maceis

mir ist noch was aufgefallen. Mach mal

---

conf term

int b0

ip address neg

exit

wr

---

nimm mal schleunigst Deine T-Online Zugansgdaten raus, sonst könnte die nächste Rechnung hoch werden ;)

Ach ja - und schmeiss bitte den Dialer 1 raus (oder ersetze ihn im Posting durch ...) - wird dann etwas übersichtlicher.

 

Mach auch mal ein

---

debug isdn 921

debug isdn 931

---

und poste die Meldungen.

Dannach aber wieder

---

no debug isdn 921

no debug isdn 931

---

 

02:32:06: Dialer2: No free dialer - starting fast idle timer.

heisst, dass das Routing den Dialer 2 ansprechen möchte, es aber nicht gelingt eine freie Leitung bzw. das Interface anzusprechen.

Brauch noch etwas Zeit.

Ich schließ mal meinen 1603 wieder as ISDN an, dann kann ich selber mittesten.

Ich wollte auch gerne ssh auf meinem Router einrichten.

Leider habe ich keine Ahnung, was man da alles konfigurieren muss.

 

Kannst Du mir eine kurze Anleitung geben ?

Original geschrieben von Dienstbier

...

Bisher baut der Router noch keine Verbindung auf :-(.

Ich dachte es funktioniert schon.

In solchen Fällen ist das Debugging oft hilfreich.

--- snip --

# Debugging Ausgabe im Terminal einschalten

term mon

debug dialer event

debug ppp auth

--- snap ---

Original geschrieben von Dienstbier

Was bedeutet denn der Switch-Type basic-net3?

In verschiedenen Ländern werden unterschiedliche switch-types eingesetzt.

In Europa ist das eben dieser.

Auch eine Telefonanlage kann einen anderen Switch-Type verwenden.

Original geschrieben von Dienstbier

Kann ich dafür sorgen, dass eine Verbindung manuell aufgebaut wird?

ping 212.114.153.1 am Router eingeben.

Und wie lösche ich die Access-Liste? Die habe ich glaube ich angelegt. Sie heißt doch, dass diese Clients ausgehende Verbindungen aufbauen dürfen, oder?

Wie definiere ich eine AL so, dass man von draußen nicht rein kommt?

Ich hab nochmal drübergeschaut.

Vermutlich funktioniert es wegen der ACL´s noch nicht.

--- snip ---

conf term

no ip nat inside source list 18 interface Dialer1 overload

no ip nat inside source list 99 interface Dialer1 overload

# falls Du nicht schon hast:

no isdn switch-type basic-1tr6

isdn switch-type basic-net3

# ACL löschen

no ip access-list standard 18

no ip access-list standard 99

# ACL Nr. 1 einrichten (ACL für Dialer)

ip access-list standard 1

permit 10.0.0.0 0.255.255.255

end wr

--- snap ---

 

Poste doch mal nach dieser Aktion Deine config

Original geschrieben von Dienstbier

Man der Cisco ist echt geil im Funktionsumfang, aber doof zu setten.

...

Eigentlich nicht wirklich; das Problem ist eher, dass man für Routing und TCP/IP einfach gewisse Fachkenntnisse benötigt. Je mehr Funktionen man beeinflussen kann, um so mehr muss man wissen.

Ich hab´ leider auch nur die wichtigsten Grundkenntnisse.

Was wir hier machen, ist nur die Spitze des Eisbergs ;)

hallo,

 

sieht - soweit ich das beurteilen kann - ganz gut aus.

Für die vty würde ich noch eine access-list erstellen, damit die nur vom LAN oder von einer betsimmten Maschine aus erreichbar sind.

 

Wenn Du nicht mehrer Router hast, benötigst Du auch kein rip,

Das ist ein Protokoll über das Router Ihre Routing Informationen austauschen.

Also:

--- snip ---

conf term

no router rip

exit

wr

--- snap ---

 

HTH

guten morgen,

 

"- wie bekomme ich raus, ob der router connected ist"

sh isdn active

mit sh isdn history sieht man die letzten Verbindungen.

"- wie (dis)-connecte ich manuell"

dis:

---

conf term

int bri0

shut

---

Das Interface ist dan abgeschaltet und springt auch nicht mehr an, man muss es mit

no shut

wieder einschalten

"- was muss bei den clients im dns und im gateway stehen? ich nehme mal an DNS bleibt und Gateway ist router, richtig?"

richtig, der Router ist ja nun das Default Gateway, an das alle Pakete gesendet werden, die nicht lokal zugestellt werden könnnen.

Darin liegt auch eine gewisse Gefahr, da ein falsch konfigurierter Router viel unerwünschte Verbinungen aufbaut, was im schlimmsten Fall zu einer ISDN Dauerverbindung führen kann. Teure Sache.

 

Wir haben da auch noch was wichtiges vergessen. Den Idle-Timeout.

Der sorgt, wie Du wahrscheinlich weisst, dafür, dass der Router nach einer gewissen Zeit ohne interessanten Datenverkehr wieder auflegt.

---

conf term

int d2

# 30 Sekunden Idle-Timeout

# nach meiner Erfahrung der Wert, der zu den geringsten Verbindungskosten führt.

dialer idle-timeout 30

exit

wr

---

 

Noch ein Tip:

mit

---

term mon

debug dialer events

---

kannst Du beobachten, aus welchem Grund Verbindungen aufgebaut werden.

 

Noch was:

den switchtype kannst Du auch global konfigurieren

---

conf term

no isdn switch-type basic-1tr6

isdn switch-type basic-net3

---

 

Ansonsten kann man noch sehr viel Feineinstellungen machen.

An Deiner Stelle würde ich jetzt den Dialer 1 löschen.

Auch die Access-Listen 18 und 99 sind bei Dir nicht erforderlich, da sie ohnehin nicht an die von Dir verwendeten Schnittstellen gbunden sind.

Der Router war wohl vorher in einem Büro zur Verbindung mit einem Firmennetzwerk oder ähnlich benutzt worden.

Ich würde noch eine Access-Liste erstellen, die verhindert, dass man vom Internet her auf Deinen Router zugreifen kann; den http-Server würde ich (falls Dein IOS-version schon einen hat) auch abschalten (no ip http server)

Falls Du nicht klar kommst, melde Dich noch einmal.

 

Wenn Du einen tftp-Server hast, kannst Du Konfigurationen auch auf diesem Speichern, bzw. von dort wieder einlesen.

Ist ne ganz praktische Sache.

 

HTH

hallo Dienstbier,

 

bei ersteigerten Routern ist das manchmal so ne Sache mit Konsolenkabel und Kennwörtern - hatte nichts weiter zu bedeuten.

Ich hatte übrigens Glück; bei meinem Router (von ebay) war noch ne WIC-Karte drin, die in der Auktion gar nicht erwähnt wurde.

 

Zuerst würde ich das Cisco eigene Protokoll cdp abschalten, damit Du keine ungewollten verbindungsaufbauten hast.

Es bringt sowieso nur dann was, wenn Du mehrere Cisco Geräte im Einsatz hast

Ich würde dann ein zweites Dialer Interface anlegen, dann kannst Du das erste zunächst mal stehen lassen.

Ich hoffe, dass es auf´s erste mal klappt, da ich seit einiger Zeit nicht mehr ISDN sondern DSL nutze und demzufolge etwas aus der Übung bin ;)

 

Ich gehe nun davon aus, das Du im privilegierten Modus bist und gebe unten einfach die Kommandos an, die Du der Reihe nach eingeben musst.

Zeilen die mit "#" beginnen sind nur Kommentare und müssen nicht eingegeben werden.

Die folgende Konfiguration ist nicht für Kanalbündelung sondern belegt nur eine Leitung

--- Start ---

conf term

 

# cpd abschalten

no cdp run

 

int b0

# Switch-Type auf Euro ISDN umschalten

# Wenn der Router an einer TK Anlage hängt,

# muss der Witch Type der Anlage eingestellt werden

no isdn switch-type basic-1tr6

isdn switch-type basic-net3

exit

 

# Dialer interface konfigurieren

int d2

ip address negotiated

ip nat outside

encapsulation ppp

dialer-group 1

# eckige Klammern weglassen !

dialer string <Rufnummer des Einwahlmodems beim Provider>

ppp chap hostname <Benutzername>

ppp chap password <Passwort>

exit

 

ip nat inside source list 99 interface Dialer1 overload

 

ip access-list standard 99

# Netz 192.168.100.0 erlauben

# ggf. auf eigene Bedürfnisse anpassen

permit ip 192.168.100.0 0.0.0.255

exit

 

no ip route 0.0.0.0 0.0.0.0 d1

# Default Gateway auf Dialer 2 legen

ip route 0.0.0.0 0.0.0.0 d2

end

# Konfiguration in nvram schreiben

wr

--- Ende ---

 

So, ich hoffe, das ich jetzt nichts vergessen habe und alles läuft.

Falls nicht -> nochmal melden.

hallo tom12,

 

ich glaube so wie Du das beschreibst wird das gar nicht so leicht möglich sein.

 

In geswitchten Netzen ist Sniffing nach meinem Kenntnisstand nur noch über den Umweg des MAC-Spoofings möglich.

Noch dazu muss man dann dafür sorgen, dass die "abgefangenen" Pakete trotzdem an den Router weitergeleitet werden.

Um das zu realisieren ist neben dem nötigen Sachverstand schon so etwas wie eine gewisse "kriminelle Energie" erforderlich.

 

Wer aber den nötigen Sachverstand besitzt, der wird vermutlich nicht nur nach bestimmten Ports suchen sondern nach bestimmten protokoll-spezifischen Schlüsselwörtern. Wenn ich mal von mir ausgehe, würde ich als erstes mal nach dem Suchbegriff "passwort" suchen und die folgenden Pakete genauestens untersuchen ;)

Wenn das nicht greift, würde ich mal ein paar Telnet Sessions zu Hause sniffen und nach Auffälligkeiten suchen; spätestens da findet man heraus, wie man eine Telnet Session sicher herausfiltern kann.

 

Ich kann mich täuschen, ich gehe aber davon aus, dass das Ändern des Ports nicht wirklich was bringen wird.

Auf der anderen Seite versteh ich natürlich, dass Du nach Möglichkeiten suchst, die Risiken so weit wie möglich einzuschränken.

Wenn Du noch was findest, dann poste es doch bitte.

 

Hier noch eine spontane Idee (ins Unreine gesprochen):

Vielleicht kannst Du ein Subnetz bilden, das nur zwei hosts erlaubt (den Router - secondary Adresse - und einen Admin-Rechner) und den Telnetzugang nur noch aus diesem Netz heraus erlauben.

Das Netz ist aus dem LAN erstmal nicht so leicht zu finden.

Wenn Du dafür sorgst, dass beide Adressen immer "besetzt" sind, dann kommt man auch gar nicht so leicht in dieses Netz rein, weil der Angreifer erstmal mit einem IP-Adressen-Konflikt konfrontiert wird.

Auch das kann man knacken, aber der Weg ist noch etwas steiniger ;)

(Feedback und Kritik erwünscht)

hallo zusammen,

 

bei FTP ist es leider nicht ganz so einfach, da FTP zwei "Kanäle" benutzt und es zwei Methoden gibt, wie diese Kanäle aufgebaut werden.

Aktives FTP und passives FTP.

Der Kommandokanal wird immer om Client aus initiiert.

Es wird eine Anfrage an den ftp-Server mit dem Zielport 21 gerichtet.

Beim aktiven FTP baut nun der Server die Datenverbindung (aktiv) auf und sendet dazu ein tcp Paket auf einem Port > 1024 an den Client (genaugenommen wird hier der Quellport der Anfrage des Clients+1 genommen). Im Zeitalter von DSL und Routern bei den Clients schlägt dies oft fehl, da man dies am Client mit NAT nur schwer (wenn überhaupt) umsetzen kann.

Beim aktiven FTP genügt es, wenn der Port 21 für eingehende Verbindungen offen ist und "genattet" wird.

 

Beim passiven FTP ist es so, dass auch der Datenkanal vom Client aus aufgebaut wird und vom Server (passiv) entegengenommen wird.

Der Client beutzt dazu einen unvorhersehbaren Port > 1024 und hier liegt das Problem.

Die Lösung habe ich leider auch nicht in der Tasche, da ich hier keine FTP Server laufen habe, der vom Internet aus erreichbar sein muss.

Ich würde hier zu ein bisschen googlen mit Augenmerk auf die oben geschilderte Spezilaität des ftp Protokolls raten.

FTP ist übrigens das älteste Netzwerkprotokoll überhaupt

 

Ich hoffe, das hilft etwas weiter.

Mit den sicherheitsspezifischen Features des IOS kenn ich mich auch nicht so speziell aus.

 

Ich kann Dir nur folgende Denkanstöße geben:

- Je nach Umgebung, sollte ein Telnet-Zugang vom Internet her nicht möglich sein (s. access-liste unten).

- Wenn der Router über einen Hub angeschlossen ist, kann man mit einem Sniffer mit"horchen", wenn man sich im selben logischen Netz befindet. Da hilft es Dir auch nicht, den Port zu ändern. Es empfiehlt sich daher einen Switch einzusetzen, da das Sniffen in geswitchten Netzen schwieriger ist.

- Eine weitere Sicherheitsmaßnahme wäre es, wenn Du die Konfiguration über telnet nur von einer bestimmten IP Adresse aus zulässt; In einem Netzwerk, in dem die Benutzer eigene Geräte (Laptop) anschließen dürfen oder die Netzwerkeinstellungen ihres PC ändern dürfen bringt das nur wenig mehr an Sicherheit. In restriktiven Umgebungen bringt es mehr.

So wird es gemacht:

--- snip ---

conf term

access-list 1 permit 192.168.100.10

line vty 0 15

access-class 1 in

--- snap ---

bei manchen IOS Versionen kannst Du afaik max. 4 vtys verwenden.

dann schreibst Du line vty 0 4.

 

Da ich selbst nur Grundkenntnisse besitze, sind diese Vorschläge natürlich ohne Gewähr. Ich hoffe es hilft Dir trotzdem etwas weiter.

Die Grundvoraussetzung zum Konfigurieren ist, dass man das Routerpasswort und das enable-Passwort kennt.

Wenn das nicht der Fall sein sollte, kann man den Router zurücksetzen.

Dazu benötigt man das hellblaue Konsolenkabel und eine Terminalsoftware.

Geeignet ist unter Windows z. B. Hyperterminal, unter Lynux kann man z. B. Minicom einsetzen.

Sollte das bei Dir erforderlich sein, kann ich Dir eine Anleitung geben oder Du googelst mal danach.

 

Über Telnet konfigurieren geht natürlich.

Die Voraussetzung dazu ist aber, das der Ethernet-Port bereits konfiguriert ist und man die IP Adresse kennt oder herausfindet.

 

Von daher stellts sich erstmal die Frage, pb Du per Telnet überhaupt schon auf den Router kommst und ob Du die Paswörter kennst.

Falls ja, gib doch mal das Kommando

sh run

ein, damit wir sehen können, was schon eingestellt ist.

Achtung: Die Passwörter etc. machst Du bitte unkenntlich auch wenn sie verschlüsselt sind.

 

Die Schritt für Schritt Anleitung kommt dann später ;)

hallo zusammen,

 

ich besitze einen C1603R mit IOS 12.3 an den ich ein DSL-Modem angeschlossen habe.

 

Mein Problem ist, dass es mir nicht gelingt DDR mit einer Verbindungstrennung nach einem gewissen Timeout einzurichten, so, wie man es üblichweiweise unter ISDN macht.

 

hier die wichtigsten Teile der Konfiguration:

...

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

...

!

interface Ethernet0

ip address 10.1.1.2 255.255.255.0 secondary

ip address 192.168.100.1 255.255.255.0

ip nat inside

load-interval 30

pppoe enable

pppoe-client dial-pool-number 1

no cdp enable

!

...

!

!

interface Dialer1

description pppoE

ip address negotiated

ip access-group no-netbios in

ip mtu 1492

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 10

dialer hold-queue 100

no cdp enable

ppp authentication chap callin

ppp chap hostname xyz

ppp chap password 7 xyz

!

....

!

access-list 101 deny udp any eq ntp any

access-list 101 permit ip any any

dialer-list 1 protocol ip list 101

...

!

 

Ich kann mich problemlos mit dem Internet verbindun, aber die verbindung wird nicht mehr abgebaut.

Wenn ich auf dem e0 Interface anstelle von

pppoe-client dial-pool-number 1

schreibe

pppoe-client dial-pool-number 1 dial-on-demand

wir gar keine Verbindung mehr aufgebaut.

 

Habe schon erfolglos in diversen Quellen im Internet und in einem Buch gesucht.

Für eine Tip wäre ich dankbar.