n@ppo

die befehle sind alle auf der hp von cisco beschrieben. an büchern kann ich dir empfehlen. Jeff Doyle Routing -- TCP/IP Vol I+II Caslow & Pavlichenko -- Routers and Switches for CCIE´s John T. Moy -- Anatomy of a Routing Protocol OSPF diverse Cisco Press Bücher sind auch nicht schlecht.

hi, also irgendwie ist die ip-adresse deines ethernets anders wie in der konfig die vorher gepostet hattest. füge bitte noch folgende befehle hinzu: # int e0 no ip directed-broadcast no ip redirects no shut ! int bri0 no shut ! ip dhcp pool DHCPPoolLAN_0 import all network 10.100.100.0 255.255.255.0 ! access-list 18 permit 10.100.100.0 0.0.0.255 ! dialer-list 1 protocol ip list 101 ! isdn switch-type basic-net3 # wozu soll die access-list 2 denn gut sein, da fehlt irgendwie die bindung auf ein interface, vty oder dergleichen. ich gehe mal davon aus das du damit den telnet-access einschränken möchtest, da du dort login local definiert hast. also noch: access-list 2 permit 10.100.100.0 0.0.0.255 ! line vty 0 4 access-class 2 in ! end wr nachtragen

wenn der router noch keine bestehende über das isdn-interface hat verbindung ist das normal, da der default timeout bei einem ping bei 2 sekunden liegt. die verbindung zum isp muß erst aufgebaut das paket muß durch deb nat-tabel was erst passieren kann wenn eine ip-adresse auf dem dialer-interface vergeben ist. wenn du auf den dns-namen pingst kommt außerdem noch die namensaulösung hinzu. also kein grund zur panik. bau mal eine verbindung auf und pinge auf die ip des dns-servers. dann sollte es ohne verlust laufen, vorausgesetzt es läuft nicht nebenbei noch ein up oder download. anbei eine leicht veränderte config: Current configuration : 1961 bytes ! version 12.2 no service pad no service udp-small-servers no service tcp-small-servers no service finger service timestamps debug uptime service timestamps log uptime service password-encryption ! no ip forward-protocol udp netbios-dgm no ip forward-protocol udp netbios-ss no ip forward-protocol udp netbios-ns no cdp run ! hostname Bart ! enable secret 5 xxxxxxxxx ! username Bart password 7 xxxxxxxxx ip subnet-zero no ip source-route ! ip dhcp pool DHCPPoolLAN_0 network 10.0.0.0 255.255.255.0 dns-server 194.25.2.129 import all default-router 10.0.0.1 ! ip name-server 194.25.2.129 isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 10.0.0.1 255.255.255.0 no ip proxy-arp ip nat inside ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ppp authentication chap pap callin ! interface Dialer1 description ISP ip address negotiated ip access-group 121 in no ip proxy-arp ip nat outside encapsulation ppp dialer pool 1 dialer remote-name Cisco1 dialer idle-timeout 60 dialer string 01910 compress mppc dialer hold-queue 10 dialer-group 1 ppp authentication chap pap callin ppp ipcp dns request ppp chap hostname xxxxxxxxxxxx ppp chap password 7 xxxxxxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxx#0001@t-online.de password 7 xxxxxxx ! ip nat inside source list 18 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ! map-class dialer DialClass dialer isdn short-hold 120 access-list 18 permit 10.0.0.0 0.0.0.255 access-list 121 permit udp an eq 53 any access-list 121 permit tcp an an established access-list 121 permit tcp an eq ftp-data an access-list 121 permit icmp any any echo-reply access-list 121 remark ---- packetfilter fuer verbindungen aus dem inet ----- access-list 101 remark ---- darf den dialer antriggern ----- access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 443 access-list 101 permit tcp any any eq ftp access-list 101 permit icmp any any echo ! dialer-list 1 protocol protocol ip list 101 ! line con 0 exec-timeout 120 0 stopbits 1 line vty 0 4 exec-timeout 0 0 login local ! no rcapi server ! end

hi, nee icq hab ich nicht, wenn dann über eine pn oder per mail.

jo eine antwort in der art hatte ich erwartet. bei neueren ios-versionen kommt alle nase lang update raus. wenn nicht unbedingt wegen neuren features eine 12.3 sein muß, dann lieber auf eines der letzten 12.2T oder 12.2 gd oder ld versionen gehen. btw: das erste 12.x major-release ist "baugleich" mit letzten zuvor erschienen major 12.xT release. beispiel: eine 12.3 beinhaltet die gleichen features wie eine 12.2(15)T10 bei einer 12.3 ist halt die wahrscheinlichkeit neuer bugs wesentlich höher. solange die 12.2T nicht eoe oder eol ist wird sie auch noch supported.

hi, rein theoretisch funktioniert die konfiguration so. das ganze setzt aber voraus das beiden pakete die der router die beiden b-kanäle schickt ohne großen zeitversatz auf der anderen seite ankommen müssen. da kann der cisco bei einer "leased-line 128" konfig maximal 2 hoch 4 oktets ausgleichen. dann ist schicht im schacht. eine konfig in der art funktioniert in den meisten fällen nicht oder nicht dauerhaft. cisco hat dazu auch ein dok. veröffentlicht. ich finde es nur im moment nicht. wenn dein provider kanale über unterschiedliche systeme in die fernebene führt oder ein b-kanal fehler aufweist kann das unter umständen schon das problem sein. günstiger ist da eine konfig mit "ppp multilink". die multilink pakete werden mit einer sequence-nummer versehen und können so auf der anderen seite wieder "zusammengebaut" werden. bei einer multilink-konfig kann theoretisch sogar ein b-kanal ausfallen und die verbindung funktioniert trotzdem noch. dies ist bei einer "leased-line 128" nicht unbedingt gegeben. ev. hat ja einer der kanäle ein problem. das wäre auch eine erklärung, alldieweil dann die "leased-line bri128" konfig nicht zuverlässig nicht funktioniert. ich würde bei deinem provider mal erfragen ob bezüglich der leitungsführung etwas geändert wurde und gegebenenfalls die konfig ändern. dies muß auf beiden seiten erfolgen und danach muß ein reload erfolgen. genaueres kann ich dir erst sagen wenn du mir mal folgende debugger und ausgaben schickst. "deb interface brI0", sho int bri0. mach mal einen "extended ping" mit 1000 byte und 500 paketen und schau ob die pings alle durchlaufen. ändere die konfig und schau dann wie sich das ganze verhält. hier die konfig: # no isdn leased-line BRI0 128 isdn leased-line BRI0 ! int multilink1 ip address xx.xx.xx.xx 255.255.255.252 multilink-group 1 ! int bri0 no ip address shut ! int bri0:1 encapsulation ppp ppp multilink multilink-group 1 ! int bri0:2 encapsulation ppp ppp multilink multilink-group 1 # das routing bleibt dabei unverändert. die ip-adressen mußt du anpassen.

hi, da ab und an auch die vermittlungsstellen ein softwareupdate bekommen kann der fehler auch dort begraben sein. gerade die 801 haben ab und an mit der eingesetzten hardware und software probleme. ein beliebter bug ist das der d-kanal bei einer leased-line konfig nicht automatisch von 801er serie shutdown genommen wird und irgendwann wenn sich keiner mehr daran erinnert fehler auftauchen. ein workaround ist den d-kanal (int bri0) shutdown zu setzen. wie gesagt das kann muß aber nicht der fehler sein. wie Frank04 schon schrieb kann es auch ein genereller fehler der leitung oder die hardware des routers sein.

hi, ja das ist das schicksaal der 12.3 nutzer. es gibt einen ähnlichen bug der bei cisco beschrieben ist. # Symptoms: There is a CPUHOG at process = PPP IP Route, and the router reloads. Condition: The symptoms are observed on Cisco 7200 and RSP series routers running IOS 12.3(4)T1. Workaround: There is no workaround. First Fixed-in Version 12.3(7.6)T # nur so zur info. wenn innerhalb eines ios mehr als ein punkt im namen auftaucht ist "bös obacht" angesagt.

hi, bei einer festverbindung zieht der idle-timer nicht. der ist nur bei wählverbindungen relevant. deshalb auch meine fragen bezüglich der releasestände konfiguration usw.

du legst einen gre-tunnel vom deinem router zur firewall # ip address 192.168.10.1 255.255.255.252 keepalive 20 3 tunnel source "dsl-interface" tunnel destination "ip des partners" # du mußt über ein perl-script o.ä sicherstellen das in regelmäßigen abständen überprüft wird ob sich die ip des tunnel-partners geändert hat. wenn ja dann änderst du die ip des tunnel-partners im tunnel-interface. da bei pptp der gre-tunnel eh vom pptp-server (in deinem fall von der firewall) aufgebaut wird und nicht zwingend durch den nat-table muß sollte es egal sein ob der gret auf dem router oder dem client terminiert wird. die pptp packete solten via ip nat source static zu deinem client kommen. die gre pakete werden lokal auf deinem router terminiert. hi wenn du eh den tunnel von deinem w2k-whatever client aufbaust kannst du den cisco auch ganz aussen vor lassen indem du einen ipsec-tunnel zur firewall aufbaust. dort wird dann eine gruppe inkl. username und passwort definiert. du authentifizierst dich dann mit dieser gruppe und dem user nebst passwort (xauth). voraussetzung ist das die firewall xauth kann. eine beispielconfig für xauth auf einem cisco-router findest du unter http://www.rulax.de um welche art von firewall handelt es sich denn ???

hi, ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco terminiert wird an dem auch der server hängt. das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client. die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert. der router hat einen dyndns tunnel-partner eingetragen. per perl-script wird alle 10 minuten von einer maschine aus deinem lan abgefragt ob die eingetragene ip-adresse des dyndns-partner noch gleich ist oder sich geändert hat. bei einer geänderten adresse wird auch die ip des tunnel partners auf die aktuelle ip-adresse geändert. über diesen tunnel kannst du eine pptp-session zum tunnel partner aufbauen. den von dir erwähnten weg mit vrf-light kannst du wieder abhaken. vrf und vrf-light eher etwas für isp´s und wird genutzt um mehrere routinginstanzen parallel auf einem router laufen zu lassen. dabei weiß die eine instanz nichts von dem routingtable der anderen. somit bekommst eine trennung von kundennetzen auf einem router hin. dies wird u.a meistens mit mpls und bgp implementiert. Stichwort: bgp pe to ce routing und vpn-mpls

hi, ja da geht z.b. "clear int dialer1"

hi, das problem bei einer pptp-session via nat ist das der gre-tunnel vom server aufgebaut wird. der router muß also irgendwie erkennen das, das antwort-gre paket auf die pptp session für den client gedacht ist. das funktioniert zurzeit nur mit der pix im release 6.1/6.2/6.3 (fixup protocol pptp 1723) alternativen: 1: wie schon pretender erwähnt einen gre-tunnel von deinem router zum server konfigurieren. das problem ist das der server eine dyndns-adresse hat. d.h. du mußt mit einem script (des öfteren) überprüfen pb sich die destination gre-adresse ändert und gegebenenfalls ändern, alldieweil der router einen dyndns-adresse nur einmal auflöst wenn du sie im tunnel-interface einträgst. 2: du machst einen statischen nat eintrag für gre zu deinem client. das problem ist das es so etwas (zumindest direkt) nicht gibt. eventuell gibt es noch die möglichkeit das ganze mit einer route-map zu lösen. das sieht dann so aus. diesen befehl habe ich auf einem 1700er getestet mit einem 12.3er ios. bei meinem 2610er mit einem 12.2(T)-Release gibt es ihn so nicht.....testen # ip nat inside source static "adresse vom gre-client" interface dialer 1 route-map gre ! route-map gre 10 match ip address 101 access-list 101 permit gre any any ! access-list 101 permit ! access-list 101 permit gre any any # der befehl bzw. die tastenkombination für das abrechen eines trace ist. entweder strg+c, strg+z oder strg+shift+6 und dann x. wie pretender schon erwähnt hat pptp läuft auf tcp port 1723 und gre setzt auf ip protokoll-type 47 auf.

hi, das file löschst du mit "delete filename" bzw. "delete flash:filename" und den speicher gibst du mit squeeze flash wieder frei. http://www.cisco.com/en/US/products/hw/routers/ps380/products_tech_note09186a0080117772.shtml

hi, poste doch bitte mal die ausgabe von "sho policy-map interface g3/10". eventuell liegt es daran das du eigentlich zwei default policies hast (policy1 und class-default) alternativ kannst du das ganze mit car erledigen oder traffic-shaping car: rate-limit output access-group 1 30000000 5000000 2000000 conform-action transmit exceed-action drop ! access-list 1 permit any traffic-shapping: traffic-shape group 1 30000000 5000000 2000000 2048 ! access-list 1 permit any

hi, um welchen cisco der 800er serie handelt es sich denn (801, 803..). es wäre auch hilfreich den leitungstyp und die ios-version nebst konfig zu erfahren bzw. besondere gegebenheiten (multilink, usw)

hi, z.b. so: 2950: interface Port-channel 1 switchport mode trunk ! interface FastEthernet0/1 switchport mode trunk channel-group 1 mode desirable ! interface FastEthernet0/2 switchport mode trunk channel-group 1 mode desirable 6500: interface Port-channel1 switchport switchport trunk encapsulation dot1q switchport mode trunk no ip address ! Interface FastEthernet2/1 switchport switchport trunk encapsulation dot1q switchport mode trunk no ip address channel-group 1 mode desirable ! Interface FastEthernet2/2 switchport switchport trunk encapsulation dot1q switchport mode trunk no ip address channel-group 1 mode desirable weitere beispiele und infos findest du hier: http://www.cisco.com/en/US/tech/tk389/tk213/technologies_configuration_example09186a0080094bc5.shtml und hier http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84ca.html

@Pretender poste doch bitte noch mal die config und den output von "show ip route track-table","deb dialer" und "deb ip routing" bis zu dem zeitpunkt an dem das interface down geht.

Hallo zusammen, anbei einige Anmerkungen zum Posten von Konfigurationen. Postet niemals die „enable passwörter“ oder „enable secret´s“, auch dann nicht wenn ihr eine service password-encryption konfiguriert habt. Das „enable password“ zu knacken ist relativ simpel dafür gibt es genügend Tools. Es ist ebenfalls möglich ein „enabele secret“ zu knacken (dauert zwar länger wegen MD5, funktioniert aber). Weiterhin schaut euch bitte die Ausgabe von diversen Debuggern an die jemand anfordert bevor ihr sie postet und ändert bzw. löscht gegebenenfalls User-Relevanten Daten. Um eine fehlerhafte CHAP-PAP-Authentifizierung zu analysieren braucht man keine Passwörter und/oder Benutzerkennungen. Bedenkt dass die Threads für jedermann einsehbar sind.

hi, anbei eine konfig mit chap-authentifizierung und statischem routing. die konfiguration ist eine von vielen möglichen. schau dich am besten noch mal bei cisco um. http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:DDR&s=Implementation_and_Configuration#Samples_and_Tips http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:PPP&s=Implementation_and_Configuration#Samples_and_Tips # Router 1 hostname r1 ! enable password cisco ! username r2 password 0 cisco ! ! ! ! ip subnet-zero no ip finger ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 no shut ! interface BRI0 description zu router r2 ip address 192.168.3.1 255.255.255.252 encapsulation ppp no shut no ip mroute-cache dialer map ip 192.168.3.2 name r2 4711 dialer-group 1 isdn switch-type basic-net3 no cdp enable ppp authentication chap ! ip classless ip route 192.168.2.0 255.255.255.0 192.168.3.2 no ip http server ! dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 transport input none line aux 0 line vty 0 4 password cisco login ! no scheduler allocate end Router 2 hostname r2 ! enable password cisco ! username r1 password 0 cisco ! ip subnet-zero no ip finger ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 192.168.2.1 255.255.255.0 no shut ! interface BRI0 description zu router r1 ip address 192.168.3.2 255.255.255.252 no shut encapsulation ppp no ip mroute-cache dialer map ip 192.168.3.1 name r1 0815 dialer-group 1 isdn switch-type basic-net3 no cdp enable ppp authentication chap ! ip classless ip route 192.168.1.0 255.255.255.0 192.168.3.1 no ip http server ! dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 transport input none line aux 0 line vty 0 4 password cisco login ! no scheduler allocate end

hi, route-maps sind sehr vielseitig einzetzbar. sie werden oft in verbindung mit dynamischen routing-protokollen oder policy-routing genutzt. bei dynamischen routing-protokollen z.b um für spezielle routen die über eine acl matchen tags zu setzen die wiederum ein paar hops weiter auf einem anderen router somit wieder relativ einfach zu identifizieren sind oder um die metric, distance usw zu ändern. beim policy-routing um den routing table zu "umgehen" oder eine nat. bei einer nat um mit der gleichen acl über unterschiedliche interfaces zu arbeiten usw. anbei ein beispiel mit dynamischem routing: router1: ! router eigrp1 network 10.0.0.0 redistribute static metric 128 1 255 1 1500 route-map settag ! ip route 2.0.0.0 255.255.255.0 192.168.0.1 ip route 1.1.1.0 255.255.255.0 192.168.0.2 ! access-list 1 perm 2.0.0.0.0 0.0.0.255 ! route-map settag 10 match ip address 1 set tag 55 set metric +10000 ! route-map settag 15 router2: router eigrp1 network 10.0.0.0 ! router ospf1 redistribute eigrp 1 route-map seteigrp subnets ! route-map seteigrp 10 set metric 120 match tag 55 ! route-map seteigrp 15 router 1 hat zwei statische routen die nach eigrp propagiert werden. der admin hat aber festgelegt das die route zum zielnetz 2.0.0.0 zusätzlich eine metric von 10000 mehr haben soll als die zweite. also definiert er eine route-map (settag) in der er über eine acl filtert nach der dieser route (match ip address 1) und ändert die metric, gleichzeitig wird noch einen tag anhängt. dieser tag wird beim zweiten router ausgewertet. und daraufhin wird die metric von der route abgeändert wenn sie nach ospf propagiert wird.

zur zeit kann sich niemand mit deinen daten einwählen, alldieweil die kennung gesperrt ist. wenn vorhin einer schnell genug war und den kompletten thread durchwühlt hat könnte er theoretisch die zugansdaten gespeichert haben. das beste ist du änderst dein passwort der t-online kennung wenn es wieder löppt.

hi, fit bin ich zumindest was das körperliche angeht. bei der anderen sache kann ich das nicht beurteilen :D ich habe halt viel gelesen und habe auch schon ein paar router konfiguriert.

nee du nervst nicht. wenn dem so wäre hätte ich das hier schon von meiner seite beendet ;)

wie machst du was ? der debug-output wurde schon vom einem mod geändert. hat sich also somit erledigt.