Stadt-Tiger 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hallo, mein Router hatte heute den Funktionstest. Einwahl von außerhalb über ISDN auf den Router. Router -> Callback. Verbindung steht. Jetzt geht es aber nicht weiter ins Netzwerk. Die Verbindung steht wie gesagt, aber ich kann die Server von außerhalb nicht anpingen. Was wird das Problem sein? Da ich davon ausgehe, es liegt an meinen routen, setze ich nicht die gesamte Konfiguration rein, sondern nur einen Abschnitt. Wenn ihr die gesamte braucht, sagt bescheid. :) ip http server ip http access-class 1 ip http authentication local ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 ip route 192.168.1.0 255.255.255.0 Dialer1 ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 ! ! access-list 1 permit 192.168.1.12 access-list 1 permit 192.168.3.13 access-list 1 deny any dialer-list 1 protocol ip list 1 192.168.1.0 sind die Rechner außerhalb. 192.168.2.0 sind die Server im LAN. 192.168.3.0 sind die Rechner im LAN. IP-Adressen habe ich zum Verständnis so geändert. Das größte Problem ist jetzt leider die Zeit. Nächste Woche Mittwoch wäre quasi Stichtag. Einwahl mit Zugriff aufs Netzwerk soll da funktionieren. :/ Weiß jemand Rat? Liebe Grüße Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 hallo tja schaut so aus als ob sich deine access-listen nur auf ip beziehen. für einen ping benötigst du aber ICMP. probier mal folgendes access-list 101 permit icmp any any echo dialer list 1 protocol ip list 101 lg rossi Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 18. Mai 2005 Melden Teilen Geschrieben 18. Mai 2005 Hallo Stadt-Tiger - eigentlich bin ich anderer Meinung als Hr Rossi: die Standard Access-Listen dürften auch das ICMP Protokoll mit einbeziehen. ACL technisch wird ICMP fast wie ein Layer4 Protokoll behandelt, deshalb kann man es auch in den Extended ACLs gesondert definieren. Deiner Beschreibung nach wirst du vermutlich die Verbindung mit PPP/CHAP aufbauen nehme ich an. Jetzt hört es sich ganz so an, als hätte PPP gewählt, authetifiziert, dann den Callback ausgelöst und per LCP die Verbindung aufgebaut. Der PPP Sublayer IPCP wäre jetzt eigentlich dran die IP Parameter zu übergeben ... IP Addresse (optional: Gateway DNS WINS) Also entweder etwas mehr Config posten oder mal auf das IPCP aus dem PPP konzentrieren bei der Fehlersuche. noch etwas: wofür ist denn die ACL 1 gedacht? den Dialer zu triggern oder den http-Zugriff abzusichern. Warum steht keine Wildcard-Mask dabei - sollen nur zwei einzelne Hosts den Dialer aktivieren? Gruss Robert Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Hallo Stadt Tiger, um zu testen solltest du vielleicht wirklich erstmal die dialer list 1 (access-list 1 permit any) aufbohren aund komplett ip erlauben, schau erstmal, ob die verbindung dann funktioniert, danach kannst du ja den traffic einschränken und debuggen mit debug dialer packets und dialer events) Gruss Rob Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 19. Mai 2005 Melden Teilen Geschrieben 19. Mai 2005 Vielleicht hast du mit der access-list 1 aber einfach nur den traffic für http Zugriff auf die router einschränken wollen und nicht den Traffic, der fürs dialing zuständig ist? Zitieren Link zu diesem Kommentar
Stadt-Tiger 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Hallo und guten Morgen, entschuldigt, ich hatte gestern ein Internetproblem. Aber da bin ich wieder. Was ich bereits ausprobiert habe, ist alles zuzulassen. Bei meinem ersten Versuch, bevor ich überhaupt irgendeine Access-List hatte, ging es. Jetzt nicht mehr. Meine Access-List 1 ist eigentlich nur für den HTTP-Zugriff. Sollte jedenfalls so sein. Das mit ICMP werde ich gleich mal eintragen. Am Besten setze ich doch noch mal meine gesamte Konfiguration hier rein. Vielleicht ist auch irgendwo anders ein Fehler versteckt. version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! logging buffered 16000 debugging enable password 7 xxx ! username xxx privilege 15 password 7 xxx username xxx privilege 0 password 7 xxx username xxx privilege 0 password 7 xxx no network-clock-participate slot 1 no network-clock-participate wic 0 aaa new-model ! aaa authentication ppp default local aaa authorization network default if-authenticated aaa session-id common ip subnet-zero ip cef ! no ip domain lookup ! ip audit po max-events 100 no ftp-server write-enable isdn switch-type basic-net3 ! interface FastEthernet0/0 description Verbindung zum LAN ip address 192.168.2.2 255.255.254.0 duplex auto speed auto ! interface BRI1/0 description Verbindung Dialer 1 no ip address encapsulation ppp dialer rotary-group 1 dialer-group 1 isdn switch-type basic-net3 ! interface BRI1/1 description Verbindung Dialer 1 no ip address encapsulation ppp dialer rotary-group 1 dialer-group 1 isdn switch-type basic-net3 ! interface BRI1/2 description Verbindung Dialer 1 no ip address encapsulation ppp dialer rotary-group 1 dialer-group 1 isdn switch-type basic-net3 ! interface BRI1/3 description noch keine Verbindung no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description Verbindung von Außen ip address 192.168.1.2 255.255.255.0 encapsulation ppp no ip split-horizon dialer in-band dialer caller 0123 callback dialer caller 0234 callback dialer map ip 192.168.1.11 name xxx 0123 dialer map ip 192.168.1.12 name xxx 0234 dialer-group 1 ppp authentication chap ! ip http server ip http access-class 1 ip http authentication local ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 ip route 192.168.1.0 255.255.255.0 Dialer1 permanent ip route 192.168.2.0 255.255.254.0 FastEthernet0/0 permanent ! ! access-list 1 permit 192.168.1.12 access-list 1 permit 192.168.3.13 access-list 1 deny any access-list 1 permit any dialer-list 1 protocol ip list 1 ! line con 0 line aux 0 line vty 0 4 ! ! end Das ist noch meine momentane Router-Konfiguration ohne die Änderungen, die ihr vorgeschlagen habt. Liebe Grüße :) Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 hallo stadt tiger, die änderung in der acl ist wirkungslos, bitte erst nochmal die acl 1 löschen, dann nochmal neu erzeugen mit permit any, dann nochmal testen Zitieren Link zu diesem Kommentar
Stadt-Tiger 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Hallo Rob, funktioniert nicht. :( Liebe Grüße Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 was funktioniert nicht? kannst du dich auf der gegenseite einwählen? Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 hi schau dir mal den link an http://www.mcseboard.de/showthread.php?t=39316&highlight=ddr+callback bzw den hier http://www.mcseboard.de/search.php?searchid=221815 lese dies genau durch ! Bei dir schuats so aus wie wenn das routing nicht passt beziehungsweise wo hast du eingetragen auf welche isdn nummer dein router antwortet ?? mfg rossi Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 Hallo Stadt Tiger, callback sollte nicht da sProblem sein dialer >nummer> callback macht normales d-kanal callback, wenn denn die nummer passt, schau doch erstmal, ob die verbindung zustande kommt, wenn nicht schick mal ein log Zitieren Link zu diesem Kommentar
Stadt-Tiger 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Hallo Rob, die Einwahl und das Callback funktionieren ohne Probleme. Liebe Grüße PS.: Ein Fehlerlog kann ich erst nächsten Montag schicken, da ich erst zur externen Stelle fahren muss. Zitieren Link zu diesem Kommentar
Stadt-Tiger 10 Geschrieben 20. Mai 2005 Autor Melden Teilen Geschrieben 20. Mai 2005 Hallo ihr beiden, das einzige Problem ist nur der Zugriff auf die Ressourcen im LAN. Eingewählt ist der Rechner von Außerhalb und hat eine IP-Adresse zugewiesen bekommen. Aber einen Ping oder Tracert kann ich nur auf einen Arbeitsplatzrechner schicken und auf keinen anderen sonst und auch auf keinen der Server. Liebe Grüße Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 access-list 1 permit 192.168.1.12access-list 1 permit 192.168.3.13 access-list 1 deny any access-list 1 permit any dialer-list 1 protocol ip list 1 ... und mit ACL1 soll http abgesichert werden? Gleichzeitig triggered dieselbe ACL den Dialer. Das letzte permit-statement wirkt nichts wenn vorher deny all drinsteht - was man eh weglassen kann, da eh ein implizites deny any am Ende jeder ACL steht. Mach zu Testzwecken mal ein "dialer-list 1 protocol ip permit" statt deiner "list 1" Warum steht im Dialer "dialer in band" ist Dein Bri0 nicht an einem NTBA? Als methodisch erst um PPP und routing kümmern - dann die ACLs weiter 'zumachen' Gruss Robert Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 20. Mai 2005 Melden Teilen Geschrieben 20. Mai 2005 was mich interessieren würde, wenn es in dem Netz keinen Internetzugang gibt, was soll der eintrag "ip route 0.0.0.0 0.0.0.0 fast 0/0" bewirken? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.