ich habe vor einigen Tagen mal angefangen mich mit dem Thema Cisco etwas genauer zu beschäftigen. Ich benutze einen Router Cisco 803 mit dem IOS:
IOS C800 Software (C800-K8OSY6-MW), Version 12.2(13)T
eingerichtet habe ich darauf folgendes:
- lokales Netzerk mit vergabe von DHCP-Adressen - 192.168.12.0
- DSL Einwahl über vpdn und pppoe
- später soll es mal möglich sein von außen per ISDN eine Einwahl auf diesem Router zu ermöglichen und auch über diese Einwahl den DSL Zugang zu nutzen (ansatzweise Dialer2)
- außerdem sind halt die pots eingerichtet + rcapi (funktioniert auch)
Woran ich nun gescheitert bin ist das Einrichten der Access-Lists - bzw. Firewall. Wenn ich die Config mit den ACL's so wie ich es mir vorstellte startete konnte ich leider gar nicht mehr mit dem I-Net kommunizieren.
Deshalb frage ich ganz unbeleckt, wie sollten entsprechende Access-Lists aussehen?
aktuelle Config:
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname "AI-NET-RAS"
!
boot system flash c800-k8osy6-mw.122-13.T.bin
enable secret 5 XXX
!
username master password 7 XXX
!
dial-peer voice 1 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 1
volume 3
destination-pattern yyy
!
dial-peer voice 2 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 2
volume 3
!
pots country DE
!
ip subnet-zero
ip dhcp excluded-address 192.168.12.1 192.168.12.49
ip dhcp excluded-address 192.168.12.60 192.168.12.254
!
ip dhcp pool 1
network 192.168.12.0 255.255.255.0
domain-name AI-HOMEZONE
default-router 192.168.12.100
dns-server 62.104.191.241
!
no ip domain lookup
ip name-server 194.25.2.129
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
isdn switch-type basic-net3
!
!
!
!
interface Ethernet0
description connected to AI-HOMEZONE
ip address 192.168.12.100 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface BRI0
description connected to Dial-inPCs(ISDN),Internet
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn voice-priority 30602 out always
isdn voice-priority 30602 in always
isdn voice-priority 30415 out always
isdn voice-priority 30415 in always
isdn incoming-voice modem
!
interface Dialer1
description T-DSL - Anschluss
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username XXX
!
interface Dialer2
description connected to Dial-inPCs(ISDN)
ip address 10.0.0.1 255.255.0.0
ip nat inside
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer remote-name Dial-inPCs(ISDN)
dialer-group 1
peer default ip address pool AI-NET-RAS-Group-2
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
router rip
version 2
passive-interface Dialer1
network 10.0.0.0
network 192.168.12.0
no auto-summary
!
ip local pool AI-NET-RAS-Group-2 10.0.0.10 10.0.0.11
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.12.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 120 permit ip any any
dialer-list 1 protocol ip list 120
!
snmp-server engineID local 0000000902000050737787C4
Firewall on Cisco 800 er
in Cisco Forum — Allgemein
Geschrieben
Hallo,
ich habe vor einigen Tagen mal angefangen mich mit dem Thema Cisco etwas genauer zu beschäftigen. Ich benutze einen Router Cisco 803 mit dem IOS:
IOS C800 Software (C800-K8OSY6-MW), Version 12.2(13)T
eingerichtet habe ich darauf folgendes:
- lokales Netzerk mit vergabe von DHCP-Adressen - 192.168.12.0
- DSL Einwahl über vpdn und pppoe
- später soll es mal möglich sein von außen per ISDN eine Einwahl auf diesem Router zu ermöglichen und auch über diese Einwahl den DSL Zugang zu nutzen (ansatzweise Dialer2)
- außerdem sind halt die pots eingerichtet + rcapi (funktioniert auch)
Woran ich nun gescheitert bin ist das Einrichten der Access-Lists - bzw. Firewall. Wenn ich die Config mit den ACL's so wie ich es mir vorstellte startete konnte ich leider gar nicht mehr mit dem I-Net kommunizieren.
Deshalb frage ich ganz unbeleckt, wie sollten entsprechende Access-Lists aussehen?
aktuelle Config:
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname "AI-NET-RAS"
!
boot system flash c800-k8osy6-mw.122-13.T.bin
enable secret 5 XXX
!
username master password 7 XXX
!
dial-peer voice 1 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 1
volume 3
destination-pattern yyy
!
dial-peer voice 2 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 2
volume 3
!
pots country DE
!
ip subnet-zero
ip dhcp excluded-address 192.168.12.1 192.168.12.49
ip dhcp excluded-address 192.168.12.60 192.168.12.254
!
ip dhcp pool 1
network 192.168.12.0 255.255.255.0
domain-name AI-HOMEZONE
default-router 192.168.12.100
dns-server 62.104.191.241
!
no ip domain lookup
ip name-server 194.25.2.129
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
isdn switch-type basic-net3
!
!
!
!
interface Ethernet0
description connected to AI-HOMEZONE
ip address 192.168.12.100 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface BRI0
description connected to Dial-inPCs(ISDN),Internet
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn voice-priority 30602 out always
isdn voice-priority 30602 in always
isdn voice-priority 30415 out always
isdn voice-priority 30415 in always
isdn incoming-voice modem
!
interface Dialer1
description T-DSL - Anschluss
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username XXX
!
interface Dialer2
description connected to Dial-inPCs(ISDN)
ip address 10.0.0.1 255.255.0.0
ip nat inside
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer remote-name Dial-inPCs(ISDN)
dialer-group 1
peer default ip address pool AI-NET-RAS-Group-2
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
router rip
version 2
passive-interface Dialer1
network 10.0.0.0
network 192.168.12.0
no auto-summary
!
ip local pool AI-NET-RAS-Group-2 10.0.0.10 10.0.0.11
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.12.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 120 permit ip any any
dialer-list 1 protocol ip list 120
!
snmp-server engineID local 0000000902000050737787C4
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
exec-timeout 0 0
password 7 XXX
login
stopbits 1
line vty 0 4
password 7 XXX
login
!
rcapi server port 2578
!
rcapi number YYY
rcapi number YYY
!
end