Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Cisco 1921 in bridge zetten?
Hallo allemaal,
Wij hebben nu op een kantoor een Cisco 1921 staan en die is gewoon de gateway. Er komt daar een firewall te staan en die willen we eigenlijk alles laten doen (routeren/filteren) Maar we hebben daar een adsl lijntje liggen van xs4all met een dsl (rj11) kabeltje en die gaat in de HWIC van de Cisco.Die firewall heeft alleen 6 ethernet porten en verder niks. Nu las ik op diverse site's als je nog adsl hebt over PPPoA dat het niet mogelijk is om de cisco in bridge te zetten? Nu weet ik wel een paar dingen van cisco, maar niet heel veel en hier ook nog nooit mee gestoeid.
Nu is mijn vraag weet iemand van jullie dit, of heeft het wel eens voor elkaar gekregen of is het helemaal niet mogelijk met een Cisco?
Hier wat info van de config en hardware:
2 Gigabit Ethernet interfaces
1 ATM interface (HWIC-1ADSLI)
interface GigabitEthernet0/0
description LAN
ip address 192.168.xx.xx 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip address 80.xx.xx.xx 255.255.255.0
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 name WAN
access-list 101 remark traffic destined for NAT
access-list 101 permit ip 192.168.xx.0 0.0.0.255 any
Wij hebben nu op een kantoor een Cisco 1921 staan en die is gewoon de gateway. Er komt daar een firewall te staan en die willen we eigenlijk alles laten doen (routeren/filteren) Maar we hebben daar een adsl lijntje liggen van xs4all met een dsl (rj11) kabeltje en die gaat in de HWIC van de Cisco.Die firewall heeft alleen 6 ethernet porten en verder niks. Nu las ik op diverse site's als je nog adsl hebt over PPPoA dat het niet mogelijk is om de cisco in bridge te zetten? Nu weet ik wel een paar dingen van cisco, maar niet heel veel en hier ook nog nooit mee gestoeid.
Nu is mijn vraag weet iemand van jullie dit, of heeft het wel eens voor elkaar gekregen of is het helemaal niet mogelijk met een Cisco?
Hier wat info van de config en hardware:
2 Gigabit Ethernet interfaces
1 ATM interface (HWIC-1ADSLI)
interface GigabitEthernet0/0
description LAN
ip address 192.168.xx.xx 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip address 80.xx.xx.xx 255.255.255.0
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
ip nat inside source list 101 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1 name WAN
access-list 101 remark traffic destined for NAT
access-list 101 permit ip 192.168.xx.0 0.0.0.255 any
Reacties (9)
Volgens mij kan hij dit niet. Het is ook een router he, geen bridge.
"vroeger" kon dit wel met Alcatel/Thomson ADSL modems, maar het wordt steeds moeilijker om nog een modem te
vinden wat dit doet (zo niet onmogelijk).
Wat ze tegenwoordig bieden is geen PPPoA naar ethernet bridge, maar een PPPoA naar PPPoE bridge.
Daar kun je alleen maar wat mee als je nieuwe firewall aan de buitenkant een PPPoE sessie kan opzetten naar de
provider. Is dat mogelijk dan kun je bijvoorbeeld een Draytek 120 of 130 kopen, die doen wat je nodig hebt.
(zijn hier ook voor gemaakt)
"vroeger" kon dit wel met Alcatel/Thomson ADSL modems, maar het wordt steeds moeilijker om nog een modem te
vinden wat dit doet (zo niet onmogelijk).
Wat ze tegenwoordig bieden is geen PPPoA naar ethernet bridge, maar een PPPoA naar PPPoE bridge.
Daar kun je alleen maar wat mee als je nieuwe firewall aan de buitenkant een PPPoE sessie kan opzetten naar de
provider. Is dat mogelijk dan kun je bijvoorbeeld een Draytek 120 of 130 kopen, die doen wat je nodig hebt.
(zijn hier ook voor gemaakt)
Cisco beter dumpen ... Cisco = NSA als ik het andere topic mag geloven .
https://www.security.nl/posting/375477/Cisco%3A+Snowden+heeft+vertrouwen+aangetast
https://www.security.nl/posting/375477/Cisco%3A+Snowden+heeft+vertrouwen+aangetast
19-01-2014, 10:37 door
RobT
Door Anoniem: Volgens mij kan hij dit niet. Het is ook een router he, geen bridge.
"vroeger" kon dit wel met Alcatel/Thomson ADSL modems, maar het wordt steeds moeilijker om nog een modem te
vinden wat dit doet (zo niet onmogelijk).
Wat ze tegenwoordig bieden is geen PPPoA naar ethernet bridge, maar een PPPoA naar PPPoE bridge.
Daar kun je alleen maar wat mee als je nieuwe firewall aan de buitenkant een PPPoE sessie kan opzetten naar de
provider. Is dat mogelijk dan kun je bijvoorbeeld een Draytek 120 of 130 kopen, die doen wat je nodig hebt.
(zijn hier ook voor gemaakt)
"vroeger" kon dit wel met Alcatel/Thomson ADSL modems, maar het wordt steeds moeilijker om nog een modem te
vinden wat dit doet (zo niet onmogelijk).
Wat ze tegenwoordig bieden is geen PPPoA naar ethernet bridge, maar een PPPoA naar PPPoE bridge.
Daar kun je alleen maar wat mee als je nieuwe firewall aan de buitenkant een PPPoE sessie kan opzetten naar de
provider. Is dat mogelijk dan kun je bijvoorbeeld een Draytek 120 of 130 kopen, die doen wat je nodig hebt.
(zijn hier ook voor gemaakt)
Bedankt voor de info. Ik zal nog even verder kijken hoe en wat. Jammer genoeg heeft dit kantoor net geen manage lijntje van kpn ( die hebben we normaal op andere kantoren ) en dan is het gewoon ff 2e portje gebruiken van de kpn router en je hebt weer een nieuwe verbinding, ip en gw instellen en klaar.
Dit is een klein kantoor en heeft nog een oude situatie.
Gezien het gebruik van NAT en het noemen van XS4ALL ADSL ben ik er vanuit gegaan dat je maar 1 IP adres
hebt op je ADSL (en de gegeven config met netmask 255.255.255.0 dus incorrect is).
Je kunt dat ip address command beter vervangen door: ip address negotiated
Wat je wilt gaat dan niet met die cisco.
Heb je een zakelijke lijn met meerdere adressen erop dan kan het uiteraard wel, je kiest dan op je firewall 1 van de
gerouteerde adressen en de cisco geeft die alleen maar door.
Wil je er alleen maar 1 firewall achter hangen dan is dat natuurlijk evengoed overkill (en verkwisting van schaarse adressen),
met gewoon 1 adres en de juiste spullen werkt dat gewoon.
hebt op je ADSL (en de gegeven config met netmask 255.255.255.0 dus incorrect is).
Je kunt dat ip address command beter vervangen door: ip address negotiated
Wat je wilt gaat dan niet met die cisco.
Heb je een zakelijke lijn met meerdere adressen erop dan kan het uiteraard wel, je kiest dan op je firewall 1 van de
gerouteerde adressen en de cisco geeft die alleen maar door.
Wil je er alleen maar 1 firewall achter hangen dan is dat natuurlijk evengoed overkill (en verkwisting van schaarse adressen),
met gewoon 1 adres en de juiste spullen werkt dat gewoon.
Volgens mij kan het wel. Ik ben nu even niet in de gelegenheid om het uit te zoeken maar een Cisco kan over het algemeen veel meer als routeren alleen. Is echter wel afhankelijk van het IOS dat erin zit.
Ik vraag mij alleen wel even af waarom je de router als bridge in wilt zetten. Je kan toch de ethernet port naar de firewall laten gaan en daar opnieuw translatie doen? Eventueel een ander subnet gebruiken tussen router en firewall als je 192.168.x.x. intern wilt blijven gebruiken. Dat kost misschien iets tijd, maar is nog altijd veel minder als de delay van je DSL lijn.
En postert "18-01-2014, 17:20 door Anoniem". Hou op met die onzin. Dit forum gaat kapot door figuren die alleen maar lopen te verkondigen wat je niet moet doen ipv een zinvolle bijdrage te leveren. En daarbij is postert zich al bewust van een mogelijk risico aangezien er een firewall voor geplaatst gaat worden. Dan heeft die Cisco dezelfde status als het Internet waar die aan vast zit.
Ik vraag mij alleen wel even af waarom je de router als bridge in wilt zetten. Je kan toch de ethernet port naar de firewall laten gaan en daar opnieuw translatie doen? Eventueel een ander subnet gebruiken tussen router en firewall als je 192.168.x.x. intern wilt blijven gebruiken. Dat kost misschien iets tijd, maar is nog altijd veel minder als de delay van je DSL lijn.
En postert "18-01-2014, 17:20 door Anoniem". Hou op met die onzin. Dit forum gaat kapot door figuren die alleen maar lopen te verkondigen wat je niet moet doen ipv een zinvolle bijdrage te leveren. En daarbij is postert zich al bewust van een mogelijk risico aangezien er een firewall voor geplaatst gaat worden. Dan heeft die Cisco dezelfde status als het Internet waar die aan vast zit.
22-01-2014, 12:29 door
BaseMent
ok, of het handig is weet ik niet want als je je DSL in een bridge group op gaat nemen ga je dus ook alle broadcast verkeer ruichting het Internet sturen. Dat moet je niet willen naar mijn mening (immers wordt het een broadcastdomein).
In essentie moet je het volgende doen:
Laag drie (ip) config van de router voor het DSL gedeelte afslopen
Laag twee config toevoegen
Dit betekend ook dat de router geen ppp meer mag praten met de PE router van je provider, dialer interface moet dus weg, evenals andere laag drie zaken
Dan moet je beginnen met het volgende (maar ik heb hier geen 1921 en ik weet niet welk IOS je draait) de atm opnemen in een bridge group, evenals je LAN interface. NAT moet je uitzetten op de Cisco, je hebt immers geen intern en extern adres meer (is nu immers een subnet geworden).
Dan nog wel een loopback op de router aanmaken voor beheer.
Moet te doen zijn. Met het juiste IOS kan je echt heel veel doen met een Cisco.
In essentie moet je het volgende doen:
Laag drie (ip) config van de router voor het DSL gedeelte afslopen
Laag twee config toevoegen
Dit betekend ook dat de router geen ppp meer mag praten met de PE router van je provider, dialer interface moet dus weg, evenals andere laag drie zaken
Dan moet je beginnen met het volgende (maar ik heb hier geen 1921 en ik weet niet welk IOS je draait) de atm opnemen in een bridge group, evenals je LAN interface. NAT moet je uitzetten op de Cisco, je hebt immers geen intern en extern adres meer (is nu immers een subnet geworden).
Dan nog wel een loopback op de router aanmaken voor beheer.
Moet te doen zijn. Met het juiste IOS kan je echt heel veel doen met een Cisco.
Uit mijn hoofd:
interface GigabitEthernet0/0
description LAN
ip virtual-reassembly in
duplex auto
speed auto
bridge-group 1
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
bridge-group 1
interface bvi1
ip address 80.xx.xx.xx 255.255.255.0
no shutdown
bridge irb
bridge 1 protocol ieee
bridge 1 route ip
interface GigabitEthernet0/0
description LAN
ip virtual-reassembly in
duplex auto
speed auto
bridge-group 1
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
bridge-group 1
interface bvi1
ip address 80.xx.xx.xx 255.255.255.0
no shutdown
bridge irb
bridge 1 protocol ieee
bridge 1 route ip
23-01-2014, 03:15 door
Sisko
Door Anoniem: Uit mijn hoofd:
interface GigabitEthernet0/0
description LAN
ip virtual-reassembly in
duplex auto
speed auto
bridge-group 1
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
bridge-group 1
interface bvi1
ip address 80.xx.xx.xx 255.255.255.0
no shutdown
bridge irb
bridge 1 protocol ieee
bridge 1 route ip
interface GigabitEthernet0/0
description LAN
ip virtual-reassembly in
duplex auto
speed auto
bridge-group 1
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
interface ATM0/0/0
description ATM interface controller XS4ALL ADSL 0/0/0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer1
description ADSL XS4ALL HWIC-ADSL1
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username blabla password blabla
bridge-group 1
interface bvi1
ip address 80.xx.xx.xx 255.255.255.0
no shutdown
bridge irb
bridge 1 protocol ieee
bridge 1 route ip
fotografisch geheugen ?!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.