Rio 10 Geschrieben 6. Oktober 2004 Melden Teilen Geschrieben 6. Oktober 2004 hi, möchte mich über einen 2950 ins Internet über ISDN einwählen. Dies funktioniert soweit auch ganz gut. Die BRI-Schnittstelle fährt hoch und beim Starten des Internet Explorers wird die Verbindung initialisiert. Ein Problem habe ich allerdings mit dem dialer idle-timeout. Schließe ich den IE, so wird nach der dialer idle-timeout Länge von 120 Sek die Verbindung nicht eigenständig abgebaut. Woran kann das liegen? Kann es sein, dass der angeschlossene PC auch weiterhin Datenpakete hinaussendet und somit der Timer auf Null gesetzt wird? Doch wie kann man das verhindern? Vielen Dank im voraus. Auszug, wenn keine Verbindung besteht. Router-Projekt#sh dialer int bri 0/0 BRI0/0 - dialer type = ISDN Dial String Successes Failures Last DNIS Last status 01920781 8 1110 00:06:09 successful Default 0 incoming call(s) have been screened. 0 incoming call(s) rejected for callback. BRI0/0:1 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is idle BRI0/0:2 - dialer type = ISDN Idle timer (120 secs), Fast idle timer (20 secs) Wait for carrier (30 secs), Re-enable (15 secs) Dialer state is idle Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 6. Oktober 2004 Melden Teilen Geschrieben 6. Oktober 2004 Hi, mit "debug dialer" siehst du welcher traffic einen Anruf generiert oder würde (falls isdn schon up ist). Grsse Thomas Zitieren Link zu diesem Kommentar
Rio 10 Geschrieben 7. Oktober 2004 Autor Melden Teilen Geschrieben 7. Oktober 2004 hi, vielen Dank für die Antwort. habe den debug-Befehl ausgeführt und sehe nun auch detailliert, welche Schritte zur Einwahl/ zum Abbruch der Verbindung führen. mit sh dialer int bri 0/0 sehe ich ebenfalls den aktuellen Status und konnte - wie mit debug dialer die Ursache für die Einwahl ausfindig machen: es ist ein PC am angeschlossenen Switch. Wie kann ich aber dem Router sagen, dass er sich nur einwählen soll, wenn eine Verbindung zum Internet gewünscht wird? Man müsste doch die zugehörige Access-Liste entsprechend erweitern können und den zugriff nur auf das Internet beschränken können, oder?? nachfolgend ein Auszug aus der running-config: interface BRI0/0 description ISDN-Schnittstelle ip address negotiated ip nat outside encapsulation ppp no keepalive dialer idle-timeout 60 dialer string 001920781 dialer hold-queue 20 dialer load-threshold 128 either dialer-group 1 isdn switch-type basic-net3 no fair-queue no cdp enable ppp authentication chap callin ppp chap hostname arcor ppp chap password 7 0828425A0C0B0B1206 ppp pap sent-username 000389987654#0001 password 7 040C535F5E71 ppp multilink ! interface Serial1/0 no ip address shutdown no fair-queue ! interface Serial1/1 no ip address shutdown ! ip nat inside source list 100 interface BRI0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 BRI0/0 no ip http server ! ! access-list 100 permit ip any any dialer-list 1 protocol ip permit ! line con 0 line aux 0 line vty 0 4 login ! end Wäre schön, wenn du da noch mal rüberschauen und einen Tipp hinsichtlich der Access-Listen geben könntest. vielen dank. Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 7. Oktober 2004 Melden Teilen Geschrieben 7. Oktober 2004 Hi, "dialer-list 1 protocol ip permit" muss du mit "dialer-list 1 protocol ip list 166" (oder so ähnlich) ersetzen. Dann in ACL 166 den traffic definieren, welcher den Anruf generieren soll: access-list 166 permit ip any any eq 80 access-list 166 permit ip any any eq 53 ........ Grüsse Thomas Zitieren Link zu diesem Kommentar
Rio 10 Geschrieben 11. Oktober 2004 Autor Melden Teilen Geschrieben 11. Oktober 2004 hi, danke für die angebotene Hilfe. wenn ich "access-list 100 permit ip any any" eingebe, so kann ich den Befehl eq nicht ausführen... liegt es daran, dass "ip" für sämtlichen Traffic steht?? Also hier alles ersteinmal erlaubt ist, was nicht anschließend verboten wird?? Wähle ich ein anderes protocol, zB. TCP, so steht mir der Befehl auch zur Verfügung. Welches Protokoll muss ich denn auswählen und wie müsste die Access-Liste aussehen, wenn ich nur den web-Zugang haben möchte - es sollen nur Internetseiten für die angeschlossenen Hosts verfügbar sein - kein ftp oder sonstiges... Kannst du mir da weiterhelfen?? Zitieren Link zu diesem Kommentar
Rio 10 Geschrieben 11. Oktober 2004 Autor Melden Teilen Geschrieben 11. Oktober 2004 habe jetzt mal was probiert...anbei die running-config... Es erfolgt aber keine Einwahl - es findet also kein connect statt... Jemand ne Idee?? Router#sh run Building configuration... Current configuration : 1297 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router ! ! ip subnet-zero no ip domain-lookup ! ip dhcp pool DHCPPOOL network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 145.253.2.11 ! isdn switch-type basic-net3 ! ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside speed auto ! interface BRI0/0 ip address negotiated ip nat outside encapsulation ppp no keepalive dialer idle-timeout 90 dialer string 001920781 dialer hold-queue 20 dialer load-threshold 128 either dialer-group 1 isdn switch-type basic-net3 no fair-queue no cdp enable ppp authentication chap callin ppp chap hostname arcor ppp chap password 7 07062F584B1B170003 ppp pap sent-username cisco password 7 1311121E0E070B27 ppp multilink ! interface Serial1/0 no ip address shutdown ! interface Serial1/1 no ip address shutdown ! ip nat inside source list 120 interface BRI0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 BRI0/0 no ip http server ! ! access-list 120 permit tcp any eq www any access-list 120 permit tcp any eq 443 any access-list 120 deny ip any any dialer-list 1 protocol ip list 120 ! line con 0 line aux 0 line vty 0 4 login ! no scheduler allocate end Zitieren Link zu diesem Kommentar
osirus01 10 Geschrieben 11. Oktober 2004 Melden Teilen Geschrieben 11. Oktober 2004 Hi, Du musst in den Access-Listen beim Ziel die Services angeben access-list 120 permit tcp any gt 1023 any eq www access-list 120 permit tcp any gt 1023 any eq 443 Dann fehlt Dir noch die DNS anfragen. Ich denke Mails senden und empfangen willst Du ja auch. Hier mal ne ACL mit allen gänigen Services. access-list 120 permit udp any gt 1023 any eq 53 <- Domain access-list 120 permit tcp any gt 1023 any eq www <- WEB access-list 120 permit tcp any gt 1023 any eq 443 <- SSL access-list 120 permit tcp any gt 1023 any eq 110 <- POP3 access-list 120 permit tcp any gt 1023 any eq 25 <- SMTP Hoffe das dein Problem behebt. Gruß Osirus Zitieren Link zu diesem Kommentar
Rio 10 Geschrieben 12. Oktober 2004 Autor Melden Teilen Geschrieben 12. Oktober 2004 hi, vielen Dank für die Infos. Mit der ACL funktioniert es! Ich bin begeistert von den sehr fachkundigen Usern im Forum. Ihr habt mir sehr geholfen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.