Avatar billede ravelin Nybegynder
14. marts 2000 - 21:05 Der er 13 kommentarer og
1 løsning

Cisco 803 til WorldOnline

Jeg prøver at sætte min nye Cisco 803 router op til min internetudbyder.
Den ringer op som den skal, men kommer ikke videre.
Jeg kan pinge routeren men intet på den anden side.
Mit gæt er at enten er NAT ikke sat ordentligt op eller også får ISDN interfacet ingen IP-Adresse.
Er der nogen der har en cfg fil som evt sætter det hele op eller bare en som kan forstå en sådan router konfiguration?

Følgende er min config:
xxxxxxxx er mit telefonnummer og yyyy mit brugernavn
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname KEWE
!
no logging console
enable password cmaker
!
!
!
!
!
!
dial-peer voice 1 pots
no forward-to-unused-port
call-waiting
ring 0
port 1
destination-pattern xxxxxxxx
!
pots country DK
ip subnet-zero
!
ip dhcp pool 1
  network 10.1.1.0 255.255.255.0
  default-router 10.1.1.1
  dns-server 212.54.64.170 212.54.64.171
!
ip name-server 212.54.64.170
isdn switch-type basic-net3
!
!
process-max-time 200
!
interface Ethernet0
description connected to EthernetLAN
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in
no ip directed-broadcast
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
no ip directed-broadcast
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
isdn voice-priority xxxxxxxx in always
isdn voice-priority xxxxxxxx out always
isdn incoming-voice modem
!
interface Dialer1
description connected to Internet
ip address negotiated
ip access-group 101 in
no ip directed-broadcast
ip nat outside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer string 104938833883
dialer hold-queue 10
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname yyyy
ppp chap password 7 104A504F514641
ppp pap sent-username yyyy password 7 110D4053434358
!
router rip
version 2
passive-interface Dialer1
network 10.0.0.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit 10.1.1.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 permit tcp any any established
dialer-list 1 protocol ip permit
snmp-server engineID local 00000009020000B064BA0496
snmp-server community public RO
snmp-server contact Mit Navn,min@email.dk
!
line con 0
exec-timeout 0 0
password cmaker
login
transport input none
stopbits 1
line vty 0 1
password cmaker
login
line vty 2 4
login
!
end
Avatar billede joker73arb Nybegynder
15. marts 2000 - 08:26 #1
nu har du sat routeren som default gateway, ikke?
FÅr routeren sin forbindelse til Worldonline, og mere vigtigt holder den denne, eller bliver den ved med at ringe op?

Joker
Avatar billede svindler Nybegynder
15. marts 2000 - 11:16 #2
Jeg tror, at det er den access-list, som ConfigMaker har genereret for dig, der er i udu.
Den tillader kun etablerede tcp-forbindelser retur, og du får således ikke svar på ping, dns-opslag mm.
Hvis du er ligelad med sikkerhed, så skriv følgende kommandoer på konsollen:
enable
(angiv kodeord)
conf t
no access-list 101
access-list 101 permit ip any any
end

Derved tillader du alt at komme ind, ligesom på en normal opkobling.
Hvis du er lidt mere paranoid, kan listen f.eks. være
access-list 101 permit udp any eq 53 any
access-list 101 permit tcp any any established
Derved åbnes kun op for navneopslag og etablerede tcp-sessioner, men ikke for ping, icq, real-audio osv.
Sig til, hvis du har specifikke ønsker.
Avatar billede svindler Nybegynder
15. marts 2000 - 11:19 #3
Husk at skrive
wr mem
for at gemme opsætningen, når du har konstateret, at den virker.
Iøvrigt bør du vide, at Cisco ikke laver hård kryptering af kodeordene, du har angivet. Dit login-kodeord starter med et lille bogstav efterfulgt af fem cifre. Sørg altid for at xxxx'e kodeord, når du viser din IOS konfiguration til en anden.
Avatar billede svindler Nybegynder
15. marts 2000 - 11:22 #4
Det er også muligt at gå i total paranoia mode, hvis du ved nøjagtig, hvad du har brug for skal slippe igennem.
Så skal du også være mere restriktiv med hvad pc'eren skipper afsted, altså opsætte filteret på indersiden (access-list 100).
Avatar billede ravelin Nybegynder
15. marts 2000 - 12:49 #5
Wow Svindler det lyder somom du styrer det.
Jeg tjekker lige det du skrev når jeg kommer hjem.
Jeg vidste ikke det med kodeordene men det er heller ikke så vigtigt at skjule da der kun kan ringes op fra mit tlf nr. men tak alligevel.

Joker>>Ja den ringer op og holder den indtil idle timeout.
Avatar billede joker73arb Nybegynder
15. marts 2000 - 12:54 #6
en lille kommentar.. Hvorfor overhovedet køre med en access liste... det er jo ret ligemeget med dig som hjemmebruger, kørende op imod W-online og natting imellem..

Joker
Avatar billede ravelin Nybegynder
15. marts 2000 - 14:16 #7
svjv skal man bruge en access list ellers åbner den slet ikke for noget overhovedet.
Avatar billede joker73arb Nybegynder
15. marts 2000 - 14:25 #8
hvis du etablerer en telnet til routeren, kan du så pinge videre derfra?

vedr. accesslister... hmm ja, ellers deny'er den alt.. tænke..tænke..

Joker
Avatar billede ravelin Nybegynder
15. marts 2000 - 16:49 #9
Nu kan jeg pinge fra routeren af. Jeg kan også lave navneopslag på DNS'en.
Det kunne jeg ikke før.
Nu er problemet bare at få resten af nettet igennem. Any Ideas?
Behøver jeg at have både access list 100 og 101 ?
Avatar billede ravelin Nybegynder
15. marts 2000 - 17:57 #10
Aaah, kom nu jeg er så tæt på :-(((
100 point oveni for et svar indenfor en ½ time eller deromkring.
Avatar billede joker73 Nybegynder
15. marts 2000 - 19:02 #11
kan du ikke sætte routeren op til at være DHCP-"server"?

joker
Avatar billede joker73 Nybegynder
15. marts 2000 - 19:04 #12
og jepper du behøver access list 100 og 101 hvis du har sat det op som svindler har foreslået idet den ene accesslist tillader alt IP og den anden tillader alt TCP-trafik..

joker
Avatar billede ravelin Nybegynder
16. marts 2000 - 00:08 #13
Jo jeg har den allerede som DHCP server hvorfor?

BTW, det ser ud somom jeg har løst det.
Jeg skriver ihvertfald dette igennem en maskine bag routeren :-))))

Jeg fik fat på en opsætning fra en 803 router som også var connectet til WOL.
Hvor heldig kan man være.

Tak til jer begge, pointene går til Svindleren for det med access listen.
Avatar billede svindler Nybegynder
16. marts 2000 - 14:57 #14
Der skulle færre kommandoer til at ændre access-listen til at tillade alt end til at fjerne den. Derfor foreslog jeg den måde.
Det kan også være rart at have en access-liste, som kan modificeres, i tilfælde af krise, eller hvis man er nysgerrig efter at vide, hvad der kommer ind. Jeg har f.eks. benyttet en access-liste som:
permit tcp any any eq www
permit tcp any any eq smtp
permit ip any any
Den fortæller mig, hvor mange pakker, der har med hhv surf og mail at gøre. Det kan jeg se, ved at skrive "sh access-l"
Hvis ellers ikke listen er alt for lang, har det ikke nogen performance-betydning.
Hvis man laver lange lister kan det svare sig at sortere permit'erne, så de mest benyttede står først. Man skal dog være opmærksom på, at listen læses fra oven og ned.
Når man har en access-liste skal man også være opmærksom på, at der implicit er en "deny ip any any" i bunden af listen, selvom man ikke skriver det.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester