
hallo thomas,

danke für die rückmeldung, und freut uns das es funkt. :) eh mim kron, oder?
die sache mit dem ddns-client ist ziemlich mysteriös. anscheinend wird der ppp-link bei dem sog. "disconnect" nicht komplett abgebaut, sondern nur eine neue ip zugewiesen, und dann "springt" der ddns-client nicht "an".
der riddik war so nett und hat mir einen c877er (sw. c870-advsecurityk9-mz.124-15.T13.bin) an seine ta-leitung gehängt (c837er hamma leider nicht mehr), und da funkt das ddns-update auch nicht, außer man macht halt "clear..." oder "shut/no shut". ich hab jetzt mal das ppp und ddns debugging aktiviert, und jetzt müssen wir warten. und das kann auf riddiks leitung durchaus dauern, weil die so grenzwertig ist, daß der cisc öfters die sync verliert (das letzte mal grad heute um 13h), und dann brauchts wieder 24h...

lg
zid

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
12 Nov 2011 13:37 #35048 von zid
zid antwortete auf Cisco 837 an AON ADSL - DynDNS
nur um das thema abzuschließen...

hallo thomas,

riddik hat seinen 877er jetzt doch "überreden" können, nicht dauernd die sync zu verlieren, und so konnten wir den disconnect und das update tracen.
was soll ich sagen? jetzt rennt das zeugs "auf einmal" so sauber durch wie im lehrbuch. und nein, wir haben weder konfigänderungen noch "relo" etc. durchgeführt.
der ppp-link wird von der ta auf lcp-ebene sauber getrennt, und der rest läuft butterweich ab:
Nov 11 18:16:39.543: Vi2 LCP: I TERMREQ [Open] id 93 len 4
Nov 11 18:16:39.543: Vi2 LCP: O TERMACK [Open] id 93 len 4
Nov 11 18:16:39.543: Vi2 PPP: Sending Acct Event[Down] id[1D]
Nov 11 18:16:39.543: Vi2 IPCP: State is Closed
Nov 11 18:16:39.543: Vi2 IPCP: Remove link info for cef entry 80.123.23.254
Nov 11 18:16:39.547: Vi2 PPP: Phase is TERMINATING
Nov 11 18:16:39.555: Di1 IPCP: Remove route to 80.123.23.254
Nov 11 18:16:39.555: DYNDNSUPD: Removing DNS mapping for xxx.doesntexist.org <=> 80.123.18.81
Nov 11 18:16:39.555: HTTPDNS: Update remove called for xxx.doesntexist.org <=> 80.123.18.81
Nov 11 18:16:40.543: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to down
Nov 11 18:16:40.543: DYNUPD: SWIF goingdown 'Virtual-Access2'
Nov 11 18:16:41.547: Vi2 LCP: Timeout: State TERMsent
Nov 11 18:16:41.547: Vi2 LCP: State is Closed
Nov 11 18:16:41.547: Vi2 PPP: Phase is DOWN
Nov 11 18:16:41.547: Vi2 PPP: Phase is ESTABLISHING, Passive Open
Nov 11 18:16:41.547: Vi2 LCP: State is Listen
Nov 11 18:16:43.564: Vi2 LCP: Timeout: State Listen
Nov 11 18:16:43.564: Vi2 PPP: No remote authentication for call-out
Nov 11 18:16:43.564: Vi2 LCP: O CONFREQ [Listen] id 20 len 10
Nov 11 18:16:43.564: Vi2 LCP:    MagicNumber 0x2EF1F4CB (0x05062EF1F4CB)
Nov 11 18:16:43.632: Vi2 LCP: I CONFREQ [REQsent] id 203 len 19
Nov 11 18:16:43.632: Vi2 LCP:    MRU 1500 (0x010405DC)
Nov 11 18:16:43.632: Vi2 LCP:    AuthProto CHAP (0x0305C22305)
Nov 11 18:16:43.636: Vi2 LCP:    MagicNumber 0x05876CDD (0x050605876CDD)
Nov 11 18:16:43.636: Vi2 LCP: O CONFACK [REQsent] id 203 len 19
Nov 11 18:16:43.636: Vi2 LCP:    MRU 1500 (0x010405DC)
Nov 11 18:16:43.636: Vi2 LCP:    AuthProto CHAP (0x0305C22305)
Nov 11 18:16:43.636: Vi2 LCP:    MagicNumber 0x05876CDD (0x050605876CDD)
Nov 11 18:16:43.636: Vi2 LCP: I CONFACK [ACKsent] id 20 len 10
Nov 11 18:16:43.636: Vi2 LCP:    MagicNumber 0x2EF1F4CB (0x05062EF1F4CB)
Nov 11 18:16:43.636: Vi2 LCP: State is Open
Nov 11 18:16:43.636: Vi2 PPP: Phase is AUTHENTICATING, by the peer
Nov 11 18:16:43.644: Vi2 CHAP: I CHALLENGE id 1 len 24 from "K-KM-PE1413"
Nov 11 18:16:43.648: Vi2 CHAP: Using hostname from interface CHAP
Nov 11 18:16:43.648: Vi2 CHAP: Using password from interface CHAP
Nov 11 18:16:43.648: Vi2 CHAP: O RESPONSE id 1 len 31 from "yyyyyyyyyy"
Nov 11 18:16:43.844: Vi2 CHAP: I SUCCESS id 1 len 31 msg is "CHAP authentication success"
Nov 11 18:16:43.844: Vi2 PPP: Phase is FORWARDING, Attempting Forward
Nov 11 18:16:43.844: Vi2 PPP: Queue IPCP code[1] id[104]
Nov 11 18:16:43.848: Vi2 PPP: Phase is ESTABLISHING, Finish LCP
Nov 11 18:16:43.848: Vi2 PPP: Phase is UP
Nov 11 18:16:43.848: Vi2 IPCP: O CONFREQ [Closed] id 1 len 10
Nov 11 18:16:43.848: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
Nov 11 18:16:43.848: Vi2 PPP: Process pending ncp packets
Nov 11 18:16:43.848: Vi2 IPCP: Redirect packet to Vi2
Nov 11 18:16:43.848: Vi2 IPCP: I CONFREQ [REQsent] id 104 len 10
Nov 11 18:16:43.848: Vi2 IPCP:    Address 80.123.23.254 (0x0306507B17FE)
Nov 11 18:16:43.848: Vi2 IPCP: O CONFACK [REQsent] id 104 len 10
Nov 11 18:16:43.848: Vi2 IPCP:    Address 80.123.23.254 (0x0306507B17FE)
Nov 11 18:16:43.856: Vi2 IPCP: I CONFNAK [ACKsent] id 1 len 10
Nov 11 18:16:43.856: Vi2 IPCP:    Address 80.121.114.168 (0x0306507972A8)
Nov 11 18:16:43.856: Vi2 IPCP: O CONFREQ [ACKsent] id 2 len 10
Nov 11 18:16:43.856: Vi2 IPCP:    Address 80.121.114.168 (0x0306507972A8)
Nov 11 18:16:43.868: Vi2 IPCP: I CONFACK [ACKsent] id 2 len 10
Nov 11 18:16:43.868: Vi2 IPCP:    Address 80.121.114.168 (0x0306507972A8)
Nov 11 18:16:43.868: Vi2 IPCP: State is Open
Nov 11 18:16:43.868: Di1 IPCP: Install negotiated IP interface address 80.121.114.168
Nov 11 18:16:44.848: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
Nov 11 18:16:44.848: DYNUPD: SWIF comingup 'Virtual-Access2'
Nov 11 18:16:44.872: Di1 IPCP: Install route to 80.123.23.254
Nov 11 18:16:44.872: Vi2 IPCP: Add link info for cef entry 80.123.23.254
Nov 11 18:16:47.796: DYNDNSUPD: Adding DNS mapping for xxx.doesntexist.org <=> 80.121.114.168
Nov 11 18:16:47.796: HTTPDNS: Update add called for xxx.doesntexist.org <=> 80.121.114.168
Nov 11 18:16:47.796: HTTPDNSUPD: Session ID = 0x7
Nov 11 18:16:47.796: HTTPDNSUPD: URL = 'http://xxx:xxx@members.dyndns.org/nic/update?system=dyndns&hostname=xxx.doesntexist.org&myip=80.121.114.168
'
Nov 11 18:16:47.796: HTTPDNSUPD: Sending request
Nov 11 18:16:48.064: HTTPDNSUPD: Response for update xxx.doesntexist.org <=> 80.121.114.168

Nov 11 18:16:48.064: HTTPDNSUPD: DATA START good 80.121.114.168
Nov 11 18:16:48.064: HTTPDNSUPD: DATA END, Status is Response data recieved, successfully
Nov 11 18:16:48.064: HTTPDNSUPD: Call returned SUCCESS for update xxx.doesntexist.org <=> 80.121.114.168
Nov 11 18:16:48.064: DYNDNSUPD: Another update completed (outstanding=0, total=0)
Nov 11 18:16:48.064: HTTPDNSUPD: Clearing all session 7 info
ingesamt stehen wir vor einem rätsel...


riddik,

thx. fürs reinschalten des 877er. wir könnten uns jetzt noch das update via https anschauen. dazu müßten wir nur das equifax zertifikat von dyndns.org als trustpoint setzen und authentifizieren. ich glaub zwar nicht, daß es damit zoff geben wird, aber nachschauen ist allemal besser als "glauben". das ganze ist sowieso rätselhaft bis zum geht-nicht-mehr.

lg
zid

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • thomasbrandner
  • thomasbrandners Avatar Autor
  • Offline
  • Junior Boarder
  • Junior Boarder
Mehr
14 Nov 2011 08:59 #35140 von thomasbrandner
thomasbrandner antwortete auf Cisco 837 an AON ADSL - DynDNS
Hallo zid!

Interessant. Jetzt kommt dann gleich meine Konfig herein - vielleicht kann riddik ja drüersehen (oder seine hereinstellen :-)).

Thomas

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • thomasbrandner
  • thomasbrandners Avatar Autor
  • Offline
  • Junior Boarder
  • Junior Boarder
Mehr
14 Nov 2011 09:01 - 14 Nov 2011 09:09 #35141 von thomasbrandner
thomasbrandner antwortete auf Cisco 837 an AON ADSL - DynDNS
Wie versprochen sende ich hiermit meine aktuelle Konfiguration. Ich habe mir erlaubt, die meisten relevanten Abschnitte zu dokumentieren.
Mein Router ist jetzt seit ca. 1 Woche über den DynDNS erreichbar - einmal hatten wir einen Tag einen Aussetzer, da scheint die Telekom um ca. 7:00 administrative Arbeiten durchgeführt zu haben. Da der Router (bis jetzt) den Wechsel der IP Adresse nicht mitbekommt, war er erst am nächsten Tag um 3:00 (Reset-Job) wieder unter seinem Namen erreichbar.

So, nun nachfolgend die Konfiguration mit Kommentar - am Ende gibt es die ganze Konfiguration zum Runterladen in einem Block.


Ich brauche keine Passwortverschlüsselung, da der Router sich zuhause befindet und daher sowieso nur ich Zugriff auf das Gerät habe. :-)
no service password-encryption

Mein Router nennte sich lapidar wie folgt
hostname Internetrouter

Das Passwort für den privilegierten Zugriff auf die Konfiguration. Dieses Passswort benötigt man, um Änderungen an der Konfiguration
durchführen zu können.
enable password <PPPPPPPPPP>

Mit diesen Benutzerdaten kann man sich am Router anmelden.
username <UUUUUUUUU> password 0 <PPPPPPPPPP>

Wir leben in der Zeitzone GMT +1. Dies teilen wir hier dem Router mit. Die zweite Zeile teilt dem Router mit, wann die Sommerzeit beginnt und wann sie endet.
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

Mein lokales Netzwerk hat die Adresse 192.168.1.0/24. Ich habe dieses Netzwerk folgendermassen aufgeteilt:
Client: 192.168.1.100 - 192.168.1.254
Router: 192.168.1.1 - 192.168.1.9
Server: 192.168.1.20 - 192.168.1.29
Drucker: 192.168.1.30 - 192.168.1.39

Zu Beginn exkludieren wir den Bereich, der für die Clients nicht zur Verfügung stehen soll (192.168.1.1 - 192.168.1.99).
Danach definieren wir den DHCP Pool für das gesamte Netzwerk.
- network: Die Adresse des Netzwerkes
- dns-server: Die DNS Server, die die Clients verwenden sollen. An erster Stelle steht der Router selber, er stellt auch das Service DNS zur Verfügung.
- default-router: Die Adresse des Gateways, der in das Internet rauszeigt. In diesem Fall auch der Router selber.
- domain-name: Der Domain Name der lokalen Domain, um die Namensauflösung der Clients zu ermöglichen.
- option 42: Diese DHCP Option teilt den Clients die Adresse eines NTP Servers mit. Auch hier der Router selber, er ist auch NTP Server für die Clients.
- netbios-node-type: Um die Namensauflösung mittels Netbios zu ermöglichen dient dieser Eintrag. ich glaube nicht, dass dieser noch relevant ist, er stammt noch aus meiner netzwerklastigen Vergangenheit (best practice).

Dach der Definition des DHCP Pools für das Netzwerk kommen die Adressreservierung für "statisch" vergebene Adressen. Bei mir sind das die Drucker, die über das Netzwerk erreichber sein sollen. Da ich zu faul bin, die Drucker direkt am Panel zu konfigurieren, habe ich dies mittels Reservierungen gemacht.
Überdies, bei den DHCP Pools gibt es Vererbung. Daher bekommen die Drucker alle Einstellungen aus dem Pool für das Netzwerk - ausser diese, die natürlich gerätespezifisch definiert wurden. Dies vereinfach sehr die Verwaltung, da Einstellungen die DNS Server, Default-Gateway, ... nur an einer Stelle getätigt werden. müssen.
- host: Die IP Adresse, die der Drucker fix bekommen soll.
- client-identifier: Das ist die MAC Adresse des Router mit einem vorangestellten "01". Diese "01" muss angegeben werden - es gibt sicher Spezialisten, die wissen, warum :-)
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool MyNetwork
   network 192.168.1.0 255.255.255.0
   dns-server 192.168.1.1 213.33.98.136 195.3.96.67 
   default-router 192.168.1.1 
   domain-name domain.local
   option 42 ip 192.168.1.1 
   netbios-node-type m-node
!
ip dhcp pool Laser
   host 192.168.1.30 255.255.255.0
   client-identifier 0100.206b.ca4f.98
!
ip dhcp pool Multi1
   host 192.168.1.31 255.255.255.0
   client-identifier 01c0.cb38.29a0.6b
!
ip dhcp pool Multi2
   host 192.168.1.32 255.255.255.0
   client-identifier 0100.1ba9.7c93.14

Jetzt kommen wir zu den DNS Einstellungen. Wie bereist gesagt, die lokale Domain nennt sich "domain.local" (Überdies: Sämtliche interne Hostnamen und IP-Adressen sind abgeändert. Tatsächlich verwende ich andere Einstellungen *gg*). Danach sind die statischen DNS Namen der einzelnen Hosts definiert. Interessant vielleicht folgende Einträge:
members.dyndns.org: Da ich mir nicht sicher bin, wann genau die Adresse für den dynDNS Update benötigt wird (vielleicht bereits bei beginn des Updates, also wenn das Dialer Interface noch down ist?), habe ich diese statisch hier eingetragen.
ns.domain.local: Der Router arbeitet auch als DNS Server, daher der ns-Eintrag für diese Domain.
Zum Schluß noch die Adresse der DNS Server, die der Router verwendet, um externe Adressen aufzulösen.
ip domain name domain.local
ip host multi2.domain.local 192.168.1.32
ip host wireless.domain.local 192.168.1.2
ip host storage.domain.local 192.168.1.20
ip host members.dyndns.org 204.13.248.112
ip host multi1.domain.local 192.168.1.31
ip host gateway.domain.local 192.168.1.1
ip host laser.domain.local 192.168.1.30
ip host ns.domain.local 192.168.1.1
ip name-server 195.3.96.67
ip name-server 213.33.98.136

Für den Zugang auf das CLI des Routers habe ich SSH aktiviert - vielleicht ein bißchen paranoid ...
ip ssh time-out 60
ip ssh authentication-retries 2

Jetzt kommt das dynDNS, das mir einige graue Haare gekostet hat. ich verwende den Dienst von www.dyndns.org . Verwendet wird HTTP als Updateprotokoll. Hierfür muss dem Router eine URL bekanntgegeben werden. Vorsicht: das "?" kann nicht so einfach in das CLI eingetippt werden, ansonsten wird es als angeforderte Hilfe interpretiert. Ein vorangegangens Ctrl+V löst das Problem (also: zuerst "Ctrl+V" und dann "?")
ip ddns update method MyDynDNS
 HTTP
  add http://<UUUUUUUUU>:<PPPPPPPPPP>@members.dyndns.org/nic/update?system=dyndns&hostname=<HHHHHHH>.dyndns.biz&myip=
 interval maximum 1 0 0 0
!

FTP brauch ich am Router nicht - weg damit
no ftp-server write-enable

Jetzt kommen wir zu den Interfaces. Ethernet0 ist bridged auf die Anschlüsse FA1 - FA3, der Anschluss FA4 ist mit Ethernet2 verbunden. Dieser Anschluss wird zukünftig für die DMZ verwendet (DMZ: eine eigene Sicherheitszone für Hosts, die auch von "draussen" ereichbar sein müssen). Bei beiden Interfaces wir der einkommende Datenverkehr für die Weiterleitung in das Internet geNATtet (ip nat inside).
interface Ethernet0
 description Local LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out
!
interface Ethernet2
 description DMZ
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out

Das ATM0 Interface verbindet den Router mit der Splitter-Box der Telekom. ich bin nicht so firm mit ATM-Konfiguraton, daher habe ich diese aus dem Internet abgefragt. Das Einzige das ich beitragen kann, ist der pvc Wert "8/48". Diesen habe ich von der Konfiguration des Routers der Telekom abgeschrieben.
Wichtig ist auch die Verlinkung des ATM0.1 Interfaces mit einem Dialer-Pool. Somit weiß der Router, welche Einwahlfunktion er für die Verbindung verwenden soll.
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 0/16 ilmi
 !
!
interface ATM0.1 point-to-point
 pvc 8/48 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !

Die physikalischen Anschlüsse des Routers. Wie bereist beschrieben, sind diese den virtuellen Interfaces Ethernet0 und Ethernet2 zugeordnet.
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto

Jetzt wird es wieder spannend - das Dialer Interface, das sich bei der Telekom in das Internet einwählt. Auf die für mich relevanten Einträge möchte ich näher eingehen:
- ip ddns update hostname: Hier kommt anstatt der "<HHHHHH>" natürlich der Hostname rein, den man bei dynDNS registriert hat.
- ip ddns update MyDynDNS host: "MyDnyDNS" verweist auf die Methode, die ich für das Update verwende. Auf "host" folgt der Name des öffentlichen dynDNS Hosts (die ich im DNS Bereich statisch definiert habe).
- ip access-group INBOUND in: Verweist auf eine ACL (Access Control List), die beschreibt, welcher Traffic von "draussen" herein darf.
- ip access-group OUTBOUND out: Und diese ACL berschreibt den erlaubten ausgehenden Traffic (bei mir alles *gg*).
- ip mtu 1492: Die Max. größe eines Datenpaketes. Diese hängt von der verwendeten Technologie des Internetzuganges ab.
- ip nat outside: Der ausgehende Traffic muss geNATtet werden (NAT: Network Address Translation). Hierbei bekommt jedes ausgehende Datenpaket als Absender Adresse die Adresse des Routers. Der Router selber merkt sich die Pakete in einer Liste, damit er die eingehenden Antwortpakete dem jeweiligen Client weiterleiten kann.
- encapsulation ppp: Das Interface verwendet PPP (Point-to-Point Protocol) für die Einwahl in das Internet.
- dialer pool 1: Dieser Interface ist dem Dialer-Pool 1 zugewiesen.
- ppp authentication chap callin: Das Protokoll CHAP wird für die CallIn Authentication verwendet.
- ppp chap hostname: Die Teilnehmerkenung bei der Telekom
- ppp chap password: das Passwort bei der Telekom (die führende Null beschreibt, dass das Passwort unverschlüsselt in der Konfiguration gespeichert wird.
interface Dialer1
 description Internet
 ip ddns update hostname <HHHHHHHH>.dyndns.biz
 ip ddns update MyDynDNS host members.dyndns.org
 ip address negotiated
 ip access-group INBOUND in
 ip access-group OUTBOUND out
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 ip tcp adjust-mss 1452
 dialer pool 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname <UUUUUUUUU>
 ppp chap password 0 <PPPPPPPPP>

Jeder Traffic zu externen netzen wird an das Dialer1 Interface weitergereicht - die Default Route
ip route 0.0.0.0 0.0.0.0 Dialer1

Ich verwende kein HTTP für die Konfiguration der Routers sondern CLI, daher abgeschaltet.
no ip http server
no ip http secure-server

Der Router arbeitet als DNS Server. Daher gibt es auch diesbezüglich ein paar Eintragungen
ip dns server
ip dns primary domain.local soa ns.domain.local admin.domain.local 21600 900 7776000 86400

Einkommender Datenverkehr muß für das NAT in einer List vorgemerkt werden. Zusätzlich muss dem Router bekannt gemacht werden, auf welche Adresse er NATten soll - in diesem Fall das Dialer1 Interface
ip nat inside source list NAT-NETWORKS interface Dialer1 overload

Nur folgende Netze werden genNATtet. Bei mir das lokale LAN und die DMZ
ip access-list standard NAT-NETWORKS
 permit 192.168.1.0 0.0.0.255
 permit 192.168.0.0 0.0.0.255

Diese ACL wird für den Zugriff auf dasd CLI verwendet. Ich erlaube den SSH Zugang nur aus den internen Netzen.
ip access-list standard VTY-ACCESS
 permit 192.168.1.0 0.0.0.255
 permit 192.168.0.0 0.0.0.255

Was von "draussen" herein darf, beschreibt diese ACL. Auch hier möchte ich auf die einzelnen Einträge näher eingehen:
- evaluate MyNetworks: In der "OUTBOUND"-ACL ist beschrieben, dass ausgehender Datenverkehr in einer Liste intern gespeichert werden soll. Evaluate prüft diese Liste, ob die einkommenden Datenpakte auch tatsächlich Antworten auf die gesendten Anfragen sind (Stateful Inspection).
- permit udp ...... eq domain any: Der Router selber sendet auch DNS Anfragen raus, wird aber nicht geNATtet. Daher würden die Antworten von "evaluate" geblockt werden. Wir wollen aber Antworten erhalten und erlauben hiermit den DNS Servern der Telekom, diese auch zuzustellen können .
- permit udp ...... eq ntp any: Wie DNS, nur für NTP. Auch hier darf nur genau dieser eine Host antworten senden.
- permit tcp ...... eq www any: Wie bei DNS und NTP, nur für die Antworten von dynDNS
- permit icmp ..... any: Dieser host darf den Router pingen (wird alle 10 min durchgeführt - von einem Monitoring System)
ip access-list extended INBOUND
 evaluate MyNetworks 
 permit udp host 195.3.96.67 eq domain any
 permit udp host 213.33.98.136 eq domain any
 permit udp host 80.83.126.67 eq ntp any
 permit tcp host 204.13.248.112 eq www any
 permit icmp host 1.2.3.4 any

In dieser ACL wird jedem Traffic erlaubt, hinauszugehen. Dieser Traffic wird für das "evaluate" in der "INBOUND"-ACL protokolliert.
ip access-list extended OUTBOUND
 permit ip any any reflect MyNetworks

Das leidige Problem mit der Aktualisierung des dynDNS Eintrages habe ich mit einem geplanten Job (jeden Tag 3:00) "gelöst". Meine Lease bei der Telekom läuft 24 Stunden, somit sollte nach erfolgtem Reset des Interfaces die Adresse für den ganzen Tag gültig sein (Sofern die Telekom nicht tagsüber herumbastelt). Der erste Teil dieser Konfiguration beschreibt die Zeitplanung, der zweite Teil das Script, das ablaufen soll (hier: cli clear interface ...) - habe ich schon geschrieben, dass ich allein für diese Möglichkeit meinen Cisco Router liebe? *ggg*
kron occurrence DailyReset at 3:00 recurring
 policy-list ResetDialer
!
kron policy-list ResetDialer
 cli clear interface Dialer 1

Wie bereits bei den ACL's oben beschrieben, kann ich meinen Router nur über das lokale Netz administrieren. Hierfür muss die line vty angepasst werden. Auch ist nur SSH erlaubt.
line vty 0 4
 access-class VTY-ACCESS in
 login local
 transport preferred none
 transport input ssh
 transport output none

Last but not least, der Router verwendet NTP, sowohl als Client für sich selber (ntp server ...), als auch als Server für die Netzwerkclients (ntp master)
ntp clock-period 17180193
ntp master
ntp server 80.83.126.67
end

Das ist so meine Konfiguration, die ich mit anderen natürlich teilen möchte. falls jemand die komplette Konfiguration haben will - sie ist im Angang enthalten.

Viel Spaß und keine Angst mehr vor Cisco :-)
Thomas

Dieser Beitrag enthält einen Anhang.
Bitte anmelden (oder registrieren) um ihn zu sehen.

Letzte Änderung: 14 Nov 2011 09:09 von thomasbrandner. Begründung: Tippfehler, Ergänzungen

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.268 Sekunden
Powered by Kunena Forum