13
Cisco 803. Portfreigabe Das Problem wurde gelöst.
Denn die Hoffnung stirbt zuletzt.
Hallo Zusammen,
ich fange mal damit an, dass ich glaubte mal eben eine Cisco 803 ISDN Router konfigurieren zu können. Schade eigentlich. Ich habe folgendes Problem: Die Anwahl über ISDN klappt soweit, leider ist es aber nicht möglich über den IE eine Seite zu öffnen. Skype scheint zu laufen komischer weise. E-mail und alles andere ohne Erfolg. Wer kann mir sagen, wie ich die Portfreigaben oder ähnliches in die Kiste reinbekomme. Ich muss dazu sagen, ich habe null Ahnung was das Einrichten via Terminal angeht, also geht bitte behutsam mit mir um. Die Config kann ich später posten wenn nötig.
Dann erstmal vielen Dank an die die sich diesem Problem annehmen können.
Gruß Alex
ich fange mal damit an, dass ich glaubte mal eben eine Cisco 803 ISDN Router konfigurieren zu können. Schade eigentlich. Ich habe folgendes Problem: Die Anwahl über ISDN klappt soweit, leider ist es aber nicht möglich über den IE eine Seite zu öffnen. Skype scheint zu laufen komischer weise. E-mail und alles andere ohne Erfolg. Wer kann mir sagen, wie ich die Portfreigaben oder ähnliches in die Kiste reinbekomme. Ich muss dazu sagen, ich habe null Ahnung was das Einrichten via Terminal angeht, also geht bitte behutsam mit mir um. Die Config kann ich später posten wenn nötig.
Dann erstmal vielen Dank an die die sich diesem Problem annehmen können.
Gruß Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59486
Url: https://administrator.de/contentid/59486
Printed on: April 24, 2024 at 08:04 o'clock
13 Comments
Latest comment
OK, dann mal her mit der Config.
Die bekommst du so:
-Terminal starten.
-Wenn der Router-Prompt erscheint:
-"enable" (ohne gänsefüsse) eingeben und mit [enter] bestätigen.
Wirst nach dem Passwort gefragt, wenn du eins hinterlegt hast.
-"show running-config" [enter]
-die Ausgabe (ohne Passwörter) posten.
Eine Portfreigabe ist für das einfache Surfen nicht notwendig. Das muss eine andere Ursache haben.
Was lässt dich darauf schließen, dass die Einwahl klappt?
Die bekommst du so:
-Terminal starten.
-Wenn der Router-Prompt erscheint:
-"enable" (ohne gänsefüsse) eingeben und mit [enter] bestätigen.
Wirst nach dem Passwort gefragt, wenn du eins hinterlegt hast.
-"show running-config" [enter]
-die Ausgabe (ohne Passwörter) posten.
Eine Portfreigabe ist für das einfache Surfen nicht notwendig. Das muss eine andere Ursache haben.
Was lässt dich darauf schließen, dass die Einwahl klappt?
Hey. Danke für die prompte Bedienung. Die Config kann ich erst heute abend reinstellen. Bin an einem anderen Rechner. Die Einwahl scheint zu klappen, da CH1 bzw CH2 online sind, und zumindestens ein geringer Traffic über die Leitung läuft. Skype sagt ich bin Online.
Gruß Alex
Gruß Alex
Bereich wurde gelöscht, da falsche Config.
Da ist aber was gehörig daneben gegangen. Die konfiguration wie sie da steht ist nicht lesbar. Lediglich am Ende, wo steht, dass kein NetBIOS und kein SMB nach draussen darf, kann ich entziffern (das ist übrigens ok).
Schau mal hier: CISCO 803 Konfiguration
So müsste die Ausgabe aussehen.
Schau mal hier: CISCO 803 Konfiguration
So müsste die Ausgabe aussehen.
Ok. Im Moment kann ich nur sagen, dass diese Konfiguration mit Fast Step entstanden ist. Bin für jeden Lösungsvorschlag dankbar, der mir den Weg zeigt, wie ich die Kiste zum laufen bringe. Wie bereits gesagt, bin ich auf diesem Gebiet absolut frisch.
Gruß Alex
Gruß Alex
Fast Step ist hier nicht das Problem - zumindest was die Darstellung der Konfiguration betrifft.
Die Konfiguration wie du sie oben gepostet hast, ist nicht die, die in deinem Router hinterlegt ist. Wäre das der Fall, würde dein Router nicht mehr starten. Da gab es einfach nur Probleme beim Auslesen. Versuch's nochmal, das Ergebnis sollte auch auf deinem Router dem von mir genannten Beispiel sehr ähneln.
Die Konfiguration wie du sie oben gepostet hast, ist nicht die, die in deinem Router hinterlegt ist. Wäre das der Fall, würde dein Router nicht mehr starten. Da gab es einfach nur Probleme beim Auslesen. Versuch's nochmal, das Ergebnis sollte auch auf deinem Router dem von mir genannten Beispiel sehr ähneln.
Vergiss FastStep das ist der letzte Mist....und kürz mal mit editieren dein diesbzgl. Posting damit man nicht immer soviel Müll wegscrollen muss 
Das Command Line Interface ist wie immer bei Cisco dein Freund...
Hier ist eine laufende Konfiguration für eine T-Online Einwahl. Ggf. musst du die Parameter auf deinen Provider ändern. Die Konfig ist so eingestellt, das der Router auch DHCP Server ist für Clients ! (Adressen .1 bis .3 sind statisch vergeben, die musst du mit dem exclude Kommando ausschliessen !)
Die Kommandos:
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
bewirken ein Portfreigabe für eingehende PPTP Calls von remoten VPN Clients. Das musst du ggf. auf deine Bedürfnisse anpassen je nachdem was du forwarden willst. Sonst diese Zeilen weglassen !!!
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
hostname Router
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
ip dhcp excluded-address 172.16.7.254
ip dhcp excluded-address 172.16.7.1
ip dhcp excluded-address 172.16.7.2
ip dhcp excluded-address 172.16.7.3
ip dhcp pool 0
network 172.16.7.0 255.255.255.0
default-router 172.16.7.254
dns-server 194.25.2.129 (Musst du ggf. ändern auf deine Provider DNS Adresse !!!)
ip name-server 194.25.2.129
isdn switch-type basic-net3
interface Ethernet0
description Lokales Ethernet
ip address 172.16.7.254 255.255.255.0
ip access-group 102 in
ip nat inside
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 123456 (Ist nur nötig wenn du eine bestimmte MSN mitgeben willst !!)
no cdp enable
interface Dialer1
description ISDN Waehlverbindung 64kB zu T-Online
bandwidth 64
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 118
dialer string 0191011 Rufnummer Provider, Ändern wenn du nicht bei T-Online bist !)
dialer hold-queue 15
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username 0007302881234567898765#0001 password geheim
ppp timeout idle 118
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 172.16.7.0 0.0.0.255 any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
Router#
Die Access List 102 verhindert das die unvermeintlichen Windows Broadcasts dir deinen ISDN Dialer triggern und dich arm machen !!!
Das Command Line Interface ist wie immer bei Cisco dein Freund...
Hier ist eine laufende Konfiguration für eine T-Online Einwahl. Ggf. musst du die Parameter auf deinen Provider ändern. Die Konfig ist so eingestellt, das der Router auch DHCP Server ist für Clients ! (Adressen .1 bis .3 sind statisch vergeben, die musst du mit dem exclude Kommando ausschliessen !)
Die Kommandos:
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
bewirken ein Portfreigabe für eingehende PPTP Calls von remoten VPN Clients. Das musst du ggf. auf deine Bedürfnisse anpassen je nachdem was du forwarden willst. Sonst diese Zeilen weglassen !!!
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
hostname Router
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip subnet-zero
ip dhcp excluded-address 172.16.7.254
ip dhcp excluded-address 172.16.7.1
ip dhcp excluded-address 172.16.7.2
ip dhcp excluded-address 172.16.7.3
ip dhcp pool 0
network 172.16.7.0 255.255.255.0
default-router 172.16.7.254
dns-server 194.25.2.129 (Musst du ggf. ändern auf deine Provider DNS Adresse !!!)
ip name-server 194.25.2.129
isdn switch-type basic-net3
interface Ethernet0
description Lokales Ethernet
ip address 172.16.7.254 255.255.255.0
ip access-group 102 in
ip nat inside
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn calling-number 123456 (Ist nur nötig wenn du eine bestimmte MSN mitgeben willst !!)
no cdp enable
interface Dialer1
description ISDN Waehlverbindung 64kB zu T-Online
bandwidth 64
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer idle-timeout 118
dialer string 0191011 Rufnummer Provider, Ändern wenn du nicht bei T-Online bist !)
dialer hold-queue 15
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username 0007302881234567898765#0001 password geheim
ppp timeout idle 118
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 172.16.7.1 1723 interface Dialer1 1723
ip nat inside source static gre 172.16.7.1 interface Dialer1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 172.16.7.0 0.0.0.255 any
access-list 102 permit ip any any
dialer-list 1 protocol ip permit
Router#
Die Access List 102 verhindert das die unvermeintlichen Windows Broadcasts dir deinen ISDN Dialer triggern und dich arm machen !!!
Ich würde deine Konfiguration um folgende Zeilen ergänzen
...
access-list 102 deny udp any range netbios-ns netbios-ss any
...
damit niemand aus dem großen bösen weiten Web deine Windows-Freigaben/-Drucker anbrowsen kann.
...
access-list 102 deny udp any range netbios-ns netbios-ss any
- access-list 102 deny tcp any eq 137 any
- access-list 102 deny tcp any eq 138 any
...
damit niemand aus dem großen bösen weiten Web deine Windows-Freigaben/-Drucker anbrowsen kann.
Das ist Unsinn und bringt rein gar nichts, denn die Access List 102 ist eine incoming ACL auf dem lokalen Ethernet Interface ! Bewirkt also nur das Blocken eingehender Packete dort und hat keinerlei Auswirkungen auf eingehende Packete aus dem Internet über das BRI bzw. Dialer Interface !!!
Außerdem verhindert die NAT Firewall (Overload Kommando) aktiv das man reverse Sessions ohne NAT Session Eintrag aus dem Internet aufbauen kann ins lokale Netz.
Wenn, dann müsste man schon diese ACL als neue ACL 103 definieren und die als
ip access-roup 103 in
auf dem Dialer Interface plazieren. Dann macht es auch noch Sinn dort ICMP usw. mit aufzunehmen, das der Router auch nicht mehr pingbar ist.
Allerdings sollte man die Konfig für alex73hb nicht allzu überfrachten, denn er nabelt sich ja gerade erst von FastStep ab !!!
Finetuning kommt dann später !
Außerdem verhindert die NAT Firewall (Overload Kommando) aktiv das man reverse Sessions ohne NAT Session Eintrag aus dem Internet aufbauen kann ins lokale Netz.
Wenn, dann müsste man schon diese ACL als neue ACL 103 definieren und die als
ip access-roup 103 in
auf dem Dialer Interface plazieren. Dann macht es auch noch Sinn dort ICMP usw. mit aufzunehmen, das der Router auch nicht mehr pingbar ist.
Allerdings sollte man die Konfig für alex73hb nicht allzu überfrachten, denn er nabelt sich ja gerade erst von FastStep ab !!!
Finetuning kommt dann später !
Na gut! Erstmal danke für die rege Beteiligung. Viel Fachlatain für mich mit dabei. Könten wir bei A anfangen. Wie bekomme ich die Strings in den Cisco, nachdem ich ihn Zurückgesetzt habe. Hier nochmal hoffentlich die richtige Config. Vielleicht kann man da ja schon was dran machen.
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Renate
!
logging buffered 8192 debugging
enable secret 5 <removed>
username Renate password 7 <removed>
!
!
dial-peer voice 1 pots
no forward-to-unused-port
call-waiting
ring 0
port 1
destination-pattern 1
!
dial-peer voice 2 pots
no forward-to-unused-port
call-waiting
ring 0
port 2
destination-pattern 2
!
pots country DE
ip subnet-zero
no ip source-route
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.144.100 255.255.255.0
ip access-group 121 in
no ip proxy-arp
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn incoming-voice modem
ppp authentication chap pap callin
ppp multilink
!
interface Dialer1
descript
ip address negotiated
ip access-group 121 in
no ip proxy-arp
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer string 08000126683 class DialClass
dialer hold-queue 10
dialer load-threshold 10 either
dialer max-call 4096
dialer-group 1
pulse-time 0
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp multilink
!
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
map-class dialer DialClass
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any time-range TIME
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
!
rcapi server port 2578
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Renate
!
logging buffered 8192 debugging
enable secret 5 <removed>
username Renate password 7 <removed>
!
!
dial-peer voice 1 pots
no forward-to-unused-port
call-waiting
ring 0
port 1
destination-pattern 1
!
dial-peer voice 2 pots
no forward-to-unused-port
call-waiting
ring 0
port 2
destination-pattern 2
!
pots country DE
ip subnet-zero
no ip source-route
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
ip address 192.168.144.100 255.255.255.0
ip access-group 121 in
no ip proxy-arp
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 1
isdn switch-type basic-net3
isdn incoming-voice modem
ppp authentication chap pap callin
ppp multilink
!
interface Dialer1
descript
ip address negotiated
ip access-group 121 in
no ip proxy-arp
encapsulation ppp
no ip split-horizon
dialer remote-name Cisco1
dialer pool 1
dialer idle-timeout 300
dialer string 08000126683 class DialClass
dialer hold-queue 10
dialer load-threshold 10 either
dialer max-call 4096
dialer-group 1
pulse-time 0
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp multilink
!
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
map-class dialer DialClass
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any time-range TIME
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
!
rcapi server port 2578
!
!
time-range TIME
periodic daily 0:00 to 23:59
!
end
Terminalanschluss an den Cisco anschliessen mit dem Windows eigene Hyperterm oder besser noch TerTerm:
http://hp.vector.co.jp/authors/VA002416/teraterm.html
Schnittstellen Parameter auf 9600 Baud, N81, keine Flusskontrolle !
Einloggen auf dem Cisco in den enable Mode gehen und dann
conf t
Jetzt im Konfig Modus einfach mit Cut and Paste die Konfig rein cut n pasten in das CLI Interface.
Ich würde das nicht in einem Rutsch machen sondern blockweise, da sich der CLI Parser bei langen Konfigs ab und zu mal verschluckt.
Wenn alles drin ist dann wr eingeben um die Konfig im Flash zu speichern. Dann einmal mit wri ter nachsehen ob auch alles drin ist (Das Kommado gibt die Konfig aus).
Jetzt kannst mal mit ping www.heise.de auf der Cisco Konsole sehen ob du ein ISDN Verbindung aufmachen kannst und ins Internet kommst.
Wenn du Datum und Uhrzeit mit clock set ... richtig einstellst kannst du mit sh logg immer sehen was der Router so macht mit der ISDN Verbindung am LAN.
Ein Ping von einem LAN Endgerät ins Internet sollte dann auch problemlos klappen !
Wenn du sagst wo für dich noch Fach Latein steht können wir das natürlich für dich übersetzen
P.S.: Vielleicht könntest du trotzdem oben das gepostete Kauderwelsch vom FastStep oben im Thread nochmal editieren und weglöschen oder zumindest etwas kürzen, da es keinerlei relevante und hilfreiche Einträge enthält !
http://hp.vector.co.jp/authors/VA002416/teraterm.html
Schnittstellen Parameter auf 9600 Baud, N81, keine Flusskontrolle !
Einloggen auf dem Cisco in den enable Mode gehen und dann
conf t
Jetzt im Konfig Modus einfach mit Cut and Paste die Konfig rein cut n pasten in das CLI Interface.
Ich würde das nicht in einem Rutsch machen sondern blockweise, da sich der CLI Parser bei langen Konfigs ab und zu mal verschluckt.
Wenn alles drin ist dann wr eingeben um die Konfig im Flash zu speichern. Dann einmal mit wri ter nachsehen ob auch alles drin ist (Das Kommado gibt die Konfig aus).
Jetzt kannst mal mit ping www.heise.de auf der Cisco Konsole sehen ob du ein ISDN Verbindung aufmachen kannst und ins Internet kommst.
Wenn du Datum und Uhrzeit mit clock set ... richtig einstellst kannst du mit sh logg immer sehen was der Router so macht mit der ISDN Verbindung am LAN.
Ein Ping von einem LAN Endgerät ins Internet sollte dann auch problemlos klappen !
Wenn du sagst wo für dich noch Fach Latein steht können wir das natürlich für dich übersetzen
P.S.: Vielleicht könntest du trotzdem oben das gepostete Kauderwelsch vom FastStep oben im Thread nochmal editieren und weglöschen oder zumindest etwas kürzen, da es keinerlei relevante und hilfreiche Einträge enthält !
Danke an alle. Habe die Kiste erstmal zum laufen bekommen.
Klasse ! Dann bitte noch den Thread oben als gelöst markieren !!!
