# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  Cisco ADSL Router Configuration Files

## wintech2003

Ανοίγω αυτό το topic για να αρχίσουμε να ποστάρουμε τα configuration μας (ή τουλάχιστον κάποια working configuration) των router μας.

Έτσι κάθε χρήστης που έχει προμηθευτεί το ίδιο router, θα μπορεί ευκολα να ρυθμίσει και το δικό του.

Κυρίως λέω να ασχοληθούμε με cisco routers μιας και είναι τα πιο δύσκολα για αρχάριους, αλλά φυσικά όποιος θέλει ας κάνει post το δικό του.

ΠΡΟΣΟΧΗ!! Μην ξεχνάτε να σβήσετε το username/password σας και οποιαδήποτε static ip έχετε  :Smile: 

Παραθέτω το δικό μου configuration το οποίο αφορά τον Cisco 837, συνδεδεμένο σε Siemens DSLAM με PPPoA.

Ουσιαστικά κάθε ενδιαφερόμενος μπορεί να το κάνει copy paste, να βάλει τα δικά του στοιχεία όπου υπάρχει xxxxxx και να το κάνει upload με tftp στο router του και να το κάνει copy στο startup-config.

Για να γίνει το παραπάνω πρέπει να κάνει τα εξής:

Από command promt, telnet στην ip του router του.
Δίνει username/pass (default: cisco/cisco)

γράφει την εντολή enable (default pass: cisco)

μετά φορτώνει ενα tftp στο pc του και ρίχνει μέσα στο αντιστοιχισμένο directory το configuration file (δλδ το δικό μου, με τα δικά του στοιχεία) το οποίο ας υποθέσουμε οτι ονομάζεται router.cfg

Γράφει:


```
copy tftp&#58;//&#91;την ip του pc&#93;/router.cfg flash&#58;
```

μετά


```
copy running flash&#58;old.cfg
```

για να κανει backup

μετα 


```
copy flash&#58;router.cfg startup
```

και τελος 

reload

Για ότι αλλο χρειαστεί κανεις ας κάνει post εδω



```
!This is the running config of the router&#58; 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
no logging buffered
enable secret xxxxxxxxxx
!
username xxxxxxxx password xxxxxxxxx
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
!
!
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxx@acn
 ppp chap password xxxxxxxxx
 ppp pap sent-username xxxxxxx@acn password xxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662    //αυτο για να παίζει το emule &#58;&#41;
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
!
end
```

----------


## zlimvos

Καταρχας συγχαρητιρια μου για το topic. Απο μενα ειναι bookmarked.
Στο ψητο: 
Στο -υπερπληρες- configuration σου θα μπορουσες να το απλουστοποιησεις (να βγαλεις τα ip inspect, access-lists κλπ) για να τον αρχαριο user οπως αναφερεις να εχει τον κορμο απο βασικο configuration. Η ακομα καλυτερο να εχει και τις 2 versions ;-)
Αυριο θα κανω μια αποπειρα να σεταρω το router απλα να κανει pppoe κληση πανω απο ενα dsl modem που ειναι σε bridged mode. Το configuration αποτι εχω δει απο αλλα παραδειγματα ειναι αρκετα πιο απλο αφου δεν εχω πανω μου το pvc κλπ (αν κι εμενα με ενδιαφερει να το φτιαξω σαν backup σε σειριακο, οποτε ισως γινεται πιο πολυπλοκο) αλλα αμα εχεις υποψην σου καποια λεπτομερεια για τα ελληνικα δεδομενα let me know.
Μολις παιξει το configuration θα το postarw εδω.

Και παλι συγχαρητηρια για το topic  :Smile: 

RGrds

----------


## wintech2003

Φιλε μου *zlimvos* καλωσόρισες!
Αυτό το configuration είναι αυτο που φτιάχνει το CRWS. Πιο συγκεκριμένα είναι αυτο πιο φτιάχνει όταν επιλέγεις PPPoA και μάλιστα χωρις να ενεργοποιήσεις το firewall  :Smile: 

Πάντως θα δοκιμάσω μια πιο Lite έκδοση (αφαιρώντας αυτά που ζήτησες) μόλις τελειώσω ενα μεγάλο download και αν λειτουργήσουν όλα καλα θα το κάνω post.

----------


## chatasos

Μερικές γρήγορες αλλαγές (βελτιώσεις?) στο config σου. Δεν έχει δοκιμαστεί σαν config, αλλά λογικά δεν πρέπει να υπάρχει πρόβλημα. Υπόψιν ότι έχω βγάλει το firewall.



```
!This is the running config of the router&#58; 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in ! για να μην μένουν κολλημένα ανοιχτά connections
service tcp-keepalives-out ! για να μην μένουν κολλημένα ανοιχτά connections
service timestamps debug datetime localtime ! για σωστά -χρονικά- logs στο debug
service timestamps log datetime localtime ! για σωστά -χρονικά- logs στο logging
service password-encryption
!
hostname xxxxxxxxx
!
logging buffered 32000 debugging ! για να κρατιούνται logs στον buffer
logging console critical ! μόνο τα σημαντικά logs σε console
!
enable secret xxxxxxxxxx
!
clock timezone EET 2 ! timezone
clock summer-time EET recurring last Sun Mar 3&#58;00 last Sun Oct 3&#58;00 ! summertime
!
ip subnet-zero
no ip source-route
!
username xxxxxxxx password xxxxxxxxx
no aaa new-model
!
ip name-server x.x.x.x ! dns server 1 
ip name-server x.x.x.x ! dns server 2
!
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1
   lease 0 2
!
!
no ftp-server write-enable
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 bandwidth x ! p.x. 383/512/1024
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 bandwidth x ! p.x. 383/512/1024
 ip address negotiated
 ip access-group 111 in
 ip accounting access-violations ! για να βλέπεις τι κόβεται στην 111
 load-interval 30 ! για πιο "ακριβή" υπολογισμό της τρέχουσας κίνησης
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxx@acn
 ppp chap password xxxxxxxxx
 ppp pap sent-username xxxxxxx@acn password xxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662    //αυτο για να παίζει το emule &#58;&#41;
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 23 deny   any log ! για να βλέπεις τι κόβεται
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
!
access-list 111 permit tcp any any established ! βοηθάει στα "δύσκολα" πρωτόκολλα, αλλά είναι και μεγάλη τρύπα σε ασφάλεια
access-list 111 remark ** dns request answers **
access-list 111 permit udp any eq domain any
access-list 111 remark ** icmp **
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 remark ** specific protocols ** ! για να ξέρεις τι κάνεις
access-list 111 permit tcp any any eq ftp ! έχεις ftp server?
access-list 111 permit tcp any any eq ftp-data ! έχεις ftp server?
access-list 111 permit tcp any any eq www ! έχεις www server?
access-list 111 permit tcp any any eq 4662
access-list 111 remark ** deny everything else **
access-list 111 deny   ip any any log ! για να βλέπεις τι κόβεται
!
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 logging synchronous ! γλυτώνεις το enter όταν βλέπεις τα logs, αλλά μπορεί να φορτώσει την cpu
!
ntp server x.x.x.x ! ntp server
!
scheduler max-task-time 5000
!
end
```

Προσοχή: οι παραπάνω αλλαγές προυποθέτουν ότι κάποιος γνωρίζει πως να κάνει το configuration μέσω CLI, αλλιώς υπάρχει περίπτωση να του διακοπεί η πρόσβαση.

----------


## euri

Αν θυμάμαι καλά, όλο το configuration μπορεί να περαστεί και με απλό copy/paste στο CLI αντί να χρησιμοποιηθεί tftp;

Και μια ακόμα ερώτηση:  στον 836 χρησιμοποιώ το SDM, έχω κάνει configuration to firewall από τον wizard του (νομίζω   :Embarassed:  ), αλλά κάθε φορά που μπαίνω μου λέει ότι το firewall είναι inactive και δεν μπορώ να κάνω edit ό,τι έχω ορίσει στο setup.  Πώς μπορώ να ενεργοποιήσω το firewall και να κάνω αλλαγές στο υπάρχον configuration μέσω του SDM;

Ορίστε και το conf file του:



```
!This is the running config of the router&#58; cisco
!----------------------------------------------------------------------------
!version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxxx
!
boot system flash c836-k9o3y6-mz.122-13.ZH2.bin
logging queue-limit 100
no logging buffered
no logging console
enable secret xxxxxxxxxxxxxxxxxx
!
username xxxxxx password xxxxxxxx
username xxxxxxx privilege xxxxxxxxxxx
clock timezone PCTimeZone 2
clock summer-time PCTimeZone date Mar 30 2003 3&#58;00 Oct 26 2003 4&#58;00
ip subnet-zero
ip domain name xxxxxxx.gr
ip name-server xxxxxxxx
ip name-server 195.170.0.2
ip dhcp excluded-address xxxxxxxx
!
!
ip ftp username xxxxxx
ip ftp password xxxxxxxxxx
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
isdn switch-type basic-net3
!
!
! 
!
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this&#58;xxx.xxx.xxx.xxx-255.255.255.0
 ip address xxx.xxx.xxx.xxx 255.255.255.0 secondary   !  edw einai private IP
 ip address xxx.xxx.xxx.xxx 255.255.255.240   !  edw einai public IP
 ip nat inside
 no ip mroute-cache
!
interface BRI0
 no ip address
 encapsulation ppp
 dialer pool-member 2
 isdn switch-type basic-net3
 ppp authentication pap chap
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode annexb-ur2
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxx@xxxxxxxxxxxxxxx.gr
 ppp chap password xxxxxxxxxxxxxxx
 ppp pap sent-username xxxxxxx@xxxxxxxxxxxxxx.gr password xxxxxxxx
 hold-queue 224 in
!
interface Dialer2
 ip unnumbered Ethernet0
 encapsulation ppp
 dialer pool 2
 dialer-group 1
 peer default ip address pool isdnpool
 ppp authentication pap chap
!
ip local pool isdnpool xxx.xxx.xxx.xxx
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static udp xxx.xxx.xxx.xxx 4672 interface Dialer1 4672
ip nat inside source static tcp xxx.xxx.xxx.xxx 5900 interface Dialer1 5900
ip nat inside source static tcp xxx.xxx.xxx.xxx 4662 interface Dialer1 4662
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip http authentication local
ip http secure-server
!
access-list 23 permit xxx.xxx.xxx.xxx 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip xxx.xxx.xxx.xxx 0.0.0.255 any
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 5900
access-list 111 permit udp any any eq 4672
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 privilege level 15
 login local
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
no rcapi server
!
!
!
end
```

----------


## wintech2003

*euri*, 
Το configuration σου είναι ουσιαστικά πανομοιότυπο με το δικό μου. Είναι βασικά αυτό που φτιάχνει το CRWS με τον οδηγό.
Όσο αφορά το firewall, ρίξε αν θες μια ματιά σε αυτό το site 
http://www.ifm.net.nz/cookbooks/827_fw_nz.html
βάση αυτού το configuration μας έχουν ήδη ενεργόποιημένο το firewall (ip inspect name - access list κλπ.) Το πρόβλημα μας βέβαια είναι ότι δεν είναι παραμετροποιήσιμα μέσω του SDM...

Γιαυτο και όπως είπα θα δοκιμάσω να το καθαρίσω από access-lists και inspection rules για να δώ μηπως μπορεσω να ρυθμίσω από το SDM.

I'll let you know.

----------


## chatasos

> Αν θυμάμαι καλά, όλο το configuration μπορεί να περαστεί και με απλό copy/paste στο CLI αντί να χρησιμοποιηθεί tftp;


Εννοείται  :Wink:  
Απλά μερικές φορές παίζει ρόλο η σειρά με την οποία περνάς τις εντολές.

----------


## euri

Σας ευχαριστώ αμφότερους guys.

*wintech2003*, ναι, και εγώ το CRWS χρησιμοποίησα για το στήσιμο, όπως ίσως θυμάσαι   :Wink:    Θα ρίξω μια ματιά και στο link που έδωσες, τώρα τρέχω πανικόβλητος στο "μαγαζί"

Ε.

----------


## wintech2003

Έχασα το μηχάνημα μου χθες βραδυ... απεγκατέστησα το software firewall, και εφαγα worm στο δευτερολεπτο.. και τωρα δεν μπαινω ιντερνετ... 

Τώρα ειμαι στο μαγαζι..

----------


## wintech2003

Επιτέλους up and running  :Smile: 

Λοιπον ιδου ενα lite configuration το οποίο φυσικά δεν έχει καμιας μορφής προστασία απο την άλλη δε είναι παραμετροποιήσιμο μεσω SDM (όχι όπως το προηγούμενο που έχει αυτή την locker/read-only 111 access list).

Επαναλαμβάνω.. ακόμα και ελεφαντας περνάει από δω μέσα αν θες.. γι'αυτό προσοχή  :Smile:  

Που θα πάει σιγά σιγα ας βρούμε το ιδανικό config.

*chatasos*, έχεις πρόσβαση σε IOS μέσω Cisco? Δεν μας στέλνεις και κανενα τελευταίο IOS για 837 και 1721 να δοκιμάσουμε?
Επίσης έχεις στήσει ποτε 1721 με 2 WIC-1ADSL-I-DG? Δυστυχώς δεν μου τα αναγνωρίζει κάν!! Any thoughts?



```
!This is the running config of the router&#58; 10.10.10.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname xxxxxxxxx
!
logging buffered 32000 debugging
logging console critical
enable secret xxxxxxxxx
!
username xxxxxxxxxx password xxxxxxx
clock timezone EET 2
clock summer-time EET recurring last Sun Mar 3&#58;00 last Sun Oct 3&#58;00
no aaa new-model
ip subnet-zero
no ip source-route
ip name-server 213.5.17.20
ip name-server 213.5.40.53
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   lease 0 2
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
!
!
!
interface Ethernet0
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 bandwidth 160
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 bandwidth 384
 ip address negotiated
 ip access-group 111 in
 ip accounting access-violations
 ip nat outside
 encapsulation ppp
 load-interval 30
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxx@acn
 ppp chap password xxxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxx@acn password xxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 logging synchronous
 login local
!
scheduler max-task-time 5000
!
end
```

----------


## chatasos

Μερικές διορθώσεις:

Αν δεν χρησιμοποιείς την 111 τότε βγάλε και την εντολή "ip access-group 111 in " από τον dialer 1. Εγώ πάντως θα σου πρότεινα να έχεις κάποια λίστα.

Επίσης πρέπει να ξαναβάλεις την λίστα 23 που χρησιμοποιείς στα vty (" access-class 23 in ").

ATM και dialer "πρέπει" να έχουν το ίδιο bandwidth (max downstream/upstream).

Για τον 1721, δεν σου αναγνωρίζει το wic ούτε όταν βάλεις μόνο το ένα?
Πάντως χρειάζεσαι 12.2(13)ZH ή τελευταίο 12.3T για να τα δει. Από εκεί που πήρες τα wic, ζήτα και το ανάλογο ios.
ΥΓ: Το Dying Gasp τι το ήθελες?

----------


## zlimvos

Να βαλω κι εγω το λιθαράκι μου.
Σε περιπτωση που εχετε cisco router, αλλα δεν εχετε DSL module πανω, μπορειτε να βαλετε το modem που θα σας φερει ο ΟΤΕ σε bridged mode και να κανετε PPP over Ethernet κληση απο τον router.

Σχετικο Configuration:
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.138
!
ip dhcp pool LAN_POOL
   network 10.0.0.0 255.255.255.0
   default-router 10.0.0.1 
   dns-server xx.xx.xx.xx
!
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
!
interface FastEthernet0/0
 description Local LAN
 ip address 10.0.0.1 255.255.255.0
 ip nat inside
 speed 100
 full-duplex
 pppoe enable
 pppoe-client dial-pool-number 1
!
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 load-interval 30
 dialer pool 1
 no fair-queue
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname username@provider.gr
 ppp chap password password
!
!
ip nat inside source list 1 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit 10.0.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!

##############

Το παραπανω ειναι τεσταρισμενο, με εκεινο το thomson modem(που δεν θυμαμαι πως το λενε).

----------


## wintech2003

Έχει κανεις κάποιο working configuration για Cisco 1721 να μας στείλει?

----------


## zlimvos

> Έχει κανεις κάποιο working configuration για Cisco 1721 να μας στείλει?


Τα παραπανω δεν σου κανουν..?

----------


## wintech2003

hmmm.. οταν είμαι συνδεδεμένος με consola μου βγάζει ΠΑΡΑ πολλά lines οτι είναι invalid την ωρα που φορτώνει.
Τελικά το κατάφερα και το έφερα το configuration σε μια κατάσταση ωστε να μην χτυπάει στο boot και μου παρουσιάζεται το εξής:

Κάνω ping από το router στον dns του isp ολα οκ..
κανω ping απο το pc μου στον dns.. ολα οκ..
κάνω ping σε www π.χ. ping www.adslgr.com και ολα οκ!

ανοιγω explorer να μπω σε σελίδα... πάπαλα...

Το configuration ειναι το παρακάτω:



```
Current configuration &#58; 2898 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxxxxxxxxxxxxxxx
!
username internetopia password xxxxxxxxxxxxxxxxxx
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface ATM1
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface FastEthernet0
 ip address 192.168.0.196 255.255.255.0 secondary
 ip address 213.5.194.17 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
 hold-queue 100 out
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxx
 ppp chap password 7 xxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxx password xxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.42 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.42 21 interface Dialer1 21
!
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end
```

και μου δημιουργεί το παραπάνω πρόβλημα.. 
Φυσικά δοκίμασα και με άλλο pc κτλ...

εγώ θέλω απλά με NAT να παίζουν όλοι οι υπολογιστές στο δίκτυο 192.168.0.0/255.255.255.0

(btw.. υπάρχει και δευτερο ATM πάνω.. που είναι για το δευτερο ADSL.. αλλά περιμένω ακόμα γι'αυτό.. για την ώρα θέλω μόνο το ATM0 να λειτουργεί.)

----------


## wintech2003

hmmm.. οταν είμαι συνδεδεμένος με consola μου βγάζει ΠΑΡΑ πολλά lines οτι είναι invalid την ωρα που φορτώνει.
Τελικά το κατάφερα και το έφερα το configuration σε μια κατάσταση ωστε να μην χτυπάει στο boot και μου παρουσιάζεται το εξής:

Κάνω ping από το router στον dns του isp ολα οκ..
κανω ping απο το pc μου στον dns.. ολα οκ..
κάνω ping σε www π.χ. ping www.adslgr.com και ολα οκ!

ανοιγω explorer να μπω σε σελίδα... πάπαλα...

Το configuration ειναι το παρακάτω:



```
Current configuration &#58; 2898 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxxxxxxxxxxxxxxx
!
username internetopia password xxxxxxxxxxxxxxxxxx
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
!
!
ip cef
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface ATM1
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface FastEthernet0
 ip address 192.168.0.196 255.255.255.0 secondary
 ip address 213.5.194.17 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
 hold-queue 100 out
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxx
 ppp chap password 7 xxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxx password xxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.42 80 interface Dialer1 80
ip nat inside source static tcp 192.168.0.42 21 interface Dialer1 21
!
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 4662
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end
```

και μου δημιουργεί το παραπάνω πρόβλημα.. 
Φυσικά δοκίμασα και με άλλο pc κτλ...

εγώ θέλω απλά με NAT να παίζουν όλοι οι υπολογιστές στο δίκτυο 192.168.0.0/255.255.255.0

(btw.. υπάρχει και δευτερο ATM πάνω.. που είναι για το δευτερο ADSL.. αλλά περιμένω ακόμα γι'αυτό.. για την ώρα θέλω μόνο το ATM0 να λειτουργεί.)

----------


## zlimvos

Πολυ πρόχειρα (επεσε δουλεια) μπορει να φταιει το εξης..
Εχεις:

interface Dialer1 
 ip access-group 111 in 

οπου στο incoming traffic επιτρεπεις τα echo-replies (οποτε παιζει το ping σου απο μεσα) αλλα οι επιστροφες απο σελιδες που θες να δεις κοβονται.
Εν ολιγοις βγαλε λιγο την 111 απο τον dialer1, δες αμα παιζει το web, και αμα ναι επικεντρωσου σε αυτο..

rgrds

----------


## wintech2003

Είχες δίκιο...

Τώρα χωρις την access-list παίζει...

Αλλα σέρνετεεεεεεεε
 :Smile: 

Κάνει ping reply απο τους dns του ISP, απο 700-1400ms μέσο όρο..

----------


## zlimvos

κανα traceroute?
(checkare collisions στα ethernet σου , duplex mismatches κλπ ιδιως αμα τα εχεις auto..)

rgds

----------


## wintech2003

οχι... εβαλα ενα snmp traffic monitor και βλέπω οτι το outgoing traffic ειναι στα ύψη.. οπότε μιλάμε μάλλον για κανενα worm...

μόνο ο υπολογιστής μου έχει ως gateway το router αυτή τη στιγμή αρα μαλλον ο δικός μου ειναι το θύμα  :Smile: 

Πάω λοιπον για ενα virus check και τα λεμε later...

Τελικά όμως.. πως θα βρώ τι εφταιγε στην access-list? Καλό θα ήταν να την ξαναχρησιμοποιήσω... σίγουρα θα αποφύγω και τέτοιου είδους μ*****ες...

Α! και τα pings επανήλθαν σε φυσικολογικά όρια...

----------


## chatasos

> Τελικά όμως.. πως θα βρώ τι εφταιγε στην access-list? Καλό θα ήταν να την ξαναχρησιμοποιήσω... σίγουρα θα αποφύγω και τέτοιου είδους μ*****ες...


Την τελευταία γραμμή (και γενικότερα οποιαδήποτε "deny") την κάνεις 


```
access-list 111 deny   ip any any log
```

και με 


```
router>sh log
```

 βλέπεις τι παίζεται. Επίσης χρειάζεται 


```
logging buffer x
```

 όπου x τα bytes από την μνήμη που θες να χρησιμοποιησεις για τα logs (32-64 kb είναι οκ) και 


```
logging console critical
```

 για να μη σου τα βγάζει όλα στην console και τα παίξει ο router.

Αν θες μπορείς να στήσεις syslog server και να στέλνεις τα logs εκεί.

Καλό είναι να έχεις 2 συνδέσεις στον router.
Μια με console για ώρα ανάγκης και μία με telnet. Σε αυτή με το telnet δίνεις 


```
router>term mon
```

 και βλέπεις realtime τα logs. Απλά να εύχεσαι να μην γίνεται πανικός γιατί δεν θα τα προλαβαίνεις.

----------


## NetTraptor

bamp...  :Wink:

----------


## wintech2003

> bamp...


ε??  :Smile:

----------


## zlimvos

Την public IP τι την θελεις στο LAN σου?
Αφου βγαινεις με δυναμικο NAT δεν χρειαζεσαι access lists, αφου οι απεξω δεν μπορουν να δουνε τα μεσα μηχανηματα. 
βγαλε την 213.5.194.17 απο το ethernet, και ασε την αλλη (κανονικη, οχι secondary), κανεις και το νατ σου και εισαι οκ

----------


## wintech2003

oh ok  :Smile: 

thnx

----------


## chatasos

> Αφου βγαινεις με δυναμικο NAT δεν χρειαζεσαι access lists, αφου οι απεξω δεν μπορουν να δουνε τα μεσα μηχανηματα.


Εδώ θα διαφωνίσω λιγάκι γιατί οι ACLs (in & out) χρειάζονται ανεξαρτήτως του NAT. Σίγουρα το ΝΑΤ σου παρέχει κάποιο μεγάλο βαθμό ασφαλείας, αλλά δεν είναι πανάκεια. Άλλωστε έτσι προστατεύεις και τον router τον ίδιο.

----------


## wintech2003

ok. θα ακολουθήσω λοιπον τις οδηγίες σου από το παραπάνω post και θα δώ τι κόβει ο router από τα log.. έτσι θα προσπαθήσω να ανοίξω ότι πρέπει και να κλείσω τα υπόλοιπα.

Αν χρειαστώ κάτι θα κάνω post..

----------


## lacbil

Καλημέρα!
θυμάται κανείς σε ποιό thread στο forum ένα παιδί είχε βρεί που μπορούμε να μεγιστοποιήσουμε το χρόνο αλλαγής του IP που κάνει αυτόματα το router (π.χ. το 836). Το παιδί τότε είχε διαπιστώσει με τον ISP του (HOL αν θυμάμαι καλά) ότι έκανε μέσα στη μέρα πολλές συνδέσεις και επανασυνδέσεις!

----------


## pavlidisd

Για δείτε οι πιο έμπειροι το config με το firewall που έφτιαξα σήμερα? Βλέπετε λαθάκια? Από όταν το έβαλα το μουλάρι συνδέται με lowID.

Γενικότερα συμβουλές,ιδέες για βελτίωση ευπρόσδεκτες  :Very Happy:  



```
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname χχχ
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 χχχ
!
username χχχ privilege 15 password 7 χχχ
no aaa new-model
ip subnet-zero
ip name-server 80.76.39.10
ip name-server 80.76.33.227
!
!         
ip inspect name myfw tcp timeout 3600
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw icmp timeout 3600
ip inspect name myfw netshow timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw rtsp timeout 3600
ip inspect name myfw sip timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw streamworks timeout 3600
ip inspect name myfw tftp timeout 3600
ip inspect name myfw udp timeout 20
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
class-map match-all http
description http browsing
!         
!
policy-map http
 class http
  priority 200
!
! 
no crypto isakmp enable
!
!
!
interface Ethernet0
 description $FW_INSIDE$
 ip address 10.80.184.68 255.255.255.240
 ip access-group 112 in
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 no ip route-cache
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname χχχχχ
 ppp chap password 7 χχχχχ
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
ip http authentication local
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static udp 10.80.184.71 10000 interface Dialer1 10000
ip nat inside source static tcp 10.80.184.71 10000 interface Dialer1 10000
ip nat inside source static tcp 10.80.184.66 6881 interface Dialer1 6881
ip nat inside source static udp 10.80.184.66 4672 interface Dialer1 4672
ip nat inside source static tcp 10.80.184.66 4662 interface Dialer1 4662
ip nat inside source static tcp 10.80.184.65 22 interface Dialer1 22
ip nat inside source static tcp 10.80.184.66 55000 interface Dialer1 55000
ip nat inside source static tcp 10.80.184.65 8080 interface Dialer1 8080
ip nat inside source static tcp 10.80.184.70 4664 interface Dialer1 4664
ip nat inside source static udp 10.80.184.70 4674 interface Dialer1 4674
!
!
access-list 1 permit 10.80.184.64 0.0.0.15
access-list 1 deny   any
access-list 111 permit udp any any eq 4674
access-list 111 permit tcp any any eq 4664
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 10000
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit tcp any any eq 6881
access-list 111 deny   ip any any
access-list 111 deny   ip any any log
access-list 112 deny   udp any any eq tftp
access-list 112 permit ip 10.80.184.64 0.0.0.15 any
access-list 112 deny   ip any any log
dialer-list 1 protocol ip permit
snmp-server community χχχ RO
snmp-server community xxx RW
snmp-server location 10.80.184.65
snmp-server enable traps tty
snmp-server host xxx xxx
no cdp advertise-v2
no cdp run
!
control-plane
!
!
line con 0
 no modem enable
 transport preferred all
 transport output all
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 exec-timeout 120 0
 password 7 040A58575E7015165A
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end
```

----------

