Sternenkind 11 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 Da zu lang wir der 2. Teil in eine Antwort gesetzt unübliches Problem: Internetverbindung über DSL ins Internet für alles ausser: ISDN Wählverbindung ins Internet an die T-Online Mailserver -> Soweit kein Problem aber: Eth0 ist ip nat inside bri0 ist ip nat outside und dialer1 (DSL) ist ip nat outside Mit ip nat inside source list 102 interface Dialer1 overload Geht die DSL Verbindung, mit ip nat inside source list 104 interface bri0 overload der POP3 zugang zu T-Online, aber: ip nat inside source list 102 interface Dialer1 overload ip nat inside source list 104 interface bri0 overload fürht nicht dazu, dass beides geht :( ZU HÜÜÜÜLLLF! Anbei meine Config ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname shandy ! boot-start-marker boot-end-marker ! memory-size iomem 5 no logging buffered enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxx ! no aaa new-model ip subnet-zero ! ! ip dhcp excluded-address 192.168.1.1 ! ! ip domain name IT-Blankensee.de ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip ips po max-events 100 ip ssh version 2 no ftp-server write-enable isdn switch-type basic-net3 ! ! username hauke password xxxxxxxxxxxxxxxxxxx ! ! no crypto isakmp ccm ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.255.0 ip address 192.168.1.1 255.255.255.0 ip mtu 1456 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface BRI0 description connected to T-Online ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp dialer string 0191011 dialer hold-queue 10 dialer-group 2 isdn switch-type basic-net3 isdn answer1 4982860 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxxxxxxxx password xxxxxxxxxxxxxxx ppp ipcp dns request ppp ipcp wins request Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 ! interface ATM0 no ip address load-interval 30 atm vc-per-vp 64 no atm ilmi-keepalive dsl operating-mode auto pvc 1/32 encapsulation aal5snap pppoe-client dial-pool-number 1 ! ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed 10 ! interface Dialer1 ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxx ppp chap password xxxxxxxxxxxxxxxxxxxxxxx ppp ipcp dns request ppp ipcp wins request ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 ! ip http server no ip http secure-server ! ip nat inside source list 102 interface Dialer1 overload ! logging 192.168.1.2 access-list 23 permit 192.168.1.0 0.0.0.255 access-list 102 permit ip 192.168.1.0 0.0.0.255 any access-list 103 permit tcp any any eq pop3 access-list 103 permit tcp any any eq smtp access-list 104 permit ip 192.168.1.0 0.0.0.255 any access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit tcp any any established access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any dialer-list 1 protocol ip permit dialer-list 2 protocol ip list 103 ! ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 exec-timeout 120 0 login local length 0 transport input ssh ! scheduler max-task-time 5000 no rcapi server ! end 2. Frage: Wie sichere ich meinen Flash? Ohne Cisco Account bekomme ich doch nie wieder ein laufendes IOS falls ich mal was falsch mache!? end Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 hi also rein logisch, müsstest du hier mit logischen dialern arbeiten .. bsp: dialer 1 stellt verbindung mit dsl her un ist default-gateway dialer 2 ist die isdn leitung welche zum mailserver geht 1 unterscheiden tust du zwischen den beiden dann mit statischen routen ! wäre dies eine lösung !ß lg rossi Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Hätte vielleicht sagen sollen, dass ich Änfänger bin ;) >bsp: dialer 1 stellt verbindung mit dsl her un ist default-gateway >dialer 2 ist die isdn leitung welche zum mailserver geht 1 dialer 1 stellt verbindung mit dsl her un ist default-gateway macht er ja >dialer 2 ist die isdn leitung welche zum mailserver geht 1 Ist der Dialer2 wirklich so wichtig? Ich meine, in BRI0 steht der drinnen und wählt ISDN an wenn ich Senden und Empfangen klicke und trennt nach inaktivität; was kann der Dialer denn da mehr? >unterscheiden tust du zwischen den beiden dann mit statischen routen ! Tue ich das nicht hier? ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 Das Problem ist halt, dass entweder das eine oder das andere an den PC vermittelt wird je nachdem ob ich in ip nat inside source list 102 interface Dialer1 overload Dialer1 oder BRI0 einsetze und beide eintragen geht nicht Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 hi, versuch mal etwas anderes: dialer-list 1 protocol ip list 110 dialer-list 2 protocol ip list 103 access-list 110 deny ip any any eq 25 access-list 110 permit ip any any access-list 103 permit tcp any any eq 25 int dialer 1 dialer-group 1 int bri0 dialer-group 2 falls es noch nicht klappt auch dies: access-list 102 deny tcp 192.168.1.0 0.0.0.255 any eq 25 access-list 102 permit ip 192.168.1.0 0.0.0.255 any access-list 104 permit tcp 192.168.1.0 0.0.0.255 any eq 25 ip nat inside source list 102 interface Dialer1 overload ip nat inside source list 104 interface bri0 overload Grüsse Thomas Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Hilft leider auch nicht, da E-Mail Konten bei allen anderen Anbietern außer T-Online über die DSL laufen sollen... Es klappt ja auch, dass er anwählt sobald senden und Empfangen am T-Online-Mail PC geklickt wird, insofern will ich meine Anwahlregeln nicht verdrehen und die DSL Verbindung darf auch nicht während der ISDN Verbindung getrennt werden, sonndern muss dauerhaft bestehen Mein Problem sollte wirklich genau hier liegen: ip nat inside source list 102 interface Dialer1 overload ip nat inside source list 104 interface bri0 overload Beides macht er nicht; jedes für sich geht, wenn ich einen 2. Router benutze und statt ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 ip route 0.0.0.0 0.0.0.0 192.168.1.254 ip route 194.25.134.0 255.255.255.0 BRI0 benutze geht auch alles wie es soll Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 Hilft leider auch nicht, da E-Mail Konten bei allen anderen Anbietern außer T-Online über die DSL laufen sollen... ...dann gibst du in den Access-listen nicht "...any eq 25" an, sondern die IP von T-On line mailserver.. Sollte eigentlich klappen. Ansonsten versuchs mit Route-maps. Grüsse Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 ...Was aber gar nicht nötig ist, da die Accesslist ihm nur verbieten würde, vom DSL aus an den T-Online-Server zu gehen, was er auch so nciht will, da er die Route über ISDN benutzt Wenn ich vom Cisco aus nach T-Online spreche läuft alles über ISDN und alles andere über DSL; es kommt nur nicht beim fragenden PC an Routemaps hab ich überhaupt keinen Schimmer von... was ist das? Ich geh einfach mal davon aus *korrigiere mich*, dass es nicht 1 nat inside und 2 nat outside geben darf? Jedenfalls geht immer das von beiden für das ich nat blablabla interface !!!!!!! overload angebe, jedoch nie wenn ich beide angebe Weiß aber auch keine andere Lösung Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 hi, das funktioniert nur mit route-maps, da bei einem pat basierend auf source-lists mit zwei outside interfaces immer das interface genutzt wird über das, das erste paket drübergeht. sprich, wenn der dsl-dialer " up" ist und im nat-table einträge auf dieses interface zeigen, geht kein paket durch das zweite dialer-interface bzw. das zweite outside interface. die wahl über welches outside interface das paket läuft wird entweder durch eine weitere route-map inkl. policy-routing am ethernet (inside) interface erledigt oder bei vereinfachten anforderungen über den routingtable. # access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload ! route-map dial permit match ip address 1 ! route-map bri permit match ip address 1 ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 # Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Noch nicht getestet, mach ich aber gleich, das sieht sehr nützlich aus! Was bedeutet hier route-map dial permit match ip address 1 ! route-map bri permit match ip address 1 Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Sah aber gut aus... Hab auch aus anderer Richtung einen schubbs in die Richtung bekommen, aber wo sowas nachlesen? Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 Noch nicht getestet, mach ich aber gleich, das sieht sehr nützlich aus! Was bedeutet hier route-map dial permit match ip address 1 ! route-map bri permit match ip address 1 mit den o.g. zeilen definierst du zwei route-maps (dial und bri). innerhalb der route-maps wird auf die acl 1 verwiesen, bzw die route-map wird nur genutzt wenn die die acl 1 matched. die acl 1 ist in diesem fall dein inside netz (private) über die zeilen # ip nat inside source route-map dial interface Dialer1 overload ip nat inside source route-map bri interface Bri0 overload # werden die route-maps an den nat prozess und die outside interfaces gebunden. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Hmm... ich hatte das getestet und keine der Verbindungen ging *grübel* Zitieren Link zu diesem Kommentar
n@ppo 10 Geschrieben 28. Dezember 2005 Melden Teilen Geschrieben 28. Dezember 2005 hi, poste mal bitte die ausgabe von "sho ip nat trans" und "sho ip route c" Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 28. Dezember 2005 Autor Melden Teilen Geschrieben 28. Dezember 2005 Moment... muss dafür mal das funktionierende kurz killen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.