Cisco 801 authentifikation

[cardman2 10]

Hallo,

 

ich hab folgendes Frage:

 

ich hab insgesamt 6 Dialer definiert 3 ausgehend und 3 eingehend. Das Problem, das ich hab ist, wie leg ich die benutzerdaten fest, mit denen sich ein anderer Router von aussen bei mir einwählen kann???

 

Danke

 

gruß

 

cardman

 

P.S.: Die drei ausgehenden Dialer funktionieren einwandfrei!!!

[Elstevo 10]

schick mir mal die config!

[cardman2 10]

Hallo,

 

hier jetzt mal die konfigurationen der zu verbindenden Router:

 

Router1 (Soll angerufen werden):

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname wintersdorf
!
boot-start-marker
boot system flash c800-y6-mw.123-5c.bin
boot-end-marker
!
enable secret 5 xxx
!
username xxx password 7 xxx
no aaa new-model
ip subnet-zero
no ip domain lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.0.148 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
no ip proxy-arp
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap pap
!
interface Dialer0
description Test - connection
ip address 192.168.1.201 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name xxx
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap callin optional
ppp chap hostname xxx
ppp chap password 7 xxx
!
interface Dialer1
description Connection to trierweiler
ip address 192.168.1.201 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name xxx
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap callin optional
ppp chap hostname xxx
ppp chap password xxx
ppp pap sent-username xxx password xxx
!
interface Dialer2
description Connection to Udelfangen
ip address 192.168.1.201 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name xxx
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap
ppp chap hostname xxx
ppp chap password 7 xxx
!
ip nat inside source route-map d0 interface Dialer0 overload
ip classless
ip route 192.168.1.12 255.255.255.255 Dialer0
ip route 192.168.1.140 255.255.255.255 Dialer1
ip route 192.168.1.142 255.255.255.255 Dialer2
ip route 192.168.1.147 255.255.255.255 Dialer2
ip route 192.168.1.149 255.255.255.255 Dialer1
no ip http server
!
access-list 101 deny   ip 0.0.0.255 255.255.255.0 any
access-list 101 permit ip any any
access-list 110 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
route-map d0 permit 10
match ip address 101
match interface Dialer0
!
!
line con 0
exec-timeout 0 0
password xxx
logging synchronous
login
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 110 in
exec-timeout 120 0
password 7 045A1E120A22
logging synchronous
login
transport preferred all
transport input all
transport output all

!
no rcapi server
!
!
!
end

[cardman2 10]

und hier der Router der anrufen soll:

 

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname autec
!
boot-start-marker
boot system flash c800-y6-mw.123-5c.bin
boot-end-marker
!
enable secret 5 xxx
!
username xxx password 7 xxx
no aaa new-model
ip subnet-zero
no ip domain lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.169.0.102 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
no cdp enable
!
interface BRI0
no ip address
no ip proxy-arp
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap pap
!
interface Dialer0
description connection to ka-trierweiler
ip address 192.168.1.201 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name xxx
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap callin optional
ppp chap hostname dfue_test
ppp chap password 7 104A0F0C00
ppp pap sent-username xxx password 7 xxx
!
interface Dialer1
description Connection to trierweiler
ip address 192.168.0.199 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name trierweiler
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap pap callin optional
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
!
interface Dialer2
description connection to wintersdorf
ip address 192.168.0.201 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer remote-name wintersdorf
dialer idle-timeout 90
dialer wait-for-line-protocol 10
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap pap
ppp chap hostname xxx
ppp chap password 7 xxx
ppp pap sent-username xxx password 7 xxx
!
interface Dialer7
description connection from wintersdorf
ip address 192.168.1.201 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 1
dialer idle-timeout 235
dialer string xxx
dialer-group 1
no cdp enable
ppp authentication chap
!
interface Dialer9
no ip address
no cdp enable
!
ip nat inside source route-map d0 interface Dialer0 overload
ip classless
ip route 192.168.1.12 255.255.255.255 Dialer0
ip route 192.168.1.140 255.255.255.255 Ethernet0
ip route 192.168.1.140 255.255.255.255 Dialer1
ip route 192.168.1.141 255.255.255.255 Dialer1
ip route 192.168.1.141 255.255.255.255 Dialer2
ip route 192.168.1.148 255.255.255.255 Dialer1
ip route 192.168.1.148 255.255.255.255 Dialer2
ip route 192.168.1.149 255.255.255.255 Dialer1
no ip http server
!
access-list 101 deny   ip 0.0.0.255 255.255.255.0 any
access-list 101 permit ip any any
access-list 110 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
route-map d0 permit 10
match ip address 101
match interface Dialer0
!
!
line con 0
exec-timeout 0 0
password 7 xxx
logging synchronous
login
transport preferred all
transport output all
stopbits 1
line vty 0 4
access-class 110 in
exec-timeout 120 0
password 7 045A1E120A22
logging synchronous
login
transport preferred all
transport input all
transport output all
!
no rcapi server
!
!
!
end

[Frank04 10]

Das eine Telnet Password ist autec...

 

username dfue-test password dfue

 

interface Dialer255

description Einwahl

ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

encapsulation ppp

dialer pool 1

dialer remote-name dfue-test

dialer-group 1

ppp authentication chap

 

in etwa.

[cardman2 10]

Ich hab jetzt eine Verbindung hinbekommen zu meinem Router, allerdings routet er mich nicht durch. Was muß ich denn noch einstellen, das ich auch durch den Router durchkomme???

 

Danke

 

cardman

[rob_67 10]

Hi,

 

 

dialer remote-name legt den Namen der Gegenseite fest(in der Regel Routername)

Für diesen dann noch einen user anlegen mit passwort.

Es geht auch mit dialer caller und die Rufnummer der Gegenseite, user ist ebenfalls anzulegen, setzt aber voraus, dass eine Rufnummer übertragen wir und das es mindestens ein 12.1er ios ist...

 

Gruss

 

Rob

[cardman2 10]

Muß ein dialer remote-name angegeben werden und auf welcher Seite muß er angegeben werden???

[rob_67 10]

es muss nicht, aber wenn ein ruf reinkommt, muss er ihn ja irgendwie einem dialer zuordnen, entweder du machst das mittels dem chap namen der gegenseite oder bei neueren iossen über die rufnummer, der dialer remote name muss auf jedem fall auf der seite angegeben werden, auf der die rufe reinkommen, wenn auf der anderen seite nur ausgehende rufe sind, dann nicht unbedingt notwendig, schadet aber auch nicht.

[cardman2 10]

Also wenn ich dich richtig verstanden habe, muß ich auf dem Router der angerufen wird einen Dialer anlegen und ihm den dialer remote-name dem namen des anrufenden Routers?

[rob_67 10]

ja, genau.

[cardman2 10]

Könntest du dann vielleicht mal hier drüber schauen, ob die Dialer soweit in ordnung sind:

 

rufender Dialer:

 

interface Dialer1
description Connection 
ip address 192.168.0.100 255.255.255.0
ip access-group 110 in
no ip proxy-arp
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 120 either
dialer string xxx
dialer caller xxx
dialer-group 1
no cdp enable
ppp authentication chap callin optional
ppp chap hostname xxx
ppp chap password  xxx
ppp pap sent-username xxx password xxx

 

gerufener Dialer:

 

interface Dialer9
description connection from autec
ip address 192.168.0.201 255.255.255.0
no ip proxy-arp
encapsulation ppp
dialer pool 1
dialer remote-name xxx
dialer-group 1
no cdp enable
ppp authentication chap

[cardman2 10]

Das bekomme ich als Debug meldung bei debug ppp authentication:

 

06:16:03: BR0:2 AUTH: Timeout 7
06:16:03: BR0:2 CHAP: O CHALLENGE id 33 len 32 from "trierweiler"
06:16:03: BR0:2 CHAP: I CHALLENGE id 235 len 32 from "trierweiler"
06:16:03: BR0:2 CHAP: Ignoring Challenge with local name
autec#
06:16:13: BR0:2 AUTH: Timeout 8
06:16:13: BR0:2 CHAP: O CHALLENGE id 34 len 32 from "trierweiler"
06:16:13: BR0:2 CHAP: I CHALLENGE id 236 len 32 from "trierweiler"
06:16:13: BR0:2 CHAP: Ignoring Challenge with local name
autec#
06:16:23: BR0:2 AUTH: Timeout 9
06:16:23: BR0:2 CHAP: O CHALLENGE id 35 len 32 from "trierweiler"
06:16:23: BR0:2 CHAP: I CHALLENGE id 237 len 32 from "trierweiler"
06:16:23: BR0:2 CHAP: Ignoring Challenge with local name

 

Vielleicht hilft das ja.

[rob_67 10]

aus den dialern kann ich sonst nicht viel erkennen, aber die fehlermeldung besagt, dass sich die gegenseite mit dem gleichen Namen wie der Einwahlrouter einwählen will und das geht nicht, beide router müssen unterschiedlich heissen

[cardman2 10]

Danke, nachdem ich jetzt was geändert habe, bekomme ich folgende Debug-Meldungen:

 

06:54:36: BR0:1 PPP: Using dialer call direction
06:54:36: BR0:1 PPP: Treating connection as a callout
06:54:36: BR0:1 PPP: Authorization required
06:54:36: BR0:1 CHAP: O CHALLENGE id 57 len 26 from "autec"
06:54:36: BR0:1 CHAP: I CHALLENGE id 50 len 32 from "trierweiler"
06:54:36: BR0:1 CHAP: Using hostname from unknown source
06:54:36: BR0:1 CHAP: Using password from AAA
06:54:36: BR0:1 CHAP: O RESPONSE id 50 len 26 from "autec"
06:54:36: BR0:1 CHAP: I RESPONSE id 57 len 32 from "trierweiler"
06:54:36: BR0:1 CHAP: I SUCCESS id 50 len 4
06:54:36: BR0:1 PPP: Sent CHAP LOGIN Request
06:54:36: BR0:1 PPP: Received LOGIN Response PASS
06:54:36: BR0:1 PPP: Sent LCP AUTHOR Request
06:54:36: BR0:1 LCP: Received AAA AUTHOR Response PASS
06:54:36: BR0:1 CHAP: O SUCCESS id 57 len 4.

 

Vielleicht kannst du mir je jetzt noch mehr helfen?

 

Danke