n@ppo

hi,

 

deine kennung ist gesperrt. hattest du die richtige benutzerdaten bzw. das richtige passwort eingetragen ??

entferne bitte innerhalb des debug-outputs deine benutzerdaten, sonst surfen demnächst einige für auf deine kosten.

hi,

 

schön, aber da passt etwas noch nicht. ich tippe mal auf die authentifizierung.

 

poste doch bitte mal den debug-output von "deb ppp auth" und "deb ppp nego". mach aber nur einen ping.

 

gib nur "ping" ein. der router fragt dann ob du einen ip-ping machen möchtest. das bestätigst du. danach fragt er dich nach der destination ip. da gibst du die vom dns-server ein.

dann kommt die abfrage "Repeat count [5]:" dort gibst du ihm eine 1 vor alle anderen abfragen bestätigst du.

hi,

 

dein int bri0 ist noch shutdown.

im configure-mode die folgenden zeilen im terminalproggi einfügen.

#

access-list 121 permit udp an an eq 53

access-list 121 permit tcp an an eq 80

access-list 121 permit tcp an an eq 21

access-list 121 permit tcp an an eq 22

access-list 121 permit tcp an an eq 25

access-list 121 permit tcp an an eq 110

access-list 121 permit icmp any any

!

interface BRI0

no shutdown

end

wr

#

 

und noch mal testen. wenn nix geht......wieder debugger an und posten.

hi,

 

poste noch mal die running-config.

@kanalracer

 

zum thema homebanking:

 

mit dem eintrag "access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 443" sollte der dialer angetriggert werden bzw verhindert werden das dein idle-timer abläuft.

hi,

 

am besten du konfigurierst den router über das console-kabel es ist hellblau oder schwarz und ist flach. in der doku ist von einem rollovercable die rede. ev. ist noch ein rj-45-to-db-9 adapter dabei.

danach verbindest du dich mit einem terminalproggi z.b. hyperterminal, secure-crt oder terraterm auf den router. die einstellungen sind 9600, 8, n, 1.

 

dann kommst du auf die routerconsole. der router meldet sich mit router> bzw. in deinem fall mit Bart>. jetzt gibst du "enable" ein und danach dein enable secret/passwort.

der router meldet sich mit Bart#.

du bist im enable-modus (privilege exec modus)

mit "sho running" kannst du dir die konfig anzeigen lassen und via copy and paste in einen editor kopieren. nun hast du ein backup deiner alten konfig.

da die änderungen gegenüber deiner alten konfig zu groß sind löschst du die am besten (keine angst du hast ja noch das backup)

dazu gibst du im enable-modus "wr er" und reload ein. der router fragt nun ob du sicher bist....bist du sicher ? :-)

nach dem reload kommt der router im setup-mode hoch. den brichst du mit strg+c oder strg+z ab. der router meldet sich wieder mit router>. jetzt kannst du wieder mit "enable" in den enable-modus wechseln.

danach wechselst du mit "conf t" in den configure-modus. in der console siehst du "router(config)".

du kopierst dir die im thread gepostete konfig in das terminalproggi. die konfigzeilen laufen durch.

danach beendest du den configure-modus mit "end" und speicherst die konfig mit "wr" dauerhaft in das nvram.

jetzt bootest du die büchse am besten durch mit "reload".

 

danach verbindest du dich am besten mit dem terminalproggi wieder auf die console und testest erst mal die verbindung.

mach einen ping (im enable-modus) auf den dns von t-online (ping 194.25.2.129). sollte der funktionieren ist alles o.k und du kannst das ganze mal von einem pc testen.

wenn nicht poste die ausgabe von "deb ppp auth" und "deb dialer" ins forum.

den debugger schaltest du mit "un all" wieder ab.

 

noch ein paar tipps zum aufspieen der konfig.

ersetze die zeilen mit den passwörtern durch deine.

aber achte darauf das du keine leerzeichen einfügst oder dergleichen.

 

hier ein beispiel.

 

enable password 7 03055F060F01224F

 

änderst du in

 

enable password admincc (oder was auchimmer)

 

es ist wichtig das du entweder die passwörter im klartext einfügst (ohne die 5 oder 7 davor) oder aber die passwörter exakt aus deiner bestehenden übernimmst (mit 5 und 7)

 

es kann sein das sich router beim aufspielen der konfig "verschluckt". deshalb nimmst du dir am besten immer einzelne blöcke vor. erst den oberen global-teil, dann interface eth0, danach bri0, usw. das hat den vorteil das du eher den fehler entdeckst wenn du solche geschichten zum ersten mal machst. ansonnsten kannst du auch in deinem terminalproggi nach oben scrollen und gegebenenfalls die befehle wiederholen.

hi,

 

die zeile "no ip routing" passt da mit sicherheit so nicht rein. ausser du bridgest den traffic (wird zurzeit von t-online nicht unterstützt auf einem dialer-interface).

den route-cache würde ich auch wieder einschalten "ip route-cache".

die zeilen mit "ppp chap ...." im interface dialer1 kannst du auch wieder entfernen. t-online macht nur pap.

an die dialer-list 1 würde ich eine acl binden, sonst triggert dir jedes paket den isdn an und am ende des monats erlebst du eine überaschung. zum testen kannst du es so lassen.

die acl 121 mit einem time-range an das ethernet gebunden macht auch nicht wirklich sinn.

 

in der acl 18 definierst du das netz 10.0.0.0/24 auf dem ethernet hast du aber 10.100.100.0/24 eingetragen. es verweist aber keine route über dein lan auf dieses netz. wenn du dein lan vom ethernet mit in das nat nehmen möchtest würde ich die zeile in

"access-list 18 permit 10.100.100.0 0.0.0.255" ändern oder die ip-adresse vom ethernet in 10.0.0.1/24

kleine anmerkung: subnet-zero auf einem lan ist nicht wirklich günstig.

der dhcp-pool würde bei einer 10.100.100.0 adresse ebenfalls nicht passen.

weiterhin fehlt noch eine default-route über das dialer-interface " ip route 0.0.0.0 0.0.0.0 int dialer1"

 

 

 

ob dein dialer angetriggert wird siehst du mit "deb dialer"

fehler in der authentifizierung kannst du mit "deb ppp auth" mitloggen.

fehler im isdn lassen sich mit "deb isdn q931" bzw "deb isdn q921" mitloggen. solltest du via telnet auf der maschine sein mußt du vorher noch ein "term on" eingeben, sonst bekommst du die meldungen nicht auf deinem vty angezeigt.

 

um die passwörter zu ermitteln kannst du dieses proggi nehmen.

das kann bis auf enable-secret alle passwörter "knacken"

http://download.boson.com/utils/bos_pass.exe

 

 

nachtrag

 

# schnipp

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Bart

!

logging buffered 8192 debugging

enable secret 5 $1$Sz2Z$MtE88wcMCbUN8/7devGoa/

enable password 7 03055F060F01224F

!

username Bart password 7 104F0D140C191108

ip subnet-zero

no ip source-route

!

ip dhcp pool DHCPPoolLAN_0

network 10.100.100.0 255.255.255.0

dns-server 194.25.2.129

default-router 10.100.100.1

ip dhcp excluded-address 10.100.100.1

!

ip name-server 194.25.2.129

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 10.100.100.1 255.255.255.0

no ip proxy-arp

ip nat inside

no shut

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

ppp authentication chap pap callin

ppp multilink

no shut

!

interface Dialer1

description ISP

ip address negotiated

ip access-group 100 in

ip nat outside

encapsulation ppp

dialer pool 1

dialer remote-name Cisco1

dialer idle-timeout 360

dialer string 0191011

dialer hold-queue 10

dialer-group 1

ppp authentication pap callin

ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxx#0001@t-online.de password 7 110A

4F57060A5F

!

ip nat inside source list 18 interface Dialer1 overload

ip classless

no ip http server

!

access-list 18 permit 10.100.100.0 0.0.0.255

access-list 121 permit udp an an eq 53

access-list 121 permit tcp an an 80

access-list 121 permit tcp an an 21

access-list 121 permit tcp an an 22

access-list 121 permit tcp an an 25

access-list 121 permit tcp an an 110

access-list 121 permit icmp any any

access-list 100 permit icmp any any echo-reply

access-list 100 permit tcp any any established

access-list 100 permit udp any eq domain any

!

dialer-list 1 protocol ip list 121

!

ip route 0.0.0.0 0.0.0.0 Dialer1

!

line con 0

exec-timeout 0 0

stopbits 1

line vty 0 4

exec-timeout 0 0

password 7 11081D081E1C08

login local

!

no rcapi server

!

end

 

#schnapp

hi,

 

du benötigst mind. ein 12.2T release mit feature-set ip-plus.

besser ist eine 12.2(8)T. ab dieser version ist MSS Clamping (feature pppoe mtu adjustment) enthalten.

hi,

 

wenn die differenz vom ntp-client zum server zu groß ist synchronisiert sich der client nicht.

stell die uhrzeit am catalyst auf einen daumenwert nahe der jetzigen uhrzeit inkl datum ein. danach sollte sich catalyst synchronisieren.

ein weiteres mögliches problem ist, wenn der ntp-server eine zu große zeitdifferenz zur eigentlichen reference-clock aufweist. dann synchronisiert sich der ntp-client ebenfalls nicht auf, ausser der ntp-server ist stratum 1.

 

nachtrag:

 

die uhrzeit am catalyst stellst du mit "clock set" ein.

hi,

 

ich habe sie. gib mir bis morgen zeit.

hi,

 

schick mir deine konfig oder poste sie (passwörter vorher rausnehmen).

ich ändere sie dir ab und schicke sie dir wieder zurück

hi,

 

das geht mit einer route-map.

 

#

ip nat inside source route-map backup interface Dialer1 overload

ip nat inside source route-map primary interface Dialer2 overload

!

route-map backup permit 10

match ip address 1

!

route-map primary permit 10

match ip address 1

!

access-list 1 permit 192.168.1.0 0.0.0.255

#

hi

 

eigentlich meinte ich es mehr so.

 

lan-----dsl-router mit isdn/dsl konfig und Reliable Static Routing Backup Using Object Tracking-----inet

 

alles wird auf einem router konfiguriert.

 

nachtrag:

der default-gateway beim t-onle dsl ändert sich nicht. das kannst du überprüfen mit "sho ip route con".

 

auszug aus meinem router

 

C 217.5.98.90 is directly connected, Dialer3

C 217.255.123.215 is directly connected, Dialer3

 

 

wie du siehst hat mein router zwei einträge.

C 217.255.123.215 is directly connected, Dialer3

ist die ip-adresse die mir der gateway zugwiesen hat.

 

C 217.5.98.90 is directly connected, Dialer3

ist die ip vom gateway des t-online pop´s die der router via ipcp mitbekommen hat.

 

 

 

jetzt das ganze nach einem disconnect.

 

C 217.224.21.123 is directly connected, Dialer3

217.5.98.0/32 is subnetted, 1 subnets

C 217.5.98.90 is directly connected, Dialer3

 

ich habe eine neue ip bekommen und der gateway ist noch immer 217.5.98.90

@Pretender

 

mit der antwort deiner pn ging leider in die hose. ich darf erst pn´s verschicken sobald ich das minimum an beiträgen erreicht habe...... das wäre in meinem fall, wie heißt es so schon eine zweistellige Anzahl.

 

die konfig mit "Reliable Static Routing Backup Using Object Tracking" ist nur als erweiterung zur konfiguration mit einem schon funktionierenden dsl-router zu sehen. dort sind die fehlenden nat einträge "ip nat inside source list usw" eigentlich schon vorhanden.

Original geschrieben von bernd21

Hi,

ich hab das mal ausprobiert, aber das Gerät kommt nur bis hierhin:

Ready to upload new firmware into flash. Select baud rate:

 

1 - 300 baud

2 - 1200 baud

3 - 2400 baud

4 - 4800 baud

5 - 9600 baud

6 - 19200 baud

7 - 38400 baud

8 - 57600 baud

9 - 115200 baud

 

 

Ich kann noch die Baudrate auswählen, danach passiert nichts mehr.

 

Die Verbindung funzt auch nur über Konsolenkabel.

Wo sag ich dem Cisco wo er das File ziehen soll?

 

Sorry, ich blutiger Anfänger.....:-(

 

bernd21

 

 

du mußt dem router den file innerhalb deines terminalproggis senden. z.b. bei secure-crt gibt es die option send-ascii.

der router wartet nachdem du die baudrate ausgewählt hast auf den ascii-upload.

@Pretender

 

ich hoffe das war nicht unser verein der euch die klamotten vermacht hat ;).

 

ich will mich hier nicht mit fremden federn schmücken.

die ursprüngliche konfig (dialer-watch) ist nicht von mir, sondern von einem mitstreiter aus einem anderen forum. ich habe sie ein wenig modifiziert.

sie funktioniert auch nur dann wenn sich das dsl-default-gateway nicht ändert, sollte dies (warum auch immer) passieren würde der router über isdn laufen obwohl der dsl theoretisch funktionieren würde. deshalb ist vorsicht angesagt und kontrolle. sonst erwartet dich am ende des monats eine böse überaschung.

 

das mit dem feature "Reliable Static Routing Backup Using Object Tracking" ist meiner meinung nach die bessere alternative, weil es genau für solche fälle gemacht wurde.

hi,

 

den router ausschalten und wieder einschalten. während des bootvorgangs ein paar mal die escape-taste drücken. danach sollte der router im software load modus stehen.

 

#

Ready to upload new firmware into flash. Baud (1=19.2K, 2=2400, 3=38.4K, 9=9600)?

#

 

die entsprechende baudrate aussuchen und den file per ascii upload in den router laden (voraussetzung ist natürlich das du den file auf dem pc hast)

 

danach sollte der router den file in das flash schreiben und booten.

hi,

 

!

interface Ethernet0

description dsl pppoe-interface

no ip address

pppoe enable

pppoe-client dial-pool-number 1

!

interface Ethernet1

description LAN

ip address 192.168.1.1 255.255.255.0

ip nat inside

!

interface Dialer2

description internetbackup via isdn

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 2

dialer string x

dialer load-threshold 64 either

dialer watch-group 1

dialer-group 1

ppp authentication pap chap callin

ppp pap sent-username x password 7 x

!

interface Dialer1

description primary dsl link

bandwidth 128

ip address negotiated

ip mtu 1492

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication pap callin

ppp pap sent-username x password 7 x

!

ip nat inside source route-map backup interface Dialer1 overload

ip nat inside source route-map primary interface Dialer2 overload

ip classless

!

ip route 0.0.0.0 0.0.0.0 217.5.98.90 50

ip route 0.0.0.0 0.0.0.0 62.104.x.x 80

!

access-list 1 permit 192.168.1.0 0.0.0.255

!

dialer watch-list 1 ip 0.0.0.0 0.0.0.0

dialer watch-list 1 delay connect 60

dialer watch-list 1 delay disconnect 60

dialer-list 1 protocol ip permit

!

route-map backup permit 10

match ip address 1

!

route-map primary permit 10

match ip address 1

 

 

erst mal muß mannfrrau herausbekommen welchen default-gateway der provider via ipcp liefert.

in meinem fall wäre das ein t-online gateway.

#

217.5.98.0/32 is subnetted, 1 subnets

C 217.5.98.90 is directly connected, Dialer1

1.0.0.0/24 is subnetted, 1 subnets

C 217.224.31.82 is directly connected, Dialer1

#

mit sho "ip route con" sieht mannfrau das. das ganze danach noch einmal für den isdn-backup link.

diese beiden ermittelten gateway trägt mannfrau als default route mit unterschiedlichen ad´s ein. der dsl-gateway

sollte dabei logischerweise der mit der besseren ad sein.

 

@Pretender

 

icq hab ich nicht.

hi,

 

mit dem release 12.3(2)XE gibt es nun die möglichkeit aufgrund eines nicht funktionierenden pings auf eine verfügbare ip-adresse (z.B master-dns des providers) das backup auslösen zu lassen.

 

 

eine konfig könnte so aussehen (ungetestet)

 

# schnipp

 

interface Dialer1

primary DSL-Link

ip address negotiated

encapsulation ppp

ip nat outside

dialer pool 1

dialer-group 1

no cdp enable

ppp chap hostname bladiebla

ppp chap password blubbdieblubb

!

interface Dialer2

description Backup-ISDN-Link

ip address negotiated

dialer string 0815

ip nat outside

encapsulation ppp

dialer pool 2

dialer-group 1

no cdp enable

ppp chap hostname bladiebla

ppp chap password blubbdieblubb

!

dialer-list 1 protocol ip permit

!

rtr 1

type echo protocol ipIcmpEcho 194.25.2.129

timeout 1000

frequency 3

threshold 2

rtr schedule 1 life forever start-time now

!

track 123 rtr 1 reachability

 

 

access list 101 permit icmp any host 194.25.2.129 echo

route map MY_LOCAL_POLICY permit 10

match ip address 101

set interface dialer 1 null 0

!

ip local policy route-map MY_LOCAL_POLICY

 

 

ip route 0.0.0.0 0.0.0.0 dialer1 track 123

ip route 0.0.0.0 0.0.0.0 dialer2 254

 

#schnapp

 

Die funktionalität kann mit "show ip route track-table" überprüft werden. nähere infos gibt es hier http://www.cisco.com/en/US/products/sw/iosswrel/ps5413/products_feature_guide09186a00801d862d.html

 

 

das ganze (backup eines dsl over isdn) funktioniert im übrigen auch mit dem feature dialer-watch das es seit der version 11.3 gibt.

die konfiguration ist dabei ein wenig anders und unter umständen muß mannfrau auch später ein paar geschichten nachkonfigurieren. eine konfig kann ich wenn gewünscht nachreichen.

hi,

 

die rechenleistung bei hsrp ist bei den von dir aufgeführten geräten zu vernachlässigen, da sich der hello-intervall zwischen 1-3 sec und die die holdtime zwischen 3-9 sec. bewegt (abhängig vom ios). sprich alle 1-3 sec. schicken die router multicasts auf die reise. wenn du z.b ein routingprotokoll am laufen hast (eigrp, ospf, etc) wird mit sicherheit mehr speicher und prozessorlast benötigt.

 

anders sieht es bei 2500er bzw. 4000er geräten aus. die können kein mhsrp alldieweil die nur max zwei macadressen pro ethernet controller verwalten können.

hi,

 

zu:

What is the value of the composite metric?

da ist 80135 die metric. der wert 100 ist die ad (administrative distance)

 

zu:

18 What can be determined from the partial output of the show ip route command displayed below? (Choose two.)

 

The next update will be in 16 seconds ist hier richtig, da rip alle 30 sec den routing-table propagiert.

The administrative distance is 120 and the metric is 1 ist ebenfalls richtig. rip hat eine ad von 120 und das netz 200.200.200.0/24 wäre in diesem fall einen hop entfernt.

 

siehe auch http://www.ietf.org/rfc/rfc1058.txt

sorry

für den letztem thread, aber irgendwie habe ich hier ab und an ein cookie problem.

f

hi,

 

eine konfig für einen fec kann so aussehen.

 

#

interface Port-channel20

no ip address

switchport

switchport access vlan 20

spanning-tree portfast

!

 

interface FastEthernet2/1

no ip address

load-interval 30

duplex full

speed 100

switchport

switchport access vlan 20

spanning-tree portfast

channel-group 20 mode desirable

!

interface FastEthernet2/2

no ip address

load-interval 30

duplex full

speed 100

switchport

switchport access vlan 20

spanning-tree portfast

channel-group 20 mode desirable

#

 

wenn deine karten pagp unterstützen kannst du auto bzw. desireble im channel-mode einstellen. ansonsten nimm lieber

"mode on", sonst bekommst nie einen channel hin.

das o.g. beispiel läuft als layer2 channel.

 

beim einsatz von multicast-mac-adressen und unicast-ip-adressen auf dem adapter im server solltest du darauf achten im

dem router/msfc der für das inter-vlan-routing zuständig ist einen statischen arp eintrag zu machen.

ein dynamisches mapping von multicast-mac zu unicast-ip war nur in den frühen 11er releases zu finden, da es kein rfc-standard ist.