Weisskreuz 10 Geschrieben 13. Juli 2005 Autor Melden Teilen Geschrieben 13. Juli 2005 So, ich habe jetzt die Zugangsdaten von unserem Provider eingetragen. aber.... es geht immer noch nicht :mad: Ich werde jetzt mal die Debugs und meine aktuelle Config hier posten (mal wieder :wink2: ) Config: hostname Cisco1712 ! boot-start-marker boot-end-marker ! no logging buffered enable secret 5 xxxxxxxxxxxxxxxxxxxx enable password xxxxxxxxxx ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero no ip source-route ! ! ! ! ip cef ip inspect dns-timeout 30 ip inspect name fw tcp timeout 3600 ip inspect name fw udp timeout 300 ip inspect name fw ftp ip inspect name fw realaudio ip inspect name fw vdolive ip ids po max-events 100 vpdn enable ! vpdn-group pppoe request-dialin protocol pppoe ! no ftp-server write-enable ! ! ! ! ! ! ! ! interface BRI0 no ip address shutdown ! interface FastEthernet0 description PPPoE-DSL no ip address speed auto half-duplex pppoe enable pppoe-client dial-pool-number 2 no cdp enable ! interface FastEthernet1 description LAN no ip address ! interface FastEthernet2 switchport trunk native vlan 2 no ip address shutdown spanning-tree portfast ! interface FastEthernet3 no ip address shutdown spanning-tree portfast ! interface FastEthernet4 no ip address shutdown spanning-tree portfast ! interface Vlan1 ip address 10.2.2.128 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1350 ! interface Dialer2 description [WAN DSL] mtu 1492 ip address negotiated ip nat outside ip inspect fw out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 2 dialer-group 1 no cdp enable ppp authentication chap ppp chap hostname dslflat/xxxxxxxkamp-dsl ppp chap password 0 xxxxxxx ppp ipcp dns request ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer2 ip http server no ip http secure-server ip nat inside source list 1 interface Dialer2 overload ! ! ! access-list 1 permit 10.2.2.0 0.0.0.255 dialer-list 1 protocol ip permit ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password a login ! end Cisco1712#debug ip nat detailed IP NAT detailed debugging is on Cisco1712# *Mar 2 12:54:32.622: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:54:32.630: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:54:33.254: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:54:33.258: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:54:54.658: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:54:54.658: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:54:54.658: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:54:55.426: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:54:55.430: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:54:56.142: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:54:56.146: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:55:07.734: NAT: dialer not up for Dialer2, no translation, dial and drop *Mar 2 12:55:07.738: NAT: dialer not up for Dialer2, no translation, dial and drop Zitieren Link zu diesem Kommentar
Weisskreuz 10 Geschrieben 13. Juli 2005 Autor Melden Teilen Geschrieben 13. Juli 2005 fortsetzung.... Cisco1712#debug ppp authentication PPP authentication debugging is on Cisco1712# *Mar 2 12:52:37.930: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:52:37.930: Vi1 PPP: Using dialer call direction *Mar 2 12:52:37.930: Vi1 PPP: Treating connection as a callout *Mar 2 12:52:37.930: Vi1 PPP: Authorization required *Mar 2 12:52:37.934: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:52:38.646: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:52:38.650: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:53:01.026: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:53:01.030: Vi1 PPP: Using dialer call direction *Mar 2 12:53:01.030: Vi1 PPP: Treating connection as a callout *Mar 2 12:53:01.030: Vi1 PPP: Authorization required *Mar 2 12:53:01.034: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:53:01.730: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:53:01.734: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:53:24.010: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:53:24.014: Vi1 PPP: Using dialer call direction *Mar 2 12:53:24.014: Vi1 PPP: Treating connection as a callout *Mar 2 12:53:24.014: Vi1 PPP: Authorization required *Mar 2 12:53:24.014: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:53:24.658: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:53:24.662: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:53:46.826: %DIALER-6-BIND: Interface Vi1 bound to profile Di2 *Mar 2 12:53:46.826: Vi1 PPP: Using dialer call direction *Mar 2 12:53:46.826: Vi1 PPP: Treating connection as a callout *Mar 2 12:53:46.826: Vi1 PPP: Authorization required *Mar 2 12:53:46.830: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up *Mar 2 12:53:47.502: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:53:47.506: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down Zitieren Link zu diesem Kommentar
Weisskreuz 10 Geschrieben 13. Juli 2005 Autor Melden Teilen Geschrieben 13. Juli 2005 ...mal wieder zu viele Zeichen :( Cisco1712# debug ppp negotiation *Mar 2 12:51:52.290: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.290: Vi1 LCP: O CONFREQ [ACKsent] id 7 len 19 *Mar 2 12:51:52.290: Vi1 LCP: MRU 1492 (0x010405D4) *Mar 2 12:51:52.290: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.290: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C) *Mar 2 12:51:52.342: Vi1 LCP: I CONFREJ [ACKsent] id 7 len 9 *Mar 2 12:51:52.346: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.346: Vi1 LCP: O CONFREQ [ACKsent] id 8 len 19 *Mar 2 12:51:52.346: Vi1 LCP: MRU 1492 (0x010405D4) *Mar 2 12:51:52.346: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.346: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C) *Mar 2 12:51:52.386: Vi1 LCP: I CONFREJ [ACKsent] id 8 len 9 *Mar 2 12:51:52.390: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.390: Vi1 LCP: O CONFREQ [ACKsent] id 9 len 19 *Mar 2 12:51:52.390: Vi1 LCP: MRU 1492 (0x010405D4) *Mar 2 12:51:52.390: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.390: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C) *Mar 2 12:51:52.446: Vi1 LCP: I CONFREJ [ACKsent] id 9 len 9 *Mar 2 12:51:52.446: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.446: Vi1 LCP: O CONFREQ [ACKsent] id 10 len 19 *Mar 2 12:51:52.446: Vi1 LCP: MRU 1492 (0x010405D4) *Mar 2 12:51:52.446: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.446: Vi1 LCP: MagicNumber 0x19DF981C (0x050619DF981C) *Mar 2 12:51:52.490: Vi1 LCP: I CONFREJ [ACKsent] id 10 len 9 *Mar 2 12:51:52.490: Vi1 LCP: AuthProto CHAP (0x0305C22305) *Mar 2 12:51:52.490: Vi1 LCP: Failed to negotiate with peer *Mar 2 12:51:52.490: Vi1 PPP: Sending Acct Event[Down] id[E3] *Mar 2 12:51:52.494: Vi1 LCP: O TERMREQ [ACKsent] id 11 len 4 *Mar 2 12:51:52.494: Vi1 PPP: Phase is TERMINATING *Mar 2 12:51:52.550: Vi1 LCP: I TERMACK [TERMsent] id 11 len 4 *Mar 2 12:51:52.550: Vi1 LCP: State is Closed *Mar 2 12:51:52.550: Vi1 PPP: Phase is DOWN *Mar 2 12:51:52.550: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di2 *Mar 2 12:51:52.554: Vi1 PPP: Phase is ESTABLISHING, Passive Open *Mar 2 12:51:52.554: Vi1 LCP: State is Listen *Mar 2 12:51:52.554: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down *Mar 2 12:51:52.554: Vi1 LCP: State is Closed *Mar 2 12:51:52.554: Vi1 PPP: Phase is DOWN Ich habe als DNS-Server jetzt 2 Server von Kamp eingetragen, die funktionieren auch (habe ich im moment auch eingetragen) Aber wenn ich den Router angeschlossen habe und am Client nslookup starte zeigt er mir die Namen der Server nicht an.... Danke schonmal für eure Mühe ^^ Weisskreuz Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 13. Juli 2005 Melden Teilen Geschrieben 13. Juli 2005 Hallo Weisskreuz, versuch doch mal ppp authentication chap callin auf dem dialer. Ich sehe gar keine challenge von irgendeiner Seite... die hosts brauchen auf jedenfall die dsn server als eintrag, den cisco router kannst du nicht als dns server missbrauchen, das geht nur bei bintec routern o. anderen... bei nslookup, müsste er normalerweise den ersten server als standardserver verwenden. Gruß rob Zitieren Link zu diesem Kommentar
Weisskreuz 10 Geschrieben 13. Juli 2005 Autor Melden Teilen Geschrieben 13. Juli 2005 ES GEHT !!!!! Nachdem ich ppp authentication chap callin hinzugefügt habe ging erstmal nichts... dann habe ich das Modem und den Router nochmal neu gestartet, und siehe da: NAT-funktionierte auf einmal :) Dann ging auch das Internet an meinem Client. Jetzt habe ich die beiden DNS-Server noch an unserem Server eingetragen und den Cisco als Standardgateway genommen, und siehe da, es flutscht :) und das sogar schneller als mit dem Symantec ^^ Vielen Dank an ALLE (vor allem Rob :wink2: ) P.S. Ich hoffe Eure Geduld ist noch nicht am Ende ^^ Denn ich muss ja auch noch VPN einrichten, aber heute nicht mehr ! Ich geh jetzt erstmal ein Bierchen trinken :cool: P.P.S. und schon wieder Fragen.... Ich habe gerade über die Symantec Seite einen Sicherheitscheck durchgeführt. Folgende Ports sind offen: Ping, Telnet, HTTP(80) könnte mir jemand die Befehle nennen mit denen ich diese Ports schliessen kann ? Gruß, Weisskreuz Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 14. Juli 2005 Melden Teilen Geschrieben 14. Juli 2005 Hallo Weisskreuz, -->auf den dialer ip access-group 144 in access-l 144 deny icmp any any access-l 144 deny tcp any any eq http access-l 144 deny tcp any any eq 23 access-l 144 permit ip any any es geht aber auch detaillierter, so kannst du z.b. auch nicht pingen und nach draußen http bzw. telnet machen... muß nicht für das ip inspect sowieso ein filter auf dem incoming interface gesetzt sein, damit es überhaupt geht? zumindest beim 801 er kenne ich das so... Gruß Rob Zitieren Link zu diesem Kommentar
Weisskreuz 10 Geschrieben 14. Juli 2005 Autor Melden Teilen Geschrieben 14. Juli 2005 Moin moin, Ich glaube nicht das es so gut ist wenn alles geblockt wird, hast Du vielleicht irgendwo ne anleitung oder ein Template wie man die einzelnen Ports von aussen nach innen sperren kann ? Zweitens bräuchte ich mal ne Anleitung zum einrichten eines VPN Tunnels von unserer Firma zu einem server im Internet... ich hoffe es gibt irgendwas in der Richtung. Gruß, Weisskreuz Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 15. Juli 2005 Melden Teilen Geschrieben 15. Juli 2005 Moin Weisskreuz, Anleitung habe ich nicht, aber erstens könntest du das Filtering mit dem Firewall ios erschlagen mit deiner inspection rule oder aber du setzt einen einfachen filter auf dem dialer in der art: incoming erlaubst du praktisch nur Rückpakete für deine von innen aufgebauten sessions, genauso dann für die anderen protokolle. ip access-group 144 in access-list 144 permit tcp any eq http any wird eine tcp session von aussen auf dem port 80 aufgemacht, matcht sie in diesem fall nicht, die pakete werden gedroppt. Die Firewall ios kann das aber noch besser, das schreibt dynamisch access-listen und lässt entsprechende rückpakete zu deinen filtern durch... Gruß Rob Zitieren Link zu diesem Kommentar
Weisskreuz 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 Wie muß ich mir das denn so vorstellen mit einer firewall ios ? Wird dann meine Konfig komplett überschrieben, oder kann ich die ios wechseln ohne dass sich daran etwas ändert ? Gruß, Weisskreuz Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Hallo Weisskreuz, meines erachtens hast du schon ein firewall ios drauf, sonst gäber es die befehle ip inspect nicht, wenn du ein neues ios draufspielst, sollte sich die grundlegende config nicht ändern, trotzdem kann es passieren, dass er den einen oder anderen befehl nicht mehr kennt bzw. dass neue befehle standardmässig dazukommen, aber man kann ja auch die config auf nem tftp oder im flash sichern... gruß rob Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.