NAT und VPN sind eine häufige Problemkombination: NAT verändert IP-Adressen und Ports, während VPNs (insbesondere IPsec) Integrität, Peer-Identität und oft auch „No-NAT“-Verhalten erwarten. Typische Symptome sind: Tunnel kommt nicht hoch, Phase 2 bricht, Traffic geht nur in eine Richtung oder bestimmte Subnetze sind nicht erreichbar. Mit sauberer NAT-Exemption, korrektem NAT-T (UDP/4500) und klaren ACLs lassen…
Bei Site-to-Site-Verbindungen (meist IPsec) reicht „Tunnel steht“ nicht aus: Du brauchst eine klare Security-Policy für den Verkehr zwischen lokalen und entfernten Netzen. Auf Cisco Routern wird diese Policy entweder klassisch mit ACLs umgesetzt (zustandslos, interface-basiert) oder moderner/strukturierter über Firewall-Zonen (Zone-Based Firewall, zustandsbehaftet). Welche Variante besser passt, hängt von Komplexität, Audit-Anforderungen, Troubleshooting und dem gewünschten Sicherheitsniveau…
Hairpin NAT (auch NAT Loopback oder U-Turn NAT) löst ein typisches Praxisproblem: Interne Clients sollen einen Dienst über die öffentliche IP/FQDN erreichen, obwohl Server und Clients im gleichen LAN stehen. Ohne Hairpin NAT „läuft“ der Traffic oft ins Leere, weil die öffentliche Adresse intern nicht sinnvoll geroutet wird oder der Rückweg nicht stimmt. Mit einer…
NAT in IPv6 ist ein häufiges Missverständnis: IPv6 wurde so entworfen, dass klassische IPv4-NAT-Probleme (Adressknappheit) nicht mehr existieren. Trotzdem gibt es Übergangs- und Spezialfälle, in denen Übersetzung sinnvoll oder sogar nötig ist – insbesondere NAT64 (IPv6-Clients zu IPv4-Servern) und NPTv6 (Prefix-Translation in IPv6). Dieser Beitrag erklärt, wann diese Techniken helfen, welche Risiken sie haben und…
Dual-WAN-Failover auf Cisco Routern sorgt dafür, dass dein Internetzugang auch bei Provider- oder Leitungsproblemen verfügbar bleibt. Entscheidend ist dabei „Tracking“: Nicht nur der Interface-Link kann ausfallen, sondern auch das Upstream-Routing oder DNS/Transit. Mit IP SLA und Object Tracking kannst du die Erreichbarkeit eines externen Ziels überwachen und automatisch zwischen zwei Default Routes umschalten (Floating Static…
PPPoE (Point-to-Point Protocol over Ethernet) ist in Deutschland bei DSL- und einigen Glasfaser-/FTTH-Anschlüssen ein gängiges Verfahren, um eine Internetverbindung aufzubauen. Auf Cisco Routern wird PPPoE typischerweise über ein Dialer-Interface umgesetzt: Das physische WAN-Interface arbeitet als PPPoE-Client, die Einwahl (Benutzer/Passwort) und die IP-Adressierung passieren über das Dialer-Interface. Diese Anleitung zeigt ein praxistaugliches Standardsetup inklusive NAT/PAT und…
Wenn Webseiten „halb laden“, Downloads hängen oder nur bestimmte HTTPS-Seiten nicht funktionieren, steckt oft ein MTU/PMTUD-Problem dahinter. Besonders häufig tritt das bei PPPoE, VPN (IPsec/GRE), LTE/Carrier-NAT oder restriktiven Firewalls auf, die ICMP „Fragmentation Needed“ blockieren. MTU- und MSS-Clamping ist ein bewährter Praxisfix: Du reduzierst die maximale Paketgröße bzw. die TCP-MSS so, dass Endgeräte automatisch kleinere…
Ein Cisco Router kann in kleinen bis mittleren Netzen problemlos als DHCP-Server arbeiten: Er verteilt automatisch IP-Adressen, Gateway, DNS und weitere DHCP-Optionen an Clients. Das ist ideal für Lab-Setups, Außenstellen oder Heim-/KMU-Netze ohne dedizierten Windows/Linux-DHCP. Dieses Tutorial zeigt die Einrichtung eines DHCP-Pools, sinnvolle Optionen und typische Best Practices zur Fehlervermeidung. DHCP-Grundlagen: Was verteilt der Router?…
Access Control Lists (ACLs) auf Cisco Routern sind ein zentrales Werkzeug für Traffic-Kontrolle: Du kannst damit Pakete nach Quelle, Ziel, Protokoll und Port erlauben oder blockieren. Für Einsteiger ist der wichtigste Unterschied: Standard ACLs filtern nur nach Quell-IP, Extended ACLs sind deutlich granularer und können zusätzlich Ziel, Protokolle und Ports berücksichtigen. Mit den richtigen Platzierungsregeln…
Eine Default Route (0.0.0.0/0) über BGP ist in vielen Unternehmensnetzen der pragmatische Standard: weniger Routen, weniger Ressourcenverbrauch, einfache Failover-Logik. Gleichzeitig kann eine falsch verteilte Default Route extrem gefährlich sein – sie kann Traffic in Blackholes schicken, asymmetrische Pfade erzeugen oder komplette Standorte „vom Internet trennen“, obwohl BGP-Sessions noch established sind. Dieser Beitrag erklärt, wann BGP-Default…
Got questions? Ideas? Fill out the form below & our specialist will contact you.