czappb

Naja, das die Aushandlung schon fehlschlägt.

Also noch bevor die Userdaten übertragen werden.

Ich würde sagen deiner Versucht immer PAP vorzuschlagen und der andere weist es immer zurück bis der andere "termination" anfragt.

Müßte bei authentication nicht nur

"ppp authentication pap callout"

stehen?

Die gegenstelle authentifziert sich ja nicht.

sollte bei einem debug ppp authentication auch sichtbar werden

Hmm alle Lämpchen sind Gelb, obwohl nix dran steckt?

Dann würde ich mal fragen:

-Hast du ein Konsolenkabel?

-Was sagt der Switch beim booten?

Falls wirklich alle leuchten und eine rot würde ich vermuten, dass der einen Defekt in irgendeiner Weise hat.

Wird beim booten dann vermutlich unnormale Meldungen ausgeben.

Kommst du überhaupt auf das CLI drauf oder wie ist der Status?

bei routern ist der aufwand minimal

ip routing - aktiviert routing global

dann noch ip adressen auf den interfaces, es können echte oder subinterfaces mit 802.1Q trunk sein.

fertig

zum beschränken 1 bzw. 2 ACLs binden und das sollte es sein

naja für internes routing ist eine pix nur bedingt einsetzbar, da das routing mehr als "abfallprodukt" anfällt... Naja, es ist halt der "normale" Betriebsmodi für eine Firewall.

Ich meine vorallem das du den Netzwerkverkehr nicht wie in einem router ins interface rein und da wieder raus.

PIXen erlauben nur kommunikation über sich und schicken pakete nie aus dem quell-interface wieder raus. außerdem macht eine pix per default nat von in- nach outside, müßte man intern abstellen. Falls du in beide Richtungen kommunizieren willst mußt du auch regeln schreiben etc.

PIX ist super für die schnittstellen nach außen, intern ist ein router erheblich freundlicher zu benutzen.

Hast du denn schon eine Vorstellung wie die eingesetzt wird?

Welche PIX ist es und welche Version?

Wie routet ihr bisher zwischen den Netzen?

Ich mag mich vertun aber ich meine Ciscos können keine ms-chap(v2) bei eingehenden Verbindungen...

Also bei der Frage muss ich dran zweifeln, dass das Thema wirklich schon kein Thema mehr ist.

also die schreibweise ist zum verstehen des ganzen sicherlich schon die richtige, es ist die binär-notation.

Was ist Binär?

Binär ist ein Zahlenraum, so wie Dezimal 0 bis 9, hat Binär 0 bis 1. Man hat dort also nur Zwei mögliche Zustände für eine Ziffer. (Computer können halt nur an oder aus)

Wenn du also zählst ist:

dezimal 0 einfach binär 0

dezimal 1 einfach binär 1

-hier sind die möglichen Zustände im Binären erschöpft also muss eine weitere Ziffer angefügt werdem:

dezimal 2 einfach binär 10

dezimal 3 einfach binär 11

-schon wieder vorbei, noch eine Ziffer...

dezimal 4 einfach binär 100

so geht das dann auch immer weiter.

Wenn du also IP-Subnetze & co verstehen willst mußt du erstmal das durchblicken.

!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption

ist default, bei Bedarf kann man auch service password-encryption aktivieren.

hostname Hauptstelle
!
username xxxxx password xxxxxx

Das ist der Benutzer der sich einwählt

ip subnet-zero
isdn switch-type basic-net3

ISDN-Standard Deutschland

interface Ethernet0
description connected to EthernetLAN                                     
ip address 192.168.0.222 255.255.255.0
no keepalive
!
interface BRI0
description connected to Dial-inPCs(ISDN)                                          
no ip address
encapsulation ppp
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
no cdp enable
!
interface Dialer1
description connected to Dial-inPCs(ISDN)                                          
ip unnumbered Ethernet0
encapsulation ppp
no ip split-horizon
dialer in-band
dialer-group 1
peer default ip address pool Cisco801-Group-1
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
ip local pool Cisco801-Group-1 192.168.0.111 192.168.0.112

Der IP-Adress-Pool für die Einwahl

no ip http server
ip classless
!
dialer-list 1 protocol ip permit
!
line con 0
password xxxxxx
login
line vty 0 4
exec-timeout 60 0
password xxxxxx
login
!
end

Ich hab da mal eine dumme Frage, wieso willst du, wenn du keine VLANs nutzen willst unbedingt VLANs verwenden?

Ich hab das nur auf einen 1120er aber da kann ich zumindest ohne VLANs mehrere SSIDs einstellen, die dann alle untagged sind.

Wenn du aus irgendwelchen Gründen VLANs brauchst, kann man nicht mehrere SSIDs auf ein VLAN binden? Würde mich wundern...

Das wäre irgedwie einfacher zu sagen wenn man wüßte was denn schon in deiner konfig steht ;)

Darf ich mal "Hä???" sagen?

Also wie willst du überhaupt ins Internet, auch über eine Einwahl nehme ich an oder gibt es noch einen seperaten Internetrouter?

ip name server x.x.x.x sorgt dafür das der router wenn er namen auflösen soll die x.x.x.x dafür anfragt.

Es liegt wohl eher daran das da

aal5mux

steht

man sollte eher LLC verwenden, also

aal5snap

stand oben im Post auch. Die config ist so für pppoa, nicht pppoe...

Ja, wenn der Provider das mitmacht.

Naja aber ich behaupte einfach mal das ein Router durch das NAT schon den Schutz der PCs deutlich erhöht.

Außerdem wollte er ja gerne den 2610 als DSL-Router nutzen.

Wenn der Router ein IOS(Firmware) mit PPPoE Unterstützung drauf hat ist es selbst mit einem Interface machbar.

bla????

Hallo???

Aber mit Sicherheit hat ein DSL-Modem als PPPoE Gerät eine MAC-Adresse.

Was stimmt ist natürlich das es keine IP hat. Aber wie der Name schon sagt ist es PPP over ETHERNET und Ethernet läuft nunmal im Lan.

Wenn also das DSL-Modem in der gleichen Broadcastdomäne ist wie das auf PPPoE konfigurierte Interface geht das auch.

du solltest vielleicht erstmal die Grundlagen lernen:

PPP over Ethernet - Wikipedia

Ja und?

Ich kann doch auf einem Interface sowohl

ip address x y

als auch

pppoe enable

pppoe-client dial-pool-number 1

konfigurieren und dann über einen dialer auf den dialer pool 1 zugreifen und somit eine pppoe verbindung durch mein internes netzwerk zum dsl-modem machen.

selbst sicherheitstechnisch ist es nicht wirklich wild

Also es geht doch auch ohne Probleme mit einem Ethernet Interface, der PPPoE Tunnel muss ja nun nicht unbedingt ein eigenes Interface haben.

Nur sind 10MBit bei den heutigen DSL-Anbindungen dann vielleicht überfordert...

Bitte...

Also du hast mehrere Externe IPs die du per NAT nach Intern bringen möchtest.

Also ich nehme mal an alle Externen-IPs sind im selben subnetz.

Dann konfigurierst du intern private ips aus verschiedenen subnetzen auf deine vlan-interface, und extern das offizielle subnetz. schreibst für die externen ips je ein static nat und fertig.

Das Routing läßt sich relativ einfach über access-listen regeln.

Wie sehen denn die Routen auf den beiden Routern aus?

show ip route

??

Gibt es überhaupt eine default-route?

ehrlich gesagt würde ich für ein Netzwerk mit 2 Routern und 2 Subnetzen kein Routingprotokoll verwenden.

EDIT:

Muss mich meinem Nachfolger anschließen. Hast doch noch nix drin in der Konfig, oder?

Mußt doch eigentlich nur einen weiteren Dialer, mit einer default Route anlegen...

Eigentlich muss nur das netzwerk als remote bzw. lokaler endpunkt mit eingepflegt werden, damit ein tunnel zwischen den netzen aufgebaut wird.

Dann eben noch regeln und gut.

bei einer pix, muss man natürlich gucken - der traffic darf nicht aus dem gleichen iterface rein wie raus...

zu der Sache mit der IP MTU kann ich aus eigenen Tests sagen:

Hab die auch eingestellt und diese wird auch beim verhandeln zurückgewiesen aber es funktioniert.

Und einfach einen Testswitch nehmen und da dann die Traps erzeugen.

-Trunk-port ziehen.

-1 Powersupply ausschalten

halt ich jetzt für das einfachste, kommt dann wohl eher nicht in frage.

Also auf chap können sie sich ja zu einigen, würde ich sagen.

Aber aus irgendwelchen Gründen mag er die Authentifizierung nicht.

Wie ist denn der Windows-Client eingestellt, der Funktioniert? Läßt sich da alles außer chap abstellen und geht es dann?

seltsam...

normalerweise hätte ich erwartet das es mit pap geht, wie sieht es aus wenn man nur

"ppp authentication chap callin" konfiguriert, mit username und passwort natürlich?

dann ggf. router und modem resetten...

vielleicht ist das bei business anders.

was meldet denn:

debug ppp authentication

debug ppp negotiation?

man kann in der class-map auf eine ACL verweisen.

in der acl muss mittels permit (deny sollte in der acl nicht drin sein) ganz gezielt den traffic definieren den man will.

Naja ich sehe bei pap jedenfalls keinen Fehler.

er soll ja auch erst pap machen nach der konfig... ich würde zu erst chap entfernen und dann nochmal ins debug sehen falls es noch nicht klappt.