8
Cisco DSL Config, was ist hier faul?
Cisco 1812 K9
Ich habe endlich eine funktionierende Config, dennoch kann ich bestimmte Webseiten nicht erreichen.
Ist es normal, dass ich von außen per telnet auf den Router zugreifen kann?
Ist es normal, dass ich von außen per telnet auf den Router zugreifen kann?
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname rtss
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 4
logging buffered 51200
logging console critical
enable secret 5 ####################
enable password 7 ################
!
no aaa new-model
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-3255133010
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3255133010
revocation-check none
rsakeypair TP-self-signed-3255133010
!
!
crypto pki certificate chain TP-self-signed-3255133010
certificate self-signed 01
#####################
quit
dot11 syslog
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name #######
ip name-server 194.25.2.129
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
!
!
username root privilege 15 password 7 #########
username vpn_user password 7 ###########
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 18000
crypto isakmp key #################### address ##################
!
!
crypto ipsec transform-set 3des_md5 esp-3des esp-md5-hmac
crypto ipsec df-bit clear
!
crypto map encrypt_daf 1 ipsec-isakmp
set peer ###############
set security-association lifetime seconds 18000
set transform-set 3des_md5
set pfs group2
match address vpn-traffic
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh version 2
!
!
bba-group pppoe global
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
description Admin Backup Port
ip address 10.100.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet1
description connected to Internet
no ip address
ip access-group access_to_router in
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
vlan-id dot1q 1
exit-vlan-config
!
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
shutdown
!
interface FastEthernet5
shutdown
!
interface FastEthernet6
shutdown
!
interface FastEthernet7
shutdown
!
interface FastEthernet8
shutdown
!
interface FastEthernet9
shutdown
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered Vlan1
peer default ip address pool pptp_dialin
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap ms-chapv2
!
interface Vlan1
description Local network$FW_INSIDE$
ip address 10.10.2.2 255.255.0.0
ip nbar protocol-discovery
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer1
description DSL Provider Dialin
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname feste-ip5/################@t-online-com.de
ppp chap password 7 #####################
crypto map encrypt_daf
!
ip local pool pptp_dialin 10.10.1.1 10.10.1.9
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat pool NAT_VPN 172.29.2.213 172.29.2.214 netmask 255.255.255.252
ip nat inside source list NAT-DAF pool NAT_VPN overload
ip nat inside source list NAT-INTERNET interface Dialer1 overload
ip nat inside source static udp 10.10.1.250 15015 interface Dialer1 15015
ip nat inside source static udp 10.10.1.250 15016 interface Dialer1 15016
ip nat outside source static udp 10.10.1.250 15015 ########## 15015 extendable
ip nat outside source static udp 10.10.1.250 15016 ########## 15016 extendable
!
ip access-list extended NAT-DAF
permit ip 10.10.0.0 0.0.255.255 160.69.9.0 0.0.0.255
ip access-list extended NAT-INTERNET
permit ip 10.10.0.0 0.0.255.255 any
ip access-list extended access_to_router
remark Allow access to router
remark allow VPN from DAF (UDP 500 and protocol 50)
permit esp host /* crypto host */ host /* meine öffentliche ip */
permit udp host /* crypto host */ host /* meine öffentliche ip */ eq isakmp
permit udp host 192.43.244.18 eq ntp host /* meine öffentliche ip */ eq ntp
remark allow ping to outside interface
permit icmp any host /* meine öffentliche ip */ echo-reply
permit icmp any host /* meine öffentliche ip */ time-exceeded
permit icmp any host /* meine öffentliche ip */ unreachable
deny ip any any log
ip access-list extended vpn-traffic
permit ip 172.29.2.212 0.0.0.3 160.69.9.0 0.0.0.255
!
logging trap debugging
no cdp run
!
!
!
!
!
!
control-plane
!
banner motd
*****************************************************************
* *
* *
* UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. *
* You must have explicit permission to access or configure this *
* device. All activities performed on this device are logged *
* and violations of this policy may result in disciplinary or *
* legal action. *
* *
*****************************************************************
!
line con 0
exec-timeout 30 0
stopbits 1
flowcontrol software
line aux 0
exec-timeout 30 0
stopbits 1
flowcontrol software
line vty 0 4
exec-timeout 30 0
privilege level 15
password 7 022057555F3357
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17180146
ntp server 192.53.103.108 source Dialer1 prefer
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128986
Url: https://administrator.de/contentid/128986
Printed on: April 24, 2024 at 15:04 o'clock
8 Comments
Latest comment
Hi,
zum Problem 1)
Wie sieht es aus, wenn du direkt auf dem Router mal einen Ping auf die entsprechenden Adressen ausführst? Alles ok? Abhilfe war bei uns, dass wir andere Telekom DNS-Server eingetragen haben
zum Problem 2)
Du kannst auch einfach auf line vty 0 4 eine ACL-Liste setzen und das Problem ist gelöst. Andere Möglichkeit wäre, du setzt über "clear ip access-lists" die Counter zurück und verbindest dich dann per Telnet auf den Router. Das machst du aber besser mal Abends wenn keiner mehr da ist. Da du ansonsten nicht klar siehst, wo deine Pakete dazugezählt werden.
Grüße,
Dani
zum Problem 1)
Wie sieht es aus, wenn du direkt auf dem Router mal einen Ping auf die entsprechenden Adressen ausführst? Alles ok? Abhilfe war bei uns, dass wir andere Telekom DNS-Server eingetragen haben
zum Problem 2)
Du kannst auch einfach auf line vty 0 4 eine ACL-Liste setzen und das Problem ist gelöst. Andere Möglichkeit wäre, du setzt über "clear ip access-lists" die Counter zurück und verbindest dich dann per Telnet auf den Router. Das machst du aber besser mal Abends wenn keiner mehr da ist. Da du ansonsten nicht klar siehst, wo deine Pakete dazugezählt werden.
Grüße,
Dani
ich habe schon diverse Name Server probiert, wenn ich eine Domain anpinge, löst er die Adresse zwar, lässt aber keine Pakete zu.
Außer bei www.iveco-vis.com, hier kann ich den server anpingen, aber ihn nicht über den Browser erreichen.
Allerdings sind es häufig auch Subdomains, oder nur bestimmte Bereiche.
Außer bei www.iveco-vis.com, hier kann ich den server anpingen, aber ihn nicht über den Browser erreichen.
Allerdings sind es häufig auch Subdomains, oder nur bestimmte Bereiche.
Könnte an der Firewall des Anbieters liegen. Wir blocken auch gerne ICMP-Pakete.
Um welche Domains handelt es sich denn?
Grüße,
Dani
Um welche Domains handelt es sich denn?
Grüße,
Dani
überhaupt nicht errreichen kann ich microsoft.com, egal auf welche art und weise.
und www.iveco-vis.com kann ich zwar anpingen, aber teilweise mit dem Browser auch nicht erreichen
und www.iveco-vis.com kann ich zwar anpingen, aber teilweise mit dem Browser auch nicht erreichen
Hallo,
das du die Seite www.iveco-vis.com nicht erreichen kannst leigt eher nicht an deiner DSL Verbindung oder deiner Router Config sondern eher daran das die Seite anscheinend nicht erreichbar ist (ich kann die Seite über den Browser auch nicht erreichen aber anpingen.)
Allerdings ist Microsoft.com erreichbar. Was passiert den wenn du Microsoft.com direkt über die IP-Adresse 207.46.197.32 ansprichst?
Das du deinen Router per Telnet erreichen kannst liegt andem Befehl "transport input telnet ssh ".
Einfach mit " no transport input telnet ssh " löschen und die Zeile " transport input ssh " reinnehmen. Danach die Änderung mit "wr me" speichern.
brammer
das du die Seite www.iveco-vis.com nicht erreichen kannst leigt eher nicht an deiner DSL Verbindung oder deiner Router Config sondern eher daran das die Seite anscheinend nicht erreichbar ist (ich kann die Seite über den Browser auch nicht erreichen aber anpingen.)
Allerdings ist Microsoft.com erreichbar. Was passiert den wenn du Microsoft.com direkt über die IP-Adresse 207.46.197.32 ansprichst?
Das du deinen Router per Telnet erreichen kannst liegt andem Befehl "transport input telnet ssh ".
Einfach mit " no transport input telnet ssh " löschen und die Zeile " transport input ssh " reinnehmen. Danach die Änderung mit "wr me" speichern.
brammer
ok ich kann sie jetzt wieder erreichen, aber microsoft.com kann ich nach wie vor nicht erreichen, auch nicht mit deiner IP.
wenn ich den telnet befehl lösche, kann ich doch aus meinem Lan auch nicht mehr darauf zugreifen?
wenn ich den telnet befehl lösche, kann ich doch aus meinem Lan auch nicht mehr darauf zugreifen?
Vermutlich rennst du immer noch in ein MTU Problem mit den nicht anzeigbaren Webseiten !!
Dafür solltest du unbedingt ein ip tcp adjust-mss 1452 auf deinem lokalen Ethernet LAN Interface (Fa0) setzen was du nicht gemacht hast.
Noch besser ist es deine Max MTU vom Provider ala
http://www.gschwarz.de/mtu-wert-ermitteln
ermitteln und DIESEN Wert in "ip tcp adjust-mss <mtu_wert>" eintragen !
Zu deinem Telnet Problem:
Deine ACL liegt auf dem ganz falschen Interface und muss logischerweise auf das Dialin Interface und nicht auch die Hardware (FastEth 1) selber. Das sollte dein Telnet Problem lösen !
Generell ist deine Konfig nicht besonders ratsam für eine Internet Konfig, denn da solltest du besser eine CBAC Konfig nutzen die erheblich sicherer ist als das was du da machst:
Hier ein beispiel wie es aussehen könnte:
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
no ip bootp server
ip inspect name myfw tcp
ip inspect name myfw udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Ethernet0
description Lokales LAN
ip address 10.100.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Ethernet1
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-Online DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 1234521234567890001@t-online.de password Geheim ( -->anpassen bei anderem Provider)
ppp ipcp dns request
ppp ipcp mask request
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no http secure-server
!
ip dns server ( --> Router ist DNS Proxy)
ip nat inside source list 103 interface Dialer0 overload
!
dialer-list 1 protocol ip list 103
!
access-list 103 permit ip 10.100.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any ( --> erlaubt PPTP VPN Zugriff von außen)
access-list 111 deny ip any any (log) ( --> "log" nur wenn du Angriffe auf den Router beobachten willst !)
So wird ein sicherer Schuh draus mit CBAC.
Bei dir musst du immer unendlich mit ACL rumfrickeln bis es sicher ist !
Fazit: Konfig besser anpassen !!
Dafür solltest du unbedingt ein ip tcp adjust-mss 1452 auf deinem lokalen Ethernet LAN Interface (Fa0) setzen was du nicht gemacht hast.
Noch besser ist es deine Max MTU vom Provider ala
http://www.gschwarz.de/mtu-wert-ermitteln
ermitteln und DIESEN Wert in "ip tcp adjust-mss <mtu_wert>" eintragen !
Zu deinem Telnet Problem:
Deine ACL liegt auf dem ganz falschen Interface und muss logischerweise auf das Dialin Interface und nicht auch die Hardware (FastEth 1) selber. Das sollte dein Telnet Problem lösen !
Generell ist deine Konfig nicht besonders ratsam für eine Internet Konfig, denn da solltest du besser eine CBAC Konfig nutzen die erheblich sicherer ist als das was du da machst:
Hier ein beispiel wie es aussehen könnte:
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
no ip bootp server
ip inspect name myfw tcp
ip inspect name myfw udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Ethernet0
description Lokales LAN
ip address 10.100.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Ethernet1
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-Online DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 1234521234567890001@t-online.de password Geheim ( -->anpassen bei anderem Provider)
ppp ipcp dns request
ppp ipcp mask request
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no http secure-server
!
ip dns server ( --> Router ist DNS Proxy)
ip nat inside source list 103 interface Dialer0 overload
!
dialer-list 1 protocol ip list 103
!
access-list 103 permit ip 10.100.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any ( --> erlaubt PPTP VPN Zugriff von außen)
access-list 111 deny ip any any (log) ( --> "log" nur wenn du Angriffe auf den Router beobachten willst !)
So wird ein sicherer Schuh draus mit CBAC.
Bei dir musst du immer unendlich mit ACL rumfrickeln bis es sicher ist !
Fazit: Konfig besser anpassen !!
DANKE, jetzt funktioniert alles.
