BlueIcE 10 Geschrieben 24. April 2004 Melden Teilen Geschrieben 24. April 2004 Hi Leutz, hab meinen 801er mal wieder aus dem Schrank gekramt und lustig los configuriert ;-) Ziel ist es eine möglichst sichere Routerconfig zu erstellen. Es soll nicht möglich sein den Router zu pingen bzw. auf interne PC´s zuzugreifen. Als Provider setze ich mal zum testen Arcor Call by Call ein. meine Config: Current configuration : 2706 bytes ! version 12.2 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname IcE-Cisco-801 ! boot system flash c800-y6-mw.122-1.bin logging rate-limit console 10 except errors enable secret 5 xxxxxxxxxxxxxx ! ip subnet-zero no ip source-route ip dhcp excluded-address 192.168.6.200 ! ip dhcp pool IcEpool network 192.168.6.0 255.255.255.0 dns-server 145.253.2.11 default-router 192.168.6.200 ! ip name-server 145.253.2.11 no ip finger no ip dhcp-client network-discovery isdn switch-type basic-net3 isdn voice-call-failure 0 ! ! ! interface Ethernet0 description connected to Ethernet IcE ip address 192.168.6.200 255.255.255.0 no ip redirects no ip proxy-arp ip nat inside no cdp enable ! interface BRI0 no ip address encapsulation ppp shutdown dialer pool-member 1 isdn switch-type basic-net3 no cdp enable ppp authentication pap callin ppp multilink ! interface Dialer1 description connected to Arcor ip address negotiated ip access-group 121 in no ip proxy-arp ip nat outside encapsulation ppp dialer pool 1 dialer remote-name Cisco1 dialer idle-timeout 360 dialer string 01920780 class DialClass dialer hold-queue 10 dialer-group 1 compress mppc no cdp enable ppp authentication pap callin ppp pap sent-username acror password 7 151B0518013825213C ! ip nat inside source list 18 interface Dialer1 overload ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! map-class dialer DialClass access-list 18 permit 192.168.6.0 0.0.0.255 access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit udp any any eq domain access-list 121 permit tcp any any eq smtp access-list 121 permit tcp any any eq pop3 access-list 121 permit tcp any any eq www access-list 121 permit tcp any any eq 443 access-list 121 permit tcp any any eq ftp access-list 121 permit icmp any any echo access-list 121 permit udp any eq domain any dialer-list 1 protocol ip permit no cdp run ! line con 0 exec-timeout 0 0 password 7 xxxx logging synchronous login transport input none stopbits 1 line vty 0 4 exec-timeout 0 0 password 7 xxxx logging synchronous login ! no rcapi server ! ! end so Ihr seit gefragt.... Der router wählt an, hält 20 sec die Verbindung und geht wieder auf down. Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Hi, Ostern sind aber schon vorbei.. lol. Also als erstes würde ich empfehlen das BRI interface auf no shut zu setzen. Desweitern würde ich auf dem Interface bri 0 folgenden Befehl raus schmeißen: ppp authentication pap callin Wenn der Router danach immernoch nicht wählt mach mal ein debug isdn q931 und poste den hier. Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Hi, das mit dem "no shutdown" auf dem BRI0 ist sicher schonmal ein Schritt in die richtige Richtung :D Konfig weiter absichern: - HTTP-Server abschalten - in der Access-List 121 die Netze 10/8, 172.16/12 und 192.168/16 blocken - VTY und Konsole: exec-timeout setzen - VTY und Konsole: Banner setzen - VTY access-list setzen - weiteren externen DNS im DHCP eintragen - Domain-Namen auf dem Router und im DHCP setzen - NetBIOS und 137-139 auch outbound blocken - Zeitserver eintragen, entsprechend konfigurieren dass der nicht permanent die Leitung aufmacht! - Protokollierung aktivieren (Syslog), zumindest mal die Access-Listen damit überwachen Gruss Markus Zitieren Link zu diesem Kommentar
BlueIcE 10 Geschrieben 25. April 2004 Autor Melden Teilen Geschrieben 25. April 2004 Hi Scooby, klar, das der no shut da nicht hingehört ;). Den hab ich nur da rein das ich den Router nicht ausschalten muss, da er ja ständig irgendwie wählt, aber keine Verbindung zustande kommt. Der Router hängt direkt in der NTBA, muss ich da vielleicht noch eine Null vorwählen?! Debug: IcE-Cisco-801# 00:18:54: ISDN BR0: RX <- RELEASE pd = 8 callref = 0x9F 00:18:54: Facility i = 0x91A1120202527802012430093007A1053003020102 00:18:54: - ETSI Supplementary Service, Invoke, AOC-E Charging Units: 2 IcE-Cisco-801# 00:19:37: ISDN BR0: TX -> SETUP pd = 8 callref = 0x16 00:19:37: Bearer Capability i = 0x8890 00:19:37: Channel ID i = 0x83 00:19:37: Called Party Number i = 0x80, '01920780', Plan:Unknown, Type:Unknown 00:19:37: ISDN BR0: RX <- SETUP_ACK pd = 8 callref = 0x96 00:19:37: Channel ID i = 0x89 IcE-Cisco-801# 00:19:38: ISDN BR0: RX <- CALL_PROC pd = 8 callref = 0x96 00:19:38: ISDN BR0: RX <- CONNECT pd = 8 callref = 0x96 00:19:38: Date/Time i = 0x0404190B12 00:19:38: Connected Number i = 0x00C3 00:19:38: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:19:38: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 IcE-Cisco-801# 00:19:38: ISDN BR0: TX -> CONNECT_ACK pd = 8 callref = 0x16 IcE-Cisco-801# 00:19:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up IcE-Cisco-801# 00:19:59: ISDN BR0: RX <- DISCONNECT pd = 8 callref = 0x96 00:19:59: Cause i = 0x8490 - Normal call clearing 00:19:59: Facility i = 0x91A1120202528002012430093007A1053003020101 00:19:59: - ETSI Supplementary Service, Invoke, AOC-E Charging Units: 1 00:19:59: BRI0:1: AOC-E Recorded Units = 1 00:19:59: %ISDN-6-DISCONNECT: Interface BRI0:1 disconnected from 01920780 IcE-Cisco-801, call lasted 20 seconds 00:19:59: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down 00:19:59: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di1 00:19:59: ISDN BR0: TX -> RELEASE pd = 8 callref = 0x16 00:19:59: Cause i = 0x8090 - Normal call clearing 00:19:59: ISDN BR0: RX <- RELEASE_COMP pd = 8 callref = 0x96 00:20:00: ISDN BR0: TX -> SETUP pd = 8 callref = 0x17 00:20:00: Bearer Capability i = 0x8890 00:20:00: Channel ID i = 0x83 00:20:00: Called Party Number i = 0x80, '01920780', Plan:Unknown, Type:Unknown 00:20:00: ISDN BR0: RX <- SETUP_ACK pd = 8 callref = 0x97 00:20:00: Channel ID i = 0x89 00:20:00: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to down 00:20:01: ISDN BR0: RX <- CALL_PROC pd = 8 callref = 0x97 00:20:01: ISDN BR0: RX <- CONNECT pd = 8 callref = 0x97 00:20:01: Date/Time i = 0x0404190B13 00:20:01: Connected Number i = 0x00C3 00:20:01: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up 00:20:01: %DIALER-6-BIND: Interface BR0:1 bound to profile Di1 00:20:01: ISDN BR0: TX -> CONNECT_ACK pd = 8 callref = 0x17 00:20:01: %DIALER-6-UNBIND: Interface BR0:1 unbound from profile Di1 00:20:02: ISDN BR0: TX -> DISCONNECT pd = 8 callref = 0x17 00:20:02: Cause i = 0x8090 - Normal call clearing 00:20:02: ISDN BR0: RX <- RELEASE pd = 8 callref = 0x97 00:20:02: Facility i = 0x91A11202028F2F02012430093007A1053003020101 00:20:02: - ETSI Supplementary Service, Invoke, AOC-E Charging Units: 1 00:20:02: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down IcE-Cisco-801# 00:20:02: BRI0:1: AOC-E Recorded Units = 1 00:20:02: ISDN BR0: TX -> RELEASE_COMP pd = 8 callref = 0x17 Zitieren Link zu diesem Kommentar
BlueIcE 10 Geschrieben 25. April 2004 Autor Melden Teilen Geschrieben 25. April 2004 Hi Blacky_24, thx für die tipps! Die meissten verstehen sich von selber, abdere musst du mir erklären. http is klar access list ist klar würde mich aber nicht ärgern wenn du mal eine geile Vorlage oder ein Edit postest ;-) VTY und Console hab ich nur zum Konfigurieren auf 0 gestellkt, da ich sonst bald die Krätze bekommen hätte ;) Banner is schon drin, ist aber kitschig *g* DNS mach ich noch den 2. von arcor rein Domain Namen, wofür?! Netbios auf outbound, mach ich da am besten noch mal eine liste für das eth0? ala "ip access-group 131 out" ??? zeitserver... kanst du mal die entsprechenden Zeilen Posten?! syslog hab ich grad reingemacht... Vielen Dank schon mal für die Klasse Tipps!!!!!! Zitieren Link zu diesem Kommentar
BlueIcE 10 Geschrieben 25. April 2004 Autor Melden Teilen Geschrieben 25. April 2004 mein Banner :-) This is pirvate area!!! Leave imediantly if you are not authorized to log in. You IP has been logged! Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Hi, Dein Dialer-Problem liegt auf den ersten Blick in den Debug nicht am ISDN. Gib mir mal einen debug ppp auth Zeitsynchronisation: clock timezone met 1 clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00 ntp server 10.100.1.101 version 1 service timestamps log datetime localtime Frag mal die Hilfe mit "ntp server ?" wegen den Optionen, irgendwo kann man da Synchronisationsintervalle setzen. (ich habe intern einen NTP stehen als Zeitreferenz, reicht wenn der sich mit einem öffentlichen NTP abgleicht, muss nicht jedes Netzwerkdevice selber machen, ausserdem ist es "guter Stil", die öffentlichen NTP nicht mit vermeidbaren Anfragen zu belasten). Öffentliche NTP z.B. ntp1.ptb.de und ntp2.ptb.de, weitere google. Auf das Ethernet vielleicht noch: ntp broadcast client (muss nicht sein) Access-Liste auf Dialer: (ist ein Auszug von meiner Konfig, möglicherweise funktioniert bei Dir das nicht alles weil ich erstens einen 3620er verwende und zweitens ein ziemlich aktuelles IOS Plus mit 3DES/FW habe): interface Dialer0 description Backup zu ISP wenn DSL futsch ip address negotiated ip access-group 100 in no ip directed-broadcast ip nat outside ip inspect 3620firewall out encapsulation ppp dialer remote-name blafasel dialer string 4711 dialer pool 1 dialer-group 1 priority-group 1 no cdp enable ppp authentication pap ppp pap sent-username nixiss password xxxxx access-list 100 deny ip 192.168.0.0 0.0.255.255 any log access-list 100 deny ip 172.16.0.0 0.15.255.255 any log access-list 100 deny ip 10.0.0.0 0.255.255.255 any log access-list 100 deny ip 127.0.0.0 0.255.255.255 any log access-list 100 deny ip 224.0.0.0 31.255.255.255 any log (Damit blocke ich alle Pakete von Absendern die nach der höheren Lehre der reinen und wahren IP-Wissenschaften an einem externen Interface eigentlich nie auftauchen sollten, interessanterweise filtert fast kein ISP diese Netze auf seinen Routern so dass man permanent Hits auf diese Einträge hat. Das "log" am Ende weist den Router an, entsprechende Matches auf den Syslog zu schreiben. Und wenn wir schon gerade dabei sind, den Laden zuzumachen: access-list 100 permit tcp any any established access-list 100 permit tcp any any ack access-list 100 deny tcp any any log access-list 100 deny udp any eq netbios-dgm any access-list 100 deny udp any eq netbios-ns any access-list 100 deny udp any eq netbios-ss any access-list 100 deny tcp any eq 137 any access-list 100 deny tcp any eq 138 any access-list 100 deny tcp any eq 139 any access-list 100 deny udp any any eq snmp log access-list 100 deny udp any any eq 79 log access-list 100 deny udp any any eq rip log access-list 100 deny udp any any eq bootpc log access-list 100 deny udp any any eq bootps log access-list 100 deny udp any any eq snmptrap log access-list 100 deny udp any any eq sunrpc log access-list 100 deny udp any any eq syslog log access-list 100 deny udp any any eq ntp log access-list 100 permit udp any any access-list 100 deny icmp any any information-request log access-list 100 deny icmp any any mask-request log access-list 100 deny icmp any any router-advertisement log Das mit dem interesting Traffic habe ich auch etwas enger gefasst: access-list 1 permit 10.100.1.0 0.0.0.255 access-list 1 deny any ip nat inside source list 1 interface Dialer0 overload Im Gegensatz zum gängigen "dialer-list 1 protocol ip permit" macht mein Dialer nur auf wenn ein IP-Paket aus meinem internen Netz nach draussen will, könnt ja jeder kommen. Wenn Du den HTTP-Server unbedingt laufen lassen willst: ip http server ip http access-class 1 (access-list 1 siehe oben) Damit ist der Zugriff auf das interne Netz beschränkt. Analog Telnet: line vty 0 4 access-class 1 in access-class 6 out Access-List 1 siehe oben. Fehlende Access-List nachreich: access-list 6 deny any Etwas Routing gefällig? router ospf 1 redistribute connected network 10.100.1.0 0.0.0.255 area 0 ip route 0.0.0.0 0.0.0.0 10.100.1.254 10 1 ip route 0.0.0.0 0.0.0.0 Dialer0 50 2 Routing ist bei Dir wahrscheinlich nicht sinnvoll - oder hast Du weitere - direkte oder indirekte - Pfade ins Internet? Gruss Markus Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Achso, spar Dir die redundanten Einträge. Wenn Du CDP mit no cdp run schon Global abschaltest ist das no cdp enable auf den Interfaces / Dialern obsolet. Analog das ganze PPP-Geraffel auf dem BRI - fackel das nach Möglichkeit auf dem Dialer ab. Hat was mit Lesbarkeit zu tun und hilft bei der Fehlersuche :D - der redundante Kram führt da gerne in die Irre wenn man denkt man hat was rausgeschmissen und an anderer Stelle stehts doch noch drin. Gruss Markus Zitieren Link zu diesem Kommentar
BlueIcE 10 Geschrieben 25. April 2004 Autor Melden Teilen Geschrieben 25. April 2004 Hi Leutz!! ich möchte mich zuerstmal für die tatkräftige Hilfe bedanken!!! Ich hab die fertige Config mal als Datei- Anhang beigefügt, weil ich auch ewig gesucht habe und leider immer nur "nichtfunktionierende" Configs gefunden habe. (bzw. halt immer welche mit denen es irgendein prob gab.) >>>>>>>>>>>>>>>>>> Das ursprüngliche Problem war allerdings, das Arcor anscheinend nur chap als auth. Methode zulässt!! <<<<<<<<<<<<<<<<<< So eine Frage hab ich aber noch... Der Time Sync geht wunderbar, nur wann wird der gemacht?! Beim hochfahren von Dialer1? Eine noch :-) Ich hab jetzt mal die Line: logging buffered 8000 reingesetzt er macht immer automatisch logging buffered 8000 debugging draus. Warum? Und wie sehe ich das log nun mit z.B. mit dem Kiwi Syslog Tool? Und noch eine *g* Wie sehe ich welcher Traffic von welchen Client meinen hold Timer wieder hochsetzt? Danke nochmal! IcE /P.S. mist ..hab die 100 no cdp ena noch drin.. *zu Blacky schiel* Zitieren Link zu diesem Kommentar
BlueIcE 10 Geschrieben 25. April 2004 Autor Melden Teilen Geschrieben 25. April 2004 Hmm, Datei hat nach Vorschau machen gefehlt?! board-finish.txt Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Hi, ich sehe gerade in deiner Config nicht den Time-Sync. Aber ja wenn das Interface Dialer 1 up geht wird der Time-Sync gemacht. Das liegt daran, das in der Access-List 100 nur protocol ww dns etc. definiert sind die es erlauben das Interface hoch zu fahren. Wenn du in der Access-Liste 100 ntp erlauben würdest dann würde der Router in regelmäßigen abständen die Verbindung hoch nehmen. Zu deinen anderen Fragen kann ich dir leider keine Antwort geben. Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 25. April 2004 Melden Teilen Geschrieben 25. April 2004 Grübel, murmel, kopfkratz ..... Logging auf Syslog, z.B. Kiwi: Wo sagst Du dem Router denn wohin er protokollieren soll? logging 10.100.1.100 logging 10.100.1.101 steht bei mir in der Konfig (ein Eintrag reicht natürlich). Wenn Dir die Zeitstempel im Syslog etwas verschoben erscheinen in Bezug auf Deine Ortszeit mag das hier noch eine gewisse Anpassung bringen: service timestamps log datetime localtime Wenn Du XP verwendest denke bitte daran, ggf. in den Netzwerkeinstellungen die Firewalleinstellungen entsprechend anzupassen dass XP die Syslog-Pakete durchlässt, da habe ich mich in den Anfangszeiten von XP mal zu Tode gesucht. Weiterhin mit DHCP und Serverdiensten aufpassen, ggf. für den Rechner mit dem Syslogd eine Reservation im DHCP anlegen dass der vom Router immer dieselbe IP kriegt. Das hier: dialer-list 1 protocol ip list 100 dünkt mir in Kombination mit Deiner Access-list 100 access-list 100 permit udp any any eq domain access-list 100 permit tcp any any eq pop3 access-list 100 permit tcp any any eq www access-list 100 permit tcp any any eq ftp access-list 100 permit icmp any any pfiffig! Würde trotzdem auch noch eine Beschränkung auf die zugelassenen Netze einbauen. Wegen dem hold timer debug dialer schreibt die Dialer-Ereignisse auf den Syslog bzw. auf die Konsole, u.a. steht darin wenn der Router "interesting traffic" i.S.v. Deiner Access-List 100 erkannt hat und woher der Traffic kam. Du kannst noch an die internen Access-Listen jeweils ein deny ip any any log anhängen. Im Prinzip steht das sowieso schon drin - allerdings ohne das "log". Mit dem "log" protokolliert der Router die verworfenen Pakete, das kann bei einer ev. Fehlersuche sehr hilfreich sein. In dem Fall bei weiteren Ergänzungen der Access-Lists bedenken, dass neue Statements immer am Ende angehängt werden! Gruss Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.