Zum Inhalt wechseln


Foto

interface tunnel bei IOS verschlüsselt und als Wählverbindung


  • Bitte melde dich an um zu Antworten
49 Antworten in diesem Thema

#31 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 07:52

Ja Eth0/0 ist der LAN Port

#32 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 17. Oktober 2006 - 07:54

Hi,

im zweifellsfall kannst du z.B. immer ein "ip deny any any log" einfügen. Damit bekommst du dann angezeigt was weggeworfen wird. Vielleicht hilft dir das schon weiter. Ansonsten ist so eine Regel immer nur in eine Richtung gültig. Das ist keine Reflexiv ACL. Wenn du in eine Richtung den Verkehr aufbaust, dann brauchst du auch eine Regel um Ihn wieder reinzulassen. Vielleicht liegt es auch daran. Mit "show access-list" kannst du nachsehen ob du überhaupt ein Match auf den Listen hast und ob die überhaupt beachtet werden. Wenn du z.B. auf deinem Port 3xxx nix siehst, wenn du RDP machst, dann wird die gar nicht beachtet. Sorry das ich mich hier so einfach einmische. Bin auch schon wieder ... fu-tsch.
:)

Fu

#33 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 08:29

fu123 falls du den gesamten Thread gelesen hat, solltest du wissen das mir jegliche Hilfe herzlich willkommen ist. Wordo und Blacky_24 haben mir zwar schon bisher hervoragend geholfen, dennoch ist mir auch dein Post sehr willkommen den so etwas wie:

ip deny any any log

habe ich schon gesucht aber nicht gefunden.
Du meinst ich füge log direkt in die Accesslist ein oder ist das ein eigener Befehl? Und die Ausgabe muß ich dazu irgendwas aufrufen oder erscheint die einfach auf der Konsole?

Anbei habe ich meine beiden Configs da sich seit der letzten Ausgabe einige geändert hat.

!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AccessRouter
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username Client-1Router password 0 Passwort
username Client-2Router password 0 Passwort
!
!
!
!
no ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
isdn voice-call-failure 0
partition flash 2 8 8
!
!
!
!
!
!
interface Ethernet0/0
 ip address 192.168.2.1 255.255.255.0
 ip access-group 102 in
 no ip proxy-arp
!
interface TokenRing0/0
 no ip address
 shutdown
 ring-speed 16
!
interface BRI1/0
 no ip address
 ip access-group 103 in
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn caller 11
 isdn send-alerting
 no cdp enable
 ppp authentication chap callin
!
interface BRI1/1
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface BRI1/2
 no ip address
 encapsulation ppp
 dialer pool-member 2
 isdn switch-type basic-net3
 isdn caller 12
 isdn send-alerting
 no cdp enable
 ppp authentication chap callin
!
interface BRI1/3
 no ip address
 shutdown
 isdn switch-type basic-net3
!
interface Dialer1
 description Verbindung zu Router Client-1Router
 ip address 192.168.3.254 255.255.255.0
 no ip proxy-arp
 encapsulation ppp
 dialer pool 1
 dialer remote-name Client-1Router
 dialer idle-timeout 300
 dialer string 11
 dialer load-threshold 100 either
 dialer-group 1
 ppp authentication chap callin
 ppp multilink
!
interface Dialer2
 description Verbindung zu Router Client-2Router
 ip address 192.168.4.254 255.255.255.0
 no ip proxy-arp
 encapsulation ppp
 dialer pool 2
 dialer remote-name Client-2Router
 dialer idle-timeout 300
 dialer string 12
 dialer load-threshold 100 either
 dialer-group 2
 ppp authentication chap callin
 ppp multilink
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.2.254
ip route 10.1.1.0 255.255.255.0 192.168.3.1
ip route 10.1.2.0 255.255.255.0 192.168.4.1
ip route 192.168.1.0 255.255.255.0 192.168.2.254
ip route 192.168.3.0 255.255.255.0 Dialer1
ip route 192.168.4.0 255.255.255.0 Dialer2
no ip http server
!
access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389
access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet
access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 103 deny   ip any any
access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1
access-list 104 deny   ip any any
access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1
access-list 105 deny   ip any any
dialer-list 1 protocol ip list 104
dialer-list 2 protocol ip list 105
!
line con 0
 transport input none
 stopbits 1
line aux 0
line vty 0 4
 login local
!
no scheduler allocate
end


#34 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 08:30


Current configuration:

!

version 11.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

no service udp-small-servers

no service tcp-small-servers

!

hostname Client-1Router

!

enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0

!

username AccessRouter password 0 Passwort

ip subnet-zero

no ip domain-lookup

isdn switch-type basic-net3

!

interface Ethernet0

 ip address 10.1.1.254 255.255.255.0

 ip access-group 102 in

 no ip directed-broadcast

 no ip proxy-arp

 no logging event subif-link-status

 media-type 10BaseT

!

interface Serial0

 no ip address

 no logging event subif-link-status

 shutdown

!

interface BRI0

 no ip address

 ip access-group 103 in

 no ip directed-broadcast

 encapsulation ppp

 no logging event subif-link-status

 dialer pool-member 1

 isdn caller 21

 no cdp enable

 ppp authentication chap callin

!

interface Dialer1

 description Verbindung zu Router AccessRouter

 ip address 192.168.3.1 255.255.255.0

 no ip directed-broadcast

 no ip proxy-arp

 encapsulation ppp

 no logging event subif-link-status

 dialer remote-name AccessRouter

 dialer idle-timeout 300

 dialer string 21

 dialer load-threshold 100 either

 dialer pool 1

 dialer-group 1

 no fair-queue

 ppp authentication chap callin

 ppp multilink

!

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.3.254

ip route 192.168.1.0 255.255.255.0 192.168.3.254

ip route 192.168.2.0 255.255.255.0 192.168.3.254

access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389

access-list 102 deny   ip any any

access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389

access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet

access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23

access-list 103 permit icmp 192.168.0.0 0.0.255.255 any

access-list 103 deny   ip any any

access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389

access-list 104 deny   ip any any

dialer-list 1 protocol ip list 104

!

line con 0

 transport input none

 stopbits 1

line vty 0 4

 login local

!

end


#35 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 08:37

Mir ist gerade ein Fehler in den Scripts aufgefallen änder das sofort mom / sorry war nur ein copy and paste Fehler am ende von client router habe es geändert.

#36 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 17. Oktober 2006 - 08:50

Hi,


access-list 103 deny ip any any
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny ip any any
dialer-list 1 protocol ip list 104

Mit deny ip any any ist Schluss. Danach geht nüscht mehr durch die Leitung. Aber auch gar nüscht mehr.

deny ip any any

kommt immer ganz zum Schluß als letzte Regel. Wenn du das vorher irgendwo einbaust, dann kann danach dein RDP nicht mehr durchgehen. Wir hatten das vor kurzem hier in einem Thread. Die Regeln werden immer nach einander abgearbeitet. Und wenn ein Packet matched verlässt es die Liste mit entweder "passieren oder drop". Matchen heißt auch deny. Da da aber ein deny ip any any steht, kannst du noch danach noch viele Statements hinzufügen, die haben aber dann nicht wirklich eine Auswirkung.

Fu

#37 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 10:25

sh run

Building configuration...



Current configuration : 3055 bytes

!

version 12.1

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname AccessRouter

!

enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0

!

username Client-1Router password 0 Passwort

username Client-2Router password 0 Passwort

!

!

!

!

no ip subnet-zero

no ip finger

no ip domain-lookup

!

isdn switch-type basic-net3

isdn voice-call-failure 0

partition flash 2 8 8

!

!

!

!

!

!

interface Ethernet0/0

 ip address 192.168.2.1 255.255.255.0

 ip access-group 102 in

 no ip proxy-arp

!

interface TokenRing0/0

 no ip address

 shutdown

 ring-speed 16

!

interface BRI1/0

 no ip address

 ip access-group 103 in

 encapsulation ppp

 dialer pool-member 1

 isdn switch-type basic-net3

 isdn caller 11

 isdn send-alerting

 no cdp enable

 ppp authentication chap callin

!

interface BRI1/1

 no ip address

 shutdown

 isdn switch-type basic-net3

!

interface BRI1/2

 no ip address

 encapsulation ppp

 dialer pool-member 2

 isdn switch-type basic-net3

 isdn caller 12

 isdn send-alerting

 no cdp enable

 ppp authentication chap callin

!

interface BRI1/3

 no ip address

 shutdown

 isdn switch-type basic-net3

!

interface Dialer1

 description Verbindung zu Router Client-1Router

 ip address 192.168.3.254 255.255.255.0

 no ip proxy-arp

 encapsulation ppp

 dialer pool 1

 dialer remote-name Client-1Router

 dialer idle-timeout 300

 dialer string 11

 dialer load-threshold 100 either

 dialer-group 1

 ppp authentication chap callin

 ppp multilink

!

interface Dialer2

 description Verbindung zu Router Client-2Router

 ip address 192.168.4.254 255.255.255.0

 no ip proxy-arp

 encapsulation ppp

 dialer pool 2

 dialer remote-name Client-2Router

 dialer idle-timeout 300

 dialer string 12

 dialer load-threshold 100 either

 dialer-group 2

 ppp authentication chap callin

 ppp multilink

!

ip classless

ip route profile

ip route 0.0.0.0 0.0.0.0 192.168.2.254

ip route 10.1.1.0 255.255.255.0 192.168.3.1

ip route 10.1.2.0 255.255.255.0 192.168.4.1

ip route 192.168.1.0 255.255.255.0 192.168.2.254

ip route 192.168.3.0 255.255.255.0 Dialer1

ip route 192.168.4.0 255.255.255.0 Dialer2

no ip http server

!

access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389

access-list 102 permit tcp host 192.168.1.1 192.168.0.0 0.0.255.255 eq telnet

access-list 102 permit udp host 192.168.1.1 192.168.0.0 0.0.255.255 eq 23

access-list 102 permit icmp 192.168.0.0 0.0.255.255 any

access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389

access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet

access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23

access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1

access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1

access-list 105 deny   ip any any

dialer-list 1 protocol ip list 104

dialer-list 2 protocol ip list 105

!

line con 0

 transport input none

 stopbits 1

line aux 0

line vty 0 4

 login local

!

no scheduler allocate

end


#38 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 10:30

sh ru
Building configuration...

Current configuration:
!
version 11.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Client-1Router
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username AccessRouter password 0 Passwort
ip subnet-zero
no ip domain-lookup
isdn switch-type basic-net3
!
interface Ethernet0
 ip address 10.1.1.254 255.255.255.0
 ip access-group 102 in
 no ip directed-broadcast
 no ip proxy-arp
 no logging event subif-link-status
 media-type 10BaseT
!
interface Serial0
 no ip address
 no logging event subif-link-status
 shutdown
!
interface BRI0
 no ip address
 ip access-group 103 in
 no ip directed-broadcast
 encapsulation ppp
 no logging event subif-link-status
 dialer pool-member 1
 isdn caller 21
 no cdp enable
 ppp authentication chap callin
!
interface Dialer1
 description Verbindung zu Router AccessRouter
 ip address 192.168.3.1 255.255.255.0
 no ip directed-broadcast
 no ip proxy-arp
 encapsulation ppp
 no logging event subif-link-status
 dialer remote-name AccessRouter
 dialer idle-timeout 300
 dialer string 21
 dialer load-threshold 100 either
 dialer pool 1
 dialer-group 1
 no fair-queue
 ppp authentication chap callin
 ppp multilink
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.3.254
ip route 192.168.1.0 255.255.255.0 192.168.3.254
ip route 192.168.2.0 255.255.255.0 192.168.3.254
access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet
access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 any
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny   ip any any
dialer-list 1 protocol ip list 104
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 login local
!
end

Ist es so besser? bei mir hat ja jedes Interface eine andere ACL ist es da genau so mit nur einmal deny ip any any? Ich frage deshalb weil immer noch keine RDP verbindung zustande kommt. Ausserdem scheint es so das meine ACL für die Bri gänzlich ignoriert und nur die vom Dialer benutzt wird. Ist das normal oder ist das nur zufall?

#39 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 11:30

Ich habe noch ein wenig rumgetestet und verstehe immer weniger.
Ich habe in der Liste 102 nur tcp 3389 offen
das ist das Ethernet Interface

In der Liste 103 habe ich testweise deny ip any any
das ist die Bri

den Dialer lasse ich auf tcp 3389 anspringen
und gleichzeitig mache ich zum Schluß wie dein Rat deny ip any any

Nach deiner Aussage (ich will jetzt nicht ketzerisch sein gg) sollte nach dem Bri deny nichts mehr ausgeführt werden also der Dialer gar nicht funktionieren. Wird alles was ich der Bri zuweise ignoriert weil ich einen Dialer 1 habe, oder trifft deine Aussage nicht zu weil für jede s Interface nur eine ACL verwendet wird.

Logisch wenn ich für ein Interface 2 oder mehr ACL´s habe dann währe das tötlich zwischendurch ein deny ip any any zu machen.

Ihr seht also nun bin ich komplett verwirrt, ich weis nur das vorhin als ich bei jeder Acl zum Schluss ein deny ip any any hatte noch ein bischen mehr Funktion hatte.

Gruß Florian

#40 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 17. Oktober 2006 - 11:45

access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet
access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 any
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny ip any any
dialer-list 1 protocol ip list 104



Also, da 103 mit "in" gekennzeichnet wird, trifft die Regel nur fuer Rueckpakete. Da stimmt dann aber die ACL mit dem RDP nicht:

access-list 103 permit tcp host 192.168.1.1 eq 3389 host 10.1.1.1

So muss das heissen.

Binde die 103 an den Dialer, das BRI laesst du am besten in Ruhe ..

PS: Telnet braucht kein UDP

#41 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 12:31

Also die BRI leer lassen? Hmm habe mir schon so was gedacht. Wird denn die die ACL der BRI überhabupt nicht berücksichtigt?

Von welchem Router sprichst du? 1600er oder 2600er?

Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten?

Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?

#42 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 17. Oktober 2006 - 12:46

Ja lass leer, es reicht ja wenns am Dialer haengt. Egal auf welchem System, bei beiden ist die ACL falsch, du musst schon Quell- und Zielport richtig setzen ..

#43 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 12:50

Und wie soll ich nun bei dem verfahren?

Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten?

Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?



#44 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 17. Oktober 2006 - 13:05

Die Ports musst du nicht freischalten.
Wenn du ein permit blabla hast und danach kommt nix mehr, ist default deny, egal ob du das explizit angibst ...

#45 Flogge

Flogge

    Newbie

  • 34 Beiträge

 

Geschrieben 17. Oktober 2006 - 13:14

Ach so, Aber nun zum Dialer Problem

Du sagst ich soll alle Regeln im Dialer einstellen nicht in der BRI, aber der Dialer ist so wie ich es nun beobachtet habe nur für den Verkehr nach aussen ins WAN zuständig. Was mache ich denn wenn ich die ISDN Schnittstelle von aussen absichern will?