Zum Inhalt springen

Empfohlene Beiträge

Geschrieben (bearbeitet)
Ist das 'any any' auf den Service (Port) bezogen? Ich stelle das wie gesagt über die Weboberfläche ein.
Dass abschliessende "deny any any" steht dafür, dass alles von überall nach überall verboten ist als Abschluss.

da ich jetzt nicht weiß, wie der Router konfiguriert, kann ich da auch nicht viel zu sagen, was du falsch machst. Davon abgesehen habe ich per Weboberfläche noch nie entsprechende Geräte konfiguriert, sondern immer nur per Console.

Wenn du also ein "sh run" posten könntest (Passwörter oder öffentliche IP-Adressen entsprechend unkenntlich gemacht), dann könnte ich daran evtl sehen, was fehlt oder falsch ist.

Dafür müsstest du aber auch noch dazu schreiben, wie es angeschlossen ist u.s.w. ...

Eventuell fehlt einfach nur ein Routing, oder aber du hast dich durch die Accesslisten selber ausgesperrt, da sie zu allgemein sind.

Bearbeitet von Crash2001
Geschrieben

Angeschlossen ist der Router über den WAN-Port am am Switch, welcher Zugang zum Netzwerk und Internet hat. Wenn ich an diesen Switch einen Rechner anklemme, kann ich den Router zwar anpingen, aber nicht über die Weboberfläche erreichen. Wenn ich den Rechner direkt an den Router klemme, komme ich überall dran. Genauso über das WLan, das von dem Router freigegeben wird.

Einen "sh run" (=Config?!) kann ich momentan nicht machen, weil ich nicht weiß, wie ich bei diesem Router an die Console komme. Kann da jemand helfen?

Ich kann aber die Konfigurationsdatei posten, was ja wahrscheinlich das gleiche sein wird. Allerdings wäre es wahrscheinlich besser, du würdest spezifischer sagen, was du davon sehen musst. Sonst müsste ich gleich knapp 3000 Zeilen posten...

test

test

test

Geschrieben

Ach so: Ja, ich bin auch der Meinung, dass es am Routing liegt.

Aber die Frage ist, ob man das Routingverhalten am Router selber korrigieren kann oder ob das am Switch der Fall sein muss. Wenn man den Router über die öffentliche IP anpingt, dann antwortet er ja. Ergo klingt es für mich sinnvoll, dass die falsche Route auch am Router korrigiert werden könnte. Der geht halt von der öffentlichen IP direkt zur IP des ersten VLans 192.168.1.1 und da treten dann die Probleme auf...

Geschrieben

Hmmm... also mit der Config-Datei kann ich nicht viel anfangen. Mag sein, dass die benötigten Informationen da drin stehen, aber so ist mir das einfach zu unübersichtlich und zu Routing finde ich da gar nichts.

Du musst dich per Consolenkabel (dieses blaue Kabel, was über die serielle (?) Schnittstelle angeschlossen wird) an den Router stöpseln, dich einloggen und dann ein "show run" machen.

Eventuell kann man das auch übers Webfrontend irgendwo machen. (Normalerweise gibt es dort irgendwo so eine PSeudo-Console, über die man Befehle eingeben kann).

Geschrieben
C:\>nslookup öffentlicheip.ip.ip.12

Server: ciscorouter

Address: 192.168.1.1

Die Adresse wird der Netzwerkswitch nicht finden können. Kann man das Routing im WLan-Router so umstellen, dass die Weboberfläche auch tatsächlich über öffentlicheip.ip.ip.12 zur Verfügung gestellt wird?

.....

Eine serielle Schnittstelle hat der Router übrigens nicht; da gibt es nur 5 TP-Ports. Eine Pseudokonsole kann man über das Webinterface auch nicht öffnen.

Gruß

ITasv

Geschrieben

Okay; das Rätsel habe ich gerade durch rumprobieren und glückliche Zufälle gelöst. Ich habe die IP-Range über die Firewallregeln für den Inbound-Verkehr freigegeben und jetzt funktionierts. Ich wusste nicht, dass da per Standard eine Beschränkung bestand.

ITasv

Geschrieben

Hmmm.... naja halt Homeuser-Geräte... die sind an allen möglichen Stellen beschnitten (Consolen-Port und nur WEbfrontend mit simulierter Console).

Wenn die Firewall aktiviert ist, ist per default erst einmal nicht viel erlaubt...

Funktioniert denn jetzt alles?

Geschrieben

Also jetzt funktioniert alles; ich hätte das gerne noch so aufgesplittet, dass die externe IP des VLANs für Gäste eine andere wäre, als die für das Mitarbeiter-VLAN, allerdings geht das leider nur, wenn dann tatsächlich jeder Client eine eigene externe IP bekommt und eine so große IP-Range steht uns leider nicht zur Verfügung, als dass ich so viele IPs reservieren könnte.

Nochmal einen großen Dank an euch und insbesondere Crash; schön, wie zeitnah und kompetent du mir im Verlaufe dieses kleinen Projekts immer wieder geholfen hast.

Ich stelle jetzt noch ein paar Firewallregeln ein und recherchiere ein paar Optionen, von denen ich keinen Schimmer habe, was sie tun, und dann kommt das Teil in den Produktiveinsatz.

Gruß

ITasv

Geschrieben

Also falls der Router es anbietet, dass du 2 WAN-Adressen vergeben kannst, wäre das schon einmal die halbe Miete.

Ich denke aber schon daran wird es scheitern.

Die nächste Hürde wäre dann, dass zwei NAT/PAT-Pools konfigurierbar sein müssten und auswählbar sein muss, auf welche IP-ADresse geNAT/PATet wird.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...