DSL-PPPoE Connection autom. trennen

[Schnufix]

Hallo,
ich hab es endlich hinbekommen, dass mein Cisco1721 sich per PPPoE ins Internet verbindet. Nun steht die Verbindung, und bleibt und bleibt.... Nun möchte ich, dass die Verb. nach z.B. 30sec getrennt wird und bei Bedarf wieder aufgebaut wird. Aber das klappt nicht. Unten meine Konfig....

Code:

interface FastEthernet0
 description connected to Internet
 ip address 192.168.6.250 255.255.255.0
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
 no keepalive
!
interface Dialer1
 description connected to Internet
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 30
 dialer-group 2
 ppp authentication chap pap callin
 ppp chap hostname Anschlussk.TOI-Nr#Mitben@t-online.de
 ppp pap sent-username Anschlussk.TOI-Nr#Mitben@t-online.de password 0 1234
!
no ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
ip nat inside source list 1 interface Dialer1 overload

Grüße
Carsten

[Weihnachtsmann]

wie sieht denn deine dialer-list aus ?

[Schnufix]

hier die Acces-List und die Dialer-List

Code:

access-list 1 permit 192.168.6.0 0.0.0.255
dialer-list 2 protocol ip permit

[czappb]

Was verbindet sich denn über den Router ins Internet? Kann es sein, dass tatsächlich irgendwas online ist, oder wie hast du das ausgeschlossen?

[Schnufix]

Noch ein paar Infos: Es läuft folgendes IOS: c1700-sy7-mz.124-7.bin
An dem Router sind keine Rechner oä angeschlossen - er hat zwar eine IP aus meinen HomeLAN, aber kein Rechner hat diesen Router als Standard Gateway. Die PCs im LAN gehen alle über eine Fritzbox ins Internet!! Der Router ist an der FB angeschlossen und nutzt das Modem für eine 2. PPPoE Seesion... Eine IP aus meinem HomeLAN hat er nur, um zu testen, ob ich darüber auch ins Internet komme (mit NAT und allem was dazu gehört)...

Ich hab durch googlen einen ähnlichen Fall ausgemacht, dort war es nur CDP, welches immerwieder über den Dialer Pakete versandt hat. Daraufhin hab ich cdp deaktiviert (no cdp enable) und siehe da, der Router ist einmal offline gegangen. Aber auch wirklich nur einmal!! Ich hab auf meinem PC das StandardGateway geändert, um zu sehen, ob er sich wieder einwählt... Das hat er getan und ist immernoch online! Er will nicht offline gehen!?!?!? (Das StandardGAteway auf meinem PC ist wieder die Fritzbox)

Und was nun?? Ich hab mal geguckt ob ich mit sh ip nat trans irgendwelche Verbindungen sehen - NEGATIV, es werden keine Verbindungen über NAT initiiert.

Viele Grüße
Carsten

[rob_67]

Hi, schreib mal deine dialer access-list mit einem log dahinter und schau, ob noch pakete die leitung offen halten... es können nicht genatete Pakete geroutet werden... dann ist das nicht die komplette config, irgendwelche dyndns oder time server in benutzung? pakete, die vom router gesendet werden, werden in diesem fall nicht genatet!


gruss

rob

[Schnufix]

Hallo Rob,

hier mal ein debug ip packet detail

Code:

00:23:14: IP: tableid=0, s=84.131.101.17 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:23:14: IP: s=84.131.101.17 (Dialer1), d=84.131.74.71 (Dialer1), len 64, rcvd 3
00:23:14:     TCP src=1745, dst=139, seq=3900208064, ack=0, win=53760 SYN
00:23:14: IP: tableid=0, s=84.131.74.71 (local), d=84.131.101.17 (Dialer1), routed via RIB
00:23:14: IP: s=84.131.74.71 (local), d=84.131.101.17 (Dialer1), len 40, sending
00:23:14:     TCP src=139, dst=1745, seq=0, ack=3900208065, win=0 ACK RST
00:24:31: IP: tableid=0, s=84.216.55.8 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:24:31: IP: s=84.216.55.8 (Dialer1), d=84.131.74.71 (Dialer1), len 64, rcvd 3
00:24:31:     TCP src=1063, dst=445, seq=3664779368, ack=0, win=53760 SYN
00:24:31: IP: tableid=0, s=84.131.74.71 (local), d=84.216.55.8 (Dialer1), routed via RIB
00:24:31: IP: s=84.131.74.71 (local), d=84.216.55.8 (Dialer1), len 40, sending
00:24:31:     TCP src=445, dst=1063, seq=0, ack=3664779369, win=0 ACK RST
00:24:34: IP: tableid=0, s=84.216.55.8 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:24:34: IP: s=84.216.55.8 (Dialer1), d=84.131.74.71 (Dialer1), len 64, rcvd 3
00:24:34:     TCP src=1063, dst=445, seq=3664779368, ack=0, win=53760 SYN
00:24:34: IP: tableid=0, s=84.131.74.71 (local), d=84.216.55.8 (Dialer1), routed via RIB
00:24:34: IP: s=84.131.74.71 (local), d=84.216.55.8 (Dialer1), len 40, sending
00:24:34:     TCP src=445, dst=1063, seq=0, ack=3664779369, win=0 ACK RST
00:24:44: IP: tableid=0, s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:24:44: IP: s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), len 52, rcvd 3
00:24:44:     TCP src=4433, dst=4662, seq=1583705704, ack=0, win=65535 SYN
00:24:44: IP: tableid=0, s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), routed via RIB
00:24:44: IP: s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), len 40, sending
00:24:44:     TCP src=4662, dst=4433, seq=0, ack=1583705705, win=0 ACK RST
00:24:44: IP: tableid=0, s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:24:44: IP: s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), len 52, rcvd 3
00:24:44:     TCP src=4433, dst=4662, seq=1583705704, ack=0, win=65535 SYN
00:24:44: IP: tableid=0, s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), routed via RIB
00:24:44: IP: s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), len 40, sending
00:24:44:     TCP src=4662, dst=4433, seq=0, ack=1583705705, win=0 ACK RST
00:24:45: IP: tableid=0, s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), routed via RIB
00:24:45: IP: s=80.141.196.183 (Dialer1), d=84.131.74.71 (Dialer1), len 52, rcvd 3
00:24:45:     TCP src=4433, dst=4662, seq=1583705704, ack=0, win=65535 SYN
00:24:45: IP: tableid=0, s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), routed via RIB
00:24:45: IP: s=84.131.74.71 (local), d=80.141.196.183 (Dialer1), len 40, sending
00:24:45:     TCP src=4662, dst=4433, seq=0, ack=1583705705, win=0 ACK RST

Es sieht mir fast so aus, als wenn Packete aus dem Internet auf meinen Router "treffen" und der dadurch die Leitug offen hält. Z.B. sind mir die TCP-Ports 139 und 445 aufgafallen... Wie definiere ich jetzt ne AccesList, damit ich diese Pakete ausschließen kann und an welches Interface binde ich diese AccessList?? An das Dialer Interface???

Viele Grüße
Carsten

[Schnufix]

Achso, hier noch meine aktuelle Config:

Code:

!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cisco2620
!
boot-start-marker
boot system tftp://192.168.6.20/c2600-is-mz.123-18.bin
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 172.26.254.10 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.6.250 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface Serial0/0
 no ip address
 shutdown
!
interface Serial0/1
 no ip address
 shutdown
!
interface BRI1/0
 no ip address
 encapsulation hdlc
 shutdown
!
interface BRI1/1
 no ip address
 encapsulation hdlc
 shutdown
!
interface BRI1/2
 no ip address
 encapsulation hdlc
 shutdown
!
interface BRI1/3
 no ip address
 encapsulation hdlc
 shutdown
!
interface Dialer1
 description connected to NTBBA
 ip address negotiated
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 10
 dialer-group 2
 no keepalive
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username 000xxxxxxx#1234@t-online.de password 0 1234
!
ip nat inside source list 1 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 1 permit 192.168.6.0 0.0.0.255
dialer-list 2 protocol ip permit
!
!
!
!
!
dial-peer cor custom
!
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

[rob_67]

Hi,


es dürften eventuell rückgehende icmps sein, die die Leitung offenhalten, denn nur ausgehende Pakete fallen in die dialer list.

Versuch doch einmal die folgenden commandos mit auf den dialer zu nehmen:

no ip redirects
no ip unreachables
no ip proxy-arp

ansonsten zusätzlich eine filterliste auf dem dialer installieren.


Gruss

rob