Nightwalker_z 10 Geschrieben 16. Juni 2004 Melden Teilen Geschrieben 16. Juni 2004 Die Elendsgeschichte will keine Ende nehmen ;) Folgendes: Ich will mich in meinem Cisco 1003 Einwählen und somit in mein lokales Netzwerk. Hab nen Rechner (192.168.0.22) und nen Router (192.168.0.254). Das Einwählen und Authentifizieren am Router hab ich geschafft. Auf dem Remote PC kann ich den Router mit seiner 192.168.0.254 Adresse anpingen und nen Telnet druff machen. Nur ich erreiche den PC nicht über ping..... würde dann an dem Remote PC gerne sowas machen wie "net use x: 192.168.0.22/NeuerOrdner" Ich denke das ist bei mir nur ein Routingproblem oder was weiss ich ;-) Hier ein bisserl Konfig: Building configuration... Current configuration : 2809 bytes ! ! Last configuration change at 11:14:19 mest Wed Jun 16 2004 ! NVRAM config last updated at 11:14:20 mest Wed Jun 16 2004 ! version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime service password-encryption service udp-small-servers service tcp-small-servers ! hostname NW_ISDN_01 ! enable password xxx ! username xxx password xxx ! ! ! ! clock timezone met 1 clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip domain-lookup ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip access-group 102 out no ip proxy-arp ip nat inside no cdp enable ! interface BRI0 no ip address ip access-group 103 in encapsulation ppp dialer pool-member 1 isdn switch-type basic-net3 no cdp enable ppp authentication chap pap callin ! interface Dialer1 description Arcor Internet ip address negotiated no ip proxy-arp ip nat outside encapsulation ppp dialer pool 1 dialer remote-name ISP dialer idle-timeout 90 dialer string 0192076 dialer-group 1 peer default ip address 192.168.0.10 no cdp enable ppp authentication chap pap callin ppp chap hostname arcor ppp chap password xxx ppp pap sent-username arcor password xxx ! ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 5190 access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq www any access-list 102 permit tcp any eq ftp any access-list 102 permit tcp any eq domain any access-list 102 permit udp any eq domain any access-list 102 remark SSH Viewer access-list 102 permit tcp any eq 22 any access-list 102 remark Miranda IM access-list 102 permit tcp any eq 5190 any access-list 102 remark VNC Viewer access-list 102 permit tcp any eq 5900 any access-list 102 remark HTTPs access-list 102 permit tcp any eq 443 any access-list 102 permit icmp any any access-list 103 remark RPC - Blaster protection access-list 103 deny tcp any eq 135 any access-list 103 remark LSASS - Sasser protection access-list 103 deny tcp any eq 445 any access-list 103 deny tcp any eq telnet any access-list 103 deny tcp any eq finger any dialer-list 1 protocol ip list 101 no cdp run snmp-server community xxx RO ! line con 0 password xxx login line vty 0 4 password xxx login ! sntp server 194.97.4.214 sntp server 192.53.103.103 end Und noch was. Sind meine Accesslisten richtig ? Die 101er soll der interesting traffic sein (damit wählt er sich ein) Die 102er soll das sein, was durch mein LAN interface ETH 0 durch darf. In der 103er sollen Sachen rein, die auf keinen Fall ins Bri interface dürfen. Grüsse Nightwalker_z Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 18. Juni 2004 Autor Melden Teilen Geschrieben 18. Juni 2004 Weiss denn keiner ne Antwort warum ich nicht in mein lokales LAN komme ???? Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 21. Juni 2004 Melden Teilen Geschrieben 21. Juni 2004 Hi, ich versuch mich verständlich auszudrücken... Erstelle am besten ein weiteres Dialer Interface (Dialer2). Und gib dem eine private Adresse mit einer Subetmask von 30 Bit (z. B. 192.168.100.1/30). Verwende chap. konfigurier auch "ppp chap callin" username und password sind eh schon angelegt. Am anderen Router (der sich einwählt) die IP 192.168.100.2/30 und am Dialer musst du dort den "dialer-string xxxxxx" und "ppp chap username xxxx" und "ppp chap password yyyy" konfigurieren. Die Routen fehlen: Angenommen das 2. Netz ist die 192.168.2.0/24: ip route 192.168.0.0 255.255.255.0 dialer(von Router 2) und am anderen Router (auf dem du dich einwählst): ip route 192.168.2.0 255.255.255.0 dialer2 Die Default-Route kannst du so lassen. Auf eiden Seiten noch ACL für Intresting Traffic setzen. Soll auch broadcast darüer laufen : "ip directed-broadcast" an den Dialer Interfaces (hab ich nie versucht). Zu deinen ACL´s: Die ACL am Dialer Interface sollte so aussehen: access-list xyz deny tcp any any eq 135 ..... Diese Würmer/Attacken gehen auf Destination Ports (445, 135). Hoffe es hat dir geholfen. Grüsse Thomas Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 22. Juni 2004 Autor Melden Teilen Geschrieben 22. Juni 2004 Huuups .... danke wegen der ACL Korrektur. Das kommt davon wenn man sowas zu schnell macht (da vergisst man schon ein "any") :D Ich wähle mich nicht über nen anderen Router ein, sondern über ne andere ISDN Karte. Die IP-Adresse, die die ISDN Karte zugewiesen bekommt, bestimmt der Router. Wie muss ich in diesem Fall die Routen setzen ? Hier der Code für den Dialer 2 interface Dialer2 description Dial-in no ip address encapsulation ppp peer default ip address pool dialinpool pulse-time 0 ppp authentication chap pap callout ! ip local pool dialinpool 192.168.0.10 192.168.0.20 Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 22. Juni 2004 Melden Teilen Geschrieben 22. Juni 2004 Hi, hab da irgendwas falsch verstanden... Weiss nicht genau wie das zu konfigurieren ist. Auf alle Fälle würde ich dem einwählenden PC und dem Dialer Interface ein anderes Subnet geben, somit machst du Routing zw. den beiden Netzen. Wenn du eingewählt bist und die Ethernet des Routers pingen kannst sollte der Rest auch gehen.... Grüsse Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 22. Juni 2004 Autor Melden Teilen Geschrieben 22. Juni 2004 Das Pingen des Routers geht bereits.... ich komm von Remote sogar auf ihn via Telnet. Vom Router aus kann ich auch mein lokales LAN anpingen.... Nur direkt von der Kommandozeile des Remoterechners bekomm ich keine Connection zu meinem LAN. Deshalb ist es - denke ich zumindest ein Routingproblem Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 22. Juni 2004 Melden Teilen Geschrieben 22. Juni 2004 Verwende am Dialer2 ein anderes Netz!! Der Router kennt sich sonst nicht rech aus. Wohin sollen die PAkete für 192.168.0.0/24 geroutet werden: Dialer oder Ethernet?! also auf Dialer2 z.B. 192.168.111.0/24 dann sollte es klappen.... ansonsten: soald du am Router eingewählt ist mach an deinem REmote PC : - ipconfig - tracert <IP eines PCs im LAN hinter Router> Am Router: sh ip route ---> sind die Routen für beide Netzt da? Viel Glück Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 22. Juni 2004 Autor Melden Teilen Geschrieben 22. Juni 2004 Hallöchen, erst mal vielen Dank für die Tipps.... Die idee mit dem anderen Netz hab ich auch heute morgen gehabt. Dem Rechner, der sich einwählt bekommt ne 192.168.1.0/24 Adresse (siehe Konfig). Dann ist mir noch die Idee gekommen, dass ich ans Bri interface ja auch noch den zweiten Dialer installieren könnte (dialer pool-member 2). Die Route ist mittlerweile auch da.... Jetzt hab ich ein anderes Problem - wenn ich mich versuche via DFÜ auf dem Router einzuwählen, bekomm ich folgende Message (am Windows PC): TCP/IP CP gemeldeter Fehler 733: Das PPP-Steuerungsprotokoll für dieses Protokoll ist auf dem Server nicht verfügbar Aha - Bahnhof ;-) Hat jemand ne Lösung ? Hier ist meine aktuelle Konfig version 12.1 no service single-slot-reload-enable no service pad service timestamps debug uptime service timestamps log uptime service password-encryption service udp-small-servers service tcp-small-servers ! hostname NW_ISDN_01 ! enable password xxxxxxx ! username xxxxxxx password xxxxxxx ! ! clock timezone met 1 clock summer-time mest recurring last Sun Mar 2:00 last Sun Oct 3:00 ip subnet-zero no ip domain-lookup ! isdn switch-type basic-net3 ! ! ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip access-group 102 out no ip proxy-arp ip nat inside no cdp enable ! interface BRI0 no ip address ip access-group 103 in no ip proxy-arp encapsulation ppp dialer pool-member 2 dialer pool-member 1 isdn switch-type basic-net3 isdn calling-number 6526018 no cdp enable ! interface Dialer1 description Arcor Internet ip address negotiated ip nat outside encapsulation ppp dialer pool 1 dialer string 0192076 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname arcor ppp chap password xxxxxxx ppp pap sent-username arcor password xxxxxxx ! interface Dialer2 description Dial-in no ip address encapsulation ppp dialer pool 2 dialer called 6526018 no peer default ip address ppp authentication pap chap callout ! ip local pool dialinpool 192.168.1.10 192.168.1.20 ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.1.0 255.255.255.0 Dialer2 no ip http server ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 5190 access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq www any access-list 102 permit tcp any eq ftp any access-list 102 permit tcp any eq domain any access-list 102 permit udp any eq domain any access-list 102 remark SSH Viewer access-list 102 permit tcp any eq 22 any access-list 102 remark Miranda IM access-list 102 permit tcp any eq 5190 any access-list 102 remark VNC Viewer access-list 102 permit tcp any eq 5900 any access-list 102 remark HTTPs access-list 102 permit tcp any eq 443 any access-list 102 permit icmp any any access-list 103 remark RPC - Blaster protection access-list 103 deny tcp any any eq 135 access-list 103 remark LSASS - Sasser protection access-list 103 deny tcp any any eq 445 access-list 103 deny tcp any any eq finger dialer-list 1 protocol ip list 101 no cdp run snmp-server community xxxxxxx RO ! line con 0 password xxxxxxx login line vty 0 4 password xxxxxxx login ! sntp server 194.97.4.214 sntp server 192.53.103.103 end Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 22. Juni 2004 Melden Teilen Geschrieben 22. Juni 2004 Entferne am bri0 den <dialer pool-member 2>. Dialer2 gibst du in den Dialer pool 1. Am Dialer2: sollte es nicht ppp authentication pap chap callin sein...? mach am Router ein deb ppp negotiation deb ppp authentication wenn kein Output kommt: debug isdn q921 debug isdn q931 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.