DeathAndPain 10 Geschrieben 1. Dezember 2003 Melden Teilen Geschrieben 1. Dezember 2003 Hallo allerseits, ich benötige eine laufende Konfiguration, um mit einem Cisco 801 bei Bedarf (anliegende IP-Pakete) eine Wählverbindung zu einem entfernten Router aufzubauen. Beide Router sollen die Verbindung eröffnen dürfen. Optimalerweise soll bei eingehenden Wählverbindungen zusätzlich zur CHAP-Authentifizierung die übermittelte ISDN-Nummer geprüft werden. Es soll mit festen IPs ohne DHCP oder NAT gearbeitet werden. Bisher habe ich den Router aber nicht dazu motivieren können rauszuwählen. Zur folgenden Konfiguration bin ich bislang gelangt: ----------------- (startup-config) version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Luckenwalde ! enable secret 5 $1$.24a$KtksolfpUxmDzrV.5gxhV0 enable password test ! ! ! ! ! ip subnet-zero ! isdn switch-type basic-net3 isdn voice-call-failure 0 ! ! ! interface Ethernet0 ip address 129.122.221.205 255.255.255.0 no ip directed-broadcast no cdp enable ! interface BRI0 no ip address no ip directed-broadcast encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 ! interface Dialer1 ip address 172.20.3.5 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer remote-name edv99 dialer pool 1 dialer idle-timeout 300 dialer string 624 dialer-group 1 ppp authentication chap ppp chap hostname edv95 ppp chap password 7 094F670C0B063F180E ! no ip http server ip classless ip route 0.0.0.0 0.0.0.0 172.20.3.9 ! ! line con 0 transport input none stopbits 1 line vty 0 4 password test login ! no rcapi server ! ! end ------------- Wenn ich nun den entfernten Router anpinge, dessen ISDN-Interface die 172.20.3.9 hat, dann versucht der Cisco nicht mal rauszuwählen, obwohl das Routing doch eigentlich klar anzeigt, daß er in diesem Fall über die ISDN-Schnittstelle gehen müßte?! Die dreistelligen Rufnummern sind richtig, da ich zum Test vorab intern über eine Telefonanlage arbeite. Wenn alles läuft, möchte ich dann die Nummern durch die echten Fernverbindungsnummern ersetzen und den Router an seinem Bestimmungsort aufstellen. Etwas unsicher bin ich auch noch im Bereich der CHAP-Authentifizierung. Es sollen ja beide Router die Verbindung aufbauen können. Dafür müssen doch eigentlich zwei CHAP-Benutzerkennungen mitsamt den zugehörigen Paßwörtern hinterlegt sein. Das eine Paar wird benötigt, wenn sich der entfernte Router bei dem mit obiger Konfiguration einwählen möchte. Das andere benutzt der Router mit obiger Konfiguration, um sich beim entfernten Router anzumelden. Ich vermute mal, daß in obiger Konfiguration die eine Benutzerkennung der "dialer remote-name" und der andere der "ppp chap hostname" ist. Das eine Paßwort ist das "ppp chap password". Aber das andere?? Und läßt es sich machen, daß der Router zusätzlich zum CHAP die eingehende Rufnummer überprüft udn nur die richtige reinläßt? Jens Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 1. Dezember 2003 Melden Teilen Geschrieben 1. Dezember 2003 Hi, lass uns stepp by stepp die probleme in den griff bekommen. Also deine ip route stimmt nciht. du mußt nicht angeben wohin er das packet routen soll sondern über welches interface oder über welche ip-adresse. Das heißt du kannst sagen ip route 0.0.0.0 0.0.0.0 dialer1 oder 172.20.3.5. Versuch das ersteinmal. Danach ja du hast recht du mußt bei chap die den benutzernamen und das password auf diesem router hinterlegen als auf dem anderen router. Das mit der Rufnummer überprüfung muß ich erst nochmal nachlesen. Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 1. Dezember 2003 Melden Teilen Geschrieben 1. Dezember 2003 Schaut mal hier wegen isdn caller http://info.cisco.de/cgi-bin/helpdesk/kb.pl?action=focus&id=185&department=Cisco%20800%20Serie%20Router&user= thorgood Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 2. Dezember 2003 Autor Melden Teilen Geschrieben 2. Dezember 2003 Also deine ip route stimmt nciht. du mußt nicht angeben wohin er das packet routen soll sondern über welches interface oder über welche ip-adresse. Das heißt du kannst sagen ip route 0.0.0.0 0.0.0.0 dialer1 oder 172.20.3.5. Versuch das ersteinmal. Mit der IP geht das nicht: Cisco 801: Luckenwalde(config)#ip route 0.0.0.0 0.0.0.0 172.20.3.5 %Invalid next hop address (it's this router) Luckenwalde(config)# Aber mit dialer1 schluckt er es, danke. Schaut mal hier wegen isdn caller Das war auch nützlich. Ich hab noch das eine oder andere aus dieser Konfiguration eingebaut. Leider führt das alles noch nicht dazu, daß er rauswählt (jedenfalls kommt beim anderen Router noch kein Ruf an, auch keiner, der abgelehnt wird. Der andere Router ist ein alter Shiva Integrator, den ich präzise kenne und bedienen kann). Die Startup-Konfiguration des Cisco 801, zu der ich nach Berücksichtigung eurer Hinweise gelangt bin, ist die folgende: ---------- version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Luckenwalde ! enable secret 5 $1$.24a$KtksolfpUxmDzrV.5gxhV0 enable password test ! ! ! ! ! ip subnet-zero ! no ip domain-lookup isdn switch-type basic-net3 isdn voice-call-failure 0 ! ! ! interface Ethernet0 ip address 129.122.221.205 255.255.255.0 no ip directed-broadcast no ip proxy-arp no cdp enable ! interface BRI0 no ip address no ip directed-broadcast encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 624 isdn answer1 186 isdn answer2 186 isdn send-alerting ! interface Dialer1 ip address 172.20.3.5 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer remote-name edv99 dialer pool 1 dialer idle-timeout 300 dialer string 624 dialer-group 1 ppp authentication chap ppp chap hostname edv95 ppp chap password 7 094F670C0B063F180E ! no ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! line con 0 transport input none stopbits 1 line vty 0 4 password hello login ! no rcapi server ! ! end ----------- Es bleibt immer noch die Frage, welche Benutzerkennungen und Paßwörter wohin gehören. Mit welcher Benutzerkennung und welchem Paßwort meldet sich der Cisco drüben an, wenn er rauswählt? Benutzt er dafür die Einträge: ppp chap hostname edv95 ppp chap password 7 094F670C0B063F180E ? Und welchen Benutzernamen/welches Paßwort verlangt er, wenn der andere Router sich reinwählen möchte? Müßte ich dafür einen Eintrag der Form username links password c.i.s.c.o. reinschreiben? Aber wenn so beide Benutzernamen und Paßwörter festgelegt sind, welche Bedeutung hat dann noch der "dialer remote-name"-Eintrag? Wie ist das eigentlich mit der IP-Adresse der ISDN-Schnittstelle? Die steht ja jetzt in der dialer1-Sektion. Aber ist ein dialer auch für eingehende Anrufe da? Die "isdn answer"-Einträge stehen schließlich in der allgemeinen Schnittstellensektion. Aber welche IP bekommt dann die Schnittstelle, wenn ein Anruf eingeht? Müßte ich dazu nicht einen "ip adress"-Eintrag in der Sektion der Schnittstelle BRI0 eintragen (statt des dort stehenden "no ip address")? Allerdings steht in der Beispielkonfiguration, auf die thorgood verweist, auch "no ip address" bei den ISDN-Schnittstellen eingetragen. In Thorgoods Beispiel steht überdies bei beiden Routern: ppp authentication chap callin Ich will doch aber, daß er auch bei eingehenden Verbindungen über ppp authentifiziert. Ist es da nicht richtiger, nur ppp authentication chap zu schreiben, wie ich es gemacht habe? Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 2. Dezember 2003 Melden Teilen Geschrieben 2. Dezember 2003 Ich Depp- Es fehlt logischerweise der Interesting Traffic, das der Router anfängt zu wählen. Das einfachste ist: dialer-list1 protocol ip permit. Dann reicht ein ping aus und der Router fängt an zu wählen. Oder du machst folgendes: Du setzt ACL Listen auf. Spezifierst in den Listen was Interesting ist und dann sagst du dialer-list 1 protocol ip list 101 access-list 101 deny tcp any any eq ftp dann würde nur ftp interessting Traffic sein und du würdest nur den Router dazu bringen zu wählen wenn FTP gemacht wird. Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 3. Dezember 2003 Autor Melden Teilen Geschrieben 3. Dezember 2003 Das einfachste ist: dialer-list1 protocol ip permit. Dann reicht ein ping aus und der Router fängt an zu wählen. Sollte man denken. Macht er aber leider nicht. :( Alle ISDN-Lampen bleiben aus, und der Shiva-Router registriert keinen Verbindungsversuch. Umgekehrt geht der Cisco auch nicht ran, wenn der Shiva versucht, die Verbindung aufzubauen. Ich sehe sowieso noch ein Problem in der Logik: Woher weiß der Cisco 801, welche IP der Router am anderen Ende der ISDN-Leitung hat? Bei allen anderen ISDN-Routern, die ich kenne, läuft das so, daß die ISDN-seitige IP des entfernten Routers als Next Hop in der Routingtabelle eingetragen wird. Nun sagst Du aber, daß ich dort nur dialer1 eintragen soll, also nur, daß er Pakete für diese Route über die ISDN-Schnittstelle rausjagen soll. Aber wohin? Woher weiß der Cisco 801, daß der Shiva ISDN-seitig die IP 172.20.3.9 und nicht beispielsweise 172.20.3.18 hat? Letztere IP läge auch im Subnetz der ISDN-Schnittstelle. Ich hab auch mal irgendwo gelesen, daß man den Befehl "dialer in-band" absetzen muß, damit der Router bei Bedarf automatisch eine Verbindung aufbaut. Wenn ich das bei meinem Cisco mit der angegebenen Konfiguration versuche, bekomme ich aber nur folgende Antwort: Luckenwalde(config-if)#dialer in-band %Remove dialer profile config first Luckenwalde(config-if)# Gegenwärtige Konfiguration des Cisco 801: ------------ version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Luckenwalde ! enable secret 5 $1$.24a$KtksolfpUxmDzrV.5gxhV0 enable password test ! username edv99 password 0 xxx ! ! ! ! ip subnet-zero ! no ip domain-lookup isdn switch-type basic-net3 isdn voice-call-failure 0 ! ! ! interface Ethernet0 ip address 129.122.221.205 255.255.255.0 no ip directed-broadcast no ip proxy-arp no cdp enable ! interface BRI0 no ip address no ip directed-broadcast encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 isdn caller 624 isdn answer1 186 isdn answer2 186 isdn send-alerting ! interface Dialer1 ip address 172.20.3.5 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer remote-name edv99 dialer pool 1 dialer idle-timeout 300 dialer string 624 dialer-group 1 no cdp enable ppp authentication chap ppp chap hostname edv95 ppp chap password 7 094F670C0B063F180E ! no ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! dialer-list 1 protocol ip permit ! line con 0 transport input none stopbits 1 line vty 0 4 password hello login ! no rcapi server ! ! end Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 3. Dezember 2003 Melden Teilen Geschrieben 3. Dezember 2003 Hi, also ich sehe jetzt auch keinen logischen Fehler mehr. Jetzt gibt es noch 2 möglichkeiten 1.) du hast ein Wackliges IOS. Welche Version benutzt du? 2.) Irgendetwas mit dem BRI-Interface stimmt nicht 3.) Irgendetwas mit dem ISDN Anschluß stimmt nicht. Zu deinen Fragen. Wozu muß der Router wissen welche IP-Adresse auf der gegenseite ist? Interssiert zur Zeit nicht. Du sagst den gesamten Traffic über das Interface Dialer1 senden. Benutze einmal diese Testkonfig um jetzt auszuschließen das es noch ein Problem mit deiner Config gibt. interface BRI 0 no shutdown description connected to xyz ip address negotiated encapsulation ppp ip nat outside dialer idle-timeout 30 dialer string xyz dialer hold-queue 10 dialer-group 1 ppp authentication pap callin ppp pap sent-username xyz password xyz no cdp enable ! access-list 1 permit any dialer-list 1 protocol ip permit Am besten dort eine Nummer von einem Provider eintragen um mal zu testen. Wenn sich nix tut dann hast du ein Problem siehe oben Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 11. Dezember 2003 Autor Melden Teilen Geschrieben 11. Dezember 2003 Großes Desaster Um das zu tun, wollte ich gerade meine Routerkonfiguration zurücksetzen (factory reset). In einer Doku habe ich dazu gelesen, daß man dafür ins Bootrom (TinyROM) geht. Dort habe ich den Befehl "erase" gefunden, der angeblich alle ungültigen Files beseitigt. Jetzt bootet der Router nur noch ins TinyRom 1.4 und scheint gar nichts anderes mehr zu bieten zu haben. Habe ich gerade mein ganzes IOS gelöscht? Wenn ja, wo kriege ich ein neues her? Bei Cisco stößt man ja nur an Login-Screens, wo man spezielle Händlerkennwörter eingeben soll. Was kann ich jetzt überhaupt machen? Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 11. Dezember 2003 Melden Teilen Geschrieben 11. Dezember 2003 Hi, mit erase kannst du das Image nicht löschen. Du löschst nur die Config. Wenn du im bootmodus bist kannst du schaue was noch in deinem Flash steht. gib mal ein ? zeichen ein und schaue was dir dir zur Auswahl gibt. Wenn du dann dein bootimage gefunden hast dann kannst du mit boot das Image starten. Wenn ich wieder zuhause bin kann ich nochmal genau schauen was du genau machst. Zitieren Link zu diesem Kommentar
laurasan 10 Geschrieben 11. Dezember 2003 Melden Teilen Geschrieben 11. Dezember 2003 Hallo, wenn beim booten nur Boot# erscheint schreib sh list und er listet dir alles auf. Wenn dein image c 800-........ nicht mehr drin sein sollte, müßtest es von anderen ziehen oder ip-feature pak kaufen. MfG Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 12. Dezember 2003 Autor Melden Teilen Geschrieben 12. Dezember 2003 Hm, "?" und "sh list" funktionieren leider nicht. Nur "list" geht, aber das Ergebnis ist nicht so richtig aufschlußreich für mich: TinyROM version 1.4(1) 19:38 11/07/00 Copyright © 1998-2000 by cisco Systems, Inc. All rights reserved. POST ............ OK. 4MB DRAM, 8MB Flash. Accessing flash:c800-y6-mw.120-7.XV boot flash: failed, "no such file" Configured boot failed, attempting fallback boot. boot# ? ?: failed, "command not found" boot# sh list list: failed, "invalid argument" boot# list Status Size Dev Name ------ 48K flash TinyROM-1.2(2) ------ 48K flash TinyROM-1.4(1) 8064K free 8192K total boot# laurasan: Wenn dein image c 800-........ nicht mehr drin sein sollte, müßtest es von anderen ziehen oder ip-feature pak kaufen. Woher kann man das am besten ziehen? Wäre für einen Tipp dankbar. Zitieren Link zu diesem Kommentar
laurasan 10 Geschrieben 12. Dezember 2003 Melden Teilen Geschrieben 12. Dezember 2003 Hallo, Feature - pack kostet ab 10,00€ anderen Router mit tftp-Server ansonsten PM MfG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.