Flogge

Schade, dann muß ich wohl noch weiterbüffeln bis ich auch mal nützliche Tipps geben kann ;-)

Wieder ein Problem: Clien-1Router wählt sich wie er soll über die Nebenstelle 11 auf die Nebenstelle 21 beim AccessRouter ein. Bei beiden Routern habe ich auch den isdn caller gesetzt das sie nur untereinander telefonieren dürfen. Doch beim Client-2Router ist das anders. er soll über die 12 auf die 22 wählen. Isdn caller ist auch hier gesetzt. Wenn aber kein Apparat auf der nebenstelle 11 vorhanden ist schnappt er sich diese Rufnummer. Folge: Der Anruf wird von isdn caller abgeschmettert denn er erwartet einen Anruf von der 12. Daraf habe ich allen Bri´s mit isdn calling-number die Nebenstelle mitgeteilt welche sie für den Anruf nutzen sollen. Aber keine Auswirkung, Client-2Router klaut sich noch immer die 11 gruß Flogge

Könnte man das eventuell im Dialerinterface mit "dialer remote-name" machen? Der angegebene Name muß aber dann mit dem Chap username identisch sein. Ich übernehme keine Garantie für Richtigkeit, ist das erste mal das ich antworte, sonst frage ich immer nur.:D Wenns aber richtig ist lobt mich mal.:) Wenn nicht dieser Post zerstört sich in 5 sec selbst :cool: 5 4 3 ......

Hmm das Wissen der Schüler orientiert sich meistens bestenfalls am Wissen der Lehrer. Aber ich denke im Rahmen des CCNA geht man da noch sehr intensiv darauf ein, oder? Ich freue mich schon darauf. So genug geträumt, zurück zur Arbeit. Im Moment sind alle Fragen geklärt, das kann sich aber schlagartig ändern :D . Danke für eure Hilfe bis nacher.

Wo er Recht hat hat er Recht, jetzt habe ich auch alles am laufen das woran es letztenlich scheiterte war beim 2600er der Ethernetport ehemalig access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389 das muß offensichtlich heissen access-list 102 permit tcp host 192.168.1.1 eq 3389 10.1.0.0 0.0.255.255 (Wenn mir das jetzt jemand erklären könnte? )

Ach so, Aber nun zum Dialer Problem Du sagst ich soll alle Regeln im Dialer einstellen nicht in der BRI, aber der Dialer ist so wie ich es nun beobachtet habe nur für den Verkehr nach aussen ins WAN zuständig. Was mache ich denn wenn ich die ISDN Schnittstelle von aussen absichern will?

Und wie soll ich nun bei dem verfahren?

Also die BRI leer lassen? Hmm habe mir schon so was gedacht. Wird denn die die ACL der BRI überhabupt nicht berücksichtigt? Von welchem Router sprichst du? 1600er oder 2600er? Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten? Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?

Ich habe noch ein wenig rumgetestet und verstehe immer weniger. Ich habe in der Liste 102 nur tcp 3389 offen das ist das Ethernet Interface In der Liste 103 habe ich testweise deny ip any any das ist die Bri den Dialer lasse ich auf tcp 3389 anspringen und gleichzeitig mache ich zum Schluß wie dein Rat deny ip any any Nach deiner Aussage (ich will jetzt nicht ketzerisch sein gg) sollte nach dem Bri deny nichts mehr ausgeführt werden also der Dialer gar nicht funktionieren. Wird alles was ich der Bri zuweise ignoriert weil ich einen Dialer 1 habe, oder trifft deine Aussage nicht zu weil für jede s Interface nur eine ACL verwendet wird. Logisch wenn ich für ein Interface 2 oder mehr ACL´s habe dann währe das tötlich zwischendurch ein deny ip any any zu machen. Ihr seht also nun bin ich komplett verwirrt, ich weis nur das vorhin als ich bei jeder Acl zum Schluss ein deny ip any any hatte noch ein bischen mehr Funktion hatte. Gruß Florian

sh ru Building configuration... Current configuration: ! version 11.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Client-1Router ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username AccessRouter password 0 Passwort ip subnet-zero no ip domain-lookup isdn switch-type basic-net3 ! interface Ethernet0 ip address 10.1.1.254 255.255.255.0 ip access-group 102 in no ip directed-broadcast no ip proxy-arp no logging event subif-link-status media-type 10BaseT ! interface Serial0 no ip address no logging event subif-link-status shutdown ! interface BRI0 no ip address ip access-group 103 in no ip directed-broadcast encapsulation ppp no logging event subif-link-status dialer pool-member 1 isdn caller 21 no cdp enable ppp authentication chap callin ! interface Dialer1 description Verbindung zu Router AccessRouter ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast no ip proxy-arp encapsulation ppp no logging event subif-link-status dialer remote-name AccessRouter dialer idle-timeout 300 dialer string 21 dialer load-threshold 100 either dialer pool 1 dialer-group 1 no fair-queue ppp authentication chap callin ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.254 ip route 192.168.1.0 255.255.255.0 192.168.3.254 ip route 192.168.2.0 255.255.255.0 192.168.3.254 access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 any access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 104 deny ip any any dialer-list 1 protocol ip list 104 ! line con 0 transport input none stopbits 1 line vty 0 4 login local ! end Ist es so besser? bei mir hat ja jedes Interface eine andere ACL ist es da genau so mit nur einmal deny ip any any? Ich frage deshalb weil immer noch keine RDP verbindung zustande kommt. Ausserdem scheint es so das meine ACL für die Bri gänzlich ignoriert und nur die vom Dialer benutzt wird. Ist das normal oder ist das nur zufall?

sh run Building configuration... Current configuration : 3055 bytes ! version 12.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname AccessRouter ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username Client-1Router password 0 Passwort username Client-2Router password 0 Passwort ! ! ! ! no ip subnet-zero no ip finger no ip domain-lookup ! isdn switch-type basic-net3 isdn voice-call-failure 0 partition flash 2 8 8 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group 102 in no ip proxy-arp ! interface TokenRing0/0 no ip address shutdown ring-speed 16 ! interface BRI1/0 no ip address ip access-group 103 in encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 11 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/1 no ip address shutdown isdn switch-type basic-net3 ! interface BRI1/2 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn caller 12 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/3 no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description Verbindung zu Router Client-1Router ip address 192.168.3.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 1 dialer remote-name Client-1Router dialer idle-timeout 300 dialer string 11 dialer load-threshold 100 either dialer-group 1 ppp authentication chap callin ppp multilink ! interface Dialer2 description Verbindung zu Router Client-2Router ip address 192.168.4.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 2 dialer remote-name Client-2Router dialer idle-timeout 300 dialer string 12 dialer load-threshold 100 either dialer-group 2 ppp authentication chap callin ppp multilink ! ip classless ip route profile ip route 0.0.0.0 0.0.0.0 192.168.2.254 ip route 10.1.1.0 255.255.255.0 192.168.3.1 ip route 10.1.2.0 255.255.255.0 192.168.4.1 ip route 192.168.1.0 255.255.255.0 192.168.2.254 ip route 192.168.3.0 255.255.255.0 Dialer1 ip route 192.168.4.0 255.255.255.0 Dialer2 no ip http server ! access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389 access-list 102 permit tcp host 192.168.1.1 192.168.0.0 0.0.255.255 eq telnet access-list 102 permit udp host 192.168.1.1 192.168.0.0 0.0.255.255 eq 23 access-list 102 permit icmp 192.168.0.0 0.0.255.255 any access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389 access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1 access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1 access-list 105 deny ip any any dialer-list 1 protocol ip list 104 dialer-list 2 protocol ip list 105 ! line con 0 transport input none stopbits 1 line aux 0 line vty 0 4 login local ! no scheduler allocate end

Mir ist gerade ein Fehler in den Scripts aufgefallen änder das sofort mom / sorry war nur ein copy and paste Fehler am ende von client router habe es geändert.

Current configuration: ! version 11.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname Client-1Router ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username AccessRouter password 0 Passwort ip subnet-zero no ip domain-lookup isdn switch-type basic-net3 ! interface Ethernet0 ip address 10.1.1.254 255.255.255.0 ip access-group 102 in no ip directed-broadcast no ip proxy-arp no logging event subif-link-status media-type 10BaseT ! interface Serial0 no ip address no logging event subif-link-status shutdown ! interface BRI0 no ip address ip access-group 103 in no ip directed-broadcast encapsulation ppp no logging event subif-link-status dialer pool-member 1 isdn caller 21 no cdp enable ppp authentication chap callin ! interface Dialer1 description Verbindung zu Router AccessRouter ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast no ip proxy-arp encapsulation ppp no logging event subif-link-status dialer remote-name AccessRouter dialer idle-timeout 300 dialer string 21 dialer load-threshold 100 either dialer pool 1 dialer-group 1 no fair-queue ppp authentication chap callin ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.254 ip route 192.168.1.0 255.255.255.0 192.168.3.254 ip route 192.168.2.0 255.255.255.0 192.168.3.254 access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 102 deny ip any any access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 any access-list 103 deny ip any any access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 104 deny ip any any dialer-list 1 protocol ip list 104 ! line con 0 transport input none stopbits 1 line vty 0 4 login local ! end

fu123 falls du den gesamten Thread gelesen hat, solltest du wissen das mir jegliche Hilfe herzlich willkommen ist. Wordo und Blacky_24 haben mir zwar schon bisher hervoragend geholfen, dennoch ist mir auch dein Post sehr willkommen den so etwas wie: habe ich schon gesucht aber nicht gefunden. Du meinst ich füge log direkt in die Accesslist ein oder ist das ein eigener Befehl? Und die Ausgabe muß ich dazu irgendwas aufrufen oder erscheint die einfach auf der Konsole? Anbei habe ich meine beiden Configs da sich seit der letzten Ausgabe einige geändert hat. ! version 12.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname AccessRouter ! enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0 ! username Client-1Router password 0 Passwort username Client-2Router password 0 Passwort ! ! ! ! no ip subnet-zero no ip finger no ip domain-lookup ! isdn switch-type basic-net3 isdn voice-call-failure 0 partition flash 2 8 8 ! ! ! ! ! ! interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 ip access-group 102 in no ip proxy-arp ! interface TokenRing0/0 no ip address shutdown ring-speed 16 ! interface BRI1/0 no ip address ip access-group 103 in encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 11 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/1 no ip address shutdown isdn switch-type basic-net3 ! interface BRI1/2 no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn caller 12 isdn send-alerting no cdp enable ppp authentication chap callin ! interface BRI1/3 no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description Verbindung zu Router Client-1Router ip address 192.168.3.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 1 dialer remote-name Client-1Router dialer idle-timeout 300 dialer string 11 dialer load-threshold 100 either dialer-group 1 ppp authentication chap callin ppp multilink ! interface Dialer2 description Verbindung zu Router Client-2Router ip address 192.168.4.254 255.255.255.0 no ip proxy-arp encapsulation ppp dialer pool 2 dialer remote-name Client-2Router dialer idle-timeout 300 dialer string 12 dialer load-threshold 100 either dialer-group 2 ppp authentication chap callin ppp multilink ! ip classless ip route profile ip route 0.0.0.0 0.0.0.0 192.168.2.254 ip route 10.1.1.0 255.255.255.0 192.168.3.1 ip route 10.1.2.0 255.255.255.0 192.168.4.1 ip route 192.168.1.0 255.255.255.0 192.168.2.254 ip route 192.168.3.0 255.255.255.0 Dialer1 ip route 192.168.4.0 255.255.255.0 Dialer2 no ip http server ! access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389 access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23 access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 access-list 103 deny ip any any access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1 access-list 104 deny ip any any access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1 access-list 105 deny ip any any dialer-list 1 protocol ip list 104 dialer-list 2 protocol ip list 105 ! line con 0 transport input none stopbits 1 line aux 0 line vty 0 4 login local ! no scheduler allocate end

Ja Eth0/0 ist der LAN Port

Hallo alle zusammen, Ich hoffe ihr hattet ein schönes Wochenende. So schön es auch war meine Sorgen und Nöte sind schon wieder da. Ich habe jetzt alle einstellungen so gemacht wie Blacky_24 es mir geraten hat. Derzeit bastle ich gerade an der ACL damit kein Schweinkram gemacht werden kann. Soweit alles ok. Doch wenn ich beim 2600er folgendes eingebe interface Ethernet0/0 - ip access-group 102 in access-list 102 permit tcp host 192.168.1.1 10.1.0.0 eq 3389 access-list 102 permit tcp host 192.168.1.1 192.168.0.0 eq 23 access-list 102 permit udp host 192.168.1.1 192.168.0.0 eq 23 access-list 102 permit icmp 192.168.0.0 any access-list 102 deny ip any any wird die RDP verbindung blockiert Ich habe auch nach Netzangaben noch die Wildcard Bits gesetzt. Mein erster Gedanke war, das der RDP Port unter anderem nur zum Anstossen der Verbindung benutzt wird, der Server aber daraufhin auch noch über andere Ports kommunizieren will. Doch nun bin ich mir da nicht mehr sicher da mein 1600er fast die gleiche acl auf seiner Bri hat. demnach müsste es auch dort hängenbleiben. Das ist aber nicht der Fall, alleine ohne die 2600 Config funktioniert der 1600 wunderbar. Client-1Router interface Ethernet 0 - ip access-group 102 in access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 102 deny ip any any interface BRI0 - ip access-group 103 in access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389 access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23 access-list 103 permit icmp 192.168.0.0 any access-list 103 deny ip any any interface Dialer1 access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389 access-list 104 deny ip any any Könnt Ihr mir sagen wo der Fehler liegt? Gruß Florian

Hallo Wordo Nachdem ich heute morgen dein Script ausprobiert habe und feststellen musste, das auch der 2600er kein Crypto beherrscht war die Auswahl der Möglichkeiten schon wieder geringer. Nach dem Gespräch eben mit Blacky_24, wird es wohl sofern die IHK zustimmt auf eine direkte Einwahlverbindung von Router zu Router hinauslaufen. Ich werde aber euch auf dem lauffenden halten was es nun sein wird. Ich habe nun ersteinmal ein paar Konfigurationen zu erledigen und hoffe das dabei alles klar geht. Sollten Probleme auftreten dann Poste ich sie hier. Auch was meine Dokumentation angeht bin ich an eurer Meinung sehr interessiert, aber das wird noch ein wenig dauern. Danke erstmal bisher für eure Mühe und eure Nerven bis demnächst.

Danke Wordo, ja mache auch bald Feierabend. Bin doch nur eine Halbtagskraft (von 6:00 - 18:00) Ich teste das sofort morgen als erstes. Leider habe ich keinen Zugang zum Internet mit dem Projekt, daher simuliere ich doch die Wählverbindung durch eine Telefonanlage. Aber ich lasse es dich sofort wissen ob es klappt und Poste dann auch hier die Config, vieleicht habe ich ja nur einen kleinen Fehler gemacht. Was meinst du damit? Gruß Florian

Erst einmal zu deinem Post um 12:25 Blacky_24 Ja das hört sich schon gut an, ich glaube nicht das der Prüfungsausschuss mir Wissen zumutet welches man nur in Cisco Schulungen bekommt. Also reichen mir Basics in Sachen Härtung. Die ACLs hören sich schonmal gut an, das muß ich eh machen um eine Authentifizierung der User zu erreichen. Sehe ich das richtig das ich mit der einen ACL beide Probleme abdecke? Wenn du das sagst dann mache ich das natürlich :D Nein definitiv nicht, denn am 26.10 endet mein Praktikum und somit auch mein Kontakt zu den Routern. Bis dahin muß ich also fertig sein. Ich sende dir per PN meine Telefonnummer, ich bin ab 5:00 morgens erreichbar. Einfach kurz durchbimmeln dann rufe ich dich zurück. Nun zu deinem Post Wordo Da die User eine Verbindung zum Firmennetzwerk aufbauen währe das die falsche Richtung, ich will ja nicht das der Tunnel die ganze Zeit die Wählverbindung offen hält. Das gefällt mir schon besser, wie kann ich herausfinden ob das geht? wieder mit dem Crypto Befehl? Leider habe ich den Cisco VPN Client nicht und soweit ich weiß kostet der ca 36 Euro. Aber ich habe eine Software von Lucent die das gleiche machen sollte. Ist das vieleicht sogar der Vorgänger dieser Software? Lucent wurde doch soweit ich weis von Cisco gefressen? So nun fasse ich das nochmal zusammen was ich zu tun Gedenke - ACL erstellen um die Konfiguration des Routers über die Netzwerk Interfaces nur einenm bestimmten Personenkreis zu erlauben -ACL erstellen um nur meinen Client PC´s einen Zugang zum Firmennetzwerk zu erlauben. -IPsec Termination auf dem 2600er ermöglichen um mit Windows XP Clients eine Verbindung aufzubauen. -alternativ nur das RDP Protokoll verschlüsseln Ich hoffe ich habe jetzt keine Gedankenfehler gemacht. Heute habe ich erst einmal an der Projektdokumentation gearbeitet damit ich auch genau weis welche Screenshots und welche Schripte ich benötige, ausserdem mir eine Struktur zurechtlegen warum ich nun von meinem Projektantrag abweiche. Danke an euch erst mal.

Kann der Router Win2003 abfragen ob es den User gibt? was brauche ich dazu und wie mache ich es? Alternativ sollte das nicht gehen würde ich gerne mit der Benutzerdatenbank der Routers arbeiten. Sofern dies die einzigen beiden Möglichkeiten sind zu welcher würdest du mir raten und warum? Oder ist meine Reihenfolge ganz brauchbar. Kann ich das mit meinem Steinzeit 1600er denn? Das währe doch schon mal eine Lösung. Wenn ja wie müsste ich das in meine Config einbauen so das die Wählverbindung nicht immer offen bleibt. Solltest du meine beiden Scripts noch nicht gesehen haben habe ich im ersten Post im Thread einen link dahin gemacht. Aufgrund meines "Telefonanlagen Internets" und meiner direkten Einwahl am Access Router stellt sich die Frage nicht. Ich werde aber in meiner Verfahrensanweisung erwähnen das die Router im Livebetrieb einen Internetanbieter mit statischer IP benötigen. Wie viel aufwand währe es den dem Router DynDNS beizubringen, und wie würde das aussehen? Nur um dem "Auftraggeber" eventuelle Möglichkeiten aufzuzeigen. Testen kann ich das aber nicht, es währe in rein theoretischer Form. Ich gehe in meinem Projekt mittlerweile davon aus das der "Auftraggeber" ernsthaft der ansicht ist mit dieser Hardware noch was reissen zu können. Ich werde mein bestes versuchen aber gleichzeitig die Möglichkeiten aufzählen welche nicht realisiert werden konnten und Alternativ vorschläge unterbreiten. Wie kann ich das mit 3DES oder AES verstehen, beherrschen meine 1600er das oder irgend eine andere Verschlüsselung wie zb. DSE oder war das gemaint das ich das machen sollte wenn ich neue Hardware bekomme? Hmm 4000 Zeichen pro Post reichen einfach nicht. :-) Danke für deine Hilfe Florian

Wow ich mag deine Art mir alle Konzepte um die Ohren zu hauen ;-) aber besser du machst es als der Prüfungsausschuss. Hast du schonmal ein Schriftstück wie dieses verfasst und als du es einen Monat danach nochmal gelesen hast gedacht: "Was für ein Mist habe ich da geschrieben." Nun gut aber der Antrag ist eingereicht und bewilligt. Als ich den Antrag erstellt habe hatte ich mich noch nicht so sehr mit Cisco beschäftigt. Auf meine zugegebenermaßen etwas unpräzise Frage: "Kann ich dies oder das mit einem Cisco Router machen" hörte ich: "Ja klar mit IOS kann man fast alles machen". Leider wurde mir erst später bewusst wie alt meine Geräte eigentlich sind. Hilft aber alles nichts ich will Minimum eine gute 2 und muß daß jetzt hinbiegen es gilt schlieslich das Sprichwort: "Ist der Berg auch noch so steil, a bisserl was geht aller weil". Soviel zu den Leuten im hinterbayrischen Wald :-) Zu deinen Kommentaren: Nein, die Serverdienste werden nur auf dem Server Local laufen, da dieser Server auch ein Terminal Server ist, können die Nutzer über rdp alle Dienste nutzen. Keine Sorge, der IP-Cop ist kein Problem das habe ich im Griff Doch genau so ist es, Server-IPCop-2600er-ISDNTelefonanlage- x mal 1600er- x mal Client PC. Wünschenswert währe zwar eine 2 Firewall Lösung eine vor dem Router und eine dannach. Da ich aber vom Router mich direkt über ISDN einwähle wüste ich eh nicht wie ich davor eine Firewall schalten kann, und erschwerend kommt hinzu das eine Firewall die einen verschlüsselten Tunnel durchlässt eh nur einen geringen Wert hat. Was in dem Tunnel passiert bleibt ihr verborgen. Daher habe ich die Firewall nach dem Router angeordnet damit ich auch alle Ports welche ich nicht benötige dicht machen kann. Offen ist derzeit nur der RDP Port. Ich hätte es zwar gerne gesehen ein kompletes funktionstüchtiges Windows Lan durch das Internet(bei mir ist das internet die Telefonanlage) zu tunneln , bei der Häufigkeit mit der WindowsXP allerdings nach aussen brüllt habe ich davon abgesehen . Bei Wählverbindungen währe das sonst zu teuer. Zum 2600er in vorderster Front, mir wurde gesagt das man den Router entsprechend abhärten kann. Stimmt das? Oder mitten in Hamburg lol. Nein im Ernst, ich bekomme für mein Projekt keine Internetanschlüsse. So hat mir mein Kollege den vorschlag gemacht mit einer ISDN Telefonanlage eine Interne Wählverbindung aufzubauen, dies hat natürlich seine Grenzen obwohl ich jedem Client (ich habe 2 davon) eine eigene Bri und Nummer auf dem 2600er zugewiesen habe schafft die Anlage keine 2 parallelen Verbindungen obwohl sie genug interne ISDN Verbindungen hat und auch 2 interne S0 Busse. Mir währe DSL auch lieber aber das sind die Rahmenbedingungen. Daher ist mein Projekt eher als Machbarkeitsnachweis für die spätere Realisierung zu sehen und wird zu einer Verfahrensdokumentation werden.

Ja klar Blacky_24, als erstes poste ich hier einen Auszug aus meinem Projektantrag: Eventuelle Fragen beantworte ich gerne Was das "Zwiegespräch unter Fachleuten" betrifft, so arbeite ich daran auch bald mitreden zu können :-) Gruß Florian

Das funktioniert aber nich bei mir oder Blacky_24? Falls Nein werde ich Parallel versuchen dieses c1600-sy56i-l.113-11b.T5.bin zu bekommen und meinen Dozenten zu erreichen was meine weiteren Möglichkeiten angeht. So wie ich das sehe gibt es zwei Möglichkeiten: a: ich bekommen das IOS und versuche diese VPN (obwohl 56 bit) zu realisieren. b: Ich bekomme das nicht und zähle in meiner Projektdokumentation einige Möglichkeiten auf wie ich es unter aktuellem IOS und Hardware machen hätte können und warum dies bei mir nicht geht. Desweiteren werde ich als Alternative die Verschlüsselung der rdp Vorschlagen. Was haltet ihr davon? Hoffentlich könnt ihr mich bei diesem oder dem anderen Weg ein wenig unterstützen, den ich habe akuten Mangel an Cisco Profis ;-) Danke bisher Flogge

Danke Blacky für diese ausführlichen Worte, kurz es handelt sich um ein reines Ausbildungsprojekt und wird niemals live gehen, daher ist die Sicherheitsgefahr zu vernachlässigen. Was nicht heissen soll das es nicht hand und Fuß haben soll denn darauf gibts einen Teil der Abschlußnote. Die alten Geräte waren in meinem Praktikumsbetrieb noch über daher der alte Mist :-). Bin aber dankbar zumindest die zu haben. Obwohl es nicht in der "echten Welt" betrieben wird, habe ich dennoch Zeitdruck da es schon "gestern" fertig sein sollte ;-) Dazu ein paar Fragen: 1. Kann man ein nicht mehr ganz taufrisches IOS das noch gerade mit der Hardware läuft aufspielen. Wenn ja welche Version währe das? 2. Warum unterstützt der 1600er keine höhere Verschlüsselung, ist das Hardware oder Softwarebedingt? Gruß Flogge

Dieser Befehl existiert nicht bei mir, liegt vermutlich an meinem alten IOS? Stimmts! Sofern du dem zustimmst habe ich 2 Fragen: 1. Wie komme ich als normaler 0815 User an ein neueres IOS (vorzüglich das welches du genannt hast?)? 2. Wenn ich nicht daran komme, welche anderen Möglichkeiten habe ich die Verbindung zu verschlüsseln und durch einen Tunnel zu leiten (Das mit dem Tunnel währe schon gut wenn auch aus deiner sicht nicht notwendig, da ich im Projektantrag ein VPN erwähnt habe und das ist doch ein Tunnel oder?)