Erledigt: Anmeldung ISDN Admin-Einwahl ungültig

[EDVNet]

Hallo zusammen,

lange lief alles super mit meinen zwei 1711 VPN. Aber jetzt habe ich wegen zu vieler Ungereimtheiten einen der beiden einmal komplett neu eingerichtet. Internet, VPN, Routing klappt soweit alles. Nur die administrative ISDN-Einwahl will nicht so wirklich

Der Router ist wie gesagt ein 1711 VPN mit LCOS 8.82. Passwort und Rufnummer sind unter Management/Admin eingerichtet. Der Ruf kommt auch am Gerät an und wird geprüft. Das Passwort wird aber abgelehnt, obwohl ich mich mit derselben Kombination auch über LAN einwählen kann.

Der PPP-Trace ergibt folgendes:

Code: Alles auswählen

Received LCP frame from peer DEFAULT (channel 9)

[PPP] 2014/02/08 18:57:40,151  Devicetime: 2014/02/08 18:57:38,966

Received LCP frame from peer DEFAULT (channel 9)

[PPP] 2014/02/08 18:57:40,151  Devicetime: 2014/02/08 18:57:39,018

Received CHAP frame from peer DEFAULT (channel 9)
Got CHAP-Response from peer ADMIN, length = 49
Searching peer ADMIN in PPP table...peer found
Checking response...response valid but no ADMIN access
login locked for peer ADMIN, rejecting connection (channel 9)
Sending CHAP-Failure for peer ADMIN
Administrative-Close event for LCP
This-Layer-Down action for LCP
Lower-Layer-Down event for BACP
Lower-Layer-Down event for CCP
Lower-Layer-Down event for IPCP
Lower-Layer-Down event for IPXCP
Initializing LCP restart timer to 3000 milliseconds
Change phase to TERMINATE for ADMIN
Sending LCP terminate-request with ID 03 and length 4 to peer ADMIN (channel 9)
Starting LCP restart timer with 3000 milliseconds

[PPP] 2014/02/08 18:57:40,369  Devicetime: 2014/02/08 18:57:39,077

Received LCP frame from peer ADMIN (channel 9)
Terminate-Request-Received event for LCP
Sending LCP terminate-ack with ID 03 and length 4 to peer ADMIN (channel 9)

[PPP] 2014/02/08 18:57:40,572  Devicetime: 2014/02/08 18:57:39,410
Change phase to DEAD for ADMIN
Stopping LCP restart timer
Stopping IPXCP restart timer
Stopping IPCP restart timer
Stopping CCP restart timer
Stopping BACP restart timer

Mich irritiert dabei die folgende Zeile

Code: Alles auswählen

Checking response...response valid but no ADMIN access

Hat jemand einen Tipp für mich, wie ich die ISDN-Einwahl wieder zum Laufen bekommen?

Danke
Ulf

[langewiesche]

nimmt mal die die Admin Nummer raus und schau mal nach mit welcher nummer du reinkommst. (z.b eine Null zu viel oder so)
Hin und wieder kommen auch Nummern mit 0049 gerade bei den nicht Telekom Anschluessen ...
Die Nummer pruefung kennt nur schwarz oder weiss

[EDVNet]

Hallo Lars,

danke für Deine Reaktion.

Ich habe die Rufnummer jetzt noch einmal kontrolliert über die Call-Informationtable. Die Rufnummer ist korrekt so eingetragen, wie sie unter Dial-Caller zu sehen ist.

Code: Alles auswählen

> list stat/call

System-time           Ifc        CLIP-Caller           Dial-Caller           Capab.      B-chan.
------------------------------------------------------------------------------------------------
02/08/2014 18:57:34   S0-1       2285595225            6896150               HDLC64K     1
02/08/2014 18:56:51   S0-1       2285595225            6896150               HDLC64K     1

Ich habe jetzt in der GUI unter Management/Admin/Rufnummer und Kommunikation/Allgemein/Router-Interfaces/ISDN eine andere MSN meines Anschlusses eingetragen, aber die Fehlermeldung bleibt die Gleiche.

Wer hat noch einen Tipp für mich?

Danke
Ulf

[Bernie137]

Hallo Ulf,

ich habe zwar keinen 1711 (sondern 1781EF) mit LCOS 8.82, jedoch sehen die Meldungen da völlig anders aus.

Code: Alles auswählen

Received LCP frame from peer ADMIN (channel 9)
Stop waiting for connection
Stopping LCP restart timer
Initializing LCP restart timer to 3000 milliseconds
Generating LCP configure-request for peer ADMIN
Inserting local MRU 1500
Inserting local authentication protocol PAP
Inserting local magic number ********
Inserting local option protocol field compression
Inserting local option address- and controlfield compression
Inserting local callback via callback control protocol
Sending LCP configure-request with ID 00 and length 25 to peer ADMIN (channel 9)
Starting LCP restart timer with 3000 milliseconds
Evaluate configure-request with ID 00 and size 17
Peer MRU 2048 accepted
Peer magic number 0e3f43f6 accepted
Peer requests callback via callback control protocol, accepted
Positive Configure-Request-Received event for LCP
Sending LCP configure-ack with ID 00 and length 17 to peer ADMIN (channel 9)

Gleich die erste Meldung "Receive LCP Frame" unterscheidet sich von Deinem Trace "Receive CHAP Frame". Womit versuchst Du denn die Ferneinwahl, Fremdsoftware? Ist es eine aktuelle Version LANconfig/LANmonitor?

vg Heiko

[EDVNet]

Hallo Heiko,

ja, das PAP in Deinem Trace hat mich auch direkt stutzig gemacht. Kann man einstellen, ob PAP ober CHAP genutzt wird?

Ich versuche mich mit Lanconfig 8.82 per ISDN von einem Server im Büro mittels ISDN-Adapter zwecks Fernwartung auf den 1711 zu verbinden. Von dem selben Server komme ich z.B. auf den zweiten HomeOffice Standort per Admin-ISDN-Einwahl. Dort ist allerdings ein 1721+ verbaut.

Aufbau:

• Homeoffice 1 - 1711
  Zentrale - 1711
  Homeoffice 2 - 1721

Danke
Ulf

[garfield0815]

Mal ganz ehelich
Die ISDN Einwahl Haft mit Sicherheit seine Vorteile aber wiso nimmst du nicht VPN ?
Da ist doch das arbeiten schneller und es verursacht weniger kosten

Gruss

[langewiesche]

hin und wieder hat ISDN seinen Vorteil ... .ich fahre gleich 30km zum zu sehen was der dsl Status macht

[EDVNet]

Lars hat es genau geschrieben. Das ist die Notfall-Einwahl für mich als Admin zur Konfiguraiton, wenn der DSL mal futsch ist oder ich mir einen Fehler in die DSL- oder Firewall-Konfig eingebaut habe.

Ulf

[Bernie137]

Hallo Ulf,

ja, das PAP in Deinem Trace hat mich auch direkt stutzig gemacht. Kann man einstellen, ob PAP ober CHAP genutzt wird?

Nicht das ich wüsste. Aber: Gibt es vielleicht auf diesem Router eine von Hand oder per Assistent angelegte RAS Einwahl die da stört oder sich angesprochen fühlt?

Ich versuche mich mit Lanconfig 8.82 per ISDN von einem Server im Büro mittels ISDN-Adapter zwecks Fernwartung auf den 1711 zu verbinden.

Also nix besonderes.

Die ISDN Einwahl Haft mit Sicherheit seine Vorteile aber wiso nimmst du nicht VPN ?

Wenn DSL/VPN haspelt und man den Router aus der Ferne neu starten möchte. Wenn man am VPN oder Firewall etwas aus der Ferne umkonfiguriert und sich dabei den Ast absägt, auf dem man sitzt.

vg Heiko

[backslash]

Hi EDVnet,

die Admin-Einwahl wird abgelehnt, wenn die gerufene Nummer *nicht* die Admin-MSN ist *oder* im WAN kein Zugriffsprotokoll erlaubt ist, d.h. du hast entweder die falsche Nummer angerufen und/oder auf den Zugriff von der WAN-Seite verboten (was die Default-Einstellung nach einem Zurücksetzen auf Werkseinstellung ist)

zum Thema PAP oder CHAP: das hängt zum Einen davon ab, was der einwählende fordert und zum Anderen, was in der PPP-Tabelle für den User "DEFAULT" erlaubt ist (im Default ist das alles erlaubt)


Gruß
Backslash

[EDVNet]

Hallo zusammen,

der Tipp von backslash hat's gebracht. Danke.

Nach dem ich das Zugriffsrecht für TFTP von entfernten Netzen erlaubt habe (vorher: nur über VPN), konnte ich darauf zugreifen. Allerdings verstehe ich nicht, warum es lt. Knowledge Base von Lancom auch ohne die Freischaltung der Zugriffe von entfernten Netzen funktionieren soll: Fernkonfiguration des LANCOM Routers ausschließlich über ISDN

Jetzt muss ich den TFTP-Port über die Firewall separat absichern, damit er nich vom Internet aus offen ist, oder?

Danke
Ulf

[backslash]

Hi EDVnet,

wie ich schon schrieb: die Einwal wird abgelehnt, wenn die grufene Nummer *nicht* die Admin-MSN ist *oder*...

Wenn du mit Erlauben von TFTP vom WAN die Annahme der Admin-Einwahl erreichen kannst, dann stimmt die Admin-MSN doch nicht. Setze also die Admin-MSN korrekt und du brauchst kannst die TFTP-Rechte wieder zurück auf "nur über VPN" stellen.

Jetzt muss ich den TFTP-Port über die Firewall separat absichern, damit er nich vom Internet aus offen ist, oder?

nein, das funktioniert nicht. Die Firewall hat nur Forwarding-Regeln - dafür bräuchte die Firewall aber Inbound-Regeln (so wie die IPv6-Firewall).

Gruß
Backslash

[EDVNet]

Hallo Backslash,

das hört sich alles sehr logisch an. Aber entweder verstehe ich es nicht oder es gibt noch einen anderen Fehler.

Wenn du mit Erlauben von TFTP vom WAN die Annahme der Admin-Einwahl erreichen kannst, dann stimmt die Admin-MSN doch nicht.

Deswegen habe ich mir den den KB-Eintrag zu Hinweise zum Betrieb von LANCOM ISDN Routern an TK-Anlagen noch einmal durchgelesen, insbesondere die Hinweise am Ende der Seite

Der Router hat verschiedene ISDN-Interfaces, die für verschiedene Reaktionen konfiguriert sein sollten. Wenn man nicht genau weiß, welche MSN der Router an seinem ISDN Anschluß empfängt, kann diese über den D-Kanal übermittelte Nummer in der Call-Info Tabelle eingesehen werden.
Um zur Call Info Tabelle zu gelangen startet man eine Telnet Sitzung auf dem betreffenden Router. Dazu führt man ->Start->Ausführen->TELNET xxx.xxx.xxx.xxx (xxx = IP-Adresse des Routers) aus. Eine andere Möglichkeit dazu ist, im Programm LanConfig den Router zu markieren und unter "Extras->Telnet Sitzung starten" auszuwählen. Die Befehlszeile um in die Call-Info Tabelle zu gelangen, lautet:

cd status/call-information (ENTER)
list (ENTER)

Als Dial-Caller ist bei mir die "25" aufgeführt.

Code: Alles auswählen

root@CompVPNHqBn:/Status/Call-Information
> list

System-time           Ifc        CLIP-Caller           Dial-Caller           Capab.      B-chan.
------------------------------------------------------------------------------------------------
02/12/2014 18:21:18   S0-1       228674226             25                    HDLC64K     1

Als Admin-MSN ist die "25" eingetragen.

Code: Alles auswählen

root@CompVPNHqBn:/Setup/Config
> list

Password-Required-for-SNMP-Read-Access  VALUE:   Yes
CPU-Load-Interval                       VALUE:   T60s
Admin.-EAZ-MSN                          VALUE:   25
Maximum-Connections                     VALUE:   0

Sollte also richtig sein, oder?

Mit TFTP-Zugang kann ich mich per ISDN einwählen. Ohne TFTP-Zugang kann ich mich nicht per ISDN einwählen.

Dieses Verhalten habe ich sowohl an einem 1711VPN mit MSN, der an einem Mehrgeräteanschluss hängt, als auch an einem 1711VPN mit Durchwahl, der an einer TK-Anlage hängt.

Also. Warum ist meine Admin-MSN falsch? Oder bin ich blind? Ich erkläre mich dafür, wenn Du mir die Lösung verrätst .

Danke
Ulf

[LoUiS]

Die MSN muessen auf allen Interfaces unterschiedlich sein, also darf in Deinem Beispiel die MSN "25" nur fuer das Admin-Interface konfiguriert sein und darf nicht im Router, oder LANCAPI Interface verwendet werden.
Eine Besonderheit hat das Router Interface noch, es nimmt alle Rufe auf allen MSN entgegen wenn KEINE MSN eingetragen ist. Es kann dann sein, dass das Router Interface sich den Ruf schneller schnappt als das Admin-Interface und das fuehrt zum beschriebenen Verhalten.
Entweder Du traegst im Router Interface eine andere deiner gueltigen MSN ein, sofern Du das Router Interface nutzen willst, oder Du traegst einen Dummy Nummer, wie "123456", als MSN ein. In beiden Faellen wird das Router Interface dann nicht mehr nicht mehr die eingehenden Rufe fuer MSN "25" annehmen.


Ciao
LoUiS

[EDVNet]

Ach LoUiS und Backslash, das Traumpaar der Lancom-Administration. Ihr seid super.

Zusammenfassend gilt also:

• - Die Admin-Rufnummer (MSN) muss korrekt eingetragen sein (muss dem Dial-Caller unter /Status/Call-Information entsprechen!
  - Router-ISDN-Interface unter Kommunikation/Allgemein muss sich von der Admin-Rufnummer unterscheiden!
  - LANCAPI-Rufnummer muss sich von der Admin-Rufnummer unterscheiden!

Dann klappts auch mit der ISDN-Einwahl bei deaktiviertem Zugriff von entfernten Netzen.

Vielen, vielen Dank.
Ulf