chris66 10 Geschrieben 25. Januar 2006 Melden Teilen Geschrieben 25. Januar 2006 Hallo Leute. Ich habe ein Problem mit meinem frisch bei eBay erstandenem Cisco 803. Um es kurz zu fassen... ich bin noch ein IOS DAU - ich habe zwar einiges hier im Forum gelesen, aber es will irgendwie nicht funktionieren... Auf dem 803 läuft eine ziemlich alte IOS - 12.0-7T glaube ich. Zunächst habe ich erstmal alles mit FastStep eingestellt und dann anschließend per Console bearbeitet... leider wählt sich der 803 nicht aus, nach 60 Sekunden beginnt der idle timer jedesmal neu bei den gesetzten 180s. Hier erstmal die Config nach dem FastStep Setup: ! Cisco IOS router configuration file ! Automatically made by Cisco Fast Step v2.5 ! Designed for Cisco C803 ! January 24, 2006 ! Cisco Fast Step Template no service udp-small-servers no service tcp-small-servers service password-encryption hostname Router username Router password Password enable secret Password1 no ip source-route isdn switch-type basic-net3 ip routing ip classless ip subnet-zero service dhcp ip dhcp pool DHCPPoolLAN_0 network 192.168.112.0 255.255.255.0 dns-server 195.50.140.252 195.50.140.114 default-router 192.168.112.240 lease 1 0 0 ip name-server 195.50.140.252 ip name-server 195.50.140.114 pots country DE dial-peer voice 1 pots destination-pattern 0xxxxxxxxx port 1 dial-peer voice 2 pots destination-pattern 0xxxxxxxxx port 2 interface ethernet 0 keepalive no shutdown ip address 192.168.112.240 255.255.255.0 ip route-cache no ip proxy-arp no ip directed-broadcast ip nat inside ip access-group 121 in interface bri 0 encapsulation ppp ppp authentication chap pap callin no ppp multilink isdn switch-type basic-net3 dialer pool-member 1 isdn incoming-voice modem no shutdown interface dialer 1 dialer remote-name Cisco1 dialer pool 1 no ip split-horizon description ISP encapsulation ppp dialer idle-timeout 300 dialer hold-queue 10 dialer-group 1 dialer string 01920781 class DialClass ppp authentication chap pap callin ppp chap hostname arcor ppp chap password internet ppp pap sent-username arcor password internet no ppp multilink ip address negotiated ip route-cache no ip proxy-arp no ip directed-broadcast ip nat outside ip access-group 121 in map-class dialer DialClass no dialer isdn speed 56 dialer-list 1 protocol ip permit no router rip ip route 0.0.0.0 0.0.0.0 dialer 1 ip nat inside source list 18 interface dialer 1 overload access-list 18 permit 192.168.112.0 0.0.0.255 access-list 121 deny udp any eq 138 any access-list 121 deny udp any eq 137 any access-list 121 deny udp any eq 139 any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit ip any any time-range TIME time-range TIME periodic daily 00:00 to 23:59 line console 0 exec-timeout 120 line vty 0 4 exec-timeout 0 login local end Das mit diesem Standard Setup jegliches Paket (auch Netbios) ein Anwahl provoziert ist mir klar. Da ich leider noch keine Ahnung habe wie ich ein geändertes Config File einspiele, habe ich alle Änderungen nacheinander in der Console eingegeben... SIEHE NÄCHSTES POSTING (max.Länge überschritten :shock: ) Zitieren Link zu diesem Kommentar
chris66 10 Geschrieben 25. Januar 2006 Autor Melden Teilen Geschrieben 25. Januar 2006 ... c803#config terminal Enter configuration commands, one per line. End with CNTL/Z. c803(config)#no ip forward-protocol udp netbios-dgm c803(config)#no ip forward-protocol udp netbios-ss c803(config)#no ip forward-protocol udp netbios-ns c803(config)# c803(config)#access-list 102 permit udp an eq 53 any c803(config)#access-list 102 permit tcp an an established c803(config)#access-list 102 permit tcp an eq ftp-data an c803(config)#access-list 102 permit icmp any any echo-reply c803(config)#access-list 102 remark ---- packetfilter fuer verbindungen aus dem inet ----- c803(config)#access-list 101 remark ---- darf den dialer antriggern ----- c803(config)#access-list 101 permit udp any any eq domain c803(config)#access-list 101 permit tcp any any eq smtp c803(config)#access-list 101 permit tcp any any eq pop3 c803(config)#access-list 101 permit tcp any any eq www c803(config)#access-list 101 permit tcp any any eq 443 c803(config)#access-list 101 permit tcp any any eq ftp c803(config)#access-list 101 permit icmp any any echo c803(config)# c803(config)#interface dialer1 c803(config-if)#no ip access-group 121 in c803(config-if)#ip access-group 102 in c803(config-if)# c803(config-if)#dialer idle-timeout 180 c803(config-if)#exit c803(config)#no dialer-list 1 protocol ip permit c803(config)# dialer-list 1 protocol ip list 101 c803(config)# c803(config)#no cdp run c803(config)#interface dialer1 c803(config-if)#no cdp ena c803(config-if)#exit c803(config)#interface bri0 c803(config-if)#no cdp ena c803(config-if)#exit c803(config)#exit c803#wr 01:04:27: %SYS-5-CONFIG_I: Configured from console by console Building configuration... [OK] c803# So das ist nun mein Werk mit vielen Schnippseln aus dem Forum hier womit ich die Config so abändern wollte, dass A) nach 180sec die Verbindung getrennt wird... außer wenn über POP,SMTP,WWW,FTP,443 gesendet wird B) Nicht alle möglichen Ports von außen offen sind B ist mir auch gelungen, bei Shields UP sind alle Ports stealth. Das mit dem Idle-timer funktioniert aber nicht so ganz. Wenn ich den Bri0 debuge zählt der Idle-timer immer bis 120sec runter und dann fängt dieser wieder neu bei 180sec an. Man sieht es auch den LEDS für LAN und ISDN welche immer kurz aufblinken... ich habe keine Ahnung wieso das so ist und wie dieser Traffic entsteht. Am Cisco hängt ein Netgear 624 WLAN Router, welcher am Internet Port auf Statische Adresse/DHCP (ohne Einwahl) eingestellt ist. Dass das mit dem Netgear Router hinter dem 803 zwecks Doppel-NAT nicht ganz optimal ist, ist mir bewusst. Aber momentan habe ich noch keinen reinen AP da, um das WLAN zu betreiben. So, und nun hoffe ich auf Eure Tipps. Vielen Dank schonmal. Viele Grüße, Chris P.S. Gibt es eigentlich irgend ein GUI für IOS oder zumindest eine brauchbare Einsteigerlektüre, womit man IOS besser versteht... irgendwie finde ich diese Konsolen-Konfiguration nicht ganz zeitgemäß?! Die meisten Einstellungen sollten schon per Webinterface möglich sein und nur die Feinheiten sollte man per Telnet einstellen müssen (so wie bei Lancom & Draytek zum Beispiel) Zitieren Link zu diesem Kommentar
chris66 10 Geschrieben 25. Januar 2006 Autor Melden Teilen Geschrieben 25. Januar 2006 EDIT/NACHTRAG: Mir ist grad aufgefallen, dass die Access-Group 121 immer noch benutzt wird: Standard IP access list 18 permit 192.168.113.0, wildcard bits 0.0.0.255 Extended IP access list 101 permit udp any any eq domain (101 matches) permit tcp any any eq smtp permit tcp any any eq pop3 permit tcp any any eq www (894 matches) permit tcp any any eq 443 (212 matches) permit tcp any any eq ftp permit icmp any any echo Extended IP access list 102 permit udp any eq domain any (97 matches) permit tcp any any established (1106 matches) permit tcp any eq ftp-data any permit icmp any any echo-reply Extended IP access list 121 deny udp any eq netbios-dgm any deny udp any eq netbios-ns any deny udp any eq netbios-ss any deny tcp any eq 137 any deny tcp any eq 138 any deny tcp any eq 139 any permit ip any any time-range TIME (active) (1215 matches) c803# Ich dachte die habe ich mit "c803(config-if)#no ip access-group 121 in" deaktiviert? Hmm, da es aber eh für die IN Richtung ist, dürfte es eigentlich nichts mit meinem idle-timeout problem zu tun haben, oder? Wie kann man diese Access-List löschen/deaktivieren? Wie kann man eigentlich ein ios File einspielen? per TFTP Server? Danke! Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Hi, mach mal nen telnet auf den router, enable ihn, debug dialer events anschalten und term mon, schau mal, welche pakete das offenhalten der leitung verursachen, 12.0.7t ist zwar nicht das beste ios, aber prinzipiell dürfte es funzen... gruss rob Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.