Jump to content
Sign in to follow this  
Nightwalker_z

Last one: Verbindung zu ISDN Router

Recommended Posts

Die Elendsgeschichte will keine Ende nehmen ;)

Folgendes: Ich will mich in meinem Cisco 1003 Einwählen und somit in mein lokales Netzwerk.

Hab nen Rechner (192.168.0.22) und nen Router (192.168.0.254).

Das Einwählen und Authentifizieren am Router hab ich geschafft. Auf dem Remote PC kann ich den Router mit seiner 192.168.0.254 Adresse anpingen und nen Telnet druff machen. Nur ich erreiche den PC nicht über ping..... würde dann an dem Remote PC gerne sowas machen wie "net use x: 192.168.0.22/NeuerOrdner"

Ich denke das ist bei mir nur ein Routingproblem oder was weiss ich ;-)

Hier ein bisserl Konfig:

Building configuration...

Current configuration : 2809 bytes
!
! Last configuration change at 11:14:19 mest Wed Jun 16 2004
! NVRAM config last updated at 11:14:20 mest Wed Jun 16 2004
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxx
!
username xxx password xxx
!
!
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip access-group 102 out
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
ip access-group 103 in
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap pap callin
!
interface Dialer1
description Arcor Internet
ip address negotiated
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name ISP
dialer idle-timeout 90
dialer string 0192076
dialer-group 1
peer default ip address 192.168.0.10
no cdp enable
ppp authentication chap pap callin
ppp chap hostname arcor
ppp chap password xxx
ppp pap sent-username arcor password xxx
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any eq 135 any
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any eq 445 any
access-list 103 deny   tcp any eq telnet any
access-list 103 deny   tcp any eq finger any
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxx RO
!
line con 0
password xxx
login
line vty 0 4
password xxx
login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

 

Und noch was. Sind meine Accesslisten richtig ?

Die 101er soll der interesting traffic sein (damit wählt er sich ein)

Die 102er soll das sein, was durch mein LAN interface ETH 0 durch darf.

In der 103er sollen Sachen rein, die auf keinen Fall ins Bri interface dürfen.

 

Grüsse

Nightwalker_z

Share this post


Link to post

Hi, ich versuch mich verständlich auszudrücken...

 

Erstelle am besten ein weiteres Dialer Interface (Dialer2). Und gib dem eine private Adresse mit einer Subetmask von 30 Bit (z. B. 192.168.100.1/30).

Verwende chap.

konfigurier auch "ppp chap callin"

username und password sind eh schon angelegt.

 

 

Am anderen Router (der sich einwählt) die IP 192.168.100.2/30 und am Dialer musst du dort den "dialer-string xxxxxx" und "ppp chap username xxxx" und "ppp chap password yyyy" konfigurieren.

 

Die Routen fehlen:

Angenommen das 2. Netz ist die 192.168.2.0/24:

ip route 192.168.0.0 255.255.255.0 dialer(von Router 2)

 

und am anderen Router (auf dem du dich einwählst):

ip route 192.168.2.0 255.255.255.0 dialer2

 

Die Default-Route kannst du so lassen.

 

Auf eiden Seiten noch ACL für Intresting Traffic setzen.

 

Soll auch broadcast darüer laufen : "ip directed-broadcast" an den Dialer Interfaces (hab ich nie versucht).

 

 

Zu deinen ACL´s:

Die ACL am Dialer Interface sollte so aussehen:

access-list xyz deny tcp any any eq 135

.....

Diese Würmer/Attacken gehen auf Destination Ports (445, 135).

 

Hoffe es hat dir geholfen.

 

Grüsse

Thomas

Share this post


Link to post

Huuups .... danke wegen der ACL Korrektur. Das kommt davon wenn man sowas zu schnell macht (da vergisst man schon ein "any") :D

 

Ich wähle mich nicht über nen anderen Router ein, sondern über ne andere ISDN Karte. Die IP-Adresse, die die ISDN Karte zugewiesen bekommt, bestimmt der Router.

Wie muss ich in diesem Fall die Routen setzen ?

Hier der Code für den Dialer 2

 

interface Dialer2
description Dial-in
no ip address
encapsulation ppp
peer default ip address pool dialinpool
pulse-time 0
ppp authentication chap pap callout
!
ip local pool dialinpool 192.168.0.10 192.168.0.20

Share this post


Link to post

Hi, hab da irgendwas falsch verstanden...

 

Weiss nicht genau wie das zu konfigurieren ist.

Auf alle Fälle würde ich dem einwählenden PC und dem Dialer Interface ein anderes Subnet geben, somit machst du Routing zw. den beiden Netzen.

 

Wenn du eingewählt bist und die Ethernet des Routers pingen kannst sollte der Rest auch gehen....

 

Grüsse

Share this post


Link to post

Das Pingen des Routers geht bereits.... ich komm von Remote sogar auf ihn via Telnet. Vom Router aus kann ich auch mein lokales LAN anpingen....

Nur direkt von der Kommandozeile des Remoterechners bekomm ich keine Connection zu meinem LAN.

Deshalb ist es - denke ich zumindest ein Routingproblem

Share this post


Link to post

Verwende am Dialer2 ein anderes Netz!! Der Router kennt sich sonst nicht rech aus. Wohin sollen die PAkete für 192.168.0.0/24 geroutet werden: Dialer oder Ethernet?!

also auf Dialer2

z.B. 192.168.111.0/24

 

dann sollte es klappen....

 

ansonsten:

 

soald du am Router eingewählt ist mach an deinem REmote PC :

 

- ipconfig

- tracert <IP eines PCs im LAN hinter Router>

 

Am Router:

sh ip route ---> sind die Routen für beide Netzt da?

 

Viel Glück

Share this post


Link to post

Hallöchen,

erst mal vielen Dank für die Tipps....

Die idee mit dem anderen Netz hab ich auch heute morgen gehabt.

Dem Rechner, der sich einwählt bekommt ne 192.168.1.0/24 Adresse (siehe Konfig).

Dann ist mir noch die Idee gekommen, dass ich ans Bri interface ja auch noch den zweiten Dialer installieren könnte (dialer pool-member 2). Die Route ist mittlerweile auch da....

Jetzt hab ich ein anderes Problem - wenn ich mich versuche via DFÜ auf dem Router einzuwählen, bekomm ich folgende Message (am Windows PC):

TCP/IP CP gemeldeter Fehler 733: Das PPP-Steuerungsprotokoll für dieses Protokoll ist auf dem Server nicht verfügbar

 

Aha - Bahnhof ;-)

 

Hat jemand ne Lösung ?

 

Hier ist meine aktuelle Konfig

 

version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxxxxxx
!
username xxxxxxx password xxxxxxx
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip access-group 102 out
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
ip access-group 103 in
no ip proxy-arp
encapsulation ppp
dialer pool-member 2
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 6526018
no cdp enable
!
interface Dialer1
description Arcor Internet
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer string 0192076
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname arcor
ppp chap password xxxxxxx
ppp pap sent-username arcor password xxxxxxx
!
interface Dialer2
description Dial-in
no ip address
encapsulation ppp
dialer pool 2
dialer called 6526018
no peer default ip address
ppp authentication pap chap callout
!
ip local pool dialinpool 192.168.1.10 192.168.1.20
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.1.0 255.255.255.0 Dialer2
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any any eq 135
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any any eq 445
access-list 103 deny   tcp any any eq finger
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxxxxxx RO
!
line con 0
password  xxxxxxx
login
line vty 0 4
password xxxxxxx
login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

Share this post


Link to post

Entferne am bri0 den <dialer pool-member 2>.

 

Dialer2 gibst du in den Dialer pool 1.

 

Am Dialer2:

sollte es nicht ppp authentication pap chap callin sein...?

 

 

mach am Router ein

deb ppp negotiation

deb ppp authentication

 

wenn kein Output kommt:

debug isdn q921

debug isdn q931

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...