Zum Inhalt wechseln


Foto

Cisco ISDN Router Konfig Hilfe !


  • Bitte melde dich an um zu Antworten
43 Antworten in diesem Thema

#31 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 20. Juni 2005 - 12:24

zu den Ausrufezeichen:
Ich hab die Config im Editor zusammengekürzt, daher der unübliche Aufbau.

zu access lists: ich weiss, wollte einfach den Fehler dort auschliessen und lasse erst mal alles zu..

Die Konfig kann auf dem Router gespeichert werden und entpspricht dem was ihr vorher gesehen habt. Dass noch falsche Befehle drin sind kommt davon dass ich als Ausgangslage ne Beispiel Konfig von Cisco genommen habe... UND : einzeln haben die Konfigs ja funktioniert, dass ist ja der Ärger.

Ganz am Anfang (siehe erste Konfig) war eigentlich die Ausgangslage, die Robert siche wünscht: Die Konfig kann ohne Fehler gespeichert werden, der Internetzugang klappt - lediglich die Filiale nicht.

Danke für Eure Hilfe, ich verstehe es , wenn ihr angesichts der Länge keinen Bock mehr habt. Wenn doch noch, umso besser. Ich geb auf jeden Fall nicht auf bis dass Ding läuft....


PS: debug ppp negotiation war eingeschaltet, es kamen aber nur die geposteten Fehlermeldungen

#32 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 20. Juni 2005 - 12:43

Hier die running-config:


Current configuration : 1809 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxxxxxxxx
!
boot-start-marker
boot-end-marker
!
enable password xxxxxxxxxxxxxxxx
!
username xxxxxxxxx password xxxxxxxxxxxxx
!
!
no aaa new-model
ip subnet-zero
no ip domain lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 172.16.8.1 255.255.255.0
!
interface BRI0
description connected to xxxxxxxxx,Internet
no ip address
encapsulation ppp
dialer pool-member 11
isdn switch-type basic-net3
ppp authentication chap
!
interface Dialer1
description connected to xxxxxxxxx
ip address 172.16.4.1 255.255.255.0
encapsulation ppp
dialer pool 11
dialer-group 1
no cdp enable
ppp authentication chap
ppp chap hostname xxxxxxxxxxx
!
interface Dialer2
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 11
dialer remote-name xxxxxxxx
dialer-group 2
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxx
ppp chap password xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxx password xxxxxxxxxxxxxxxx
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 2 interface Dialer2 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer2
ip route 172.16.13.0 255.255.255.0 172.16.4.13
no ip http server
!
access-list 101 permit ip any any
access-list 102 permit ip any any
dialer-list 1 protocol ip list 101
dialer-list 2 protocol ip list 102
banner motd ^CJobst Willers Engineering AG^C
!
line con 0
exec-timeout 0 0
password xxxxxxxxxxxxx
login
transport preferred all
transport output all
stopbits 1
line vty 0 4
password 7 0010161510
login
transport preferred all
transport input all
transport output all
!
no rcapi server
!
!
!
end

#33 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 20. Juni 2005 - 12:59

OK machen wir einfach hier weiter (muss aber gleich mal kurz weg :) )

Also dann würde ich vorschlagen zuerst einen Dialer - den fürs Internet ordentlich einzuricheten. Danach machen wir den zweiten zusätzlich. Versuche dabei folgendes zu berücksichtigen:

1. die Zeile "no ip split-horizon" wird da erstmal nicht gebraucht - weg damit.

2. weise die Tel. Nr zuerst mit dem "dialer string 123456" zu - keine maps

3. benutze wenn möglich 2 verschiedene ACLs - die wirst Du später sicher dringend brauchen um den Verkehr einzuschränken. Also besser
dialer-group 2 -> dialer-list 2 protocol list 102 -> access-list 102 permit ip any 0.0.0.0 0.0.0.0
dialer-group 1 -> dialer-list 1 protocol list 101 -> access-list 101 permit ip any 172.16.13.0 0.0.0.255
(für später)

4. bitte die Authentifizierung zum ISP mal aussortieren, besser kein PAP benutzen. Das keyword "callin" finde ich da komisch, soll eigentlich bedeuten das die authentifizierung nur für eingehende Anrufe benutzt werden soll. Alosnur : "ppp authentication chap" keine "ppp pap sent-username ..." Kann mir nicht vorstellen dass der Provider kein CAP kann.

5. vielleicht die Routing-Tabelle in diese Richtung:
ip route 0.0.0.0 0.0.0.0 dialer 2
ip route 172.16.13.0 255.255.255.0 dialer 1 (für später)

danch sollte man erst mal den Ping zum ISP ans laufen kriegen. Mein Vorschlag.

So muss aber gez erstmal 2h Radfahren
Gruss
Robert

#34 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 20. Juni 2005 - 13:00

Jo merci, gut Radl !!

#35 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 20. Juni 2005 - 13:06

jetzt sieht es doch schon besser aus, kommt die fehlermeldung noch, dass der dialer pool fehlt?

was noch fehlt, sind die dialer strings und beim nat gibts auch ein problem...

@wursti, was fährst du denn für eine maschine?

#36 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 20. Juni 2005 - 13:07

nochwas:
NAT auf dem Dialer 1 zur Zweigstelle braucht man doch auch nicht - auf dem Dialer fehlte dazu eh das statement "ip nat outside" also die Zeile "ip nat inside source list 1 interface dialer 1" kann auch weg. Außerdem referenziert "ip nat inside source list 2 ..." doch eine ACL Nr. 2 - die seh ich auch nicht. Also flugs hinzaubern: "access-list 2 permit 172.16.8.0 0.0.0.255"

Gruss
Robert


@rob 67: ein CANYON FACT 2 mit Shimano Ultegra

#37 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 20. Juni 2005 - 15:15

Nach einem Router Reset verschwand die Fehlermeldung nach dem Reload - endlich.
Jetzt hab ich nach Euren Vorschlägen eine Konfig die's ins Internet schafft - UFF :

interface Dialer 2
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 11
dialer idle-timeout 120
dialer string xxxxxxxxxxx
dialer hold-queue 10
dialer remote-name xxxxxxxx
dialer-group 2
ppp authentication chap callin
ppp chap hostname xxxxxxxx
ppp chap password xxxxxxxxx
no ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
ip address 172.16.8.1 255.255.255.0
ip nat inside
no cdp enable
no ip directed-broadcast
keepalive 10
!
interface BRI 0

no shutdown
description connected to bekbfil,Internet
no ip address
encapsulation ppp
dialer pool-member 11
isdn switch-type basic-net3
no cdp enable
!
!
!
access-list 101 permit ip any 172.16.13.0 0.0.0.255
access-list 102 permit ip any any
access-list 2 permit ip any any
!
dialer-list 1 protocol ip list 101
dialer-list 2 protocol ip list 102
!
Dynamic NAT
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 2 interface dialer 2 overload
!
ip classless
!
! IP Static Routes
!ip route 172.16.13.0 255.255.255.0 dialer 1
ip route 0.0.0.0 0.0.0.0 Dialer 2


--> Also das funzt ! (Ach ja: ohne das "callin" gehts nicht !)
Leider muss ich auch weg (Abendkurs) , gerade jetzt wos spannend wird.

D.H. ich komme erst Morgen wieder dazu und werde dann den Dialer 1 (Filialanbindung erstellen). Ich habe das mal auf die schnelle versucht (copy-paste mit Anpassungen) das ergab aber dieselben Fehler wie vorher (no group defined).
Also werd ichs Morgen nochmals neu erstellen und Euch aufs neue belästigen :(

Danke vielmals für die Hilfe, wenigstens gabs ein kleines Erfolgserlebnis zum Schluss.

Gruesse aus der Schweiz,
Marc

#38 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 20. Juni 2005 - 16:44

Du köntest Dialer 1 zunächst ohne die Authentifizierung zu konfigurieren. Dann kann man die Routing/Map und andere zuordnungsprobleme zuerst lösen.

Die access-list 2 ist aber irgendwie sehr unschön - also nach so ziemlich jedem Lehrbuch empfielt sich da "access-list 2 permit <source net>" - also zweimal any any - ne ne wundert mich echt das das geht? da hätte ich jetzt mal eben 100 € verwettet! Wenn eine ACL eine Nr. von 1-99 verwendet handelt es sich um eine Standard-Access-Liste die nur die Quell IP (Netz, Subnetz oder Host). Deshalb macht access-list 1 permit any keinen Sinn - Sie schränkt ja auch nichts ein ...

Gruss, bis Morgen -
Robert

#39 rob_67

rob_67

    Board Veteran

  • 955 Beiträge

 

Geschrieben 21. Juni 2005 - 06:08

moin moin, nochmal etwas zum callin, sobald dies verwendet wird, ist die Authentifizierung nur einseitig, deshalb wird dies gerade bei Providereinwahlen genutzt, d.h. der router sendet seinen user und sein passwort und das wars, da aber der dialer remote name gesetzt ist, prüft er diesen auch noch, es geht aber auch ohne, dann nimmt der router jeden beliebigen namen der gegenseite an.


wenn jetzt beide dialer identisch sind und der zweite wählt immer noch nicht raus, weil angeblich keine dialer group gesetzt ist, würde ich eine andere ios version versuchen...

Vielleicht ein 12.2 er GD release.

@wursti: bist du amateur oder hobbyrenner?

Grüsse

Rob

#40 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 21. Juni 2005 - 07:45

.. dann bin ich auch mal gespannt wann darktemplar wieder auftaucht

dieses "callin" hab das mal in diesem Cisco Field Manual für Router nachgeschlagen - so richtig ausführlich ist das dort wohl auch nicht beschrieben. Bei Amazon.com hab ich mal billige gedruckte Exemplare der offiziellen IOS-Doku gesehen - muss ich nochmal schauen ob die sich lohnen ...

@rob: ne bin nur Hobbyrenner (D-Lizenz :) ) - fürs Fahrrad ist mir im Frühjahr zu lange zu kalt. Laufe mehr ..

Gruss
Robert

#41 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 21. Juni 2005 - 08:09

Sali Zäme,

Ich musste kurzfristig ne Offerte erstellen, wobei ich doch lieber was anderes machen würde - ihr wisst schon..
Bin am Nami wieder da. Bis dahin spende ich Euch bei der Hitze mal einen kühlen virtuellen Drink.
Bis denne

#42 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 21. Juni 2005 - 11:33

YES !!! Ich glaub es gar nicht: Ich bin drin ! :shock:

Big Thanks an das Rob(ert) Dream Team !

Na die aktuelle running-config werd ich gleich nachliefern - über die ISDN Leitung.

Insgesamt waren dann doch einige Fehler/Unwissenheiten drin *schäm* und den Router Reset hät ich wohl auch früher machen müssen. Jetzt gehts noch um die Feinheiten und eine Einwahl muss ich auch noch konfigurieren.

Ich hoffe nun ich kann mein Wissen auch mal so weitergeben, tolle Sache ! Werde jetzt auf jeden Fall regelmässiger Board Besucher.


Übrigens: hier in der Regio Basel kann mann super Fahradtouren machen (Elass, Schwarzwald ect.). Falls Ihr irgendwann mal in der Regio seit und Durst habt, meldet Euch - seid herzlich eingeladen.

Verschwitzte aber freudige Grüsse
Marc

#43 Wurstbläser

Wurstbläser

    Senior Member

  • 308 Beiträge

 

Geschrieben 21. Juni 2005 - 11:58

jo poste mal - bin ich mal gespannt wie es jetzt läuft.

Die über die Access-Listen definierte dialer-list sollte man wenn irgend möglich weiter einschränken (z.B. nur Http, Email etc.) das senkt die Kosten erfahrungsgemäß.

... die Radprofis aus Deutschland ziehen ja auch zuerst in den Schwarzwald, und wenns ihnen da zu flach wird in die Schweiz (dort darf man dann sein Steuersätze noch zusätzlich selbst aushandeln). Hab die ganze letzte Woche die Tour de Suisse verfolgt - nette Ecke da unten ...

Gruss
Robert

#44 darktemplar

darktemplar

    Newbie

  • 19 Beiträge

 

Geschrieben 21. Juni 2005 - 12:17

Hi

Stimmt, an den Access-Lists muss ich noch feilen.... Es kommt dann noch zusätzlich ne Firewall dazwischen (für Statful Packet Inspection ect.).

Die Konfig sieht gar nicht soviel anders aus als am Anfang. Ich denke der Router Reset und vorallem das NEU-Erstellen der Dialer waren die Hauptursache (Bei einer Konfig stand das z.B. der Dialer Pool an der falschen Stelle !?).
Dazu kommen noch die weiteren Inputs von Euch und voilà:

service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname xxxxxxxx
!
enable password xxxxxxx
username xxxxxx password xxxxxxxx
!
no ip name-server
!
isdn switch-type basic-net3
isdn voice-call-failure 0
!
!
ip subnet-zero
no ip domain-lookup
!
interface Dialer 1
description connected to xxxxxxx
ip address 172.16.4.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
dialer pool 11
dialer idle-timeout 60
dialer hold-queue 10
dialer string xxxxxxxxxxxxx
dialer-group 1
!
ppp authentication chap
ppp chap hostname xxxxxxxxxx
!
no ppp multilink
no cdp enable
!
interface Dialer 2
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 11
dialer idle-timeout 60
dialer string xxxxxxxxx
dialer hold-queue 10
dialer remote-name xxxxxxxx
dialer-group 2
ppp authentication chap callin
ppp chap hostname xxxxxxxxx
ppp chap password xxxxxxxxx
no ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
ip address 172.16.8.1 255.255.255.0
ip nat inside
no cdp enable
no ip directed-broadcast
keepalive 10
!
interface BRI 0

no shutdown
description connected to xxxxxxxx,Internet
no ip address
encapsulation ppp
ppp authentication chap
dialer pool-member 11
isdn switch-type basic-net3
no cdp enable
!
access-list 101 permit ip any 172.16.13.0 0.0.0.255
access-list 102 permit ip 172.16.8.0 0.0.0.255
access-list 2 permit 172.16.8.0 0.0.0.255
!
dialer-list 1 protocol ip list 101
dialer-list 2 protocol ip list 102
!
Dynamic NAT
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 2 interface dialer 2 overload
!
ip classless
!
! IP Static Routes
ip route 172.16.13.0 255.255.255.0 172.16.4.13 10 permanent
ip route 0.0.0.0 0.0.0.0 Dialer 2
!
no ip http server
no snmp-server location
no snmp-server contact
banner motd #Text#
!
line console 0
exec-timeout 0 0
password test
login
transport input none
!
line vty 0 4
password test
login
!
!
no service pad
no rcapi server
!
end



Nochmals grosses Schankedön :)

Ja, die Tour de suisse, den Gotthard hab ich auch schon mit Radl gemacht. Aber in der letzten Etappe kamen noch 2 weitere Hammerpässe dazu.... Sowas mach ich dann aber eher mit dem Motorrad. Und schon damit tut am Abend der Allerwerteste weh :D