Cisco 3725 Access Server als Terminal Server, Fragen...

[ShineDaStar]

Hallo liebe Forengemeinde.

Seit dieser Woche nenne ich einen Cisco 3725 mein eigen. Ausgestattet ist dieser mit einem NM-16 Modul+ Octal Kabel und einem 16 Port Switch Modul.
Nun würde ich diesen Gerne als TerminalServer verwenden, um Remote console zu ermöglichen. Das Funktioniert soweit ganz gut, jedoch kann ich manche der 8 angeschlossenen Lines nicht erreichen. Mein sh line sieht folgendermaßen aus:

[ShineDaStar]

Code:

Terminalserver1#sh line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
     0 CTY              -    -      -    -    -      4       1     0/0       -
*   65 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    66 TTY   9600/9600  -    -      -    -    -      3       3    32/95      -
    67 TTY   9600/9600  -    -      -    -    -      1     164     0/0       -
*   68 TTY   9600/9600  -    -      -    -    -      0       0 13383/40274   -
    69 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    70 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    71 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    72 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    73 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    74 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    75 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    76 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    77 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    78 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    79 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    80 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
    97 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
*   98 VTY              -    -      -    -    -     12       0     0/0       -
    99 VTY              -    -      -    -    -      3       0     0/0       -
   100 VTY              -    -      -    -    -      0       0     0/0       -
   101 VTY              -    -      -    -    -      0       0     0/0       -
   102 VTY              -    -      -    -    -      0       0     0/0       -

Line(s) not in async mode -or- with no hardware support:
1-64, 81-96

Terminalserver1#

An das Octalkabel ist folgendes Angeschlossen:
0-Router
1-ASA
2-Switch 1
3-Switch 2
4-Switch 4

Die Asa kann ich erreichen, auch von extern zugreifen, die anderen Funktionieren aber aus irgend einem Grund nicht. Ich habe auf allen die selbe Config, jedoch kommt bei den anderen connection disconnected by host, oder er baut eine Verbindung auf, aber die console bleibt schwarz und man kann nichts mehr ändern.

Auch kommt man per ssh nicht drauf, obwohl ich die keys 3 mal neu compiliert habe, es geht einfach nicht, telnet geht einwandfrei, ich hätte aber gerne anstelle von telnet ssh zugriff auf meine Consolen.
Habt Ihr mir hier rat?

[ShineDaStar]

hier meine Konfig:

Code:

Terminalserver1#sh run
Building configuration...

Current configuration : 3987 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Terminalserver1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$SjnR$key
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
ip domain name painlan.local
ip host WebSecRouter 2065 10.10.10.10
ip host AsaFirewall 2066 10.10.10.10
ip host DMZSwitch 2067 10.10.10.10
ip host BBSWitch01 2068 10.10.10.10
ip host BBSWitch02 2069 10.10.10.10
ip host UC520PBX 2070 10.10.10.10
ip ssh time-out 60
ip ssh rsa keypair-name Terminalserver1.Painlan.local
ip inspect audit-trail
ip inspect L2-transparent dhcp-passthrough
ip inspect max-incomplete high 2000
ip inspect one-minute high 2000
ip inspect udp idle-time 120
ip inspect hashtable-size 2048
ip inspect dns-timeout 2
ip inspect tcp idle-time 240
!
!
!
voice call carrier capacity active
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-d
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-d
 revocation-check none
 rsakeypair TP-self-signed-2481432301
!
!
crypto pki certificate chain TP-self-signed-d
 certificate self-signed 01
  keyframe
  quit
username Tobias privilege 15 secret 5 $1key/LC$key.
!
!
!
!
!
!
!
interface Loopback0
 ip address 10.10.10.10 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.0.245 255.255.255.0
 duplex auto
 speed auto
!
interface BRI0/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
!
interface FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
 no ip address
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
!
ip http server
ip http secure-server
!
snmp-server community public RO
snmp-server location nix da 1.UG Stack 4
snmp-server contact ich
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
dial-peer cor custom
!
!
!
!
!
!
line con 0
line 65 80
 session-timeout 10  output
 no exec
 transport input telnet
 transport output none
line aux 0
line vty 0 4
 password cisco
 login
!
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
!
end

zusätzlich würde ich gerne dem Switchmodul eine ip verpassen, dass wird warscheinlich vlan1 sein, richtig?
An Ethernet 0/0 ist mein internes Netz, von daher soll in das Netz des switches zusätzlich zu den Terminaldiensten geroutet werden. Geht dies und wenn ja wie?

Danke schonmal für eure hilfe

Grüsse

[ShineDaStar]

Hat mir hier jemand eine idee, warum/wie:

- Ich nicht auf jede Console am Octal Kabel zugreifen kann
- Ich es anstelle, dass der integrierte Switch mit den Admin interfaces verbunden ist und der router parallel zur ASA die anfragen in das entsprechende Netz weiterleitet?

Wäre um jede hilfe dankbar.

[ShineDaStar]

-Also das vlan 1 hat ne ip bekommen ( die wird sehr warscheinlich ausschließlich erstmal für den switch sein ).
Der TS is im selben Netz wie meine ASA, soll sozusagen parallel routen, nämlich von 192.168.0.0/24 ins Netz 192.168.4.0/24 ( admin Netz und damit der Switch im TS, das interne lan is über die FE Schnittstelle angebunden ), und die ASA den rest ins Perimeter Netz 192.168.1.0/24 und dann ins internet. Von ASA ins Internet und momentan vom internen Netz aus funktioniert es, doch wie zusätzlich in das vlan 1 des TS routen, dass man die Geräte erreicht, welche hier am Switch angeschlossen sind und wie die ports vom admin netz ins interne netz routen, so dass bspw. meine USV den Network Shutdown Befehl an meinen Server schicken kann?

-Was bedeutet der "*" vor den Lines und warum kann ich nicht auf jede console zugreifen, die angeschlossen ist?

-Gerade habe ich auch das Problem, dass das Terminal an die Console, welches zuvor einwandfrei funktionierte, jetzt nur noch teile des Portmaps anzeigt ( ein Teil der Beschreibung, der Hostzuweisung ) ?

Danke schonmal für eure hilfe ;-)

Ich komme hier einfach nicht so recht weiter, da der post nun 96 views hat, wäre cool, wenn mir jemand etwas unter die Arme greifen könnte.

[Nightwalker_z]

Also prinzipiell ist es egal von welchem IP Interface du auf die seriellen Lines zugreifen willst. Das geht von jedem Interface aus.

Du greifst entweder von remote auf das Ding via Reverse Telnet zu, oder eben vom Router aus via Reverse Telnet.
Welche Ports nutzt du für das Reverse Telnet? Die Ports für die Lines sollten tcp/2065-2096 sein.

Ich hab noch nicht ganz das Problem verstanden. Die Ausgangssituation ist folgende:
- TELNET auf jede Line geht
- Mit SSH klappt der Zugriff auf die Lines nicht.

Falls eine Konsole mal nicht funktioniert, kann es sein, dass sie noch in Benutzung bzw. aktiv ist (Wir durch den * angezeigt). Du hast das TELNET Fenster geschlossen, aber die Session ist noch oben. Zwei gleichzeitige Zugriffe auf eine serielle Konsole gehen nicht. Du musst dann die Verbindungen vom Router aus trennen.

Code:

disconnect <LINE-NUMBER>

Lange Rede kurzer Sinn:
- Ich denke nicht das sowas wie "Reverse SSH" geht. Wenn es verschlüsselt sein soll, mach SSH auf deinen Terminalserver und verbinde dich von dort auf die Lines. Dann kannst du auch die Sessions richtig clearen, wenn du fertig bist ("Ctrl-Shift-6 danach x" um auf den TS zurückzukommen, danach "disconnect") eingeben.

- Wenn einige Lines funktionieren und andere nicht, dann kann es am Kabel (andere Kodierung) liegen. Aber du hast nur Cisco Equipment mit einer RJ-45 Konsole angeschlossen, richtig?

- Ein weiterer Grund, warum ein Endgerät funktioniert und das andere nicht, können auch falsche Speed/Parity/Stopbits Settings sein. Falls ein Gerät was anderes will, muss das in der "line" configuration angepasst werden.

Edit: Ich habe bei Cisco noch kein SUPER Dokument für dieses Thema gefunden, aber diese Links solltest du dir dennoch mal durchlesen:
http://www.cisco.com/en/US/tech/tk80...8014f8e7.shtml
http://www.cisco.com/en/US/tech/tk80...80093c32.shtml

[ShineDaStar]

Zitat von Nightwalker_z Also prinzipiell ist es egal von welchem IP Interface du auf die seriellen Lines zugreifen willst. Das geht von jedem Interface aus. Du greifst entweder von remote auf das Ding via Reverse Telnet zu, oder eben vom Router aus via Reverse Telnet. Welche Ports nutzt du für das Reverse Telnet? Die Ports für die Lines sollten tcp/2065-2096 sein. Ich hab noch nicht ganz das Problem verstanden. Die Ausgangssituation ist folgende: - TELNET auf jede Line geht - Mit SSH klappt der Zugriff auf die Lines nicht. Falls eine Konsole mal nicht funktioniert, kann es sein, dass sie noch in Benutzung bzw. aktiv ist (Wir durch den * angezeigt). Du hast das TELNET Fenster geschlossen, aber die Session ist noch oben. Zwei gleichzeitige Zugriffe auf eine serielle Konsole gehen nicht. Du musst dann die Verbindungen vom Router aus trennen. Code: disconnect <LINE-NUMBER> Lange Rede kurzer Sinn: - Ich denke nicht das sowas wie "Reverse SSH" geht. Wenn es verschlüsselt sein soll, mach SSH auf deinen Terminalserver und verbinde dich von dort auf die Lines. Dann kannst du auch die Sessions richtig clearen, wenn du fertig bist ("Ctrl-Shift-6 danach x" um auf den TS zurückzukommen, danach "disconnect") eingeben. - Wenn einige Lines funktionieren und andere nicht, dann kann es am Kabel (andere Kodierung) liegen. Aber du hast nur Cisco Equipment mit einer RJ-45 Konsole angeschlossen, richtig? - Ein weiterer Grund, warum ein Endgerät funktioniert und das andere nicht, können auch falsche Speed/Parity/Stopbits Settings sein. Falls ein Gerät was anderes will, muss das in der "line" configuration angepasst werden. Edit: Ich habe bei Cisco noch kein SUPER Dokument für dieses Thema gefunden, aber diese Links solltest du dir dennoch mal durchlesen: Configuring a Terminal/Comm Server - Cisco Systems Configuring a Comm/Terminal Server for Sun Console Access - Cisco Systems

Danke Dir für die Hilfe!

Also was ich habe ist:

einen Cisco 3725 mit einer NM16 Serial Karte und einer 16 Port ethernetkarte, welches als TS, sowie admin Router fungiert.
Via Cisco Octal Kabel ist in folgender Reihenfolge angeschlossen:

0 - Cisco 881-K9
1 - Cisco ASA 5505 ADV.IP
2 - Cisco 2950 Switch
3 - Cisco 3750 Switch
4 - Cisco 3750G Switch ( sobald geliefert )

Auf die ASA konnte ich noch zugreifen, auf line 2/3 auch, doch seit dem ich den Router neu gestartet habe, bekomme ich beim Öffnen einer Line nur noch ein Stück Text aus meiner Config, die den Host beschreibt. Mein Run Conf liefere ich heute noch nach, ich kann nur grade nicht, da ich noch am Arbeiten bin...

Nun möchte ich an den Switch alle Admin Interfaces der Geräte anschließen, so dass man von FE 0/0 aus auf das vlan 1 zugreifen kann, welches dem eingebauten Switch gehört. Und von diesem Netz aus soll auch der Shutdownbefehl meiner USV kommen.

Reverse Telnet geht, ssh Verbindung zum Router geht, aber man kann nicht mit shift usw. die Fenster wechseln. Ich nehme zum Verbinden Putty.

Danke schonmal für Deine hilfe.

[ShineDaStar]

Hier meine run conf:

Code:

Terminalserver#sh run
Building configuration...

Current configuration : 4857 bytes
!
! No configuration change since last restart
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname Terminalserver
!
boot-start-marker
boot-end-marker
!
enable secret 5 $ep1
!
no aaa new-model
!
resource policy
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
clock save interval 12
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.60.0.1
!
ip dhcp pool Administration_Net
   import all
   network 192.60.0.0 255.255.192.0
   domain-name painlan.local
   default-router 192.60.0.1
   dns-server 192.60.0.1
   lease 0 12
!
!
ip domain name LAB.local
ip host WebSecRouter 2065 10.10.10.10
ip host AsaFirewall 2066 10.10.10.10
ip host DMZSwitch 2067 10.10.10.10
ip host BBSWitch01 2068 10.10.10.10
ip host BBSWitch02 2069 10.10.10.10
ip host UC520PBX 2070 10.10.10.10
ip ssh time-out 60
ip ssh rsa keypair-name TKGNCAS01LTB01.Painlan.local
!
!
!
voice call carrier capacity active
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2481432301
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2481432301
 revocation-check none
 rsakeypair TP-self-signed-2481432301
!
!
crypto pki certificate chain TP-self-signed-2481432301
 
  quit
username Tobias privilege 15 secret 5 .
!
zone security Access_Inside_Lan
 description Administration Interfaces to local Lan
zone security Admin_Net_Switch
 description All devices connected to the Management Switch
zone security Admin_Serial_Access
 description all Interfaces connected via Console Serial
!
!
!
!
!
!
interface Loopback0
 ip address 10.10.10.10 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.0.245 255.255.255.0
 zone-member security Access_Inside_Lan
 duplex auto
 speed auto
!
interface BRI0/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet1/0
!
interface FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
 description Administration-Net
 ip address 192.60.0.1 255.255.192.0
 ip virtual-reassembly
 zone-member security Admin_Net_Switch
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
ip dns server
ip dns spoofing
!
ip http server
ip http secure-server
!
snmp-server community ***** RO
snmp-server location Keller
snmp-server contact meine@email.com
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
dial-peer cor custom
!
!
!
!
!
banner motd ^C Terminal A^C
!
line con 0
line 65 80
 session-timeout 10  output
 no exec
 transport input telnet
 transport output none
line aux 0
line vty 0 4
 password 7 ***********
 login
!
ntp clock-period 17180769
ntp server 195.145.119.188
ntp server 134.93.132.118
ntp server 130.149.4.18
ntp server 129.69.1.153
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
!
end

[Nightwalker_z]

Ich denke, dass deine Line Config in Ordnung sein sollte.
Was ich nicht ganz raff ist deine Zone-Based Firewall.
Du legst fest, dass Interfaces Member einer Zone sind, aber hast keinerlei Filterregeln definiert?! Keine Inspects, kein gar nichts? Warum?

[ShineDaStar]

Zitat von Nightwalker_z Ich denke, dass deine Line Config in Ordnung sein sollte. Was ich nicht ganz raff ist deine Zone-Based Firewall. Du legst fest, dass Interfaces Member einer Zone sind, aber hast keinerlei Filterregeln definiert?! Keine Inspects, kein gar nichts? Warum?

Naja, das wollte ich auf Interfaces anwenden, wenn der TS macht, was ich gerne hätte. Ich habe mal alles ausgemacht, was nicht zwingend gebraucht wird, um mir nich unnötig Fehlerquellen reinzubauen.

Also Dein Tipp, die console zu schließen, dass hat geholfen! Danke schonmal dafür, ich kann nur nicht mit shift und so zwischen den consolen wechseln.
Und ich habe noch nich so ganz die idee, wie ich FE 0/0 ins vlan 1 Route, so dass die Geräte in diesem Vlan mit meinem Internen sprechen können...