Sternenkind 11 Geschrieben 14. Januar 2006 Autor Melden Teilen Geschrieben 14. Januar 2006 ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed 10 ! interface Virtual-Template2 ip unnumbered Ethernet0 peer default ip address pool mypool ppp pfc local request ppp pfc remote apply ppp acfc local request ppp acfc remote apply ppp encrypt mppe 128 ppp authentication ms-chap-v2 ppp ipcp dns 192.168.1.34 ! interface Dialer1 ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxxxxx ppp chap password xxxxxx ppp ipcp dns request ppp ipcp wins request crypto map vpn ! ip local pool mypool 192.168.2.1 192.168.2.254 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 194.25.134.0 255.255.255.0 BRI0 ! ip http server no ip http secure-server ! ip nat inside source route-map bri interface BRI0 overload ip nat inside source route-map dial interface Dialer1 overload ip nat inside source static tcp 192.168.1.1 22 interface Dialer1 22 (war ja nur n Versuch, bin damit aber auch nicht von aussen an meinen SSH gekommen *grummel* fliegt wieder) ! logging 192.168.1.2 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 23 permit 192.168.1.0 0.0.0.255 access-list 102 permit ip 192.168.1.0 0.0.0.255 any access-list 103 permit tcp any any eq pop3 access-list 103 permit tcp any any eq smtp access-list 104 permit ip 0.0.0.0 255.255.255.0 0.0.0.0 255.255.255.0 access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit tcp any any established access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any access-list 111 permit tcp any any eq 22 access-list 111 deny udp any any eq 19 dialer-list 1 protocol ip permit dialer-list 2 protocol ip list 103 ! route-map dial permit 10 match ip address 1 match interface Dialer1 ! route-map bri permit 10 match ip address 1 match interface BRI0 ! ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 exec-timeout 120 0 login local length 0 transport preferred ssh transport input ssh transport output telnet ssh ! scheduler max-task-time 5000 no rcapi server ! ! end Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 14. Januar 2006 Autor Melden Teilen Geschrieben 14. Januar 2006 Ich probier viel rum; geht alles noch sortierter (besonders meine Access-lists);kommt wenn alles läuft Vielen Dank, dass du mir so hilfst :) Die Config der Gegenstelle kannst du erst später bekommen Local@here 192.168.1.0 local@gegenstelle 192.168.3.0 local@später folgende gegenstellen 192.168.4-n.0 vpneingang 192.168.2.0 Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 15. Januar 2006 Melden Teilen Geschrieben 15. Januar 2006 Hi, bin gerade aus dem Wochenende zurück und werde mir die Config am morgen mal in der Firma anschauen. Gruß Florian Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 16. Januar 2006 Melden Teilen Geschrieben 16. Januar 2006 So, ich habe mal in die Config geschaut. Ich nahme mal an, dass Du Azubi bist, wie ich es bis vor einem Jahr auch noch wahr. Habe nämlich auch viel auf der Arbeit ausprobiert. Als erstes habe ich gesehen, dass sich der Router per ISDN einwählt. Die Dialerlist die auf den ISDN Dialer verweist, wird nur verbunden, wenn POP3 oder SMTP Traffic hinaus will. Dein SSH kann auch nicht gehen, da Du den Port 22 mit der Accesslist 111 geblockt hast. Poste mir mal die Config vom Aussenstellen-Router dann können wir mal zwei Komplett neue Configs aufsetzen. Die jetzige enthält noch mehr Fehler und unsicher ist der Router auch. Du solltest niemals die Ports 137-139 für das Internet zugänglich machen. Jetzt interessiert mich aber auch, was Du lernst! Gruß Florian Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Ich bin Azubi, wie du es warst -Fachinformatiker Systemintegration, habe aber keine Chance, das auf Arbeit zu machen, aber es interessiert mich sehr... Auf Arbeit lern ich nicht sooo viel... Hab nicht das Geld für Microsoft Prüfungen /all die Bücher dazu, schwanke aber bei den Testfrage aus den Stegreif ohne lernen zwischen 85 und 100 für Server und XP Damit ist ungefähr alles abgedeckt, was ich auf Arbeit machen kann... im übrigen fast nur selbst bei gebracht... Datenbanken mit Access/VBA mache ich noch und auch welche auf MySQL/PHP Basis, was ich mir aber auch selber bei gebracht habe. Netzwerk planen ist schon gar nicht für Azubis, da gibts einen genauen Plan und fertig konfigurierte Geräte zu denen wir keine Config sehen dürfen - zusammenstecken ist alles Habe mit die 836er privat gekauft, weil ich es können möchte und später auch beruflich nutzen möchte :) Hauptsächlich Dummusersupport... Drucker oder was weiß ich... Alles, was interessant und ansruchsvoll ist muss ich privat kaufen und testen und keiner hier hat Ahnung und kann Tipps geben ##### >Als erstes habe ich gesehen, dass sich der Router per ISDN einwählt. Die Dialerlist die auf den ISDN Dialer verweist, wird nur verbunden, wenn POP3 oder SMTP Traffic hinaus will. Ist beabsichtigt... DSL macht alles an Internet und Über ISDN wird eine 2. Internetverbindung her gestellt wenn Mails mit Outlook von T-Online geholt werden -> Funktioniert auch ####### >Dein SSH kann auch nicht gehen, da Du den Port 22 mit der Accesslist 111 geblockt hast. access-list 111 permit tcp any any eq 22 Ich dachte damit mach ich den frei? *heul* Ich kapiers nich :***( Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Nee, du setzt mit dem NAT-Befehl nur die öffentliche IP Port 22 auf eine interne IP Port 22 um. Wenn auf dem Router SSH aktiviert ist und die Access-List den SSH Verkehr zulässt, dann kannst Du den Router über die Öffentliche IP ansprechen. Nimm mal den NAT Befehl raus und dann erstell die Access-Liste 111 mal neu. Ich würde empfehlen. access-list 111 remark Internet-LAN // Bezeichnung access-list 111 permit esp any any //ESP Kapselung IPSec access-list 111 permit udp any any eq non500-isakmp //ISAKMP Schlüsselaustausch access-list 111 permit udp any any eq isakmp //ISAKMP Schlüsselaustausch access-list 111 permit udp host xxx eq domain any //DNS-Auflösung access-list 111 permit tcp any any eq 22 //SSH access-list 111 deny ip any any Ändere auch noch den Befehl auf dem Dialer Interface "ip inspect myfw in" auf "ip inspect myfw out" In die Access-List kannst Du natürlich noch weitere Dinge einfügen, die Du von Aussen zulassen willst. Aber so ist es ziemlich sicher. Wie schaut es denn mit der Config des Aussenstellen-Routers aus. Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Wieso willst Du die E-Mails per ISDN abholen? Das macht ja nur Sinn, wenn Du bei DSL einen anderen Anbieter hast, da bei T-Online der SMTP und POP mit Deiner IP Adresse authentifiziert wird. Geh ich da richtig in der Annahme, dass der ISP-Provider für DSL ein anderer ist? Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Ich habe DSL bei getacom mit fester IP :) Die Mails hole ich mit ISDN, weil ich dazu nicht die DSL Verbindung trennen will Und es hat mich viel Zeit gekostet, bis 2 Internetverbindunge gleichzeitig NAT konnten :P Natürlich kriegst du auch noch die Config vom anderen Router; es ist nur so, dass ich als Notfalllösung übers WE den Router mit dazugehörenden Laptop an meine Schwester verliehen hab, da sie in der Küche eine 220V Steckdose hatte, an die ein ********* statt 0 und Phase 2 Phasen angeschlossen hatte... Ihr Router war ein bisschen sehr tot danach, aber ich habe den Router heute abend wieder :D Das was du geschrieben hast, werde ich heute Abend gleich testen; auf Arbeit mache ich gerade für unseren Firmenkiosk eine Datenbank und bin da mal gespannt, ob Access Barcode lesen/Drucken unterstützt; hab damit noch keine Erfahrung, aber VBA kann ich eigentlich ziemlich gut für einen nicht Programmierer :D Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 Programmieren, überlasse ich lieber den anderen. Habe da nur Grundkenntnisse. Bleibe da lieber bei meinen Ciscos, Bintecs, Junipers usw. IP habe ich bekommen. und gebe Sie natürlich auch nicht weiter. Feste IP. Hmm, geht einfacher und billiger, aber das muss jeder selber wissen. Ich bin gegen ca. 17:00 Uhr zuhause. Solltest Du ICQ haben, kannst Du mir gerne mal Deine Nummer geben. Cisco ist einfach toll und weist Du warum, es kappiert und kann nicht jeder! :-) Entschuldige, aber sollte keine persönliche Wertung sein. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Cisco ist toll, ich kapiere auch mehr und mehr, aber das entwickelt sich nach und nach... Ich habe in meiner Ausbildung nicht viel von Netzwerk gelernt und im November die Ciscos bekommen... Keine guten Lehrbücher und wenn man was nachlesen will muss man zumindest wissen, was man sucht und da hab ich auch keinen, der mir das sagt... ich fand halt nhrp klang gut :D Los ging es mit "Warum ist die Webconfigoberfläche ab werk im *****?" Weiter ging es mit "Was ist eine Terminalverbindung" "Warum hat mein Notebook keinen Seriellport" "Wie ich brauche enable?... Ach so..." Ich lerne halt, erzähl mir nicht, du hast das alles sofort kapiert :) ICQ bekommst du per PN Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 17. Januar 2006 Melden Teilen Geschrieben 17. Januar 2006 NaNatürlich habe ich das sofort kappiert, was denkst Du denn! :-) Quatsch. So ich mache jetzt Feierabend und setze mich in den Zug. Melde mich später wieder. Aber mitlerweile arbeite ich ja auch ständig damit, daher ist es drin. Bis später. Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 17. Januar 2006 Autor Melden Teilen Geschrieben 17. Januar 2006 Steht im Moment neben mir und hat zum Testen ISDN ! version 12.3 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname sarah ! boot-start-marker boot-end-marker ! memory-size iomem 5 no logging buffered enable secret ! no aaa new-model ip subnet-zero ! ! ip dhcp excluded-address 192.168.3.1 ! ! ip domain name IT-Blankensee.de ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip ips po max-events 100 ip ssh version 2 no ftp-server write-enable isdn switch-type basic-net3 ! ! username xxxxx privilege 15 password xxxxx ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key pringles address 213.9.122.185 crypto isakmp key pringles address 0.0.0.0 0.0.0.0 no-xauth no crypto isakmp ccm ! ! crypto ipsec transform-set strong esp-3des esp-sha-hmac ! crypto map vpn 10 ipsec-isakmp set peer 213.9.122.185 set transform-set strong match address 104 ! ! ! interface Ethernet0 description innen ip address 192.168.3.1 255.255.255.0 ip mtu 1456 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! interface BRI0 description connected to T-Online ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw in ip virtual-reassembly encapsulation ppp dialer string 0191011 dialer hold-queue 10 dialer-group 2 isdn switch-type basic-net3 isdn answer1 4982860 no cdp enable ppp authentication pap callin ppp pap sent-username ppp ipcp dns request ppp ipcp wins request crypto map vpn ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! ip classless ip route 0.0.0.0 0.0.0.0 BRI0 ! ip http server no ip http secure-server ! ip nat inside source list 102 interface BRI0 overload ! logging 192.168.3.2 access-list 23 permit 192.168.3.0 0.0.0.255 access-list 102 permit ip 192.168.3.0 0.0.0.255 any access-list 103 permit tcp any any eq pop3 access-list 103 permit tcp any any eq smtp access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit tcp any any established access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit ! ! control-plane ! ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 exec-timeout 120 0 login local length 0 transport input ssh ! scheduler max-task-time 5000 no rcapi server ! ! end Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 18. Januar 2006 Autor Melden Teilen Geschrieben 18. Januar 2006 Habe jetzt deine list 111 getestet -> mein VPN ging nicht mehr -> access-list 111 permit tcp any any eq 1723, access-list 111 permit gre any any hinzu -> ging auch nicht -> meine access-list -> Port 139 entfernt und access-list 111 permit udp any any eq non500-isakmp hinzu gefügt, den Rest hatte ich ja schon... >Ändere auch noch den Befehl auf dem Dialer Interface "ip inspect myfw in" auf "ip inspect myfw out Habbisch getan Zitieren Link zu diesem Kommentar
Klettermaxx 10 Geschrieben 18. Januar 2006 Melden Teilen Geschrieben 18. Januar 2006 Mahlzeit Hauke, habe Deine Configs mal grundlegend überarbeitet und hoffe, dass ich nichts übersehen habe. Sicher mal Deine jetzigen Config ab und probier die neuen aus. Ich würde Sie dir als E-Mail oder per ICQ schicken. Melde Dich mal. Gruß Florian Zitieren Link zu diesem Kommentar
Sternenkind 11 Geschrieben 24. Januar 2006 Autor Melden Teilen Geschrieben 24. Januar 2006 Config getestet, musste ich ändern, da bei beiden das Internet hinterher nicht mehr ging, werds hier mal posten wenn ich zu Hause bin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.