Andre_H_ 10 Geschrieben 5. März 2007 Melden Teilen Geschrieben 5. März 2007 Hallo, ich bin gerade dabei für einen Freund den 1603 zur Verbindung (t-online) ins Internet (ISDN) zu konfigurieren. Da dies mein erster Router von Cisco ist den ich konfiguriere, würde ich mich freuen, wenn jmd. über meine Konfig schauen könnte um mir evtl. Fehler zu nennen. Die Einwahl des Routers soll erfolgen wenn ein Rechner im Netzwerk eine Internetverbindung anfragt. IP des Routers: 192.168.0.200 Netzwerk: 192.168.0.0 /24 Nachdem keine Internetverbindung mehr gebraucht wird, soll der Router die Verbindung trennen. Meine Konfig schaut so aus: ! service timestamps debug uptime service timestamps log uptime service password-encryption no service tcp-small-servers no service udp-small-servers ! hostname Cisco1603 ! enable password 123456 ! no ip name-server ! isdn switch-type basic-1tr6 ! ip subnet-zero no ip domain-lookup ip routing ! interface Dialer 1 description connected to Internet ip address negotiated ip nat outside no ip split-horizon encapsulation ppp dialer in-band dialer idle-timeout 120 dialer string 0191011 dialer hold-queue 10 dialer-group 1 ppp authentication chap pap callin ppp chap hostname <<t-online benutzername>> ppp chap password <<t-online passwort>> ppp pap sent-username <<t-online benutzername>> password <<t-online passwort>> no ppp multilink no cdp enable ! interface Ethernet 0 no shutdown description connected to Cisco1538 ip address 192.168.0.200 255.255.255.0 ip nat inside keepalive 10 ! interface BRI 0 no shutdown description connected to Internet no ip address dialer rotary-group 1 ! ! Access Control List 1 ! no access-list 1 access-list 1 permit 192.168.0.0 0.0.0.255 ! ! Dialer Control List 1 ! no dialer-list 1 dialer-list 1 protocol ip permit ! ! Dynamic NAT ! ip nat translation timeout 86400 ip nat translation tcp-timeout 86400 ip nat translation udp-timeout 300 ip nat translation dns-timeout 60 ip nat translation finrst-timeout 60 ip nat inside source list 1 interface Dialer 1 overload ! router rip version 2 network 192.168.0.0 passive-interface Dialer 1 no auto-summary ! ! ip classless ! ! IP Static Routes ip route 0.0.0.0 0.0.0.0 Dialer 1 ip http server no snmp-server location no snmp-server contact ! line console 0 exec-timeout 0 0 password 123456 login ! line vty 0 4 password 123456 login ! end Vielen Dank für die Hilfe!! André Hartmann Zitieren Link zu diesem Kommentar
osirus01 10 Geschrieben 5. März 2007 Melden Teilen Geschrieben 5. März 2007 Hi, wenn ich das richtig sehe, sieht das doch ganz gut aus. Bin mir nur nicht sicher, ob die Einwahl mit "isdn switch-type basic-1tr6" klappt. Hab das sonst immer mit "isdn switch-type basic-net" genommen. Würde mir allerdings noch ein paar Access-listen basteln, damit der Router nicht bei jedem Mux anfängt die Verbindung aufzubauen. zb. access-list 111 permit udp host 192.168.0.10 any eq 53 access-list 111 permit tcp host 192.168.0.10 any eq 80 access-list 111 permit tcp host 192.168.0.10 any eq 443 access-list 111 permit tcp host 192.168.0.10 any eq 25 access-list 111 permit tcp host 192.168.0.10 any eq 110 access-list 111 deny any any log anschließend ACL an eth0 binden: int eth0 ip access-group 111 in Host 192.168.0.10 ist der PC in Deines Kumpels. Musste halt anpassen. Das LOG bei deny any any kannste zum Debuggen holen. Lass dir die Meldungen via SYSLOG an den Rechner schicken, um zu prüfen ob sonst noch was ins Internet will. z.B. ICQ. Dann haste direkt die Ports die Du auf machen musst. Gruß Osirus Zitieren Link zu diesem Kommentar
Andre_H_ 10 Geschrieben 5. März 2007 Autor Melden Teilen Geschrieben 5. März 2007 Vielen Dank für die Info!! Da sich mehr als nur ein Host einwählen soll kann ich die Regeln nicht auf einen Host binden geht da auch sowas wie: access-list 111 permit tcp host 192.168.0.0 any eq 80 oder access-list 111 permit tcp host 192.168.0.* any eq 80 Viele Grüße André Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 5. März 2007 Melden Teilen Geschrieben 5. März 2007 Dann wohl eher: access-list 111 permit ip 192.168.0.0 0.0.0.255 any EDIT: Port 80 waere zu restriktiv weil die DNS-Aufloesung nicht funktionieren wird Zitieren Link zu diesem Kommentar
Andre_H_ 10 Geschrieben 5. März 2007 Autor Melden Teilen Geschrieben 5. März 2007 Hallo, vielen Dank schonmal. Mich würde noch interessieren, wie man mit Hilfe von SYSLOG die LOG vom Router auf den PC schicken kann? Danke! André Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Du installierst auf dem PC einen Syslogserver und konfigurierst den auf dem Router. logging host <ip> ... logging on Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.