Jump to content
Sign in to follow this  
chris66

Cisco 803 und idle timeout?! Please help...

Recommended Posts

Hallo Leute.

 

Ich habe ein Problem mit meinem frisch bei eBay erstandenem Cisco 803. Um es kurz zu fassen... ich bin noch ein IOS DAU - ich habe zwar einiges hier im Forum gelesen, aber es will irgendwie nicht funktionieren...

Auf dem 803 läuft eine ziemlich alte IOS - 12.0-7T glaube ich.

 

Zunächst habe ich erstmal alles mit FastStep eingestellt und dann anschließend per Console bearbeitet... leider wählt sich der 803 nicht aus, nach 60 Sekunden beginnt der idle timer jedesmal neu bei den gesetzten 180s.

 

Hier erstmal die Config nach dem FastStep Setup:

 ! Cisco IOS router configuration file
! Automatically made by Cisco Fast Step v2.5
! Designed for Cisco C803
! January 24, 2006
! Cisco Fast Step Template

no service udp-small-servers
no service tcp-small-servers
service password-encryption
hostname Router
username Router password Password
enable secret Password1
no ip source-route
isdn switch-type basic-net3

ip routing
ip classless
ip subnet-zero
service dhcp
ip dhcp pool DHCPPoolLAN_0
network 192.168.112.0 255.255.255.0
dns-server 195.50.140.252 195.50.140.114
default-router 192.168.112.240 
lease 1 0 0
ip name-server 195.50.140.252
ip name-server 195.50.140.114
pots country DE
dial-peer voice 1 pots
destination-pattern 0xxxxxxxxx
port 1
dial-peer voice 2 pots
destination-pattern 0xxxxxxxxx
port 2

interface ethernet 0
keepalive
no shutdown
ip address 192.168.112.240 255.255.255.0
ip route-cache
no ip proxy-arp
no ip directed-broadcast
ip nat inside
ip access-group 121 in

interface bri 0
encapsulation ppp
ppp authentication chap pap callin
no ppp multilink
isdn switch-type basic-net3
dialer pool-member 1
isdn incoming-voice modem
no shutdown

interface dialer 1
dialer remote-name Cisco1
dialer pool 1
no ip split-horizon
description ISP
encapsulation ppp
dialer idle-timeout 300
dialer hold-queue 10
dialer-group 1
dialer string 01920781 class DialClass
ppp authentication chap pap callin
ppp chap hostname arcor
ppp chap password internet
ppp pap sent-username arcor password internet
no ppp multilink
ip address negotiated
ip route-cache
no ip proxy-arp
no ip directed-broadcast
ip nat outside
ip access-group 121 in

map-class dialer DialClass
no dialer isdn speed 56
dialer-list 1 protocol ip permit

no router rip
ip route 0.0.0.0 0.0.0.0 dialer 1
ip nat inside source list 18 interface dialer 1 overload
access-list 18 permit 192.168.112.0 0.0.0.255
access-list 121 deny udp any eq 138 any 
access-list 121 deny udp any eq 137 any 
access-list 121 deny udp any eq 139 any 
access-list 121 deny tcp any eq 137 any 
access-list 121 deny tcp any eq 138 any 
access-list 121 deny tcp any eq 139 any 
access-list 121 permit ip any any  time-range TIME
time-range TIME
periodic daily 00:00 to 23:59

line console 0
exec-timeout 120
line vty 0 4
exec-timeout 0
login local

end

 

Das mit diesem Standard Setup jegliches Paket (auch Netbios) ein Anwahl provoziert ist mir klar. Da ich leider noch keine Ahnung habe wie ich ein geändertes Config File einspiele, habe ich alle Änderungen nacheinander in der Console eingegeben...

 

SIEHE NÄCHSTES POSTING (max.Länge überschritten :shock: )

Share this post


Link to post
Share on other sites

...

c803#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

c803(config)#no ip forward-protocol udp netbios-dgm

c803(config)#no ip forward-protocol udp netbios-ss

c803(config)#no ip forward-protocol udp netbios-ns

c803(config)#

c803(config)#access-list 102 permit udp an eq 53 any

c803(config)#access-list 102 permit tcp an an established

c803(config)#access-list 102 permit tcp an eq ftp-data an

c803(config)#access-list 102 permit icmp any any echo-reply

c803(config)#access-list 102 remark ---- packetfilter fuer verbindungen aus dem inet -----

c803(config)#access-list 101 remark ---- darf den dialer antriggern -----

c803(config)#access-list 101 permit udp any any eq domain

c803(config)#access-list 101 permit tcp any any eq smtp

c803(config)#access-list 101 permit tcp any any eq pop3

c803(config)#access-list 101 permit tcp any any eq www

c803(config)#access-list 101 permit tcp any any eq 443

c803(config)#access-list 101 permit tcp any any eq ftp

c803(config)#access-list 101 permit icmp any any echo

c803(config)#

c803(config)#interface dialer1

c803(config-if)#no ip access-group 121 in

c803(config-if)#ip access-group 102 in

c803(config-if)#

c803(config-if)#dialer idle-timeout 180

c803(config-if)#exit

c803(config)#no dialer-list 1 protocol ip permit

c803(config)# dialer-list 1 protocol ip list 101

c803(config)#

c803(config)#no cdp run

c803(config)#interface dialer1

c803(config-if)#no cdp ena

c803(config-if)#exit

c803(config)#interface bri0

c803(config-if)#no cdp ena

c803(config-if)#exit

c803(config)#exit

c803#wr

01:04:27: %SYS-5-CONFIG_I: Configured from console by console

Building configuration...

[OK]

c803#

 

 

So das ist nun mein Werk mit vielen Schnippseln aus dem Forum hier womit ich die Config so abändern wollte, dass

A) nach 180sec die Verbindung getrennt wird... außer wenn über POP,SMTP,WWW,FTP,443 gesendet wird

B) Nicht alle möglichen Ports von außen offen sind

 

B ist mir auch gelungen, bei Shields UP sind alle Ports stealth.

 

Das mit dem Idle-timer funktioniert aber nicht so ganz. Wenn ich den Bri0 debuge zählt der Idle-timer immer bis 120sec runter und dann fängt dieser wieder neu bei 180sec an. Man sieht es auch den LEDS für LAN und ISDN welche immer kurz aufblinken... ich habe keine Ahnung wieso das so ist und wie dieser Traffic entsteht. Am Cisco hängt ein Netgear 624 WLAN Router, welcher am Internet Port auf Statische Adresse/DHCP (ohne Einwahl) eingestellt ist. Dass das mit dem Netgear Router hinter dem 803 zwecks Doppel-NAT nicht ganz optimal ist, ist mir bewusst. Aber momentan habe ich noch keinen reinen AP da, um das WLAN zu betreiben.

 

So, und nun hoffe ich auf Eure Tipps. Vielen Dank schonmal.

 

Viele Grüße,

Chris

 

P.S. Gibt es eigentlich irgend ein GUI für IOS oder zumindest eine brauchbare Einsteigerlektüre, womit man IOS besser versteht... irgendwie finde ich diese Konsolen-Konfiguration nicht ganz zeitgemäß?! Die meisten Einstellungen sollten schon per Webinterface möglich sein und nur die Feinheiten sollte man per Telnet einstellen müssen (so wie bei Lancom & Draytek zum Beispiel)

Share this post


Link to post
Share on other sites

EDIT/NACHTRAG:

 

Mir ist grad aufgefallen, dass die Access-Group 121 immer noch benutzt wird:

 

Standard IP access list 18
   permit 192.168.113.0, wildcard bits 0.0.0.255
Extended IP access list 101
   permit udp any any eq domain (101 matches)
   permit tcp any any eq smtp
   permit tcp any any eq pop3
   permit tcp any any eq www (894 matches)
   permit tcp any any eq 443 (212 matches)
   permit tcp any any eq ftp
   permit icmp any any echo
Extended IP access list 102
   permit udp any eq domain any (97 matches)
   permit tcp any any established (1106 matches)
   permit tcp any eq ftp-data any
   permit icmp any any echo-reply
Extended IP access list 121
   deny udp any eq netbios-dgm any
   deny udp any eq netbios-ns any
   deny udp any eq netbios-ss any
   deny tcp any eq 137 any
   deny tcp any eq 138 any
   deny tcp any eq 139 any
   permit ip any any time-range TIME (active) (1215 matches)
c803#

 

Ich dachte die habe ich mit "c803(config-if)#no ip access-group 121 in" deaktiviert? Hmm, da es aber eh für die IN Richtung ist, dürfte es eigentlich nichts mit meinem idle-timeout problem zu tun haben, oder? Wie kann man diese Access-List löschen/deaktivieren? Wie kann man eigentlich ein ios File einspielen? per TFTP Server? Danke!

Share this post


Link to post
Share on other sites

Hi,

 

mach mal nen telnet auf den router, enable ihn,

 

 

debug dialer events anschalten und term mon,

 

 

schau mal, welche pakete das offenhalten der leitung verursachen, 12.0.7t ist zwar nicht das beste ios, aber prinzipiell dürfte es funzen...

 

gruss

 

rob

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...