bone126
Goto Top

Cisco 886VA kein Internet

Hallo Leute,
Ich versuche seit Wochen meinen Cisco Router zum laufen zu bringen.
Ich habe VDSL 100 mit Entertain.
Über die CLI kann ich zum Beispiel 8.8.8.8 pingen, funktioniert auch sofort.
Wenn ich meinen PC am FA 0 anstecke bekommt er eine IP habe aber keinen Internetzugriff
Irgendwo hängt es noch. Ich bin auf dem Gebiet leider ein Neuling.

version 15.7
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret ##################
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.170 192.168.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name Cisco.Home
!
!
!
ip multicast-routing
ip cef
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6
 dns-server 2003:180:2:3000::53
 dns-server 2003:180:2:4000::53
 domain-name Cisco.Home
!
!
!
multilink bundle-name authenticated
license udi pid CISCO886VA-K9 sn FCZ1612C486
!
!
username Denny password 0 CisCo1221
!
!
!
!
!
controller VDSL 0
 firmware filename flash:VA_B_38V_d24m.bin
!
!
class-map type inspect match-any LOKAL-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol sip-tls
 match protocol rtsp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-all IPsec_VPN
 match access-group name ISAKMP_IPSEC
class-map type inspect match-any ROUTER-PROTOCOLS
 match class-map IPsec_VPN
 match protocol tcp
 match protocol udp
 match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
 description Traffic Lokales LAN zum Internet
 class type inspect LOKAL-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect ROUTER-INTERNET-POLICY
 description Traffic Router zum Internet
 class type inspect ROUTER-PROTOCOLS
  inspect
 class class-default
  drop
policy-map type inspect INTERNET-ROUTER-POLICY
 description Traffic Internet zum Router
 class type inspect IPsec_VPN
  pass
 class class-default
  drop
!
zone security LOKAL
zone security INTERNET
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
 service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
 service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
 service-policy type inspect ROUTER-INTERNET-POLICY
!
!
!
!
!
!
!
!
!
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 pvc 1/32
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip pim sparse-mode
 ip nat inside
 ip virtual-reassembly in
 zone-member security LOKAL
 ip tcp adjust-mss 1448
 ip igmp helper-address 62.155.243.102
 ip igmp version 3
 ip igmp explicit-tracking
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description DSL Internet Interface
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat outside
 ip virtual-reassembly in
 zone-member security INTERNET
 encapsulation ppp
 ip igmp version 3
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 verify unicast reverse-path
 ipv6 dhcp client pd provider-v6-prefix
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username ###############@t-online.de password ############
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip pim rp-address 62.155.243.102
ip pim ssm default
ip nat inside source list 101 interface Dialer0 overload
ip ssh time-out 60
!
ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
!
dialer-list 1 protocol ip list 101
ipv6 ioam timestamp
!
!
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 logging synchronous
 transport input none
!
ntp server 130.149.17.8 source Dialer0
!
end

Content-Key: 548715

Url: https://administrator.de/contentid/548715

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 18.02.2020 aktualisiert um 20:20:30 Uhr
Goto Top
Dir fehlen die NAT-ACLs.
Mitglied: Pjordorf
Pjordorf 18.02.2020 aktualisiert um 21:03:14 Uhr
Goto Top
Hallo,

Zitat von @Bone126:
Ich versuche seit Wochen meinen Cisco Router zum laufen zu bringen.
Was wurde gemacht bzw. geändert damit es nicht mehr geht? Lief der vorher schon bei dir?

Wenn ich meinen PC am FA 0 anstecke bekommt er eine IP habe aber keinen Internetzugriff
Welche IP denn?

Gruß,
Peter
Mitglied: Bone126
Bone126 18.02.2020 um 21:03:58 Uhr
Goto Top
Ich hatte den Router gebraucht gekauft und seitdem versuch ich das Teil zum laufen zu bringen.
Mitglied: Bone126
Bone126 18.02.2020 um 21:09:03 Uhr
Goto Top
Die IP 192.168.100.150.
Das Web Gui ist erreichbar unter 192.168.100.254
Wenn ich auf dem Fa 0
IP nat inside setze. Wäre das Richtig?
Da ich es schon im Vlan 1 habe.
Mitglied: Bone126
Bone126 19.02.2020 um 07:34:15 Uhr
Goto Top
Ich glaube ich habe den Fehler gefunden.
Mit der ACL müsste es dann passen. Ich kann das aber erst heute Nachmittag testen dann gebe ich bescheid.

access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any


Danke tikayevent (Level 3)
Mitglied: aqui
Lösung aqui 19.02.2020 aktualisiert um 13:36:23 Uhr
Goto Top
Das hiesige Tutorial zur Einrichtung hast du dir genau durchgelesen und die dortigen Schritte alle wirklich umgesetzt ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Mit der ACL müsste es dann passen.
Das tut es auch, denn genau DAS ist dein Fehler !
Wie die Kollegen @tikayevent und du ja auch selber oben schon richtig sagen, fehlt komplett deine Dialer/NAT ACL 101 in der du den Traffic klassifizierst der über NAT (Adress Translation) ins Internet soll. Flüchtigkeitsfehler... Ohne diese ACL ist logisch das nix geht aus dem lokalen LAN ins Internet.
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
!

Die lokale ACL 23 die dir den Zugriff per PuTTY etc. aus dem lokalen Netzwerk auf den Router per Telnet und SSH erlaubt fehlt auch. Ist oben ja auch schon angemerkt:
!
access-list 23 permit 192.168.100.0 0.0.0.255
!

Bitte wirklich das Tutorial genau lesen und ALLE dortigen Schritte umsetzen, dann klappt das auch auf Anhieb ! face-wink

Nur nebenbei:
Die 4 Ethernet Ports Fa0 bis Fa3 sind ein kleiner, im Router integrierter, 4 Port VLAN Switch. Ohne eine Konfig an den Ports gehören diese Ports im Default alle automatisch ins VLAN-1, was dann die virtuelle LAN Schnittstelle "vlan1" darstellt.
Alles was also für dein lokales LAN gilt, wird dann immer auf der LAN Schnittstelle "vlan1" konfiguriert und nicht auf den physischen Switchports.
Im Tutorial kannst du das auch daran erkennen das dort mit VLAN-2 ein 2tes Netzwerk (in diesem Falle ein Gäste Netzwerk) angelegt wurde was getrennt vom lokalen LAN ist.
Der physische Switchport Fa3 ist dann diesem Gästenetz zugewiesen worden mit dem Kommando: switchport access vlan 2.
So kannst du dem Router z.B. mehrere getrennte IP Netze bzw. LAN Schnittstellen zuordnen. Mit ACLs bestimmst du dann wieder wie diese Netze untereinander oder mit dem Internet kommunizieren dürfen.
Mitglied: Bone126
Bone126 19.02.2020 um 17:58:52 Uhr
Goto Top
So ich habe die ACL so jetzt eingepflegt.
Jetzt funktioniert es auch.
Vielen Dank an alle.
Mitglied: aqui
aqui 20.02.2020 um 09:28:50 Uhr
Goto Top
Immer gerne ! face-wink