7960 und 1750 keine funktion, hilfe

[ShiningStar]

Hallo,

Ich habe gerade meinen router ( cisco 1750 ) konfiguriert, aber er will nicht ins Internet. Auch wenn ich Ihn reboote findet er keinen weg dahin. Ich benutze eine Wic1Enet karte mit 10 mbit zur kommunikation mit dem modem. Die konfiguration sieht wie folgt aus:

DialIn_LTB_01#sh conf
Using 1936 out of 29688 bytes
!
version 12.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DialIn_LTB_01
!
enable secret 5 xxx
enable password xxx
!
ip subnet-zero
no ip routing
!
!
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
!
!
!
!
!
interface Ethernet0
 no ip address
 no ip route-cache
 no ip mroute-cache
 half-duplex
 pppoe enable
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 no ip route-cache
 no ip mroute-cache
 speed auto
 full-duplex
 no cdp enable
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username xxx#[email protected] password 0 xxx
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 101 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   udp any eq netbios-dgm any
access-list 102 deny   udp any eq netbios-ns any
access-list 102 deny   udp any eq netbios-ss any
access-list 102 deny   udp any range snmp snmptrap any
access-list 102 deny   udp any range bootps bootpc any
access-list 102 deny   tcp any eq 137 any
access-list 102 deny   tcp any eq 138 any
access-list 102 deny   tcp any eq 139 any
access-list 102 permit ip any any
dialer-list 1 protocol ip list 102
no cdp run
!
snmp-server community privatelan RO
snmp-server community public RO 15
snmp-server enable traps tty
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 password xxx
 login
!
no scheduler allocate
end

Desweiteren will ich ein cisco 7960 als sipgate telefon verwenden, und würde gerne wissen, wie ich hier die Portweiterleitungen setzen muss. Auch wie ich am besten die Firewall konfiguriere, wäre eine mir wichtige Frage.

Danke schonmal im vorraus

 

[hedgeschredder]

Hi,

aktuell ist das ip routing deaktiviert "no ip routing". Dies kann durch die Eingabe von ip routing aktiviert werden.

Für die Portweiterleitung sehen die Einträge wie folgt aus:

ip nat service sip tcp port 5060
ip nat inside source static tcp 192.168.0.X 5060 interface Dialer1 5060

X: IP des Telefons

 

[ShiningStar]

DialIn_LTB_01#sh conf
Using 2726 out of 29688 bytes
!
version 12.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname DialIn_LTB_01
!
enable secret 5 xxx
enable password xxx
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pppoe
 ip mtu adjust
!
!
!
!
!
!
interface Ethernet0
 description T-DSL Hello World
 no ip address
 ip access-group 100 in
 ip mtu 1492
 ip nat outside
 no ip mroute-cache
 half-duplex
 pppoe enable
 pppoe-client dial-pool-number 21
 no cdp enable
!
interface FastEthernet0
 description inside lan
 ip address 192.168.0.2 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip tcp adjust-mss 1452
 no ip mroute-cache
 speed auto
 full-duplex
 no cdp enable
!
interface Dialer21
 ip address negotiated
 ip access-group 100 in
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1452
 no ip mroute-cache
 dialer pool 21
 dialer-group 2
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username [email][email protected][/email] password 0 xxx
 ppp ipcp dns request
!
ip nat inside source list 101 interface Dialer21 overload
ip nat inside source static tcp 192.168.0.5 5060 interface Dialer1 5060
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer21
no ip http server
!
!
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any ttl-exceeded
access-list 100 permit tcp any any established
access-list 100 permit udp any eq domain any
access-list 100 permit udp any eq ntp any
access-list 101 permit udp any any eq ntp
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 102 deny   udp any eq netbios-dgm any
access-list 102 deny   udp any eq netbios-ns any
access-list 102 deny   udp any eq netbios-ss any
access-list 102 deny   udp any range snmp snmptrap any
access-list 102 deny   udp any range bootps bootpc any
access-list 102 deny   tcp any eq 137 any
access-list 102 deny   tcp any eq 138 any
access-list 102 deny   tcp any eq 139 any
access-list 102 permit ip any any
dialer-list 2 protocol ip list 101
no cdp run
!
snmp-server community LTB1 RW
snmp-server enable traps tty
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 exec-timeout 0 0
 no login
!
ntp server 192.53.103.104
ntp server 129.69.1.153
ntp server 130.149.17.8
ntp server 131.188.3.220
end

- Ich habe die daten wie Du beschrieben hast geändert, ich kann nur nicht die Portweiterleitung sehen....
- an der console muss ich kein passwort mehr eingeben... weil ich musste es recovern... wie kann ich das wieder ändern und wie bekomme ich die 5 ltzten einträge über ntp raus? weil mit no geht das nicht....
-ist ansonsten die config ok? Weil er will sich irgendwie nicht ins internet verbinden...

Danke schon einmal im vorraus

 

[RB]

Moin zusammen!

@ShiningStar
Habe die Beiträge mal mit

-Tags versehen. Das macht's deutlich übersichtlicher...

 

[ShiningStar]

Danke ;-)

Ich steh aber noch immer vor einem schier unlösbarem problem...

Auch will ich das ids endlich konfigurieren und zum laufen bringen...

aber irgendwie hakt es auch da immer...

Das wichtigste ist, das ich nich ins i net kann...

 

[RB]

Tut mir leid - mit den Routern von Cisco habe ich mich noch nie näher befasst. Das ist ja eh so eine Art "Welt für sich".

Da können hoffentlich andere mehr zu sagen...

 

[ShiningStar]

mmmh ich sehe grad du hast nen bintec 1200 II... den selben habe ich auch. Als 2. router halt. Was muss ich denn da einstellen, das mein 7960 auch von aussen erreichbar ist? Weil portweoterleitung habe ich drin... raus telen kann ich aber nicht rein...


bestehen bleibt noch das cisco prob

 

[RB]

Bei meinem Bintec habe ich Einstellungen unter NAT (Incoming), bei der SIF und bei den Access Lists gemacht.

Die NAT-Einstellungen würden wohl unter den Begriff "Port Forwarding" fallen. Die anderen Geschichten müssen aber auch sein, es sei denn, man schaltet die SIF aus, was ich aber nicht gerne tun würde...

Bei SIF und NAT handelt es sich halt darum, daß eine Verbindung von außen aufgebaut werden darf bzw. wohin die Daten dann geleitet werden. Die Access Lists habe ich recht einfach gehalten, sind aber prinzipiell natürlich auch mit im Spiel.

Ich kann ggf detaillierte Einstellungen posten. Wie fit bist Du mit dem Bintec? Anpassen mußt Du das natürlich dann schon ein wenig...

 

[MarkusS]

Danke ;-)

Ich steh aber noch immer vor einem schier unlösbarem problem...

Auch will ich das ids endlich konfigurieren und zum laufen bringen...

aber irgendwie hakt es auch da immer...

Das wichtigste ist, das ich nich ins i net kann...

Ich habe das Gefühl, dass Du mit FW und IDS ziemlich überfordert wärst.

Du arbeitest (bastelst) da mit ziemlich professionellem Equipment dass aufgrund der umfangreichen Features die Eigenschaft hat, ziemlich komplex zu sein.

Wenn Du Cisco wirklich lernen willst bringt es nix, wenn Du Deine Fragen planlos durch verschiedene Foren streust, auf Fragen nicht eingehst, parallel in verschiedenen Threads verschiedene Probleme postest und erforderliche Infos nicht lieferst.

Der einschlägige Security Configuration Guide hat um die 600 Seiten, da hilft es wenig dass Du "willst", dass ist eher was für Leute die "können" - und bis Du diesen Zustand erreicht hast wird es noch etwas dauern, da hilt es Dir nix, wenn ich hier 30 Zeilen Code hinschmeisse, damit würden deine "Probleme" wahrscheinlich nur noch grösser, abgesehen davon weiss hier niemand was Du firewalltechnisch überhaupt brauchst.

Das IDS wird Dir wahrscheinlich nix bringen weil Du den Output wohl weder monitoren noch interpretieren geschweige denn adäquat darauf reagieren kannst.

Gruss
Markus

 

[ShiningStar]

Ja ne, hast schon recht, hab da etwas planlos reagiert... dauert halt irgendwie alles ein wenig, sich da rein zu arbeiten, kein thema. FW funktioniert jetzt, auch die Weiterleitung geht.

Es besteht nur noch ein prob, das ich zb. ebay nicht in my ebay kann und das ich keine langen posts machen kann... ich weiss nur nicht warum

Und es besteht das problem dass das sipphone nicht ganz geht... Hoffe das ich das auch bald mal hin bekomme.

 

[MarkusS]

Dann rüste die Kiste doch erstmal ab. Nimm FW und IDS raus, dann mit einer Minimalkonfiguration anfangen.

Um die Kiste "dicht" zu machen reichen im Prinzip einfache Access-Listen - oder nimm einfach die Konfig vom VTY, damit kommt keiner mehr auf die Kiste ohne blaues Kabel - und da Du intern ein RFC 1918-Netz hast kann auch keiner ins LAN reinrouten.

Dann erstmal langsam vorarbeiten und die Konfig Zeile für Zeile wieder reingeben und testen - bis zu der Stelle an der die Seiten nicht mehr funktionieren.

Gruss
Markus

 

[ShiningStar]

hab den fehler gefunden, lag an den mtu´s... nur ist noch das prob mit meinem cisco sip phone... cp 7960. Da kann ich soviele ports eingeben wie ich will... er will nur die standart media ports behalten. Gibt es da ein trick das er die behält?

 

[RB]

Ich vermute, daß Du über den Firmware-Fehler gestolpert bist, daß das Telefon nicht in der Lage ist, beliebige Werte für start_media_port und end_media_port anzunehmen.

Das gilt übrigens auch, wenn man versucht, die Werte über das Menü einzugeben. Wenn man dann aus dem Menü rausgeht und direkt wieder rein, sieht man, daß sich die Werte nicht geändert haben.

Die Kombination, die ich in meinen Beispieldateien im Download-Bereich habe, funktioniert aber definitiv (16384 - 16388).

 

[ShiningStar]

cool, das mit den ports hat geklappt.... nur, telefonieren geht trotzdem nicht... er meint nur reorder und angerufen werden kann ich auch nicht werden

 

[RB]

Dann würde ich einfach mal drauf tippen, daß die Signalisierung nicht beim Telefon ankommt (Port eingestellt mit voip_control_port, Standard 5060/UDP). Das ist zumindest dann für gewöhnlich der Fall, wenn es gar nicht klingelt.

Alternativ könnte das Problem noch darin liegen, daß sich das Telefon mit der internen (privaten) IP-Adresse registriert und nicht mit der externen (öffentlichen). Dann kommen die INVITEs von extern gar nicht erst beim Router an...

Für solche Zwecke sollte man mal an geeigneter Stelle mittracen.