corc

Hi,

versuch's mal mit einem 'normalen', seriellen, 1-zu-1-straight-Kabel. Ich hatte selbst noch keinen 3030, aber thorgood meint, damit könnte es wohl gehen.

Gruß,

corc.

Hi,

dann stimmt irgendwas mit diesem Configmaker nicht. Darum benutzt den wahrscheinlich auch keiner... ;) Vielleicht kannst Du die Konfiguration nach dem Reboot nochmal posten?

Nächster Versuch:

geh' nochmal mit Telnet auf den Router (wie oben) und gib' folgendes ein:

term mon [Enter]

debug dialer [Enter]

Jetzt erscheinen viele Ausgaben, die anzeigen, welche Pakete für den Router 'interessant' sind, sprich: den Idletimer wieder auf 0 setzen.

Was drin sein sollte: alles, was von Dir ins Internet geht.

Was nicht drin sein sollte: alles, was aus dem Internet zu Dir geht und nicht zu einer bestehenden Verbindung gehört. Beispiel: Email. Dein Emailprogramm sendet Pakete zum Mailserver im Internet. Der Server antwortet. Das ist OK so.

Vielleicht kannst Du die Konfiguration nach dem Reboot nochmal posten?

Gruß,

corc.

Hi,

Original geschrieben von thorgood

Mit isdn calling-number Rufnummer wird dem Router die MSN

mitgeteilt, über welche er rauswählen soll.

 

interface BRI0

isdn calling-number Rufnummer

 

 

Mit isdn caller Rufnummer akkzeptiert er nur einen

eingehenden Ruf wenn die richtige MSN übermittelt wird.

 

interface BRI0/0

isdn caller Rufnummer

 

thorgood

in einer Konfiguration mit Dialer-Pools (wie oben) funktioniert das mit

interface Dialer1
dialer caller 12345

für CLI (calling line identification) bzw. mit

interface Dialer1
dialer called 54321

um die Nummer festzulegen, auf die der Router bei einem eingehenden Anruf reagieren soll.

Gruß,

corc.

Hi,

Kommst Du denn ins Internet? Kannst Du einen Hostnamen (z. B. http://www.mcseboard.de) anpingen? Kannst Du IP-Adressen (z. B. 62.67.200.45) anpingen?

Kannst Du mal bitte folgendes ausprobieren:

1.) per Telnet auf den Router:

- Start - Ausführen - telnet 192.168.0.1

- Ausgabe: Password: -- dort das Paßwort eingeben, was Du für "Terminal Access", "Telnet Access" oder wie auch immer das im Configmaker heißt, konfiguriert hast. Es ist die unverschlüsselte Version des Paßworts, was im Abschnitt "line vty 0 4" steht

- Ausgabe: Router> -- hier gibst Du "ena" ein und drückst Enter

- Ausgabe: Password: -- hier kommt das "enable secret" rein, Enter

- Ausgabe: Router#

Jetzt bist Du im sogenannten "privileged mode", im Administrationsmodus sozusagen. Jetzt wähl' Dich mal ein, so wie sonst auch. Dann gib' im Telnetfenster folgendes ein:

show isdn active (Enter) (oder kurz: sho isd act)

Die Ausgabe sieht so aus:

Router#sho isd act       
--------------------------------------------------------------------------------
                               ISDN ACTIVE CALLS
--------------------------------------------------------------------------------
Call    Calling      Called       Remote  Seconds Seconds Seconds Charges
Type    Number       Number       Name    Used    Left    Idle    Units/Currency
--------------------------------------------------------------------------------
Out      xxxxxx      yyyyyy       Name         6      54       3      0        
--------------------------------------------------------------------------------

Was steht dort unter "Seconds idle"?

Wenn Du einen Ping auf irgendwas ausführst und nochmal sho isd act sagst, welcher Wert steht dann unter "Seconds idle"?

Gruß,

corc.

Hi,

hast Du ein hellblaues Standard-Cisco-Konsolenkabel verwendet? In thorgoods Zitat steht was von straight-through RS-232 serial cable. Die normalen Konsolenkabel sind aber rollover, nicht straight.

Gruß,

corc.

Hi,

Original geschrieben von CaIvin

z.B. der Freigabe FiBu wird das LW L:\ zugeordnet, der Verwaltung das LW M:\ , dann N:\, O:\ usw. Und so hat dann jeder die Freigaben, die er braucht direkt verfügbar im Explorer.

[/b]

das ist ja, glaube ich, das, was er nicht wollte -- einzelne LW pro Freigabe. Wobei das ja eigentlich der Standardweg ist... ;)

Ich dachte an einen Ordner "Freigaben". In diesem Ordner erscheinen aber nicht die Freigaben selber, sondern Verknüpfungen darauf (Verknüpfung auf FiBu, Verknüpfung auf Personal, Verknüpfung auf ...).

Die Verknüpfungen werden per Startscript für jeden User erzeugt, und so sieht jeder User nur die Verknüpfungen, die er braucht.

Gruß,

corc.

Hi,

vielleicht könntest Du den Usern auch per Startscript entsprechende Verknüpfungen in einen/den Ordner kopieren, die dann wiederum auf die Freigaben zeigen.

Das hält den User zwar nicht davon ab, eine Ebene höher zu gehen und doch wieder alles zu sehen, aber im ersten Schritt sähen sie dann nur die gewünschten Links.

Gruß,

corc.

Hi,

das kann jetzt viele Ursachen haben.

Zwei davon: Filesharing und Scriptkiddies, auch wenn Du weder Filesharer noch Scriptkiddy bist... ;)

Das Problem: vermutlich hast Du eine dynamisch vom Provider zugewiesene IP-Adresse. Du loggst Dich aus, Du loggst Dich ein: neue IP-Adresse. Diese neue IP-Adresse kann aber vor zwei Minuten noch zu einem Anschluß gehört haben, dessen Benutzer Filesharing betreibt. Jetzt versuchen diverse andere Rechner, Deine Filelisten oder sonstwas runterzuladen und schicken immer wieder Daten an Deinen Anschluß, der dadurch offengehalten wird.

Ähnlich ist es mit anderen permanenten Anfragen aus dem Internet, die durch Scriptkiddies, Viren oder sonstwas hervorgerufen werden.

Deswegen ist ein Router eigentlich absolutes Gift für einen Zeittarif... aber ich denke, mit einem Cisco sollten wir das hinkriegen...

Also: zuerst eine neue Accessliste:

access-list 120 remark für den interessanten Traffic
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit icmp 192.168.0.0 0.0.0.255 any
access-list 120 permit tcp 192.168.0.0 0.0.0.255 established
access-list 120 deny ip any any
access-list 120 deny icmp any any

Dann dem Router sagen, daß er diese Accessliste benutzen soll, um den interessanten Traffic zu ermitteln.

'Interessant' := a) der Router fängt an zu wählen und b) der Router setzt die Idletime wieder auf 300 Sekunden.

Ersetze den Eintrag

dialer-list 1 protocol ip permit

durch

dialer-list 1 protocol ip list 120

Dann würde ich unter 'interface BRI0' und unter 'interface Dialer1' noch

no ip directed-broadcast

einfügen.

Gruß,

corc.

Hi,

jeder Rechner muß den Router als Default Gateway eingetragen haben bzw. korrekte statische Routen zum next hop haben.

Da der Default Gateway/next hop aber immer im selben Subnetz wie der Rechner sein muß, brauchst Du für den Router entweder eine Netzwerkkarte pro Subnetz oder (wenn das geht) eine IP-Adresse pro Subnetz auf der Netzwerkkarte. Das hab' ich aber unter Windows selber noch nicht gemacht.

Gruß,

corc.

Hi,

sorry, mein Fehler. Der Teil

! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any

soll sich natürlich auf die Accesslist 111 beziehen, also:

! alle hergestellten Verbindungen erlauben:
access-list 111 permit tcp any any established 
! UDP: DNS erlauben:
access-list 111 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 111 permit udp any eq ntp any

Danach kopierst Du deine bisherigen Accesslisten rein:

access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any

Zeilen, die mit '!' beginnen, sind Kommentare und werden von Cisco nicht beachtet, sollten also in 'show running-config' (oder kurz: 'sho run') nicht mehr auftauchen.

Momentan ist der Router so konfiguriert, daß er nach einer idle-Zeit von 300 Sekunden die Verbindung trennt. Sprich: fünf Minuten nach dem letzten Datenverkehr legt er auf. Einstellen kannst Du das Verhalten unter anderem hier:

dialer idle-timeout 300

Wenn Du also möchtest, daß der Router nach einer kürzeren Zeitspanne auflegt, gibst Du statt 300 eben 120 oder so ein. Wenn Du möchtest, daß er überhaupt nicht mehr auflegt (Achtung; eventuell Kostenfalle!), dann löscht Du die Zeile

dialer idle-timeout 300

raus und ersetzt sie durch

dialer persistent

(hoffentlich kennt die Version 12.1 den Befehl schon...)

Gruß,

corc.

Hi,

da rutscht mir doch fast ein "lieber Können ohne Papier als Papier ohne Können" raus, oder habe ich jetzt was falsch verstanden?

Außerdem: http://www.mcseboard.de/rules.php?s=#nr5

Gruß,

corc.

Hi,

Cisco hat ein Problem mit ip inspect (Firewall) und SMTP.

Wenn Du die Zeile

ip inspect name firewall smtp

rausläßt und dann das File nochmal mit

copy tftp start

rüberschiebst und rebootest, solltest Du Emails verschicken können.

Mit Ports hat das erstmal nichts zu tun, denn von innen nach außen sind alle Ports offen [Anm. d. Aut.: das ist nicht schädlich, solange Du Dir keinen Virus eingefangen hast.] ;)

Von außen nach innen darf allerdings überhaupt nichts rein außer den icmp-Paketen, die Du zugelassen hast:

access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME

Alles andere wird weggeworfen:

access-list 111 deny ip any any

Schade, reflexive Accesslisten werden erst ab IOS 12.2(13)T unterstützt (wenn mich nicht alles täuscht). Reflexive Accesslisten 'merken' sich den Quellport und öffnen ihn automatisch für den Rückweg.

Ohne reflexive Accesslisten müßtest Du in etwa so vorgehen:

! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any

Gruß,

corc.

Moin! ;)

Hast Du mal in

Start - Ausführen - msconfig unter Systemstart

bzw.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

geschaut, was sich da alles startet?

Gruß,

corc.

Hi,

Original geschrieben von realYeti

diesen mußte ich nur kaufen, weil mein Provider den selben anbietet - allerdings für mich unerschwinglliche €1000 mit Techniker - vorkonfiguriert ;)

das verstehe ich jetzt nicht ganz... Dein Provider bietet einen Router an. Na und? Das heißt in meinen Augen noch nicht, daß Du den auch unbedingt kaufen mußt, schon gar nicht für €1000 mit einem Uralt-IOS (unsere Konfiguration ist da mit €400 ja noch richtig günstig...).

Oder bist Du vertraglich gebunden, nur von Deinem Provider vorkonfigurierte und validierte Technik zu verwenden?

Ciscos, gerade die 801er, gibt's bei Ebay teilweise für'n Fuffi (mit mehr RAM und Flash), und die Konfiguration ist (funktionierendes IOS vorausgesetzt :D ) mithilfe dieses und anderer Foren recht schnell gemacht.

Ansonsten: unser Team betreut rund 5000 Ciscos verschiedener Baureihen auf der ganzen Welt, und die Hardwarefehlerquote liegt bei unter ein Promille. Wenn bei Dir tatsächlich ein Hardwarefehler vorliegt, dann müßt' ich Dir ja fast gratulieren... Du machst das Promille voll... *hicks* ;)

Gruß,

corc.

Hi,

Original geschrieben von Frank04

Die c800-y6-mw.120-5.T sollte laufen mit 4MB DRAM; 8MB Flash.

 

Was soll denn die oy6 ? Und welches IOS Version 12...?

s = Plus (war vorher mal genannt)

o = Firewall Feature Set

y = IP Routing (low end)

y7 = IP/ADSL

y6 = ???

120-5.T = 12.0(5)T = Asbach Uralt.

Beide (oy und sy) laufen mit 4MB RAM und 8MB Flash.

Das mit dem Speichertausch wäre auch meine Idee -- schließlich war das IOS ja vorher auch da drauf, oder?

Gruß,

corc.

Hi,

zu Security+ gibt es ja ein paar Bücher zu kaufen.

Zu zweien hätte ich da mal eine Frage, vielleicht hat sie ja jemand schon gelesen.

1.) The Ultimate Security+ Certification Exam Cram 2 Study Kit. Exam SYO-101. Ein Pack aus zwei roten Büchern, Lernbuch und Fragen, Preis: € 35,50.

2.) Security+ Study Guide and DVD Training System (with DVD) with DVD (Shimonski). Auch rot. Kostet € 54,50.

Ich nehme jetzt einfach mal an, daß das zweite Buch wegen der DVD teurer ist, als die beiden anderen zusammen. Meine Frage ist nun: unterscheiden sich die beiden hinsichtlich der Qualität?

Tausend Dank,

corc.

Hi,

Du mußt im TFTP-Server das Rootverzeichnis auf das Verzeichnis setzen, in dem das IOS-Image liegt.

Oder andersrum: das Image in das Verzeichnis verschieben/kopieren, das TFTP-Root ist.

Und natürlich mußt Du dem Cisco den Filenamen exakt so geben, wie er auch im Verzeichnis ist, also z. B. c1700-advsecurityk9-mz.123-9a.bin

Welchen TFTP-Server verwendest Du?

Gruß,

corc.

Hi,

es sollte mit Hyperterminal auch gehen, aber das kann daaauuuern... ;)

Kannst Du vielleicht die Ausgaben vor/nach dem Buffer Overflow mal posten?

Gruß,

corc.

Hi,

über Xmodem ist das ein ziemliches Gefrickel -- Du kannst auch ohne geladenes IOS ein Update über TFTP machen:

http://www.cisco.com/en/US/products/hw/routers/ps380/products_configuration_guide_chapter09186a008007c954.html#1006361

Gruß,

corc.

Original geschrieben von mystisch

Hallo,

 

bist Du eigentlich nun an das update zur 12.1 gekommen?

Wenn ja wie, oder kannst Du mir das schicken?

 

Gruß

 

Mystisch

Vorsicht: Du fragst hier quasi nach einer Raubkopie (Boardregeln)... ein IOS kostet je nach Ausstattung bis zu $600, in einer Ausstattung, die Du brauchst, um die $100.

Edit: einen TFTP-Server ohne große Installationsroutine und mit weiteren Funktionen gibt es bei http://tftpd32.jounin.net/ .

Gruß,

corc.

Oder hier:

http://tftpd32.jounin.net/

Ein kleiner (102kB) TFTP-Server mit Zusatzfunktionen; ohne Installationsroutine, läuft auch aus einem ZIP-File heraus.

Gruß,

corc.

Hi,

was möchtest Du gerne wissen?

Speziellere Fragen werden beantwortet, wenn Du in Google "ip phone forum" eingibst.

Gruß,

corc.

Hi,

wahrscheinlich hilft Dir das nicht viel weiter, aber das muß ein Problem mit Windows98 sein -- ich lasse hier privat 7 Clients die IP-Adressen über DHCP von einem Cisco-Router zuteilen, da ist es bei dem einzigen Win98-Client genau das selbe Problem.

Gruß,

corc.

Hi Kerstin,

(und guten Morgen zu so früher Stunde),

ich hatte eine Bekannte, die hat *gerade* durch das 'Absetzen' von Kaffee tierische Kopfschmerzen bekommen -- hat täglich 'ne Kanne getrunken, bevor sie aufgehört hat.

Hast Du denn irgendwas an Deiner Ernährung umgestellt?

Gruß,

corc.

Hi,

das neue Telekommunikationsgesetz gibt es hier (PDF).

Darin ist u. a. vorgesehen, daß Du als Provider ein halbes Jahr lang die Verkehrsdaten Deiner Kunden speichern und ggf. irgendwelchen Behörden zu Verfügung stellen mußt.

Siehe auch heise.de und nochmal heise.de.

Gruß,

corc.