Zum Inhalt wechseln


Foto

Und wieder mal ein C 801 Problem


  • Bitte melde dich an um zu Antworten
62 Antworten in diesem Thema

#31 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 01. September 2004 - 10:41

Hallo Leute !

Danke eines super netten Bekannten ;) Hab ich nun eine neue IOS mit FW druf - hat gleich auf Anhieb geklappt.

Nun ist das Einrichten mit dem Tool Fast Step ja toll (schnell) - jedoch spezifische Parameter wie offene Ports oder ähnliches nicht konfigurierbar. Na ja es gibt ja noch den Config Maker - hab da ne super config gemacht, aber der Router will die nicht nehmen - bricht beim überspielen dauernd ab - wiedereinmal liegt das Problem wahrscheinlich for dem Rechner :(

Severe Warning: Only the first name server with IP address 213.33.99.70(=DNS - is von mir eingefügt zum besseren verständniss) is preserved. The rest are removed.
Warning: Since no IP routing protocol is enabled on your router, RIP version 2 is enabled.
Severe Warning: The line console must be configured with 'login'. This is required by Cisco ConfigMaker. When you login to this router, it will only prompt for the password configured on this line.
Severe Warning: All line vtys must be configured with 'login'. This is required by Cisco ConfigMaker. When you telnet to this router, it will only prompt for the password configured on this line.
Severe Warning: Setting login password to '' since it was not set.
Warning: There are some commands that are not recognized by Cisco ConfigMaker. In the right pane above, scroll down to the end of the IOS configuration to view these appended commands.

Was will der denn das ich ändere ?
soll ich mal die Konfiguration anhängen die ich erstellt hab ?

MfG

Yeti :D

Edit:

!
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Router
!
enable secret 5 $1$I/PY$Djvje0kpNNMFVmiQ0/fx00
username Router password 7 *********
!
ip name-server 213.33.99.70 (=DNS Adresse von mir - gibt noch ne zweite)
!
isdn switch-type basic-net3
!
ip subnet-zero
ip domain-lookup
ip routing
!
interface Dialer 1
description connected to Internet
ip address *********** 255.255.255.252
ip nat outside
no ip split-horizon
encapsulation ppp
dialer in-band
dialer idle-timeout 300
dialer string (Nummer die angerufen wird) class 56K
dialer hold-queue 10
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname ************
ppp chap password 7 ***************
ppp pap sent-username ********** password 7 ***************
no ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
description connected to EthernetLAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
keepalive 10
!
interface BRI 0
no shutdown
description connected to Internet
no ip address
dialer rotary-group 1
!
map-class dialer 56K
dialer isdn speed 56
!
! Access Control List 18
!
no access-list 18
access-list 18 permit 192.168.0.0 0.0.0.255
!
! Access Control List 121
!
no access-list 121
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny tcp any eq netbios-ns any
access-list 121 deny tcp any eq netbios-dgm any
access-list 121 deny tcp any eq 139 any
!
! Dialer Control List 1
!
no dialer-list 1
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 18 interface Dialer 1 overload
!
! DHCP Server
!
service dhcp
ip dhcp pool 1
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 213.33.99.70 80.120.17.70
!
router rip
version 2
network 192.168.0.0
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
login
transport input none
!
line vty 0 4
exec-timeout 0 0
login
! Das untere schreibt er mir in blau ???
! The following commands are not recognized by Cisco ConfigMaker
! and are therefore appended here.
!
! Last configuration change at 12:38:31 UTC Wed Sep 1 2004
! NVRAM config last updated at 12:10:57 UTC Wed Sep 1 2004
!
interface Ethernet 0
ip access-group 121 in
no ip proxy-arp
!
interface Dialer 1
ip access-group 121 in
no ip proxy-arp
dialer max-call 4096
access-list 121 deny udp any eq netbios-ss any
access-list 121 permit ip any any time-range TIME
rcapi server port 2578
time-range TIME
periodic daily 0:00 to 23:59
!
end
There are a lo of Humans, but there are only one Yeti !?

#32 Blacky_24

Blacky_24

    Board Veteran

  • 587 Beiträge

 

Geschrieben 01. September 2004 - 11:18

Es steht doch klipp und klar da was der will?!?!

Welche Config Maker-Version verwendest Du?

Gruss
Markus

#33 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 01. September 2004 - 11:29

Es steht doch klipp und klar da was der will?!?! - sorry leider kenn ich mich mit dem Gerät überhabt nicht aus :(

Config Maker 2.6

So long

Yeti :D
There are a lo of Humans, but there are only one Yeti !?

#34 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 01. September 2004 - 13:28

Da ist noch ein weit größeres Problem nun auf mich zugekommen - Der Router disconnektet nimmer - bzw nach traffik im internen LAN wählt er sich wieder ein - das gibt´s doch net hört die Pechsträne von mir den nie auf :( :( :(

Hab jetzt schon den 20 versuch mit fast step hinter mir - will net - was mache ich falsh bzw. was soll ich wo ändern, das er den internen Traffik nimmer brücksichtigt ?

Danke für die Antwort

Yeti :D
There are a lo of Humans, but there are only one Yeti !?

#35 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 01. September 2004 - 15:23

Ich raff jetzt garnicht´s mehr - hab schon soviel gelesen hier das mir der Kopf rauch :(

Also das mit dem "wiederverbinden" hängt an der Access List richtig ?
Jo also wie lese ich dann das config file aus - editiere es richtig und spiele es wieder ein ? Und wie kann ich die Firewall einrichten - schade das der Config maker net geht :(

Meine jetzige conf sieht jedenfalls so aus:

!
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Router
!
enable secret 5 *************
username Router password 7 **********
!
ip name-server 213.33.99.70
!
isdn switch-type basic-net3
!
ip subnet-zero
ip domain-lookup
ip routing
!
interface Dialer 1
description connected to Internet
ip address *********** 255.255.255.252
ip nat outside
no ip split-horizon
encapsulation ppp
dialer in-band
dialer idle-timeout 300
dialer string ********* class 56K
dialer hold-queue 10
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname **************
ppp chap password 7 **************
ppp pap sent-username ********** password 7 ***************
no ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
description connected to EthernetLAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
keepalive 10
!
interface BRI 0
no shutdown
description connected to Internet
no ip address
dialer rotary-group 1
!
map-class dialer 56K
dialer isdn speed 56
!
! Access Control List 18
!
no access-list 18
access-list 18 permit 192.168.0.0 0.0.0.255
!
! Access Control List 101
!
no access-list 101
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny tcp any eq netbios-ns any
access-list 101 deny tcp any eq netbios-dgm any
access-list 101 deny tcp any eq 139 any
access-list 101 deny ip any any
!
! Access Control List 111
!
no access-list 111
access-list 111 deny ip any any
!
! Dialer Control List 1
!
no dialer-list 1
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 18 interface Dialer 1 overload
!
! DHCP Server
!
service dhcp
ip dhcp pool 1
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server *********** ***********
!
router rip
version 2
network 192.168.0.0
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
login
transport input none
!
line vty 0 4
exec-timeout 0 0
login
!
! The following commands are not recognized by Cisco ConfigMaker
! and are therefore appended here.
!
! Last configuration change at 17:17:17 UTC Wed Sep 1 2004
! NVRAM config last updated at 16:25:42 UTC Wed Sep 1 2004
ip inspect name firewall cuseeme
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall ftp
ip inspect name firewall http
ip inspect name firewall h323
ip inspect name firewall realaudio
ip inspect name firewall smtp
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
ip inspect name firewall vdolive
ip inspect name firewall tcp
ip inspect name firewall udp
!
interface Ethernet 0
ip access-group 101 in
no ip proxy-arp
!
interface Dialer 1
ip access-group 111 in
no ip proxy-arp
ip inspect firewall out
dialer max-call 4096
access-list 101 deny udp any eq netbios-ss any
access-list 101 permit ip 192.168.0.0 0.0.0.255 any time-range TIME
access-list 101 permit udp any any eq bootps time-range TIME
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
rcapi server port 2578
time-range TIME
periodic daily 0:00 to 23:59
!
end

Yeti
There are a lo of Humans, but there are only one Yeti !?

#36 scooby

scooby

    Expert Member

  • 640 Beiträge

 

Geschrieben 02. September 2004 - 01:04

Hi,

sag doch bitte einmal welcher Traffic den Router dazu bewegen sollte eine Verbindung her zu stellen?? z.b. nur http ftp smtp pop3?
Desweitern nach welcher Zeit soll er weider ein disconnected machen?
versuchen ist der erste schritt zum versagen...
homer j. simpson

#37 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 02. September 2004 - 03:54

Hy
scooby !

Dachte zuerst das wären beine dboxen - da ich aber nu alles ausgesteckt hab können die´s ja wohl nicht sein :(

ALso legt der Router nicht auf :mad:

Tja - werde weiterprobieren.

So long

Yeti :D
There are a lo of Humans, but there are only one Yeti !?

#38 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 02. September 2004 - 03:55

Sorry - doppelposting
There are a lo of Humans, but there are only one Yeti !?

#39 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 02. September 2004 - 14:52

Sodala - hab wieder viiiiiiiiiieeeeeeeeell gelesen.

Nun bin ich zu dem Schluß gekommen, das ich doc eigentlich nur das config per tftp schieben muß - es zu editieren - und fertig ? Is das richtig ? Nun habe ich gemacht:

!
! Last configuration change at 16:29:07 UTC Thu Sep 2 2004
! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging buffered 8192 debugging
enable secret 5 **********************
!
username Router password 7 *******
!
!
!
!
ip subnet-zero
no ip source-route
!
ip dhcp pool DHCPPoolLAN_0
network 192.168.0.0 255.255.255.0
dns-server 213.33.99.70 80.120.17.70
default-router 192.168.0.1
!
ip inspect name firewall cuseeme
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall ftp
ip inspect name firewall http
ip inspect name firewall h323
ip inspect name firewall realaudio
ip inspect name firewall smtp
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
ip inspect name firewall vdolive
ip inspect name firewall tcp
ip inspect name firewall udp
ip name-server 213.33.99.70
ip name-server 80.120.17.70
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
!
interface Dialer1
description ISP
ip address ************ *************
ip access-group 111 in
no ip proxy-arp
ip nat outside
ip inspect firewall out
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer string ************* class DialClass
dialer hold-queue 10
dialer max-call 4096
dialer-group 1
pulse-time 0
ppp authentication chap pap callin
ppp chap hostname ***************
ppp chap password 7 ****************
ppp pap sent-username ************ password 7 **************
!
ip nat inside source list 18 interface Dialer1 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
map-class dialer DialClass
access-list 18 permit 192.168.0.0 0.0.0.255
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny udp any eq netbios-ss any
access-list 101 deny tcp any eq 137 any
access-list 101 deny tcp any eq 138 any
access-list 101 deny tcp any eq 139 any
access-list 101 permit ip 192.168.0.0 0.0.0.255 any time-range TIME
access-list 101 permit udp any any eq bootps time-range TIME
access-list 101 deny ip any any
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
!
rcapi server port 2578
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end

Nun bräuchte ich doch nur mehr zu editieren was ich will oder sehen ich das falsch ?

Bei dieser config - hängt der Router nimmer auf, und läßt mich keine mails verschicken (per SMTP) desweiteren weis ich nich wo zur Hölle ich in der Console die Firewall bearbeiten kann ? müßte da ein paar Ports öffnen - dann wäre eigentlich mein Problem schon gelöst.

Danke

Yeti
There are a lo of Humans, but there are only one Yeti !?

#40 corc

corc

    Newbie

  • 57 Beiträge

 

Geschrieben 02. September 2004 - 18:44

Hi,

Cisco hat ein Problem mit ip inspect (Firewall) und SMTP.
Wenn Du die Zeile
ip inspect name firewall smtp
rausläßt und dann das File nochmal mit
copy tftp start
rüberschiebst und rebootest, solltest Du Emails verschicken können.
Mit Ports hat das erstmal nichts zu tun, denn von innen nach außen sind alle Ports offen [Anm. d. Aut.: das ist nicht schädlich, solange Du Dir keinen Virus eingefangen hast.] ;)
Von außen nach innen darf allerdings überhaupt nichts rein außer den icmp-Paketen, die Du zugelassen hast:
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
Alles andere wird weggeworfen:
access-list 111 deny ip any any
Schade, reflexive Accesslisten werden erst ab IOS 12.2(13)T unterstützt (wenn mich nicht alles täuscht). Reflexive Accesslisten 'merken' sich den Quellport und öffnen ihn automatisch für den Rückweg.
Ohne reflexive Accesslisten müßtest Du in etwa so vorgehen:
! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any

Gruß,

corc.
{T-DSL 768 Flat FP}--[Cisco 1721 (12.3(11)T ADVSEC)]--[Cisco PIX Firewall 501 (6.3(4))]--[2x Win XP Pro SP 1, 1x Win 98]
"The most commonplace router is often the most mysterious because
it presents no new or special features from which deductions may be drawn."
Sherlock Holmes, "A Study in Scarlet" (slightly changed)

#41 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 03. September 2004 - 03:46

Hy croc !

Danke !!!!!!!!!!!!

Müßte dann so ausschauen oder ???????:

!
! Last configuration change at 16:29:07 UTC Thu Sep 2 2004
! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging buffered 8192 debugging
enable secret 5 *****************
!
username Router password 7 ************
!
!
!
!
ip subnet-zero
no ip source-route
!
ip dhcp pool DHCPPoolLAN_0
network 192.168.0.0 255.255.255.0
dns-server 213.33.99.70 80.120.17.70
default-router 192.168.0.1
!
ip inspect name firewall cuseeme
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall ftp
ip inspect name firewall http
ip inspect name firewall h323
ip inspect name firewall realaudio
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
ip inspect name firewall vdolive
ip inspect name firewall tcp
ip inspect name firewall udp
ip name-server 213.33.99.70
ip name-server 80.120.17.70
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
!
interface Dialer1
description ISP
ip address ********** *************
ip access-group 111 in
no ip proxy-arp
ip nat outside
ip inspect firewall out
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer string ********* class DialClass
dialer hold-queue 10
dialer max-call 4096
dialer-group 1
pulse-time 0
ppp authentication chap pap callin
ppp chap hostname ************
ppp chap password 7 **********
ppp pap sent-username 9224063000 password 7 ********
!
ip nat inside source list 18 interface Dialer1 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
map-class dialer DialClass
access-list 18 permit 192.168.0.0 0.0.0.255
! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line console 0
exec-timeout 0 0
password 7 ************
login
transport input none
!
line vty 0 4
exec-timeout 0 0
password 7 ********
login
!
rcapi server port 2578
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end

Is dann das Time out Problem auch damit gelöst oder soll ich da nochwas ändern ??? Trozdem ich nun alle Fehler die mir der Config Maker ausgegeben hat, zu lösen - bricht der immer noch im letzten Teil der übertragung der Konfiguration ab - mit ner Fehlermeldung dialer max-call 4096 to much oder so:

Gruß Yeti :D
There are a lo of Humans, but there are only one Yeti !?

#42 corc

corc

    Newbie

  • 57 Beiträge

 

Geschrieben 03. September 2004 - 06:32

Hi,

sorry, mein Fehler. Der Teil
! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any
soll sich natürlich auf die Accesslist 111 beziehen, also:
! alle hergestellten Verbindungen erlauben:
access-list 111 permit tcp any any established 
! UDP: DNS erlauben:
access-list 111 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 111 permit udp any eq ntp any
Danach kopierst Du deine bisherigen Accesslisten rein:
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any
Zeilen, die mit '!' beginnen, sind Kommentare und werden von Cisco nicht beachtet, sollten also in 'show running-config' (oder kurz: 'sho run') nicht mehr auftauchen.

Momentan ist der Router so konfiguriert, daß er nach einer idle-Zeit von 300 Sekunden die Verbindung trennt. Sprich: fünf Minuten nach dem letzten Datenverkehr legt er auf. Einstellen kannst Du das Verhalten unter anderem hier:
dialer idle-timeout 300
Wenn Du also möchtest, daß der Router nach einer kürzeren Zeitspanne auflegt, gibst Du statt 300 eben 120 oder so ein. Wenn Du möchtest, daß er überhaupt nicht mehr auflegt (Achtung; eventuell Kostenfalle!), dann löscht Du die Zeile
dialer idle-timeout 300
raus und ersetzt sie durch
dialer persistent
(hoffentlich kennt die Version 12.1 den Befehl schon...)

Gruß,

corc.
{T-DSL 768 Flat FP}--[Cisco 1721 (12.3(11)T ADVSEC)]--[Cisco PIX Firewall 501 (6.3(4))]--[2x Win XP Pro SP 1, 1x Win 98]
"The most commonplace router is often the most mysterious because
it presents no new or special features from which deductions may be drawn."
Sherlock Holmes, "A Study in Scarlet" (slightly changed)

#43 thorgood

thorgood

    Moderator

  • 2.709 Beiträge

 

Geschrieben 03. September 2004 - 07:10

Wenn du
dialer idle-timeout 300
verwendest füge noch die Zeile
dialer in-band
hinzu.

Damit der Dialer nur einen ISDN Kanal verwendet noch
no ppp multilink
und vieleicht noch unnötigen CDP Traffic abschalten
no cdp enable

thorgood

#44 realYeti

realYeti

    Newbie

  • 39 Beiträge

 

Geschrieben 03. September 2004 - 10:59

Hy Ihr seit Klasse !

Das mit dem email versenden klappt nu - super !!!

Auswählen tut er sich aber immer noch net - weder nach 300 sec noch irgendwann - da ich nur ein Stundenpacket hab wäre das ne katastrophe - ich hoffe euch fällt nochwas ein - ich hab immer so alle 8 -10 sec : bei den Roten Lämpchen ch1 dauernd an (Kanal) - der RXD. und der TXD blinken einmal auf - auch das gelbe TXD blinkt zur selben Zeit - was kann das sein vom Netzwerk kommt das jedenfalls net - hab alles abgesteckt - blinkt sogar wenn der Router nur alleine am Switch hängt ??????

Hoffe das die letzte Hürde jetzt auch noch fällt - das wäre toll :D

Hier nun meine conf - hoffe die änderungen sind so richtig ??:


!
! Last configuration change at 16:29:07 UTC Thu Sep 2 2004
! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging buffered 8192 debugging
enable secret 5 ***************
!
username Router password 7 ***************
!
!
!
!
ip subnet-zero
no ip source-route
!
ip dhcp pool DHCPPoolLAN_0
network 192.168.0.0 255.255.255.0
dns-server ********** ****************
default-router 192.168.0.1
!
ip inspect name firewall cuseeme
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall ftp
ip inspect name firewall http
ip inspect name firewall h323
ip inspect name firewall realaudio
ip inspect name firewall sqlnet
ip inspect name firewall streamworks
ip inspect name firewall tftp
ip inspect name firewall vdolive
ip inspect name firewall tcp
ip inspect name firewall udp
ip name-server *************
ip name-server *************
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
!
interface Dialer1
description ISP
ip address 80.122.63.89 255.255.255.252
ip access-group 111 in
no ip proxy-arp
ip nat outside
ip inspect firewall out
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer in-band
no ppp multilink
no cdp enable
dialer string ************* class DialClass
dialer hold-queue 10
dialer max-call 4096
dialer-group 1
pulse-time 0
ppp authentication chap pap callin
ppp chap hostname **********
ppp chap password 7 **************
ppp pap sent-username ********** password 7 **************
!
ip nat inside source list 18 interface Dialer1 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
map-class dialer DialClass
access-list 18 permit 192.168.0.0 0.0.0.255
! alle hergestellten Verbindungen erlauben:
access-list 111 permit tcp any any established
! UDP: DNS erlauben:
access-list 111 permit udp any eq domain any
! UDP: NTP erlauben
access-list 111 permit udp any eq ntp any
access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line console 0
exec-timeout 0 0
password 7 ***********
login
transport input none
!
line vty 0 4
exec-timeout 0 0
password 7 ***************
login
!
rcapi server port 2578
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end

Gruß

Yeti :D
There are a lo of Humans, but there are only one Yeti !?

#45 corc

corc

    Newbie

  • 57 Beiträge

 

Geschrieben 03. September 2004 - 20:39

Hi,

das kann jetzt viele Ursachen haben.
Zwei davon: Filesharing und Scriptkiddies, auch wenn Du weder Filesharer noch Scriptkiddy bist... ;)
Das Problem: vermutlich hast Du eine dynamisch vom Provider zugewiesene IP-Adresse. Du loggst Dich aus, Du loggst Dich ein: neue IP-Adresse. Diese neue IP-Adresse kann aber vor zwei Minuten noch zu einem Anschluß gehört haben, dessen Benutzer Filesharing betreibt. Jetzt versuchen diverse andere Rechner, Deine Filelisten oder sonstwas runterzuladen und schicken immer wieder Daten an Deinen Anschluß, der dadurch offengehalten wird.
Ähnlich ist es mit anderen permanenten Anfragen aus dem Internet, die durch Scriptkiddies, Viren oder sonstwas hervorgerufen werden.
Deswegen ist ein Router eigentlich absolutes Gift für einen Zeittarif... aber ich denke, mit einem Cisco sollten wir das hinkriegen...

Also: zuerst eine neue Accessliste:
access-list 120 remark für den interessanten Traffic
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit icmp 192.168.0.0 0.0.0.255 any
access-list 120 permit tcp 192.168.0.0 0.0.0.255 established
access-list 120 deny ip any any
access-list 120 deny icmp any any
Dann dem Router sagen, daß er diese Accessliste benutzen soll, um den interessanten Traffic zu ermitteln.
'Interessant' := a) der Router fängt an zu wählen und B) der Router setzt die Idletime wieder auf 300 Sekunden.
Ersetze den Eintrag
dialer-list 1 protocol ip permit
durch
dialer-list 1 protocol ip list 120
Dann würde ich unter 'interface BRI0' und unter 'interface Dialer1' noch
no ip directed-broadcast
einfügen.

Gruß,

corc.
{T-DSL 768 Flat FP}--[Cisco 1721 (12.3(11)T ADVSEC)]--[Cisco PIX Firewall 501 (6.3(4))]--[2x Win XP Pro SP 1, 1x Win 98]
"The most commonplace router is often the most mysterious because
it presents no new or special features from which deductions may be drawn."
Sherlock Holmes, "A Study in Scarlet" (slightly changed)