Und wieder mal ein C 801 Problem

[realYeti 10]

Hallo Leute !

 

Danke eines super netten Bekannten ;) Hab ich nun eine neue IOS mit FW druf - hat gleich auf Anhieb geklappt.

 

Nun ist das Einrichten mit dem Tool Fast Step ja toll (schnell) - jedoch spezifische Parameter wie offene Ports oder ähnliches nicht konfigurierbar. Na ja es gibt ja noch den Config Maker - hab da ne super config gemacht, aber der Router will die nicht nehmen - bricht beim überspielen dauernd ab - wiedereinmal liegt das Problem wahrscheinlich for dem Rechner :(

 

Severe Warning: Only the first name server with IP address 213.33.99.70(=DNS - is von mir eingefügt zum besseren verständniss) is preserved. The rest are removed.

Warning: Since no IP routing protocol is enabled on your router, RIP version 2 is enabled.

Severe Warning: The line console must be configured with 'login'. This is required by Cisco ConfigMaker. When you login to this router, it will only prompt for the password configured on this line.

Severe Warning: All line vtys must be configured with 'login'. This is required by Cisco ConfigMaker. When you telnet to this router, it will only prompt for the password configured on this line.

Severe Warning: Setting login password to '' since it was not set.

Warning: There are some commands that are not recognized by Cisco ConfigMaker. In the right pane above, scroll down to the end of the IOS configuration to view these appended commands.

 

Was will der denn das ich ändere ?

soll ich mal die Konfiguration anhängen die ich erstellt hab ?

 

MfG

 

Yeti :D

 

Edit:

 

!

service timestamps debug uptime

service timestamps log uptime

service password-encryption

no service tcp-small-servers

no service udp-small-servers

!

hostname Router

!

enable secret 5 $1$I/PY$Djvje0kpNNMFVmiQ0/fx00

username Router password 7 *********

!

ip name-server 213.33.99.70 (=DNS Adresse von mir - gibt noch ne zweite)

!

isdn switch-type basic-net3

!

ip subnet-zero

ip domain-lookup

ip routing

!

interface Dialer 1

description connected to Internet

ip address *********** 255.255.255.252

ip nat outside

no ip split-horizon

encapsulation ppp

dialer in-band

dialer idle-timeout 300

dialer string (Nummer die angerufen wird) class 56K

dialer hold-queue 10

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname ************

ppp chap password 7 ***************

ppp pap sent-username ********** password 7 ***************

no ppp multilink

no cdp enable

!

interface Ethernet 0

no shutdown

description connected to EthernetLAN

ip address 192.168.0.1 255.255.255.0

ip nat inside

keepalive 10

!

interface BRI 0

no shutdown

description connected to Internet

no ip address

dialer rotary-group 1

!

map-class dialer 56K

dialer isdn speed 56

!

! Access Control List 18

!

no access-list 18

access-list 18 permit 192.168.0.0 0.0.0.255

!

! Access Control List 121

!

no access-list 121

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny tcp any eq netbios-ns any

access-list 121 deny tcp any eq netbios-dgm any

access-list 121 deny tcp any eq 139 any

!

! Dialer Control List 1

!

no dialer-list 1

dialer-list 1 protocol ip permit

!

! Dynamic NAT

!

ip nat translation timeout 86400

ip nat translation tcp-timeout 86400

ip nat translation udp-timeout 300

ip nat translation dns-timeout 60

ip nat translation finrst-timeout 60

ip nat inside source list 18 interface Dialer 1 overload

!

! DHCP Server

!

service dhcp

ip dhcp pool 1

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server 213.33.99.70 80.120.17.70

!

router rip

version 2

network 192.168.0.0

passive-interface Dialer 1

no auto-summary

!

!

ip classless

!

! IP Static Routes

ip route 0.0.0.0 0.0.0.0 Dialer 1

no ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

!

line console 0

exec-timeout 0 0

login

transport input none

!

line vty 0 4

exec-timeout 0 0

login

! Das untere schreibt er mir in blau ???

! The following commands are not recognized by Cisco ConfigMaker

! and are therefore appended here.

!

! Last configuration change at 12:38:31 UTC Wed Sep 1 2004

! NVRAM config last updated at 12:10:57 UTC Wed Sep 1 2004

!

interface Ethernet 0

ip access-group 121 in

no ip proxy-arp

!

interface Dialer 1

ip access-group 121 in

no ip proxy-arp

dialer max-call 4096

access-list 121 deny udp any eq netbios-ss any

access-list 121 permit ip any any time-range TIME

rcapi server port 2578

time-range TIME

periodic daily 0:00 to 23:59

!

end

[Blacky_24 10]

Es steht doch klipp und klar da was der will?!?!

 

Welche Config Maker-Version verwendest Du?

 

Gruss

Markus

[realYeti 10]

Es steht doch klipp und klar da was der will?!?! - sorry leider kenn ich mich mit dem Gerät überhabt nicht aus :(

 

Config Maker 2.6

 

So long

 

Yeti :D

[realYeti 10]

Da ist noch ein weit größeres Problem nun auf mich zugekommen - Der Router disconnektet nimmer - bzw nach traffik im internen LAN wählt er sich wieder ein - das gibt´s doch net hört die Pechsträne von mir den nie auf :( :( :(

 

Hab jetzt schon den 20 versuch mit fast step hinter mir - will net - was mache ich falsh bzw. was soll ich wo ändern, das er den internen Traffik nimmer brücksichtigt ?

 

Danke für die Antwort

 

Yeti :D

[realYeti 10]

Ich raff jetzt garnicht´s mehr - hab schon soviel gelesen hier das mir der Kopf rauch :(

 

Also das mit dem "wiederverbinden" hängt an der Access List richtig ?

Jo also wie lese ich dann das config file aus - editiere es richtig und spiele es wieder ein ? Und wie kann ich die Firewall einrichten - schade das der Config maker net geht :(

 

Meine jetzige conf sieht jedenfalls so aus:

 

!

service timestamps debug uptime

service timestamps log uptime

service password-encryption

no service tcp-small-servers

no service udp-small-servers

!

hostname Router

!

enable secret 5 *************

username Router password 7 **********

!

ip name-server 213.33.99.70

!

isdn switch-type basic-net3

!

ip subnet-zero

ip domain-lookup

ip routing

!

interface Dialer 1

description connected to Internet

ip address *********** 255.255.255.252

ip nat outside

no ip split-horizon

encapsulation ppp

dialer in-band

dialer idle-timeout 300

dialer string ********* class 56K

dialer hold-queue 10

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname **************

ppp chap password 7 **************

ppp pap sent-username ********** password 7 ***************

no ppp multilink

no cdp enable

!

interface Ethernet 0

no shutdown

description connected to EthernetLAN

ip address 192.168.0.1 255.255.255.0

ip nat inside

keepalive 10

!

interface BRI 0

no shutdown

description connected to Internet

no ip address

dialer rotary-group 1

!

map-class dialer 56K

dialer isdn speed 56

!

! Access Control List 18

!

no access-list 18

access-list 18 permit 192.168.0.0 0.0.0.255

!

! Access Control List 101

!

no access-list 101

access-list 101 deny udp any eq netbios-dgm any

access-list 101 deny udp any eq netbios-ns any

access-list 101 deny tcp any eq netbios-ns any

access-list 101 deny tcp any eq netbios-dgm any

access-list 101 deny tcp any eq 139 any

access-list 101 deny ip any any

!

! Access Control List 111

!

no access-list 111

access-list 111 deny ip any any

!

! Dialer Control List 1

!

no dialer-list 1

dialer-list 1 protocol ip permit

!

! Dynamic NAT

!

ip nat translation timeout 86400

ip nat translation tcp-timeout 86400

ip nat translation udp-timeout 300

ip nat translation dns-timeout 60

ip nat translation finrst-timeout 60

ip nat inside source list 18 interface Dialer 1 overload

!

! DHCP Server

!

service dhcp

ip dhcp pool 1

network 192.168.0.0 255.255.255.0

default-router 192.168.0.1

dns-server *********** ***********

!

router rip

version 2

network 192.168.0.0

passive-interface Dialer 1

no auto-summary

!

!

ip classless

!

! IP Static Routes

ip route 0.0.0.0 0.0.0.0 Dialer 1

no ip http server

snmp-server community public RO

no snmp-server location

no snmp-server contact

!

line console 0

exec-timeout 0 0

login

transport input none

!

line vty 0 4

exec-timeout 0 0

login

!

! The following commands are not recognized by Cisco ConfigMaker

! and are therefore appended here.

!

! Last configuration change at 17:17:17 UTC Wed Sep 1 2004

! NVRAM config last updated at 16:25:42 UTC Wed Sep 1 2004

ip inspect name firewall cuseeme

ip inspect name firewall fragment maximum 256 timeout 1

ip inspect name firewall ftp

ip inspect name firewall http

ip inspect name firewall h323

ip inspect name firewall realaudio

ip inspect name firewall smtp

ip inspect name firewall sqlnet

ip inspect name firewall streamworks

ip inspect name firewall tftp

ip inspect name firewall vdolive

ip inspect name firewall tcp

ip inspect name firewall udp

!

interface Ethernet 0

ip access-group 101 in

no ip proxy-arp

!

interface Dialer 1

ip access-group 111 in

no ip proxy-arp

ip inspect firewall out

dialer max-call 4096

access-list 101 deny udp any eq netbios-ss any

access-list 101 permit ip 192.168.0.0 0.0.0.255 any time-range TIME

access-list 101 permit udp any any eq bootps time-range TIME

access-list 111 permit icmp any any administratively-prohibited time-range TIME

access-list 111 permit icmp any any echo time-range TIME

access-list 111 permit icmp any any echo-reply time-range TIME

access-list 111 permit icmp any any packet-too-big time-range TIME

access-list 111 permit icmp any any time-exceeded time-range TIME

access-list 111 permit icmp any any traceroute time-range TIME

access-list 111 permit icmp any any unreachable time-range TIME

rcapi server port 2578

time-range TIME

periodic daily 0:00 to 23:59

!

end

 

Yeti

[scooby 10]

Hi,

 

sag doch bitte einmal welcher Traffic den Router dazu bewegen sollte eine Verbindung her zu stellen?? z.b. nur http ftp smtp pop3?

Desweitern nach welcher Zeit soll er weider ein disconnected machen?

[realYeti 10]

Hy

scooby !

 

Dachte zuerst das wären beine dboxen - da ich aber nu alles ausgesteckt hab können die´s ja wohl nicht sein :(

 

ALso legt der Router nicht auf :mad:

 

Tja - werde weiterprobieren.

 

So long

 

Yeti :D

[realYeti 10]

Sorry - doppelposting

[realYeti 10]

Sodala - hab wieder viiiiiiiiiieeeeeeeeell gelesen.

 

Nun bin ich zu dem Schluß gekommen, das ich doc eigentlich nur das config per tftp schieben muß - es zu editieren - und fertig ? Is das richtig ? Nun habe ich gemacht:

 

!

! Last configuration change at 16:29:07 UTC Thu Sep 2 2004

! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004

!

version 12.1

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging buffered 8192 debugging

enable secret 5 **********************

!

username Router password 7 *******

!

!

!

!

ip subnet-zero

no ip source-route

!

ip dhcp pool DHCPPoolLAN_0

network 192.168.0.0 255.255.255.0

dns-server 213.33.99.70 80.120.17.70

default-router 192.168.0.1

!

ip inspect name firewall cuseeme

ip inspect name firewall fragment maximum 256 timeout 1

ip inspect name firewall ftp

ip inspect name firewall http

ip inspect name firewall h323

ip inspect name firewall realaudio

ip inspect name firewall smtp

ip inspect name firewall sqlnet

ip inspect name firewall streamworks

ip inspect name firewall tftp

ip inspect name firewall vdolive

ip inspect name firewall tcp

ip inspect name firewall udp

ip name-server 213.33.99.70

ip name-server 80.120.17.70

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip access-group 101 in

no ip proxy-arp

ip nat inside

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

ppp authentication chap pap callin

!

interface Dialer1

description ISP

ip address ************ *************

ip access-group 111 in

no ip proxy-arp

ip nat outside

ip inspect firewall out

encapsulation ppp

no ip split-horizon

dialer remote-name Cisco1

dialer pool 1

dialer idle-timeout 300

dialer string ************* class DialClass

dialer hold-queue 10

dialer max-call 4096

dialer-group 1

pulse-time 0

ppp authentication chap pap callin

ppp chap hostname ***************

ppp chap password 7 ****************

ppp pap sent-username ************ password 7 **************

!

ip nat inside source list 18 interface Dialer1 overload

no ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

map-class dialer DialClass

access-list 18 permit 192.168.0.0 0.0.0.255

access-list 101 deny udp any eq netbios-dgm any

access-list 101 deny udp any eq netbios-ns any

access-list 101 deny udp any eq netbios-ss any

access-list 101 deny tcp any eq 137 any

access-list 101 deny tcp any eq 138 any

access-list 101 deny tcp any eq 139 any

access-list 101 permit ip 192.168.0.0 0.0.0.255 any time-range TIME

access-list 101 permit udp any any eq bootps time-range TIME

access-list 101 deny ip any any

access-list 111 permit icmp any any administratively-prohibited time-range TIME

access-list 111 permit icmp any any echo time-range TIME

access-list 111 permit icmp any any echo-reply time-range TIME

access-list 111 permit icmp any any packet-too-big time-range TIME

access-list 111 permit icmp any any time-exceeded time-range TIME

access-list 111 permit icmp any any traceroute time-range TIME

access-list 111 permit icmp any any unreachable time-range TIME

access-list 111 deny ip any any

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 120 0

transport input none

stopbits 1

line vty 0 4

exec-timeout 0 0

login local

!

rcapi server port 2578

!

!

time-range TIME

periodic daily 0:00 to 23:59

!

end

 

Nun bräuchte ich doch nur mehr zu editieren was ich will oder sehen ich das falsch ?

 

Bei dieser config - hängt der Router nimmer auf, und läßt mich keine mails verschicken (per SMTP) desweiteren weis ich nich wo zur Hölle ich in der Console die Firewall bearbeiten kann ? müßte da ein paar Ports öffnen - dann wäre eigentlich mein Problem schon gelöst.

 

Danke

 

Yeti

[corc 10]

Hi,

 

Cisco hat ein Problem mit ip inspect (Firewall) und SMTP.

Wenn Du die Zeile

ip inspect name firewall smtp

rausläßt und dann das File nochmal mit

copy tftp start

rüberschiebst und rebootest, solltest Du Emails verschicken können.

Mit Ports hat das erstmal nichts zu tun, denn von innen nach außen sind alle Ports offen [Anm. d. Aut.: das ist nicht schädlich, solange Du Dir keinen Virus eingefangen hast.] ;)

Von außen nach innen darf allerdings überhaupt nichts rein außer den icmp-Paketen, die Du zugelassen hast:

access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME

Alles andere wird weggeworfen:

access-list 111 deny ip any any

Schade, reflexive Accesslisten werden erst ab IOS 12.2(13)T unterstützt (wenn mich nicht alles täuscht). Reflexive Accesslisten 'merken' sich den Quellport und öffnen ihn automatisch für den Rückweg.

Ohne reflexive Accesslisten müßtest Du in etwa so vorgehen:

! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any

 

Gruß,

 

corc.

[realYeti 10]

Hy croc !

 

Danke !!!!!!!!!!!!

 

Müßte dann so ausschauen oder ???????:

 

!

! Last configuration change at 16:29:07 UTC Thu Sep 2 2004

! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004

!

version 12.1

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging buffered 8192 debugging

enable secret 5 *****************

!

username Router password 7 ************

!

!

!

!

ip subnet-zero

no ip source-route

!

ip dhcp pool DHCPPoolLAN_0

network 192.168.0.0 255.255.255.0

dns-server 213.33.99.70 80.120.17.70

default-router 192.168.0.1

!

ip inspect name firewall cuseeme

ip inspect name firewall fragment maximum 256 timeout 1

ip inspect name firewall ftp

ip inspect name firewall http

ip inspect name firewall h323

ip inspect name firewall realaudio

ip inspect name firewall sqlnet

ip inspect name firewall streamworks

ip inspect name firewall tftp

ip inspect name firewall vdolive

ip inspect name firewall tcp

ip inspect name firewall udp

ip name-server 213.33.99.70

ip name-server 80.120.17.70

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip access-group 101 in

no ip proxy-arp

ip nat inside

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

ppp authentication chap pap callin

!

interface Dialer1

description ISP

ip address ********** *************

ip access-group 111 in

no ip proxy-arp

ip nat outside

ip inspect firewall out

encapsulation ppp

no ip split-horizon

dialer remote-name Cisco1

dialer pool 1

dialer idle-timeout 300

dialer string ********* class DialClass

dialer hold-queue 10

dialer max-call 4096

dialer-group 1

pulse-time 0

ppp authentication chap pap callin

ppp chap hostname ************

ppp chap password 7 **********

ppp pap sent-username 9224063000 password 7 ********

!

ip nat inside source list 18 interface Dialer1 overload

no ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

map-class dialer DialClass

access-list 18 permit 192.168.0.0 0.0.0.255

! alle hergestellten Verbindungen erlauben:

access-list 100 permit tcp any any established

! UDP: DNS erlauben:

access-list 100 permit udp any eq domain any

! UDP: NTP erlauben

access-list 100 permit udp any eq ntp any

access-list 111 permit icmp any any administratively-prohibited time-range TIME

access-list 111 permit icmp any any echo time-range TIME

access-list 111 permit icmp any any echo-reply time-range TIME

access-list 111 permit icmp any any packet-too-big time-range TIME

access-list 111 permit icmp any any time-exceeded time-range TIME

access-list 111 permit icmp any any traceroute time-range TIME

access-list 111 permit icmp any any unreachable time-range TIME

access-list 111 deny ip any any

dialer-list 1 protocol ip permit

!

line console 0

exec-timeout 0 0

password 7 ************

login

transport input none

!

line vty 0 4

exec-timeout 0 0

password 7 ********

login

!

rcapi server port 2578

!

!

time-range TIME

periodic daily 0:00 to 23:59

!

end

 

Is dann das Time out Problem auch damit gelöst oder soll ich da nochwas ändern ??? Trozdem ich nun alle Fehler die mir der Config Maker ausgegeben hat, zu lösen - bricht der immer noch im letzten Teil der übertragung der Konfiguration ab - mit ner Fehlermeldung dialer max-call 4096 to much oder so:

 

Gruß Yeti :D

[corc 10]

Hi,

 

sorry, mein Fehler. Der Teil

! alle hergestellten Verbindungen erlauben:
access-list 100 permit tcp any any established 
! UDP: DNS erlauben:
access-list 100 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 100 permit udp any eq ntp any

soll sich natürlich auf die Accesslist 111 beziehen, also:

! alle hergestellten Verbindungen erlauben:
access-list 111 permit tcp any any established 
! UDP: DNS erlauben:
access-list 111 permit udp any eq domain any 
! UDP: NTP erlauben
access-list 111 permit udp any eq ntp any

Danach kopierst Du deine bisherigen Accesslisten rein:

access-list 111 permit icmp any any administratively-prohibited time-range TIME
access-list 111 permit icmp any any echo time-range TIME
access-list 111 permit icmp any any echo-reply time-range TIME
access-list 111 permit icmp any any packet-too-big time-range TIME
access-list 111 permit icmp any any time-exceeded time-range TIME
access-list 111 permit icmp any any traceroute time-range TIME
access-list 111 permit icmp any any unreachable time-range TIME
access-list 111 deny ip any any

Zeilen, die mit '!' beginnen, sind Kommentare und werden von Cisco nicht beachtet, sollten also in 'show running-config' (oder kurz: 'sho run') nicht mehr auftauchen.

 

Momentan ist der Router so konfiguriert, daß er nach einer idle-Zeit von 300 Sekunden die Verbindung trennt. Sprich: fünf Minuten nach dem letzten Datenverkehr legt er auf. Einstellen kannst Du das Verhalten unter anderem hier:

dialer idle-timeout 300

Wenn Du also möchtest, daß der Router nach einer kürzeren Zeitspanne auflegt, gibst Du statt 300 eben 120 oder so ein. Wenn Du möchtest, daß er überhaupt nicht mehr auflegt (Achtung; eventuell Kostenfalle!), dann löscht Du die Zeile

dialer idle-timeout 300

raus und ersetzt sie durch

dialer persistent

(hoffentlich kennt die Version 12.1 den Befehl schon...)

 

Gruß,

 

corc.

[thorgood 10]

Wenn du

dialer idle-timeout 300

verwendest füge noch die Zeile

dialer in-band

hinzu.

 

Damit der Dialer nur einen ISDN Kanal verwendet noch

no ppp multilink

und vieleicht noch unnötigen CDP Traffic abschalten

no cdp enable

 

thorgood

[realYeti 10]

Hy Ihr seit Klasse !

 

Das mit dem email versenden klappt nu - super !!!

 

Auswählen tut er sich aber immer noch net - weder nach 300 sec noch irgendwann - da ich nur ein Stundenpacket hab wäre das ne katastrophe - ich hoffe euch fällt nochwas ein - ich hab immer so alle 8 -10 sec : bei den Roten Lämpchen ch1 dauernd an (Kanal) - der RXD. und der TXD blinken einmal auf - auch das gelbe TXD blinkt zur selben Zeit - was kann das sein vom Netzwerk kommt das jedenfalls net - hab alles abgesteckt - blinkt sogar wenn der Router nur alleine am Switch hängt ??????

 

Hoffe das die letzte Hürde jetzt auch noch fällt - das wäre toll :D

 

Hier nun meine conf - hoffe die änderungen sind so richtig ??:

 

 

!

! Last configuration change at 16:29:07 UTC Thu Sep 2 2004

! NVRAM config last updated at 15:11:33 UTC Thu Sep 2 2004

!

version 12.1

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging buffered 8192 debugging

enable secret 5 ***************

!

username Router password 7 ***************

!

!

!

!

ip subnet-zero

no ip source-route

!

ip dhcp pool DHCPPoolLAN_0

network 192.168.0.0 255.255.255.0

dns-server ********** ****************

default-router 192.168.0.1

!

ip inspect name firewall cuseeme

ip inspect name firewall fragment maximum 256 timeout 1

ip inspect name firewall ftp

ip inspect name firewall http

ip inspect name firewall h323

ip inspect name firewall realaudio

ip inspect name firewall sqlnet

ip inspect name firewall streamworks

ip inspect name firewall tftp

ip inspect name firewall vdolive

ip inspect name firewall tcp

ip inspect name firewall udp

ip name-server *************

ip name-server *************

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip access-group 101 in

no ip proxy-arp

ip nat inside

!

interface BRI0

no ip address

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

ppp authentication chap pap callin

!

interface Dialer1

description ISP

ip address 80.122.63.89 255.255.255.252

ip access-group 111 in

no ip proxy-arp

ip nat outside

ip inspect firewall out

encapsulation ppp

no ip split-horizon

dialer remote-name Cisco1

dialer pool 1

dialer idle-timeout 300

dialer in-band

no ppp multilink

no cdp enable

dialer string ************* class DialClass

dialer hold-queue 10

dialer max-call 4096

dialer-group 1

pulse-time 0

ppp authentication chap pap callin

ppp chap hostname **********

ppp chap password 7 **************

ppp pap sent-username ********** password 7 **************

!

ip nat inside source list 18 interface Dialer1 overload

no ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

map-class dialer DialClass

access-list 18 permit 192.168.0.0 0.0.0.255

! alle hergestellten Verbindungen erlauben:

access-list 111 permit tcp any any established

! UDP: DNS erlauben:

access-list 111 permit udp any eq domain any

! UDP: NTP erlauben

access-list 111 permit udp any eq ntp any

access-list 111 permit icmp any any administratively-prohibited time-range TIME

access-list 111 permit icmp any any echo time-range TIME

access-list 111 permit icmp any any echo-reply time-range TIME

access-list 111 permit icmp any any packet-too-big time-range TIME

access-list 111 permit icmp any any time-exceeded time-range TIME

access-list 111 permit icmp any any traceroute time-range TIME

access-list 111 permit icmp any any unreachable time-range TIME

access-list 111 deny ip any any

dialer-list 1 protocol ip permit

!

line console 0

exec-timeout 0 0

password 7 ***********

login

transport input none

!

line vty 0 4

exec-timeout 0 0

password 7 ***************

login

!

rcapi server port 2578

!

!

time-range TIME

periodic daily 0:00 to 23:59

!

end

 

Gruß

 

Yeti :D

[corc 10]

Hi,

 

das kann jetzt viele Ursachen haben.

Zwei davon: Filesharing und Scriptkiddies, auch wenn Du weder Filesharer noch Scriptkiddy bist... ;)

Das Problem: vermutlich hast Du eine dynamisch vom Provider zugewiesene IP-Adresse. Du loggst Dich aus, Du loggst Dich ein: neue IP-Adresse. Diese neue IP-Adresse kann aber vor zwei Minuten noch zu einem Anschluß gehört haben, dessen Benutzer Filesharing betreibt. Jetzt versuchen diverse andere Rechner, Deine Filelisten oder sonstwas runterzuladen und schicken immer wieder Daten an Deinen Anschluß, der dadurch offengehalten wird.

Ähnlich ist es mit anderen permanenten Anfragen aus dem Internet, die durch Scriptkiddies, Viren oder sonstwas hervorgerufen werden.

Deswegen ist ein Router eigentlich absolutes Gift für einen Zeittarif... aber ich denke, mit einem Cisco sollten wir das hinkriegen...

 

Also: zuerst eine neue Accessliste:

access-list 120 remark für den interessanten Traffic
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit icmp 192.168.0.0 0.0.0.255 any
access-list 120 permit tcp 192.168.0.0 0.0.0.255 established
access-list 120 deny ip any any
access-list 120 deny icmp any any

Dann dem Router sagen, daß er diese Accessliste benutzen soll, um den interessanten Traffic zu ermitteln.

'Interessant' := a) der Router fängt an zu wählen und b) der Router setzt die Idletime wieder auf 300 Sekunden.

Ersetze den Eintrag

dialer-list 1 protocol ip permit

durch

dialer-list 1 protocol ip list 120

Dann würde ich unter 'interface BRI0' und unter 'interface Dialer1' noch

no ip directed-broadcast

einfügen.

 

Gruß,

 

corc.