Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco DSL Config, was ist hier faul?

Frage Netzwerke Router & Routing

Mitglied: builder4242

builder4242 (Level 1) - Jetzt verbinden

09.11.2009, aktualisiert 19:00 Uhr, 5597 Aufrufe, 8 Kommentare

Cisco 1812 K9

Ich habe endlich eine funktionierende Config, dennoch kann ich bestimmte Webseiten nicht erreichen.

Ist es normal, dass ich von außen per telnet auf den Router zugreifen kann?

 
version 12.4 
service tcp-keepalives-in 
service tcp-keepalives-out 
service timestamps debug datetime localtime 
service timestamps log datetime localtime 
service password-encryption 
hostname rtss 
boot-start-marker 
boot-end-marker 
security authentication failure rate 3 log 
security passwords min-length 4 
logging buffered 51200 
logging console critical 
enable secret 5 #################### 
enable password 7 ################ 
no aaa new-model 
clock timezone MET 1 
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
crypto pki trustpoint TP-self-signed-3255133010 
 enrollment selfsigned 
 subject-name cn=IOS-Self-Signed-Certificate-3255133010 
 revocation-check none 
 rsakeypair TP-self-signed-3255133010 
crypto pki certificate chain TP-self-signed-3255133010 
 certificate self-signed 01 
##################### 
  	quit 
dot11 syslog 
no ip source-route 
ip cef 
no ip bootp server 
ip domain name ####### 
ip name-server 194.25.2.129 
multilink bundle-name authenticated 
vpdn enable 
vpdn-group 1 
! Default PPTP VPDN group 
  accept-dialin 
  protocol pptp 
  virtual-template 1 
vpdn-group pppoe 
 request-dialin 
  protocol pppoe 
username root privilege 15 password 7 ######### 
username vpn_user password 7 ########### 
!  
crypto isakmp policy 1 
 encr 3des 
 hash md5 
 authentication pre-share 
 group 2 
 lifetime 18000 
crypto isakmp key #################### address ################## 
crypto ipsec transform-set 3des_md5 esp-3des esp-md5-hmac  
crypto ipsec df-bit clear 
crypto map encrypt_daf 1 ipsec-isakmp  
 set peer ############### 
 set security-association lifetime seconds 18000 
 set transform-set 3des_md5  
 set pfs group2 
 match address vpn-traffic 
archive 
 log config 
  hidekeys 
ip tcp synwait-time 10 
ip ssh version 2 
bba-group pppoe global 
interface Null0 
 no ip unreachables 
interface FastEthernet0 
 description Admin Backup Port 
 ip address 10.100.100.1 255.255.255.0 
 ip nat inside 
 ip virtual-reassembly 
 speed auto 
 full-duplex 
interface FastEthernet1 
 description connected to Internet 
 no ip address 
 ip access-group access_to_router in 
 ip nat outside 
 ip virtual-reassembly 
 ip route-cache flow 
 duplex auto 
 speed auto 
 pppoe enable group global 
 pppoe-client dial-pool-number 1 
interface BRI0 
 no ip address 
 encapsulation hdlc 
 shutdown 
interface FastEthernet2 
 vlan-id dot1q 1 
  exit-vlan-config 
interface FastEthernet3 
 shutdown 
interface FastEthernet4 
 shutdown 
interface FastEthernet5 
 shutdown 
interface FastEthernet6 
 shutdown 
interface FastEthernet7 
 shutdown 
interface FastEthernet8 
 shutdown 
interface FastEthernet9 
 shutdown 
interface Virtual-Template1  
 description PPTP Einwahl Interface fuer VPN Zugang 
 ip unnumbered Vlan1 
 peer default ip address pool pptp_dialin 
 no keepalive 
 ppp encrypt mppe auto 
 ppp authentication pap chap ms-chap ms-chapv2 
interface Vlan1 
 description Local network$FW_INSIDE$ 
 ip address 10.10.2.2 255.255.0.0 
 ip nbar protocol-discovery 
 ip flow egress 
 ip nat inside 
 ip virtual-reassembly 
 ip route-cache flow 
interface Dialer1 
 description DSL Provider Dialin 
 ip address negotiated 
 ip mtu 1492 
 ip nat outside 
 ip virtual-reassembly 
 encapsulation ppp 
 dialer pool 1 
 dialer-group 1 
 no cdp enable 
 ppp authentication chap callin 
 ppp chap hostname feste-ip5/################@t-online-com.de 
 ppp chap password 7 ##################### 
 crypto map encrypt_daf 
ip local pool pptp_dialin 10.10.1.1 10.10.1.9 
ip forward-protocol nd 
ip route 0.0.0.0 0.0.0.0 Dialer1 
no ip http server 
no ip http secure-server 
ip dns server 
ip nat pool NAT_VPN 172.29.2.213 172.29.2.214 netmask 255.255.255.252 
ip nat inside source list NAT-DAF pool NAT_VPN overload 
ip nat inside source list NAT-INTERNET interface Dialer1 overload 
ip nat inside source static udp 10.10.1.250 15015 interface Dialer1 15015 
ip nat inside source static udp 10.10.1.250 15016 interface Dialer1 15016 
ip nat outside source static udp 10.10.1.250 15015 ########## 15015 extendable 
ip nat outside source static udp 10.10.1.250 15016 ########## 15016 extendable 
ip access-list extended NAT-DAF 
 permit ip 10.10.0.0 0.0.255.255 160.69.9.0 0.0.0.255 
ip access-list extended NAT-INTERNET 
 permit ip 10.10.0.0 0.0.255.255 any 
ip access-list extended access_to_router 
 remark Allow access to router 
 remark allow VPN from DAF (UDP 500 and protocol 50) 
 permit esp host /* crypto host */ host /* meine öffentliche ip */ 
 permit udp host /* crypto host */ host /* meine öffentliche ip */ eq isakmp 
 permit udp host 192.43.244.18 eq ntp host /* meine öffentliche ip */ eq ntp 
 remark allow ping to outside interface  
 permit icmp any host /* meine öffentliche ip */ echo-reply 
 permit icmp any host /* meine öffentliche ip */ time-exceeded 
 permit icmp any host /* meine öffentliche ip */ unreachable 
 deny   ip any any log 
ip access-list extended vpn-traffic 
 permit ip 172.29.2.212 0.0.0.3 160.69.9.0 0.0.0.255 
logging trap debugging 
no cdp run 
control-plane 
banner motd  
 
***************************************************************** 
*                                                               * 
*                                                               * 
* UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.     * 
* You must have explicit permission to access or configure this * 
* device.  All activities performed on this device are logged   * 
* and violations of this policy may result in disciplinary or   * 
* legal action.                                                 * 
*                                                               * 
***************************************************************** 
 
line con 0 
 exec-timeout 30 0 
 stopbits 1 
 flowcontrol software 
line aux 0 
 exec-timeout 30 0 
 stopbits 1 
 flowcontrol software 
line vty 0 4 
 exec-timeout 30 0 
 privilege level 15 
 password 7 022057555F3357 
 login local 
 transport input telnet ssh 
scheduler allocate 4000 1000 
scheduler interval 500 
ntp clock-period 17180146 
ntp server 192.53.103.108 source Dialer1 prefer 
end
Mitglied: Dani
09.11.2009 um 19:18 Uhr
Hi,

zum Problem 1)
Wie sieht es aus, wenn du direkt auf dem Router mal einen Ping auf die entsprechenden Adressen ausführst? Alles ok? Abhilfe war bei uns, dass wir andere Telekom DNS-Server eingetragen haben

zum Problem 2)
Du kannst auch einfach auf line vty 0 4 eine ACL-Liste setzen und das Problem ist gelöst. Andere Möglichkeit wäre, du setzt über "clear ip access-lists" die Counter zurück und verbindest dich dann per Telnet auf den Router. Das machst du aber besser mal Abends wenn keiner mehr da ist. Da du ansonsten nicht klar siehst, wo deine Pakete dazugezählt werden.


Grüße,
Dani
Bitte warten ..
Mitglied: builder4242
09.11.2009 um 19:29 Uhr
ich habe schon diverse Name Server probiert, wenn ich eine Domain anpinge, löst er die Adresse zwar, lässt aber keine Pakete zu.

Außer bei www.iveco-vis.com, hier kann ich den server anpingen, aber ihn nicht über den Browser erreichen.

Allerdings sind es häufig auch Subdomains, oder nur bestimmte Bereiche.
Bitte warten ..
Mitglied: Dani
09.11.2009 um 20:00 Uhr
Könnte an der Firewall des Anbieters liegen. Wir blocken auch gerne ICMP-Pakete.
Um welche Domains handelt es sich denn?


Grüße,
Dani
Bitte warten ..
Mitglied: builder4242
09.11.2009 um 20:44 Uhr
überhaupt nicht errreichen kann ich microsoft.com, egal auf welche art und weise.

und www.iveco-vis.com kann ich zwar anpingen, aber teilweise mit dem Browser auch nicht erreichen
Bitte warten ..
Mitglied: brammer
09.11.2009 um 21:07 Uhr
Hallo,

das du die Seite www.iveco-vis.com nicht erreichen kannst leigt eher nicht an deiner DSL Verbindung oder deiner Router Config sondern eher daran das die Seite anscheinend nicht erreichbar ist (ich kann die Seite über den Browser auch nicht erreichen aber anpingen.)

Allerdings ist Microsoft.com erreichbar. Was passiert den wenn du Microsoft.com direkt über die IP-Adresse 207.46.197.32 ansprichst?

Das du deinen Router per Telnet erreichen kannst liegt andem Befehl "transport input telnet ssh ".
Einfach mit " no transport input telnet ssh " löschen und die Zeile " transport input ssh " reinnehmen. Danach die Änderung mit "wr me" speichern.

brammer
Bitte warten ..
Mitglied: builder4242
10.11.2009 um 08:55 Uhr
ok ich kann sie jetzt wieder erreichen, aber microsoft.com kann ich nach wie vor nicht erreichen, auch nicht mit deiner IP.

wenn ich den telnet befehl lösche, kann ich doch aus meinem Lan auch nicht mehr darauf zugreifen?
Bitte warten ..
Mitglied: aqui
10.11.2009 um 13:53 Uhr
Vermutlich rennst du immer noch in ein MTU Problem mit den nicht anzeigbaren Webseiten !!
Dafür solltest du unbedingt ein ip tcp adjust-mss 1452 auf deinem lokalen Ethernet LAN Interface (Fa0) setzen was du nicht gemacht hast.
Noch besser ist es deine Max MTU vom Provider ala
http://www.gschwarz.de/mtu-wert-ermitteln
ermitteln und DIESEN Wert in "ip tcp adjust-mss <mtu_wert>" eintragen !

Zu deinem Telnet Problem:
Deine ACL liegt auf dem ganz falschen Interface und muss logischerweise auf das Dialin Interface und nicht auch die Hardware (FastEth 1) selber. Das sollte dein Telnet Problem lösen !
Generell ist deine Konfig nicht besonders ratsam für eine Internet Konfig, denn da solltest du besser eine CBAC Konfig nutzen die erheblich sicherer ist als das was du da machst:
Hier ein beispiel wie es aussehen könnte:

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname router
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
no ip bootp server
ip inspect name myfw tcp
ip inspect name myfw udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Ethernet0
description Lokales LAN
ip address 10.100.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Ethernet1
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-Online DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 1234521234567890001@t-online.de password Geheim ( -->anpassen bei anderem Provider)
ppp ipcp dns request
ppp ipcp mask request
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no http secure-server
!
ip dns server ( --> Router ist DNS Proxy)
ip nat inside source list 103 interface Dialer0 overload
!
dialer-list 1 protocol ip list 103
!
access-list 103 permit ip 10.100.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any ( --> erlaubt PPTP VPN Zugriff von außen)
access-list 111 deny ip any any (log) ( --> "log" nur wenn du Angriffe auf den Router beobachten willst !)

So wird ein sicherer Schuh draus mit CBAC.
Bei dir musst du immer unendlich mit ACL rumfrickeln bis es sicher ist !
Fazit: Konfig besser anpassen !!
Bitte warten ..
Mitglied: builder4242
10.11.2009 um 17:20 Uhr
DANKE, jetzt funktioniert alles.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Running-Config oder Startup-Config bei Cisco-Geräten sichern? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Router & Routing
gelöst CISCO C886VAJ-K9 an einem Telekom Annex J DSL 16000 RAM IP Anschluss (16)

Frage von nik-me zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...