801 Hilfe gesucht

[kanalracer 10]

Hi,

 

muß ich auch die Einträge der access-listen anpassen?

[scooby 10]

Hi,

 

ne du schreibst einfach nur die zwei sprüche um. Dann läßt du die Access-listen so bestehen. Die Access-liste 101 ist dann für den Dailer zuständig und die access-list 102 ist dann dafür zuständig welche daten nach außen dürfen.

[kanalracer 10]

Hi,

 

sieht ersmal gut aus. Hier (in der Fa.) verhält sich der Router so wie ich es möchte. Wenn der zweite sich bei mir zu Hause auch so verhält, bin ich erstmal zufrieden. Nach dem Test des zweiten Routers werde ich noch mal berichten.

Gibt es eigentlich ein gutes Buch bez. der gesamten Befehlserklärung. Evtl sogar mit Beispielen? Ich möchte gern mehr über Router lernen.

[kanalracer 10]

Hi,

 

habe gestern Abend den Router an einem direkten ISDN Anschluß getestet. Einwahl ok. Auswahl funktioniert nicht so gut, da die IDLE TIME immer neu getriggert wird. Selbst ohne LAN-Anschluß triggert er neu. d.h. die Daten kommen von der ISDN Seite. Kann man da noch was machen?

 

Was muß ich eigentlich in die access-liste eintragen, damit der Router auf einen ping reagiert? Der von Dir beschriebene Befehl "access-list 101 permit tcp any any" funktioniert leider nicht. Weder direkt vom Router als auch vom Netzwerk her.

[scooby 10]

Hi,

 

ping reagiert auch nicht auf TCP. Ein Ping reagiert auf ICMP

also entweder access-list 101 permit icmp any any

oder access-list 101 permit ip any any.

Das dein ISDN Interface immer weider neu getriggert wird con außen und der dashalb die verbindung weiterhin aufrecht erhält kann nicht sein. Wenn du keine Informationen anfordert dann können auch keine zu dir kommen. psote nochmal nur deine access-lsiten. Da muß doch noch irgendetwas unrund sein. Welche IOS versionen fährst du? sh version. Hast du auf beiden Routern die gleiche Version?

[tom12 10]

Hallo,

 

probier dies:

 

 

debug isdn q931

debug ppp authentication (oder so ähnlich)

 

vielleicht findest du was.

 

Weiters:

Kannst du am Dialer1 Interface des Kommando "dialer pool-member 1" eingeben? Wenn ja, mach das.

 

Grüsse

Thomas

[kanalracer 10]

HI,

 

die Router sind exakt gleich. Die IOS Version 12.0(7) ist auf beiden Routern drauf. Aber selbst wenn das LAN Kabel nicht gesteckt ist, triggert die IDLE Time nach. Man kann das auch an den roten Leds für RXD und TXD erkennen.

 

Hier die access-listen

 

ip nat inside source list 102 interface Dialer1 overload

no ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

access-list 101 permit tcp any any eq www log

access-list 101 permit tcp any any eq ftp

access-list 101 permit udp any any eq domain log

access-list 101 permit tcp any any eq smtp

access-list 101 permit tcp any any eq pop3

access-list 102 deny udp any eq netbios-dgm any

access-list 102 deny udp any eq netbios-ns any

access-list 102 deny udp any eq netbios-ss any

access-list 102 deny udp any range snmp snmptrap any

access-list 102 deny udp any range bootps bootpc any

access-list 102 deny tcp any eq 137 any

access-list 102 deny tcp any eq 138 any

access-list 102 deny tcp any eq 139 any

access-list 102 permit ip any any

dialer-list 1 protocol ip list 101

[scooby 10]

Hi,

 

weiterer Versuch:

no access-list 101

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www log

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq ftp

access-list 101 permit udp 192.168.1.0 0.0.0.255 any eq domain log

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq smtp

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq pop3

 

Damit sagst du das es nur aus dem netz 192.168.1.x Daten erlaubt sind. Damit müßten wir das Problem erschalgen haben.

Hat das einen Grund warum du log dahinter geschrieben ahst hinter die daten?

Achso 192.168.1.0 0.0.0.255 Das letzte ist keine Subnet Mask sondern eine Wildcastmask.

[kanalracer 10]

Hi,

 

habe die Änderungen vorgenommen. Sieht erstmal gut aus. Die logs sind wegen meinem Bootproblem gewesen. Mein Virenscanner (MC Affee) hat immer kurz nach dem booten für eine Einwahl gesorgt. Was immer der da auch gemacht hat.

 

Werde das ganze jetzt ein paar Tage beobachten.

[kanalracer 10]

Hi,

 

habe ein neues Problem. Beim Homebanking wird vom Router kein traffic erkannt. (evtl getunnelt) Was muß in die accesslist rein damit auch dieser traffiic die idle time neu triggert?

[scooby 10]

Hi,

 

hatte gehofft das Problem mit den access-listen endlich hin bekommen zu haben. :) Aber Morphis Gesetz hat wieder zugeschalgen und hat wieder ein Frage gestellt auf die ich passen muß leider. Aber eine gerelle Frage um vielleicht bei Cisco eine Antwort zu bekommen: Machst du Hombanking über http mit ssl verschlüsselung oder machst du es über ein extra Programm?

Werden während du deine Eingaben tätigst irgendwelche Daten zwischen Bank und deinem Router ausgetauscht oder wird nichts ausgetauscht?

Wenn Daten ausgetauscht werden kannst du diese mitsniffern und den Port feststellen. Damit könnte man eine access-lsite schreiben die genau diesen Port trifft und damit weiterhin für den Router interesting traffic erzeugt.

Eine ziemlich einfache aber effektive Lösung wäre einfach in die access-list 100 permit icmp 192.168.1.0 0.0.0.255 any einzutragen.

Dann müßtest du immer eine Ping auf eine internetseite machen.

Oder du löscht die access-liste 100 und sagst

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any

Das heißt alle Anfragen von deinem Rechner mit TCP Packeten ins Inet werden als intersting Traffic angesehen und weiter geroutet.

Eine andere Möglichkeit wäre den Router über http zu bedienen. Man kann den Router über http auch konfigurieren. Das heißt du legst dir 2 Favoriten an. Der eine Favoriet sagt no shut aufs Bri Interface und der 2 Favoriet sagt shut aufs interface. Das heißt du würdest wenn du den Rotuer benötigst immer die verbindug aufbauen und dann wieder abbauen.

Wäre irgendetwas von diesen Vorschlägen akzeptabel. Wenn irgendetwas ein bsciehn komisch ausgedrückt ist schreib es einfach. Hab schon ein paar Bier zuviel:)

[kanalracer 10]

Hi,

 

zum Internetbanking gibt es folgendes zusagen. Mein Konto ist bei der psd Bank. Aufgerufen wird das Homebanking ganz normal über http. Welche Verschlüsselung da gewählt wird kann ich nicht sagen. Fest steht, das Daten mit der Bank während dem ausfüllen der Formulare ausgetauscht werden. Ich kann an den roten LED´s am Router auch Traffic erkennen, aber die Idle Time bleibt davon unberührt und trennt die Verbindung nach der eingestellten Zeit.

 

Wie kann man denn die Daten mitscannen? (Mit dem Router?) und was kann man dann an den Daten erkennen? Geht das dann evtl. mit dem Befehl log all?

 

Meines Erachtens können das nur getunnelte Daten sein. Leider habe ich davon überhaupt keine Ahnung.

Wie ist das denn bei den DSL Routern von der Telekom? Da gibt es doch auch Möglichkeiten. Ich kann mir nicht vorstellen das da dann nur eingeschränktes Internetbanking möglich ist.

[scooby 10]

Hi,

 

also Daten mitscannen kannst du ganz einfach mit deinem PC und einen Sniffer. Dann könntest du sehen welche Pots immer benutzt werden und diese in deinem Router einstellen. Mit den DSL-Routern von der Telekom kenne ich mich nicht aus. Ich glaube aber um es bei den zu vereinfachen haben die einfach gesagt jeder Traffic der vom Computer kommt als Interesting traffic markieren und eine Verbindung ins Internet herstellen.

hmm.. ich werde mal schauen ob ich irgendwo eine empfehlung finde welche ports benutzt werden.

[kanalracer 10]

Hi,

 

habe das Problem mit dem Verbindungsabbau erstmal umgangen. Ich start in einem ander Fenster einfach http://www.uhrzeit.org/atomuhr.html

 

Damit wird alle 30 sekunden die idle time neu getriggert.

 

Aber so sollte das nicht auf Dauer bleiben. Bin für alle Infos bezüglich Homebanking und access-list dankbar.

[scooby 10]

Hi,

 

bist du weiter gekommen mit dem Thema Homebanking? Mir ist leider keine weiter Lösung eingefallen.