Jump to content

Last one: Verbindung zu ISDN Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Die Elendsgeschichte will keine Ende nehmen ;)

Folgendes: Ich will mich in meinem Cisco 1003 Einwählen und somit in mein lokales Netzwerk.

Hab nen Rechner (192.168.0.22) und nen Router (192.168.0.254).

Das Einwählen und Authentifizieren am Router hab ich geschafft. Auf dem Remote PC kann ich den Router mit seiner 192.168.0.254 Adresse anpingen und nen Telnet druff machen. Nur ich erreiche den PC nicht über ping..... würde dann an dem Remote PC gerne sowas machen wie "net use x: 192.168.0.22/NeuerOrdner"

Ich denke das ist bei mir nur ein Routingproblem oder was weiss ich ;-)

Hier ein bisserl Konfig:

Building configuration...

Current configuration : 2809 bytes
!
! Last configuration change at 11:14:19 mest Wed Jun 16 2004
! NVRAM config last updated at 11:14:20 mest Wed Jun 16 2004
!
version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxx
!
username xxx password xxx
!
!
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip access-group 102 out
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
ip access-group 103 in
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap pap callin
!
interface Dialer1
description Arcor Internet
ip address negotiated
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name ISP
dialer idle-timeout 90
dialer string 0192076
dialer-group 1
peer default ip address 192.168.0.10
no cdp enable
ppp authentication chap pap callin
ppp chap hostname arcor
ppp chap password xxx
ppp pap sent-username arcor password xxx
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any eq 135 any
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any eq 445 any
access-list 103 deny   tcp any eq telnet any
access-list 103 deny   tcp any eq finger any
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxx RO
!
line con 0
password xxx
login
line vty 0 4
password xxx
login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

 

Und noch was. Sind meine Accesslisten richtig ?

Die 101er soll der interesting traffic sein (damit wählt er sich ein)

Die 102er soll das sein, was durch mein LAN interface ETH 0 durch darf.

In der 103er sollen Sachen rein, die auf keinen Fall ins Bri interface dürfen.

 

Grüsse

Nightwalker_z

Link zu diesem Kommentar

Hi, ich versuch mich verständlich auszudrücken...

 

Erstelle am besten ein weiteres Dialer Interface (Dialer2). Und gib dem eine private Adresse mit einer Subetmask von 30 Bit (z. B. 192.168.100.1/30).

Verwende chap.

konfigurier auch "ppp chap callin"

username und password sind eh schon angelegt.

 

 

Am anderen Router (der sich einwählt) die IP 192.168.100.2/30 und am Dialer musst du dort den "dialer-string xxxxxx" und "ppp chap username xxxx" und "ppp chap password yyyy" konfigurieren.

 

Die Routen fehlen:

Angenommen das 2. Netz ist die 192.168.2.0/24:

ip route 192.168.0.0 255.255.255.0 dialer(von Router 2)

 

und am anderen Router (auf dem du dich einwählst):

ip route 192.168.2.0 255.255.255.0 dialer2

 

Die Default-Route kannst du so lassen.

 

Auf eiden Seiten noch ACL für Intresting Traffic setzen.

 

Soll auch broadcast darüer laufen : "ip directed-broadcast" an den Dialer Interfaces (hab ich nie versucht).

 

 

Zu deinen ACL´s:

Die ACL am Dialer Interface sollte so aussehen:

access-list xyz deny tcp any any eq 135

.....

Diese Würmer/Attacken gehen auf Destination Ports (445, 135).

 

Hoffe es hat dir geholfen.

 

Grüsse

Thomas

Link zu diesem Kommentar

Huuups .... danke wegen der ACL Korrektur. Das kommt davon wenn man sowas zu schnell macht (da vergisst man schon ein "any") :D

 

Ich wähle mich nicht über nen anderen Router ein, sondern über ne andere ISDN Karte. Die IP-Adresse, die die ISDN Karte zugewiesen bekommt, bestimmt der Router.

Wie muss ich in diesem Fall die Routen setzen ?

Hier der Code für den Dialer 2

 

interface Dialer2
description Dial-in
no ip address
encapsulation ppp
peer default ip address pool dialinpool
pulse-time 0
ppp authentication chap pap callout
!
ip local pool dialinpool 192.168.0.10 192.168.0.20

Link zu diesem Kommentar

Hi, hab da irgendwas falsch verstanden...

 

Weiss nicht genau wie das zu konfigurieren ist.

Auf alle Fälle würde ich dem einwählenden PC und dem Dialer Interface ein anderes Subnet geben, somit machst du Routing zw. den beiden Netzen.

 

Wenn du eingewählt bist und die Ethernet des Routers pingen kannst sollte der Rest auch gehen....

 

Grüsse

Link zu diesem Kommentar

Verwende am Dialer2 ein anderes Netz!! Der Router kennt sich sonst nicht rech aus. Wohin sollen die PAkete für 192.168.0.0/24 geroutet werden: Dialer oder Ethernet?!

also auf Dialer2

z.B. 192.168.111.0/24

 

dann sollte es klappen....

 

ansonsten:

 

soald du am Router eingewählt ist mach an deinem REmote PC :

 

- ipconfig

- tracert <IP eines PCs im LAN hinter Router>

 

Am Router:

sh ip route ---> sind die Routen für beide Netzt da?

 

Viel Glück

Link zu diesem Kommentar

Hallöchen,

erst mal vielen Dank für die Tipps....

Die idee mit dem anderen Netz hab ich auch heute morgen gehabt.

Dem Rechner, der sich einwählt bekommt ne 192.168.1.0/24 Adresse (siehe Konfig).

Dann ist mir noch die Idee gekommen, dass ich ans Bri interface ja auch noch den zweiten Dialer installieren könnte (dialer pool-member 2). Die Route ist mittlerweile auch da....

Jetzt hab ich ein anderes Problem - wenn ich mich versuche via DFÜ auf dem Router einzuwählen, bekomm ich folgende Message (am Windows PC):

TCP/IP CP gemeldeter Fehler 733: Das PPP-Steuerungsprotokoll für dieses Protokoll ist auf dem Server nicht verfügbar

 

Aha - Bahnhof ;-)

 

Hat jemand ne Lösung ?

 

Hier ist meine aktuelle Konfig

 

version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname NW_ISDN_01
!
enable password xxxxxxx
!
username xxxxxxx password xxxxxxx
!
!
clock timezone met 1
clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip access-group 102 out
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
ip access-group 103 in
no ip proxy-arp
encapsulation ppp
dialer pool-member 2
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 6526018
no cdp enable
!
interface Dialer1
description Arcor Internet
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer string 0192076
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname arcor
ppp chap password xxxxxxx
ppp pap sent-username arcor password xxxxxxx
!
interface Dialer2
description Dial-in
no ip address
encapsulation ppp
dialer pool 2
dialer called 6526018
no peer default ip address
ppp authentication pap chap callout
!
ip local pool dialinpool 192.168.1.10 192.168.1.20
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.1.0 255.255.255.0 Dialer2
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 5190
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq domain any
access-list 102 permit udp any eq domain any
access-list 102 remark SSH Viewer
access-list 102 permit tcp any eq 22 any
access-list 102 remark Miranda IM
access-list 102 permit tcp any eq 5190 any
access-list 102 remark VNC Viewer
access-list 102 permit tcp any eq 5900 any
access-list 102 remark HTTPs
access-list 102 permit tcp any eq 443 any
access-list 102 permit icmp any any
access-list 103 remark RPC - Blaster protection
access-list 103 deny   tcp any any eq 135
access-list 103 remark LSASS - Sasser protection
access-list 103 deny   tcp any any eq 445
access-list 103 deny   tcp any any eq finger
dialer-list 1 protocol ip list 101
no cdp run
snmp-server community xxxxxxx RO
!
line con 0
password  xxxxxxx
login
line vty 0 4
password xxxxxxx
login
!
sntp server 194.97.4.214
sntp server 192.53.103.103
end

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...