maccros

Die beiden TXT-Dateien findest Du im Anhang. Waren leider zu viele Zeichen für hier direkt ins Forum :D komplette_config.txt linuxrouterlogs.txt

Den Username gibts, die Einwahl funktioniert auch solange der pool-member 3 (Internet) deaktiviert ist. Wie wird den Entschieden welcher dialer für die Einwahl ins Netz zuständig ist, und welcher den einkommenden Anruf entgegennehmen soll? Ich vermute dass irgendwie der falsche dialer den Anruf entgegennimmt...

Die Einwahl ins Internet funkioniert einwandfrei. Solange aber beide dialer pool-members im BRI0 eingetragen sind funktioniert die Einwahl von extern (Fernwartung) auf den Router nicht, und der Router antwortet mit "no such user". interface BRI0 dialer pool-member 2 dialer pool-member 3 Wenn dann aber der Internetzugang aus dem BRI0 gelöscht wird funktioniert die Einwahl einwandfrei. interface BRI0 no dialer pool-member 3 Dies funktioniert auch während mit dem einen Kanal die Verbindung zu Internet hergestellt ist. Muss ich noch irgendwo bestimmen welcher Dialer für ein- oder ausgehende Verbindungen zuständig ist?

Hallo zusammen! Ich möchte mit meinem Cisco 876 gleichzeitig das Internet und die Fernwartung am laufen haben. Jedoch kriege ich nur eins von beidem hin. Hier der betreffende Auszug aus meiner Config: ip name-server 193.192.227.3 ip name-server 195.141.56.5 ip name-server 194.158.230.53 ip name-server 194.230.1.5 isdn switch-type basic-net3 interface BRI0 no ip address no ip redirects no ip unreachables no ip proxy-arp encapsulation ppp ip route-cache flow dialer pool-member 2 dialer pool-member 3 isdn switch-type basic-net3 isdn point-to-point-setup isdn answer1 7775251 isdn send-alerting interface Dialer1 description ISDN - Dialin (Fernwartung) ip address 192.168.240.250 255.255.255.0 no ip proxy-arp ip inspect inspectDefault in encapsulation ppp no ip split-horizon dialer pool 2 dialer idle-timeout 900 dialer-group 2 peer default ip address pool myPPPPool no cdp enable ppp authentication pap chap callin ppp multilink interface Dialer2 description ISDN - Dialout(Internet) ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 3 dialer string 0840555555 dialer-group 3 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxx ppp chap password 7 110F0B0012011E1E02 ppp pap sent-username xxxxx password 7 xxxxx ppp multilink ip local pool myPPPPool 192.168.240.249 ip route 0.0.0.0 0.0.0.0 Dialer2 permanent ip route 10.0.0.0 255.0.0.0 Dialer1 permanent dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 3 protocol ip permit Hat jemand eine Idee wie ich beides gleichzeitig benutzen kann?

Ist ein CISCO876-SEC-K9 "Cisco 876 Security Bundle with Plus Feature Set"

Hallo auch Ich sollte über ISDN bei Bedarf beim ISP Einwählen können. Hat jemand eine Idee warum das nicht funktioniert? Das Teil hat mich den ganzen morgen gekostet... merci maccros ======================================================= ! isdn switch-type basic-net3 ! ! ip name-server 193.192.227.3 ! ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn point-to-point-setup isdn calling-number 0627775251 ! ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 10.10.10.1 255.255.255.248 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ! interface Dialer0 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer string 0840555555 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname Sunrise ppp chap password 0 freesurf ppp pap sent-username Sunrise password 0 freesurf ! ip route 0.0.0.0 0.0.0.0 Dialer0 ! ! ip nat inside source list 1 interface Dialer0 overload ! access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.10.10.0 0.0.0.7 dialer-list 1 protocol ip permit =======================================================

Anbei meine Konfigvorlage die ich immer verwende. Die Einwahl funktioniert von allen Interfaces aus, vorausgesetzt die Firewall lästs zu... maccros ----------------------------------------------------------------------------------------------- ! aaa new-model ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common ! vpdn enable ! vpdn-group 1 accept-dialin protocol pptp virtual-template 1 ! username pptpuser password 0 geheim ! interface Virtual-Template1 ip address 192.168.250.251 255.255.255.0 peer default ip address pool myPPTPPool no keepalive ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ! ip local pool myPPTPPool 192.168.250.1 192.168.250.250 ! -----------------------------------------------------------------------------------------------

hallo auch! Hat jemand schon ipSec SiteToSite mit beidseitig demselben Subnet bewerkstelligt? Kann das mit einem 870er realisiert werden? greetz Reto

hi Otaku19 Anbei die relevanten Configteile. Eigentlich möchte ich mit der "myInspectDefault" den GRE Verkehr auch inspizieren können. Alternativ wäre auch das Inspizieren des ganzen Verkehrs interessant... ======================================================== ip inspect name myInspectDefault icmp ip inspect name myInspectDefault tcp ip inspect name myInspectDefault udp ip inspect name myInspectDefault ftp interface FastEthernet0/0 description WAN - Internet ip access-group 100 in interface FastEthernet0/1 description LAN ip access-group 101 in ip inspect myInspectDefault in access-list 100 permit gre any any access-list 100 permit udp any eq bootps any eq bootpc access-list 100 permit udp host 91.138.126.128 eq domain any access-list 100 permit udp host 91.138.1.128 eq domain any access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 172.16.0.0 0.15.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip any any log access-list 101 permit ip any 192.168.0.0 0.0.0.255 access-list 101 deny ip any 10.0.0.0 0.255.255.255 access-list 101 deny ip any 172.16.0.0 0.15.255.255 access-list 101 deny ip any 192.0.0.0 0.0.255.255 access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip host 0.0.0.0 any access-list 101 deny ip host 255.255.255.255 any access-list 101 permit ip any any ======================================================== merci maccros

Ich stell vieleicht die Frage nochmal... Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden? Es geht darum das der PPTP-Tunel auf dem PC hinter der Firewall terminiert wird, und aber die Firewall das Antowrt-GRE-Paket dropt weil die InspectRule das ausgehene Paket nicht Inspiziert, und daduch nicht in die ConnectionTracking-Tabelle einträgt. ...oder, Frage anders gestellt: Giebt es einen Eintrag um jeden möglichen Verkehr zu Inspizieren?

Die Problematik im Detail sieht volgendermassen aus. Der Router wird als Internet-Gateway mit zustandsorientierter Firewall eingesetz. Wan Fe0/0 (Cable-Internet) AccessRule - Inbound -> Alles geblockt bis auf ein paar Nebensächlichkeiten Lan Fe0/1 AccessRule - Inbound -> Alles durchgelassen bis auf ein paar Nebensächlichkeiten InspectRule - Inbound -> TCP, UDP, ICMP, FTP (also eigentlich alles durch) Mit einem PC aus dem Lan ins Internet, funzt alles prächtig. Versuche ich aber einen PPTP-Tunnel von einem PC aus (Server im Wan) zu öffnen funktioniert das nicht, im Log finde ich den Eintrag: information: Jan blabla list 100 denied gre xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx, 1 packet ...wenn ich dann in der Inbound - AccessRule vom Fe0/0 gre passieren lasse funktioniert alles bestens... access-list 100 permit gre any any Da die ganze Firewall aber zustandsorientiert aufgebaut ist stört mich diese Regel in der Access-List. Bestünde aber die Möglichkeit gre-Pakete zu inspizieren (zb. auf Grund der Protokollnumer) kann ich den Eintrag entfernen und das connection tracking übernimmt diese Aufgabe.

hallo auch! Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden? Merci maccros

Ops, vermutlich haben wir jetzt aneinander vorbeigetextet! Der Router in der Aussenstelle baut die Verbindung zur Zentrale auf. Die Zentrale hat die fixe IP. Es funktioniert auch alles soweit, auch mit keepAlive. Das Problem liegt nur darin dass die Aussenstelle nicht ohne weiteres zutun (Paket mit Zieladresse der Zentrale) den Tunnel zur Zentrale aufbaut.

Der Router in der Aussenstelle hat eine dynamische Ip und baut die Verbindung zur Zentrale mit fixer IP auf. In der Aussenstelle steht ein TerminalServer auf welchen von der Zentrale aus zugegriffen werden soll. Dadurch ist die Richtung des Tunnelaufbaus und die Verwendungsrichtung des Tunnels gegenläuftig, was erfordert das sich der Tunnel ohne anstossende Pakete von der Aussenstelle sich selbst inizieren muss. Zur Zeit wird vom Terminalserver periodisch der Router in der Zentrale angepingt, was aber keine Lösung von dauer sein kann...

Hallo Leute Schlage mich immer noch mit demselben Problem herum... Wenn der Tunnel steht kann er mit keepAlive am Leben erhalten werden, funktioniert bestens! Wird er aber aus einem Grund unterbrochen (Neustart Router, IP-Wechsel, ...) so kommt der Tunnel nicht mehr hoch. Weiss jemand wie ein Tunnelaufbau erzwungen werden kann?

Besten Dank, der Tunnel hält! Nach einem Neustart der Aussenstelle wird der Tunnel jedoch nicht automatisch aufgebaut. Kann dieser Aufbau erzwungen werden?

Hallo! In einer Anwendung sollen zwei Standorte mittels VPN über ADSL vernetzt werden. Dazu sind zwei Cisco1841 im Einsatz. Der Router auf der Aussenstelle (dyn Ip) baut die Verbindung zur Zentrale (fixe Ip) auf. Nun zum Problem, der Tunnel wird durch die Aussenstelle erst aufgebaut, wenn Pakete für das Netz der Zentrale unterwegs sind, und nach einem Timeout wir der Tunnel wieder geschlossen. Umgekert müsste ich aber auch jederzeit von der Zentrale auf die Aussenstelle zugreiffen können. Wie muss die Ausstenstelle konfiguriert werden, dass nach dem Hochfahren des Routers der Tunnel unmittelbar aufgebaut und offen gehalten wird? VPN Aussenstelle ========================================================= crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxxx address 212.xxx.xxx.xxx ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map SDM_CMAP_1 1 ipsec-isakmp set peer 212.xxx.xxx.xxx set transform-set ESP-3DES-SHA match address 102 ! interface Dialer0 crypto map SDM_CMAP_1 ! access-list 102 permit ip 10.128.0.0 0.0.0.255 192.168.11.0 0.0.0.255 ========================================================= thx