[Løst] Cisco 1841 - ny ruter i heimen

[toreae]

Har reddet en Cisco 1841 ruter og en D-Link DGS-1210-48 switch, etter at IT-avdelingen har hatt oppgradering på jobben. Er helt ny på begge deler. Er nå mest opptatt av ruteren. Har fått til endel:

 

Lagd meg en overgang for consoll.

Har slettet passord.

Lagt inn enkelt ruteroppsett, se nedenfor.

Prøvd grafisk oppsett, (som er stort sett drit).

 

Ønsker å komme videre med:

SSH-forbindelse, får bare til telnet.

Bruke gbit portene i stede for 100Mbit portene. Brigde?

Slå på brannmur.

Åpne porter i brannmur.

Se på muligheter for server, primært filserver.

Osv.

 

Hardware:

Show hardware:

Cisco 1841 (revision 7.0) with 235520K/26624K bytes of memory.
Processor board ID FHK141872GR
1 DSL controller
6 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
126000K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

 

DSL har jeg ikke bruk for, slot 1

2 ethernet er 100Mbit.

4 ethernet er 1gbit slot 0.

 

Konfigurasjon er vesentlig hentet fra her.

 

 

Would you like to enter the initial configuration dialog? [yes/no]: no, ENTER
Router>enable
Router#conf t
Router(config)#no ip domain-lookup
Router(config)#no logging console
Router(config)#hostname firewall
firewall(config)#enable secret 0 ********
firewall(config)#service password-encryption
config-register 0x2102 om du nettopp har slette konfigurasjon og
vil lagre neste
firewall(config)#exit
firewall#wri

firewall#conf t
firewall(config)#interface fas0/0
cisco(config-if)#description WAN_LINK
firewall(config-if)#ip address dhcp
firewall(config-if)#no shut
firewall(config-if)#exit
firewall(config)#interface fas0/1
firewall(config-if)#description INSIDE_LAN
firewall(config-if)#ip address 192.168.10.1 255.255.255.0
firewall(config-if)#no shut
firewall(config-if)#exit
firewall(config)#exit
firewall#wri

firewall#conf t
firewall(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
firewall(config)#exit
firewall#wri

firewall#ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 20/20/20 ms

firewall#conf t
firewall(config)#ip dhcp pool dhcppool1
firewall(dhcp-config)#network 192.168.10.0 255.255.255.0
firewall(dhcp-config)#default-router 192.168.10.1
firewall(dhcp-config)#dns-server 8.8.8.8
firewall(dhcp-config)#exit
firewall(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9
firewall(config)#exit
firewall#wri

firewall#conf t
firewall(config)#access-list 100 permit ip any any
firewall(config)#ip nat inside source list 100 interface fastEthernet 0/0
firewall(config)#exit
firewall#wri

firewall#conf t
firewall(config)#username Bruker privilege 15 password ********
firewall(config)#ip http server
firewall(config)#ip http secure-server
firewall(config)#ip http authentication local
firewall(config)#exit
firewall#wri

firewall#conf t
firewall(config)#line vty 0 4
firewall(config-line)#password *******
firewall(config-line)#login
firewall(config-line)#exit
firewall(config)#exit
firewall#wri

 

 

 

Noen som gidder å hjelpe meg videre? Er klar over at det finnes masse på nettet, og jeg vil selvfølgelig bruke det også for å komme videre.

 

Edit: Har ikke gbit-porter.

Endret 21. september 2014 av toreae

[ChrisCo]

Først av alt, gratulerer med skikkelig router (for hjemmebruk)! Kjører selv en 2851...

 

For å vise fullstendig config, skriv sh run.. Kan ikke se at du har gigabit interfaces, noe 1841 heller ikke har... Så der tror jeg du bommer litt...

 

Når det gjelder resten av konfigen din, så mangler du å aktivere NAT/PAT og en pool...

 

Gå inn på fa0/0 og skriv ip nat outside. Så på fa0/1 og skriv ip nat inside.. Da har du satt hvilket interface som på innsiden og på utsiden...

 

Så går du tilbake til Global Config Mode og legg inn disse kommandoene:

 

 

ip nat pool <navn> 192.168.10.1 192.168.10.254 netmask 255.255.255.0

access-list 1 permit 192.168.10.0 0.0.0.255

ip nat inside source list 1 interface fa0/0 overload

 

Husk at du kan bruke TAB og ? knappen på tastaturet ditt for å fullføre og finne resten av en kommando syntax hvis du ikke vet hva en kommando er...

 

Nå har du i hvertfall en NAT pool så alle enheter på LAN siden får tilgang til nettet... Du også selvfølgelig endre på adressene i kommandoene hvis det er endringer du vil gjøre i forhold til hva jeg har skrevet...

Endret 12. september 2014 av ChrisCo

[toreae]

 

 

 

firewall#sh run
Building configuration...

Current configuration : 3070 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret 5 $1$BlIc$lYp4r37.0njtM0rLuqn5R/
!
no aaa new-model
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.9
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393132 31373235
35305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100DE3D 5DE651FE 122F0E71 82427A08 EA5D7EFA 99071C66 531D01DE 50BFF16B
F643C2FB B989C768 137FAAAB 645A25D1 E70128BE CE988DF7 9601492C 30250BB3
6ACDD7AE DCC3DFC4 FB739065 5A2C9B89 300B3ED7 0544ECDC 534EA206 A5A176A2
CECEBD94 A1A449A7 F49D9AC2 F850F62B 7B0AEE0C 59A76E0E D8B6F28B ED2D5968
0E0B0203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08666972 6577616C 6C301F06 03551D23 04183016 8014A4DE
B9722A09 83C15722 1FA071CA F5A7AFF8 85F6301D 0603551D 0E041604 14A4DEB9
722A0983 C157221F A071CAF5 A7AFF885 F6300D06 092A8648 86F70D01 01040500
03818100 7114783E 598BB4FC BA173579 36AD863A 4AE73A36 ED416011 2ED72E7C
C6A43066 F7A16967 45E13AD3 78E67ED9 6B3870C8 54645AB0 329E874A 2E83726A
BB72318D 5E232EEF 20E7DE23 B0D0FB13 BB1411F0 080CCC93 1761F2D8 C1BF8C78
C51D64A2 021B72BE 2DC670C4 CD61D472 9ADD623C 8110A442 4800F2F1 EEA810F3 0D9FA0
F8
quit
!
!
username Tore privilege 15 password 7 ********************
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
duplex auto
speed auto
!
interface FastEthernet0/1
description INSIDE_LAN
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 100 interface FastEthernet0/0 overload
!
access-list 100 permit ip any any
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 0254165C030F597963
login
!
scheduler allocate 20000 1000
end

firewall#

 

 

 

Har noen flere ønsker...

Dhcp, tildele IP basert på mac.

IPv6............

Men med klipp og lim fra cmd/telnet er nok innlogging i SSH øverst på listen

 

Edit: ser nå at den ikke gjør jobben. Forandret fra fast ip wan til dhcp, og noe gikk galt.

Endret 12. september 2014 av toreae

[toreae]

Ny sh run

 

 

 

firewall#sh run
Building configuration...

Current configuration : 3397 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret 5 **********************************
!
no aaa new-model
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.9
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393132 31373235
35305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100DE3D 5DE651FE 122F0E71 82427A08 EA5D7EFA 99071C66 531D01DE 50BFF16B
F643C2FB B989C768 137FAAAB 645A25D1 E70128BE CE988DF7 9601492C 30250BB3
6ACDD7AE DCC3DFC4 FB739065 5A2C9B89 300B3ED7 0544ECDC 534EA206 A5A176A2
CECEBD94 A1A449A7 F49D9AC2 F850F62B 7B0AEE0C 59A76E0E D8B6F28B ED2D5968
0E0B0203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08666972 6577616C 6C301F06 03551D23 04183016 8014A4DE
B9722A09 83C15722 1FA071CA F5A7AFF8 85F6301D 0603551D 0E041604 14A4DEB9
722A0983 C157221F A071CAF5 A7AFF885 F6300D06 092A8648 86F70D01 01040500
03818100 7114783E 598BB4FC BA173579 36AD863A 4AE73A36 ED416011 2ED72E7C
C6A43066 F7A16967 45E13AD3 78E67ED9 6B3870C8 54645AB0 329E874A 2E83726A
BB72318D 5E232EEF 20E7DE23 B0D0FB13 BB1411F0 080CCC93 1761F2D8 C1BF8C78
C51D64A2 021B72BE 2DC670C4 CD61D472 9ADD623C 8110A442 4800F2F1 EEA810F3 0D9FA0
F8
quit
!
!
username Tore privilege 15 password 7 *******************
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description INSIDE_LAN$ES_LAN$
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 100 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 100 remark CCP_ACL Category=18
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 ************************
login
!
scheduler allocate 20000 1000
end

firewall#

 

 

[toreae]

Først av alt, gratulerer med skikkelig router (for hjemmebruk)! Kjører selv en 2851...

 

Snip

 

Bruke en ruter til 15000kr hjemme, er vel passert litt overkill, eller?

[ChrisCo]

Nærmere 60000 for min..... Overkill? Jo a... Men why not? ;P

[toreae]

Må vist ha lest feil i prislisten. 15000 er kanskje begynnerpris på den, i dag? Forøvrig hadde du rett angående ekstra porter, er ikke 1gbit.

Bruker tab ganske mye. hva slags os ligger i bunn, egentlig?

[ChrisCo]

Cisco IOS... Har siste versjon hvis du vil oppgradere....

[toreae]

Selvfølgelig vil jeg oppgradere! Det er kanskje en nødvendighet for å få ipv6? Uansett kan vel ikke web/grafisk bli noe værre.

Vet ikke om det er jeg som missforstår, men finnes det noe program som man kan kjøre på pc, som letter oppsette noe. Cisco IOS - er det noe unix? Kjører forøvrig pr idag shorewall.

[ChrisCo]

Vil anbefale deg å bruke CLI.. Lettere å lære seg og enklere å deale med faktisk, enn GUI...

 

c1841-adventerprisek9-mz.151-4.M8.bin You're welcome

 

IOS er i utgangspunktet Unix basert, ja...

[toreae]

Vil anbefale deg å bruke CLI.. Lettere å lære seg og enklere å deale med faktisk, enn GUI...

 

c1841-adventerprisek9-mz.151-4.M8.bin You're welcome

 

IOS er i utgangspunktet Unix basert, ja...

 

CLI = Command Line Interface? Kanskje det er lettere, men noe grafisk er greit å ha i bakhånd. Kan hjelpe nybegynner som meg å komme igang.

Oppdateringen får være til senere. Har du sett på post #4. Tar forresten kveld snart.

edit: Takk for oppdateringen. Noe større en hva som ligger inne fra før. Har 2 faktisk:

c1841-advsecurityk9-mz.124-15.T12.bin 30030kB

c1841-advsecurityk9-mz.124-15.T5.bin 29649kB

Er det plass til den nye (46341kB)? Annen versjon, med flere muligheter?

Endret 12. september 2014 av toreae

[ChrisCo]

Stemmer..

 

Laster ned for deg, legger ut link snart.... Link

 

Ja har sett #4... ????

Endret 12. september 2014 av ChrisCo

[toreae]

Det du sa om i post #2, ble det riktigt?

[ChrisCo]

Å ja... Ja ser greit ut.. Men du kan fjerne en del (no forran kommandoen for å slå av/fjerne)

 

• no ip cef
• no ip virtual-reassembly
• ​no ip forward-protocol nd
• no ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 (Når interfacet står til DHCP, så blir statisk route automatisk opprettet)
• no ip http server
• no ip http authentication local
• no ip http secure-server
• no ip nat inside source list 100 interface FastEthernet0/0 overload
• no access-list 100 remark CCP_ACL Category=18
• no access-list 100 permit ip 192.168.10.0 0.0.0.255 any

Husk også å lagre configen din ((do) wr)! Eller så blir alt borte ved en reload... Ta også backup til en tftp server..

Endret 12. september 2014 av ChrisCo

[toreae]

Takker så langt. Det med no viste jeg ikke, og hadde glemt å spørre. Men det for bli i morgen. Men hva sitter jeg igjen med? Ruter med alt åpent begge veier?

[ChrisCo]

No foran en kommando, er for å slå av eller fjerne.. Veldig kjekk å kunne.... Og basic!

 

Hva mener du med åpen for begge veier??

Endret 12. september 2014 av ChrisCo

[toreae]

Brannmur! Er alle porter åpne?

[ChrisCo]

Routeren er ikke en brannmur! Er ikke ment å skulle være det.. Det nærmeste du kommer, er ACL (access lists)..

 

Hvis du tenker på typisk port-forwarding (Wan - Lan) så nei, det må du legge til..

 

ip nat inside source static <protokoll> <intern IP> <inside port> interface fa0/0 <outside port>

[j--]

Man vil vel gjerne ha CEF aktivert, for å ikke kvele CPU på ruteren under høy throughput med mange IP-er.

 

Angående pris er det drømmenivåer dere snakker om. Man får jo en ny 1921 for noe rundt 4000,- på nettet, med bedre specs. Eventult en 892FSP til noe rundt 5000,- om jeg må tippe, som har mangegangen med båndbredde/prosesseringskraft.

 

Ang. SSH: google it. Ser mange som har spurt etter det på nettet. Du må generere krypteringsnøkler og enable SSH.

[ChrisCo]

CEF kan gjerne være av når det snakk om et lite hjemmenettverk, men du har rett i utganspunktet....

 

 

 

Cisco Express Forwarding (CEF) is advanced, Layer 3 IP switching technology. CEF optimizes network performance and scalability for networks with large and dynamic traffic patterns, such as the Internet, on networks characterized by intensive Web-based applications, or interactive sessions.

 

Fant min ny på nettet for noen uker siden til $9700, så nei da, er ikke drømmepriser... Har også sett den til under $5000..... Jeg ga $115 (ca 750kr) på Ebay ink. frakt og importavgifter... Helt kurrant pris....