Last one: Verbindung zu ISDN Router

[Nightwalker_z]

Die Elendsgeschichte will keine Ende nehmen
Folgendes: Ich will mich in meinem Cisco 1003 Einwählen und somit in mein lokales Netzwerk.
Hab nen Rechner (192.168.0.22) und nen Router (192.168.0.254).
Das Einwählen und Authentifizieren am Router hab ich geschafft. Auf dem Remote PC kann ich den Router mit seiner 192.168.0.254 Adresse anpingen und nen Telnet druff machen. Nur ich erreiche den PC nicht über ping..... würde dann an dem Remote PC gerne sowas machen wie "net use x: 192.168.0.22/NeuerOrdner"
Ich denke das ist bei mir nur ein Routingproblem oder was weiss ich ;-)
Hier ein bisserl Konfig:

Code:

Building configuration...

Current configuration : 2809 bytes
!
! Last configuration change at 11:14:19 mest Wed Jun 16 2004
! NVRAM config last updated at 11:14:20 mest Wed Jun 16 2004
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxx
!
username xxx password xxx
!
!
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
 ip address 192.168.0.254 255.255.255.0
 ip access-group 102 out
 no ip proxy-arp
 ip nat inside
 no cdp enable
!
interface BRI0
 no ip address
 ip access-group 103 in
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 no cdp enable
 ppp authentication chap pap callin
!
interface Dialer1
 description Arcor Internet
 ip address negotiated
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer remote-name ISP
 dialer idle-timeout 90
 dialer string 0192076
 dialer-group 1
 peer default ip address 192.168.0.10
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname arcor
 ppp chap password xxx
 ppp pap sent-username arcor password xxx
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any eq 135 any
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any eq 445 any
access-list 103 deny   tcp any eq telnet any
access-list 103 deny   tcp any eq finger any
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxx RO
!
line con 0
 password xxx
 login
line vty 0 4
 password xxx
 login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

Und noch was. Sind meine Accesslisten richtig ?
Die 101er soll der interesting traffic sein (damit wählt er sich ein)
Die 102er soll das sein, was durch mein LAN interface ETH 0 durch darf.
In der 103er sollen Sachen rein, die auf keinen Fall ins Bri interface dürfen.

Grüsse
Nightwalker_z

[Nightwalker_z]

Weiss denn keiner ne Antwort warum ich nicht in mein lokales LAN komme ????

[tom12]

Hi, ich versuch mich verständlich auszudrücken...

Erstelle am besten ein weiteres Dialer Interface (Dialer2). Und gib dem eine private Adresse mit einer Subetmask von 30 Bit (z. B. 192.168.100.1/30).
Verwende chap.
konfigurier auch "ppp chap callin"
username und password sind eh schon angelegt.


Am anderen Router (der sich einwählt) die IP 192.168.100.2/30 und am Dialer musst du dort den "dialer-string xxxxxx" und "ppp chap username xxxx" und "ppp chap password yyyy" konfigurieren.

Die Routen fehlen:
Angenommen das 2. Netz ist die 192.168.2.0/24:
ip route 192.168.0.0 255.255.255.0 dialer(von Router 2)

und am anderen Router (auf dem du dich einwählst):
ip route 192.168.2.0 255.255.255.0 dialer2

Die Default-Route kannst du so lassen.

Auf eiden Seiten noch ACL für Intresting Traffic setzen.

Soll auch broadcast darüer laufen : "ip directed-broadcast" an den Dialer Interfaces (hab ich nie versucht).


Zu deinen ACL´s:
Die ACL am Dialer Interface sollte so aussehen:
access-list xyz deny tcp any any eq 135
.....
Diese Würmer/Attacken gehen auf Destination Ports (445, 135).

Hoffe es hat dir geholfen.

Grüsse
Thomas

[Nightwalker_z]

Huuups .... danke wegen der ACL Korrektur. Das kommt davon wenn man sowas zu schnell macht (da vergisst man schon ein "any")

Ich wähle mich nicht über nen anderen Router ein, sondern über ne andere ISDN Karte. Die IP-Adresse, die die ISDN Karte zugewiesen bekommt, bestimmt der Router.
Wie muss ich in diesem Fall die Routen setzen ?
Hier der Code für den Dialer 2

Code:

interface Dialer2
 description Dial-in
 no ip address
 encapsulation ppp
 peer default ip address pool dialinpool
 pulse-time 0
 ppp authentication chap pap callout
!
ip local pool dialinpool 192.168.0.10 192.168.0.20

[tom12]

Hi, hab da irgendwas falsch verstanden...

Weiss nicht genau wie das zu konfigurieren ist.
Auf alle Fälle würde ich dem einwählenden PC und dem Dialer Interface ein anderes Subnet geben, somit machst du Routing zw. den beiden Netzen.

Wenn du eingewählt bist und die Ethernet des Routers pingen kannst sollte der Rest auch gehen....

Grüsse

[Nightwalker_z]

Das Pingen des Routers geht bereits.... ich komm von Remote sogar auf ihn via Telnet. Vom Router aus kann ich auch mein lokales LAN anpingen....
Nur direkt von der Kommandozeile des Remoterechners bekomm ich keine Connection zu meinem LAN.
Deshalb ist es - denke ich zumindest ein Routingproblem

[tom12]

Verwende am Dialer2 ein anderes Netz!! Der Router kennt sich sonst nicht rech aus. Wohin sollen die PAkete für 192.168.0.0/24 geroutet werden: Dialer oder Ethernet?!
also auf Dialer2
z.B. 192.168.111.0/24

dann sollte es klappen....

ansonsten:

soald du am Router eingewählt ist mach an deinem REmote PC :

- ipconfig
- tracert <IP eines PCs im LAN hinter Router>

Am Router:
sh ip route ---> sind die Routen für beide Netzt da?

Viel Glück

[Nightwalker_z]

Hallöchen,
erst mal vielen Dank für die Tipps....
Die idee mit dem anderen Netz hab ich auch heute morgen gehabt.
Dem Rechner, der sich einwählt bekommt ne 192.168.1.0/24 Adresse (siehe Konfig).
Dann ist mir noch die Idee gekommen, dass ich ans Bri interface ja auch noch den zweiten Dialer installieren könnte (dialer pool-member 2). Die Route ist mittlerweile auch da....
Jetzt hab ich ein anderes Problem - wenn ich mich versuche via DFÜ auf dem Router einzuwählen, bekomm ich folgende Message (am Windows PC):

TCP/IP CP gemeldeter Fehler 733: Das PPP-Steuerungsprotokoll für dieses Protokoll ist auf dem Server nicht verfügbar

Aha - Bahnhof ;-)

Hat jemand ne Lösung ?

Hier ist meine aktuelle Konfig

Code:

version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxxxxxx
!
username xxxxxxx password xxxxxxx
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
 ip address 192.168.0.254 255.255.255.0
 ip access-group 102 out
 no ip proxy-arp
 ip nat inside
 no cdp enable
!
interface BRI0
 no ip address
 ip access-group 103 in
 no ip proxy-arp
 encapsulation ppp
 dialer pool-member 2
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn calling-number 6526018
 no cdp enable
!
interface Dialer1
 description Arcor Internet
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer string 0192076
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname arcor
 ppp chap password xxxxxxx
 ppp pap sent-username arcor password xxxxxxx
!
interface Dialer2
 description Dial-in
 no ip address
 encapsulation ppp
 dialer pool 2
 dialer called 6526018
 no peer default ip address
 ppp authentication pap chap callout
!
ip local pool dialinpool 192.168.1.10 192.168.1.20
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.1.0 255.255.255.0 Dialer2
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any any eq 135
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any any eq 445
access-list 103 deny   tcp any any eq finger
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxxxxxx RO
!
line con 0
 password  xxxxxxx
 login
line vty 0 4
 password xxxxxxx
 login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

[tom12]

Entferne am bri0 den <dialer pool-member 2>.

Dialer2 gibst du in den Dialer pool 1.

Am Dialer2:
sollte es nicht ppp authentication pap chap callin sein...?


mach am Router ein
deb ppp negotiation
deb ppp authentication

wenn kein Output kommt:
debug isdn q921
debug isdn q931