.titleBar { margin-bottom: 5px!important; }

7960 und 1750 keine funktion, hilfe

Dieses Thema im Forum "Cisco" wurde erstellt von ShiningStar, 9 Aug. 2005.

  1. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    Ich habe gerade meinen router ( cisco 1750 ) konfiguriert, aber er will nicht ins Internet. Auch wenn ich Ihn reboote findet er keinen weg dahin. Ich benutze eine Wic1Enet karte mit 10 mbit zur kommunikation mit dem modem. Die konfiguration sieht wie folgt aus:
    Code:
    DialIn_LTB_01#sh conf
    Using 1936 out of 29688 bytes
    !
    version 12.2
    service config
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname DialIn_LTB_01
    !
    enable secret 5 xxx
    enable password xxx
    !
    ip subnet-zero
    no ip routing
    !
    !
    !
    ip audit notify log
    ip audit po max-events 100
    vpdn enable
    !
    vpdn-group 1
    !
    vpdn-group pppoe
     request-dialin
      protocol pppoe
    !
    !
    !
    !
    !
    !
    interface Ethernet0
     no ip address
     no ip route-cache
     no ip mroute-cache
     half-duplex
     pppoe enable
     pppoe-client dial-pool-number 1
     no cdp enable
    !
    interface FastEthernet0
     ip address 192.168.0.1 255.255.255.0
     ip nat inside
     no ip route-cache
     no ip mroute-cache
     speed auto
     full-duplex
     no cdp enable
    !
    interface Dialer1
     ip address negotiated
     ip mtu 1492
     ip nat outside
     encapsulation ppp
     no ip mroute-cache
     dialer pool 1
     dialer-group 1
     no cdp enable
     ppp authentication pap callin
     ppp pap sent-username xxx#0001@t-online.de password 0 xxx
    !
    ip nat inside source list 1 interface Dialer1 overload
    ip nat inside source list 101 interface Dialer1 overload
    ip classless
    ip route 0.0.0.0 0.0.0.0 Dialer1
    no ip http server
    !
    !
    access-list 1 permit 10.0.0.0 0.0.0.255
    access-list 101 permit ip 10.0.0.0 0.255.255.255 any
    access-list 102 deny   udp any eq netbios-dgm any
    access-list 102 deny   udp any eq netbios-ns any
    access-list 102 deny   udp any eq netbios-ss any
    access-list 102 deny   udp any range snmp snmptrap any
    access-list 102 deny   udp any range bootps bootpc any
    access-list 102 deny   tcp any eq 137 any
    access-list 102 deny   tcp any eq 138 any
    access-list 102 deny   tcp any eq 139 any
    access-list 102 permit ip any any
    dialer-list 1 protocol ip list 102
    no cdp run
    !
    snmp-server community privatelan RO
    snmp-server community public RO 15
    snmp-server enable traps tty
    !
    line con 0
     exec-timeout 0 0
    line aux 0
    line vty 0 4
     password xxx
     login
    !
    no scheduler allocate
    end
    Desweiteren will ich ein cisco 7960 als sipgate telefon verwenden, und würde gerne wissen, wie ich hier die Portweiterleitungen setzen muss. Auch wie ich am besten die Firewall konfiguriere, wäre eine mir wichtige Frage.

    Danke schonmal im vorraus
     
  2. hedgeschredder

    hedgeschredder Neuer User

    Registriert seit:
    6 Jan. 2005
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    aktuell ist das ip routing deaktiviert "no ip routing". Dies kann durch die Eingabe von ip routing aktiviert werden.

    Für die Portweiterleitung sehen die Einträge wie folgt aus:

    ip nat service sip tcp port 5060
    ip nat inside source static tcp 192.168.0.X 5060 interface Dialer1 5060

    X: IP des Telefons
     
  3. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Code:
    DialIn_LTB_01#sh conf
    Using 2726 out of 29688 bytes
    !
    version 12.2
    service config
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname DialIn_LTB_01
    !
    enable secret 5 xxx
    enable password xxx
    !
    ip subnet-zero
    !
    !
    !
    ip audit notify log
    ip audit po max-events 100
    vpdn enable
    !
    vpdn-group 1
     request-dialin
      protocol pppoe
     ip mtu adjust
    !
    !
    !
    !
    !
    !
    interface Ethernet0
     description T-DSL Hello World
     no ip address
     ip access-group 100 in
     ip mtu 1492
     ip nat outside
     no ip mroute-cache
     half-duplex
     pppoe enable
     pppoe-client dial-pool-number 21
     no cdp enable
    !
    interface FastEthernet0
     description inside lan
     ip address 192.168.0.2 255.255.255.0
     no ip redirects
     no ip unreachables
     no ip proxy-arp
     ip nat inside
     ip tcp adjust-mss 1452
     no ip mroute-cache
     speed auto
     full-duplex
     no cdp enable
    !
    interface Dialer21
     ip address negotiated
     ip access-group 100 in
     ip mtu 1492
     ip nat outside
     encapsulation ppp
     ip tcp adjust-mss 1452
     no ip mroute-cache
     dialer pool 21
     dialer-group 2
     no cdp enable
     ppp authentication pap callin
     ppp pap sent-username [email]xxx@t-online.de[/email] password 0 xxx
     ppp ipcp dns request
    !
    ip nat inside source list 101 interface Dialer21 overload
    ip nat inside source static tcp 192.168.0.5 5060 interface Dialer1 5060
    ip classless
    ip route 0.0.0.0 0.0.0.0 Dialer21
    no ip http server
    !
    !
    access-list 100 permit icmp any any echo-reply
    access-list 100 permit icmp any any packet-too-big
    access-list 100 permit icmp any any echo
    access-list 100 permit icmp any any ttl-exceeded
    access-list 100 permit tcp any any established
    access-list 100 permit udp any eq domain any
    access-list 100 permit udp any eq ntp any
    access-list 101 permit udp any any eq ntp
    access-list 101 permit udp any any eq domain
    access-list 101 permit tcp any any eq smtp
    access-list 101 permit tcp any any eq pop3
    access-list 101 permit tcp any any eq 143
    access-list 101 permit tcp any any eq www
    access-list 101 permit tcp any any eq 443
    access-list 102 deny   udp any eq netbios-dgm any
    access-list 102 deny   udp any eq netbios-ns any
    access-list 102 deny   udp any eq netbios-ss any
    access-list 102 deny   udp any range snmp snmptrap any
    access-list 102 deny   udp any range bootps bootpc any
    access-list 102 deny   tcp any eq 137 any
    access-list 102 deny   tcp any eq 138 any
    access-list 102 deny   tcp any eq 139 any
    access-list 102 permit ip any any
    dialer-list 2 protocol ip list 101
    no cdp run
    !
    snmp-server community LTB1 RW
    snmp-server enable traps tty
    !
    line con 0
     exec-timeout 0 0
    line aux 0
    line vty 0 4
     exec-timeout 0 0
     no login
    !
    ntp server 192.53.103.104
    ntp server 129.69.1.153
    ntp server 130.149.17.8
    ntp server 131.188.3.220
    end
    - Ich habe die daten wie Du beschrieben hast geändert, ich kann nur nicht die Portweiterleitung sehen....
    - an der console muss ich kein passwort mehr eingeben... weil ich musste es recovern... wie kann ich das wieder ändern und wie bekomme ich die 5 ltzten einträge über ntp raus? weil mit no geht das nicht....
    -ist ansonsten die config ok? Weil er will sich irgendwie nicht ins internet verbinden...

    Danke schon einmal im vorraus
     
  4. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Moin zusammen!

    @ShiningStar
    Habe die Beiträge mal mit
    Code:
    -Tags versehen. Das macht's deutlich übersichtlicher...
     
  5. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke ;-)

    Ich steh aber noch immer vor einem schier unlösbarem problem...

    Auch will ich das ids endlich konfigurieren und zum laufen bringen...

    aber irgendwie hakt es auch da immer...

    Das wichtigste ist, das ich nich ins i net kann...
     
  6. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Tut mir leid - mit den Routern von Cisco habe ich mich noch nie näher befasst. Das ist ja eh so eine Art "Welt für sich".

    Da können hoffentlich andere mehr zu sagen...
     
  7. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    mmmh ich sehe grad du hast nen bintec 1200 II... den selben habe ich auch. Als 2. router halt. Was muss ich denn da einstellen, das mein 7960 auch von aussen erreichbar ist? Weil portweoterleitung habe ich drin... raus telen kann ich aber nicht rein...


    bestehen bleibt noch das cisco prob
     
  8. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Bei meinem Bintec habe ich Einstellungen unter NAT (Incoming), bei der SIF und bei den Access Lists gemacht.

    Die NAT-Einstellungen würden wohl unter den Begriff "Port Forwarding" fallen. Die anderen Geschichten müssen aber auch sein, es sei denn, man schaltet die SIF aus, was ich aber nicht gerne tun würde...

    Bei SIF und NAT handelt es sich halt darum, daß eine Verbindung von außen aufgebaut werden darf bzw. wohin die Daten dann geleitet werden. Die Access Lists habe ich recht einfach gehalten, sind aber prinzipiell natürlich auch mit im Spiel.

    Ich kann ggf detaillierte Einstellungen posten. Wie fit bist Du mit dem Bintec? Anpassen mußt Du das natürlich dann schon ein wenig...
     
  9. MarkusS

    MarkusS Neuer User

    Registriert seit:
    13 Juni 2005
    Beiträge:
    153
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe das Gefühl, dass Du mit FW und IDS ziemlich überfordert wärst.

    Du arbeitest (bastelst) da mit ziemlich professionellem Equipment dass aufgrund der umfangreichen Features die Eigenschaft hat, ziemlich komplex zu sein.

    Wenn Du Cisco wirklich lernen willst bringt es nix, wenn Du Deine Fragen planlos durch verschiedene Foren streust, auf Fragen nicht eingehst, parallel in verschiedenen Threads verschiedene Probleme postest und erforderliche Infos nicht lieferst.

    Der einschlägige Security Configuration Guide hat um die 600 Seiten, da hilft es wenig dass Du "willst", dass ist eher was für Leute die "können" - und bis Du diesen Zustand erreicht hast wird es noch etwas dauern, da hilt es Dir nix, wenn ich hier 30 Zeilen Code hinschmeisse, damit würden deine "Probleme" wahrscheinlich nur noch grösser, abgesehen davon weiss hier niemand was Du firewalltechnisch überhaupt brauchst.

    Das IDS wird Dir wahrscheinlich nix bringen weil Du den Output wohl weder monitoren noch interpretieren geschweige denn adäquat darauf reagieren kannst.

    Gruss
    Markus
     
  10. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja ne, hast schon recht, hab da etwas planlos reagiert... dauert halt irgendwie alles ein wenig, sich da rein zu arbeiten, kein thema. FW funktioniert jetzt, auch die Weiterleitung geht.

    Es besteht nur noch ein prob, das ich zb. ebay nicht in my ebay kann und das ich keine langen posts machen kann... ich weiss nur nicht warum

    Und es besteht das problem dass das sipphone nicht ganz geht... Hoffe das ich das auch bald mal hin bekomme.
     
  11. MarkusS

    MarkusS Neuer User

    Registriert seit:
    13 Juni 2005
    Beiträge:
    153
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dann rüste die Kiste doch erstmal ab. Nimm FW und IDS raus, dann mit einer Minimalkonfiguration anfangen.

    Um die Kiste "dicht" zu machen reichen im Prinzip einfache Access-Listen - oder nimm einfach die Konfig vom VTY, damit kommt keiner mehr auf die Kiste ohne blaues Kabel - und da Du intern ein RFC 1918-Netz hast kann auch keiner ins LAN reinrouten.

    Dann erstmal langsam vorarbeiten und die Konfig Zeile für Zeile wieder reingeben und testen - bis zu der Stelle an der die Seiten nicht mehr funktionieren.

    Gruss
    Markus
     
  12. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hab den fehler gefunden, lag an den mtu´s... nur ist noch das prob mit meinem cisco sip phone... cp 7960. Da kann ich soviele ports eingeben wie ich will... er will nur die standart media ports behalten. Gibt es da ein trick das er die behält?
     
  13. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Ich vermute, daß Du über den Firmware-Fehler gestolpert bist, daß das Telefon nicht in der Lage ist, beliebige Werte für start_media_port und end_media_port anzunehmen.

    Das gilt übrigens auch, wenn man versucht, die Werte über das Menü einzugeben. Wenn man dann aus dem Menü rausgeht und direkt wieder rein, sieht man, daß sich die Werte nicht geändert haben.

    Die Kombination, die ich in meinen Beispieldateien im Download-Bereich habe, funktioniert aber definitiv (16384 - 16388).
     
  14. ShiningStar

    ShiningStar Neuer User

    Registriert seit:
    23 Juli 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    cool, das mit den ports hat geklappt.... nur, telefonieren geht trotzdem nicht... er meint nur reorder und angerufen werden kann ich auch nicht werden
     
  15. RB

    RB Aktives Mitglied

    Registriert seit:
    22 Juni 2004
    Beiträge:
    1,311
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Selbständiger Bitbeißer
    Ort:
    40883 Ratingen
    Dann würde ich einfach mal drauf tippen, daß die Signalisierung nicht beim Telefon ankommt (Port eingestellt mit voip_control_port, Standard 5060/UDP). Das ist zumindest dann für gewöhnlich der Fall, wenn es gar nicht klingelt.

    Alternativ könnte das Problem noch darin liegen, daß sich das Telefon mit der internen (privaten) IP-Adresse registriert und nicht mit der externen (öffentlichen). Dann kommen die INVITEs von extern gar nicht erst beim Router an...

    Für solche Zwecke sollte man mal an geeigneter Stelle mittracen.