DSL über Cisco 1712

Weisskreuz · 13. Juli 2005

So, ich habe jetzt die Zugangsdaten von unserem Provider eingetragen.

aber.... es geht immer noch nicht :mad:

Ich werde jetzt mal die Debugs und meine aktuelle Config hier posten (mal wieder :wink2: )

Config:

hostname Cisco1712

!

boot-start-marker

boot-end-marker

!

no logging buffered

enable secret 5 xxxxxxxxxxxxxxxxxxxx

enable password xxxxxxxxxx

!

mmi polling-interval 60

no mmi auto-configure

no mmi pvc

mmi snmp-timeout 180

no aaa new-model

ip subnet-zero

no ip source-route

!

ip cef

ip inspect dns-timeout 30

ip inspect name fw tcp timeout 3600

ip inspect name fw udp timeout 300

ip inspect name fw ftp

ip inspect name fw realaudio

ip inspect name fw vdolive

ip ids po max-events 100

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

!

interface BRI0

no ip address

shutdown

!

interface FastEthernet0

description PPPoE-DSL

no ip address

speed auto

half-duplex

pppoe enable

pppoe-client dial-pool-number 2

no cdp enable

!

interface FastEthernet1

description LAN

no ip address

!

interface FastEthernet2

switchport trunk native vlan 2

no ip address

shutdown

spanning-tree portfast

!

interface FastEthernet3

no ip address

shutdown

spanning-tree portfast

!

interface FastEthernet4

no ip address

shutdown

spanning-tree portfast

!

interface Vlan1

ip address 10.2.2.128 255.255.255.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1350

!

interface Dialer2

description [WAN DSL]

mtu 1492

ip address negotiated

ip nat outside

ip inspect fw out

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 2

dialer-group 1

no cdp enable

ppp authentication chap

ppp chap hostname dslflat/xxxxxxxkamp-dsl

ppp chap password 0 xxxxxxx

ppp ipcp dns request

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer2

ip http server

no ip http secure-server

ip nat inside source list 1 interface Dialer2 overload

!

access-list 1 permit 10.2.2.0 0.0.0.255

dialer-list 1 protocol ip permit

!

control-plane

!

line con 0

line aux 0

line vty 0 4

password a

login

!

end

Cisco1712#debug ip nat detailed

IP NAT detailed debugging is on

Cisco1712#

*Mar 2 12:54:32.622: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:54:32.630: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:54:33.254: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:54:33.258: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:54:54.658: NAT: dialer not up for Dialer2, no translation, dial and drop

*Mar 2 12:54:55.426: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:54:55.430: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:54:56.142: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:54:56.146: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop

*Mar 2 12:55:07.738: NAT: dialer not up for Dialer2, no translation, dial and drop

Weisskreuz · 13. Juli 2005

fortsetzung....

Cisco1712#debug ppp authentication

PPP authentication debugging is on

Cisco1712#

*Mar 2 12:52:37.930: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:52:37.930: Vi1 PPP: Using dialer call direction

*Mar 2 12:52:37.930: Vi1 PPP: Treating connection as a callout

*Mar 2 12:52:37.930: Vi1 PPP: Authorization required

*Mar 2 12:52:37.934: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:52:38.646: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:52:38.650: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:53:01.026: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:53:01.030: Vi1 PPP: Using dialer call direction

*Mar 2 12:53:01.030: Vi1 PPP: Treating connection as a callout

*Mar 2 12:53:01.030: Vi1 PPP: Authorization required

*Mar 2 12:53:01.034: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:53:01.730: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:53:01.734: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:53:24.010: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:53:24.014: Vi1 PPP: Using dialer call direction

*Mar 2 12:53:24.014: Vi1 PPP: Treating connection as a callout

*Mar 2 12:53:24.014: Vi1 PPP: Authorization required

*Mar 2 12:53:24.014: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:53:24.658: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:53:24.662: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:53:46.826: %DIALER-6-BIND: Interface Vi1 bound to profile Di2

*Mar 2 12:53:46.826: Vi1 PPP: Using dialer call direction

*Mar 2 12:53:46.826: Vi1 PPP: Treating connection as a callout

*Mar 2 12:53:46.826: Vi1 PPP: Authorization required

*Mar 2 12:53:46.830: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

*Mar 2 12:53:47.502: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:53:47.506: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

Weisskreuz · 13. Juli 2005

...mal wieder zu viele Zeichen :(

Cisco1712# debug ppp negotiation

*Mar 2 12:51:52.290: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.290: Vi1 LCP: O CONFREQ [ACKsent] id 7 len 19

*Mar 2 12:51:52.290: Vi1 LCP: MRU 1492 (0x010405D4)

*Mar 2 12:51:52.290: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.290: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C)

*Mar 2 12:51:52.342: Vi1 LCP: I CONFREJ [ACKsent] id 7 len 9

*Mar 2 12:51:52.346: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.346: Vi1 LCP: O CONFREQ [ACKsent] id 8 len 19

*Mar 2 12:51:52.346: Vi1 LCP: MRU 1492 (0x010405D4)

*Mar 2 12:51:52.346: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.346: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C)

*Mar 2 12:51:52.386: Vi1 LCP: I CONFREJ [ACKsent] id 8 len 9

*Mar 2 12:51:52.390: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.390: Vi1 LCP: O CONFREQ [ACKsent] id 9 len 19

*Mar 2 12:51:52.390: Vi1 LCP: MRU 1492 (0x010405D4)

*Mar 2 12:51:52.390: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.390: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C)

*Mar 2 12:51:52.446: Vi1 LCP: I CONFREJ [ACKsent] id 9 len 9

*Mar 2 12:51:52.446: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.446: Vi1 LCP: O CONFREQ [ACKsent] id 10 len 19

*Mar 2 12:51:52.446: Vi1 LCP: MRU 1492 (0x010405D4)

*Mar 2 12:51:52.446: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.446: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C)

*Mar 2 12:51:52.490: Vi1 LCP: I CONFREJ [ACKsent] id 10 len 9

*Mar 2 12:51:52.490: Vi1 LCP: AuthProto CHAP (0x0305C22305)

*Mar 2 12:51:52.490: Vi1 LCP: Failed to negotiate with peer

*Mar 2 12:51:52.490: Vi1 PPP: Sending Acct Event[Down] id[E3]

*Mar 2 12:51:52.494: Vi1 LCP: O TERMREQ [ACKsent] id 11 len 4

*Mar 2 12:51:52.494: Vi1 PPP: Phase is TERMINATING

*Mar 2 12:51:52.550: Vi1 LCP: I TERMACK [TERMsent] id 11 len 4

*Mar 2 12:51:52.550: Vi1 LCP: State is Closed

*Mar 2 12:51:52.550: Vi1 PPP: Phase is DOWN

*Mar 2 12:51:52.550: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2

*Mar 2 12:51:52.554: Vi1 PPP: Phase is ESTABLISHING, Passive Open

*Mar 2 12:51:52.554: Vi1 LCP: State is Listen

*Mar 2 12:51:52.554: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

*Mar 2 12:51:52.554: Vi1 LCP: State is Closed

*Mar 2 12:51:52.554: Vi1 PPP: Phase is DOWN

Ich habe als DNS-Server jetzt 2 Server von Kamp eingetragen, die funktionieren auch (habe ich im moment auch eingetragen)

Aber wenn ich den Router angeschlossen habe und am Client nslookup starte zeigt er mir die Namen der Server nicht an....

Danke schonmal für eure Mühe ^^

Weisskreuz

rob_67 · 13. Juli 2005

Hallo Weisskreuz,

versuch doch mal ppp authentication chap callin auf dem dialer. Ich sehe gar keine challenge von irgendeiner Seite...

die hosts brauchen auf jedenfall die dsn server als eintrag, den cisco router kannst du nicht als dns server missbrauchen, das geht nur bei bintec routern o. anderen... bei nslookup, müsste er normalerweise den ersten server als standardserver verwenden.

Gruß

rob

Weisskreuz · 13. Juli 2005

ES GEHT !!!!!

Nachdem ich ppp authentication chap callin hinzugefügt habe ging erstmal nichts...

dann habe ich das Modem und den Router nochmal neu gestartet, und siehe da:

NAT-funktionierte auf einmal :)

Dann ging auch das Internet an meinem Client.

Jetzt habe ich die beiden DNS-Server noch an unserem Server eingetragen und den Cisco als Standardgateway genommen, und siehe da, es flutscht :) und das sogar schneller als mit dem Symantec ^^

Vielen Dank an ALLE (vor allem Rob :wink2: )

P.S. Ich hoffe Eure Geduld ist noch nicht am Ende ^^

Denn ich muss ja auch noch VPN einrichten, aber heute nicht mehr !

Ich geh jetzt erstmal ein Bierchen trinken :cool:

P.P.S. und schon wieder Fragen....

Ich habe gerade über die Symantec Seite einen Sicherheitscheck durchgeführt.

Folgende Ports sind offen: Ping, Telnet, HTTP(80)

könnte mir jemand die Befehle nennen mit denen ich diese Ports schliessen kann ?

Gruß,

Weisskreuz

rob_67 · 14. Juli 2005

Hallo Weisskreuz,

-->auf den dialer

ip access-group 144 in

access-l 144 deny icmp any any

access-l 144 deny tcp any any eq http

access-l 144 deny tcp any any eq 23

access-l 144 permit ip any any

es geht aber auch detaillierter, so kannst du z.b. auch nicht pingen und nach draußen http bzw. telnet machen... muß nicht für das ip inspect sowieso ein filter auf dem incoming interface gesetzt sein, damit es überhaupt geht?

zumindest beim 801 er kenne ich das so...

Gruß

Rob

Weisskreuz · 14. Juli 2005

Moin moin,

Ich glaube nicht das es so gut ist wenn alles geblockt wird,

hast Du vielleicht irgendwo ne anleitung oder ein Template wie man die einzelnen Ports von aussen nach innen sperren kann ?

Zweitens bräuchte ich mal ne Anleitung zum einrichten eines VPN Tunnels von unserer Firma zu einem server im Internet...

ich hoffe es gibt irgendwas in der Richtung.

Gruß,

Weisskreuz

rob_67 · 15. Juli 2005

Moin Weisskreuz,

Anleitung habe ich nicht, aber erstens könntest du das Filtering mit dem Firewall ios erschlagen mit deiner inspection rule oder aber du setzt einen einfachen filter auf dem dialer in der art:

incoming erlaubst du praktisch nur Rückpakete für deine von innen aufgebauten sessions, genauso dann für die anderen protokolle.

ip access-group 144 in

access-list 144 permit tcp any eq http any

wird eine tcp session von aussen auf dem port 80 aufgemacht, matcht sie in diesem fall nicht, die pakete werden gedroppt. Die Firewall ios kann das aber noch besser, das schreibt dynamisch access-listen und lässt entsprechende rückpakete zu deinen filtern durch...

Gruß

Rob

Weisskreuz · 19. Juli 2005

Wie muß ich mir das denn so vorstellen mit einer firewall ios ?

Wird dann meine Konfig komplett überschrieben, oder kann ich die ios wechseln ohne dass sich daran etwas ändert ?

Gruß,

Weisskreuz

rob_67 · 19. Juli 2005

Hallo Weisskreuz, meines erachtens hast du schon ein firewall ios drauf, sonst gäber es die befehle ip inspect nicht, wenn du ein neues ios draufspielst, sollte sich die grundlegende config nicht ändern, trotzdem kann es passieren, dass er den einen oder anderen befehl nicht mehr kennt bzw. dass neue befehle standardmässig dazukommen, aber man kann ja auch die config auf nem tftp oder im flash sichern...

gruß

rob

Anmelden

DSL über Cisco 1712

Empfohlene Beiträge

Weisskreuz 10

Link zu diesem Kommentar

Weisskreuz 10

Link zu diesem Kommentar

Weisskreuz 10

Link zu diesem Kommentar

rob_67 10

Link zu diesem Kommentar

Weisskreuz 10

Link zu diesem Kommentar

rob_67 10

Link zu diesem Kommentar

Weisskreuz 10

Link zu diesem Kommentar

rob_67 10

Link zu diesem Kommentar

Weisskreuz 10

Link zu diesem Kommentar

rob_67 10

Link zu diesem Kommentar

Schreibe einen Kommentar

Menu

Aktivitäten