14. marts 2000 - 21:05Der er
13 kommentarer og 1 løsning
Cisco 803 til WorldOnline
Jeg prøver at sætte min nye Cisco 803 router op til min internetudbyder. Den ringer op som den skal, men kommer ikke videre. Jeg kan pinge routeren men intet på den anden side. Mit gæt er at enten er NAT ikke sat ordentligt op eller også får ISDN interfacet ingen IP-Adresse. Er der nogen der har en cfg fil som evt sætter det hele op eller bare en som kan forstå en sådan router konfiguration?
Følgende er min config: xxxxxxxx er mit telefonnummer og yyyy mit brugernavn ! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname KEWE ! no logging console enable password cmaker ! ! ! ! ! ! dial-peer voice 1 pots no forward-to-unused-port call-waiting ring 0 port 1 destination-pattern xxxxxxxx ! pots country DK ip subnet-zero ! ip dhcp pool 1 network 10.1.1.0 255.255.255.0 default-router 10.1.1.1 dns-server 212.54.64.170 212.54.64.171 ! ip name-server 212.54.64.170 isdn switch-type basic-net3 ! ! process-max-time 200 ! interface Ethernet0 description connected to EthernetLAN ip address 10.1.1.1 255.255.255.0 ip access-group 100 in no ip directed-broadcast ip nat inside ! interface BRI0 description connected to Internet no ip address no ip directed-broadcast ip nat outside encapsulation ppp dialer rotary-group 1 isdn switch-type basic-net3 isdn voice-priority xxxxxxxx in always isdn voice-priority xxxxxxxx out always isdn incoming-voice modem ! interface Dialer1 description connected to Internet ip address negotiated ip access-group 101 in no ip directed-broadcast ip nat outside encapsulation ppp no ip split-horizon dialer in-band dialer string 104938833883 dialer hold-queue 10 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname yyyy ppp chap password 7 104A504F514641 ppp pap sent-username yyyy password 7 110D4053434358 ! router rip version 2 passive-interface Dialer1 network 10.0.0.0 no auto-summary ! ip nat inside source list 1 interface Dialer1 overload ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 1 permit 10.1.1.0 0.0.0.255 access-list 100 permit ip any any access-list 101 permit tcp any any established dialer-list 1 protocol ip permit snmp-server engineID local 00000009020000B064BA0496 snmp-server community public RO snmp-server contact Mit Navn,min@email.dk ! line con 0 exec-timeout 0 0 password cmaker login transport input none stopbits 1 line vty 0 1 password cmaker login line vty 2 4 login ! end
nu har du sat routeren som default gateway, ikke? FÅr routeren sin forbindelse til Worldonline, og mere vigtigt holder den denne, eller bliver den ved med at ringe op?
Jeg tror, at det er den access-list, som ConfigMaker har genereret for dig, der er i udu. Den tillader kun etablerede tcp-forbindelser retur, og du får således ikke svar på ping, dns-opslag mm. Hvis du er ligelad med sikkerhed, så skriv følgende kommandoer på konsollen: enable (angiv kodeord) conf t no access-list 101 access-list 101 permit ip any any end
Derved tillader du alt at komme ind, ligesom på en normal opkobling. Hvis du er lidt mere paranoid, kan listen f.eks. være access-list 101 permit udp any eq 53 any access-list 101 permit tcp any any established Derved åbnes kun op for navneopslag og etablerede tcp-sessioner, men ikke for ping, icq, real-audio osv. Sig til, hvis du har specifikke ønsker.
Husk at skrive wr mem for at gemme opsætningen, når du har konstateret, at den virker. Iøvrigt bør du vide, at Cisco ikke laver hård kryptering af kodeordene, du har angivet. Dit login-kodeord starter med et lille bogstav efterfulgt af fem cifre. Sørg altid for at xxxx'e kodeord, når du viser din IOS konfiguration til en anden.
Det er også muligt at gå i total paranoia mode, hvis du ved nøjagtig, hvad du har brug for skal slippe igennem. Så skal du også være mere restriktiv med hvad pc'eren skipper afsted, altså opsætte filteret på indersiden (access-list 100).
Wow Svindler det lyder somom du styrer det. Jeg tjekker lige det du skrev når jeg kommer hjem. Jeg vidste ikke det med kodeordene men det er heller ikke så vigtigt at skjule da der kun kan ringes op fra mit tlf nr. men tak alligevel.
Joker>>Ja den ringer op og holder den indtil idle timeout.
en lille kommentar.. Hvorfor overhovedet køre med en access liste... det er jo ret ligemeget med dig som hjemmebruger, kørende op imod W-online og natting imellem..
Nu kan jeg pinge fra routeren af. Jeg kan også lave navneopslag på DNS'en. Det kunne jeg ikke før. Nu er problemet bare at få resten af nettet igennem. Any Ideas? Behøver jeg at have både access list 100 og 101 ?
og jepper du behøver access list 100 og 101 hvis du har sat det op som svindler har foreslået idet den ene accesslist tillader alt IP og den anden tillader alt TCP-trafik..
Der skulle færre kommandoer til at ændre access-listen til at tillade alt end til at fjerne den. Derfor foreslog jeg den måde. Det kan også være rart at have en access-liste, som kan modificeres, i tilfælde af krise, eller hvis man er nysgerrig efter at vide, hvad der kommer ind. Jeg har f.eks. benyttet en access-liste som: permit tcp any any eq www permit tcp any any eq smtp permit ip any any Den fortæller mig, hvor mange pakker, der har med hhv surf og mail at gøre. Det kan jeg se, ved at skrive "sh access-l" Hvis ellers ikke listen er alt for lang, har det ikke nogen performance-betydning. Hvis man laver lange lister kan det svare sig at sortere permit'erne, så de mest benyttede står først. Man skal dog være opmærksom på, at listen læses fra oven og ned. Når man har en access-liste skal man også være opmærksom på, at der implicit er en "deny ip any any" i bunden af listen, selvom man ikke skriver det.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.