Ανοίγω αυτό το topic για να αρχίσουμε να ποστάρουμε τα configuration μας (ή τουλάχιστον κάποια working configuration) των router μας.

Έτσι κάθε χρήστης που έχει προμηθευτεί το ίδιο router, θα μπορεί ευκολα να ρυθμίσει και το δικό του.

Κυρίως λέω να ασχοληθούμε με cisco routers μιας και είναι τα πιο δύσκολα για αρχάριους, αλλά φυσικά όποιος θέλει ας κάνει post το δικό του.

ΠΡΟΣΟΧΗ!! Μην ξεχνάτε να σβήσετε το username/password σας και οποιαδήποτε static ip έχετε :)

Παραθέτω το δικό μου configuration το οποίο αφορά τον Cisco 837, συνδεδεμένο σε Siemens DSLAM με PPPoA.

Ουσιαστικά κάθε ενδιαφερόμενος μπορεί να το κάνει copy paste, να βάλει τα δικά του στοιχεία όπου υπάρχει xxxxxx και να το κάνει upload με tftp στο router του και να το κάνει copy στο startup-config.

Για να γίνει το παραπάνω πρέπει να κάνει τα εξής:

Από command promt, telnet στην ip του router του.
Δίνει username/pass (default: cisco/cisco)

γράφει την εντολή enable (default pass: cisco)

μετά φορτώνει ενα tftp στο pc του και ρίχνει μέσα στο αντιστοιχισμένο directory το configuration file (δλδ το δικό μου, με τα δικά του στοιχεία) το οποίο ας υποθέσουμε οτι ονομάζεται router.cfg

Γράφει:


copy tftp://[την ip του pc]/router.cfg flash:

μετά


copy running flash:old.cfg

για να κανει backup

μετα


copy flash:router.cfg startup

και τελος

reload

Για ότι αλλο χρειαστεί κανεις ας κάνει post εδω



!This is the running config of the router: 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
no logging buffered
enable secret xxxxxxxxxx
!
username xxxxxxxx password xxxxxxxxx
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@acn
ppp chap password xxxxxxxxx
ppp pap sent-username xxxxxxx@acn password xxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662 //αυτο για να παίζει το emule :)
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

Καταρχας συγχαρητιρια μου για το topic. Απο μενα ειναι bookmarked.
Στο ψητο:
Στο -υπερπληρες- configuration σου θα μπορουσες να το απλουστοποιησεις (να βγαλεις τα ip inspect, access-lists κλπ) για να τον αρχαριο user οπως αναφερεις να εχει τον κορμο απο βασικο configuration. Η ακομα καλυτερο να εχει και τις 2 versions ;-)
Αυριο θα κανω μια αποπειρα να σεταρω το router απλα να κανει pppoe κληση πανω απο ενα dsl modem που ειναι σε bridged mode. Το configuration αποτι εχω δει απο αλλα παραδειγματα ειναι αρκετα πιο απλο αφου δεν εχω πανω μου το pvc κλπ (αν κι εμενα με ενδιαφερει να το φτιαξω σαν backup σε σειριακο, οποτε ισως γινεται πιο πολυπλοκο) αλλα αμα εχεις υποψην σου καποια λεπτομερεια για τα ελληνικα δεδομενα let me know.
Μολις παιξει το configuration θα το postarw εδω.

Και παλι συγχαρητηρια για το topic :)

RGrds

Φιλε μου zlimvos καλωσόρισες!
Αυτό το configuration είναι αυτο που φτιάχνει το CRWS. Πιο συγκεκριμένα είναι αυτο πιο φτιάχνει όταν επιλέγεις PPPoA και μάλιστα χωρις να ενεργοποιήσεις το firewall :)

Πάντως θα δοκιμάσω μια πιο Lite έκδοση (αφαιρώντας αυτά που ζήτησες) μόλις τελειώσω ενα μεγάλο download και αν λειτουργήσουν όλα καλα θα το κάνω post.

Μερικές γρήγορες αλλαγές (βελτιώσεις?) στο config σου. Δεν έχει δοκιμαστεί σαν config, αλλά λογικά δεν πρέπει να υπάρχει πρόβλημα. Υπόψιν ότι έχω βγάλει το firewall.



!This is the running config of the router: 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in ! για να μην μένουν κολλημένα ανοιχτά connections
service tcp-keepalives-out ! για να μην μένουν κολλημένα ανοιχτά connections
service timestamps debug datetime localtime ! για σωστά -χρονικά- logs στο debug
service timestamps log datetime localtime ! για σωστά -χρονικά- logs στο logging
service password-encryption
!
hostname xxxxxxxxx
!
logging buffered 32000 debugging ! για να κρατιούνται logs στον buffer
logging console critical ! μόνο τα σημαντικά logs σε console
!
enable secret xxxxxxxxxx
!
clock timezone EET 2 ! timezone
clock summer-time EET recurring last Sun Mar 3:00 last Sun Oct 3:00 ! summertime
!
ip subnet-zero
no ip source-route
!
username xxxxxxxx password xxxxxxxxx
no aaa new-model
!
ip name-server x.x.x.x ! dns server 1
ip name-server x.x.x.x ! dns server 2
!
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
no ftp-server write-enable
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
bandwidth x ! p.x. 383/512/1024
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
bandwidth x ! p.x. 383/512/1024
ip address negotiated
ip access-group 111 in
ip accounting access-violations ! για να βλέπεις τι κόβεται στην 111
load-interval 30 ! για πιο "ακριβή" υπολογισμό της τρέχουσας κίνησης
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@acn
ppp chap password xxxxxxxxx
ppp pap sent-username xxxxxxx@acn password xxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662 //αυτο για να παίζει το emule :)
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 23 deny any log ! για να βλέπεις τι κόβεται
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
!
access-list 111 permit tcp any any established ! βοηθάει στα "δύσκολα" πρωτόκολλα, αλλά είναι και μεγάλη τρύπα σε ασφάλεια
access-list 111 remark ** dns request answers **
access-list 111 permit udp any eq domain any
access-list 111 remark ** icmp **
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 remark ** specific protocols ** ! για να ξέρεις τι κάνεις
access-list 111 permit tcp any any eq ftp ! έχεις ftp server?
access-list 111 permit tcp any any eq ftp-data ! έχεις ftp server?
access-list 111 permit tcp any any eq www ! έχεις www server?
access-list 111 permit tcp any any eq 4662
access-list 111 remark ** deny everything else **
access-list 111 deny ip any any log ! για να βλέπεις τι κόβεται
!
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
logging synchronous ! γλυτώνεις το enter όταν βλέπεις τα logs, αλλά μπορεί να φορτώσει την cpu
!
ntp server x.x.x.x ! ntp server
!
scheduler max-task-time 5000
!
end


Προσοχή: οι παραπάνω αλλαγές προυποθέτουν ότι κάποιος γνωρίζει πως να κάνει το configuration μέσω CLI, αλλιώς υπάρχει περίπτωση να του διακοπεί η πρόσβαση.

Αν θυμάμαι καλά, όλο το configuration μπορεί να περαστεί και με απλό copy/paste στο CLI αντί να χρησιμοποιηθεί tftp;

Και μια ακόμα ερώτηση: στον 836 χρησιμοποιώ το SDM, έχω κάνει configuration to firewall από τον wizard του (νομίζω :oops: ), αλλά κάθε φορά που μπαίνω μου λέει ότι το firewall είναι inactive και δεν μπορώ να κάνω edit ό,τι έχω ορίσει στο setup. Πώς μπορώ να ενεργοποιήσω το firewall και να κάνω αλλαγές στο υπάρχον configuration μέσω του SDM;

Ορίστε και το conf file του:



!This is the running config of the router: cisco
!----------------------------------------------------------------------------
!version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxxx
!
boot system flash c836-k9o3y6-mz.122-13.ZH2.bin
logging queue-limit 100
no logging buffered
no logging console
enable secret xxxxxxxxxxxxxxxxxx
!
username xxxxxx password xxxxxxxx
username xxxxxxx privilege xxxxxxxxxxx
clock timezone PCTimeZone 2
clock summer-time PCTimeZone date Mar 30 2003 3:00 Oct 26 2003 4:00
ip subnet-zero
ip domain name xxxxxxx.gr
ip name-server xxxxxxxx
ip name-server 195.170.0.2
ip dhcp excluded-address xxxxxxxx
!
!
ip ftp username xxxxxx
ip ftp password xxxxxxxxxx
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:xxx.xxx.xxx.xxx-255.255.255.0
ip address xxx.xxx.xxx.xxx 255.255.255.0 secondary ! edw einai private IP
ip address xxx.xxx.xxx.xxx 255.255.255.240 ! edw einai public IP
ip nat inside
no ip mroute-cache
!
interface BRI0
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
ppp authentication pap chap
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode annexb-ur2
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@xxxxxxxxxxxxxxx.gr
ppp chap password xxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxx@xxxxxxxxxxxxxx.gr password xxxxxxxx
hold-queue 224 in
!
interface Dialer2
ip unnumbered Ethernet0
encapsulation ppp
dialer pool 2
dialer-group 1
peer default ip address pool isdnpool
ppp authentication pap chap
!
ip local pool isdnpool xxx.xxx.xxx.xxx
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static udp xxx.xxx.xxx.xxx 4672 interface Dialer1 4672
ip nat inside source static tcp xxx.xxx.xxx.xxx 5900 interface Dialer1 5900
ip nat inside source static tcp xxx.xxx.xxx.xxx 4662 interface Dialer1 4662
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip http authentication local
ip http secure-server
!
access-list 23 permit xxx.xxx.xxx.xxx 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip xxx.xxx.xxx.xxx 0.0.0.255 any
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 5900
access-list 111 permit udp any any eq 4672
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
privilege level 15
login local
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
no rcapi server
!
!
!
end

euri,
Το configuration σου είναι ουσιαστικά πανομοιότυπο με το δικό μου. Είναι βασικά αυτό που φτιάχνει το CRWS με τον οδηγό.
Όσο αφορά το firewall, ρίξε αν θες μια ματιά σε αυτό το site
http://www.ifm.net.nz/cookbooks/827_fw_nz.html
βάση αυτού το configuration μας έχουν ήδη ενεργόποιημένο το firewall (ip inspect name - access list κλπ.) Το πρόβλημα μας βέβαια είναι ότι δεν είναι παραμετροποιήσιμα μέσω του SDM...

Γιαυτο και όπως είπα θα δοκιμάσω να το καθαρίσω από access-lists και inspection rules για να δώ μηπως μπορεσω να ρυθμίσω από το SDM.

I'll let you know.

Αν θυμάμαι καλά, όλο το configuration μπορεί να περαστεί και με απλό copy/paste στο CLI αντί να χρησιμοποιηθεί tftp;


Εννοείται :wink:
Απλά μερικές φορές παίζει ρόλο η σειρά με την οποία περνάς τις εντολές.

Σας ευχαριστώ αμφότερους guys.

wintech2003, ναι, και εγώ το CRWS χρησιμοποίησα για το στήσιμο, όπως ίσως θυμάσαι :wink: Θα ρίξω μια ματιά και στο link που έδωσες, τώρα τρέχω πανικόβλητος στο "μαγαζί"

Ε.

Έχασα το μηχάνημα μου χθες βραδυ... απεγκατέστησα το software firewall, και εφαγα worm στο δευτερολεπτο.. και τωρα δεν μπαινω ιντερνετ...

Τώρα ειμαι στο μαγαζι..

Επιτέλους up and running :)

Λοιπον ιδου ενα lite configuration το οποίο φυσικά δεν έχει καμιας μορφής προστασία απο την άλλη δε είναι παραμετροποιήσιμο μεσω SDM (όχι όπως το προηγούμενο που έχει αυτή την locker/read-only 111 access list).

Επαναλαμβάνω.. ακόμα και ελεφαντας περνάει από δω μέσα αν θες.. γι'αυτό προσοχή :)

Που θα πάει σιγά σιγα ας βρούμε το ιδανικό config.

chatasos, έχεις πρόσβαση σε IOS μέσω Cisco? Δεν μας στέλνεις και κανενα τελευταίο IOS για 837 και 1721 να δοκιμάσουμε?
Επίσης έχεις στήσει ποτε 1721 με 2 WIC-1ADSL-I-DG? Δυστυχώς δεν μου τα αναγνωρίζει κάν!! Any thoughts?



!This is the running config of the router: 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname xxxxxxxxx
!
logging buffered 32000 debugging
logging console critical
enable secret xxxxxxxxx
!
username xxxxxxxxxx password xxxxxxx
clock timezone EET 2
clock summer-time EET recurring last Sun Mar 3:00 last Sun Oct 3:00
no aaa new-model
ip subnet-zero
no ip source-route
ip name-server 213.5.17.20
ip name-server 213.5.40.53
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
bandwidth 160
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
bandwidth 384
ip address negotiated
ip access-group 111 in
ip accounting access-violations
ip nat outside
encapsulation ppp
load-interval 30
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx@acn
ppp chap password xxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxx@acn password xxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
logging synchronous
login local
!
scheduler max-task-time 5000
!
end

Μερικές διορθώσεις:

Αν δεν χρησιμοποιείς την 111 τότε βγάλε και την εντολή "ip access-group 111 in " από τον dialer 1. Εγώ πάντως θα σου πρότεινα να έχεις κάποια λίστα.

Επίσης πρέπει να ξαναβάλεις την λίστα 23 που χρησιμοποιείς στα vty (" access-class 23 in ").

ATM και dialer "πρέπει" να έχουν το ίδιο bandwidth (max downstream/upstream).

Για τον 1721, δεν σου αναγνωρίζει το wic ούτε όταν βάλεις μόνο το ένα?
Πάντως χρειάζεσαι 12.2(13)ZH ή τελευταίο 12.3T για να τα δει. Από εκεί που πήρες τα wic, ζήτα και το ανάλογο ios.
ΥΓ: Το Dying Gasp τι το ήθελες?

Να βαλω κι εγω το λιθαράκι μου.
Σε περιπτωση που εχετε cisco router, αλλα δεν εχετε DSL module πανω, μπορειτε να βαλετε το modem που θα σας φερει ο ΟΤΕ σε bridged mode και να κανετε PPP over Ethernet κληση απο τον router.

Σχετικο Configuration:
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.138
!
ip dhcp pool LAN_POOL
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
dns-server xx.xx.xx.xx
!
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
!
interface FastEthernet0/0
description Local LAN
ip address 10.0.0.1 255.255.255.0
ip nat inside
speed 100
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
!
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
dialer pool 1
no fair-queue
no cdp enable
ppp authentication chap callin
ppp chap hostname username@provider.gr
ppp chap password password
!
!
ip nat inside source list 1 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit 10.0.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!

##############

Το παραπανω ειναι τεσταρισμενο, με εκεινο το thomson modem(που δεν θυμαμαι πως το λενε).

Έχει κανεις κάποιο working configuration για Cisco 1721 να μας στείλει?

Έχει κανεις κάποιο working configuration για Cisco 1721 να μας στείλει?

Τα παραπανω δεν σου κανουν..?

hmmm.. οταν είμαι συνδεδεμένος με consola μου βγάζει ΠΑΡΑ πολλά lines οτι είναι invalid την ωρα που φορτώνει.
Τελικά το κατάφερα και το έφερα το configuration σε μια κατάσταση ωστε να μην χτυπάει στο boot και μου παρουσιάζεται το εξής:

Κάνω ping από το router στον dns του isp ολα οκ..
κανω ping απο το pc μου στον dns.. ολα οκ..
κάνω ping σε www π.χ. ping www.adslgr.com και ολα οκ!

ανοιγω explorer να μπω σε σελίδα... πάπαλα...

Το configuration ειναι το παρακάτω:



Current configuration : 2898 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxxxxxxxxxxxxxxx
!
username internetopia password xxxxxxxxxxxxxxxxxx
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface ATM1
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
ip address 192.168.0.196 255.255.255.0 secondary
ip address 213.5.194.17 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
hold-queue 100 out
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password 7 xxxxxxxxxx
ppp pap sent-username xxxxxxxxxxx password xxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.42 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.42 21 interface Dialer1 21
!
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end


και μου δημιουργεί το παραπάνω πρόβλημα..
Φυσικά δοκίμασα και με άλλο pc κτλ...

εγώ θέλω απλά με NAT να παίζουν όλοι οι υπολογιστές στο δίκτυο 192.168.0.0/255.255.255.0

(btw.. υπάρχει και δευτερο ATM πάνω.. που είναι για το δευτερο ADSL.. αλλά περιμένω ακόμα γι'αυτό.. για την ώρα θέλω μόνο το ATM0 να λειτουργεί.)

hmmm.. οταν είμαι συνδεδεμένος με consola μου βγάζει ΠΑΡΑ πολλά lines οτι είναι invalid την ωρα που φορτώνει.
Τελικά το κατάφερα και το έφερα το configuration σε μια κατάσταση ωστε να μην χτυπάει στο boot και μου παρουσιάζεται το εξής:

Κάνω ping από το router στον dns του isp ολα οκ..
κανω ping απο το pc μου στον dns.. ολα οκ..
κάνω ping σε www π.χ. ping www.adslgr.com και ολα οκ!

ανοιγω explorer να μπω σε σελίδα... πάπαλα...

Το configuration ειναι το παρακάτω:



Current configuration : 2898 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxxxxxxxxxxxxxxx
!
username internetopia password xxxxxxxxxxxxxxxxxx
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface ATM1
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
ip address 192.168.0.196 255.255.255.0 secondary
ip address 213.5.194.17 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
hold-queue 100 out
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password 7 xxxxxxxxxx
ppp pap sent-username xxxxxxxxxxx password xxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.42 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.42 21 interface Dialer1 21
!
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end


και μου δημιουργεί το παραπάνω πρόβλημα..
Φυσικά δοκίμασα και με άλλο pc κτλ...

εγώ θέλω απλά με NAT να παίζουν όλοι οι υπολογιστές στο δίκτυο 192.168.0.0/255.255.255.0

(btw.. υπάρχει και δευτερο ATM πάνω.. που είναι για το δευτερο ADSL.. αλλά περιμένω ακόμα γι'αυτό.. για την ώρα θέλω μόνο το ATM0 να λειτουργεί.)

Πολυ πρόχειρα (επεσε δουλεια) μπορει να φταιει το εξης..
Εχεις:

interface Dialer1
ip access-group 111 in

οπου στο incoming traffic επιτρεπεις τα echo-replies (οποτε παιζει το ping σου απο μεσα) αλλα οι επιστροφες απο σελιδες που θες να δεις κοβονται.
Εν ολιγοις βγαλε λιγο την 111 απο τον dialer1, δες αμα παιζει το web, και αμα ναι επικεντρωσου σε αυτο..

rgrds

Είχες δίκιο...

Τώρα χωρις την access-list παίζει...

Αλλα σέρνετεεεεεεεε
:)

Κάνει ping reply απο τους dns του ISP, απο 700-1400ms μέσο όρο..

κανα traceroute?
(checkare collisions στα ethernet σου , duplex mismatches κλπ ιδιως αμα τα εχεις auto..)

rgds

οχι... εβαλα ενα snmp traffic monitor και βλέπω οτι το outgoing traffic ειναι στα ύψη.. οπότε μιλάμε μάλλον για κανενα worm...

μόνο ο υπολογιστής μου έχει ως gateway το router αυτή τη στιγμή αρα μαλλον ο δικός μου ειναι το θύμα :)

Πάω λοιπον για ενα virus check και τα λεμε later...

Τελικά όμως.. πως θα βρώ τι εφταιγε στην access-list? Καλό θα ήταν να την ξαναχρησιμοποιήσω... σίγουρα θα αποφύγω και τέτοιου είδους μ*****ες...

Α! και τα pings επανήλθαν σε φυσικολογικά όρια...

Τελικά όμως.. πως θα βρώ τι εφταιγε στην access-list? Καλό θα ήταν να την ξαναχρησιμοποιήσω... σίγουρα θα αποφύγω και τέτοιου είδους μ*****ες...


Την τελευταία γραμμή (και γενικότερα οποιαδήποτε "deny") την κάνεις


access-list 111 deny ip any any log

και με


router>sh log

βλέπεις τι παίζεται. Επίσης χρειάζεται


logging buffer x
όπου x τα bytes από την μνήμη που θες να χρησιμοποιησεις για τα logs (32-64 kb είναι οκ) και


logging console critical

για να μη σου τα βγάζει όλα στην console και τα παίξει ο router.

Αν θες μπορείς να στήσεις syslog server και να στέλνεις τα logs εκεί.

Καλό είναι να έχεις 2 συνδέσεις στον router.
Μια με console για ώρα ανάγκης και μία με telnet. Σε αυτή με το telnet δίνεις


router>term mon

και βλέπεις realtime τα logs. Απλά να εύχεσαι να μην γίνεται πανικός γιατί δεν θα τα προλαβαίνεις.

bamp... :wink:

bamp... :wink:

ε?? :)

Την public IP τι την θελεις στο LAN σου?
Αφου βγαινεις με δυναμικο NAT δεν χρειαζεσαι access lists, αφου οι απεξω δεν μπορουν να δουνε τα μεσα μηχανηματα.
βγαλε την 213.5.194.17 απο το ethernet, και ασε την αλλη (κανονικη, οχι secondary), κανεις και το νατ σου και εισαι οκ

oh ok :)

thnx

Αφου βγαινεις με δυναμικο NAT δεν χρειαζεσαι access lists, αφου οι απεξω δεν μπορουν να δουνε τα μεσα μηχανηματα.


Εδώ θα διαφωνίσω λιγάκι γιατί οι ACLs (in & out) χρειάζονται ανεξαρτήτως του NAT. Σίγουρα το ΝΑΤ σου παρέχει κάποιο μεγάλο βαθμό ασφαλείας, αλλά δεν είναι πανάκεια. Άλλωστε έτσι προστατεύεις και τον router τον ίδιο.

ok. θα ακολουθήσω λοιπον τις οδηγίες σου από το παραπάνω post και θα δώ τι κόβει ο router από τα log.. έτσι θα προσπαθήσω να ανοίξω ότι πρέπει και να κλείσω τα υπόλοιπα.

Αν χρειαστώ κάτι θα κάνω post..

Καλημέρα!
θυμάται κανείς σε ποιό thread στο forum ένα παιδί είχε βρεί που μπορούμε να μεγιστοποιήσουμε το χρόνο αλλαγής του IP που κάνει αυτόματα το router (π.χ. το 836). Το παιδί τότε είχε διαπιστώσει με τον ISP του (HOL αν θυμάμαι καλά) ότι έκανε μέσα στη μέρα πολλές συνδέσεις και επανασυνδέσεις!

Για δείτε οι πιο έμπειροι το config με το firewall που έφτιαξα σήμερα? Βλέπετε λαθάκια? Από όταν το έβαλα το μουλάρι συνδέται με lowID.

Γενικότερα συμβουλές,ιδέες για βελτίωση ευπρόσδεκτες :D



version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname χχχ
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 χχχ
!
username χχχ privilege 15 password 7 χχχ
no aaa new-model
ip subnet-zero
ip name-server 80.76.39.10
ip name-server 80.76.33.227
!
!
ip inspect name myfw tcp timeout 3600
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw icmp timeout 3600
ip inspect name myfw netshow timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw rtsp timeout 3600
ip inspect name myfw sip timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw streamworks timeout 3600
ip inspect name myfw tftp timeout 3600
ip inspect name myfw udp timeout 20
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
class-map match-all http
description http browsing
!
!
policy-map http
class http
priority 200
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
description $FW_INSIDE$
ip address 10.80.184.68 255.255.255.240
ip access-group 112 in
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer1
description $FW_OUTSIDE$
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname χχχχχ
ppp chap password 7 χχχχχ
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static udp 10.80.184.71 10000 interface Dialer1 10000
ip nat inside source static tcp 10.80.184.71 10000 interface Dialer1 10000
ip nat inside source static tcp 10.80.184.66 6881 interface Dialer1 6881
ip nat inside source static udp 10.80.184.66 4672 interface Dialer1 4672
ip nat inside source static tcp 10.80.184.66 4662 interface Dialer1 4662
ip nat inside source static tcp 10.80.184.65 22 interface Dialer1 22
ip nat inside source static tcp 10.80.184.66 55000 interface Dialer1 55000
ip nat inside source static tcp 10.80.184.65 8080 interface Dialer1 8080
ip nat inside source static tcp 10.80.184.70 4664 interface Dialer1 4664
ip nat inside source static udp 10.80.184.70 4674 interface Dialer1 4674
!
!
access-list 1 permit 10.80.184.64 0.0.0.15
access-list 1 deny any
access-list 111 permit udp any any eq 4674
access-list 111 permit tcp any any eq 4664
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 10000
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit tcp any any eq 6881
access-list 111 deny ip any any
access-list 111 deny ip any any log
access-list 112 deny udp any any eq tftp
access-list 112 permit ip 10.80.184.64 0.0.0.15 any
access-list 112 deny ip any any log
dialer-list 1 protocol ip permit
snmp-server community χχχ RO
snmp-server community xxx RW
snmp-server location 10.80.184.65
snmp-server enable traps tty
snmp-server host xxx xxx
no cdp advertise-v2
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
password 7 040A58575E7015165A
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end