Cisco 803. Portfreigabe Das Problem wurde gelöst.
Denn die Hoffnung stirbt zuletzt.
Hallo Zusammen,
ich fange mal damit an, dass ich glaubte mal eben eine Cisco 803 ISDN Router konfigurieren zu können. Schade eigentlich. Ich habe folgendes Problem: Die Anwahl über ISDN klappt soweit, leider ist es aber nicht möglich über den IE eine Seite zu öffnen. Skype scheint zu laufen komischer weise. E-mail und alles andere ohne Erfolg. Wer kann mir sagen, wie ich die Portfreigaben oder ähnliches in die Kiste reinbekomme. Ich muss dazu sagen, ich habe null Ahnung was das Einrichten via Terminal angeht, also geht bitte behutsam mit mir um. Die Config kann ich später posten wenn nötig.
Dann erstmal vielen Dank an die die sich diesem Problem annehmen können.
Gruß Alex
ich fange mal damit an, dass ich glaubte mal eben eine Cisco 803 ISDN Router konfigurieren zu können. Schade eigentlich. Ich habe folgendes Problem: Die Anwahl über ISDN klappt soweit, leider ist es aber nicht möglich über den IE eine Seite zu öffnen. Skype scheint zu laufen komischer weise. E-mail und alles andere ohne Erfolg. Wer kann mir sagen, wie ich die Portfreigaben oder ähnliches in die Kiste reinbekomme. Ich muss dazu sagen, ich habe null Ahnung was das Einrichten via Terminal angeht, also geht bitte behutsam mit mir um. Die Config kann ich später posten wenn nötig.
Dann erstmal vielen Dank an die die sich diesem Problem annehmen können.
Gruß Alex
Please also mark the comments that contributed to the solution of the article
Content-Key: 59486
Url: https://administrator.de/contentid/59486
Printed on: April 24, 2024 at 08:04 o'clock
13 Comments
Latest comment
OK, dann mal her mit der Config.
Die bekommst du so:
-Terminal starten.
-Wenn der Router-Prompt erscheint:
-"enable" (ohne gänsefüsse) eingeben und mit [enter] bestätigen.
Wirst nach dem Passwort gefragt, wenn du eins hinterlegt hast.
-"show running-config" [enter]
-die Ausgabe (ohne Passwörter) posten.
Eine Portfreigabe ist für das einfache Surfen nicht notwendig. Das muss eine andere Ursache haben.
Was lässt dich darauf schließen, dass die Einwahl klappt?
Die bekommst du so:
-Terminal starten.
-Wenn der Router-Prompt erscheint:
-"enable" (ohne gänsefüsse) eingeben und mit [enter] bestätigen.
Wirst nach dem Passwort gefragt, wenn du eins hinterlegt hast.
-"show running-config" [enter]
-die Ausgabe (ohne Passwörter) posten.
Eine Portfreigabe ist für das einfache Surfen nicht notwendig. Das muss eine andere Ursache haben.
Was lässt dich darauf schließen, dass die Einwahl klappt?
Da ist aber was gehörig daneben gegangen. Die konfiguration wie sie da steht ist nicht lesbar. Lediglich am Ende, wo steht, dass kein NetBIOS und kein SMB nach draussen darf, kann ich entziffern (das ist übrigens ok).
Schau mal hier: CISCO 803 Konfiguration
So müsste die Ausgabe aussehen.
Schau mal hier: CISCO 803 Konfiguration
So müsste die Ausgabe aussehen.
Fast Step ist hier nicht das Problem - zumindest was die Darstellung der Konfiguration betrifft.
Die Konfiguration wie du sie oben gepostet hast, ist nicht die, die in deinem Router hinterlegt ist. Wäre das der Fall, würde dein Router nicht mehr starten. Da gab es einfach nur Probleme beim Auslesen. Versuch's nochmal, das Ergebnis sollte auch auf deinem Router dem von mir genannten Beispiel sehr ähneln.
Die Konfiguration wie du sie oben gepostet hast, ist nicht die, die in deinem Router hinterlegt ist. Wäre das der Fall, würde dein Router nicht mehr starten. Da gab es einfach nur Probleme beim Auslesen. Versuch's nochmal, das Ergebnis sollte auch auf deinem Router dem von mir genannten Beispiel sehr ähneln.
Vergiss FastStep das ist der letzte Mist....und kürz mal mit editieren dein diesbzgl. Posting damit man nicht immer soviel Müll wegscrollen muss
Das Command Line Interface ist wie immer bei Cisco dein Freund...
Hier ist eine laufende Konfiguration für eine T-Online Einwahl. Ggf. musst du die Parameter auf deinen Provider ändern. Die Konfig ist so eingestellt, das der Router auch DHCP Server ist für Clients ! (Adressen .1 bis .3 sind statisch vergeben, die musst du mit dem exclude Kommando ausschliessen !)
Die Kommandos:
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
bewirken ein Portfreigabe für eingehende PPTP Calls von remoten VPN Clients. Das musst du ggf. auf deine Bedürfnisse anpassen je nachdem was du forwarden willst. Sonst diese Zeilen weglassen !!!
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
hostname Router
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
ip dhcp excluded-address 172.16.7.254
ip dhcp excluded-address 172.16.7.1
ip dhcp excluded-address 172.16.7.2
ip dhcp excluded-address 172.16.7.3
ip dhcp pool 0
network 172.16.7.0 255.255.255.0
default-router 172.16.7.254
dns-server 194.25.2.129 (Musst du ggf. ändern auf deine Provider DNS Adresse !!!)
ip name-server 194.25.2.129
isdn switch-type basic-net3
interface Ethernet0
description Lokales Ethernet
ip address 172.16.7.254 255.255.255.0
ip access-group 102 in
ip nat inside
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 123456 (Ist nur nötig wenn du eine bestimmte MSN mitgeben willst !!)
no cdp enable
interface Dialer1
description ISDN Waehlverbindung 64kB zu T-Online
bandwidth 64
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 118
dialer string 0191011 Rufnummer Provider, Ändern wenn du nicht bei T-Online bist !)
dialer hold-queue 15
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username 0007302881234567898765#0001 password geheim
ppp timeout idle 118
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 172.16.7.0 0.0.0.255 any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
Router#
Die Access List 102 verhindert das die unvermeintlichen Windows Broadcasts dir deinen ISDN Dialer triggern und dich arm machen !!!
Das Command Line Interface ist wie immer bei Cisco dein Freund...
Hier ist eine laufende Konfiguration für eine T-Online Einwahl. Ggf. musst du die Parameter auf deinen Provider ändern. Die Konfig ist so eingestellt, das der Router auch DHCP Server ist für Clients ! (Adressen .1 bis .3 sind statisch vergeben, die musst du mit dem exclude Kommando ausschliessen !)
Die Kommandos:
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
bewirken ein Portfreigabe für eingehende PPTP Calls von remoten VPN Clients. Das musst du ggf. auf deine Bedürfnisse anpassen je nachdem was du forwarden willst. Sonst diese Zeilen weglassen !!!
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
hostname Router
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
ip dhcp excluded-address 172.16.7.254
ip dhcp excluded-address 172.16.7.1
ip dhcp excluded-address 172.16.7.2
ip dhcp excluded-address 172.16.7.3
ip dhcp pool 0
network 172.16.7.0 255.255.255.0
default-router 172.16.7.254
dns-server 194.25.2.129 (Musst du ggf. ändern auf deine Provider DNS Adresse !!!)
ip name-server 194.25.2.129
isdn switch-type basic-net3
interface Ethernet0
description Lokales Ethernet
ip address 172.16.7.254 255.255.255.0
ip access-group 102 in
ip nat inside
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 123456 (Ist nur nötig wenn du eine bestimmte MSN mitgeben willst !!)
no cdp enable
interface Dialer1
description ISDN Waehlverbindung 64kB zu T-Online
bandwidth 64
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 118
dialer string 0191011 Rufnummer Provider, Ändern wenn du nicht bei T-Online bist !)
dialer hold-queue 15
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username 0007302881234567898765#0001 password geheim
ppp timeout idle 118
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 172.16.7.0 0.0.0.255 any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
Router#
Die Access List 102 verhindert das die unvermeintlichen Windows Broadcasts dir deinen ISDN Dialer triggern und dich arm machen !!!
Ich würde deine Konfiguration um folgende Zeilen ergänzen
...
access-list 102 deny udp any range netbios-ns netbios-ss any
...
damit niemand aus dem großen bösen weiten Web deine Windows-Freigaben/-Drucker anbrowsen kann.
...
access-list 102 deny udp any range netbios-ns netbios-ss any
- access-list 102 deny tcp any eq 137 any
- access-list 102 deny tcp any eq 138 any
...
damit niemand aus dem großen bösen weiten Web deine Windows-Freigaben/-Drucker anbrowsen kann.
Das ist Unsinn und bringt rein gar nichts, denn die Access List 102 ist eine incoming ACL auf dem lokalen Ethernet Interface ! Bewirkt also nur das Blocken eingehender Packete dort und hat keinerlei Auswirkungen auf eingehende Packete aus dem Internet über das BRI bzw. Dialer Interface !!!
Außerdem verhindert die NAT Firewall (Overload Kommando) aktiv das man reverse Sessions ohne NAT Session Eintrag aus dem Internet aufbauen kann ins lokale Netz.
Wenn, dann müsste man schon diese ACL als neue ACL 103 definieren und die als
ip access-roup 103 in
auf dem Dialer Interface plazieren. Dann macht es auch noch Sinn dort ICMP usw. mit aufzunehmen, das der Router auch nicht mehr pingbar ist.
Allerdings sollte man die Konfig für alex73hb nicht allzu überfrachten, denn er nabelt sich ja gerade erst von FastStep ab !!!
Finetuning kommt dann später !
Außerdem verhindert die NAT Firewall (Overload Kommando) aktiv das man reverse Sessions ohne NAT Session Eintrag aus dem Internet aufbauen kann ins lokale Netz.
Wenn, dann müsste man schon diese ACL als neue ACL 103 definieren und die als
ip access-roup 103 in
auf dem Dialer Interface plazieren. Dann macht es auch noch Sinn dort ICMP usw. mit aufzunehmen, das der Router auch nicht mehr pingbar ist.
Allerdings sollte man die Konfig für alex73hb nicht allzu überfrachten, denn er nabelt sich ja gerade erst von FastStep ab !!!
Finetuning kommt dann später !
Terminalanschluss an den Cisco anschliessen mit dem Windows eigene Hyperterm oder besser noch TerTerm:
http://hp.vector.co.jp/authors/VA002416/teraterm.html
Schnittstellen Parameter auf 9600 Baud, N81, keine Flusskontrolle !
Einloggen auf dem Cisco in den enable Mode gehen und dann
conf t
Jetzt im Konfig Modus einfach mit Cut and Paste die Konfig rein cut n pasten in das CLI Interface.
Ich würde das nicht in einem Rutsch machen sondern blockweise, da sich der CLI Parser bei langen Konfigs ab und zu mal verschluckt.
Wenn alles drin ist dann wr eingeben um die Konfig im Flash zu speichern. Dann einmal mit wri ter nachsehen ob auch alles drin ist (Das Kommado gibt die Konfig aus).
Jetzt kannst mal mit ping www.heise.de auf der Cisco Konsole sehen ob du ein ISDN Verbindung aufmachen kannst und ins Internet kommst.
Wenn du Datum und Uhrzeit mit clock set ... richtig einstellst kannst du mit sh logg immer sehen was der Router so macht mit der ISDN Verbindung am LAN.
Ein Ping von einem LAN Endgerät ins Internet sollte dann auch problemlos klappen !
Wenn du sagst wo für dich noch Fach Latein steht können wir das natürlich für dich übersetzen
P.S.: Vielleicht könntest du trotzdem oben das gepostete Kauderwelsch vom FastStep oben im Thread nochmal editieren und weglöschen oder zumindest etwas kürzen, da es keinerlei relevante und hilfreiche Einträge enthält !
http://hp.vector.co.jp/authors/VA002416/teraterm.html
Schnittstellen Parameter auf 9600 Baud, N81, keine Flusskontrolle !
Einloggen auf dem Cisco in den enable Mode gehen und dann
conf t
Jetzt im Konfig Modus einfach mit Cut and Paste die Konfig rein cut n pasten in das CLI Interface.
Ich würde das nicht in einem Rutsch machen sondern blockweise, da sich der CLI Parser bei langen Konfigs ab und zu mal verschluckt.
Wenn alles drin ist dann wr eingeben um die Konfig im Flash zu speichern. Dann einmal mit wri ter nachsehen ob auch alles drin ist (Das Kommado gibt die Konfig aus).
Jetzt kannst mal mit ping www.heise.de auf der Cisco Konsole sehen ob du ein ISDN Verbindung aufmachen kannst und ins Internet kommst.
Wenn du Datum und Uhrzeit mit clock set ... richtig einstellst kannst du mit sh logg immer sehen was der Router so macht mit der ISDN Verbindung am LAN.
Ein Ping von einem LAN Endgerät ins Internet sollte dann auch problemlos klappen !
Wenn du sagst wo für dich noch Fach Latein steht können wir das natürlich für dich übersetzen
P.S.: Vielleicht könntest du trotzdem oben das gepostete Kauderwelsch vom FastStep oben im Thread nochmal editieren und weglöschen oder zumindest etwas kürzen, da es keinerlei relevante und hilfreiche Einträge enthält !