tom12

Hi, danke, das alles ist schon so implementiert... Voll geswitchtes Netz mit ausschliesslich Cisco Geräten.. Was ich nicht ganz verstehe ist, warum bei Cisco mittlerweile nicht ssh ein Standard-Feature in jedem IOS ist...na ja.. Telnet auf einem anderen Port kännte durchaus Sinn machen: Nimm an jemand snifft alles mit auf einem Link mit durchschnittlichem Traffic von 30-50 Mbit/s. Dann wird dieser böse Bube nach 2 Stunden sniffen sicherlich nach bestimmten Ports suchen (23)..... Und nicht jedes Packet analysieren.. Danke trotzdem Grüsse Thomas

Hi, leider geht ssh erst ab einem IOS mit DES/3DES Feature.... Was kann ich machen, meine Telnet Sessions "etwas sicherer zu machen"? Wenn möglich auf einem IOS IP-Base oder IP-Plus.. PAM geht erst ab IOS mit CBAC Feature... Telnet mittels Kerberos ers ab eine IOS mit DES Unterstützung... Kann ich telnet auf einem anderen Port konfigurieren? Oder hat jemand irgend eine andere Idee/Vorschlag?? Danke schonmal, Thomas

Hi, "dialer-list 1 protocol ip permit" muss du mit "dialer-list 1 protocol ip list 166" (oder so ähnlich) ersetzen. Dann in ACL 166 den traffic definieren, welcher den Anruf generieren soll: access-list 166 permit ip any any eq 80 access-list 166 permit ip any any eq 53 ........ Grüsse Thomas

Hi, mit "debug dialer" siehst du welcher traffic einen Anruf generiert oder würde (falls isdn schon up ist). Grsse Thomas

Hi, mit "debug dialer detail" siehst welche Pakete "intresting" sind Grüsse Thomas

Hi, so ca. sollte deine config aussehen: crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 crypto isakmp key 0 xxxDEIN_PRESHARED_KEYxxx address <IP VOM REMOTE VPN PEER> ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set DEIN_SET esp-3des esp-md5-hmac ! crypto map DEINE_MAP100 ipsec-isakmp set peer <IP VOM REMOTE VPN PEER> set transform-set DEIN_SET set pfs group2 match address 150 ! ! interface Ethernet0 ip address 192.168.1.150 255.255.255.0 ip nat inside no ip route-cache no ip mroute-cache no cdp enable hold-queue 100 out ! ! An deine OUTGOING Interface musst die die Map binden: ! crypto map DEINE_MAP ! ! ip nat inside source list 140 interface Dialer0 overload ! !******192.168.1.0/24 und 192.168.0.0/24 sind deine Encryption Domains. Dafür darfst du kein NAT machen (ACL 140); für die VPN muss der traffic definiert werden (ACL 150); am WAN-Interface muss dies alles erlaubt werden (ACL 110). ACL 110 am WAN-Interface binden: "ip access-group 110 in" ! ! access-list 110 permit esp host <IP VON DEINEM REMOTE PEER> host any access-list 110 permit udp host <IP VON DEINEM REMOTE PEER> host any eq isakmp access-list 110 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 deny ip any any log access-list 140 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 140 permit ip 192.168.1.0 0.0.0.255 any access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 150 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 Am Routing brauchst du nichts ändern. Grüsse Thomas

zuerst kopierst du dir die files vom flash per tftp auf einen PC. Neue Flash rein. Und die daten per tftp zurückkopieren. Grüsse Thomas

Hi, versuch an den zwei Seriellen Interfaces das Komando "ip directed-broadcast" . Thomas

Hi, ich bin aus Italien und wüsste schon was anfangen mit dem Gerät....allerdings ist mir das zu teuer. Aber ich kann mich ja mal umhören, viell. finde ich jemanden!! Gibt es in Deutschland eigentlich nur ADSL over ISDN (Annex-B) ?? Denn in Italien findet man ausschliesslich ADSL over POTS (Annex A)..!? Gruss Thomas P.S.: Wenn du etwas online bestellst kannst du dies (ohne Begründung) innerhalb 2 (oder 3) Wochen zurückschicken! Dies zählt EU weit zum Konsumentenschutz. Auch wenn du das Teil geöffnet hast. Es darf lediglich keine Abnützung aufweisen.

Hi, also vlan´s kannst du sicherlich genug anlegen. Du möchstet allerdings mit deinem Switch Routing machen... (wenn ich das richtig verstanden habe) Du meinst VLAN-Interfaces, wo du nur eines anlegen kannst. Um mehrere erstellen zu können brauchst du ein IOS welches das unterstützt. Ich weiss nicht ob das auf der 29er Serie überhaupt geht!! Wenn ja brauchst du sicherlich das sog. EMI (Enhanced Multilayer Image). Ich weiss nur dass das mit der 3550er Serie so ist. Grüsse Thomas

Hi, mit dem Befehl dialer caller 123456 am Dialer Interface konfigurierst du die Rufnummererkennung. Du kannst auch mehrere Nummern konfigurieren.. Grüsse Thomas

Hallo, "The Cisco 1711 and 1712 routers deliver hardware-assisted VPN functionality encrypting data using the strongest encryption available, 3DES at 15 Mbps" Die 1721 Serie macht VPNs in Software, deshalb solltest du 16 MB Ram dazukaufen (insg. 48). Optional gibt es das HArdware-Modul. Kauf dir am besten den 1712 mit einem FW/VPN/IPSEC-3DES IOS! Grüsse Thomas

Was für eine Lösung würdest du ansonsten vorschlagen, mit einer Standard ACL.....geht nicht!! Ev. kannst du am Eth des linken Routers eine ACL in OUT setzen! Mit einer extended/named ACL gibt es schon bessere Möglichkeiten. Grüsse Thomas

"Aber erkläre mir bitte, wieso die ACL in diesem Fall nicht an der Schnittstelle des Central-Routers zum Netz 172.16.1.0 (sprich links vom BIld :-P) an der INbound gesetzt wird?!?!" --> das ist leicht erklärt: Wenn du die ACL am Seriellen Interface der zentralen Routers setzst, dann kommt kein Traffic vom 172.16.1.0/24-er Netz auf irgendein Netz hinter dem Zentralen Router! Grüsse

Hallo, es ist empfohlen Standard ACLs immer so nahe wie möglich der destination anzuwenden. Extendet ACLs so nahe wie möglich an der source. In diesem Bsp. also : access-list 10 deny ip 172.16.1.0 0.0.0.255 access-list 10 permit ip any una an das ethernet interface vom "zentralen" Router in out binden: (config-if)#ip access-group 10 out Grüsse Thomas

Hallo, kann es sein, dass es sich um Broadcasts / Multicasts handelt?! Thomas

Hallo, kannst du das genauer erklären. Was meinst du mit falschen Frames?? Fehlerhafte Frames (CRC Fehler,..)? Thomas

http://www.panchoproject.org habs getestet. Geht über SNMP

hi, wenn du nur die configs holen willst.. konfigurier dir ssh oder telnet (mit ACL, etc..)! Thomas

Hi, kommt drauf an. Wenn du mit Cisco weitermachen willst: - BCMSN (Switching) - BCSI (Routing) - BCRAN (RAS) - CIT (Troubleshooting) Wenn du diese 4 Prüfungen bestanden hast, bist du CCNP. Oder u spezialisiert dich (immer Cisco): - Wireless-Zertifizierung - Security (VPNs, PIX) - Callmanager ..... ..... Gruss Thomas

Hi, hier findest du eine Beschreibung deiner Fehlermeldun: http://www.cisco.com/en/US/products/hw/routers/ps380/products_configuration_guide_chapter09186a008007c975.html Thomas

Hallo an alle, ich muss von einem WAN Port alles auf eine interne priv. Adress (FW) weiterleiten. Das ist eigentlich kein Problem... Doch wie mache ich dass nur Telnet nicht auf die interne priv. IP "genattet" wird?? Ich kann kleine Range von Ports konfigurieren... Also es sollte so aussehen: ip nat inside source static 192.168.1.1 200.200.1.1 extendable NUR soll Telnet NICHT auf die interne IP geleitet werden.. Wie kann ich das machen?? Danke+Grüsse Thomas

Hi, dies sind die tollsten Probleme; es geht die längste Zeit und dann von einem Tag auf den anderen gibt es Probleme.... Soviel ich kapiert habe, können beide Router den anruf generieren. Versuch mal nur einen Router den Anruf auslösen zu lassen. Viell. versucht ja der Router den anderen anzuwählen während dieser andere ebenfalls den Anruf startet. Sobald das Problem wieder auftritt, mach ein debug dialer um zu sehen ob DDR klappt. Versuch auch ein Debug isdn. Dein IOS ist schon etwas älter...nimm mal eine neuere Version. Ich hab solch ein Prob beim testen der Huawei Router bemerkt. Dort verschwindet die default-Route in der Routingtabelle. Mach also mal ein sh ip route wenn das Problem wieder auftritt Grüsse Thomas

Entferne am bri0 den <dialer pool-member 2>. Dialer2 gibst du in den Dialer pool 1. Am Dialer2: sollte es nicht ppp authentication pap chap callin sein...? mach am Router ein deb ppp negotiation deb ppp authentication wenn kein Output kommt: debug isdn q921 debug isdn q931

Hallo, versuch am FEth: ip inspect DEFAULT100 <IN> anstatt <out> . Mach am Ende der ACL 104: (conf)#deny ip any any log wenn du üer telnet drauf ist noch: #term mon Vielleicht findest du ja was. Wenn du während der StreamingSession #sh ip access-list 104 machst, siehst du die dynamisch angepasste ACL.... Grüsse