Crash2001 Geschrieben 29. November 2011 Geschrieben 29. November 2011 (bearbeitet) Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.Dass abschliessende "deny any any" steht dafür, dass alles von überall nach überall verboten ist als Abschluss. da ich jetzt nicht weiß, wie der Router konfiguriert, kann ich da auch nicht viel zu sagen, was du falsch machst. Davon abgesehen habe ich per Weboberfläche noch nie entsprechende Geräte konfiguriert, sondern immer nur per Console. Wenn du also ein "sh run" posten könntest (Passwörter oder öffentliche IP-Adressen entsprechend unkenntlich gemacht), dann könnte ich daran evtl sehen, was fehlt oder falsch ist. Dafür müsstest du aber auch noch dazu schreiben, wie es angeschlossen ist u.s.w. ... Eventuell fehlt einfach nur ein Routing, oder aber du hast dich durch die Accesslisten selber ausgesperrt, da sie zu allgemein sind. Bearbeitet 29. November 2011 von Crash2001 Zitieren
ITasv Geschrieben 29. November 2011 Autor Geschrieben 29. November 2011 Angeschlossen ist der Router über den WAN-Port am am Switch, welcher Zugang zum Netzwerk und Internet hat. Wenn ich an diesen Switch einen Rechner anklemme, kann ich den Router zwar anpingen, aber nicht über die Weboberfläche erreichen. Wenn ich den Rechner direkt an den Router klemme, komme ich überall dran. Genauso über das WLan, das von dem Router freigegeben wird. Einen "sh run" (=Config?!) kann ich momentan nicht machen, weil ich nicht weiß, wie ich bei diesem Router an die Console komme. Kann da jemand helfen? Ich kann aber die Konfigurationsdatei posten, was ja wahrscheinlich das gleiche sein wird. Allerdings wäre es wahrscheinlich besser, du würdest spezifischer sagen, was du davon sehen musst. Sonst müsste ich gleich knapp 3000 Zeilen posten... test test test Zitieren
ITasv Geschrieben 29. November 2011 Autor Geschrieben 29. November 2011 Ach so: Ja, ich bin auch der Meinung, dass es am Routing liegt. Aber die Frage ist, ob man das Routingverhalten am Router selber korrigieren kann oder ob das am Switch der Fall sein muss. Wenn man den Router über die öffentliche IP anpingt, dann antwortet er ja. Ergo klingt es für mich sinnvoll, dass die falsche Route auch am Router korrigiert werden könnte. Der geht halt von der öffentlichen IP direkt zur IP des ersten VLans 192.168.1.1 und da treten dann die Probleme auf... Zitieren
Crash2001 Geschrieben 30. November 2011 Geschrieben 30. November 2011 Hmmm... also mit der Config-Datei kann ich nicht viel anfangen. Mag sein, dass die benötigten Informationen da drin stehen, aber so ist mir das einfach zu unübersichtlich und zu Routing finde ich da gar nichts. Du musst dich per Consolenkabel (dieses blaue Kabel, was über die serielle (?) Schnittstelle angeschlossen wird) an den Router stöpseln, dich einloggen und dann ein "show run" machen. Eventuell kann man das auch übers Webfrontend irgendwo machen. (Normalerweise gibt es dort irgendwo so eine PSeudo-Console, über die man Befehle eingeben kann). Zitieren
ITasv Geschrieben 1. Dezember 2011 Autor Geschrieben 1. Dezember 2011 C:\>nslookup öffentlicheip.ip.ip.12 Server: ciscorouter Address: 192.168.1.1 Die Adresse wird der Netzwerkswitch nicht finden können. Kann man das Routing im WLan-Router so umstellen, dass die Weboberfläche auch tatsächlich über öffentlicheip.ip.ip.12 zur Verfügung gestellt wird? ..... Eine serielle Schnittstelle hat der Router übrigens nicht; da gibt es nur 5 TP-Ports. Eine Pseudokonsole kann man über das Webinterface auch nicht öffnen. Gruß ITasv Zitieren
ITasv Geschrieben 1. Dezember 2011 Autor Geschrieben 1. Dezember 2011 Okay; das Rätsel habe ich gerade durch rumprobieren und glückliche Zufälle gelöst. Ich habe die IP-Range über die Firewallregeln für den Inbound-Verkehr freigegeben und jetzt funktionierts. Ich wusste nicht, dass da per Standard eine Beschränkung bestand. ITasv Zitieren
Crash2001 Geschrieben 2. Dezember 2011 Geschrieben 2. Dezember 2011 Hmmm.... naja halt Homeuser-Geräte... die sind an allen möglichen Stellen beschnitten (Consolen-Port und nur WEbfrontend mit simulierter Console). Wenn die Firewall aktiviert ist, ist per default erst einmal nicht viel erlaubt... Funktioniert denn jetzt alles? Zitieren
ITasv Geschrieben 2. Dezember 2011 Autor Geschrieben 2. Dezember 2011 Also jetzt funktioniert alles; ich hätte das gerne noch so aufgesplittet, dass die externe IP des VLANs für Gäste eine andere wäre, als die für das Mitarbeiter-VLAN, allerdings geht das leider nur, wenn dann tatsächlich jeder Client eine eigene externe IP bekommt und eine so große IP-Range steht uns leider nicht zur Verfügung, als dass ich so viele IPs reservieren könnte. Nochmal einen großen Dank an euch und insbesondere Crash; schön, wie zeitnah und kompetent du mir im Verlaufe dieses kleinen Projekts immer wieder geholfen hast. Ich stelle jetzt noch ein paar Firewallregeln ein und recherchiere ein paar Optionen, von denen ich keinen Schimmer habe, was sie tun, und dann kommt das Teil in den Produktiveinsatz. Gruß ITasv Zitieren
Crash2001 Geschrieben 2. Dezember 2011 Geschrieben 2. Dezember 2011 Also falls der Router es anbietet, dass du 2 WAN-Adressen vergeben kannst, wäre das schon einmal die halbe Miete. Ich denke aber schon daran wird es scheitern. Die nächste Hürde wäre dann, dass zwei NAT/PAT-Pools konfigurierbar sein müssten und auswählbar sein muss, auf welche IP-ADresse geNAT/PATet wird. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.