cyberurmel
Goto Top

2921 sicher aufbauen für Internet

Hi all ,

aufbauend auf diesen post fb-wlan-2821
werde ich die FB als Client einbinden und ggfs. , wenn alles läuft mit Mikrotik noch nachrüsten für das WLAN.
ok.. vigor130 modem ist bestellt - sollte morgen kommen.
Der Aufbau nochmal kurz -- ADSL Modem Vigor130 - Router 2821 gi0/0 , Router 2821 gi0/1 internal net ->Trunk zu SG300,20 -> 1.Trunkport zu 2960g ,2. -> FB als Client für Telefonie


Status quo :

- Auf dem Router 2821 svis angelegt für vlans incl. net adressen
- vlans angelegt auf cisco 2960g accessports für vlan configured . Trunkport zu SG300 allowed all vlans
- vlans angelegt auf SG300 (L2) ..trunkport noch zu konfigurieren
- das "home" netz hat imo noch kein vlan - notwendig?
-die jetzigen vlans brauchen kein internes routing zu anderen vlans. (TV,PS3,Sat Rec etc)

So , wenn das Modem da ist , konfiguriere ich den Router dann anhand hier ? Anleitung
Was sollte ich sicherheitstechnisch auf jedem Fall checken / beachten ? Hatten ja geschaut, dass meine Firmware auch FW mit drin sein sollte.


Danke vorab

greets
Cyb

Content-ID: 326292

Url: https://administrator.de/forum/2921-sicher-aufbauen-fuer-internet-326292.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

119944
119944 13.01.2017 um 11:36:45 Uhr
Goto Top
Moin,

Warum willst du dir dieses große alte Teil zuhause hin stellen? Nur weil Cisco drauf steht?
Cisco selbst gibt einen typischen Verbrauch von 54W an und die Leistung des Gerätes ist ebenfalls grottig:
The throughput for the routing capacity of the 2821 is 87Mbps capacity maximum.

Für den Heimgebrauch wäre wohl ein MikroTik hEXr3 sinnvoller und er verbraucht nur 5W:
http://varia-store.com/Wireless-Systeme/MikroTik-Komplettsysteme/Mikrot ...

Falls es unbedingt der Cisco sein muss kennst du das Tutorial ja bereits.
Was sollte ich sicherheitstechnisch auf jedem Fall checken / beachten ?
Verstehen was die Einstellungen im Tutorial machen ist am wichtigsten, dann kannst du selbst entscheiden was du brauchst.

VG
Val
aqui
aqui 13.01.2017 um 12:13:09 Uhr
Goto Top
wenn das Modem da ist , konfiguriere ich den Router dann anhand hier ?
Ja, konfig steps sind die gleichen allerdings kannst du den ganzen Kram für das interne Modem weglassen was dein Router ja nicht hat.
Du brauchst einzig nur die Dialer 0 Konfig mit PPPoE. Den Rest macht ja dein externes Vigor Modem !
Was sollte ich sicherheitstechnisch auf jedem Fall checken
Steht doch alles dort im Tutorial !
  • Firewall Image aktivieren
  • Telnet und HTTP Zugriff deaktivieren
  • Nur SSH aktivieren und mit einer ACL auf das oder die lokalen Netze oder Management Netz einschränken (Dort ACL 23)
  • SSH Timeout und Password Check und Anforderungen setzen (service xyz)
Das wars im Groben !
Cyberurmel
Cyberurmel 13.01.2017 um 12:34:04 Uhr
Goto Top
Hi und danke erstmal,

ja das mit dem Durchsatz ist so eine Sache. Will halt ein bischen daheim real üben können, und da ich günstig an die Kiste gekommen bin hat sich das so ergeben.

Genau so lernt man ja am besten. Zum Beispiel diese Sache mit dem Durchsatz vorher checken face-smile - dachte wenn der Gi NICs hat sollte das schon passen.

greets
Cyberurmel
Cyberurmel 13.01.2017 um 12:35:45 Uhr
Goto Top
Hi Aqui,

danke nochmal.. Da es das erste Mal ist, wollte ich nur nochmal sicher gehen.

Greets
aqui
aqui 13.01.2017 um 16:35:37 Uhr
Goto Top
dachte wenn der Gi NICs hat sollte das schon passen.
Das passt auch denn du wirst ja vermutlich keinen Gig Link vom Provider haben face-wink
Genau so lernt man ja am besten.
Absolut !! Wenn du weitere Fragen hast weisst du ja wo du posten musst....
Cyberurmel
Cyberurmel 17.01.2017 um 17:26:11 Uhr
Goto Top
Hi Aqui,

öhm..was ich nicht kapier ist folgendes :
warum hat der Gig Ethernet für WAN Anbindung , wenn doch das Routing max 85 Mbit macht??
Das verstehe ich nicht.. da würde doch auch locker ein 100mbit IF reichen .. hm

greets
Cyb
aqui
aqui 18.01.2017 aktualisiert um 10:10:27 Uhr
Goto Top
Was meinst du mit 85 Mbit genau ?? Was soll das für ein Wert sein und wo kommt der her ?
Die Packet Forwarding Rate bei 128-256 Byte Paketen (Durchschnitt) dürfte deutlich drüber liegen und bedenke das es noch eine Menge Infrastrukturen mehr gibt für eine WAN Anbindung. face-wink
Es gibt leider viele verwirrende Dokumente aber der reine Routing Throughput mit aktiviertem CEF Forwarding liegt beim 2901 so bei ca. 500 Mbit. Mit NAT und PPPoE wird das sicher etwas geringer sein aber noch deutlich über 100Mbit. Insofern ist das Gig Interface schon gerechtfertigt.
Cyberurmel
Cyberurmel 03.02.2017 um 13:09:28 Uhr
Goto Top
Hallo Aqui ,

sorry das ich nochmal nachfragen muss. Hab Modem jetzt und es läuft und synct standalone.

Jetzt zum Router :

Deine Konfig genommen - bei mir angepasst erstmal ohne Guest Netz . Ich habe ja 2 Gi IF.
Gi0/0 :
*
Gi0/0                          up             down     Gateway to Modem
Gi0/0.7                        up             down     VDSL Internet Verbindung - VLAN7 tagged
Gi0/0.8                        up             down     VDSL multicast Entertain

Brauch ich das doch gar nicht mit Modem oder?? Und falls doch habe ich
#no ip mroute-cache
The above command is deprecated. Use MFIB commands instead.
Das hier bekommen beim int Gi0/0.8

Unklar ist mir das noch :

ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
Ist das eine authentication Abfrage zum Internet via browser?`

Und was genau kann weg beim Dialer bzw. was muss da hinein für die Modem connection?

Zu Guter letzt hab ich beim

service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco886va
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.100.1 192.168.100.149 <-- IP Adressen entfernen aus dem DHCP Pool
ip dhcp excluded-address 192.168.100.170 192.168.100.254
!
ip dhcp pool local
network 192.168.100.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name soho.intern
!
ip dhcp pool Static-IP <-- Beispiel f. Zuweisung von fester IP auf MAC Adress Basis
host 192.168.100.170 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name soho.intern
!
ip domain name soho.intern
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip <-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp <-- Firewall App Gateway f. VoIP
!
!
username admin password Admin
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Dialer0
description xDSL Einwahl Interface
ip address negotiated
ip access-group 111 in <-- Firewall CBAC Inbound Access Liste
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out <-- Firewall aktiv auf Port
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username 001234567890123456780001@provider.de password 1234567
(Achtung: T-Business SDSL verwendet her = t-online-com/nutzer@t-online-com.de )
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default <-- Dafür kann die statische Route entfallen !
no cdp enable
!
no ip forward-protocol nd
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip multicast-routing
!
interface Ethernet0.8
description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-modeWa s
no ip mroute-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!
interface Vlan1
ip pim sparse-mode
ip igmp helper-address <Rendezvous Point IP>
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
ip pim rp-address <Rendezvous Point IP> 



ntp server 130.149.17.8 source Dialer0
!
line con 0
line aux 0
line vty 0 4
access-class 23 in <-- Telnet Zugriff nur aus lokalem LAN möglich (ACL 23)
privilege level 15
login local
transport input telnet ssh
!
end 

Vielen Dank schon mal vorab
greets
Cyb
aqui
aqui 03.02.2017, aktualisiert am 04.12.2023 um 15:53:07 Uhr
Goto Top
sorry das ich nochmal nachfragen muss
Kein Thema...dafür ist ein Forum ja da... face-wink
Hab Modem jetzt und es läuft und synct standalone.
Perfekt !
Brauch ich das doch gar nicht mit Modem oder?? Und falls doch habe ich
Das kommt drauf an.. Wenn dein Router natürlich ein eingebautes Hybridmodem hat wie der 880er oder der 890, dann hast du Recht dann brauchst du das Modem natürlich nicht.

Wenn dein Router kein internes xDSL Modem an Bord hat und du nur ein RJ-45 Breitband (Ethernet) Interface hast benötigst du ein zusätzliches NUR Modem wie Vigor 165/167 oder Zyxel VMG3006 o.ä. um ein Ethernet Interface an einen xDSL Anschluss zu bringen....siehst du vermutlich auch selber ein ?!
Ein Blick ins Datenblatt oder auf die Rückseite des Router sollte das aber im Handumdrehen klären was deine Cisco HW kann oder nicht. 😉

Mit integriertem Modem ist dort ein RJ-11 Interface was so aussieht:
xdsl
Bei einem Modularrouter ggf. dann ein Einschub mit so einem Interface.
Das mroute Cache Kommando was er nicht kennt kannst du ignorieren und weglassen.
Ist das eine authentication Abfrage zum Internet via browser?`
Das bedeutet das nach 5 Mal falschen Login Daten du rausgeschmissen wirst. Kann man für die Einfache Startkonfig auch erstmal alles ignorieren. Ist nicht zwingend sondern nur Security Kosmetik face-wink
Dein Dialer Interface ist so wie oben komplett richtig. 👍
Außer natürlich das die Kommentare und Hinweise mit Klammern und Pfeil da nicht hingehören...ist aber vermutlich klar.

Die PPPoE Login Daten musst du natürlich auf deine persönlichen anpassen...auch klar.
Falls du doch mit Breitband Interface und Modem arbeitest muss am Breitbandinterface was du dafür verwendest noch folgendes rein:
interface xyz0
no ip address
!
interface xyz0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!

Achtung das gilt nur wenn dein Modem kein VLAN Tagging macht und VLAN Tags einfach nur durchreicht. Dann muss natürlich dein Router das VLAN 7 Tagging machen wie oben.
Es gibt Modems die von sich aus automatisch ein VLAN7 Tag ranhängen, dann kann das natürlich entfallen mit dem Tagging bzw. Subinterface und dann kann man das direkt auf dem Interface machen:
interface FastEthernet0
description VDSL Internet Verbindung
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!

Sonst ist soweit alles richtig.
Cyberurmel
Cyberurmel 03.02.2017 um 18:02:48 Uhr
Goto Top
Hi Aqui ,

erstmal vielen Dank für die schnelle Hilfe.

Öhm ..ne Router hat kein Hybrid Modem. Dafür hab ich ja das externe Vigor. Ob das weiter Tagged weiß ich gar nicht genau. Im setup ist es mal eingetragen. Und wie gesagt - grundsätzlich synct es ja.
Was ich nicht verstanden habe - meine Dial in credentials sind ja bereits im Modem ..da brauch ich doch das nicht nochmal im Router oder?
Das das Dialer Interface imo so passt ist klar - ist ja deins face-smile))
Also du meinst das IF zum Modem was ich mit subinterfaces gemacht hatte :
Gi0/0                          up             down     Gateway to Modem
Gi0/0.7                        up             down     VDSL Internet Verbindung - VLAN7 tagged
Gi0/0.8                        up             down     VDSL multicast Entertain

sollte rückgängig und dann :
interface GigabitEthernet0/0
 description Gateway to Modem
 no ip address
 no ip route-cache
 duplex auto
 speed auto
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1 
end

so aussehen`?

Macht es einen Unterschied ob das Modem sich "anmeldet" oder der Router sich anmeldet mit den ISP Zugangsdaten?

Danke nochmal schon vorab
greets
Cyb
aqui
aqui 03.02.2017, aktualisiert am 04.12.2023 um 15:58:15 Uhr
Goto Top
Öhm ..ne Router hat kein Hybrid Modem. Dafür hab ich ja das externe Vigor.
Du schriebst ja oben "Brauch ich das doch gar nicht mit Modem oder?? " Daraus konnte man schliessen das du dein Modem gar nicht brauchst ?!
Ob das weiter Tagged weiß ich gar nicht genau.
Besser wäre natürlich du wüsstest es... face-sad Aber egal sonst musst du probieren.
Kannst ja sehen ob die PPPoE Session hochkommt oder nicht. Das ist ein sicheres Indiz ob tagged oder nicht face-wink
meine Dial in credentials sind ja bereits im Modem .
Das wäre tödlich und logischerweise eine Fehlkonfiguration des Vigor Modems !!!
Damit hast du das vermeintliche Modem dann als Router konfiguriert !! Dann kann das ganze Konstrukt so natürlich nie funktionieren.
Wäre auch technisch sehr übel, denn somit hast du eine Perfromance vernichtende Router Kaskade und doppeltes NAT was technisch nicht ideal ist.
Oder du verzichtest auf den Modembetrieb, lässt den Vigor als Router laufen und hängst den Cisco als einfachen Router dahinter. Damit ist dann aber Dialer Interface, Firewall usw. alles obsolet...und die hast wieder eine Router Kaskade.

Wie man den Vigor 130 richtig als reines Modem einrichtet siehst du hier:
http://wiki.port23.de/wiki/Draytek_Vigor_130_als_VDSL_Modem
Da ist also bei der Modem Konfig was ziemlich schiefgelaufen bei dir.
Macht es einen Unterschied ob das Modem sich "anmeldet" oder der Router sich anmeldet mit den ISP Zugangsdaten?
Einen gewaltigen ! Siehe oben...
Ein Modem meldet sich natürlich niemals per PPPoE an, das ist technischer Quatsch denn es ist ja nur ein passiver Medienwandler.
Genau deshalb hast du doch logischerweise die Anmeldedaten auf dem Cisco ! DER meldet sich dann an und macht auch das gesamte PPPoE Geschäft. Niemals ein Modem denn das ist immer passiv und nur ein dummer Medienwandler zw. Ethernet und xDSL Framing.
Wenn es sich anmeldet dann ist es als Router konfiguriert, macht also das was dein Cisco machen sollte. Das ist dann falsch.
Damit (Router Mode am Vigor) sähe die Cisco Konfig am Koppelport komplett anders aus, denn er macht in dem Falle dann kein PPPoE mehr. Da würde dann eine einfache IP reichen....und eine statische Route.
Cyberurmel
Cyberurmel 04.02.2017 um 11:08:00 Uhr
Goto Top
Sorry.. ja hatte es ein bischen doof geschrieben.
Hardware = Router + ext. Modem

Ok..Danke für die Erklärung. Jetzt habe ich es auch kapiert. Der Vigor kann ja beides sein Modem und Router.
Soll aber rein als doofes Modem laufen.

Vielen Dank . Manchmal (bei mir oft, sorry ) seh ich vor lauter Bäumen den Wald nicht face-sad

Ich schau mal ob ich heute oder morgen dazu komme es einzustellen.

Vielen vielen Dank für die Hilfe/Erklärung

greets
Cyb
aqui
aqui 04.02.2017 um 20:06:50 Uhr
Goto Top
Soll aber rein als doofes Modem laufen.
Was natürlich in deinem Umfeld auch absolut Sinn macht !
Manchmal (bei mir oft, sorry ) seh ich vor lauter Bäumen den Wald nicht !
Dafür gibts ja das Forum hier face-wink
Cyberurmel
Cyberurmel 05.02.2017 um 15:33:50 Uhr
Goto Top
Hi Aqui,

so habs mal ausgetestet - aber geht nichts. Laut Dioden Modem ist alles ok. Aber sonst geht nichts .
Hab mit term mon auch nichts angezeigt bekommen. Müsst ich da debug Dialer machen bzw. Wie debuggt man am besten hier?
Glaub meine config stimmt noch nicht ganz. Du hast auch in der Vorlage Vlan1 drin .. wie soll ich das bei einem Router machen??
Vielleicht hättest du ja Zeit und Lust mal drüber zu schauen. Vielen Dank schon mal.

Denke liegt bei dem if Gi0/0 bzw subs und Gi0/1 der Fehler.

Thx corab


service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname MAD
!
boot-start-marker
boot system flash:c2800nm-adventerprisek9-mz.151-4.M12a.bin
boot-end-marker
!
!
security authentication failure rate 3 log
logging buffered 4096
enable secret 5 xxxxxxxxxxxxxxxxxx.
!
no aaa new-model
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
!
!
ip cef
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.5.1 192.168.5.149
ip dhcp excluded-address 192.168.5.170 192.168.5.254
!
ip dhcp pool local
 network 192.168.5.0 255.255.255.0
 default-router 192.168.5.2
 dns-server 192.168.5.2
 domain-name mad.de
!
ip dhcp pool Static_IP
 host 192.168.5.175 255.255.255.0
 client-identifier 1c65.9d58.c404
 default-router 192.168.5.2
 dns-server 192.168.5.2
 client-name lappi
 domain-name mad.de
!
!
no ip domain lookup
ip domain name mad.de
ip multicast-routing
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw ftp
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
!
crypto pki token default removal timeout 0
!
!
!
!
license udi pid CISCO2821 sn xxxxxxxxxx
username xxxxx privilege 15 password 7 xxxxxxxxxxxx
username xxxxx password 7 xxxxxxxxxxxxxxx
!
redundancy
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 10.10.100.1 255.255.255.252
!
interface GigabitEthernet0/0
 description Gateway to Modem
 no ip address
 no ip route-cache
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.7
 description VDSL Internet Verbindung - VLAN7 tagged
 encapsulation dot1Q 7
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0.8
 description VDSL multicast Entertain
 encapsulation dot1Q 8
 ip dhcp client broadcast-flag clear
 ip address dhcp
 ip pim sparse-mode
 no ip route-cache
 ip igmp version 3
 ip igmp query-interval 15
 ip igmp proxy-service
!
interface GigabitEthernet0/1
 description internal network
 ip address 192.168.5.2 255.255.255.0
 duplex auto
 speed auto
 !
!
...
ganzen subinterfaces

....

!
interface Dialer0
 description VDSL Einwahl Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username xxxxxxxxxxxxxxxxxxxxx@t-online.de password 7 xxxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
access-list 23 permit 192.168.5.0 0.0.0.255
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
access-list 101 permit ip 172.20.20.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny   ip any any
dialer-list 1 protocol ip list 101
!
!
!
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
!
line con 0
 password 7 xxxxxxxxxxx
 login local
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 0 0
 privilege level 15
 password 7 xxxxxxxxxxxx
 login local
 transport input ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source Dialer0
ntp server 192.53.103.104 source Dialer0
end
aqui
aqui 05.02.2017 aktualisiert um 18:52:11 Uhr
Goto Top
Aber sonst geht nichts .
Schalte mal den PPPoE Debugger an beim Cisco mit debug pppoe
Achtung wenn du mit Telnet oder SSH drauf bist auch term mon eintippen, damit die Log Messages auf dein Termi kommen.
Dann führst du mal ein ping 8.8.8.8 aus und checkst mal ob es zu einer PPPoE Negotiation kommt.
Mt dem Debugger kannst du alles sehen was auf der Maschine abgeht.
Ausschalten geht mit undebug all.

Es ist möglich das dein Modem schon das VLAN 7 Tagging macht. Wenn das der Fall sein sollte (Check Handbuch !) musst du die Konfig ändern OHNE ein Subinterface !
interface GigabitEthernet0/0
description VDSL Internet Verbindung
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
Cyberurmel
Cyberurmel 06.02.2017 um 18:47:55 Uhr
Goto Top
Hi Aqui,

ok. Gemacht. Allerdings kann ich das
encapsulation dot1Q 7
nicht auf das interface Gi0/0 machen . Das Modem setzt den Tag7 , habe es nachgeschaut, bzw. angehakt.

Auch die debug befehle sind etwas anderst. Hab mal debug errors und debug events gemacht .
ping 8.8.8.8 gehte .Mit einem Rechner konnte ich nicht heraus.

Gi0/0                          up             up       VDSL Internet Connection
....
Di0                            up             up       VDSL Einwahl Interface
Lo0                            up             up
NV0                            up             up
Vi1                            up             up
Vi2                            up             up

soqie ein sh ip int brief
Dialer0                    93.204.85.101   YES IPCP   up                    up
zeigten auch connection / Ip sollte klappen .

Allerdings habe ich mal ein sh ip route gemacht
      87.0.0.0/32 is subnetted, 1 subnets
C        87.186.224.118 is directly connected, Dialer0
      93.0.0.0/32 is subnetted, 1 subnets
C        93.204.85.101 is directly connected, Dialer0
??? Wieso sind da jetzt auf einmal 2 öffentl. IPs??
DNS scheint auch nicht zu gehen bzw muss ich da nicht irgendwo mal den von google reinhauen?

Auch habe ich bei sho int brief :
NVI0                       192.168.5.2     YES unset  up                    up
Virtual-Access1            unassigned      YES unset  up                    up
Virtual-Access2            unassigned      YES unset  up                    up

Passt das so?

Mit einem PC kann ich den router pingen -allerdings Internet ging nicht .

Ich will dir ja nicht alles aus der Nase ziehen ..aber ich weiß grad nicht so was ich wo schauen soll oder kann um zu prüfen wo das oder die Probleme liegen.

Access-list hab ich mal gecheckt :
sh access-lists 111
Extended IP access list 111
    10 permit icmp any any administratively-prohibited
    20 permit icmp any any echo-reply (15 matches)
    30 permit icmp any any packet-too-big
    40 permit icmp any any time-exceeded (24 matches)
    50 permit icmp any any unreachable (3 matches)
    60 permit udp any eq domain any
    70 permit tcp any eq domain any
    80 permit udp any eq 5060 any
    90 permit udp any eq ntp any (30 matches)
    100 deny ip any any (22 matches)

also scheint die auch zu funzen .

danke mal vorab
greets
Cyb
Cyberurmel
Cyberurmel 07.02.2017 um 14:57:05 Uhr
Goto Top
Hi Aqui ,

also nach nochmaligem Lesen heute


Zitat von @Cyberurmel:
Ich will dir ja nicht alles aus der Nase ziehen ..aber ich weiß grad nicht so was ich wo schauen soll oder kann um zu prüfen wo das oder die Probleme liegen.

war das ein bischen missverständlich geschrieben. War so gemeint, dass ich mehr probiere und schaue nach deinen Tipps ..
Keinesfalls anders oder frech ! face-smile

Also nach eigenem suchen habe ich einen Fehler schon mal :
no ip domain lookup sollte schon an sein.
aqui
aqui 08.02.2017 aktualisiert um 12:38:00 Uhr
Goto Top
no ip domain lookup sollte schon an sein.
Das ist aber für die Endgeräte irrelevant sondern gilt nur wenn du auf dem Router selber direkt drauf bist.
Damit schaltet man das DNS Lookup aus auf dem CLI. Sonst würde der Router jeden Vertipper als Hostname interpretieren und danach im Internet suchen.
DNS scheint auch nicht zu gehen
Daszu musst du den Proxy DNS auf dem Router aktivieren !
ip dns server muss dazu aktiviert sein und ppp ipcp dns request auf dem PPPoE Interface.
Dann klappt das auch. Ein show hosts zeigt dir welche DNS Adressen der Router cached.
Cisco886va#sh hosts
Default domain is soho.intern
Name/address lookup uses domain service
Name servers are 143.21.253.71, 143.21.252.72

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
adserver.idg.de           None  (temp, OK)  0   IP    62.146.107.114 
Hier kannst du sehen das die IP Adressen 143.21.253.71, 143.21.252.72 die sind die der Router per PPPoE dynamisch vom Provider bekommen hat.

Was ist denn jetzt dein Status ??
Wenn du die beiden öffentlichen IPs siehst, sieht das sehr gut aus, denn dann macht der Router erfolgreich eine PPPoE Session zum Provider auf !!!
Die Inbound ACL auf dem Dialer Interface ist richtig. Minimal muss die so aussehen damit alles klappt:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 deny ip any any

5060 ist nur SIP (Voice). Wenn du das erstmal nicht hast kannst du das auch weglassen.
Damit sollte vom Router CLI ein Ping ins Internet ping 8.8.8.8 klappen. Ist das der Fall ?
Cyberurmel
Cyberurmel 08.02.2017 um 15:23:56 Uhr
Goto Top
Hallo Aqui,

bin grade nicht zu Hause, aber ping 8.8.8.8 ging vom router aus. Da ich grade keine andere ip hatte wollte ich (vom router) ja ein nslookup machen aber das hat nicht funktioniert - wohl wegen domain-lookup .
Nur ins Internet bin ich nicht gekommen mit einem Rechner. Hab die IP für gateway angepasst (router IP) weil ja vorher von FB . -Sonst gleiches Netz und auf den Router komm ich drauf von dem Rechner.
Weiß dann grad so nicht wo ich weiter schauen soll - das debug pppoe brauche ich ja dann eigentlich nicht , da pppoe funktioniert.
(wobei ich nicht verstehe warum ich 2 öffentliche IPs bekomme aus anderen Netzen
01.      87.0.0.0/32 is subnetted, 1 subnets 
02.
C        87.186.224.118 is directly connected, Dialer0 
03.      93.0.0.0/32 is subnetted, 1 subnets 
04.
C        93.204.85.101 is directly connected, Dialer0

Status Quo für mein Verstädnis :
Internet Zugang steht via pppoe aber Zugriff aufs INet via PC ging noch nicht.

Greets Cyb
aqui
aqui 08.02.2017 aktualisiert um 16:49:48 Uhr
Goto Top
aber ping 8.8.8.8 ging vom router aus.
Perfekt ! das sieht dann aber sehr gut aus !!!
Das kann dann nur noch am Endgerät liegen...
Deine DHCP Einstellungen oben sind soweit alle richtig. Du musst nur mal checken ob du am Endgerät die richtigen IPs bekommen hast. Das geht mit ipconfig (Winblows) oder ifconfig bei unixoiden Endgeräten.
Dein Endgeräte sollte:
  • Eine IP aus dem Bereich zw. 192.168.5.150 und .169 haben
  • Gateway IP auf 192.168.5.2 stehen haben
  • DNS IP auch 192.168.5.2 stehen haben
  • Die Router IP 192.168.5.2 anpingen können.
ACHTUNG:
Ein ganz wichtiges Kommando fehlt noch auf deinem lokalen Interface. Ode rist oben abgeschnitten worden:
!
interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip nat inside
duplex auto
speed auto
!

Das musst du unbedingt noch nachtragen sonst macht der Router KEIN NAT zum Internet !
Danach machst du mal ein Ping auf einen nackte Internet IP wie 8.8.8.8 bei einem Endgerät, das schliesst dann erstmal evtl. DNS Probleme aus.
Klappt das ?? Sollte eigentlich !
Wenn ja dann ist es wirklich ein DNS Problem. Ggf. funktioniert der Router dann nicht als Proxy DNS.
Du kannst das umgehen indem du dann mal deine Provider DNS IP Adresse im local DHCP Server definierst und ein ipconfig -release und danach ein ipconfig -renew machst (Winblows). Damit bekommst du neue IPs zugewiesen und DNS am Endgerät.
Dann sollte auch ein Ping auf einem FQDN klappen wie www.heise.de und wir müssen dann mal checken warum der DNS Proxy nicht rennt.
das debug pppoe brauche ich ja dann eigentlich nicht
Richtig ! Hier unbedingt u all auf dem Router CLI eingeben. Ein show debug sollte dann sagen das alles Debugging OFF ist was dann richtig ist.
2 öffentliche IPs bekommst du bei PPPoE immer. Eins ist die Provider IP seines Zugangsnetzes und eins ist die IP des PPP Tunnels...ist also alles vollkommen normal ! face-wink
Cyberurmel
Cyberurmel 08.02.2017 um 17:52:19 Uhr
Goto Top
Hi Aqui,

super danke für deine Hilfe.
Werde ich probieren sobald daheim und Zeit face-smile
Ich habe es von einem Rechner ohne DHCP probiert - also aus dem Bereich den der dhcp eh nicht gibt per IP.
Und das gateway angepasst - also den Router. Den konnte ich auch pingen = selbes Netz. Das hat gepasst.
Aber webseite ging keine auf. - auch die 8.8.8.8 vom PC war nicht pingbar.

Aber ich schau nochmal wegen dem nat inside . u all habe ich bereits gemacht ..thx nochmal .

Ich berichte weiter..

Thx vorab
greets
Cyb
Cyberurmel
Cyberurmel 09.02.2017 um 13:31:48 Uhr
Goto Top
Hi Aqui ,

ich nochmal .. bin noch nicht dazu gekommen aber meanwhile mal folgende Frage weil ich das noch nicht verstanden habe..
Provider erwartet getaggten Datenstrom (telekom bei mir) das macht jetzt ja mein modem. ok.
Wenn Modem nicht - kann ich subif machen wo das macht.
Jetzt habe ich auch entertain . also vlan 8 wird auch erwartet vom provider. Deswegen subif machen. Ok .

Dort steht interface vlan1 ... Das kann ich doch gar nicht anlegen .. und vlan1 ist doch eigentlich eh native und ungetagged oder??

thx für Aufklärung

Greets
Cyb
aqui
aqui 09.02.2017, aktualisiert am 04.12.2023 um 15:59:36 Uhr
Goto Top
Aber webseite ging keine auf. - auch die 8.8.8.8 vom PC war nicht pingbar.
Das ist auch klar ! Wenn ip nat inside auf dem lokalen LAN Port fehlt kann nix nach draußen funktionieren da kein NAT. (Adress Translation) face-wink
Wenn Modem nicht - kann ich subif machen wo das macht.
Ja, Bingo, richtig.
Wenn du ein Subinterface einrichtest dann tagged der Router, sprich addiert das VLAN ID Feld an das Ethernet Paket. Das beschreibt der Standard 802.1q
https://de.wikipedia.org/wiki/IEEE_802.1Q
Wenn wie bei dir das Modem das übernimmt ist das Subinterface natürlich dann obsolet, so das man es dann auf dem normalen Interface konfiguriert. Kein VLAN Tag...kein Subinterface. Einfache Logik face-wink
Dort steht interface vlan1 ... Das kann ich doch gar nicht anlegen
Jetzt verwechselst du was grundlegend... Die vlan x Interfaces beziehen sich immer auf den embeddeten 4 Port Switch im Router.
Wie viele Router hat dieser einen 4 Port Switch an Bord und den kannst du dann vollkommen frei konfigurieren.
Default ist immer das VLAN 1 und alle Ports im 4Port Switch sind Accessports in diesem VLAN.

Wenn du aber jetzt 2 Ports mehr brauchst für DMZ und für die Gäste dann sieht das so aus:
!
interface FastEthernet0
description Lokales LAN
!
interface FastEthernet1
description Lokales LAN
!
interface FastEthernet2
description DMZ
switchport access vlan 10
!
interface FastEthernet3
description Gastnetz
switchport access vlan 20
!
interface Vlan1
description Lokales LAN (FastEthernet0 und 1)
ip address 192.168.0.254 255.255.255.0
!
interface Vlan10
description DMZ (FastEthernet2)
ip address 192.168.100.254 255.255.255.0
!
interface Vlan20
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
!

Die vlan Interface sind also quasi virtuelle Ethernet Routerports die du wahlfrei den 4 Switchports zuweisen kannst, was die Interface Konfiguration sehr flexibel macht.
Du kannst natürlich auch mehr als 4 vlan Interfaces definieren wenn du mit einem tagged Upling arbeitest:
!
interface FastEthernet3
description tagged Uplink
switchport mode trunk
switchport trunk allow vlan all
!

Es ist also quasi sowas wie ein frei programmierbarer kleiner Switch im Router face-wink
Man könnte auch über diesen "Umweg" tagged Traffic nach draussen senden z.B.:
!
interface FastEthernet3
description tagged Uplink
switchport mode trunk
switchport trunk allow vlan 7
!

Würde nur tagged Traffic vom VLAN 7 senden. Allerdings könntest du diesen Port nicht als PPPoE Dialer konfigurieren, das ist auf solchen kombinierten Switchports nicht supportet.
Das sollte etwas Licht ins Dunkel bringen für dich face-smile
Cyberurmel
Cyberurmel 09.02.2017 um 21:13:14 Uhr
Goto Top
Danke wie immer erstmal Aqui,

aber du beziehst dich doch da auf den 880 Router.
Den hab ich ja nicht sondern einen 2821 face-smile
Klar bei meinem 2960 er und SG300 ist das dann so wie du schreibst .
Ich kann doch bei meinen 2 IF nur subinterfaces anlegen ausser dem IF selbst klar.
Also so ganz hab ich das dann nicht verstanden was bei mir dann dann anstatt des VLAN1 stehen müsste face-sad

sorry .. sonst ist denke ich das vlan tagging mit trunk und switchport access schon verstanden

Thx
greets
Cyber
aqui
aqui 10.02.2017 aktualisiert um 16:07:04 Uhr
Goto Top
Den hab ich ja nicht sondern einen 2821
OK, wenn der keinen embeddeten Switch hat oder ein Einschub mit 4port Switch dann vergiss das Obige. Das gilt dann natürlich nicht.
Dann ist aber auch das vlan Interface für dich obsolet, denn das gibts dann logischerweise auch nicht face-wink
Klar bei meinem 2960 er und SG300 ist das dann so wie du schreibst .
Dann kennst du dich ja bestens aus face-big-smile
Mit singulären Interfaces auf den Routern kannst du VLAN Tags dann nur über die x.y Subinterfaces absenden, anders geht das nicht.
Also so ganz hab ich das dann nicht verstanden was bei mir dann dann anstatt des VLAN1 stehen müsste
Sowas wie ein vlan Interface hast du dann ja nicht. Bei dir ist das Gigabit 0/1 ja das lokale LAN.
Das steckt dann in dem Switch in dem dein lokales LAN ist...aus die Maus.
Kein Switch kein VLAN Interface...ist ja auch egal wie das Ding letztlich heisst...
Bei dir steht dann statt vlan 1:
!
interface GigabitEthernet0/1
(---> Ersatz für Int vlan 1)
description Lokales Netzwerk
ip address 192.168.5.2 255.255.255.0
ip nat inside
!

Fertisch face-wink
Cyberurmel
Cyberurmel 10.02.2017 um 21:52:57 Uhr
Goto Top
Ahoi Aqui ,

thx für die Erklärung. Hatte vorhin nur kurz Zeit zu schauen ..
Problem :
Router ping 8.8.8.8 - erfolgreich .. obwohl ich ihn neu starten musste. (Imo stecke ich ja noch um und irgendwie nahm er nicht die neue config vom Modem -standen noch die "alten IP" .) ok

aber bei dem sh hosts bekam ich nicht die nameservers vom provider sondern da steht nur static mapping drin
Ich habe aber keine Änderung zur config hier finden können.

DHCP geht ..hab mal zum Spaß geschaut . Also bekomm IP aus passender Range und kann den router pingen. Aber kein 8.8.8.8
Anpassungen wie von dir gesagt hatte ich natürlich gemacht.

Irgendwie scheint was mit dem DNS noch nicht zu stimmen

Auch mein subif Gi0/0.8
interface GigabitEthernet0/0.8
 description VDSL Multicast Entertain
 encapsulation dot1Q 8
 ip dhcp client broadcast-flag clear
 ip address dhcp
 ip pim sparse-mode
 no ip route-cache
 ip igmp version 3
 ip igmp query-interval 15
 ip igmp proxy-service
bekommt keine IP - das sollte ja per dhcp ne 10.er sein wenn ich das richtig verstanden habe...

debug ppp brachte nix

So.. what nu? face-smile
greets
Cyb
aqui
aqui 11.02.2017 aktualisiert um 12:57:01 Uhr
Goto Top
Anpassungen wie von dir gesagt hatte ich natürlich gemacht.
Damit meinst du hoffentlich das ip nat inside auf deinem lokalen LAN Port, oder ??
Prüf das bitte nochmal genau. Es kann eigentlich nur noch daran liegen !!
Am Router selber leigt es nicht. Wenn du von ihm direkt die 8.8.8.8 anpingen kannst ist alles in bester Ordnung mit deinem xDSL Zugang.
Modem und Dialer Konfig sind damit raus, die sind dann absolut korrekt.
Es kann dann nur noch am NAT bzw. den NAT bezogenen ACLs liegen.
Diese Dinge sind wichtig dafür:
Lokales LAN muss so aussehen:
!
interface GigabitEthernet0/1
description Lokales LAN
ip address 192.168.5.2 255.255.255.0
ip nat inside
!

Die NAT ACLs so:
!
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 101
!

NAT auf dem Interface aktivieren:
!
ip nat inside source list 101 interface Dialer0 overload
!

Das ist das Minimum das NAT sauber funktioniert. Möglich das das Kommando dialer-list 1 protocol ip list 101 bei dir fehlt ?! Das konnte man in der o.a. Konfig NICHT sehen ?!
debug ppp brachte nix
Nee, klar und logisch, denn das debuggt logischerweise nur PPP bezogene Dinge aber nix mit DHCP !
Ein debug ? oder debug ip ? zeigt dir die Übersicht der sinnvollsten Debug Optionen auf dem Router !
Bring aber erstmal sauber den Internet Zugang aus dem lokalen LAN zum Fliegen, dann sehen wir weiter.
Ein Schritt nach dem anderen face-wink
Cyberurmel
Cyberurmel 13.02.2017 um 20:16:58 Uhr
Goto Top
BÄM

Danke Aqui ...es geht jetzt face-smile

Also das nat inside hatte gefehlt . Ich glaube wenn ich mein Modem starte , aktualisiert sich der Dialer nicht automatisch. Kann das sein?
Musste shut / no shut machen dann lief alles.

Juhuu...
Mittlerweile ist auch mein Access point und mein Routerboard da. Sobald wieder zeitlich bischen Luft - binde ich die FB als Client ein und dann kommt das Routerboard bzw. noch VPN / DynDNS.

ok... vorab noch ne Frage . Kann man jetzt noch irgendwie schauen was so die Firewall blockt oder ist das so jetzt sicher??

Saustark ..Danke danke danke schon mal für die Geduld und Mühe

greets
Cyb
aqui
aqui 13.02.2017 aktualisiert um 21:20:16 Uhr
Goto Top
Danke Aqui ...es geht jetzt
Klasse, hort sich gut an...Glückwunsch !
Also das nat inside hatte gefehlt
Wie vermutet. Damit schlägt das NAT fehl und die Pakete gehen mit den privaten IPs ins Internet und damit ins Nirwana.
aktualisiert sich der Dialer nicht automatisch. Kann das sein?
Nein, das kann nicht sein. Der Dialer ist ein virtuelles Interface und der rennt vollkommen unabhängig von externen Geräten.
Er ist zwar physisch an das Hardware Interface gebunden GigabitEthernet0/0 ist hier aber nur vom Link Status dieses Interfaces abhängig.
OK, wenn der Link runtergeht also z.B. wenn du das Modem ausschlatest oder das Kabel abziehst dann ist das Interface physisch down und der Dialer der an dies Interface gebunden ist dann natürlich auch.
Aber solange das Interface up/up ist (show int gig 0/0) ist alles OK. Normal schaltet ja auch niemand das Modem aus oder ab.
Shut / no shut muss man wenn dann nur ein einziges Mal machen sonst nie mehr.
Kann man jetzt noch irgendwie schauen was so die Firewall blockt oder ist das so jetzt sicher??
Das ist jetzt so wasserdich sicher. Du kannst testweise mal das Logging an der ACL 111 aktivieren. Solltest du aber nicht permament laufen lassen, denn das zwingt den Router ins Process Switching (CPU).
Es macht aber Sinn das mal zu machen um mal einen Eindruck zu bekommen wie hoch die sekündliche !! Angriffsbelastung so eines Systems aus dem Internet ist.
Das Kommando access-list 111 deny ip any any log aktiviert das Logging. Mit sh logg kannst du sehen wer so alles rein will bei dir face-wink
danke schon mal für die Geduld und Mühe
Immer gerne wieder face-wink
Cyberurmel
Cyberurmel 14.02.2017 um 11:54:39 Uhr
Goto Top
Hi Aqui ,

werde ich mal probieren. Ja da ich ja noch nicht umgeschaltet habe - habe ich das Modem noch aus und nur zum testen angemacht. Demnächst gehts auf full state face-smile

Darf ich noch folgendes fragen :

Imo habe ich ja noch verschieden vlans an den switchen und router on a stick dazu am router.
Ok.soweit hab ich das .

Heißt das jetzt ohne irgendeine Einstellung, dass diese vlans miteinander kommunzieren könnten? Wenn ja - heißt einmal ACL updaten mit dem jeweiligen vlan netz fürs Internet .. und dann nochmal , dass nur Internet permitted ist -sonst nix?
Z.B. für TV Netz oder AVR ,oder SAT sollen NICHT miteinander kommunizieren aber ins Internet können. ?

Ah dann noch mein Entertain. Hab ja das subint angelegt dafür - muss ich das dann quasi "durchschieben" und den entsprechenden port wo der receiver dran ist auf dot1q 8 ?? Dann könnte ich das ja auch in einem vlan lassen oder??

Hatte gestern noch gar nicht geprüft gehabt ob das gelaufen ist ...

greets
Cyb
aqui
aqui 15.02.2017 um 14:18:22 Uhr
Goto Top
Darf ich noch folgendes fragen :
Aber immer doch, ich bitte darum face-wink
Heißt das jetzt ohne irgendeine Einstellung, dass diese vlans miteinander kommunzieren könnten?
Die Frage kann man nicht beantworten, da du nicht schilderst wie dein Restnetz aussieht face-sad
  • Benutzt du einen L3 Switch
  • Benutzt du z. Routen der VLANs einen Router wie hier im VLAN_Tutorial beschrieben ? Vermutlich ja ?!
  • Oder soll jetzt dein Cisco die VLANs routen
Alles wäre denkbar, aber von allem hängt einen spezifische Konfig ab.
Normal routet man die VLANs ja lokal und nimmt ein von den Produktiv VLANs getrenntes VLAN um zentral aufs Internet zuzugreifen.
So eine Konfig ist z.B. hier beschrieben:
Verständnissproblem Routing mit SG300-28
Zentrale Frage ist also WIE dein Netz nachher aussehen soll oder wie du dir das vorstellst ?!
Das bestimmt dann die finale Konfig face-wink
Cyberurmel
Cyberurmel 15.02.2017 aktualisiert um 15:12:51 Uhr
Goto Top
Danke schon mal ..


so in etwas sollte es aussehen. VLANs werden getrunkt zum Router (subIFs) und sollen bis auf eine Ausnahme nur ins Internet - sonst nix.
VLAN Guest für WLAN später sowie VLAN Home für mein Homenet.

Sieht vielleicht bischen konfus aus , sollte aber so gehen. (baulich bedingt zum Teil auch)

Also ja cisco routet die VLAns - allerdings nur ins Internet. Und ganz wenig Ausnahmen für gewisse PC oder Anwendungen. Das muss ich noch schauen.

Vielleicht ein klein wenig vereständlicher jetzt face-smile

greets
Cyb
soll
aqui
aqui 15.02.2017 um 17:43:07 Uhr
Goto Top
Ganz ehrlich...?? Das Maling ist so wirr, das versteht keiner.
Kannst du das etwas entzerren ??
Nicht das wir von unterschiedlichen Dingen reden nachher face-wink
VLANs werden getrunkt zum Router (subIFs) und sollen bis auf eine Ausnahme nur ins Internet - sonst nix.
OK, das macht es etwas klarer. Du hattest kein Model mit embeddetem Switch, richtig ?
Also ja cisco routet die VLAns - allerdings nur ins Internet. Und ganz wenig Ausnahmen für gewisse PC
OK, VLANs mit .1q Trunk auf dem Cisco definieren und dann mit ACLs nur bestimmte Verbindungen zulassen.
Wieviel VLANs und welche ID oder reicht dir ein globales Beispiel wie das zu konfigurieren ist ?!
Cyberurmel
Cyberurmel 15.02.2017 um 19:38:14 Uhr
Goto Top
Hi Aqui,

war nur schnell copy paste weil keine Zeit face-smile
Öhm.. nein nix embedded. Im groben
-> Vigor Modem
-> Cisco 2821
-> SG300,20 L2 Mode (trunk 2821 )
-> a) FB im Client Mode wenn umgestellt
b) Mikrotik Routerboard fürWLAN
c) Cisco 2960 G (trunk SG300,20)


Reicht es nicht wenn ich auf die jeweiligen SubIF eine ACL so mache?
Und dann die 111 er ergänze mit dem jeweiligen Netz?
Beispiel
access-list 1 permit 192.168.10.0 0.0.0.255

interface ethernet0/0.10 
 ip access-group 1 in
 exit
aqui
aqui 16.02.2017 aktualisiert um 09:34:19 Uhr
Goto Top
OK, dann ist die Konfig eigentlich ganz einfach. Auf dem tagged Uplink Port zu deinem VLAN Switch definierst du dann einfach Subinterfaces für jedes VLAN welches du auf dem Router terminieren willst.
Das sieht dann so aus:
!
ip routing
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!

usw. für jedes VLAN
Du erkennst vermutlich das Prinzip, oder ?
Subinterface mit Index das der VLAN ID entspricht, encapsulation auf dot1q setzen mit VLAN ID und den Rest ganz normal konfigurieren wie ein normales IP Router Interface.
Hier kannst du dann auch entsprechende Accesslisten usw. usw. konfigurieren wie gewohnt.
Das wars... face-wink
Reicht es nicht wenn ich auf die jeweiligen SubIF eine ACL so mache?
Ja, das ist genau richtig !
Sieht dann als komplette Konfig so aus:
!
ip routing
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
ip access-group VLAN10 in
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!
ip access-list extended VLAN10
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222

!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.5.0 0.0.31.255 any
(---> NATet VLAN Netze .0.0 bis .31.0 ins Internet !)
dialer-list 1 protocol ip list 101

Die ACL VLAN10 bewirkt das Clients im VLAN 10 ausschiesslich nur mit einem Host im VLAN 20 sprechen können nichts anderes. (Ist hier nur mal ein Beispiel !)
Die CBAC ACL 111 brauchst du nicht anfassen die gilt ja nur für die Firewall.
Cyberurmel
Cyberurmel 16.02.2017 um 10:46:11 Uhr
Goto Top
Hi Aqui,

danke danke.

Ja die SubIFs habe ich ja alle schon angelegt. So kann ich es anpassen, das bekomme ich hin .
Das mit der ACL 111 wusste ich nur nicht. Dachte die Firewall lässt imo nur traffic aus meinem homenetz "raus" .
Ok..Das macht die 101. Kapiert denke ich.

Meinst du ich sollte mein "Homenet" in ein explizites VLAN oder reicht das Native (1er) untagged ??

Werd dann erstmal die Baustellen beackern ... VLANs, VPN, DynDns noch. Und wenn das klappt die WLAN Aktion.
Wenn nicht immer das Zeitproblem wäre ...grrrr


Thx vorab

Greets
Cyb
aqui
aqui 16.02.2017 um 10:49:53 Uhr
Goto Top
Meinst du ich sollte mein "Homenet" in ein explizites VLAN oder reicht das Native (1er) untagged ??
Das kannst du halten wie ein Dachdecker face-wink
Ist eher kosmetisch. Wenn es im VLAN 1 rennt dann lass es am besten so.
Cyberurmel
Cyberurmel 16.02.2017 aktualisiert um 14:27:41 Uhr
Goto Top
Super danke ..

aber nochmal kurz nachgefragt :

Du schreibst :
nterface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
ip access-group VLAN10 in
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!
ip access-list extended VLAN10
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222
!
Die ACL VLAN10 bewirkt das Clients im VLAN 10 ausschiesslich nur mit einem Host im VLAN 20 sprechen können nichts anderes. (Ist hier nur mal ein Beispiel !)


Warum ist das dann bei vlan10 auf in ? Müsste das nicht bei Vlan10 auf out oder vlan 20 auf in sein?? Oder wegen Beispiel nur so?
Oder hab ich da nen Denkfehler??

Thx
aqui
aqui 16.02.2017, aktualisiert am 04.12.2023 um 16:01:23 Uhr
Goto Top
Auf outbound ACL sollte man generell verzichten ! Ist auch logisch, denn dann sind die Pakete ja schon im Router oder Switch drin, belassten also sinnloserweise die Forwarding Engine um nacher am Ausgang dann doch weggeschmissen zu werden.
Ziemlich unproduktiv und unökonomisch sowas und auch aus Sicherheits Sicht ein NoGo da man ja erst gar keinen ungewollten Traffic im Router haben will. face-wink
Bei vielen Geräten wie Billigswitches sind outbound Pakets CPU switchesd müssen also über die CPU und belasten diese erheblich. Oder...worst Case, sie supporten gar keine outbound ACL.
Fazit: Immer vermeiden wenn es nicht unbedingt sein muss.

Also haben wir hier am Beispiel einen inbound ACL. Der Router filtert also schon alles was man nicht will das am Port reinkommt gleich rechtzeitig weg face-wink
Die ACL sagt: "Erlaube hier alles was mit einer Absender IP 192.168.10.irgendwas reinkommt und als Ziel IP die 192.168.20.222 hat. Und...Schmeisse alles andere wech. "
(Letzteres ist immer Default in einer ACL wenn nicht definiert)
Folglich kommen nur Pakete aus dem VLAN 10 raus die zum Server 192.168.20.222 wollen. Alles andere blockt der Port.
Der Parameter in oder out an der Accessgroup am Interface besagt nur ob die ACL für inbound oder outbound Traffic angewendet werden soll.
Warum immer besser inbound steht oben.
Cyberurmel
Cyberurmel 16.02.2017 um 17:13:37 Uhr
Goto Top
Ahhhh

Danke... glaube habe den Fehler gemacht das ganze nicht aus Routersicht zu machen. Also ich bin quasi der Router . Kommt traffic rein (in)
Hatte den Denkfehler aus client Sicht auf den Port (out) .. also raus zum Router...

Supi danke
aqui
aqui 17.02.2017 aktualisiert um 15:08:40 Uhr
Goto Top
Jau...genau DU bist immer der Router face-smile So musst du dir das vorstellen. "In" ist was quasi in den Mund kommt... Das erklärt dann alles. Lebertran schieben die Hände dann gleich weg...
Bei Outbound wäre der Lebertran schon drin. Den Rest kannst du dir ja dann denken... face-smile
Cyberurmel
Cyberurmel 20.02.2017 um 16:24:45 Uhr
Goto Top
Hallo Aqui, jetzt muss ich doch noch mal fragen:
In dem Beispiel vlan 10 auf ein host vlan 20 ok.
Aber wie kommen dann clients vlan10 auch ins internet? Gut dafür hast du die 101 angepasst. Aber dachte geht immer nur eine ACL ??
Kannst du mir bitte zum Verständnis helfen :

Also paket kommt aus vlan10 mit Anfrage für google: prüft welche ACL dann??

Paket kommt aus vlan 10 auf den einen host vlan20 - Prüft ACL Extendendx -> hostbereich passt -> permit host passt -> alle protokolle = durchlassen bzw. routen


Danke
Greets
Cyb


interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.2 255.255.255.0
ip access-group VLAN10 in
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.2 255.255.255.0
!
ip access-list extended VLAN10
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.5.0 0.0.31.255 any (---> NATet VLAN Netze .0.0 bis .31.0 ins Internet !)
dialer-list 1 protocol ip list 101 
aqui
aqui 21.02.2017 aktualisiert um 13:58:02 Uhr
Goto Top
jetzt muss ich doch noch mal fragen:
Kein Problem, dafür ist ein Forum ja da face-wink
Aber wie kommen dann clients vlan10 auch ins internet? Gut dafür hast du die 101 angepasst. Aber dachte geht immer nur eine ACL ??
Du hast es richtig erkannt ! Die ACL 101 steuert das:
access-list 101 permit ip 192.168.5.0 0.0.31.255 any

Das inkludiert alle IP Adressen von 192.168.5.1 bis .31.255 also auch alle VLAN Netze in diesem Bereich.
Die ACL 101 steuert wie du ja an der Konfig siehst einmal den PPPoE Dialer, triggert damit also PPPoE Sessions Richtung Provider und sie steuert welches IP Pakete geNATet werden zum Provider und welche nicht.
Sofern du also KEINE Accesslisten erstmal konfiguriert hast kommen damit die VLANs 10 und 20 problemlos ins Internet, da ja der ganze IP Bereich 192.168.5.1 bis .31.255 erlaubt ist.
Soweit erstmal ganz einfach und logisch.

Wenn du jetzt ein neues VLAN 40 aufsetzt mit 192.168.40.x ist's natürlich aus. Das erkennst du selber, denn da greift dann die ACL und diese IP Pakete werden nicht mehr geNATet, gehen also mit der 192.168er Absender IP zum Provider und triggern die PPPoE Verbindung nicht mehr.
Klar, denn sie werden nicht mehr von der ACL 101 erfasst. De müsstest du dann ändern auf:
access-list 101 permit ip 192.168.5.0 0.0.63.255 any

Das inkludiert dann wieder alle IP Netze bis .63.0.
Du kannst die ACL auch etwas strickter fassen:
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip 192.168.20.0 0.0.0.255 any
access-list 101 permit ip 192.168.40.0 0.0.0.255 any

Damit ist sie dann sicherer, da sie einzig nur die von dir verwendeten VLAN IP Segmente passieren lässt und nicht noch alle IP Netze dazwischen wie es eine 0.0.31.255 Wildcard Maske z.B. machen würde.
Prinzip hast du vermutlich verstanden, oder ?

Jetzt kommt deine inbound Access Liste an VLAN 10 dazu:
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222

Ohne diese kommt VLAN 10 normal ins Internet. Siehe oben....
Mit ihr filtert der Router vorab alle IP Paket raus die als Absender eine 192.168.10.x IP haben und als Empfänger die 192.168.20.222 haben.
Alle anderen IP Pakete werden blockiert.
Allein aus diesem Grund kommt jetzt schon keiner mehr aus VLAN 10 ins Internet sondern nur noch zum Zielhost in VLAN 20. Alles andere blockiert die ACL.
Paket kommt aus vlan 10 auf den einen host vlan20 - Prüft ACL Extendendx -> hostbereich passt -> permit host passt -> alle protokolle = durchlassen bzw. routen
Genau richtig !
Sähe die ACL so aus:
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
!

Kommst du nicht mehr mit allen Protokollen drauf sondern nur noch per Webbrowser (www = TCP 80)
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq ssh
!

Erlaubt nur http und ssh. Oder...
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq 443
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq ssh

Erlaubt nur http, https und ssh usw. usw.
Prinzip ist klar, oder ?
Du hast doch die Kiste, probier doch einfach mal etwas rum damit und spiele mit den ACLs face-smile
Cyberurmel
Cyberurmel 22.02.2017 um 13:16:06 Uhr
Goto Top
Hallo Aqui,

danke. Soweit hatte ich das auch verstanden. Trotzdem bin ich grade bisschen konfus.
Habe mir meine config (aus Vorlage) angeschaut und frage mich gerade wo steht, das er für das Internet Gi0/0 nehmen soll bzw. dieser als standard route genommen wird.
Und zweitens - ist es dann laut deiner Ausführung möglich es so zu gestalten , dass alle IPs aus Vlanx auf host in VLANy zugreifen können UND gleichzeitig nur noch auf das Interface Gi0/0 (also Internet) ?? Weil du ja auch schreibst :
Jetzt kommt deine inbound Access Liste an VLAN 10 dazu:
permit ip 192.168.10.0 0.0.0.255 host 192.168.20.222
Ohne diese kommt VLAN 10 normal ins Internet. Siehe oben....
Mit ihr filtert der Router vorab alle IP Paket raus die als Absender eine 192.168.10.x IP haben und als Empfänger die 192.168.20.222 haben.
Alle anderen IP Pakete werden blockiert.
Allein aus diesem Grund kommt jetzt schon keiner mehr aus VLAN 10 ins Internet sondern nur noch zum Zielhost in VLAN 20. Alles andere blockiert die ACL.

Ja probieren ist schon richtig.. Leider fehlt grade die Zeit und deswegen versuch ich so viel wie möglich so schon zu klären.

Danke vorab
greets
aqui
aqui 22.02.2017 aktualisiert um 16:31:46 Uhr
Goto Top
frage mich gerade wo steht, das er für das Internet Gi0/0 nehmen soll
An Gi 0/0 ist ja dein Modem angeschlossen bzw. das Interface korrespondiert dann direkt auf das Dialer 0 Interface !
Dort in der Dialer 0 Konfig steht: ppp ipcp route default !
Das bedeutet dann das die dort per PPPoE vom Provider propagierte Default Route in deine Routing Tabelle injiziert wird mit der höchsten Prio.
Die mangelt dir dann deine Kabel Route über. Wenn du das nicht willst musst du also zwingend das ppp ipcp route default aus der Dialer Konfig entfernen !
Damit sind dann beide Provider gleichgestellt und der Router entscheidet wohin.
dass alle IPs aus Vlanx auf host in VLANy zugreifen können UND gleichzeitig nur noch auf das Interface Gi0/0 (also Internet) ??
Ja, na klar geht das !
Die inbound ACL must du dann entsprechend anpassen:
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222 eq www
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any
!

Damit erlaubst du dann den Zugriff per Web HTTP auf den Host in VLAN 20 und verbietest den gesamten Rest in VLAN 20 und erlaubst den Internet Zugang von allen VLAN 10 Endgeräten.
Die Route Map ACL klassifiziert dann allen Traffic der von 192.168.10.0 0.0.0.255 ins Internet geht und weist dem dann als Next Hop das Dialer 0 Interface zu. Folglich geht dann der Internet Traffic der VLAN 10 Endgeräte immer fest über Dialer 0 / Gig 0/0
Wenn du ihm als 2ten next Hop den Kabel TV Link einträgst geht er im Backup darüber wenn der Dialer 0 Link mal tot ist.
Eigentlich doch ganz einfach und logisch face-wink
Cyberurmel
Cyberurmel 22.02.2017 um 16:45:41 Uhr
Goto Top
Hi Aqui...

ja wenn man mal verstanden hat ist es auch logisch . Aber dank dir versteh ich immer mehr face-smile

ok. ich denke wenn ich alles richtig verstanden habe sollte meine ACL für das Vlan10 (annahme) so ausshene:
!
ip access-list extended VLAN10
permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.222    -  (alle protokolle) 
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
deny ip 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255
deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255
deny ip 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255  (alle 10 er dürfen nicht in die expliziten anderen VLans)
permit ip 192.168.10.0 0.0.0.255 any  - Freigabe quasi damit die ACL 101 greift
! 
bie den anderen ähnlich . Ich lasse dann nur nirgends mein admin vlan denyen dann routet er ja durch .
bzw. permit es ggfs für gewisse IP Bereich.

Ok.. Hoffe ich komme bald zum testen.Wichtiger fast noch das alles klappt mit entertain.. dann fällt es keinem auf wenn ich daran herum bastel face-smile

greets

Cyb
aqui
aqui 22.02.2017 aktualisiert um 17:02:59 Uhr
Goto Top
Perfekt ! ACL ist genau richtig ! face-big-smile
Wenn du es Sicherheits technsich vertrten kannst solltest du immer erst alles offen zum Laufen bringen. Erst danach dann die Schotten dichtmachen mit ACLs. Dann weisst du immer das es nur an den ACLs liegen kann face-wink
Cyberurmel
Cyberurmel 24.02.2017 um 13:12:27 Uhr
Goto Top
Hallo Aqui,

nächstes Problem : IPTV Entertain :

Habe mal laut deiner Anleitung , bzw. auf das dort verlinkte pdf probiert, aber da bekomm ich keine IGMP log meldungen( habe dazu die 111er Acces list mit ip deny any any log ) erweitert.
Auch auf dem Interface Gi0/0.8 zieht er sich keine IP
!
interface GigabitEthernet0/0.8
 description VDSL Multicast Entertain
 encapsulation dot1Q 8
 ip dhcp client broadcast-flag clear
 ip address dhcp
 ip pim sparse-mode
 no ip route-cache
 ip igmp version 3
 ip igmp query-interval 15
 ip igmp proxy-service
end

Das ip multicast routing geht nicht bei mir .

Vielleicht auch mal zum Verständnis -
Die Multicast Anfrage müsste in jedem Fall am Dialer0 ankommen seitens Telekom? Heißt das muss erstmal klappen bevor der Receiver dran ist? Oder muss der erstmal anfragen stellen? Heißt dann auch port wo er dran ist muss auf vlan 8 stehen und der switch muss getrunkt mit vlan8 auf den Router sein?
Imo ist er noch an der FB ,welche aus ist während ich hier am testen bin.

Danke für Hilfe
Greets
Cyb
Im Modem habe ich ja nur Tag7 gesetzt. Da gibt es auch nirgends was mit Tag8 face-sad
aqui
aqui 24.02.2017 aktualisiert um 13:32:52 Uhr
Goto Top
Auch auf dem Interface Gi0/0.8 zieht er sich keine IP
Jemand hat hier neulich gepostet das die T-Com IPTV jetzt auch auf dem VLAN 7 propagiert.
Dann müsstest du natürlich das ganze Multicasting auch auf das VLAN 7 ziehen sollte das stimmen.
http://www.cisco-forum.net/topic_4350.0.html
Die Multicast Anfrage müsste in jedem Fall am Dialer0 ankommen seitens Telekom?
Jein !
Die kommt auf dem VLAN 7 Subinterface (oder 8) an wenn du VDSL hast ! Alle empfangenen Pakete die ein VLAN 7 Tagging haben werden dann diesem Interface zugeordnet !
Da aber dein Modem ja schon das VLAN 7 Tagging übernimmt "sieht" der Cisco logischerweise kein .1q Tagging mehr, denn das Modem strippt den Tag ja ab am LAN Port.
Dadurch hast du dann recht das dein zentrales Interface dann das Dialer Interface ist auf dem alles auflaufen muss.

Sollte es wirklich auf VLAN 7 und 8 gesplittet sein ist das tagging des Modems dann kontraproduktiv. Klar denn der Router kann den Traffic dann nicht mehr den entsprechenden Interfaces zuordnen und entsprechend behandeln.
Dann musst du das Modem in den Transparent Mode schalten das es die Tags durchreicht an den Router und der dann wieder das Zuordnen übernimmt.
Was dann natürlich VLAN Subinterfaces dann bedingt !!
Cyberurmel
Cyberurmel 24.02.2017 um 18:14:47 Uhr
Goto Top
Hi Aqui,

thx erstmal. So .. hab auch bischen recherchiert..
Also es gibt 2 Varianten. BNG Netz der Telekom TELEKOM hat nur noch ein VLAN 7.
Aber ich habe noch das Startnetz. Broadband Popup kein J an 4. Stelle des Namens und verifiziert mit Telekom Hotline.

So heißt ja Vlan 7 wird vom Modem gestrippt und vlan 8 sollte dann doch wie beschrieben "durch" kommen an meinem Gi0/0.8 Subif oder??
Aber ich bekomme dort weder dhcp IP noch wie gesagt über die Änderung der ACL 111 mit "log" irgendetwas von Multicast angezeigt ...

Ok.. Das heißt ..ich muss das Modem auf Transparent schalten und noch ein SubIf Gi0/0.7 anlegen?
Welche Konfig muss dann da drauf? Dasselbe das vorher auf int Gi0/0 war ?
interface GigabitEthernet0/0
 description VDSL Internet Connection
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
end

Thx & greets
Cyb
aqui
aqui 24.02.2017 um 18:25:26 Uhr
Goto Top
und vlan 8 sollte dann doch wie beschrieben "durch" kommen
Sollte....?!
Das ist die große Frage. Normal geht eigentlich immer nur entweder oder.
Damit du dir keinen Wolf suchst solltest du das besser mal mit dem Kabelhai checken vorher. Ggf. strippt dann das Modem in dem Modus alles an .1q Tags ab dann siehst du in die Röhre und konfigurierst dir einen Wolf am Cisco.
Aber ich bekomme dort weder dhcp IP noch wie gesagt über die Änderung der ACL 111 mit "log" irgendetwas von Multicast angezeigt ...
Spricht dann eher dafür das das Modem alles abstrippt was an .1q da ist face-sad
Kabelhai ist hier dein Freund... Oder noch einfacher der Cisco Debugger...
Ok.. Das heißt ..ich muss das Modem auf Transparent schalten und noch ein SubIf Gi0/0.7 anlegen?
Jepp...das sieht danach aus !
Dasselbe das vorher auf int Gi0/0 war
Ja, genau Gig 0/0 bleibt dann leer und was darauf war dann auf Gig 0/0.7
Cyberurmel
Cyberurmel 26.02.2017 um 13:06:04 Uhr
Goto Top
Hi aqui,


so bin schon Schritt weiter .. -Modem Transparent und bekomme auf Gi0/0.7 Internet sowie die IP per DHCP auf Gi0/0.8
aber TV läuft nicht. Glaub bring da was durcheinander.. im Tut wird immer von VLAN1 gesprochen.
Imo Habe ich noch kein dediziertes VLAN für den Receiver.. bekommt die IP per DHCP aus meinem Homenet.

Habe jetz die Einträge für VLAN1 auf meinem Gi0/1 iF gemacht. Denke aber das ist falsch oder?
sh ip pim Interface gibt bei mir aus :
10.246.43.173    GigabitEthernet0/0.8     v2/S   0      30     1      10.246.43.173
80.140.100.225   Dialer0                  v2/S   0      30     1      0.0.0.0
0.0.0.0          Virtual-Access2          v2/S   0      30     1      0.0.0.0
192.168.5.2      GigabitEthernet0/1       v2/S   0      30     1      192.168.5.2
Die Einträge in der Access list habe ich angepasst und sehe zumindest im log keine eindeutigen Fehler.
Sh ip multicast interface zeigt auch keinen Traffic :
GigabitEthernet0/0.8 is up, line protocol is up
  Internet address is 10.246.43.173/18
  Multicast routing: enabled
  Multicast switching: process
  Multicast packets in/out: 0/0
  Multicast TTL threshold: 0
  Multicast Tagswitching: disabled
Dialer0 is up, line protocol is up
  Internet address is 80.140.100.125/32
  Multicast routing: enabled
  Multicast switching: fast
  Multicast packets in/out: 0/0
  Multicast TTL threshold: 0
  Multicast Tagswitching: disabled
Virtual-Access2 is up, line protocol is up
  Internet protocol processing: disabled
GigabitEthernet0/1 is up, line protocol is up
  Internet address is 192.168.5.2/24
  Multicast routing: enabled
  Multicast switching: fast
  Multicast packets in/out: 155/0
  Multicast TTL threshold: 0
  Multicast Tagswitching: disabled

Einzig was mir noch aufgefallen ist - in dem Tut ist in VLan1 von ip virtual-reassembly die rede und ich habe bei meinem Gi0/1 ip virtual-reassembly in

Ach und im log sehe ich ab und an :
 access-list logging rate-limited or missed 5 packets

Receiver bekommt IP per dhcp homenet und Uhrzeit stimmt auch. Aber Standbild ohne Fehlermeldung.
Bin schon nah dran .. face-smile
Thx for help
greets
Cyb
aqui
Lösung aqui 27.02.2017, aktualisiert am 04.12.2023 um 16:06:26 Uhr
Goto Top
und bekomme auf Gi0/0.7 Internet sowie die IP per DHCP auf Gi0/0.8
Sind das 2 unterschiedliche IP Adressen ?
im Tut wird immer von VLAN1 gesprochen.
Das ist das lokale LAN !
Das entspricht bei dir dem interface GigabitEthernet0/1 mit der .5.2er IP.
Im Beispiel ist ein Router mit embedded Switch aktiv und da werden die lokalen LAN Ports auf vlan Interfaces gemappt.
Das ist bei dir dann das GigEth 0/1.
Denke aber das ist falsch oder?
Nope...das ist genau richtig !
sh ip pim Interface gibt bei mir aus :
Das sieht sehr gut aus ! IP Adressen stimmen, alles richtig soweit.
Da stimmt was mit dem Multicasting nicht. Entweder fehlt der Rendezvous Point mit dem globalen Kommando "ip pim rp-address 10.41.127.254 " oder du hast den Helper "ip igmp helper-address 10.41.127.254" vergessen auf dem Gig 0/1 Interface ?! Oder irgendwas hast du da noch vergessen ! Die richtige IP im Multicast Segment hat er aber ! Das ist nur noch ne Kleinigkeit.

Auf dem Gig 0/0.8 sollte sowas stehen:
!
ip pim sparse-mode
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service


Auf dem GiG 0/1
!
ip pim sparse-mode
ip igmp helper-address 10.41.127.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!


Dann global der IGMP Rendezvous Point:
ip pim rp-address 10.41.127.254

Sehr wahrscheinlich sind das bei dir aber andere Multicast IP Adressen für Rendezvous und Helper, denn du bist in einem anderen IP Segment: 10.246.43.173

Du musst also erstmal den Rendezvous Point ermitteln. Das geht ganz einfach mit einer ACL auf dem Gig0/0.8 Interface:
access-list 105 deny ip any any log
Das blockt dann testweise alles auf diesem Interface und mit sh logg kannst dann sehen was.
Du kannst auch den Debugger auf die ACL loslassen und die ACL 105 debuggen. Auch das zeigt dir deinen RP dann an.
Dann helper und RP Adresse anpassen und die ACL 105 natürlich wieder entfernen !!
Dann sollte es klappen.
Cyberurmel
Cyberurmel 28.02.2017, aktualisiert am 01.03.2017 um 11:05:33 Uhr
Goto Top
Chapeau patron aqui

Es geht face-smileVielen Dank. Ich habe zwar noch nicht alles verstanden mit den Befehlen aber kommt hoffentlich noch face-smile


Hatte zwar etwas Probleme wieder ne 10er IP auf dem subIF zu bekommen. Aber danach den richtigen Server rein und es geht. Dadää

So FB auf Client gestellt ..Telefon und WLAN (eingeschränkt) geht auch. Sehr gut.

So nächstes kleine Problem bevor es an den Mikrotik für WLAN geht.. :
Die VLANs alle zum laufen bringen.

Test : Ps3 vlan 30
Range 192.168.30.0/24 IP SubiF 192.168.30.1 /24 und die PS3 192.168.30.2 /24
Ping von Router zur Ps3 geht. Ping router 8.8.8.8 source IF vlan30 geht. (Auch mit ping heise.de)
Verbindung nochmal gecheckt - Trunk von Router zu SG300 Port18 und SG300 Port 17 Trunk zum CG2960 VLAN ID ist drin .

Problem - In Ps3 gebe ich IP ,Subnet ein und als Router das SubIF 192.168.30.1 . DNS habe ich primär getestet mit dem SubIF und der Router IP 192.168.5.2 ..Aber bekomme ein DNS error in der PS3.

Ach ja ACL sind noch keine gesetzt ausser die 101er damit die Range 192.168.30.0/24 raus kann. Wasw ja geht.
Kapier ich grad nicht face-sad
Wo suche ich da am besten?

Nachtrag : Glaub könnte den Fehler haben :

Mein SG 300 ist ja mit dem 2821 per Gi0/1 verbunden. Auf der SG Seite habe ich dem port die ganzen vlans getagged reingemacht.
Beim Router geht es physikalisch ha auf Gi0/1 (nix mit dot1.q) weil hat ja die ganzen subinterfaces mit dem jeweiligen dot1.q /vlan. Geht das denn so ?

Greets
Cyb
aqui
aqui 01.03.2017, aktualisiert am 04.12.2023 um 16:07:07 Uhr
Goto Top
Hi Urmel !
Bingo ! Hört sich gut an ! Glückwunsch dem IP-TV Multicast Helden ! 😉 👍

Interessant wäre:
  • Genaue Vorgehensweise die Rendezvous Adressen rauszubekommen. Outputs der Logs im Router wäre sehr gut wenn du sowas noch hast. Kannst anonymisieren von den IPs
  • Die aktuell laufende Entertain Konfig. Oder gesamte laufende Konfig per PM, ich such mir dann das relevante raus.
Letzteres würde ich gerne ins Cisco Tutorial hier übernehmen wenn du nichts dagegen hast. Natürlich anonymisiert.
Die VLANs alle zum laufen bringen.
Das ist das Geringste aller Probleme face-wink
Ping router 8.8.8.8 source IF vlan30 geht. (Auch mit ping heise.de)
Perfekt ! Damit ist das VLAN 30 einsatzklar.
Trunk von Router zu SG300 Port18 und SG300 Port 17 Trunk zum CG2960 VLAN ID ist drin .
Mmmmhhh...nur nochmal doof nachgefragt:
Mit "Trunk" meinst du das was Cisco als Etherchannel bezeichent, also ein Link Aggregation mit 802.3ad und LACP ??
Oder ist "Trunk" für dich jetzt nur ein tagged Uplink vom Router auf den Switch ?
Wenn du ein SG-300 hast müsstest du ja eh nicht die VLANs auf dem Router terminieren sondern idealerweise auf dem Switch selber, denn das ist ja ein L3 Switch !!
Oder hat das einen Grund das du das (oder die) VLAN(s) an den Router ranführen willst ?
In Ps3 gebe ich IP ,Subnet ein und als Router das SubIF 192.168.30.1
"PS3" ist eine PlayStation 3, ist das richtig ??
Die hat gar nicht sowas wie ein "Subinterface" ! Das kennen einfache IP Endgeräte gar nicht. Für die ist das ihre LAN IP Adresse, Maske und Gateway...fertig.
Da müsste dann rein IP: 192.168.30.xyz, Maske: 255.255.255.0, Gateway: 192.168.30.1 (Router)
DNS habe ich primär getestet mit dem SubIF und der Router IP 192.168.5.2
Müsste beides gehen !
Was sagt ein show hosts auf dem Router ??
Kannst du dort die gecachten DNS Namen sehen ? Ein Check um zu sehen das der DNS Proxy auf dem Router rennt.
Auf der SG Seite habe ich dem port die ganzen vlans getagged reingemacht.
"Reinmachen" tut man eigentlich woanders...aber Spaß beiseite...
Das ist auch so genau richtig wenn du die VLANs auf dem Router selber terminieren willst statt auf dem Switch.
Das warum wäre hier nochmal interessant zu erfahren ?!
Beim Router geht es physikalisch ha auf Gi0/1 (nix mit dot1.q)
Ääähhhh, das kann natürlich logischerweise nicht klappen... Nachdenken bitte !!! Kein Tagging dort = keine VLANs = keine Funktion = Logisch ...Denkfehler !!!
So sollte es dann auf dem Gig 0/1 aussehen dazu damit die VLANs 10, 20 und 30 tagged rüberkommen auf den Switch:
!
interface GigabitEthernet0/1
description Lokales LAN (Def. VLAN 1)
ip address 192.168.5.2 255.255.255.0
!
interface GigabitEthernet0/1.10
description Lokales LAN, VLAN 10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.20
description Lokales LAN, VLAN 20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet0/1.30
description Lokales LAN, VLAN 30
encapsulation dot1q 30
ip address 192.168.30.1 255.255.255.0
!

ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.5.0 0.0.31.255 any
(---> NATet VLAN Netze .0.0 bis .31.0 ins Internet !)
dialer-list 1 protocol ip list 101


Das war doch oben alles schon längst ausdiskutiert und geklärt face-wink
War wohl doch gestern abend etwas zu spät, oder ???
Wie bereits gefragt: Warum auf dem Router terminieren und nicht auf dem Switch routen ?
Cyberurmel
Cyberurmel 01.03.2017, aktualisiert am 02.03.2017 um 12:46:03 Uhr
Goto Top
Hi Aqui ,

die config hänge ich an . Kein Problem. Daten soweit ich nix übersehen habe anoym .
Klar kannst du alles nutzen . Schliesslich hast du ja auch "erstellt" face-smile
Die Rendezvous Adresse habe ich so wie schon bereits im Tutorial als geändert drin ist bekommen. Er hat automatisch ne 10er Ip auf dem SubIF bekommen und mit dem Befehl
show dhcp lease


Was mir aufgefallen ist bisher. Ab und an stockt das TV Bild. Es ist kein anhalten möglich. Und das umschalten ist etwas langsamer als zuvor.Das können noch Feinabstimmungen nötig sein.. bzw ggfs mein Netz ist dazu noch nicht optimal zugeschnitten.


. Ich glaub ich kann mich nicht richtig ausdrücken face-smile .. Das meiste habe ich ja wie du geschrieben hast. Der SG300,20 läuft im L2 Mode zur Zeit. Warum ich den nicht auf L3 habe und die VLans switchen lasse? .. Weil ich ja eigentlich mit cisco ios ein bischen üben will /wollte .
Der SG war halt vorher schon für kleines Geld da gewesen. Dort ist aber leider nicht das ios drauf wie üblich und auch räumlich ist er woanders als der Router. Wüsste jetzt auch nicht wie ich da anders machen sollt. face-sad Plus ..durch den Einsatz noch des Mikrotik fürs WLAN hätte ich dann 3 Router im Einsatz.
Ja Trunk ist bei mir cisco Trunk . kein Etherchannel oder LAG.
.
Hab mal noch auf anderem VLAN gestestet. Da kommt weder der ping auf die 192.168.80.2 (jeweils End device) vom Router an noch komm ich raus.
Beim 30er wie oben bereits .. Irgendwie wohl die config vom SG da reinhaut?

Beim 2960 sind die jeweils access ports und per Trunk zum SG300 drin.

per PN geschickt


P.s. Ich glaube mit den VLANs geht nicht wegen Routing. Wenn ich auf dem Router sh ip route 8.8.8.8 mache kommt "network not in table" ..da stimmt doch was nicht oder?
Weil ich kann mittlerweile alle Devices vom router aus pingen (vlans) aber die kommen nicht ins Internet. Die ACL 101 zählt aber hoch?
aqui
aqui 03.03.2017 um 14:50:32 Uhr
Goto Top
Ab und an stockt das TV Bild. Es ist kein anhalten möglich. Und das umschalten ist etwas langsamer als zuvor.
Da muss man die Multicast Timer etwas tunen, dann verschwindet das. Ich hatte das in einem der Foren gelesen kann mich aber nicht mehr erinnern wo... face-sad
Cyberurmel
Cyberurmel 03.03.2017 um 17:37:30 Uhr
Goto Top
Hi.

da kann ich ja jetzt danach suchen face-smile Super danke
Thumbs up