Cisco 876er Verbindungsabruch

[Ciscler 10]

Hallo Zusammen,

 

ich hab hier folgende Situation. Eine Hauptstelle und 2 Zweigstellen. Die beiden Zweigstellen (Cisco 876er Router) bauen eine IPSEC/GRE Verbindung zur Hauptstelle (3Com Router 5232) auf. Nur eine Zweigstelle macht Probleme da bricht die Verbindung ständig weg. Der Dialer ist dann am Cisco auch nicht eingewählt. Dieser Cisco 876er hängt an einem 16000 ADSL Anschluss. IOS c870-advsecurityk9-mz.124-15.t4. Der andere Router der anderen Zweigstelle hängt an einem 6000 ADSLer und hat ein älteres IOS c870-advsecurityk9-mz.124-4.t7. Sind euch Probleme mit der IOS Version bekannt?

An der Konfiguration kann es nicht liegen die ist an beiden Zweigstellen identisch.

 

Wenn die Verbindung abgebrochen ist und der Dialer dann auch nicht mehr eingwählt ist bleibt das DSL Modem am Cisco synchron.

 

Telekom hat schon ein line reset durchgeführt.

 

 

Gruß Dirk

[Wordo 11]

Kommst du ueber ISDN drauf? Wenn ja probier mal

conf t

int atm 0

shut

no shut

 

Und poste mal ein "sh dsl int atm0" und "sh int atm0"

Vielleicht hast du CRCs auf der Leitung. Kabel tauschen ist auch nie verkehrt, die lilafarbenen Kabel von Cisco sind einfach nur sch*****.

 

Das IOS koennte noch auf T7 hoch, ich denke aber nicht das es daran liegt.

[Ciscler 10]

Morgen,

 

es lag an der DSL Leitung die Telekom war gestern raus und hat die Leitung neu geschaltet. Mit "sh dsl int atm 0" konnte ich CRC Fehler sehen.

 

Jetzt mal eine ganz andere Frage evtl. hab ich da auch gerade ein Brett vorm Kopf.

 

Aber ich wollte spaßeshalber mal die Außen IP vom Dialer Interface pingen. Auf dem Dialer Interface habe ich eine Inbound ACL gesetzt die nur ISAKMP und GRE durchlässt. Dann habe ich noch icmp erlaubt. Wenn ich ein log auf dem ACL eintrag für icmp setzte sehe ich auch das von außen mit icmp was rein kommt. Ich habe auch die Rückroute zu der anderen Außen IP gesetzt vowon ich Pinge. Ich erhalte aber keine Antwort. Was mach ich da noch falsch?

 

Gruß Dirk

[Wordo 11]

sh ip route und config posten ...

 

Evtl kommt das Paket zurueck, wird aber vom Sender geblockt?

[Ciscler 10]

Hallo Wordo,

 

das mit dem Ping funktioniert jetzt auf die Außen IP des Dialer Interfaces.

Nur jetzt wollte ich mir mal testweise ssh und telnet über die außen ip des Dialers freischalten. Ich sehe im ACL log das ich mit ssh rein gelassen werde bekomme aber keine Verbindung. ssh key ist natürlich generiert über den Tunnel komme ich per ssh rein.

 

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname xxx

!

boot-start-marker

boot-end-marker

!

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication enable default none

aaa authentication ppp default local

aaa authorization exec default local

!

!

aaa session-id common

clock timezone cet 1

clock summer-time cest recurring last Sun Mar 2:00 last Sun Oct 3:00

!

!

ip cef

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

no ip domain lookup

ip domain name xxx

!

!

!

username admin privilege 15 secret 5 xxxx

!

!

crypto isakmp policy 5

encr 3des

hash md5

authentication pre-share

group 5

crypto isakmp key xxx address xxx no-xauth

crypto isakmp keepalive 10

!

!

crypto ipsec transform-set nt esp-3des esp-sha-hmac

!

crypto map xx 1 ipsec-isakmp

set peer xxx

set transform-set xx

match address xxx

!

archive

log config

hidekeys

!

!

!

!

!

interface Loopback0

ip address 10.240.60.2 255.255.255.255

snmp ifindex persist

!

interface Tunnel0

description xxx

ip address 10.241.60.249 255.255.255.252

ip mtu 1250

snmp ifindex persist

keepalive 10 3

tunnel source Loopback0

tunnel destination 10.240.60.1

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface ATM0

description outside

no ip address

atm vc-per-vp 64

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode auto

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

ip address 10.129.34.10 255.255.255.0

snmp ifindex persist

!

interface Dialer1

description Internet

ip address negotiated

ip access-group WAN.IN in

no ip redirects

no ip unreachables

no ip proxy-arp

encapsulation ppp

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication pap chap callin

ppp chap hostname xxxxx

ppp chap password xxxxxxxx

ppp pap sent-username xxxxx password xxxxx

ppp ipcp dns request

crypto map xx

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Tunnel0

ip route 10.240.60.1 255.255.255.255 Dialer1

ip route xxx (Peer für IPSEC Tunnel) 255.255.255.255 Dialer1

ip route xxx (externe IP von wo aus ich Pinge und ssh aufbauen will) 255.255.255.255 Dialer 1

!

no ip http server

no ip http secure-server

!

ip access-list extended WAN.IN

permit udp any any eq isakmp

permit esp any any

permit ip host 10.240.60.1 host 10.240.60.2

permit icmp any any log

permit tcp any any eg 22 log

deny ip any any log

ip access-list extended xxx

permit ip host 10.240.60.2 host 10.240.60.1

deny ip any any log

!

kron occurrence DISCONNECT at 3:00 recurring

policy-list DISCONNECT

!

kron policy-list DISCONNECT

cli clear interface dialer 1

!

dialer-list 1 protocol ip permit

!

!

!

control-plane

!

banner login ^CCC

############################################################

# #

# xxx #

# xxx #

# #

############################################################

^C

!

line con 0

no modem enable

line aux 0

line vty 0 4

transport input all

!

scheduler max-task-time 5000

ntp clock-period 17175024

ntp source Vlan1

ntp server xxx

end

[Ciscler 10]

So es klappt jetzt alles. Wir haben hier so einen test dsl mit einem Netgear Router und der fliegt wohl immer raus und deshalb hat sich immer die außen ip geändert. Aber dennoch vielen dank.