n@ppo
-
Gesamte Inhalte
102 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von n@ppo
-
-
hi,
also irgendwie ist die ip-adresse deines ethernets anders wie in der konfig die vorher gepostet hattest.
füge bitte noch folgende befehle hinzu:
#
int e0
no ip directed-broadcast
no ip redirects
no shut
!
int bri0
no shut
!
ip dhcp pool DHCPPoolLAN_0
import all
network 10.100.100.0 255.255.255.0
!
access-list 18 permit 10.100.100.0 0.0.0.255
!
dialer-list 1 protocol ip list 101
!
isdn switch-type basic-net3
#
wozu soll die access-list 2 denn gut sein, da fehlt irgendwie die bindung auf ein interface, vty oder dergleichen.
ich gehe mal davon aus das du damit den telnet-access einschränken möchtest, da du dort login local definiert hast.
also noch:
access-list 2 permit 10.100.100.0 0.0.0.255
!
line vty 0 4
access-class 2 in
!
end
wr
nachtragen
-
wenn ich nen ping auf den dns gebe, dann hab ich von 5 paketen nur 3 beantwortet.
wenn der router noch keine bestehende über das isdn-interface hat verbindung ist das normal, da der default timeout bei einem ping bei 2 sekunden liegt.
die verbindung zum isp muß erst aufgebaut das paket muß durch deb nat-tabel was erst passieren kann wenn eine ip-adresse auf dem dialer-interface vergeben ist.
wenn du auf den dns-namen pingst kommt außerdem noch die namensaulösung hinzu. also kein grund zur panik.
bau mal eine verbindung auf und pinge auf die ip des dns-servers.
dann sollte es ohne verlust laufen, vorausgesetzt es läuft nicht nebenbei noch ein up oder download.
anbei eine leicht veränderte config:
Current configuration : 1961 bytes
!
version 12.2
no service pad
no service udp-small-servers
no service tcp-small-servers
no service finger
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp netbios-ss
no ip forward-protocol udp netbios-ns
no cdp run
!
hostname Bart
!
enable secret 5 xxxxxxxxx
!
username Bart password 7 xxxxxxxxx
ip subnet-zero
no ip source-route
!
ip dhcp pool DHCPPoolLAN_0
network 10.0.0.0 255.255.255.0
dns-server 194.25.2.129
import all
default-router 10.0.0.1
!
ip name-server 194.25.2.129
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
no ip proxy-arp
ip nat inside
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
ppp authentication chap pap callin
!
interface Dialer1
description ISP
ip address negotiated
ip access-group 121 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name Cisco1
dialer idle-timeout 60
dialer string 01910
compress mppc
dialer hold-queue 10
dialer-group 1
ppp authentication chap pap callin
ppp ipcp dns request
ppp chap hostname xxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxx#0001@t-online.de password 7 xxxxxxx
!
ip nat inside source list 18 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
!
map-class dialer DialClass
dialer isdn short-hold 120
access-list 18 permit 10.0.0.0 0.0.0.255
access-list 121 permit udp an eq 53 any
access-list 121 permit tcp an an established
access-list 121 permit tcp an eq ftp-data an
access-list 121 permit icmp any any echo-reply
access-list 121 remark ---- packetfilter fuer verbindungen aus dem inet -----
access-list 101 remark ---- darf den dialer antriggern -----
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any eq ftp
access-list 101 permit icmp any any echo
!
dialer-list 1 protocol protocol ip list 101
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
!
no rcapi server
!
end
-
hi,
nee icq hab ich nicht, wenn dann über eine pn oder per mail.
-
jo eine antwort in der art hatte ich erwartet.
bei neueren ios-versionen kommt alle nase lang update raus.
wenn nicht unbedingt wegen neuren features eine 12.3 sein muß, dann lieber auf eines der letzten 12.2T oder 12.2 gd oder ld versionen gehen.
btw:
das erste 12.x major-release ist "baugleich" mit letzten zuvor erschienen major 12.xT release.
beispiel:
eine 12.3 beinhaltet die gleichen features wie eine 12.2(15)T10
bei einer 12.3 ist halt die wahrscheinlichkeit neuer bugs wesentlich höher.
solange die 12.2T nicht eoe oder eol ist wird sie auch noch supported.
-
hi,
rein theoretisch funktioniert die konfiguration so.
das ganze setzt aber voraus das beiden pakete die der router die beiden b-kanäle schickt ohne großen zeitversatz auf der anderen seite ankommen müssen. da kann der cisco bei einer "leased-line 128" konfig maximal 2 hoch 4 oktets ausgleichen. dann ist schicht im schacht.
eine konfig in der art funktioniert in den meisten fällen nicht oder nicht dauerhaft. cisco hat dazu auch ein dok. veröffentlicht. ich finde es nur im moment nicht.
wenn dein provider kanale über unterschiedliche systeme in die fernebene führt oder ein b-kanal fehler aufweist kann das unter umständen schon das problem sein.
günstiger ist da eine konfig mit "ppp multilink". die multilink pakete werden mit einer sequence-nummer versehen und können so auf der anderen seite wieder "zusammengebaut" werden.
bei einer multilink-konfig kann theoretisch sogar ein b-kanal ausfallen und die verbindung funktioniert trotzdem noch.
dies ist bei einer "leased-line 128" nicht unbedingt gegeben.
ev. hat ja einer der kanäle ein problem. das wäre auch eine
erklärung, alldieweil dann die "leased-line bri128" konfig nicht zuverlässig nicht funktioniert.
ich würde bei deinem provider mal erfragen ob bezüglich der leitungsführung etwas geändert wurde und gegebenenfalls die konfig ändern. dies muß auf beiden seiten erfolgen und danach muß ein reload erfolgen.
genaueres kann ich dir erst sagen wenn du mir mal folgende debugger und ausgaben schickst. "deb interface brI0", sho int bri0.
mach mal einen "extended ping" mit 1000 byte und 500 paketen und schau ob die pings alle durchlaufen.
ändere die konfig und schau dann wie sich das ganze verhält.
hier die konfig:
#
no isdn leased-line BRI0 128
isdn leased-line BRI0
!
int multilink1
ip address xx.xx.xx.xx 255.255.255.252
multilink-group 1
!
int bri0
no ip address
shut
!
int bri0:1
encapsulation ppp
ppp multilink
multilink-group 1
!
int bri0:2
encapsulation ppp
ppp multilink
multilink-group 1
#
das routing bleibt dabei unverändert. die ip-adressen mußt du anpassen.
-
hi,
da ab und an auch die vermittlungsstellen ein softwareupdate bekommen kann der fehler auch dort begraben sein.
gerade die 801 haben ab und an mit der eingesetzten hardware und software probleme.
ein beliebter bug ist das der d-kanal bei einer leased-line konfig nicht automatisch von 801er serie shutdown genommen wird und irgendwann wenn sich keiner mehr daran erinnert fehler auftauchen.
ein workaround ist den d-kanal (int bri0) shutdown zu setzen.
wie gesagt das kann muß aber nicht der fehler sein. wie Frank04 schon schrieb kann es auch ein genereller fehler der leitung oder die hardware des routers sein.
-
hi,
ja das ist das schicksaal der 12.3 nutzer.
es gibt einen ähnlichen bug der bei cisco beschrieben ist.
#
Symptoms: There is a CPUHOG at process = PPP IP Route, and the router reloads.
Condition: The symptoms are observed on Cisco 7200 and RSP series routers
running IOS 12.3(4)T1.
Workaround: There is no workaround.
First Fixed-in Version 12.3(7.6)T
#
nur so zur info. wenn innerhalb eines ios mehr als ein punkt im namen auftaucht ist "bös obacht" angesagt.
-
hi,
bei einer festverbindung zieht der idle-timer nicht. der ist nur bei wählverbindungen relevant.
deshalb auch meine fragen bezüglich der releasestände konfiguration usw.
-
WKS>cisco >firewall die als PPTP-Server arbeitet dhinter hängt ein win2000Server.
WKS+ Cisco sind in einem Netz, dh die WKS connectet über die Cisco auf die FW. Auf dem Server läuft ein dyndns-Client der das IP -update der Firewall macht.
Is also noch ein Problem, wie sag ich der Cisco in regelmäßigen Abständen die IP der FW??
du legst einen gre-tunnel vom deinem router zur firewall
#
ip address 192.168.10.1 255.255.255.252
keepalive 20 3
tunnel source "dsl-interface"
tunnel destination "ip des partners"
#
du mußt über ein perl-script o.ä sicherstellen das in regelmäßigen abständen überprüft wird ob sich die ip des tunnel-partners geändert hat. wenn ja dann änderst du die ip des tunnel-partners im tunnel-interface.
da bei pptp der gre-tunnel eh vom pptp-server (in deinem fall von der firewall) aufgebaut wird und nicht zwingend durch den nat-table muß sollte es egal sein ob der gret auf dem router oder dem client terminiert wird.
PPTP+ GRE kommen an der Firewall an und das Problem scheint wirklich zu sein, das die cisco den GRE oder PPTP-TCP nicht wieder auf die WKS zurückreicht.
Leider hab ich auch nix gefunden um mir das auf der cisco anzugucken, also was wird permitet /geblockt , welche ports sind auf , alsdas man auf diesem Wege ein wenig schlauer wird.
die pptp packete solten via ip nat source static zu deinem client kommen. die gre pakete werden lokal auf deinem router terminiert.
"DU schreibst:
ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco
terminiert wird an dem auch der server hängt.
das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client.
hi wenn du eh den tunnel von deinem w2k-whatever client aufbaust kannst du den cisco auch ganz aussen vor lassen indem du einen ipsec-tunnel zur firewall aufbaust.
dort wird dann eine gruppe inkl. username und passwort definiert.
du authentifizierst dich dann mit dieser gruppe und dem user nebst passwort (xauth). voraussetzung ist das die firewall xauth kann.
eine beispielconfig für xauth auf einem cisco-router findest du unter http://www.rulax.de
Da weiß ich schon wieder nich was easy -VPN, xauth und split-tunneling ist und macht. Und wie mach ich IPsec??, mal abgesehn davon das die Firewall laut Hersteller Probleme mit IPsec und dynamischen IP's hat.um welche art von firewall handelt es sich denn ???
-
hi,
ich mach das zurzeit mit einer ipsec-verbindung die auf dem cisco
terminiert wird an dem auch der server hängt.
das läuft mit easy-vpn,xauth, split tunneling und einem cisco-vpn client.
die geschichte mit einem gre-tunnel ist auch nicht (wirklich) kompliziert.
der router hat einen dyndns tunnel-partner eingetragen.
per perl-script wird alle 10 minuten von einer maschine aus deinem lan abgefragt ob die eingetragene ip-adresse des dyndns-partner noch gleich ist oder sich geändert hat.
bei einer geänderten adresse wird auch die ip des tunnel partners auf die aktuelle ip-adresse geändert.
über diesen tunnel kannst du eine pptp-session zum tunnel partner aufbauen.
den von dir erwähnten weg mit vrf-light kannst du wieder abhaken.
vrf und vrf-light eher etwas für isp´s und wird genutzt um mehrere routinginstanzen parallel auf einem router laufen zu lassen.
dabei weiß die eine instanz nichts von dem routingtable der anderen.
somit bekommst eine trennung von kundennetzen auf einem router hin. dies wird u.a meistens mit mpls und bgp implementiert.
Stichwort: bgp pe to ce routing und vpn-mpls
-
hi,
ja da geht z.b. "clear int dialer1"
-
hi,
das problem bei einer pptp-session via nat ist das der gre-tunnel vom server aufgebaut wird. der router muß also irgendwie erkennen das, das antwort-gre paket auf die pptp session für den client gedacht ist.
das funktioniert zurzeit nur mit der pix im release 6.1/6.2/6.3 (fixup protocol pptp 1723)
alternativen:
1:
wie schon pretender erwähnt einen gre-tunnel von deinem router
zum server konfigurieren.
das problem ist das der server eine dyndns-adresse hat.
d.h. du mußt mit einem script (des öfteren) überprüfen pb sich die
destination gre-adresse ändert und gegebenenfalls ändern, alldieweil der router einen dyndns-adresse nur einmal auflöst wenn du sie im tunnel-interface einträgst.
2:
du machst einen statischen nat eintrag für gre zu deinem client.
das problem ist das es so etwas (zumindest direkt) nicht gibt.
eventuell gibt es noch die möglichkeit das ganze mit einer route-map zu lösen.
das sieht dann so aus.
diesen befehl habe ich auf einem 1700er getestet mit einem 12.3er ios. bei meinem 2610er mit einem 12.2(T)-Release gibt es ihn so nicht.....testen
#
ip nat inside source static "adresse vom gre-client" interface dialer 1 route-map gre
!
route-map gre 10
match ip address 101
access-list 101 permit gre any any
!
access-list 101 permit
!
access-list 101 permit gre any any
#
der befehl bzw. die tastenkombination für das abrechen eines trace ist. entweder strg+c, strg+z oder strg+shift+6 und dann x.
wie pretender schon erwähnt hat pptp läuft auf tcp port 1723 und gre setzt auf ip protokoll-type 47 auf.
-
hi,
das file löschst du mit "delete filename" bzw. "delete flash:filename" und den speicher gibst du mit squeeze flash wieder frei.
http://www.cisco.com/en/US/products/hw/routers/ps380/products_tech_note09186a0080117772.shtml
-
hi,
poste doch bitte mal die ausgabe von "sho policy-map interface g3/10".
eventuell liegt es daran das du eigentlich zwei default policies hast (policy1 und class-default)
alternativ kannst du das ganze mit car erledigen oder traffic-shaping
car:
rate-limit output access-group 1 30000000 5000000 2000000 conform-action transmit exceed-action drop
!
access-list 1 permit any
traffic-shapping:
traffic-shape group 1 30000000 5000000 2000000 2048
!
access-list 1 permit any
-
hi,
um welchen cisco der 800er serie handelt es sich denn (801, 803..).
es wäre auch hilfreich den leitungstyp und die ios-version nebst konfig zu erfahren bzw. besondere gegebenheiten (multilink, usw)
-
hi,
z.b. so:
2950:
interface Port-channel 1
switchport mode trunk
!
interface FastEthernet0/1
switchport mode trunk
channel-group 1 mode desirable
!
interface FastEthernet0/2
switchport mode trunk
channel-group 1 mode desirable
6500:
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
!
Interface FastEthernet2/1
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode desirable
!
Interface FastEthernet2/2
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
channel-group 1 mode desirable
weitere beispiele und infos findest du hier:
http://www.cisco.com/en/US/tech/tk389/tk213/technologies_configuration_example09186a0080094bc5.shtml
und hier
-
@Pretender
poste doch bitte noch mal die config und den output von "show ip route track-table","deb dialer" und "deb ip routing" bis zu dem zeitpunkt an dem das interface down geht.
-
Hallo zusammen,
anbei einige Anmerkungen zum Posten von Konfigurationen.
Postet niemals die „enable passwörter“ oder „enable secret´s“, auch dann nicht wenn ihr eine service password-encryption konfiguriert habt.
Das „enable password“ zu knacken ist relativ simpel dafür gibt es genügend Tools.
Es ist ebenfalls möglich ein „enabele secret“ zu knacken (dauert zwar länger wegen MD5, funktioniert aber).
Weiterhin schaut euch bitte die Ausgabe von diversen Debuggern an die jemand anfordert bevor ihr sie postet und ändert bzw. löscht gegebenenfalls User-Relevanten Daten. Um eine fehlerhafte CHAP-PAP-Authentifizierung zu analysieren braucht man keine Passwörter und/oder Benutzerkennungen.
Bedenkt dass die Threads für jedermann einsehbar sind.
-
hi,
anbei eine konfig mit chap-authentifizierung und statischem routing.
die konfiguration ist eine von vielen möglichen.
schau dich am besten noch mal bei cisco um.
#
Router 1
hostname r1
!
enable password cisco
!
username r2 password 0 cisco
!
!
!
!
ip subnet-zero
no ip finger
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
no shut
!
interface BRI0
description zu router r2
ip address 192.168.3.1 255.255.255.252
encapsulation ppp
no shut
no ip mroute-cache
dialer map ip 192.168.3.2 name r2 4711
dialer-group 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap
!
ip classless
ip route 192.168.2.0 255.255.255.0 192.168.3.2
no ip http server
!
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
password cisco
login
!
no scheduler allocate
end
Router 2
hostname r2
!
enable password cisco
!
username r1 password 0 cisco
!
ip subnet-zero
no ip finger
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.2.1 255.255.255.0
no shut
!
interface BRI0
description zu router r1
ip address 192.168.3.2 255.255.255.252
no shut
encapsulation ppp
no ip mroute-cache
dialer map ip 192.168.3.1 name r1 0815
dialer-group 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap
!
ip classless
ip route 192.168.1.0 255.255.255.0 192.168.3.1
no ip http server
!
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
transport input none
line aux 0
line vty 0 4
password cisco
login
!
no scheduler allocate
end
-
hi,
route-maps sind sehr vielseitig einzetzbar. sie werden oft in verbindung mit dynamischen routing-protokollen oder policy-routing genutzt.
bei dynamischen routing-protokollen z.b um für spezielle routen die über eine acl matchen tags zu setzen die wiederum ein paar hops weiter auf einem anderen router somit wieder relativ einfach zu identifizieren sind oder um die metric, distance usw zu ändern.
beim policy-routing um den routing table zu "umgehen" oder eine nat.
bei einer nat um mit der gleichen acl über unterschiedliche interfaces zu arbeiten usw.
anbei ein beispiel mit dynamischem routing:
router1:
!
router eigrp1
network 10.0.0.0
redistribute static metric 128 1 255 1 1500 route-map settag
!
ip route 2.0.0.0 255.255.255.0 192.168.0.1
ip route 1.1.1.0 255.255.255.0 192.168.0.2
!
access-list 1 perm 2.0.0.0.0 0.0.0.255
!
route-map settag 10
match ip address 1
set tag 55
set metric +10000
!
route-map settag 15
router2:
router eigrp1
network 10.0.0.0
!
router ospf1
redistribute eigrp 1 route-map seteigrp subnets
!
route-map seteigrp 10
set metric 120
match tag 55
!
route-map seteigrp 15
router 1 hat zwei statische routen die nach eigrp propagiert werden. der admin hat aber festgelegt das die route zum zielnetz 2.0.0.0 zusätzlich eine metric von 10000 mehr haben soll als die zweite.
also definiert er eine route-map (settag) in der er über eine acl filtert nach der dieser route (match ip address 1) und ändert die metric, gleichzeitig wird noch einen tag anhängt.
dieser tag wird beim zweiten router ausgewertet. und daraufhin wird die metric von der route abgeändert wenn sie nach ospf propagiert wird.
-
Original geschrieben von borg-
also kann sich jetzt niemand mehr mit meinen daten einwählen??
zur zeit kann sich niemand mit deinen daten einwählen, alldieweil die kennung gesperrt ist.
wenn vorhin einer schnell genug war und den kompletten thread durchwühlt hat könnte er theoretisch die zugansdaten gespeichert haben.
das beste ist du änderst dein passwort der t-online kennung wenn es wieder löppt.
-
hi,
fit bin ich zumindest was das körperliche angeht. bei der anderen sache kann ich das nicht beurteilen :D
ich habe halt viel gelesen und habe auch schon ein paar router konfiguriert.
-
nee du nervst nicht. wenn dem so wäre hätte ich das hier schon von meiner seite beendet ;)
-
Original geschrieben von borg-
ohhhh wie mach ich das????
wie machst du was ?
der debug-output wurde schon vom einem mod geändert. hat sich also somit erledigt.
cisco 801
in Cisco Forum — Allgemein
Geschrieben
die befehle sind alle auf der hp von cisco beschrieben.
an büchern kann ich dir empfehlen.
Jeff Doyle Routing -- TCP/IP Vol I+II
Caslow & Pavlichenko -- Routers and Switches for CCIE´s
John T. Moy -- Anatomy of a Routing Protocol OSPF
diverse Cisco Press Bücher sind auch nicht schlecht.