dial-on-demand

[quenton 10]

Hi Leute,

 

ich habe ein Problem mit dial on demand auf einem

Cisco 836.

Ich habe schon diesen Eintrag im Board gefunden

 

http://www.mcseboard.de/showthread.php?threadid=45761&highlight=dialondemand

 

Mein Problem ich habe im Dialer 1 ein dialer idle-timeout 20 either

eingetragen, aber er wählt sich nicht aus.

Wenn ich ein sh int dialer 1 mache ist das interface immer up und hat eine IP vom Provider.

 

Ich danke euch im Voraus

 

Hier die Konfig:

 

 

Building configuration...

 

Current configuration : 2328 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging queue-limit 100

!

ip subnet-zero

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool CLIENT

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

dns-server 217.237.149.225

lease 0 2

!

!

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

isdn switch-type basic-net3

!

!

!

!

!

!

!

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

shutdown

dialer pool-member 2

isdn switch-type basic-net3

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode annexb-ur2

!

interface Dialer1

description T-online Zugang ueber DSL

mtu 1492

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 5 either

dialer hold-queue 10

ppp authentication chap callin

ppp chap hostname xxxxxxxxxx#0002@t-online.de

ppp chap password 7 xxxxxxxxxxxxxxxxx

ppp ipcp dns request

!

interface Dialer2

no ip address

no cdp enable

!

ip nat inside source route-map main interface Dialer1 overload

ip nat inside source route-map secondary interface Dialer2 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 200

ip http server

ip http secure-server

!

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 101 permit ip 10.10.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

dialer-list 2 protocol ip permit

no cdp run

route-map main permit 10

match ip address 101 match interface Dialer1

!

route-map secondary permit 10

match ip address 101 match interface Dialer2

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

no rcapi server

!

!

!

end

[mr._oiso 10]

Hi quenton

 

Hab nur schnell reingeschaut !

Aber Dir fehlt auf jeden Fall der "dialer group 1"

Command am int dialer 1 !

Ohne dem hört er nicht auf die dialer list 1 welche den Traffic

definiert um überhaupt das Interface loszumachen.

 

Andere Frage : Warum ist dialer 1 schon "Up" ?

 

Schau mir die Config gleich nochmal an !

 

MfG

 

Mr. Oiso

[quenton 10]

Hi,

vielen Dank MR oiso

 

ich habe diese Konfig geschickt bekommen.

Wie gesagt er wählt sich automatisch ein aber bleibt

eingewählt. Ich habe bei der

im Atm0 interface dial-on-demand eingestellt aber

dann hat er gar nicht mehr gewählt.

 

Mir läuft die Zeit weg

Bin um jeden tipp Dankbar ,

ich nehme auch gerne besser Konfig's

 

Danke

[quenton 10]

Hi

ich hab die dialer-group 1 eingetragen.

Leider bleibt er immer connected ,

ich muss das Interface atm 0 runterfahren damit

er sich trennt.

Sorry das ich in letzter Zeit so oft nerve aber

ich muss das Teil bis Donnerstag fertig haben,

damit ein anderer Router frei wird und dann geht es weitern :-(

 

Ich will endlich Urlaub !

 

Danke und Gruß

[mr._oiso 10]

hi quenton

 

Sorry dass ich so spät bin !

Wußte von Deiner Zeitnot nichts !

 

O.k. ! Also laufen tut's erstmal ! richtig ?

Jedoch legt er nicht auf, oder ?

 

Warum soll er das ?

Ist es ein DSL Zeit und oder Volumentarif ?

 

Hierzu hast Du bereits einen sehr kleinen

idle-timout gewählt ! Ist O.k. !

 

Jedoch musst Du dem Router in der dialer-list 1 noch mitteilen,

welcher IP-Traffic genau berechtigt ist das Interface zu triggern.

 

Mit "dialer-list 1 protocol ip permit" ist der definierte Traffic nur

alzu grob eingestellt.

Ergo macht das Interface selbst bei Broadcast auf !

 

Hier solltest Du eine neue ACL schreiben, welche genau besagt,

welcher IP Traffic das Interface aufmachen darf.

Wenn dieser dann nicht mehr anliegt, macht er nach der idle-time auch wieder zu.

 

Definiere in einer neuen ACL (Extended) 100-199 z.B.

 

http lokales Netz to any

dns

ftp

ftp-data

 

und was Du sonst noch brauchst, damit er nicht mal netbios

137-139 oder ähnlichem das Interface losmacht !

 

Ich schau mal nach ner guten ACL !

 

 

MfG

 

Mr. Oiso

[mr._oiso 10]

hi quenton

 

Eine ACL könnte eventuell auch so aussehen !

 

access-list 199 permit tcp any any eq www (80)

access-list 199 permit tcp any any eq pop3 (110)

access-list 199 permit tcp any any eq smtp (25)

access-list 199 permit tcp any any eq https (443)

access-list 199 permit tcp any any eq ftp (21)

access-list 199 permit tcp any any eq ftp-data (20)

access-list 199 permit tcp (loacal dns server ip) any eq dns (53) optional

access-list 199 permit tcp any any eq dns (53) optional

access-list 199 deny tcp any any

access-list 199 permit udp any any eq dns (53)

access-list 199 permit udp any any eq ftp-data (20) optional

access-list 199 permit udp any any eq ftp (21) optional

access-list 199 permit udp any any eq https (443) optional

access-list 199 permit udp any any eq smtp (25) optional

access-list 199 permit udp any any eq pop3 (110) optional

access-list 199 permit udp any any eq www (80) optional

access-list 199 deny udp any any

access-list 199 deny ip any any log

 

 

dialer-list 1 protocol ip list 199

 

 

Hope this works !

 

MfG

 

Mr. Oiso

[quenton 10]

hi mr._oiso

 

Vielen Dank für den Tipp. Ich habe meine Konfig jetzt geändert.

Allerdings bleibt er immer noch permanent eingewählt.

Muss ich die IOS Version updaten (12.2) ?

Vielleicht findest Du ja noch was , ist bestimmt noch ein paar unnötige Zeilen drin.

 

Danke und Gruß

 

Hier die Konfig:

 

Building configuration...

 

Current configuration : 2883 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging queue-limit 100

!

 

 

ip subnet-zero

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool CLIENT

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

dns-server 217.237.149.225

lease 0 2

!

!

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

isdn switch-type basic-net3

!

!

!

!

!

!

!

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

shutdown

dialer pool-member 2

isdn switch-type basic-net3

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode annexb-ur2

!

interface Dialer1

description T-online Zugang ueber DSL

mtu 1492

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 5 either

dialer hold-queue 10

dialer-group 1

ppp authentication chap callin

ppp chap hostname xxxxxxxxxxxxx#0002@t-online.de

ppp chap password 7 xxxxxxxxxxxxxxxxxxxx

ppp ipcp dns request

!

interface Dialer2

no ip address

no cdp enable

!

ip nat inside source route-map main interface Dialer1 overload

ip nat inside source route-map secondary interface Dialer2 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 200

ip http server

ip http secure-server

!

access-list 199 deny tcp any any

access-list 199 deny udp any any

access-list 199 deny ip any any log

access-list 199 permit tcp any any eq www

access-list 199 permit tcp any any eq pop3

access-list 199 permit tcp any any eq smtp

access-list 199 permit tcp any any eq ftp

access-list 199 permit tcp any any eq ftp-data

access-list 199 permit udp any any eq domain

access-list 199 permit tcp any any eq domain

access-list 199 permit udp any any eq 20

access-list 199 permit udp any any eq 21

access-list 199 permit udp any any eq 443

access-list 199 permit udp any any eq 25

access-list 199 permit udp any any eq 110

access-list 199 permit udp any any eq 80

dialer-list 1 protocol ip list 199

no cdp run

route-map main permit 10

match ip address 199 match interface Dialer 1

!

route-map secondary permit 10

match ip address 101 match interface Dialer2

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

no rcapi server

!

!

!

end

[Hr_Rossi 10]

hallo

 

trag einaml am dialer1 auch

 

" no cdp enable " ein

 

vielleicht klappts dann !!

 

mfg

rossi

[osirus01 10]

Hi, wenn ich das richtig sehe ist die Access-List auch nicht scharf gestellt.

Trage mal im eth0 folgendes ein

 

ip access-group 199 in

 

Dann ist die ACL auf dem eth0 aktiv.

 

Gruß

 

Osirus

[quenton 10]

Hi Danke für die Tipps,

 

ich hab alles mal so ein getippt.

Jetzt lässt er meinen Client nicht mehr ins Netz

wählt sich aber ein.

 

HAt jemand eine funktionierende Konfig mich :-(

 

Es ist doch Weihnachten

 

Danke und Gruss

[mr._oiso 10]

hi quenton

 

Wie ich sehe ist Dein Problem noch nicht gelößt.

Aber wenn ich mir Deine Config so richtig vor Augen führe,

so habe ich den Verdacht, dass sich das Problem auf

DNS beschränk. Wozu hast Du "ppp ipcp dns request"

konfiguriert ?

 

Andere Frage : Hast Du im LAN einen DNS Server, welchen Du

zur Namensauflösung verwendest, oder hast Du eventuell

überall den Externen DNS Server eingetragen ?

Oder verwendest Du gar nur Netbios oder Wins ?

 

konfiguriere doch bitte mal

no ppp ipcp dns request

am dialer 1 und erlaube via Access List nur Deinem DNS Server

die Internetverbindung zu triggern.

access-list 199 permit udp (Local-DNS-IP) any eq domain

access-list 199 permit tcp (Local-DNS-IP) any eq domain

 

Danach prüfe mal ob der Router die Verbindung auflegt, indem

Du die LAN Verbindung trennst (eth ziehen).

 

Wenn er die Verbindung trennt, ist die Konfiguration richtig.

 

Nimm die Leitung wieder in Betrieb und schau was er macht !

Kommt das Problem wieder, dann trage in der Access-List mal hinter jedem permit Eintrag ein log ein.

Wenn Du die Liste dann, wie osirus01 beschrieben hat am eth 0

gebunden hast kannst Du mit den Commands

router(config)#logging monitor

router#terminal monitor

alle Packete sehen, welche Dir laut Access-list die Leitung aufmachen !

 

Viel Glück

 

 

MfG

 

Mr. Oiso

[scooby 10]

Hi,

 

alos als erstes fällt mir folgendes auf:

access-list 199 permit tcp any any eq www

so etwa sehen alle deine Access-lsiten aus.

damit erlaubst du egal woher der traffic kommt wird der Dialer1 wieder zurückgesetzt und wieder neu anfängt zu zählen. also wäre es sinnvoller

access-list 199 permit tcp 10.10.10. 0 0.0.0.255 any eq 80

die kompletten access-lsiten danach umschreiben.

 

Aus dem Ethernet de ACL wieder raus nehmen. Danach einfach mal testen. Und das ergebniss sagen.

[quenton 10]

Hi Leute , vielen Dank für die Tipp,

ich musste leider den Router ein paar Tage ruhen lassen.

 

Leider legt das gute Stück immer noch nicht auf und

ist permanent online.

Ich habe die access Liste angepasst .

 

 

Hier die Konfig :

 

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging queue-limit 100

no logging console

!

 

ip subnet-zero

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool CLIENT

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

dns-server 217.237.149.225

lease 0 2

!

!

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

isdn switch-type basic-net3

!

!

!

!

!

!

!

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

ip access-group 199 in

ip nat inside

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

shutdown

dialer pool-member 2

isdn switch-type basic-net3

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode annexb-ur2

!

interface Dialer1

description T-online Zugang ueber DSL

mtu 1492

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 10 inbound

dialer hold-queue 10

dialer-group 1

no cdp enable

ppp authentication chap callin

ppp chap hostname xxxxxxxxxxxxxxxxxxxxxx#0002@t-online.de

ppp chap password 7 xxxxxxxxxxxxxxxxxxxxx

ppp ipcp dns request

!

interface Dialer2

no ip address

no cdp enable

!

ip nat inside source route-map main interface Dialer1 overload

ip nat inside source route-map secondary interface Dialer2 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 200

ip http server

ip http secure-server

!

access-list 199 deny tcp any any

access-list 199 deny udp any any

access-list 199 deny ip any any log

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq www

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq pop3

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq smtp

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq ftp

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq ftp-data

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq domain

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq domain

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 20

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 21

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 443

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 25

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 110

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 80

dialer-list 1 protocol ip list 199

dialer-list 2 protocol ip permit

no cdp run

route-map main permit 10

match ip address 199 match interface Dialer1

!

route-map secondary permit 10

match ip address 101 match interface Dialer2

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

no rcapi server

!

!

!

end

[scooby 10]

und was ist mit mr._oiso vorschlag hast du diesen angewand?

[phrock 10]

Hallo,

 

probier' die Konfig:

 

 

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

logging queue-limit 100

no logging console

!

 

ip subnet-zero

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool CLIENT

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

dns-server 217.237.149.225

lease 0 2

!

!

ip audit notify log

ip audit po max-events 100

vpdn enable

!

vpdn-group pppoe

request-dialin

protocol pppoe

!

no ftp-server write-enable

isdn switch-type basic-net3

!

!

!

!

!

!

!

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

no cdp enable

!

interface BRI0

no ip address

encapsulation ppp

shutdown

dialer pool-member 2

isdn switch-type basic-net3

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1 dial-on-demand

!

dsl operating-mode annexb-ur2

!

interface Dialer1

description T-online Zugang ueber DSL

mtu 1492

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 1

dialer idle-timeout 180

dialer hold-queue 10

dialer-group 1

no cdp enable

ppp authentication chap callin

ppp chap hostname xxxxxxxxxxxxxxxxxxxxxx#0002@t-online.de

ppp chap password 7 xxxxxxxxxxxxxxxxxxxxx

ppp ipcp dns request

!

!

ip nat inside source list 23 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

no ip http secure-server

!

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq www

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq pop3

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq smtp

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq 443

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq ftp

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq ftp-data

access-list 199 permit tcp 10.10.10.0 0.0.0.255 any eq domain

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq domain

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 20

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 21

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 443

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 25

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 110

access-list 199 permit udp 10.10.10.0 0.0.0.255 any eq 80

access-list 199 deny tcp any any

access-list 199 deny udp any any

access-list 199 deny ip any any log

dialer-list 1 protocol ip list 199

no cdp run

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

no rcapi server

!

!

!

end

 

 

 

Die Verbindung steht für 300 Sek. nach dem letzten interested traffic.

 

Interested und uninterested traffic ist z.B. mit:

"debug dialer packet"

zu ermitteln.

 

Der interested traffic ist ausgehender Verkehr mit den Zielports 20, 21, 25, 53, 80, 110, 443 ; Zieladresse uninteressant; Quellport uninteressant; Quelladresse im Netz: 10.10.10.0 /24

 

interessante Abfragen:

show caller timeout

show dialer

show dialer interface dialer1

show caller user

 

show caller user <username> detail -> show user

 

Na probier's mal.

 

Vielleicht auch mal auf Cisco-HP mit den Schlagworten:

"Understanding and Troubleshooting Idle Timeouts"

"PPPoE Client DDR Idle-Timer"

suchen.

 

Bis denn,

phrock