Routen klappt nur ein wenig

[Stadt-Tiger]

Hallo,

mein Router hatte heute den Funktionstest. Einwahl von außerhalb über ISDN auf den Router. Router -> Callback. Verbindung steht. Jetzt geht es aber nicht weiter ins Netzwerk. Die Verbindung steht wie gesagt, aber ich kann die Server von außerhalb nicht anpingen.
Was wird das Problem sein?
Da ich davon ausgehe, es liegt an meinen routen, setze ich nicht die gesamte Konfiguration rein, sondern nur einen Abschnitt. Wenn ihr die gesamte braucht, sagt bescheid.

ip http server
ip http access-class 1
ip http authentication local
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.1.0 255.255.255.0 Dialer1
ip route 192.168.2.0 255.255.254.0 FastEthernet0/0
!
!
access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny any
dialer-list 1 protocol ip list 1

192.168.1.0 sind die Rechner außerhalb.
192.168.2.0 sind die Server im LAN.
192.168.3.0 sind die Rechner im LAN.

IP-Adressen habe ich zum Verständnis so geändert.

Das größte Problem ist jetzt leider die Zeit. Nächste Woche Mittwoch wäre quasi Stichtag. Einwahl mit Zugriff aufs Netzwerk soll da funktionieren. :/

Weiß jemand Rat?

Liebe Grüße

[Hr_Rossi]

hallo

tja schaut so aus als ob sich deine access-listen nur auf ip beziehen.
für einen ping benötigst du aber ICMP.
probier mal folgendes

access-list 101 permit icmp any any echo
dialer list 1 protocol ip list 101

lg
rossi

[Wurstbläser]

Hallo Stadt-Tiger -

eigentlich bin ich anderer Meinung als Hr Rossi: die Standard Access-Listen dürften auch das ICMP Protokoll mit einbeziehen. ACL technisch wird ICMP fast wie ein Layer4 Protokoll behandelt, deshalb kann man es auch in den Extended ACLs gesondert definieren.

Deiner Beschreibung nach wirst du vermutlich die Verbindung mit PPP/CHAP aufbauen nehme ich an. Jetzt hört es sich ganz so an, als hätte PPP gewählt, authetifiziert, dann den Callback ausgelöst und per LCP die Verbindung aufgebaut. Der PPP Sublayer IPCP wäre jetzt eigentlich dran die IP Parameter zu übergeben ... IP Addresse (optional: Gateway DNS WINS)

Also entweder etwas mehr Config posten oder mal auf das IPCP aus dem PPP konzentrieren bei der Fehlersuche.

noch etwas: wofür ist denn die ACL 1 gedacht? den Dialer zu triggern oder den http-Zugriff abzusichern. Warum steht keine Wildcard-Mask dabei - sollen nur zwei einzelne Hosts den Dialer aktivieren?

Gruss
Robert

[rob_67]

Hallo Stadt Tiger,

um zu testen solltest du vielleicht wirklich erstmal die dialer list 1 (access-list 1 permit any) aufbohren aund komplett ip erlauben, schau erstmal, ob die verbindung dann funktioniert, danach kannst du ja den traffic einschränken und debuggen mit debug dialer packets und dialer events)

Gruss

Rob

[rob_67]

Vielleicht hast du mit der access-list 1 aber einfach nur den traffic für http Zugriff auf die router einschränken wollen und nicht den Traffic, der fürs dialing zuständig ist?

[Stadt-Tiger]

Hallo und guten Morgen,

entschuldigt, ich hatte gestern ein Internetproblem. Aber da bin ich wieder.
Was ich bereits ausprobiert habe, ist alles zuzulassen. Bei meinem ersten Versuch, bevor ich überhaupt irgendeine Access-List hatte, ging es. Jetzt nicht mehr.
Meine Access-List 1 ist eigentlich nur für den HTTP-Zugriff. Sollte jedenfalls so sein.
Das mit ICMP werde ich gleich mal eintragen.

Am Besten setze ich doch noch mal meine gesamte Konfiguration hier rein. Vielleicht ist auch irgendwo anders ein Fehler versteckt.

Code:

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 16000 debugging
enable password 7 xxx
!
username xxx privilege 15 password 7 xxx
username xxx privilege 0 password 7 xxx
username xxx privilege 0 password 7 xxx
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
aaa authentication ppp default local
aaa authorization network default if-authenticated
aaa session-id common
ip subnet-zero
ip cef
!
no ip domain lookup
!
ip audit po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
interface FastEthernet0/0
 description Verbindung zum LAN
 ip address 192.168.2.2 255.255.254.0
 duplex auto
 speed auto
!
interface BRI1/0
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/1
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/2
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/3
 description noch keine Verbindung
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface Dialer1
 description Verbindung von Außen
 ip address 192.168.1.2 255.255.255.0
 encapsulation ppp
 no ip split-horizon
 dialer in-band
 dialer caller 0123 callback
 dialer caller 0234 callback
 dialer map ip 192.168.1.11 name xxx 0123
 dialer map ip 192.168.1.12 name xxx 0234
 dialer-group 1
 ppp authentication chap
!
ip http server
ip http access-class 1
ip http authentication local
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.1.0 255.255.255.0 Dialer1 permanent
ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent
!
!
access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny   any
access-list 1 permit any
dialer-list 1 protocol ip list 1
!
line con 0
line aux 0
line vty 0 4
!
!
end

Das ist noch meine momentane Router-Konfiguration ohne die Änderungen, die ihr vorgeschlagen habt.

Liebe Grüße

[rob_67]

hallo stadt tiger,

die änderung in der acl ist wirkungslos, bitte erst nochmal die acl 1 löschen, dann nochmal neu erzeugen mit permit any, dann nochmal testen

[Stadt-Tiger]

Hallo Rob,

funktioniert nicht.

Liebe Grüße

[rob_67]

was funktioniert nicht? kannst du dich auf der gegenseite einwählen?

[Hr_Rossi]

hi

schau dir mal den link an

http://www.mcseboard.de/showthread.p...t=ddr+callback (DDR mir cisco 800 und callback)

bzw
den hier

http://www.mcseboard.de/search.php?searchid=221815

lese dies genau durch !

Bei dir schuats so aus wie wenn das routing nicht passt beziehungsweise wo hast du eingetragen auf welche isdn nummer dein router antwortet ??

mfg
rossi