thomasruta 10 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 Hallo, ich habe ein Problem mit einem 836. Einwahl funtioniert einwandfrei, jedoch Zugang erhält kein Client im Netz! Im syslog steht auch nix access-list... Hat jemand eine Idee? interface Ethernet0 description xx ip address 192.168.100.1 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 no cdp enable ! interface BRI0 description Backup ISDN Interface no ip address no ip redirects no ip unreachables encapsulation ppp shutdown dialer pool-member 1 isdn switch-type basic-net3 no cdp enable ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp snmp ifindex persist no atm ilmi-keepalive dsl operating-mode annexb-ur2 pvc 1/32 pppoe-client dial-pool-number 2 ! ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address duplex auto speed auto ! interface FastEthernet3 no ip address duplex auto speed auto ! interface FastEthernet4 no ip address duplex auto speed auto ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 2 dialer-group 2 no cdp enable ppp authentication chap callin ppp chap hostname dsl/xx@congster.de ppp chap password 0 xx ppp pap sent-username dsl/xx@congster.de password 0 xx ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 5 life 86400 requests 10000 ip dns server ip nat log translations syslog ip nat inside source list 11 interface Dialer1 overload ! ! access-list 11 permit 192.168.100.0 0.0.0.248 access-list 100 permit ip 192.168.100.0 0.0.0.248 any no cdp run Würde mich freuen wenn mir jemand helfen könnte? Denke das Problem wird in meiner NAT config sein? Vielen Dank im Voraus! Thomas Ruta Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 access-list 11 permit 192.168.100.0 0.0.0.248 access-list 100 permit ip 192.168.100.0 0.0.0.248 any Deine Wildmask ist falsch: ------------------------------------------------ TCP/IP NETWORK INFORMATION ------------------------------------------------ IP Entered = ..................: 192.168.100.0 CIDR = ........................: /28 Netmask = .....................: 255.255.255.240 Netmask (hex) = ...............: 0xfffffff0 Wildcard Bits = ...............: 0.0.0.15 ------------------------------------------------ Network Address = .............: 192.168.100.0 Broadcast Address = ...........: 192.168.100.15 Usable IP Addresses = .........: 14 First Usable IP Address = .....: 192.168.100.1 Last Usable IP Address = ......: 192.168.100.14 Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 interface Dialer1 ... dialer pool 2 dialer-group 2 ... access-list 11 permit 192.168.100.0 0.0.0.248 access-list 100 permit ip 192.168.100.0 0.0.0.248 any Wo kommt denn die 2 her - Quersumme 11 oder was? Kann sein dass ich mich irre weil ich noch nicht richtig wach bin aber das mit der Wildcard-Netzmaske könntest Du gelegentlich nochmal nachprüfen, da komme ich für /29 mit 11111111.11111111.11111111.11111000 auf 00000000.00000000.00000000.00000111 oder 0.0.0.7. no cdp run und no cdp enable gleichzeitig ist relativ sinnfrei. Gruss Markus Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 Oh, logisch, 7 sinds, hab mich vertipp :) Mein Output war fuer 240 Zitieren Link zu diesem Kommentar
thomasruta 10 Geschrieben 8. Mai 2006 Autor Melden Teilen Geschrieben 8. Mai 2006 Danke habe nur einen DSL Anschluß und muß umstecken... aber habe 192.168.100.0 0.0.0.248 durch any ersetzt. Hilft nicht wirklich am NAT liegt es nicht meint Ihr? Zitieren Link zu diesem Kommentar
thomasruta 10 Geschrieben 8. Mai 2006 Autor Melden Teilen Geschrieben 8. Mai 2006 yo jetzt klappt's!! Vielen Dank habe mal einen Reload gemacht ;-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 Du sollst es nicht durch any ersetzen, sondern einfach richtig machen! :) access-list 150 permit ip 192.168.100.0 0.0.0.7 any ip nat inside source list 150 interface Dialer1 overload Ich glaub das fehlt auch noch: dialer-list 2 protocol ip permit Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 Muss er nicht 192.168.100.0 0.0.0.7 angeben anstatt 192.168.100.0 0.0.0.248 ? Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 8. Mai 2006 Melden Teilen Geschrieben 8. Mai 2006 Danke habe nur einen DSL Anschluß und muß umstecken...aber habe 192.168.100.0 0.0.0.248 durch any ersetzt. Hilft nicht wirklich am NAT liegt es nicht meint Ihr? Wie wäre es wenn Du lesen würdest was ich schreibe? Du deklarierst im Dialer1 eine dialer-group 2 ohne diese irgendwo zu definieren. Und solange Du das nicht tust weiss der Router nicht welchen Traffic er eigentlich auf den Dialer1 schicken soll und solange er das nicht weiss routet der Router nicht - zumindest nicht auf den Dialer1. Gruss Markus Zitieren Link zu diesem Kommentar
thomasruta 10 Geschrieben 8. Mai 2006 Autor Melden Teilen Geschrieben 8. Mai 2006 Danke für die Aufmerksam keit habe ich auch nachdem ich mir alles nochmals durchgelesen habe gefunden. Die Installation hat auch soweit geklappt. Ich wollte aber noch ein VPN über l2tp und ipsec realisieren. Hier gibt es Probleme... *Mar 1 05:17:02.354: %SYS-5-CONFIG_I: Configured from console by thorut on vty2 (89.53.118.67) *Mar 1 05:17:38.566: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16 8.5.7:1067 213.198.89.85:53 213.198.89.85:53 *Mar 1 05:17:38.694: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16 8.5.7:1067 213.198.89.85:53 213.198.89.85:53 *Mar 1 05:18:16.482: %IPNAT-6-NAT_DELETED: Deleted tcp 192.168.100.2:17080 84.1 68.5.7:17080 63.210.62.190:80 63.210.62.190:80 *Mar 1 05:18:38.506: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16 8.5.7:1067 192.43.172.30:53 192.43.172.30:53 *Mar 1 05:18:38.606: %IPNAT-6-NAT_CREATED: Created udp 192.168.100.2:1067 84.16 8.5.7:1067 66.180.174.61:53 66.180.174.61:53 *Mar 1 05:19:38.934: %IPNAT-6-NAT_DELETED: Deleted udp 192.168.100.2:1067 84.16 8.5.7:1067 192.43.172.30:53 192.43.172.30:53 Scheint nach der Initialisierung über udp 1701 und tcp 500 keine gre Pakete durchzulassen? kann aber protokoll 47 oder so nicht in der static nat liste hinzufügen... ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 5 life 86400 requests 10000 ip dns server ip nat log translations syslog ip nat inside source list 11 interface Dialer1 overload ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389 ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723 ip nat inside source static esp 192.168.100.2 interface Dialer1 ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500 ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701 pptp geht auch nicht! Hat jemand eine Ahnung? Danke Viele Grüße Thomas Ruta Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. Mai 2006 Melden Teilen Geschrieben 9. Mai 2006 Ja, statt source static machst du source list und haust Port 1723 und GRE in eine ACL :) Zitieren Link zu diesem Kommentar
thomasruta 10 Geschrieben 11. Mai 2006 Autor Melden Teilen Geschrieben 11. Mai 2006 Wie geht das mit der list und sind gre pakete (1723 und GRE ) das gleiche wie L2tp/IPSEC ? Die Ports sind hier 1701 udp und tcp 500 ? Lt MS... ip nat inside source list 11 interface Dialer1 overload ip nat inside source static tcp 192.168.100.2 3389 interface Dialer1 3389 ip nat inside source static tcp 192.168.100.2 1723 interface Dialer1 1723 ip nat inside source static esp 192.168.100.2 interface Dialer1 ip nat inside source static tcp 192.168.100.2 500 interface Dialer1 500 ip nat inside source static udp 192.168.100.2 1701 interface Dialer1 1701 ! ! access-list 100 permit ipinip any any access-list 100 permit ip any any Wie baue ich die hier ein? Danke für die Unterstützung ;-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Mai 2006 Melden Teilen Geschrieben 11. Mai 2006 access-list 100 permit esp any host 192.168.100.2 access-list 100 permit gre any host 192.168.100.2 access-list 100 permit udp any host 192.168.100.2 eq 500 access-list 100 permit udp any host 192.168.100.2 eq 1701 access-list 100 permit tcp any host 192.168.100.2 eq 500 access-list 100 permit tcp any host 192.168.100.2 eq 1723 ip nat inside source list 100 interface dialer 0 so glaub ich :) Zitieren Link zu diesem Kommentar
thomasruta 10 Geschrieben 13. Mai 2006 Autor Melden Teilen Geschrieben 13. Mai 2006 Vielen Dank! Du hast mir sehr geholfen! Jetzt hat es geklappt! Viele Grüße Thomas Ruta http://www.r-p-it.de Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.