Flogge

Schade, dann muß ich wohl noch weiterbüffeln bis ich auch mal nützliche Tipps geben kann ;-)

Wieder ein Problem: Clien-1Router wählt sich wie er soll über die Nebenstelle 11 auf die Nebenstelle 21 beim AccessRouter ein. Bei beiden Routern habe ich auch den isdn caller gesetzt das sie nur untereinander telefonieren dürfen. Doch beim Client-2Router ist das anders. er soll über die 12 auf die 22 wählen. Isdn caller ist auch hier gesetzt. Wenn aber kein Apparat auf der nebenstelle 11 vorhanden ist schnappt er sich diese Rufnummer. Folge: Der Anruf wird von isdn caller abgeschmettert denn er erwartet einen Anruf von der 12. Daraf habe ich allen Bri´s mit isdn calling-number die Nebenstelle mitgeteilt welche sie für den Anruf nutzen sollen. Aber keine Auswirkung, Client-2Router klaut sich noch immer die 11 gruß Flogge

Könnte man das eventuell im Dialerinterface mit "dialer remote-name" machen? Der angegebene Name muß aber dann mit dem Chap username identisch sein. Ich übernehme keine Garantie für Richtigkeit, ist das erste mal das ich antworte, sonst frage ich immer nur.:D Wenns aber richtig ist lobt mich mal.:) Wenn nicht dieser Post zerstört sich in 5 sec selbst :cool: 5 4 3 ......

Hmm das Wissen der Schüler orientiert sich meistens bestenfalls am Wissen der Lehrer. Aber ich denke im Rahmen des CCNA geht man da noch sehr intensiv darauf ein, oder? Ich freue mich schon darauf. So genug geträumt, zurück zur Arbeit. Im Moment sind alle Fragen geklärt, das kann sich aber schlagartig ändern :D . Danke für eure Hilfe bis nacher.

Wo er Recht hat hat er Recht, jetzt habe ich auch alles am laufen das woran es letztenlich scheiterte war beim 2600er der Ethernetport ehemalig access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389 das muß offensichtlich heissen access-list 102 permit tcp host 192.168.1.1 eq 3389 10.1.0.0 0.0.255.255 (Wenn mir das jetzt jemand erklären könnte? )

Ach so, Aber nun zum Dialer Problem Du sagst ich soll alle Regeln im Dialer einstellen nicht in der BRI, aber der Dialer ist so wie ich es nun beobachtet habe nur für den Verkehr nach aussen ins WAN zuständig. Was mache ich denn wenn ich die ISDN Schnittstelle von aussen absichern will?

Und wie soll ich nun bei dem verfahren?

Also die BRI leer lassen? Hmm habe mir schon so was gedacht. Wird denn die die ACL der BRI überhabupt nicht berücksichtigt? Von welchem Router sprichst du? 1600er oder 2600er? Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten? Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?

Ich habe noch ein wenig rumgetestet und verstehe immer weniger. Ich habe in der Liste 102 nur tcp 3389 offen das ist das Ethernet Interface In der Liste 103 habe ich testweise deny ip any any das ist die Bri den Dialer lasse ich auf tcp 3389 anspringen und gleichzeitig mache ich zum Schluß wie dein Rat deny ip any any Nach deiner Aussage (ich will jetzt nicht ketzerisch sein gg) sollte nach dem Bri deny nichts mehr ausgeführt werden also der Dialer gar nicht funktionieren. Wird alles was ich der Bri zuweise ignoriert weil ich einen Dialer 1 habe, oder trifft deine Aussage nicht zu weil für jede s Interface nur eine ACL verwendet wird. Logisch wenn ich für ein Interface 2 oder mehr ACL´s habe dann währe das tötlich zwischendurch ein deny ip any any zu machen. Ihr seht also nun bin ich komplett verwirrt, ich weis nur das vorhin als ich bei jeder Acl zum Schluss ein deny ip any any hatte noch ein bischen mehr Funktion hatte. Gruß Florian

sh ru Building configuration... Current configuration: ! version 11.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Client-1Router ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username AccessRouter password 0 Passwort ip subnet-zero no ip domain-lookup isdn switch-type basic-net3 ! interface Ethernet0 ip address 10.1.1.254 255.255.255.0 ip access-group 102 in no ip directed-broadcast no ip proxy-arp no logging event subif-link-status media-type 10BaseT ! interface Serial0 no ip address no logging event subif-link-status shutdown ! interface BRI0 no ip address ip access-group 103 in no ip directed-broadcast encapsulation ppp no logging event subif-link-status dialer pool-member 1 isdn caller 21 no cdp enable ppp authentication chap callin ! interface Dialer1 description Verbindung zu Router AccessRouter ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast no ip proxy-arp encapsulation ppp no logging event subif-link-status dialer remote-name AccessRouter dialer idle-timeout 300 dialer string 21 dialer load-threshold 100 either dialer pool 1 dialer-group 1 no fair-queue ppp authentication chap callin ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.254 ip route 192.168.1.0 255.255.255.0 192.168.3.254 ip route 192.168.2.0 255.255.255.0 192.168.3.254 access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 any access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 104 deny ip any any dialer-list 1 protocol ip list 104 ! line con 0 transport input none stopbits 1 line vty 0 4 login local ! end Ist es so besser? bei mir hat ja jedes Interface eine andere ACL ist es da genau so mit nur einmal deny ip any any? Ich frage deshalb weil immer noch keine RDP verbindung zustande kommt. Ausserdem scheint es so das meine ACL für die Bri gänzlich ignoriert und nur die vom Dialer benutzt wird. Ist das normal oder ist das nur zufall?

sh run Building configuration... Current configuration : 3055 bytes ! version 12.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname AccessRouter ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username Client-1Router password 0 Passwort username Client-2Router password 0 Passwort ! ! ! ! no ip subnet-zero no ip finger no ip domain-lookup ! isdn switch-type basic-net3 isdn voice-call-failure 0 partition flash 2 8 8 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group 102 in no ip proxy-arp ! interface TokenRing0/0 no ip address shutdown ring-speed 16 ! interface BRI1/0 no ip address ip access-group 103 in encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 11 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/1 no ip address shutdown isdn switch-type basic-net3 ! interface BRI1/2 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn caller 12 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/3 no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description Verbindung zu Router Client-1Router ip address 192.168.3.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 1 dialer remote-name Client-1Router dialer idle-timeout 300 dialer string 11 dialer load-threshold 100 either dialer-group 1 ppp authentication chap callin ppp multilink ! interface Dialer2 description Verbindung zu Router Client-2Router ip address 192.168.4.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 2 dialer remote-name Client-2Router dialer idle-timeout 300 dialer string 12 dialer load-threshold 100 either dialer-group 2 ppp authentication chap callin ppp multilink ! ip classless ip route profile ip route 0.0.0.0 0.0.0.0 192.168.2.254 ip route 10.1.1.0 255.255.255.0 192.168.3.1 ip route 10.1.2.0 255.255.255.0 192.168.4.1 ip route 192.168.1.0 255.255.255.0 192.168.2.254 ip route 192.168.3.0 255.255.255.0 Dialer1 ip route 192.168.4.0 255.255.255.0 Dialer2 no ip http server ! access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389 access-list 102 permit tcp host 192.168.1.1 192.168.0.0 0.0.255.255 eq telnet access-list 102 permit udp host 192.168.1.1 192.168.0.0 0.0.255.255 eq 23 access-list 102 permit icmp 192.168.0.0 0.0.255.255 any access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389 access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1 access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1 access-list 105 deny ip any any dialer-list 1 protocol ip list 104 dialer-list 2 protocol ip list 105 ! line con 0 transport input none stopbits 1 line aux 0 line vty 0 4 login local ! no scheduler allocate end

Mir ist gerade ein Fehler in den Scripts aufgefallen änder das sofort mom / sorry war nur ein copy and paste Fehler am ende von client router habe es geändert.

Current configuration: ! version 11.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Client-1Router ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username AccessRouter password 0 Passwort ip subnet-zero no ip domain-lookup isdn switch-type basic-net3 ! interface Ethernet0 ip address 10.1.1.254 255.255.255.0 ip access-group 102 in no ip directed-broadcast no ip proxy-arp no logging event subif-link-status media-type 10BaseT ! interface Serial0 no ip address no logging event subif-link-status shutdown ! interface BRI0 no ip address ip access-group 103 in no ip directed-broadcast encapsulation ppp no logging event subif-link-status dialer pool-member 1 isdn caller 21 no cdp enable ppp authentication chap callin ! interface Dialer1 description Verbindung zu Router AccessRouter ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast no ip proxy-arp encapsulation ppp no logging event subif-link-status dialer remote-name AccessRouter dialer idle-timeout 300 dialer string 21 dialer load-threshold 100 either dialer pool 1 dialer-group 1 no fair-queue ppp authentication chap callin ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.254 ip route 192.168.1.0 255.255.255.0 192.168.3.254 ip route 192.168.2.0 255.255.255.0 192.168.3.254 access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 102 deny ip any any access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 any access-list 103 deny ip any any access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 104 deny ip any any dialer-list 1 protocol ip list 104 ! line con 0 transport input none stopbits 1 line vty 0 4 login local ! end

fu123 falls du den gesamten Thread gelesen hat, solltest du wissen das mir jegliche Hilfe herzlich willkommen ist. Wordo und Blacky_24 haben mir zwar schon bisher hervoragend geholfen, dennoch ist mir auch dein Post sehr willkommen den so etwas wie: habe ich schon gesucht aber nicht gefunden. Du meinst ich füge log direkt in die Accesslist ein oder ist das ein eigener Befehl? Und die Ausgabe muß ich dazu irgendwas aufrufen oder erscheint die einfach auf der Konsole? Anbei habe ich meine beiden Configs da sich seit der letzten Ausgabe einige geändert hat. ! version 12.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname AccessRouter ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username Client-1Router password 0 Passwort username Client-2Router password 0 Passwort ! ! ! ! no ip subnet-zero no ip finger no ip domain-lookup ! isdn switch-type basic-net3 isdn voice-call-failure 0 partition flash 2 8 8 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group 102 in no ip proxy-arp ! interface TokenRing0/0 no ip address shutdown ring-speed 16 ! interface BRI1/0 no ip address ip access-group 103 in encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 11 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/1 no ip address shutdown isdn switch-type basic-net3 ! interface BRI1/2 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn caller 12 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/3 no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description Verbindung zu Router Client-1Router ip address 192.168.3.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 1 dialer remote-name Client-1Router dialer idle-timeout 300 dialer string 11 dialer load-threshold 100 either dialer-group 1 ppp authentication chap callin ppp multilink ! interface Dialer2 description Verbindung zu Router Client-2Router ip address 192.168.4.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 2 dialer remote-name Client-2Router dialer idle-timeout 300 dialer string 12 dialer load-threshold 100 either dialer-group 2 ppp authentication chap callin ppp multilink ! ip classless ip route profile ip route 0.0.0.0 0.0.0.0 192.168.2.254 ip route 10.1.1.0 255.255.255.0 192.168.3.1 ip route 10.1.2.0 255.255.255.0 192.168.4.1 ip route 192.168.1.0 255.255.255.0 192.168.2.254 ip route 192.168.3.0 255.255.255.0 Dialer1 ip route 192.168.4.0 255.255.255.0 Dialer2 no ip http server ! access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389 access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 access-list 103 deny ip any any access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1 access-list 104 deny ip any any access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1 access-list 105 deny ip any any dialer-list 1 protocol ip list 104 dialer-list 2 protocol ip list 105 ! line con 0 transport input none stopbits 1 line aux 0 line vty 0 4 login local ! no scheduler allocate end

Ja Eth0/0 ist der LAN Port