Zum Inhalt wechseln


Foto

Routen klappt nur ein wenig


  • Bitte melde dich an um zu Antworten
56 Antworten in diesem Thema

#1 Stadt-Tiger

Stadt-Tiger

    Registered User

  • 134 Beiträge

 

Geschrieben 18. Mai 2005 - 13:55

Hallo,

mein Router hatte heute den Funktionstest. Einwahl von außerhalb über ISDN auf den Router. Router -> Callback. Verbindung steht. Jetzt geht es aber nicht weiter ins Netzwerk. Die Verbindung steht wie gesagt, aber ich kann die Server von außerhalb nicht anpingen.
Was wird das Problem sein?
Da ich davon ausgehe, es liegt an meinen routen, setze ich nicht die gesamte Konfiguration rein, sondern nur einen Abschnitt. Wenn ihr die gesamte braucht, sagt bescheid. :)

ip http server
ip http access-class 1
ip http authentication local
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.1.0 255.255.255.0 Dialer1
ip route 192.168.2.0 255.255.254.0 FastEthernet0/0
!
!
access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny any
dialer-list 1 protocol ip list 1

192.168.1.0 sind die Rechner außerhalb.
192.168.2.0 sind die Server im LAN.
192.168.3.0 sind die Rechner im LAN.

IP-Adressen habe ich zum Verständnis so geändert.

Das größte Problem ist jetzt leider die Zeit. Nächste Woche Mittwoch wäre quasi Stichtag. Einwahl mit Zugriff aufs Netzwerk soll da funktionieren. :/

Weiß jemand Rat?

Liebe Grüße

#2 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 18. Mai 2005 - 17:09

hallo

tja schaut so aus als ob sich deine access-listen nur auf ip beziehen.
für einen ping benötigst du aber ICMP.
probier mal folgendes

access-list 101 permit icmp any any echo
dialer list 1 protocol ip list 101

lg
rossi

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#3 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Mai 2005 - 20:33

Hallo Stadt-Tiger -

eigentlich bin ich anderer Meinung als Hr Rossi: die Standard Access-Listen dürften auch das ICMP Protokoll mit einbeziehen. ACL technisch wird ICMP fast wie ein Layer4 Protokoll behandelt, deshalb kann man es auch in den Extended ACLs gesondert definieren.

Deiner Beschreibung nach wirst du vermutlich die Verbindung mit PPP/CHAP aufbauen nehme ich an. Jetzt hört es sich ganz so an, als hätte PPP gewählt, authetifiziert, dann den Callback ausgelöst und per LCP die Verbindung aufgebaut. Der PPP Sublayer IPCP wäre jetzt eigentlich dran die IP Parameter zu übergeben ... IP Addresse (optional: Gateway DNS WINS)

Also entweder etwas mehr Config posten oder mal auf das IPCP aus dem PPP konzentrieren bei der Fehlersuche.

noch etwas: wofür ist denn die ACL 1 gedacht? den Dialer zu triggern oder den http-Zugriff abzusichern. Warum steht keine Wildcard-Mask dabei - sollen nur zwei einzelne Hosts den Dialer aktivieren?

Gruss
Robert

#4 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 19. Mai 2005 - 05:47

Hallo Stadt Tiger,

um zu testen solltest du vielleicht wirklich erstmal die dialer list 1 (access-list 1 permit any) aufbohren aund komplett ip erlauben, schau erstmal, ob die verbindung dann funktioniert, danach kannst du ja den traffic einschränken und debuggen mit debug dialer packets und dialer events)

Gruss

Rob

#5 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 19. Mai 2005 - 05:56

Vielleicht hast du mit der access-list 1 aber einfach nur den traffic für http Zugriff auf die router einschränken wollen und nicht den Traffic, der fürs dialing zuständig ist?

#6 Stadt-Tiger

Stadt-Tiger

    Registered User

  • 134 Beiträge

 

Geschrieben 20. Mai 2005 - 05:26

Hallo und guten Morgen,

entschuldigt, ich hatte gestern ein Internetproblem. Aber da bin ich wieder.
Was ich bereits ausprobiert habe, ist alles zuzulassen. Bei meinem ersten Versuch, bevor ich überhaupt irgendeine Access-List hatte, ging es. Jetzt nicht mehr.
Meine Access-List 1 ist eigentlich nur für den HTTP-Zugriff. Sollte jedenfalls so sein.
Das mit ICMP werde ich gleich mal eintragen.

Am Besten setze ich doch noch mal meine gesamte Konfiguration hier rein. Vielleicht ist auch irgendwo anders ein Fehler versteckt.

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 16000 debugging
enable password 7 xxx
!
username xxx privilege 15 password 7 xxx
username xxx privilege 0 password 7 xxx
username xxx privilege 0 password 7 xxx
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
aaa authentication ppp default local
aaa authorization network default if-authenticated
aaa session-id common
ip subnet-zero
ip cef
!
no ip domain lookup
!
ip audit po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
interface FastEthernet0/0
 description Verbindung zum LAN
 ip address 192.168.2.2 255.255.254.0
 duplex auto
 speed auto
!
interface BRI1/0
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/1
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/2
 description Verbindung Dialer 1
 no ip address
 encapsulation ppp
 dialer rotary-group 1
 dialer-group 1
 isdn switch-type basic-net3
!
interface BRI1/3
 description noch keine Verbindung
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface Dialer1
 description Verbindung von Außen
 ip address 192.168.1.2 255.255.255.0
 encapsulation ppp
 no ip split-horizon
 dialer in-band
 dialer caller 0123 callback
 dialer caller 0234 callback
 dialer map ip 192.168.1.11 name xxx 0123
 dialer map ip 192.168.1.12 name xxx 0234
 dialer-group 1
 ppp authentication chap
!
ip http server
ip http access-class 1
ip http authentication local
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.1.0 255.255.255.0 Dialer1 permanent
ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent
!
!
access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny   any
access-list 1 permit any
dialer-list 1 protocol ip list 1
!
line con 0
line aux 0
line vty 0 4
!
!
end

Das ist noch meine momentane Router-Konfiguration ohne die Änderungen, die ihr vorgeschlagen habt.

Liebe Grüße :)

#7 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 20. Mai 2005 - 05:45

hallo stadt tiger,

die änderung in der acl ist wirkungslos, bitte erst nochmal die acl 1 löschen, dann nochmal neu erzeugen mit permit any, dann nochmal testen

#8 Stadt-Tiger

Stadt-Tiger

    Registered User

  • 134 Beiträge

 

Geschrieben 20. Mai 2005 - 06:57

Hallo Rob,

funktioniert nicht. :(

Liebe Grüße

#9 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 20. Mai 2005 - 07:07

was funktioniert nicht? kannst du dich auf der gegenseite einwählen?

#10 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 20. Mai 2005 - 08:20

hi

schau dir mal den link an

http://www.mcseboard...ht=ddr callback

bzw
den hier

http://www.mcseboard...searchid=221815

lese dies genau durch !

Bei dir schuats so aus wie wenn das routing nicht passt beziehungsweise wo hast du eingetragen auf welche isdn nummer dein router antwortet ??

mfg
rossi

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#11 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 20. Mai 2005 - 09:16

Hallo Stadt Tiger, callback sollte nicht da sProblem sein dialer >nummer> callback macht normales d-kanal callback, wenn denn die nummer passt, schau doch erstmal, ob die verbindung zustande kommt, wenn nicht schick mal ein log

#12 Stadt-Tiger

Stadt-Tiger

    Registered User

  • 134 Beiträge

 

Geschrieben 20. Mai 2005 - 10:27

Hallo Rob,

die Einwahl und das Callback funktionieren ohne Probleme.

Liebe Grüße

PS.: Ein Fehlerlog kann ich erst nächsten Montag schicken, da ich erst zur externen Stelle fahren muss.

#13 Stadt-Tiger

Stadt-Tiger

    Registered User

  • 134 Beiträge

 

Geschrieben 20. Mai 2005 - 10:29

Hallo ihr beiden,

das einzige Problem ist nur der Zugriff auf die Ressourcen im LAN.
Eingewählt ist der Rechner von Außerhalb und hat eine IP-Adresse zugewiesen bekommen. Aber einen Ping oder Tracert kann ich nur auf einen Arbeitsplatzrechner schicken und auf keinen anderen sonst und auch auf keinen der Server.

Liebe Grüße

#14 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 20. Mai 2005 - 10:37

access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny any
access-list 1 permit any
dialer-list 1 protocol ip list 1


... und mit ACL1 soll http abgesichert werden?
Gleichzeitig triggered dieselbe ACL den Dialer.
Das letzte permit-statement wirkt nichts wenn vorher deny all drinsteht - was man eh weglassen kann, da eh ein implizites deny any am Ende jeder ACL steht.
Mach zu Testzwecken mal ein
"dialer-list 1 protocol ip permit" statt deiner "list 1"

Warum steht im Dialer "dialer in band" ist Dein Bri0 nicht an einem NTBA?

Als methodisch erst um PPP und routing kümmern - dann die ACLs weiter 'zumachen'

Gruss
Robert

#15 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 20. Mai 2005 - 10:47

was mich interessieren würde, wenn es in dem Netz keinen Internetzugang gibt, was soll der eintrag "ip route 0.0.0.0 0.0.0.0 fast 0/0" bewirken?