Flogge

Schade, dann muß ich wohl noch weiterbüffeln bis ich auch mal nützliche Tipps geben kann ;-)

Wieder ein Problem:

Clien-1Router wählt sich wie er soll über die Nebenstelle 11 auf die Nebenstelle 21 beim AccessRouter ein.

Bei beiden Routern habe ich auch den isdn caller gesetzt das sie nur untereinander telefonieren dürfen.

Doch beim Client-2Router ist das anders. er soll über die 12 auf die 22 wählen. Isdn caller ist auch hier gesetzt. Wenn aber kein Apparat auf der nebenstelle 11 vorhanden ist schnappt er sich diese Rufnummer. Folge: Der Anruf wird von isdn caller abgeschmettert denn er erwartet einen Anruf von der 12.

Daraf habe ich allen Bri´s mit isdn calling-number die Nebenstelle mitgeteilt welche sie für den Anruf nutzen sollen. Aber keine Auswirkung, Client-2Router klaut sich noch immer die 11

gruß Flogge

Könnte man das eventuell im Dialerinterface mit "dialer remote-name" machen? Der angegebene Name muß aber dann mit dem Chap username identisch sein.

Ich übernehme keine Garantie für Richtigkeit, ist das erste mal das ich antworte, sonst frage ich immer nur.:D

Wenns aber richtig ist lobt mich mal.:)

Wenn nicht dieser Post zerstört sich in 5 sec selbst :cool:

5

4

3

......

Dir fehlen glaub ich paar TCP/IP Basics

So genug geträumt, zurück zur Arbeit. Im Moment sind alle Fragen geklärt, das kann sich aber schlagartig ändern :D .

Danke für eure Hilfe bis nacher.

Wo er Recht hat hat er Recht,

jetzt habe ich auch alles am laufen das woran es letztenlich scheiterte war beim 2600er der Ethernetport

ehemalig

access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389

das muß offensichtlich heissen

access-list 102 permit tcp host 192.168.1.1 eq 3389 10.1.0.0 0.0.255.255

(Wenn mir das jetzt jemand erklären könnte? )

Ach so, Aber nun zum Dialer Problem

Du sagst ich soll alle Regeln im Dialer einstellen nicht in der BRI, aber der Dialer ist so wie ich es nun beobachtet habe nur für den Verkehr nach aussen ins WAN zuständig. Was mache ich denn wenn ich die ISDN Schnittstelle von aussen absichern will?

Und wie soll ich nun bei dem verfahren?

Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten?

 

Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?

Also die BRI leer lassen? Hmm habe mir schon so was gedacht. Wird denn die die ACL der BRI überhabupt nicht berücksichtigt?

Von welchem Router sprichst du? 1600er oder 2600er?

Ich habe jetzt das Log eingeschalten und es werden angeblich die Ports 1096 1097 abgewiesen. Muß ich noch weitere Ports freischalten?

Und darf ich nun in jede Liste eine deny ip any any reinmachen oder nicht?

Ich habe noch ein wenig rumgetestet und verstehe immer weniger.

Ich habe in der Liste 102 nur tcp 3389 offen

das ist das Ethernet Interface

In der Liste 103 habe ich testweise deny ip any any

das ist die Bri

den Dialer lasse ich auf tcp 3389 anspringen

und gleichzeitig mache ich zum Schluß wie dein Rat deny ip any any

Nach deiner Aussage (ich will jetzt nicht ketzerisch sein gg) sollte nach dem Bri deny nichts mehr ausgeführt werden also der Dialer gar nicht funktionieren. Wird alles was ich der Bri zuweise ignoriert weil ich einen Dialer 1 habe, oder trifft deine Aussage nicht zu weil für jede s Interface nur eine ACL verwendet wird.

Logisch wenn ich für ein Interface 2 oder mehr ACL´s habe dann währe das tötlich zwischendurch ein deny ip any any zu machen.

Ihr seht also nun bin ich komplett verwirrt, ich weis nur das vorhin als ich bei jeder Acl zum Schluss ein deny ip any any hatte noch ein bischen mehr Funktion hatte.

Gruß Florian

sh ru
Building configuration...

Current configuration:
!
version 11.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Client-1Router
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username AccessRouter password 0 Passwort
ip subnet-zero
no ip domain-lookup
isdn switch-type basic-net3
!
interface Ethernet0
ip address 10.1.1.254 255.255.255.0
ip access-group 102 in
no ip directed-broadcast
no ip proxy-arp
no logging event subif-link-status
media-type 10BaseT
!
interface Serial0
no ip address
no logging event subif-link-status
shutdown
!
interface BRI0
no ip address
ip access-group 103 in
no ip directed-broadcast
encapsulation ppp
no logging event subif-link-status
dialer pool-member 1
isdn caller 21
no cdp enable
ppp authentication chap callin
!
interface Dialer1
description Verbindung zu Router AccessRouter
ip address 192.168.3.1 255.255.255.0
no ip directed-broadcast
no ip proxy-arp
encapsulation ppp
no logging event subif-link-status
dialer remote-name AccessRouter
dialer idle-timeout 300
dialer string 21
dialer load-threshold 100 either
dialer pool 1
dialer-group 1
no fair-queue
ppp authentication chap callin
ppp multilink
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.3.254
ip route 192.168.1.0 255.255.255.0 192.168.3.254
ip route 192.168.2.0 255.255.255.0 192.168.3.254
access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet
access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 any
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny   ip any any
dialer-list 1 protocol ip list 104
!
line con 0
transport input none
stopbits 1
line vty 0 4
login local
!
end

Ist es so besser? bei mir hat ja jedes Interface eine andere ACL ist es da genau so mit nur einmal deny ip any any? Ich frage deshalb weil immer noch keine RDP verbindung zustande kommt. Ausserdem scheint es so das meine ACL für die Bri gänzlich ignoriert und nur die vom Dialer benutzt wird. Ist das normal oder ist das nur zufall?

sh run
Building configuration...

Current configuration : 3055 bytes
!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AccessRouter
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username Client-1Router password 0 Passwort
username Client-2Router password 0 Passwort
!
!
!
!
no ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
isdn voice-call-failure 0
partition flash 2 8 8
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
ip access-group 102 in
no ip proxy-arp
!
interface TokenRing0/0
no ip address
shutdown
ring-speed 16
!
interface BRI1/0
no ip address
ip access-group 103 in
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn caller 11
isdn send-alerting
no cdp enable
ppp authentication chap callin
!
interface BRI1/1
no ip address
shutdown
isdn switch-type basic-net3
!
interface BRI1/2
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn caller 12
isdn send-alerting
no cdp enable
ppp authentication chap callin
!
interface BRI1/3
no ip address
shutdown
isdn switch-type basic-net3
!
interface Dialer1
description Verbindung zu Router Client-1Router
ip address 192.168.3.254 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 1
dialer remote-name Client-1Router
dialer idle-timeout 300
dialer string 11
dialer load-threshold 100 either
dialer-group 1
ppp authentication chap callin
ppp multilink
!
interface Dialer2
description Verbindung zu Router Client-2Router
ip address 192.168.4.254 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 2
dialer remote-name Client-2Router
dialer idle-timeout 300
dialer string 12
dialer load-threshold 100 either
dialer-group 2
ppp authentication chap callin
ppp multilink
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.2.254
ip route 10.1.1.0 255.255.255.0 192.168.3.1
ip route 10.1.2.0 255.255.255.0 192.168.4.1
ip route 192.168.1.0 255.255.255.0 192.168.2.254
ip route 192.168.3.0 255.255.255.0 Dialer1
ip route 192.168.4.0 255.255.255.0 Dialer2
no ip http server
!
access-list 102 permit tcp host 192.168.1.1 10.1.0.0 0.0.255.255 eq 3389
access-list 102 permit tcp host 192.168.1.1 192.168.0.0 0.0.255.255 eq telnet
access-list 102 permit udp host 192.168.1.1 192.168.0.0 0.0.255.255 eq 23
access-list 102 permit icmp 192.168.0.0 0.0.255.255 any
access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389
access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet
access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1
access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1
access-list 105 deny   ip any any
dialer-list 1 protocol ip list 104
dialer-list 2 protocol ip list 105
!
line con 0
transport input none
stopbits 1
line aux 0
line vty 0 4
login local
!
no scheduler allocate
end

Mir ist gerade ein Fehler in den Scripts aufgefallen änder das sofort mom / sorry war nur ein copy and paste Fehler am ende von client router habe es geändert.

Current configuration:
!
version 11.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Client-1Router
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username AccessRouter password 0 Passwort
ip subnet-zero
no ip domain-lookup
isdn switch-type basic-net3
!
interface Ethernet0
ip address 10.1.1.254 255.255.255.0
ip access-group 102 in
no ip directed-broadcast
no ip proxy-arp
no logging event subif-link-status
media-type 10BaseT
!
interface Serial0
no ip address
no logging event subif-link-status
shutdown
!
interface BRI0
no ip address
ip access-group 103 in
no ip directed-broadcast
encapsulation ppp
no logging event subif-link-status
dialer pool-member 1
isdn caller 21
no cdp enable
ppp authentication chap callin
!
interface Dialer1
description Verbindung zu Router AccessRouter
ip address 192.168.3.1 255.255.255.0
no ip directed-broadcast
no ip proxy-arp
encapsulation ppp
no logging event subif-link-status
dialer remote-name AccessRouter
dialer idle-timeout 300
dialer string 21
dialer load-threshold 100 either
dialer pool 1
dialer-group 1
no fair-queue
ppp authentication chap callin
ppp multilink
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.3.254
ip route 192.168.1.0 255.255.255.0 192.168.3.254
ip route 192.168.2.0 255.255.255.0 192.168.3.254
access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 102 deny   ip any any
access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389
access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq telnet
access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 any
access-list 103 deny   ip any any
access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389
access-list 104 deny   ip any any
dialer-list 1 protocol ip list 104
!
line con 0
transport input none
stopbits 1
line vty 0 4
login local
!
end

fu123 falls du den gesamten Thread gelesen hat, solltest du wissen das mir jegliche Hilfe herzlich willkommen ist. Wordo und Blacky_24 haben mir zwar schon bisher hervoragend geholfen, dennoch ist mir auch dein Post sehr willkommen den so etwas wie:

ip deny any any log

Du meinst ich füge log direkt in die Accesslist ein oder ist das ein eigener Befehl? Und die Ausgabe muß ich dazu irgendwas aufrufen oder erscheint die einfach auf der Konsole?

Anbei habe ich meine beiden Configs da sich seit der letzten Ausgabe einige geändert hat.

!
version 12.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname AccessRouter
!
enable secret 5 $1$n.rg$2xkrdsPVtvjOZY5GEI1S/0
!
username Client-1Router password 0 Passwort
username Client-2Router password 0 Passwort
!
!
!
!
no ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
isdn voice-call-failure 0
partition flash 2 8 8
!
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
ip access-group 102 in
no ip proxy-arp
!
interface TokenRing0/0
no ip address
shutdown
ring-speed 16
!
interface BRI1/0
no ip address
ip access-group 103 in
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn caller 11
isdn send-alerting
no cdp enable
ppp authentication chap callin
!
interface BRI1/1
no ip address
shutdown
isdn switch-type basic-net3
!
interface BRI1/2
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn caller 12
isdn send-alerting
no cdp enable
ppp authentication chap callin
!
interface BRI1/3
no ip address
shutdown
isdn switch-type basic-net3
!
interface Dialer1
description Verbindung zu Router Client-1Router
ip address 192.168.3.254 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 1
dialer remote-name Client-1Router
dialer idle-timeout 300
dialer string 11
dialer load-threshold 100 either
dialer-group 1
ppp authentication chap callin
ppp multilink
!
interface Dialer2
description Verbindung zu Router Client-2Router
ip address 192.168.4.254 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 2
dialer remote-name Client-2Router
dialer idle-timeout 300
dialer string 12
dialer load-threshold 100 either
dialer-group 2
ppp authentication chap callin
ppp multilink
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.2.254
ip route 10.1.1.0 255.255.255.0 192.168.3.1
ip route 10.1.2.0 255.255.255.0 192.168.4.1
ip route 192.168.1.0 255.255.255.0 192.168.2.254
ip route 192.168.3.0 255.255.255.0 Dialer1
ip route 192.168.4.0 255.255.255.0 Dialer2
no ip http server
!
access-list 103 permit tcp 10.1.0.0 0.0.255.255 host 192.168.1.1 eq 3389
access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq telnet
access-list 103 permit udp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq 23
access-list 103 permit icmp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 103 deny   ip any any
access-list 104 permit icmp host 192.168.3.254 host 192.168.3.1
access-list 104 deny   ip any any
access-list 105 permit icmp host 192.168.4.254 host 192.168.4.1
access-list 105 deny   ip any any
dialer-list 1 protocol ip list 104
dialer-list 2 protocol ip list 105
!
line con 0
transport input none
stopbits 1
line aux 0
line vty 0 4
login local
!
no scheduler allocate
end

Ja Eth0/0 ist der LAN Port

Hallo alle zusammen,

Ich hoffe ihr hattet ein schönes Wochenende. So schön es auch war meine Sorgen und Nöte sind schon wieder da. Ich habe jetzt alle einstellungen so gemacht wie Blacky_24 es mir geraten hat.

Derzeit bastle ich gerade an der ACL damit kein Schweinkram gemacht werden kann. Soweit alles ok.

Doch wenn ich beim 2600er folgendes eingebe

interface Ethernet0/0 - ip access-group 102 in

access-list 102 permit tcp host 192.168.1.1 10.1.0.0 eq 3389

access-list 102 permit tcp host 192.168.1.1 192.168.0.0 eq 23

access-list 102 permit udp host 192.168.1.1 192.168.0.0 eq 23

access-list 102 permit icmp 192.168.0.0 any

access-list 102 deny ip any any

wird die RDP verbindung blockiert

Ich habe auch nach Netzangaben noch die Wildcard Bits gesetzt.

Mein erster Gedanke war, das der RDP Port unter anderem nur zum Anstossen der Verbindung benutzt wird, der Server aber daraufhin auch noch über andere Ports kommunizieren will.

Doch nun bin ich mir da nicht mehr sicher da mein 1600er fast die gleiche acl auf seiner Bri hat. demnach müsste es auch dort hängenbleiben. Das ist aber nicht der Fall, alleine ohne die 2600 Config funktioniert der 1600 wunderbar.

Client-1Router

interface Ethernet 0 - ip access-group 102 in

access-list 102 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389

access-list 102 deny ip any any

interface BRI0 - ip access-group 103 in

access-list 103 permit tcp host 192.168.1.1 host 10.1.1.1 eq 3389

access-list 103 permit tcp host 192.168.1.1 host 192.168.3.1 eq 23

access-list 103 permit udp host 192.168.1.1 host 192.168.3.1 eq 23

access-list 103 permit icmp 192.168.0.0 any

access-list 103 deny ip any any

interface Dialer1

access-list 104 permit tcp host 10.1.1.1 host 192.168.1.1 eq 3389

access-list 104 deny ip any any

Könnt Ihr mir sagen wo der Fehler liegt?

Gruß Florian

Hallo Wordo

Nachdem ich heute morgen dein Script ausprobiert habe und feststellen musste, das auch der 2600er kein Crypto beherrscht war die Auswahl der Möglichkeiten schon wieder geringer.

Nach dem Gespräch eben mit Blacky_24, wird es wohl sofern die IHK zustimmt auf eine direkte Einwahlverbindung von Router zu Router hinauslaufen.

Ich werde aber euch auf dem lauffenden halten was es nun sein wird. Ich habe nun ersteinmal ein paar Konfigurationen zu erledigen und hoffe das dabei alles klar geht.

Sollten Probleme auftreten dann Poste ich sie hier. Auch was meine Dokumentation angeht bin ich an eurer Meinung sehr interessiert, aber das wird noch ein wenig dauern.

Danke erstmal bisher für eure Mühe und eure Nerven

bis demnächst.

Danke Wordo,

ja mache auch bald Feierabend. Bin doch nur eine Halbtagskraft (von 6:00 - 18:00)

Ich teste das sofort morgen als erstes. Leider habe ich keinen Zugang zum Internet mit dem Projekt, daher simuliere ich doch die Wählverbindung durch eine Telefonanlage. Aber ich lasse es dich sofort wissen ob es klappt und Poste dann auch hier die Config, vieleicht habe ich ja nur einen kleinen Fehler gemacht.

Und dann beim externen if noch "crypto map vpn".

Was meinst du damit?

Gruß Florian

Erst einmal zu deinem Post um 12:25 Blacky_24

Man kann Router "härten", in der einfachen Variante z.B. mit ein paar ACLs und noch ein paar Massnahmen

Ja das hört sich schon gut an, ich glaube nicht das der Prüfungsausschuss mir Wissen zumutet welches man nur in Cisco Schulungen bekommt. Also reichen mir Basics in Sachen Härtung. Die ACLs hören sich schonmal gut an, das muß ich eh machen um eine Authentifizierung der User zu erreichen. Sehe ich das richtig das ich mit der einen ACL beide Probleme abdecke?

Nimm um Gottes Willen die lokale Benutzerdatenbank vom Router - oder wie kompliziert wolltest Du die Geschichte denn noch machen? IAS auf dem Windows-Server hochziehen, LDAP-Client auf dem Router programmieren (so das IOS-Release das unterstützt ...)

Wenn du das sagst dann mache ich das natürlich :D

Du hast schon für zwei Wochen Arbeit und bettelst nach noch mehr?

Nein definitiv nicht, denn am 26.10 endet mein Praktikum und somit auch mein Kontakt zu den Routern. Bis dahin muß ich also fertig sein.

Ich sende dir per PN meine Telefonnummer, ich bin ab 5:00 morgens erreichbar. Einfach kurz durchbimmeln dann rufe ich dich zurück.

Nun zu deinem Post Wordo

Da wuerde sich PPTP auf dem IPCop als "VPN" eher anbieten ...

Da die User eine Verbindung zum Firmennetzwerk aufbauen währe das die falsche Richtung, ich will ja nicht das der Tunnel die ganze Zeit die Wählverbindung offen hält.

Ah, vielleicht kann die 2600er ja IPSec, dann gaebe es noch die Moeglichkeit die Windows PCs mit nem Cisco VPN Client an der 2600er terminieren zu lassen ..

Das gefällt mir schon besser, wie kann ich herausfinden ob das geht? wieder mit dem Crypto Befehl? Leider habe ich den Cisco VPN Client nicht und soweit ich weiß kostet der ca 36 Euro. Aber ich habe eine Software von Lucent die das gleiche machen sollte. Ist das vieleicht sogar der Vorgänger dieser Software? Lucent wurde doch soweit ich weis von Cisco gefressen?

So nun fasse ich das nochmal zusammen was ich zu tun Gedenke

- ACL erstellen um die Konfiguration des Routers über die Netzwerk Interfaces nur einenm bestimmten Personenkreis zu erlauben

-ACL erstellen um nur meinen Client PC´s einen Zugang zum Firmennetzwerk zu erlauben.

-IPsec Termination auf dem 2600er ermöglichen um mit Windows XP Clients eine Verbindung aufzubauen.

-alternativ nur das RDP Protokoll verschlüsseln

Ich hoffe ich habe jetzt keine Gedankenfehler gemacht.

Heute habe ich erst einmal an der Projektdokumentation gearbeitet damit ich auch genau weis welche Screenshots und welche Schripte ich benötige, ausserdem mir eine Struktur zurechtlegen warum ich nun von meinem Projektantrag abweiche.

Danke an euch erst mal.

In einem 2612 läuft alles mögliche aber kein "LDAP-Dienst". Entweder Du authentifizierst gegen die lokale Benutzerdatenbank des Routers oder der Router befragt einen externen LDAP-Server.

Kann der Router Win2003 abfragen ob es den User gibt? was brauche ich dazu und wie mache ich es? Alternativ sollte das nicht gehen würde ich gerne mit der Benutzerdatenbank der Routers arbeiten. Sofern dies die einzigen beiden Möglichkeiten sind zu welcher würdest du mir raten und warum? Oder ist meine Reihenfolge ganz brauchbar.

Abgesehen davon brauchst Du das ganze Gerödel nicht, viel mehr als VPN mit preshared Key kannst Du mit dem Kram eh nicht machen.

Kann ich das mit meinem Steinzeit 1600er denn? Das währe doch schon mal eine Lösung.

Wenn ja wie müsste ich das in meine Config einbauen so das die Wählverbindung nicht immer offen bleibt. Solltest du meine beiden Scripts noch nicht gesehen haben habe ich im ersten Post im Thread einen link dahin gemacht.

Was ich nicht verstehe ist wie der 2612er ins Internet gehen soll. Wohl kaum über das Token Ring - und das Ethernet steckt in der Firewall, bleiben die ISDN, also DialIn. Dir ist schon klar dass Du da einen ISP brauchst der ISDN-Internet mit fester IP-Adresse anbietet?! Sonst geht das ganze in die Hose, Deine Router können allesamt kein DynDNS.

Aufgrund meines "Telefonanlagen Internets" und meiner direkten Einwahl am Access Router stellt sich die Frage nicht. Ich werde aber in meiner Verfahrensanweisung erwähnen das die Router im Livebetrieb einen Internetanbieter mit statischer IP benötigen.

Wie viel aufwand währe es den dem Router DynDNS beizubringen, und wie würde das aussehen? Nur um dem "Auftraggeber" eventuelle Möglichkeiten aufzuzeigen. Testen kann ich das aber nicht, es währe in rein theoretischer Form.

Die Cisco-Hardwareauswahl ist ziemlich suboptimal, das hast Du mittlerweile mitbekommen. Die Ausrede dafür wäre: Ist ja nur ein Test-Setup bevor das "richtige" Zeug gekauft wird, da muss man in der Konfig nur zwei Zeilen anpassen und das tut dann mit 3DES oder AES - am Besten gleich die erforderlichen Änderungen dokumentieren.

Ich gehe in meinem Projekt mittlerweile davon aus das der "Auftraggeber" ernsthaft der ansicht ist mit dieser Hardware noch was reissen zu können. Ich werde mein bestes versuchen aber gleichzeitig die Möglichkeiten aufzählen welche nicht realisiert werden konnten und Alternativ vorschläge unterbreiten. Wie kann ich das mit 3DES oder AES verstehen, beherrschen meine 1600er das oder irgend eine andere Verschlüsselung wie zb. DSE oder war das gemaint das ich das machen sollte wenn ich neue Hardware bekomme?

Hmm 4000 Zeichen pro Post reichen einfach nicht. :-)

Danke für deine Hilfe

Florian

Wow ich mag deine Art mir alle Konzepte um die Ohren zu hauen ;-) aber besser du machst es als der Prüfungsausschuss. Hast du schonmal ein Schriftstück wie dieses verfasst und als du es einen Monat danach nochmal gelesen hast gedacht: "Was für ein Mist habe ich da geschrieben." Nun gut aber der Antrag ist eingereicht und bewilligt. Als ich den Antrag erstellt habe hatte ich mich noch nicht so sehr mit Cisco beschäftigt. Auf meine zugegebenermaßen etwas unpräzise Frage: "Kann ich dies oder das mit einem Cisco Router machen" hörte ich: "Ja klar mit IOS kann man fast alles machen". Leider wurde mir erst später bewusst wie alt meine Geräte eigentlich sind. Hilft aber alles nichts ich will Minimum eine gute 2 und muß daß jetzt hinbiegen es gilt schlieslich das Sprichwort: "Ist der Berg auch noch so steil, a bisserl was geht aller weil". Soviel zu den Leuten im hinterbayrischen Wald :-)

Zu deinen Kommentaren:

Zur Firewall kann ich nix sagen, IPcop ist nicht meine Baustelle. Allerdings verstehe ich das mit den Freigaben nicht - Du willst doch nicht ernsthaft einen SQL- oder einen Fileserver vom Internet aus zugänglich machen?!?!

Nein, die Serverdienste werden nur auf dem Server Local laufen, da dieser Server auch ein Terminal Server ist, können die Nutzer über rdp alle Dienste nutzen. Keine Sorge, der IP-Cop ist kein Problem das habe ich im Griff

Wo steht der Router eigentlich relativ zur Firewall - zwischen der Firewall und dem Internet? Falls dem so ist kannst Du schon mal zur körperlichen Züchtigung in den Keller gehen, ich komme gleich nach, muss nur noch die Peitsche von der Leine holen ...

Doch genau so ist es, Server-IPCop-2600er-ISDNTelefonanlage- x mal 1600er- x mal Client PC. Wünschenswert währe zwar eine 2 Firewall Lösung eine vor dem Router und eine dannach. Da ich aber vom Router mich direkt über ISDN einwähle wüste ich eh nicht wie ich davor eine Firewall schalten kann, und erschwerend kommt hinzu das eine Firewall die einen verschlüsselten Tunnel durchlässt eh nur einen geringen Wert hat. Was in dem Tunnel passiert bleibt ihr verborgen. Daher habe ich die Firewall nach dem Router angeordnet damit ich auch alle Ports welche ich nicht benötige dicht machen kann. Offen ist derzeit nur der RDP Port. Ich hätte es zwar gerne gesehen ein kompletes funktionstüchtiges Windows Lan durch das Internet(bei mir ist das internet die Telefonanlage) zu tunneln , bei der Häufigkeit mit der WindowsXP allerdings nach aussen brüllt habe ich davon abgesehen . Bei Wählverbindungen währe das sonst zu teuer. Zum 2600er in vorderster Front, mir wurde gesagt das man den Router entsprechend abhärten kann. Stimmt das?

ISDN-RAS bzw. ISDN-Internet ist heute recht unüblich geworden weil teuer und langsam, wo möglich geht man auf DSL (oder besser). Kann natürlich sein dass die Leute im hinterbayrischen Wald wohnen wo es ausser ISDN nur ISDN gibt.

Oder mitten in Hamburg lol. Nein im Ernst, ich bekomme für mein Projekt keine Internetanschlüsse. So hat mir mein Kollege den vorschlag gemacht mit einer ISDN Telefonanlage eine Interne Wählverbindung aufzubauen, dies hat natürlich seine Grenzen obwohl ich jedem Client (ich habe 2 davon) eine eigene Bri und Nummer auf dem 2600er zugewiesen habe schafft die Anlage keine 2 parallelen Verbindungen obwohl sie genug interne ISDN Verbindungen hat und auch 2 interne S0 Busse. Mir währe DSL auch lieber aber das sind die Rahmenbedingungen. Daher ist mein Projekt eher als Machbarkeitsnachweis für die spätere Realisierung zu sehen und wird zu einer Verfahrensdokumentation werden.

Ja klar Blacky_24,

als erstes poste ich hier einen Auszug aus meinem Projektantrag:

Projektauslöser

Unser Unternehmen xxxxxxxxx hat den Zuschlag für den Aufbau eines Call-Centers von der Firma E-Sirius Call-Center GmbH bekommen. Die Planung und die Realisierung des Auftrags laufen im Rahmen des Projekts „Home Office Call-Center“. Es ist geplant, die Call-Center Agenten in Home Office Arbeitsplätze auszulagern. Zur zentralen Administration aller Arbeitsstationen wird ein Terminal Server eingesetzt. Dieser stellt die benötigten Daten und Anwendungen bereit, weiterhin ist der Server, via LAN, mit der Telekommunikationsanlage verbunden. Diese wird über den Server gesteuert und verteilt eingehende Anrufe über das ISDN Netz an die Telefone der Agenten.

 

Projektziel

Als Praktikant der Firma xxxxxxxxx wurde ich damit beauftragt, eine Testumgebung aufzu-bauen, welche ein VPN (Virtual Private Network) vom Firmennetz zu den Arbeitsstationen simuliert.

 

Meine Aufgabe

Die Arbeitsstationen bestehen aus Thin Clients mit Festplatte, diese ist notwendig damit nur die Differenzdaten vom Terminalserver bezogen werden müssen. Die Thin Clients bieten nur Schnittstellen für Tastatur, Maus, Display, Audio und LAN. Aus Datenschutzgründen wird die Unterstützung für USB Speichermedien deaktiviert. CD-ROMs und andere Laufwerke befinden sich nicht im System.

 

Per LAN ist die Arbeitsstation mit einem Cisco 1600 Router verbunden, dieser stellt über In-ternet eine VPN Verbindung zum Firmennetzwerk her.

 

Die VPN Gegenstelle im Firmennetzwerk besteht aus einem Cisco 2600 Router. Dieser ist mit dem Internet und über 100Base-T mit einer Firewall vernetzt. Ein LDAP Dienst im Router ist für die Authentifizierung zuständig.

 

Die Firewall besteht aus einem Server auf dem IP-Cop installiert ist. Es wird mit einer White-list gearbeitet, in der nur die Dienste Terminalemulation, Netzwerk Virenscanner, DHCP, DNS, Print, Microsoft Exchange, SQL, File und Intranet Webserver freigegeben sind.

 

Projektumfang:

- Konfiguration von 2 Cisco 1600 Router

- Konfiguration des Cisco 2600 Routers

- Installation und Konfiguration der IP-Cop Firewall

 

- Test der Verfügbarkeit aller benötigten Dienste

- Sicherheitstest durch simulierte Angriffe auf das System

 

Um die Funktionsfähigkeit der Terminalverbindung und des Authentifizierungsdienstes zu testen, werden der konfigurierte Terminalserver und die Arbeitsstationen über die Projekt-schnittstelle zu HOCC bereitgestellt. Das Internet wird über eine interne Wählverbindung einer ISDN Telefonanlage simuliert, ein Test auf das bei HOCC verwendete DSL kann nicht erfolgen.

 

Projektphasen mit Zeitplanung:

5h Projektplanung

18h Einrichten und Betriebnahme Testumgebung

5h Qualitätssicherung/Abnahmeprotokolle

7h Erstellen der Verfahrensanweisung

 

Geplante Dokumentation zur Projektarbeit:

 

Rahmenbedingungen

Verlaufsdokumentation

Qualitätssicherung

- Abnahmeprotokoll

Kundendokumentation

- Verfahrensanweisung

 

 

Eventuelle Fragen beantworte ich gerne

Was das "Zwiegespräch unter Fachleuten" betrifft, so arbeite ich daran auch bald mitreden zu können :-)

Gruß Florian

Sagen wirs mal so: Mit dem "Interface Tunnel X" kann man eine wunderschöne VPN-Konfig hinbauen, ist nur leider kaum bekannt. Man(n) braucht dafür dann keine "Interesting-Traffic-ACL" und keine Crypto-Map mehr, der Tunnel wird einfach durch eine Route getriggert. Sehr elegant und übersichtlich.

Das funktioniert aber nich bei mir oder Blacky_24?

Falls Nein werde ich Parallel versuchen dieses c1600-sy56i-l.113-11b.T5.bin zu bekommen und meinen Dozenten zu erreichen was meine weiteren Möglichkeiten angeht.

So wie ich das sehe gibt es zwei Möglichkeiten:

a: ich bekommen das IOS und versuche diese VPN (obwohl 56 bit) zu realisieren.

b: Ich bekomme das nicht und zähle in meiner Projektdokumentation einige Möglichkeiten auf wie ich es unter aktuellem IOS und Hardware machen hätte können und warum dies bei mir nicht geht. Desweiteren werde ich als Alternative die Verschlüsselung der rdp Vorschlagen.

Was haltet ihr davon?

Hoffentlich könnt ihr mich bei diesem oder dem anderen Weg ein wenig unterstützen, den ich habe akuten Mangel an Cisco Profis ;-)

Danke bisher Flogge

Danke Blacky für diese ausführlichen Worte,

kurz es handelt sich um ein reines Ausbildungsprojekt und wird niemals live gehen, daher ist die Sicherheitsgefahr zu vernachlässigen. Was nicht heissen soll das es nicht hand und Fuß haben soll denn darauf gibts einen Teil der Abschlußnote. Die alten Geräte waren in meinem Praktikumsbetrieb noch über daher der alte Mist :-). Bin aber dankbar zumindest die zu haben. Obwohl es nicht in der "echten Welt" betrieben wird, habe ich dennoch Zeitdruck da es schon "gestern" fertig sein sollte ;-)

Dazu ein paar Fragen:

1. Kann man ein nicht mehr ganz taufrisches IOS das noch gerade mit der Hardware läuft aufspielen. Wenn ja welche Version währe das?

2. Warum unterstützt der 1600er keine höhere Verschlüsselung, ist das Hardware oder Softwarebedingt?

Gruß Flogge

Dieser Befehl existiert nicht bei mir, liegt vermutlich an meinem alten IOS? Stimmts!

Sofern du dem zustimmst habe ich 2 Fragen:

1. Wie komme ich als normaler 0815 User an ein neueres IOS (vorzüglich das welches du genannt hast?)?

2. Wenn ich nicht daran komme, welche anderen Möglichkeiten habe ich die Verbindung zu verschlüsseln und durch einen Tunnel zu leiten (Das mit dem Tunnel währe schon gut wenn auch aus deiner sicht nicht notwendig, da ich im Projektantrag ein VPN erwähnt habe und das ist doch ein Tunnel oder?)