Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Stadt-Tiger

Routen klappt nur ein wenig

Empfohlene Beiträge

Hallo,

 

mein Router hatte heute den Funktionstest. Einwahl von außerhalb über ISDN auf den Router. Router -> Callback. Verbindung steht. Jetzt geht es aber nicht weiter ins Netzwerk. Die Verbindung steht wie gesagt, aber ich kann die Server von außerhalb nicht anpingen.

Was wird das Problem sein?

Da ich davon ausgehe, es liegt an meinen routen, setze ich nicht die gesamte Konfiguration rein, sondern nur einen Abschnitt. Wenn ihr die gesamte braucht, sagt bescheid. :)

 

ip http server

ip http access-class 1

ip http authentication local

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

ip route 192.168.1.0 255.255.255.0 Dialer1

ip route 192.168.2.0 255.255.254.0 FastEthernet0/0

!

!

access-list 1 permit 192.168.1.12

access-list 1 permit 192.168.3.13

access-list 1 deny any

dialer-list 1 protocol ip list 1

 

192.168.1.0 sind die Rechner außerhalb.

192.168.2.0 sind die Server im LAN.

192.168.3.0 sind die Rechner im LAN.

 

IP-Adressen habe ich zum Verständnis so geändert.

 

Das größte Problem ist jetzt leider die Zeit. Nächste Woche Mittwoch wäre quasi Stichtag. Einwahl mit Zugriff aufs Netzwerk soll da funktionieren. :/

 

Weiß jemand Rat?

 

Liebe Grüße

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hallo

 

tja schaut so aus als ob sich deine access-listen nur auf ip beziehen.

für einen ping benötigst du aber ICMP.

probier mal folgendes

 

access-list 101 permit icmp any any echo

dialer list 1 protocol ip list 101

 

lg

rossi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Stadt-Tiger -

 

eigentlich bin ich anderer Meinung als Hr Rossi: die Standard Access-Listen dürften auch das ICMP Protokoll mit einbeziehen. ACL technisch wird ICMP fast wie ein Layer4 Protokoll behandelt, deshalb kann man es auch in den Extended ACLs gesondert definieren.

 

Deiner Beschreibung nach wirst du vermutlich die Verbindung mit PPP/CHAP aufbauen nehme ich an. Jetzt hört es sich ganz so an, als hätte PPP gewählt, authetifiziert, dann den Callback ausgelöst und per LCP die Verbindung aufgebaut. Der PPP Sublayer IPCP wäre jetzt eigentlich dran die IP Parameter zu übergeben ... IP Addresse (optional: Gateway DNS WINS)

 

Also entweder etwas mehr Config posten oder mal auf das IPCP aus dem PPP konzentrieren bei der Fehlersuche.

 

noch etwas: wofür ist denn die ACL 1 gedacht? den Dialer zu triggern oder den http-Zugriff abzusichern. Warum steht keine Wildcard-Mask dabei - sollen nur zwei einzelne Hosts den Dialer aktivieren?

 

Gruss

Robert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Stadt Tiger,

 

um zu testen solltest du vielleicht wirklich erstmal die dialer list 1 (access-list 1 permit any) aufbohren aund komplett ip erlauben, schau erstmal, ob die verbindung dann funktioniert, danach kannst du ja den traffic einschränken und debuggen mit debug dialer packets und dialer events)

 

Gruss

 

Rob

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielleicht hast du mit der access-list 1 aber einfach nur den traffic für http Zugriff auf die router einschränken wollen und nicht den Traffic, der fürs dialing zuständig ist?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo und guten Morgen,

 

entschuldigt, ich hatte gestern ein Internetproblem. Aber da bin ich wieder.

Was ich bereits ausprobiert habe, ist alles zuzulassen. Bei meinem ersten Versuch, bevor ich überhaupt irgendeine Access-List hatte, ging es. Jetzt nicht mehr.

Meine Access-List 1 ist eigentlich nur für den HTTP-Zugriff. Sollte jedenfalls so sein.

Das mit ICMP werde ich gleich mal eintragen.

 

Am Besten setze ich doch noch mal meine gesamte Konfiguration hier rein. Vielleicht ist auch irgendwo anders ein Fehler versteckt.

 

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 16000 debugging
enable password 7 xxx
!
username xxx privilege 15 password 7 xxx
username xxx privilege 0 password 7 xxx
username xxx privilege 0 password 7 xxx
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
aaa authentication ppp default local
aaa authorization network default if-authenticated
aaa session-id common
ip subnet-zero
ip cef
!
no ip domain lookup
!
ip audit po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
interface FastEthernet0/0
description Verbindung zum LAN
ip address 192.168.2.2 255.255.254.0
duplex auto
speed auto
!
interface BRI1/0
description Verbindung Dialer 1
no ip address
encapsulation ppp
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
!
interface BRI1/1
description Verbindung Dialer 1
no ip address
encapsulation ppp
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
!
interface BRI1/2
description Verbindung Dialer 1
no ip address
encapsulation ppp
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
!
interface BRI1/3
description noch keine Verbindung
no ip address
shutdown
isdn switch-type basic-net3
!
interface Dialer1
description Verbindung von Außen
ip address 192.168.1.2 255.255.255.0
encapsulation ppp
no ip split-horizon
dialer in-band
dialer caller 0123 callback
dialer caller 0234 callback
dialer map ip 192.168.1.11 name xxx 0123
dialer map ip 192.168.1.12 name xxx 0234
dialer-group 1
ppp authentication chap
!
ip http server
ip http access-class 1
ip http authentication local
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
ip route 192.168.1.0 255.255.255.0 Dialer1 permanent
ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent
!
!
access-list 1 permit 192.168.1.12
access-list 1 permit 192.168.3.13
access-list 1 deny   any
access-list 1 permit any
dialer-list 1 protocol ip list 1
!
line con 0
line aux 0
line vty 0 4
!
!
end

 

Das ist noch meine momentane Router-Konfiguration ohne die Änderungen, die ihr vorgeschlagen habt.

 

Liebe Grüße :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hallo stadt tiger,

 

die änderung in der acl ist wirkungslos, bitte erst nochmal die acl 1 löschen, dann nochmal neu erzeugen mit permit any, dann nochmal testen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hi

 

schau dir mal den link an

 

http://www.mcseboard.de/showthread.php?t=39316&highlight=ddr+callback

 

bzw

den hier

 

http://www.mcseboard.de/search.php?searchid=221815

 

lese dies genau durch !

 

Bei dir schuats so aus wie wenn das routing nicht passt beziehungsweise wo hast du eingetragen auf welche isdn nummer dein router antwortet ??

 

mfg

rossi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Stadt Tiger, callback sollte nicht da sProblem sein dialer >nummer> callback macht normales d-kanal callback, wenn denn die nummer passt, schau doch erstmal, ob die verbindung zustande kommt, wenn nicht schick mal ein log

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Rob,

 

die Einwahl und das Callback funktionieren ohne Probleme.

 

Liebe Grüße

 

PS.: Ein Fehlerlog kann ich erst nächsten Montag schicken, da ich erst zur externen Stelle fahren muss.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo ihr beiden,

 

das einzige Problem ist nur der Zugriff auf die Ressourcen im LAN.

Eingewählt ist der Rechner von Außerhalb und hat eine IP-Adresse zugewiesen bekommen. Aber einen Ping oder Tracert kann ich nur auf einen Arbeitsplatzrechner schicken und auf keinen anderen sonst und auch auf keinen der Server.

 

Liebe Grüße

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
access-list 1 permit 192.168.1.12

access-list 1 permit 192.168.3.13

access-list 1 deny any

access-list 1 permit any

dialer-list 1 protocol ip list 1

 

... und mit ACL1 soll http abgesichert werden?

Gleichzeitig triggered dieselbe ACL den Dialer.

Das letzte permit-statement wirkt nichts wenn vorher deny all drinsteht - was man eh weglassen kann, da eh ein implizites deny any am Ende jeder ACL steht.

Mach zu Testzwecken mal ein

"dialer-list 1 protocol ip permit" statt deiner "list 1"

 

Warum steht im Dialer "dialer in band" ist Dein Bri0 nicht an einem NTBA?

 

Als methodisch erst um PPP und routing kümmern - dann die ACLs weiter 'zumachen'

 

Gruss

Robert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×