Cisco ISDN Router Konfig Hilfe !

[darktemplar 10]

zu den Ausrufezeichen:

Ich hab die Config im Editor zusammengekürzt, daher der unübliche Aufbau.

 

zu access lists: ich weiss, wollte einfach den Fehler dort auschliessen und lasse erst mal alles zu..

 

Die Konfig kann auf dem Router gespeichert werden und entpspricht dem was ihr vorher gesehen habt. Dass noch falsche Befehle drin sind kommt davon dass ich als Ausgangslage ne Beispiel Konfig von Cisco genommen habe... UND : einzeln haben die Konfigs ja funktioniert, dass ist ja der Ärger.

 

Ganz am Anfang (siehe erste Konfig) war eigentlich die Ausgangslage, die Robert siche wünscht: Die Konfig kann ohne Fehler gespeichert werden, der Internetzugang klappt - lediglich die Filiale nicht.

 

Danke für Eure Hilfe, ich verstehe es , wenn ihr angesichts der Länge keinen Bock mehr habt. Wenn doch noch, umso besser. Ich geb auf jeden Fall nicht auf bis dass Ding läuft....

 

 

PS: debug ppp negotiation war eingeschaltet, es kamen aber nur die geposteten Fehlermeldungen

[darktemplar 10]

Hier die running-config:

 

 

Current configuration : 1809 bytes

!

version 12.3

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname xxxxxxxxxxx

!

boot-start-marker

boot-end-marker

!

enable password xxxxxxxxxxxxxxxx

!

username xxxxxxxxx password xxxxxxxxxxxxx

!

!

no aaa new-model

ip subnet-zero

no ip domain lookup

!

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 172.16.8.1 255.255.255.0

!

interface BRI0

description connected to xxxxxxxxx,Internet

no ip address

encapsulation ppp

dialer pool-member 11

isdn switch-type basic-net3

ppp authentication chap

!

interface Dialer1

description connected to xxxxxxxxx

ip address 172.16.4.1 255.255.255.0

encapsulation ppp

dialer pool 11

dialer-group 1

no cdp enable

ppp authentication chap

ppp chap hostname xxxxxxxxxxx

!

interface Dialer2

description connected to Internet

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 11

dialer remote-name xxxxxxxx

dialer-group 2

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxxxxx

ppp chap password xxxxxxxxxxxxxx

ppp pap sent-username xxxxxxx password xxxxxxxxxxxxxxxx

!

ip nat inside source list 1 interface Dialer1 overload

ip nat inside source list 2 interface Dialer2 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer2

ip route 172.16.13.0 255.255.255.0 172.16.4.13

no ip http server

!

access-list 101 permit ip any any

access-list 102 permit ip any any

dialer-list 1 protocol ip list 101

dialer-list 2 protocol ip list 102

banner motd ^CJobst Willers Engineering AG^C

!

line con 0

exec-timeout 0 0

password xxxxxxxxxxxxx

login

transport preferred all

transport output all

stopbits 1

line vty 0 4

password 7 0010161510

login

transport preferred all

transport input all

transport output all

!

no rcapi server

!

!

!

end

[Wurstbläser 10]

OK machen wir einfach hier weiter (muss aber gleich mal kurz weg :) )

 

Also dann würde ich vorschlagen zuerst einen Dialer - den fürs Internet ordentlich einzuricheten. Danach machen wir den zweiten zusätzlich. Versuche dabei folgendes zu berücksichtigen:

 

1. die Zeile "no ip split-horizon" wird da erstmal nicht gebraucht - weg damit.

 

2. weise die Tel. Nr zuerst mit dem "dialer string 123456" zu - keine maps

 

3. benutze wenn möglich 2 verschiedene ACLs - die wirst Du später sicher dringend brauchen um den Verkehr einzuschränken. Also besser

dialer-group 2 -> dialer-list 2 protocol list 102 -> access-list 102 permit ip any 0.0.0.0 0.0.0.0

dialer-group 1 -> dialer-list 1 protocol list 101 -> access-list 101 permit ip any 172.16.13.0 0.0.0.255

(für später)

 

4. bitte die Authentifizierung zum ISP mal aussortieren, besser kein PAP benutzen. Das keyword "callin" finde ich da komisch, soll eigentlich bedeuten das die authentifizierung nur für eingehende Anrufe benutzt werden soll. Alosnur : "ppp authentication chap" keine "ppp pap sent-username ..." Kann mir nicht vorstellen dass der Provider kein CAP kann.

 

5. vielleicht die Routing-Tabelle in diese Richtung:

ip route 0.0.0.0 0.0.0.0 dialer 2

ip route 172.16.13.0 255.255.255.0 dialer 1 (für später)

 

danch sollte man erst mal den Ping zum ISP ans laufen kriegen. Mein Vorschlag.

 

So muss aber gez erstmal 2h Radfahren

Gruss

Robert

[darktemplar 10]

Jo merci, gut Radl !!

[rob_67 10]

jetzt sieht es doch schon besser aus, kommt die fehlermeldung noch, dass der dialer pool fehlt?

 

was noch fehlt, sind die dialer strings und beim nat gibts auch ein problem...

 

@wursti, was fährst du denn für eine maschine?

[Wurstbläser 10]

nochwas:

NAT auf dem Dialer 1 zur Zweigstelle braucht man doch auch nicht - auf dem Dialer fehlte dazu eh das statement "ip nat outside" also die Zeile "ip nat inside source list 1 interface dialer 1" kann auch weg. Außerdem referenziert "ip nat inside source list 2 ..." doch eine ACL Nr. 2 - die seh ich auch nicht. Also flugs hinzaubern: "access-list 2 permit 172.16.8.0 0.0.0.255"

 

Gruss

Robert

 

 

@rob 67: ein CANYON FACT 2 mit Shimano Ultegra

[darktemplar 10]

Nach einem Router Reset verschwand die Fehlermeldung nach dem Reload - endlich.

Jetzt hab ich nach Euren Vorschlägen eine Konfig die's ins Internet schafft - UFF :

 

interface Dialer 2

description connected to Internet

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 11

dialer idle-timeout 120

dialer string xxxxxxxxxxx

dialer hold-queue 10

dialer remote-name xxxxxxxx

dialer-group 2

ppp authentication chap callin

ppp chap hostname xxxxxxxx

ppp chap password xxxxxxxxx

no ppp multilink

no cdp enable

!

interface Ethernet 0

no shutdown

ip address 172.16.8.1 255.255.255.0

ip nat inside

no cdp enable

no ip directed-broadcast

keepalive 10

!

interface BRI 0

 

no shutdown

description connected to bekbfil,Internet

no ip address

encapsulation ppp

dialer pool-member 11

isdn switch-type basic-net3

no cdp enable

!

!

!

access-list 101 permit ip any 172.16.13.0 0.0.0.255

access-list 102 permit ip any any

access-list 2 permit ip any any

!

dialer-list 1 protocol ip list 101

dialer-list 2 protocol ip list 102

!

Dynamic NAT

ip nat translation timeout 86400

ip nat translation tcp-timeout 86400

ip nat translation udp-timeout 300

ip nat translation dns-timeout 60

ip nat translation finrst-timeout 60

ip nat inside source list 2 interface dialer 2 overload

!

ip classless

!

! IP Static Routes

!ip route 172.16.13.0 255.255.255.0 dialer 1

ip route 0.0.0.0 0.0.0.0 Dialer 2

 

--> Also das funzt ! (Ach ja: ohne das "callin" gehts nicht !)

Leider muss ich auch weg (Abendkurs) , gerade jetzt wos spannend wird.

 

D.H. ich komme erst Morgen wieder dazu und werde dann den Dialer 1 (Filialanbindung erstellen). Ich habe das mal auf die schnelle versucht (copy-paste mit Anpassungen) das ergab aber dieselben Fehler wie vorher (no group defined).

Also werd ichs Morgen nochmals neu erstellen und Euch aufs neue belästigen :(

 

Danke vielmals für die Hilfe, wenigstens gabs ein kleines Erfolgserlebnis zum Schluss.

 

Gruesse aus der Schweiz,

Marc

[Wurstbläser 10]

Du köntest Dialer 1 zunächst ohne die Authentifizierung zu konfigurieren. Dann kann man die Routing/Map und andere zuordnungsprobleme zuerst lösen.

 

Die access-list 2 ist aber irgendwie sehr unschön - also nach so ziemlich jedem Lehrbuch empfielt sich da "access-list 2 permit <source net>" - also zweimal any any - ne ne wundert mich echt das das geht? da hätte ich jetzt mal eben 100 € verwettet! Wenn eine ACL eine Nr. von 1-99 verwendet handelt es sich um eine Standard-Access-Liste die nur die Quell IP (Netz, Subnetz oder Host). Deshalb macht access-list 1 permit any keinen Sinn - Sie schränkt ja auch nichts ein ...

 

Gruss, bis Morgen -

Robert

[rob_67 10]

moin moin, nochmal etwas zum callin, sobald dies verwendet wird, ist die Authentifizierung nur einseitig, deshalb wird dies gerade bei Providereinwahlen genutzt, d.h. der router sendet seinen user und sein passwort und das wars, da aber der dialer remote name gesetzt ist, prüft er diesen auch noch, es geht aber auch ohne, dann nimmt der router jeden beliebigen namen der gegenseite an.

 

 

wenn jetzt beide dialer identisch sind und der zweite wählt immer noch nicht raus, weil angeblich keine dialer group gesetzt ist, würde ich eine andere ios version versuchen...

 

Vielleicht ein 12.2 er GD release.

 

@wursti: bist du amateur oder hobbyrenner?

 

Grüsse

 

Rob

[Wurstbläser 10]

.. dann bin ich auch mal gespannt wann darktemplar wieder auftaucht

 

dieses "callin" hab das mal in diesem Cisco Field Manual für Router nachgeschlagen - so richtig ausführlich ist das dort wohl auch nicht beschrieben. Bei Amazon.com hab ich mal billige gedruckte Exemplare der offiziellen IOS-Doku gesehen - muss ich nochmal schauen ob die sich lohnen ...

 

@rob: ne bin nur Hobbyrenner (D-Lizenz :) ) - fürs Fahrrad ist mir im Frühjahr zu lange zu kalt. Laufe mehr ..

 

Gruss

Robert

[darktemplar 10]

Sali Zäme,

 

Ich musste kurzfristig ne Offerte erstellen, wobei ich doch lieber was anderes machen würde - ihr wisst schon..

Bin am Nami wieder da. Bis dahin spende ich Euch bei der Hitze mal einen kühlen virtuellen Drink.

Bis denne

[darktemplar 10]

YES !!! Ich glaub es gar nicht: Ich bin drin ! :shock:

 

Big Thanks an das Rob(ert) Dream Team !

 

Na die aktuelle running-config werd ich gleich nachliefern - über die ISDN Leitung.

 

Insgesamt waren dann doch einige Fehler/Unwissenheiten drin *schäm* und den Router Reset hät ich wohl auch früher machen müssen. Jetzt gehts noch um die Feinheiten und eine Einwahl muss ich auch noch konfigurieren.

 

Ich hoffe nun ich kann mein Wissen auch mal so weitergeben, tolle Sache ! Werde jetzt auf jeden Fall regelmässiger Board Besucher.

 

 

Übrigens: hier in der Regio Basel kann mann super Fahradtouren machen (Elass, Schwarzwald ect.). Falls Ihr irgendwann mal in der Regio seit und Durst habt, meldet Euch - seid herzlich eingeladen.

 

Verschwitzte aber freudige Grüsse

Marc

[Wurstbläser 10]

jo poste mal - bin ich mal gespannt wie es jetzt läuft.

 

Die über die Access-Listen definierte dialer-list sollte man wenn irgend möglich weiter einschränken (z.B. nur Http, Email etc.) das senkt die Kosten erfahrungsgemäß.

 

... die Radprofis aus Deutschland ziehen ja auch zuerst in den Schwarzwald, und wenns ihnen da zu flach wird in die Schweiz (dort darf man dann sein Steuersätze noch zusätzlich selbst aushandeln). Hab die ganze letzte Woche die Tour de Suisse verfolgt - nette Ecke da unten ...

 

Gruss

Robert

[darktemplar 10]

Hi

 

Stimmt, an den Access-Lists muss ich noch feilen.... Es kommt dann noch zusätzlich ne Firewall dazwischen (für Statful Packet Inspection ect.).

 

Die Konfig sieht gar nicht soviel anders aus als am Anfang. Ich denke der Router Reset und vorallem das NEU-Erstellen der Dialer waren die Hauptursache (Bei einer Konfig stand das z.B. der Dialer Pool an der falschen Stelle !?).

Dazu kommen noch die weiteren Inputs von Euch und voilà:

 

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

no service tcp-small-servers

no service udp-small-servers

!

hostname xxxxxxxx

!

enable password xxxxxxx

username xxxxxx password xxxxxxxx

!

no ip name-server

!

isdn switch-type basic-net3

isdn voice-call-failure 0

!

!

ip subnet-zero

no ip domain-lookup

!

interface Dialer 1

description connected to xxxxxxx

ip address 172.16.4.1 255.255.255.0

no ip directed-broadcast

encapsulation ppp

dialer pool 11

dialer idle-timeout 60

dialer hold-queue 10

dialer string xxxxxxxxxxxxx

dialer-group 1

!

ppp authentication chap

ppp chap hostname xxxxxxxxxx

!

no ppp multilink

no cdp enable

!

interface Dialer 2

description connected to Internet

ip address negotiated

ip nat outside

encapsulation ppp

dialer pool 11

dialer idle-timeout 60

dialer string xxxxxxxxx

dialer hold-queue 10

dialer remote-name xxxxxxxx

dialer-group 2

ppp authentication chap callin

ppp chap hostname xxxxxxxxx

ppp chap password xxxxxxxxx

no ppp multilink

no cdp enable

!

interface Ethernet 0

no shutdown

ip address 172.16.8.1 255.255.255.0

ip nat inside

no cdp enable

no ip directed-broadcast

keepalive 10

!

interface BRI 0

 

no shutdown

description connected to xxxxxxxx,Internet

no ip address

encapsulation ppp

ppp authentication chap

dialer pool-member 11

isdn switch-type basic-net3

no cdp enable

!

access-list 101 permit ip any 172.16.13.0 0.0.0.255

access-list 102 permit ip 172.16.8.0 0.0.0.255

access-list 2 permit 172.16.8.0 0.0.0.255

!

dialer-list 1 protocol ip list 101

dialer-list 2 protocol ip list 102

!

Dynamic NAT

ip nat translation timeout 86400

ip nat translation tcp-timeout 86400

ip nat translation udp-timeout 300

ip nat translation dns-timeout 60

ip nat translation finrst-timeout 60

ip nat inside source list 2 interface dialer 2 overload

!

ip classless

!

! IP Static Routes

ip route 172.16.13.0 255.255.255.0 172.16.4.13 10 permanent

ip route 0.0.0.0 0.0.0.0 Dialer 2

!

no ip http server

no snmp-server location

no snmp-server contact

banner motd #Text#

!

line console 0

exec-timeout 0 0

password test

login

transport input none

!

line vty 0 4

password test

login

!

!

no service pad

no rcapi server

!

end

 

 

Nochmals grosses Schankedön :)

 

Ja, die Tour de suisse, den Gotthard hab ich auch schon mit Radl gemacht. Aber in der letzten Etappe kamen noch 2 weitere Hammerpässe dazu.... Sowas mach ich dann aber eher mit dem Motorrad. Und schon damit tut am Abend der Allerwerteste weh :D