maccros

Die beiden TXT-Dateien findest Du im Anhang. Waren leider zu viele Zeichen für hier direkt ins Forum :D

komplette_config.txt

linuxrouterlogs.txt

Den Username gibts, die Einwahl funktioniert auch solange der pool-member 3 (Internet) deaktiviert ist. Wie wird den Entschieden welcher dialer für die Einwahl ins Netz zuständig ist, und welcher den einkommenden Anruf entgegennehmen soll?

Ich vermute dass irgendwie der falsche dialer den Anruf entgegennimmt...

Die Einwahl ins Internet funkioniert einwandfrei. Solange aber beide dialer pool-members im BRI0 eingetragen sind funktioniert die Einwahl von extern (Fernwartung) auf den Router nicht, und der Router antwortet mit "no such user".

interface BRI0
dialer pool-member 2
dialer pool-member 3

Wenn dann aber der Internetzugang aus dem BRI0 gelöscht wird funktioniert die Einwahl einwandfrei.

interface BRI0
no dialer pool-member 3

Dies funktioniert auch während mit dem einen Kanal die Verbindung zu Internet hergestellt ist.

Muss ich noch irgendwo bestimmen welcher Dialer für ein- oder ausgehende Verbindungen zuständig ist?

Hallo zusammen!

Ich möchte mit meinem Cisco 876 gleichzeitig das Internet und die Fernwartung am laufen haben. Jedoch kriege ich nur eins von beidem hin.

Hier der betreffende Auszug aus meiner Config:

ip name-server 193.192.227.3
ip name-server 195.141.56.5
ip name-server 194.158.230.53
ip name-server 194.230.1.5

isdn switch-type basic-net3

interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation ppp
ip route-cache flow
dialer pool-member 2
dialer pool-member 3
isdn switch-type basic-net3
isdn point-to-point-setup
isdn answer1 7775251
isdn send-alerting

interface Dialer1
description ISDN - Dialin (Fernwartung)
ip address 192.168.240.250 255.255.255.0
no ip proxy-arp
ip inspect inspectDefault in
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer idle-timeout 900
dialer-group 2
peer default ip address pool myPPPPool
no cdp enable
ppp authentication pap chap callin
ppp multilink

interface Dialer2
description ISDN - Dialout(Internet)
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 3
dialer string 0840555555
dialer-group 3
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxx
ppp chap password 7 110F0B0012011E1E02
ppp pap sent-username xxxxx password 7 xxxxx
ppp multilink

ip local pool myPPPPool 192.168.240.249
ip route 0.0.0.0 0.0.0.0 Dialer2 permanent
ip route 10.0.0.0 255.0.0.0 Dialer1 permanent

dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
dialer-list 3 protocol ip permit

Hat jemand eine Idee wie ich beides gleichzeitig benutzen kann?

Ist ein CISCO876-SEC-K9 "Cisco 876 Security Bundle with Plus Feature Set"

Hallo auch

Ich sollte über ISDN bei Bedarf beim ISP Einwählen können. Hat jemand eine Idee warum das nicht funktioniert? Das Teil hat mich den ganzen morgen gekostet...

merci

maccros

=======================================================

!

isdn switch-type basic-net3

!

!

ip name-server 193.192.227.3

!

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

isdn point-to-point-setup

isdn calling-number 0627775251

!

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

ip address 10.10.10.1 255.255.255.248

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1452

!

!

interface Dialer0

ip address negotiated

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer string 0840555555

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname Sunrise

ppp chap password 0 freesurf

ppp pap sent-username Sunrise password 0 freesurf

!

ip route 0.0.0.0 0.0.0.0 Dialer0

!

!

ip nat inside source list 1 interface Dialer0 overload

!

access-list 1 remark INSIDE_IF=Vlan1

access-list 1 remark SDM_ACL Category=2

access-list 1 permit 10.10.10.0 0.0.0.7

dialer-list 1 protocol ip permit

=======================================================

Anbei meine Konfigvorlage die ich immer verwende. Die Einwahl funktioniert von allen Interfaces aus, vorausgesetzt die Firewall lästs zu...

maccros

-----------------------------------------------------------------------------------------------

!

aaa new-model

!

aaa authentication login default local

aaa authorization exec default local

!

aaa session-id common

!

vpdn enable

!

vpdn-group 1

accept-dialin

protocol pptp

virtual-template 1

!

username pptpuser password 0 geheim

!

interface Virtual-Template1

ip address 192.168.250.251 255.255.255.0

peer default ip address pool myPPTPPool

no keepalive

ppp encrypt mppe auto required

ppp authentication ms-chap ms-chap-v2

!

ip local pool myPPTPPool 192.168.250.1 192.168.250.250

!

-----------------------------------------------------------------------------------------------

hallo auch!

Hat jemand schon ipSec SiteToSite mit beidseitig demselben Subnet bewerkstelligt? Kann das mit einem 870er realisiert werden?

greetz

Reto

hi Otaku19

Anbei die relevanten Configteile. Eigentlich möchte ich mit der "myInspectDefault" den GRE Verkehr auch inspizieren können. Alternativ wäre auch das Inspizieren des ganzen Verkehrs interessant...

========================================================

ip inspect name myInspectDefault icmp

ip inspect name myInspectDefault tcp

ip inspect name myInspectDefault udp

ip inspect name myInspectDefault ftp

interface FastEthernet0/0

description WAN - Internet

ip access-group 100 in

interface FastEthernet0/1

description LAN

ip access-group 101 in

ip inspect myInspectDefault in

access-list 100 permit gre any any

access-list 100 permit udp any eq bootps any eq bootpc

access-list 100 permit udp host 91.138.126.128 eq domain any

access-list 100 permit udp host 91.138.1.128 eq domain any

access-list 100 permit icmp any any echo-reply

access-list 100 permit icmp any any time-exceeded

access-list 100 permit icmp any any unreachable

access-list 100 deny ip 10.0.0.0 0.255.255.255 any

access-list 100 deny ip 172.16.0.0 0.15.255.255 any

access-list 100 deny ip 192.168.0.0 0.0.255.255 any

access-list 100 deny ip 127.0.0.0 0.255.255.255 any

access-list 100 deny ip host 0.0.0.0 any

access-list 100 deny ip host 255.255.255.255 any

access-list 100 deny ip any any log

access-list 101 permit ip any 192.168.0.0 0.0.0.255

access-list 101 deny ip any 10.0.0.0 0.255.255.255

access-list 101 deny ip any 172.16.0.0 0.15.255.255

access-list 101 deny ip any 192.0.0.0 0.0.255.255

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 permit ip host 0.0.0.0 any

access-list 101 deny ip host 255.255.255.255 any

access-list 101 permit ip any any

========================================================

merci

maccros

Ich stell vieleicht die Frage nochmal... Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden?

Es geht darum das der PPTP-Tunel auf dem PC hinter der Firewall terminiert wird, und aber die Firewall das Antowrt-GRE-Paket dropt weil die InspectRule das ausgehene Paket nicht Inspiziert, und daduch nicht in die ConnectionTracking-Tabelle einträgt.

...oder, Frage anders gestellt: Giebt es einen Eintrag um jeden möglichen Verkehr zu Inspizieren?

Die Problematik im Detail sieht volgendermassen aus. Der Router wird als Internet-Gateway mit zustandsorientierter Firewall eingesetz.

Wan Fe0/0 (Cable-Internet)

AccessRule - Inbound -> Alles geblockt bis auf ein paar Nebensächlichkeiten

Lan Fe0/1

AccessRule - Inbound -> Alles durchgelassen bis auf ein paar Nebensächlichkeiten

InspectRule - Inbound -> TCP, UDP, ICMP, FTP (also eigentlich alles durch)

Mit einem PC aus dem Lan ins Internet, funzt alles prächtig. Versuche ich aber einen PPTP-Tunnel von einem PC aus (Server im Wan) zu öffnen funktioniert das nicht, im Log finde ich den Eintrag:

information: Jan blabla list 100 denied gre xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx, 1 packet

...wenn ich dann in der Inbound - AccessRule vom Fe0/0 gre passieren lasse funktioniert alles bestens...

access-list 100 permit gre any any

Da die ganze Firewall aber zustandsorientiert aufgebaut ist stört mich diese Regel in der Access-List. Bestünde aber die Möglichkeit gre-Pakete zu inspizieren (zb. auf Grund der Protokollnumer) kann ich den Eintrag entfernen und das connection tracking übernimmt diese Aufgabe.

hallo auch!

Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden?

Merci

maccros

Ops, vermutlich haben wir jetzt aneinander vorbeigetextet! Der Router in der Aussenstelle baut die Verbindung zur Zentrale auf. Die Zentrale hat die fixe IP. Es funktioniert auch alles soweit, auch mit keepAlive. Das Problem liegt nur darin dass die Aussenstelle nicht ohne weiteres zutun (Paket mit Zieladresse der Zentrale) den Tunnel zur Zentrale aufbaut.

Der Router in der Aussenstelle hat eine dynamische Ip und baut die Verbindung zur Zentrale mit fixer IP auf. In der Aussenstelle steht ein TerminalServer auf welchen von der Zentrale aus zugegriffen werden soll.

Dadurch ist die Richtung des Tunnelaufbaus und die Verwendungsrichtung des Tunnels gegenläuftig, was erfordert das sich der Tunnel ohne anstossende Pakete von der Aussenstelle sich selbst inizieren muss. Zur Zeit wird vom Terminalserver periodisch der Router in der Zentrale angepingt, was aber keine Lösung von dauer sein kann...

Hallo Leute

Schlage mich immer noch mit demselben Problem herum... Wenn der Tunnel steht kann er mit keepAlive am Leben erhalten werden, funktioniert bestens! Wird er aber aus einem Grund unterbrochen (Neustart Router, IP-Wechsel, ...) so kommt der Tunnel nicht mehr hoch. Weiss jemand wie ein Tunnelaufbau erzwungen werden kann?

Besten Dank, der Tunnel hält!

Nach einem Neustart der Aussenstelle wird der Tunnel jedoch nicht automatisch aufgebaut. Kann dieser Aufbau erzwungen werden?

Hallo!

In einer Anwendung sollen zwei Standorte mittels VPN über ADSL vernetzt werden. Dazu sind zwei Cisco1841 im Einsatz. Der Router auf der Aussenstelle (dyn Ip) baut die Verbindung zur Zentrale (fixe Ip) auf.

Nun zum Problem, der Tunnel wird durch die Aussenstelle erst aufgebaut, wenn Pakete für das Netz der Zentrale unterwegs sind, und nach einem Timeout wir der Tunnel wieder geschlossen. Umgekert müsste ich aber auch jederzeit von der Zentrale auf die Aussenstelle zugreiffen können. Wie muss die Ausstenstelle konfiguriert werden, dass nach dem Hochfahren des Routers der Tunnel unmittelbar aufgebaut und offen gehalten wird?

VPN Aussenstelle

=========================================================

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key xxxxxxxxx address 212.xxx.xxx.xxx

!

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

!

crypto map SDM_CMAP_1 1 ipsec-isakmp

set peer 212.xxx.xxx.xxx

set transform-set ESP-3DES-SHA

match address 102

!

interface Dialer0

crypto map SDM_CMAP_1

!

access-list 102 permit ip 10.128.0.0 0.0.0.255 192.168.11.0 0.0.0.255

=========================================================

thx