ShiningStar

time_format_24hr : 1

date_format : D/M/Y

nat_enable : 1

nat_address : 192.168.0.1

voip_control_port : 5060

start_media_port : 16384

end_media_port : 32766

sync : "1"

xml_card_dir : ""

xml_card_file : "CARD.XML"

telnet_level : 1

services_url : "http://www.fo-pa.de/cgi-bin/rss2cisco.pl"

directory_url : "//niels/tftp-root/directory.xml"

logo_url : ""

http_proxy_addr : UNPROVISIONED

http_proxy_port : 80

image_version : "P0S3-07-4-00"

FirmLoadID : "PC030301"

DSPLoadID : "PS03AT45"

network_media_type : Auto

network_port2_type : Hub/Switch

tos_media : 5

phone_label : "C. M. Burns"

tftp_cfg_dir : ""

phone_password : **********

phone_prompt : "Burns fon"

language : english

sntp_mode : DirectedBroadcast

sntp_server : ntp.sipgate.net

time_zone : CET

Cisco Systems, Inc. Copyright 2000-2005

Cisco IP phone MAC: 0013:c3d6:6b07

Loadid: SW: P0S3-07-4-00 ARM: PAS3ARM1 Boot: PC030301 DSP: PS03AT45

Burns fon> sh co

------ Current *FLASH* Configuration ------

 

Platform : Cisco IP Phone 7960

Elapsed Time: 1 day, 01:48:00

 

dhcp_server : Disabled

my_ip_addr : 192.168.0.5

subnet_mask : 255.255.255.0

defaultgw : 192.168.0.1

dyn_dns_addr_1 : 0.0.0.0

dyn_dns_addr_2 : 0.0.0.0

dns_addr : 217.237.151.161

primary_tftp_addr : 192.168.0.12

dyn_tftp_addr : 0.0.0.0

my_mac_addr : 0013:c3d6:6b07

domain_name :

my_name : SIP0013C3D66B07

Status Flags : 12300001

So das ist die config auf ein paar häppchen, sorry fürs spoofen, aber anderst ging es nicht...

 

und nun noch die config des telefons. Es ist ein 7960-G mit Sip FW 7-04-00

snmp-server community Router RW

snmp-server enable traps tty

!

line con 0

line aux 0

line vty 0 4

password xxx

login

!

scheduler interval 500

ntp clock-period 17179781

ntp server 192.53.103.104

ntp server 129.69.1.153

ntp server 130.149.17.8

ntp server 131.188.3.220

end

access-list 112 permit icmp any any unreachable

access-list 112 permit icmp any any echo-reply

access-list 112 permit icmp any any packet-too-big

access-list 112 permit icmp any any time-exceeded

access-list 112 deny icmp any any traceroute

access-list 112 deny ip any any log

access-list 112 permit udp host 192.168.0.5 eq 5010 any

access-list 112 permit udp host 192.168.0.5 eq 5004 any

access-list 112 permit udp host 192.168.0.5 eq 5005 any

access-list 112 permit udp host 192.168.0.5 eq 5006 any

access-list 112 permit udp host 192.168.0.5 eq 10000 any

access-list 112 permit udp host 192.168.0.5 range 16384 32766 any

dialer-list 2 protocol ip list 111

no cdp run

access-list 101 permit tcp 192.0.0.0 0.255.255.255 any

access-list 101 permit udp 192.0.0.0 0.255.255.255 any

access-list 101 permit icmp 192.0.0.0 0.255.255.255 any

access-list 101 deny ip any any log

access-list 101 permit udp host 192.168.0.5 eq 5010 any

access-list 101 permit udp host 192.168.0.5 eq 5004 any

access-list 101 permit udp host 192.168.0.5 eq 5005 any

access-list 101 permit udp host 192.168.0.5 eq 10000 any

access-list 101 permit udp host 192.168.0.5 range 16384 32766 any

!

interface Dialer21

description T-DSL Max Dialer Interconnect

ip address negotiated

ip access-group 112 in

ip mtu 1452

ip nat outside

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

load-interval 30

dialer pool 21

dialer-group 2

no cdp enable

ppp authentication pap callin

ppp pap sent-username xxx@t-online.de password 0 xxx

ppp ipcp dns request

ppp multilink

!

 

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

!

!

!

!

!

interface Ethernet0

description T-DSL Hello world

no ip address

ip access-group 112 in

ip mtu 1492

ip nat outside

no ip mroute-cache

load-interval 30

half-duplex

pppoe enable

pppoe-client dial-pool-number 21

no cdp enable

!

interface FastEthernet0

description inside Lan

ip address 192.168.0.1 255.255.255.0

ip access-group 101 in

no ip unreachables

no ip proxy-arp

ip nat inside

ip inspect ethernetin in

ip tcp adjust-mss 1452

no ip mroute-cache

speed auto

full-duplex

no cdp enable

!

enable secret 5 $xxx.

enable password xxx

!

clock timezone MET 1

clock summer-time MET recurring

ip subnet-zero

!

!

no ip domain lookup

!

ip inspect name ethernetin cuseeme timeout 3600

ip inspect name ethernetin ftp timeout 3600

ip inspect name ethernetin h323 timeout 3600

ip inspect name ethernetin http timeout 3600

ip inspect name ethernetin rcmd timeout 3600

ip inspect name ethernetin realaudio timeout 3600

ip inspect name ethernetin smtp timeout 3600

ip inspect name ethernetin sqlnet timeout 3600

ip inspect name ethernetin streamworks timeout 3600

ip inspect name ethernetin tcp timeout 3600

ip inspect name ethernetin tftp timeout 30

ip inspect name ethernetin udp timeout 15

ip inspect name ethernetin vdolive timeout 3600

ip inspect name ethernetin fragment maximum 256 timeout 1

ip audit notify log

ip audit po max-events 100

vpdn enable

!

Ein versuch ist es mal wert:

 

Sh conf des 17xx:

 

sh conf

Using 4536 out of 29688 bytes

!

! Last configuration change at 20:22:22 MET Mon Aug 15 2005

! NVRAM config last updated at 21:56:56 MET Mon Aug 15 2005

!

version 12.2

service timestamps debug datetime msec

service timestamps log datetime

no service password-encryption

!

hostname Router

!

Nein... seit die FW und IDS aktiv ist, kann ich weder größere postings machen, noch kann ich icq oder ähnliches machen... wäre lieb, wenn es jemanden gibt, der mir ne kleine konfig für dsl mit cebac FW und IDS posten kann, das ich das mal versuchen kann...

Aus irgend einem grund kann ich hier nicht wirklich eine sh conf posten...

Hallo,

 

Ich habe hier ein rießiges problem. Beispielsweise kann ich mich neuerdings bei einigen foren nicht mehr registrieren, auch bei manchen keine threads mehr aufmachen oder antworten. Bei ebay beispielsweise kann ich nicht in my ebay und mir auch großteils die angebote nicht mehr ansehen. Darum helft mir bitte bei folgenden punkten:

 

1. Den oben genannten fehler beheben

2. Die Firewall richtig zu konfigurieren

3. Das IDS richtig zu konfigurieren

mmmh weiss jemand wie ich fw und ids richtig konfiguriere? Ich dreh hier noch bald am rad ;-)

habe ich gemacht, und vom telefon her kann ich auch nach draußen anrufen, aber ich kann nicht angerufen werden. Ok jetzt hab ich was an der firewall gemacht, dann sagt das telefon connected aber ich kann nichts hören...

des telefons

Also ich hab da die ranges ja freigegeben für die media ports, die ports statisch geforwarded und in den acls auch drin, das die ports durchgelassen werden sollen. Die FW soll auch udp establishen lassen in und outbound...

Darum weiss ich nich wo das problem liegt.

 

Ich meine gelesen zu haben, das mit acl`s alleine man keine outbound connections establishen kann... dann muss man die fw konfigurieren, was ich auch gemacht habe. Raus telen geht... aber angerufen werden ist nicht möglich...

 

Auf sipgate zeigt er mein tele immer als offline. Das ich davon ausgehen kann dass das tele geht, hab ich ne config geladen, wo ich weiss das sie 100 % geht. Die DNS einträge noch gemacht und soweit alles ok.

 

Anfangs zeigte er mir auch am telefon die ntp gesendeten daten über zeit und datum, Die sind aber seit dem letzten reboot weg...

 

Ich weiss nich was ich da noch machen kann

demnach kommt es sicherlich vom smc router...

oh, das is gut, wenn Du den CCNA schon hast. Könntest Du mir vielleicht bei etwas behilflich sein? Weil ich hab da ein problem. Ich hab nen 1750 er router und ein cp-7960 ip fon mit sip firmware. Ich hab die ACL so eingerichtet, das udp durchgelassen wird, die audit policy auch das udp durch kann und die statischen ports weiter geleitet...

Raus telen kann ich, ich kann jedoch nicht angerufen werden. Langsam bin ich mit meinem Latain am ende. ich hoff das mir da mal jemand helfen kann.

 

 

Gruss

 

ShiningStar

zuerst einmal braucht man keine software, man muss sich per console oder telnet auf den AP gehen. Dann gehst Du in den Enable modus... gibst sh conf ein und kopierst das. Streichst die PW´s raus und postest es hier. Dann kann man weiter helfen. Eigendlich muss in der config irgendwo ...dhcp-server oder sowas stehen. Dann gehst Du in conf t und gibst no ein gefolgt von dem was Du oben bei dhcp irgendwas gelesen hast. Dann sollte das aus sein. Wenn das nicht geht, wie gesagt poste die config ohne pw´s

sicher das Du "no ip source route" haben willst?

 

Schau mal meinen forumsbeitrag an, da hab ich auch ne config gepostet... da fehlt meiner ansicht noch der eintrag, der dem router sagt, das Dialer interface auf der BRI laufen soll.

 

 

-Ich hätte auch noch kurz 2 kleinere fragen:

 

1. wie kann ich einstellen, das mein ICQ wieder geht ( hab auch cisco als router )

2. Und wie kann ich dem router verklickern, das er doch bitte mein cisco telefon via sip durchlassen soll?

poste mal Deine config ohne PASSWÖRTER.

Die sollte man sehen, das man Dir richtig helfen kann.

Du musst natürlich ein Dialer Interface einrichten, das Du diesen config wunsch eingeben kannst.... so sieht das für mich gerade aus.

ich nutze kein sccp, ich benutze Sip mit Sip Lizenz.... das is auf mein 7960 aufgespielt. Eigendlich sollte ich nur die rtp ports weiterleiten und die media ports weiterleiten... egal was ich einstelle, es will mir nicht gelingen. Am Bintec router kann ich zumindest raus telen...

Und irgendwie gehen mir langsam die ideen aus... meine config besagt auch nur 3 ranges abstand zwischen den media ports, doch mein telefon hat keine lust auf meine Anweisungen zu hören und benutzt lieber die media ports die er als standart hat.

Ich hab oben genannte Hardware. Ich hab auch die DNS von t-online ins telefon eingetragen, und dann stand oben plötzlich korrektes datum und Uhrzeit. Soweit ok. Dann wollte ich das in EU format ändern, da war es plötzlich weg. Viel schlimmer jedoch ist, das ich nun weder angerufen werden kann, noch anrufen kann. Meine konfig sieht wie folgt aus:

 

DialIn_LTB_01#sh conf

Using 2726 out of 29688 bytes

!

version 12.2

service config

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname DialIn_LTB_01

!

enable secret 5 xxx

enable password xxx

!

ip subnet-zero

!

!

!

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

!

!

!

!

!

interface Ethernet0

description T-DSL Hello World

no ip address

ip access-group 100 in

ip mtu 1492

ip nat outside

no ip mroute-cache

half-duplex

pppoe enable

pppoe-client dial-pool-number 21

no cdp enable

!

interface FastEthernet0

description inside lan

ip address 192.168.0.2 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip tcp adjust-mss 1452

no ip mroute-cache

speed auto

full-duplex

no cdp enable

!

interface Dialer21

ip address negotiated

ip access-group 100 in

ip mtu 1492

ip nat outside

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 21

dialer-group 2

no cdp enable

ppp authentication pap callin

ppp pap sent-username xxx@t-online.de password 0 xxx

ppp ipcp dns request

!

ip nat inside source list 101 interface Dialer21 overload

ip nat inside source static tcp 192.168.0.5 5060 interface Dialer1 5060

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer21

no ip http server

!

!

access-list 100 permit icmp any any echo-reply

access-list 100 permit icmp any any packet-too-big

access-list 100 permit icmp any any echo

access-list 100 permit icmp any any ttl-exceeded

access-list 100 permit tcp any any established

access-list 100 permit udp any eq domain any

access-list 100 permit udp any eq ntp any

access-list 101 permit udp any any eq ntp

access-list 101 permit udp any any eq domain

access-list 101 permit tcp any any eq smtp

access-list 101 permit tcp any any eq pop3

access-list 101 permit tcp any any eq 143

access-list 101 permit tcp any any eq www

access-list 101 permit tcp any any eq 443

access-list 102 deny udp any eq netbios-dgm any

access-list 102 deny udp any eq netbios-ns any

access-list 102 deny udp any eq netbios-ss any

access-list 102 deny udp any range snmp snmptrap any

access-list 102 deny udp any range bootps bootpc any

access-list 102 deny tcp any eq 137 any

access-list 102 deny tcp any eq 138 any

access-list 102 deny tcp any eq 139 any

access-list 102 permit ip any any

dialer-list 2 protocol ip list 101

no cdp run

!

snmp-server community LTB1 RW

snmp-server enable traps tty

!

line con 0

exec-timeout 0 0

line aux 0

line vty 0 4

exec-timeout 0 0

no login

!

ntp server 192.53.103.104

ntp server 129.69.1.153

ntp server 130.149.17.8

ntp server 131.188.3.220

end

 

Ich weiss echt nicht mehr weiter, helft mir mal bitte. Danke schon eimal im vorraus.