Cisco config

Ofloo · 16 okt 2008, 17:04

Ik ben aan het proberen van mijn c2600 met dsl wic the configureren, heeft iemand hier soms verstand van? Het connecteerd maar de route werkt niet denk ik want als ik ping ip <ip> uitvoer werkt het niet.

Code: Selecteer alles

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname wan.rte.edp
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxx
enable password xxxxxxxxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
ip domain name ofloo.net
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface ATM0/0
 no ip address
 no ip route-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 hold-queue 224 in
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Ethernet0/0
 ip address 212.71.19.97 255.255.255.240
 no ip route-cache
 half-duplex
!
interface Dialer0
 ip address negotiated
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp chap hostname xxxxxxxxx.xxxx.xx@EDPNET
 ppp chap password 0 xxxxxxxx
!
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
dialer-list 1 protocol ip permit
!
snmp-server community public RO
!
!
!
!
!
line con 0
 speed 115200
line aux 0
line vty 0
 password xxxxxxxxxxxxx
 login
 transport input ssh
line vty 1 4
 password xxxxxxxxxxxxx
 login
!
!
end

Sasuke · 16 okt 2008, 17:11

Geef eens de output van volgende commando's:

* sh ip int brief
* sh ip route

Grtz,
Sasuke

Ofloo · 16 okt 2008, 17:29

Code: Selecteer alles

#sh ip int brief                                                         
Interface                  IP-Address      OK? Method Status                Protocol
ATM0/0                     unassigned      YES NVRAM  down                  down    
Ethernet0/0                212.71.19.97    YES NVRAM  up                    down    
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  down                  down    
Dialer0                    unassigned      YES IPCP   up                    up

Code: Selecteer alles

#sh ip route                                                             
Default gateway is not set                                                          
                                                                                    
Host               Gateway           Last Use    Total Uses  Interface              
ICMP redirect cache is empty

op dit moment is het wel niet geconnecteerd, ik weet niet of dat verschil uit maakt, ..

X-2datop · 16 okt 2008, 21:29

Ofloo, denk dat je het verkeerd bekijkt. In jouw voorbeeld heb je je Fixed IP hardcoded op je Ethernet0 interface ...

EDPNET geeft jou via DHCP een fixed/dyn WAN IP op de Dialer interface. Je Ethernet0/0 is dus voor je interne netwerk (private IP).

Hieronder een voorbeeldconfig even uit m'n mouw geschud, kunnen foutjes inzitten:

Code: Selecteer alles

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname wan.rte.edp
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxx
enable password xxxxxxxxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
ip domain name ofloo.net
!
ip audit po max-events 100
!
interface FastEthernet0/0
 description ** Local Network
 ip address 192.168.100.254 0.0.0.255
 ip access-group homelan in
 ip nbar protocol-discovery
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface ATM0/0/0.1 point-to-point
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!
interface Dialer0
 description ** ISP login EDPnet
 ip address negotiated
 ip access-group incoming in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname username@EDPNET
 ppp chap password password
!
ip route 0.0.0.0 0.0.0.0 Dialer0 1
ip nat inside source route-map edpnet-adsl interface Dialer0 overload
ip nat inside source static tcp 192.168.100.xx 443 interface Dialer0 443 [i](als je een HTTPS Site zou draaien)[/i]
ip nat inside source static tcp 192.168.100.xx 22 interface Dialer0 22 [i](als je SSH toegang tot een interne server/pc wil)[/i]
access-list homelan remark Internal LAN Access to Internet
access-list homelan permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq telnet
access-list homelan permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq 22
access-list homelan permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq www
access-list homelan permit tcp 192.168.100.0 0.0.0.255 host 192.168.100 eq 443
access-list homelan permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq cmd
access-list homelan deny   tcp any host 192.168.100.254 eq telnet
access-list homelan deny   tcp any host 192.168.100.254 eq 22
access-list homelan deny   tcp any host 192.168.100.254 eq www
access-list homelan deny   tcp any host 192.168.100.254 eq 443
access-list homelan deny   tcp any host 192.168.100.254 eq cmd
access-list homelan deny   udp any host 192.168.100.254 eq snmp
access-list homelan permit ip any any
access-list incoming remark Incoming Access permissions
access-list incoming permit tcp any interface Dialer0 eq 443  [i](als je een HTTPS Site zou draaien)[/i]
access-list incoming permit tcp any interface Dialer0 eq 22 [i](als je SSH toegang tot een interne server/pc wil)[/i]
access-list incoming permit udp any any eq non500-isakmp [i](IPSEC VPN)[/i]
access-list incoming permit udp any any eq isakmp [i](IPSEC VPN)[/i]
access-list incoming permit esp any any [i](IPSEC VPN)[/i]
access-list incoming permit ahp any any [i](IPSEC VPN)[/i]
access-list incoming permit icmp any any [i](outside ping toestaan)[/i]
access-list incoming deny   ip any any log
access-list 102 remark Terminal SSH access [i](Hiermee laat je remote-management toe van binnen en buitenaf)[/i]
access-list 102 permit ip 192.168.100.0 0.0.0.255 any
access-list 102 permit ip host xxx.xxx.xxx.xxx
access-list 150 remark **** ADSL route
access-list 150 permit ip 192.168.100.0 0.0.0.255 any
dialer-list 1 protocol ip permit
no cdp run
!
!
route-map edpnet-adsl permit 10
 match ip address 150
!
control-plane
!
banner motd CCCCCCCC
          


   -->   This is My Router !!
      
          

          

<router> Unauthorized access prohibited

DISCONNECT NOW IF YOU ARE NOT AN AUTHORIZED USER



!
line con 0
line aux 0
line vty 0 4
 access-class 102 in
 privilege level 15
 transport input telnet ssh
line vty 5 15
 session-timeout 120 
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 20000 1000
end

Normaal gezien moet je hiermee al direct een quasi secure router hebben én moet je internet werken.

Grtz,
X-2datop

Mr.T · 16 okt 2008, 22:25

ge kunt perfect een publiek ip op uwe ETH interface configureren. Ge moet niet altijd met NAT werken.

Ik zou om te beginnen al eens uwe ATM interface in no shut zetten.

Geef ook eens de output van en sh dsl int atm0 (of zoiets :-)

)

Ofloo · 16 okt 2008, 22:29

'k heb enable, config t, int atm0/0, no shut, exit, exit

en no shutdown wordt niet toegevoegd..

Code: Selecteer alles

#sh dsl int atm0/0                                                       
Alcatel 20150 chipset information                                                   
Line not activated: displaying cached data from last activation                     
                ATU-R (DS)                      ATU-C (US)                          
Modem Status:    Showtime (DMTDSL_DO_OPEN)                                          
DSL Mode:        ITU G.992.1 (G.DMT)                                                
ITU STD NUM:     0x01                            0x1                                
Vendor ID:       'ALCB'                          'ALCB'                             
Vendor Specific: 0x0000                          0x0000                             
Vendor Country:  0x00                            0x0F                               
Capacity Used:   71%                             70%                                
Noise Margin:    -9.5 dB                         16.0 dB                            
Output Power:    20.0 dBm                        12.0 dBm                           
Attenuation:     32.5 dB                         16.0 dB                            
Defect Status:   LOS  LOF  LCDf      LOM          LOF  LCDf                         
Last Fail Code:  None                                                               
Selftest Result: 0x00                                                               
Subfunction:     0x15                                                               
Interrupts:      1859 (0 spurious)                                                  
PHY Access Err:  0                                                                  
Activations:     1                                                                  
Init FW:         embedded                                                           
Operation FW:    embedded                                                           
SW Version:      3.8131                                                             
FW Version:      0x1A04                                                             
                                                                                    
                 Interleave             Fast    Interleave              Fast        
Speed (kbps):             0             6144             0               640        
Reed-Solomon EC:          0                0           151               138        
CRC Errors:               0              282           157               115        
Header Errors:            0                1           162               149        
Bit Errors:               0                0                                        
BER Valid sec:            0                0                                        
BER Invalid sec:          0                0                                        
                                                                                    
DMT Bits Per Bin                                                                    
00: 0 0 0 0 0 0 0 4 4 5 7 8 9 9 9 A                                                 
10: A A A 9 9 9 9 9 9 8 7 7 7 6 0 0                                                 
20: 0 0 0 0 0 0 2 2 4 4 5 5 6 6 7 7                                                 
30: 7 8 8 9 9 9 A A A A B B B B 8 B                                                 
40: B B B B B B B B B B 2 B B B B B                                                 
50: B A 9 9 A A A B B B A A B B B A                                                 
60: B B A A A A A 8 A A A A A A A A                                                 
70: A A A A A A A A A A 9 9 8 9 9 9                                                 
80: 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9 9                                                 
90: 7 9 9 9 9 9 8 8 8 8 8 8 8 8 8 8                                                 
A0: 8 8 8 8 8 7 8 8 8 8 8 8 8 7 8 7                                                 
B0: 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7                                                 
C0: 7 7 7 7 7 6 6 6 6 6 6 6 6 6 6 6                                                 
D0: 6 6 6 6 6 6 6 3 6 6 6 5 5 5 5 5                                                 
E0: 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 4                                                 
F0: 4 4 4 4 4 3 2 2 0 0 0 0 0 0 0 0                                                 
                                                                                    
DSL: Training log buffer capability is not enabled

Sasuke · 16 okt 2008, 22:32

Mr.T schreef:ge kunt perfect een publiek ip op uwe ETH interface configureren. Ge moet niet altijd met NAT werken.

Ik zou om te beginnen al eens uwe ATM interface in no shut zetten.

Geef ook eens de output van en sh dsl int atm0 (of zoiets )

Hallo niet met een EDPNET abbo hé, ge krijgt maar 1 IP en het IP in Ofloo's config zit in de EDPNET range, dat gaat nooit goed komen.

Ofloo, als het IP op jouw Etherner0/0 hetgene is wat jij normaal van EDPnet krijgt, dan gaat deze config NOOIT werken. Ik zou die van X-2datop maar eens proberen als ik jou was.

Grtz,
Sasuke

Ofloo · 16 okt 2008, 22:34

ik heb 212.71.19.96/28

Sasuke · 16 okt 2008, 22:39

Cool, jij hebt 16+1 ip's op een ADSL MAX6 dan ? nice

Dus EDPNET routeert dan jouw subnet naar het WAN IP van je abbo ?

Of wat is de config. Kan namelijk ook zijn dat je een routed subnet hebt en dan mag/moet je geen PPPoE gebruiken natuurlijk.

Kan je even antwoorden dan op volgende vragen:
1. Hoe zit je netwerk in elkaar : router ==> firewall ==> LAN of router ==> LAN (en lan met public ip's ?)
2. Wat is je bedoeling van te doen
3. Krijg je een IP op je Dialer interface toegewezen als je connected bent ? (sh ip int brief) je ATM output ziet er alvast goed uit.

Grtz,
Sasuke

Ofloo · 16 okt 2008, 22:50

Ik krijg ip toegewezen ja via dialer geen probleem, .. en netwerk zit als volgt in elkaar,

Code: Selecteer alles

<router>----<switch>----<srv>
             |
             `------<wifi>

op die wifi staat een nat, .. maar die gebruikt gewoon 1 statisch ip van /28, ik weet dat ik geen pppoe kan gebruiken vanwege mtu maar 1492 is, en het moet 1500 zijn.. het zal wel werken maar niet naar behoren.

Het enige probleem is dat ik niet kan pingen van op mijn router.. wat ik heel vreemd vond, 'k heb namelijk alles uitgetrokken en de router laten connecteren over console heb ik dan proberen te pingen, dus ik neem aan dat er een route fout is, aangezien routers ip 212.71.19.97 is ingesteld. Dus neem ik aan dat het een route probleem is omdat edpnet het wel tolereert maar ik moet de route op mijn router wel instellen, dacht ik..

Het was althans mijn bedoeling om pppoa te gebruiken, gebruik ik dan pppoe ?

wat ik me nog afvroeg is of ik het ip dat toegewezen wordt kan gebruiken met nat en dan nog de andere ip's gewoon zoals ze nu opgesteld staan .. of zou de nat in combinatie met de andere ip's een probleem vormen.. dat terzijde gewoon info.. maar niet echt belangrijk.

Sasuke · 16 okt 2008, 23:04

Welk IP is dan hetgene je toegewezen krijgt van EDPNET op je Dialer interface. Dat ligt dan toch buiten je /28 subnet neem ik aan ?

Echter, er staat mij iets van voor dat je bij Cisco (in een security IOS image), ICMP expliciet moet enablen om het te laten werken. Probeer gewoon eens een simpele ACL op je dialer interface te zetten en allow icmp, of doe eens een debug ip icmp voor je gaat pingen.

MeaCulpa, je doet inderdaad PPPoA

Grtz,
Sasuke

Ofloo · 17 okt 2008, 01:26

Code: Selecteer alles

wan.rte.edp#sh ip int brief                                                         
Interface                  IP-Address      OK? Method Status                Protocol
ATM0/0                     unassigned      YES NVRAM  up                    up      
Ethernet0/0                212.71.19.97    YES NVRAM  up                    up      
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  up                    up      
Dialer0                    213.219.170.102 YES IPCP   up                    up

toegevoegd

access-list 101 permit ip any any
access-list 101 permit icmp any any

kan van netwerk apparaat 212.71.19.97 pingen maar niet naar 213.219.170.102 en voorbij dat punt.. dus het is toch een route probleem denk ik, .. enige info welke route ik zou missen?

Ofloo · 17 okt 2008, 01:31

ik denk dat ik het heb .. gvd het was iets stom .. bovenaan de config no ip routing .... !? lol en het werkt .. moest command ip routing ingeven en klaar.

en
ip routing
ip default-network 0.0.0.0
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 212.71.19.96 255.255.255.240 Null0

en dit misschien niet nodig .. maar 'k heb het wel gedaan, ..

access-list 1 permit 0.0.0.1 255.255.255.240

Ofloo · 17 okt 2008, 02:16

stom van mij het werkt gewoon :roll:

X-2datop · 17 okt 2008, 08:59

Amai, heb daar ook 3 keer overgelezen dan, want na uw uitleg dat je een /28 subnet had was ik toch ook aan het twijfelen, want uw config was dan wel ok.

Stond dat standaard af dan ? Want "no ip routing" op een 2600 router is ook onozel hé. Btw, als je naar ADSL2 zou overstappen, hou er dan rekening mee dat de 2600 reeks maximaal een goeie 10Mbit kan routeren tussen zijn interfaces hé.

Grtz,
X

Ofloo · 17 okt 2008, 12:00

Ja dat stond daar standaard na het runnen van de setup..

enkel xm versies hebben fastethernet, .. dan moet ik ook een andere dsl wic aanschaffen .. één die adsl2+ ondersteund

X-2datop · 17 okt 2008, 12:28

Ofloo schreef:Ja dat stond daar standaard na het runnen van de setup..

enkel xm versies hebben fastethernet, .. dan moet ik ook een andere dsl wic aanschaffen .. één die adsl2+ ondersteund

Ja, maar de CPU kan maar max. 10Mbit routeren tussen 2 interfaces. Ge moet dat maar eens opzoeken, is een vrij veel over het hoofd geziene specificatie bij routers !

Grtz,
X

D3bian · 17 okt 2008, 13:38

Tja, zonder ip routing ga je geen routing hebben hé

Ofloo · 17 okt 2008, 15:49

X-2datop schreef:
Ofloo schreef:Ja dat stond daar standaard na het runnen van de setup..

enkel xm versies hebben fastethernet, .. dan moet ik ook een andere dsl wic aanschaffen .. één die adsl2+ ondersteund

Ja, maar de CPU kan maar max. 10Mbit routeren tussen 2 interfaces. Ge moet dat maar eens opzoeken, is een vrij veel over het hoofd geziene specificatie bij routers !

Grtz,
X

Hmm nee toch niet je kan ook 100mbit modules kopen voor deze routers of althans ik heb ze al op gemerkt, maar het zou kunnen ik durf het niet te zeggen, met zekerheid maar het zou me verbazen als je fastethernet modules kan kopen zonder ze te kunnen benutten..

Ofloo · 17 okt 2008, 15:49

die_ene schreef:Tja, zonder ip routing ga je geen routing hebben hé

Goendi · 17 okt 2008, 16:40

Ja, maar de CPU kan maar max. 10Mbit routeren tussen 2 interfaces. Ge moet dat maar eens opzoeken, is een vrij veel over het hoofd geziene specificatie bij routers !

Grtz,
X

Als je 6 mbit binnen kunt trekken, waarom dan 100 mbit nic steken? :)

Terzijde...

ip address 192.168.100.254 0.0.0.255

Opmerkelijk netmask, of mis ik iets?

skynetbbs · 17 okt 2008, 17:26

Goendi schreef:
Ja, maar de CPU kan maar max. 10Mbit routeren tussen 2 interfaces. Ge moet dat maar eens opzoeken, is een vrij veel over het hoofd geziene specificatie bij routers !

Grtz,
X

Als je 6 mbit binnen kunt trekken, waarom dan 100 mbit nic steken?

Terzijde...

ip address 192.168.100.254 0.0.0.255

Opmerkelijk netmask, of mis ik iets?

redelijk normaal bij Cisco :-)

Goendi · 17 okt 2008, 17:42

Met dit verschil da ge 192.0.0.0/8 intern hebt staan, en ni enkel 192.168.0.0/16 :)

Sasuke · 17 okt 2008, 18:49

Goendi schreef:Met dit verschil da ge 192.0.0.0/8 intern hebt staan, en ni enkel 192.168.0.0/16

Goendi, in de meeste (oudere) Cisco routers draaien ze het subnetmask om. een /24 moet je dus ingeven als 0.0.0.255
Om te reageren gelijk je zelf meestal doet: "Hoe kan dat nu dat je dat niet weet Mr de specialist"

Grtz,
Sasuke

Goendi · 18 okt 2008, 21:05

Goendi, in de meeste (oudere) Cisco routers draaien ze het subnetmask om. een /24 moet je dus ingeven als 0.0.0.255
Om te reageren gelijk je zelf meestal doet: "Hoe kan dat nu dat je dat niet weet Mr de specialist" Razz

Heh echt? Rofl :] Wist ik niet. Swel subliem dat Ciso TCP/IP herschrijft :P

Nikon · 18 okt 2008, 21:29

Bij cisco noemen ze het dan ook geen netmask maar een wildcard bitmask ..
Ergens is deze aanpak van cisco wel te verstaan

Sasuke · 19 okt 2008, 00:06

Inderdaad ... *het* grote voordeel (vroeger toch, tegenwoordig toen ze het bijna allemaal) was dat je met Cisco routers en firewalls "classless" kon werken. Om dat uit elkaar te trekken zijn ze dus met die wildcard bitmasks gekomen. En opzich vind ik het eigenlijk een beetje duidelijker zo.

Maar ok, ieder zijn goesting natuurlijk. In de nieuwe routers/IOS versies en bij PIX/ASA is het trouwens terug normaal subnet masking dat ze toepassen.

Grtz,
X