Vlan

[Wurstbläser]

Hi Morte

nur kurz zu eq domain in Access-Lists

.. steht für DNS-Anfrage über die Quell- und Zielports 53. Man könnte genausogut schreiben "eq 53" - allerdings UDP, nicht TCP. Nur wenn Du also intern einen DNS-Server benutzt und die Clients mit diesem konfiguriert sind, kannst Du Port 53 weiter einschränken.

So könnten die ACLs aussehen:
DNS fur alle:
access-list 101 permit udp any eq domain any eq domain
DNS nur für einen DNS-Server:
access-list 102 permit udp host 10.0.0.1 eq 53 any eq 53
natürlich kannst Du den DNS weiter absichern, oder dessen Anfragen weiter einschränken, authetifizieren etc.
(10.0.0.1 soll für die Ip des DNS-Servers stehen, eq domain und eq 53 sind identisch, die Clients hätten 10.0.0.1 als DNS-Server)



und hier dein Problem unbeabsichtigte Einwahl:
in Deiner config steht
dialer-list 1 protocol ip permit

diese Zeile ruft bei jeder Art von Ip-Verkehr (TCP/UDP/ICMP+Routingprotokolle) den Dialer auf - pauschal wird alles erlaubt. Du kannst statt dessen etwas eingeschränkter eine weitere accesslist angeben, in der Du nur die 'Anläße' definierst die die EInwahl auslösen sollen. Das geht z.B. so:

dialer-list 1 protocol ip list 120

jetzt musst du also noch eine ACL Nr. 120 einrichten die etwas spezifischer nur bei bestimmten Ereignissen rauswählt. Als Beispiel:

access-list 120 permit tcp any any eq 80
access-list 120 permit tcp any any eq 25
access-list 120 permit udp any any eq 53
access-list 120 permit tcp any any eq 110etc.

Nur wenn jetzt die gelisteten Ports aus dem Standardgateway geroutet werden sollen, springt der Dialer an. Diese Liste ist natürlich anzupasen. Außerdem veranlasst diese List nur die Einwahl. Es scheint mir der beliebteste Fehler überhaupt zu sein, diese ACLs für eine Mini-Firewall zu halten: dem ist nicht so ...

Gruss
Robert

[mr._oiso]

Hi Morte

eq = equal = gleich

Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte.
domain ist hier die Umschreibung für dns = domain name service.

Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint !

Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet.
range Port 1-65535
lt = lower than Port x
gt = greater than Port Y z.B.


Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht.
Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom
Server aus wieder triggert. Triggert=iniziiert

Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ?
Sonst poste mal Deine dialer-list von beiden Routern.

Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden.
Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ?

MfG

Mr. Oiso