brooks
Goto Top

Cisco 1921 Probleme bei der Interneteinwahl

Hallo,

nachdem Routerzwang Geschichte ist, will ich meine Fritzbox durch einen Cisco Router 1921 ersetzen.Also einen neuen Internetrouter komplett ohne Fritzbox......(Dies liegt daran, dass meine Zwangsfritzboxen vom ISP nicht gerade sehr lange halten....dafür kann ich wirklich nichts....)

Der Cisco hat sowohl eine EHWIC-VA-DSL B, als auch eine EHWIC-4ESG Karte drin. Zusätzlich eine Sec Lizenz. Ebenso 10 SSL VPN Lizenzen. Smartnet für künftige Updates ist in Arbeit.

Sicher eine Nummer kleiner hätte es auch getan, aber ich will mich endlich mal in Cisco einarbeiten. Es ist mir Klar, dass es hier nix mit Klick Klick Klack wird....

Mein Provider MNET hat mir folgende Daten bekannt gegeben

VPI:1
VCI:32
VLAN: 40
IP Protokoll IPv6 Dual Stack Zugang
AFTR Adresse:Aftr.prod.m-online.net
PCP Wert für Daten (p-Bit):0
PCP Wert für VOIP (p-Bit) : 5
Username :irgendwas @mdsl.mnet-online.de
Password: Password ätsch :D
Momentaner ausgehandelter Modus ist ADSL2+(Aus aktueller Fritzbox bekannt)

Ich möchte über die EWHIC VA DSL B Karte ins WAN und über den GigabitEthernet0/1 das interne Netzwerk bilden und ins Internet kommen.
Das interne Netzwerk ist ein 192.168.50.X / 255.255.255.0 Netz.

So hier ist meine aktuelle Routerkonfig aus dem 1921:

Cisco1921#show running-config
Building configuration...

Current configuration : 4445 bytes
!
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 83jnp3n893n8ß3n8ß3o
!
no aaa new-model
!
ip cef
!
!
!
!
ip dhcp pool LAN
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.1 
 dns-server 192.168.50.1 
 domain-name rz.domain.de
 lease 0 2
!
!
!
ip domain name rz.domain.de
ipv6 multicast rpf use-bgp
no ipv6 cef
!
multilink bundle-name authenticated
!
!
crypto pki trustpoint TP-self-signed-3541750139
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3541750139
 revocation-check none
 rsakeypair TP-self-signed-3541750139
!
!
crypto pki certificate chain TP-self-signed-3541750139
 certificate self-signed 01
 //gekürzt:hier steht nur ein paar codeblocks drin
  	quit
license udi pid CISCO1921/K9 sn FC83333333
!
!
username user4754 privilege 15 secret 4 93830fm8ß3nßnf
!
redundancy
!
!
!
!
!         
controller VDSL 0/1/0
!         
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
 no routing dynamic
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
 pvc 1/32 
  dialer pool-member 1
  protocol ppp dialer
 !        
!         
interface Ethernet0/1/0
 no ip address
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer1
 mtu 1492 
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp authentication chap optional
 ppp chap hostname 12345@mdsl.mnet-online.de
 ppp chap password 7 password
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!         
!         
!         
access-list 1 permit any
access-list 1 permit 192.168.50.0 0.0.0.255
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 exec-timeout 5 0
 password 7 password
 login local
 transport input ssh
line vty 5 15
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server ptbtime2.ptb.de
!         
end       
   


Hier noch eine Ausgabe:

Cisco1921#sh controllers vdsl 0/1/0
Controller VDSL 0/1/0 is UP

Daemon Status:       Up 

         XTU-R (DS)      XTU-C (US)
Chip Vendor ID:      'BDCM'          'BDCM'  
Chip Vendor Specific:   0x0000          0x939E
Chip Vendor Country:    0xB500          0xB500
Modem Vendor ID:   'CSCO'          '    '  
Modem Vendor Specific:  0x4602          0x0000
Modem Vendor Country:   0xB500          0x0000
Serial Number Near:    XXXXXXXXX 1921/K9 15.3(1)    
Serial Number Far:     
Modem Version Near:    15.3(1)
Modem Version Far:     0x939e

Modem Status:       TC Sync (Showtime!) 
DSL Config Mode:    AUTO 
Trained Mode:       G.992.5 (ADSL2+) Annex B 
TC Mode:       ATM 
Selftest Result:    0x00 
DELT configuration:    disabled 
DELT state:       not running 
Trellis:            ON           ON
SRA:                disabled          disabled
 SRA count:        0          0
Bit swap:        enabled          enabled
 Bit swap count:    574          48
Line Attenuation:    37.0 dB       20.0 dB
Signal Attenuation:    42.2 dB       19.8 dB
Noise Margin:        3.1 dB        3.0 dB
Attainable Rate:   14984 kbits/s       1063 kbits/s
Actual Power:       19.4 dBm       12.7 dBm
Total FECC:      12761          21
Total ES:          20          0
Total SES:      0          0
Total LOSS:      0          0
Total UAS:      1747          1747
Total LPRS:      0          0
Total LOFS:      0          0
Total LOLS:      0          0
          
Full inits:      1
Failed full inits:   1
Short inits:      1
Failed short inits:   0
          
Firmware        Source      File Name (version)
--------        ------      -------------------
VDSL            embedded      VDSL_LINUX_DEV_01212008 (1)
          
Modem FW  Version:   120306_1254-4.02L.03.B2pvC035j.d23j
Modem PHY Version:   B2pvC035j.d23j
Vendor Version:      Bpv35j.23j 68
          
          
                            DS Channel1     DS Channel0   US Channel1     US Channel0
Speed (kbps):             0               12832               0                     1055
SRA Previous Speed:    0                  0             0              0
Previous Speed:             0                  0            0              0
Total Cells:             0               79756215            0        6552646
User Cells:                     0               1459            0           2484
Reed-Solomon EC:          0          12761            0             21
CRC Errors:             0             28            0              0
Header Errors:             0            471            0              0
Interleave (ms):       0.00           8.00         0.00           7.63
Actual INP:          0.00           1.04         0.00           1.11
          
Training Log :   Stopped
Training Log Filename :   flash:vdsllog.bin

Bei aktivieren von Befehl:
debug ppp negotiation

bekomme ich in der Konsole folgenden Fehler:

Vi2 PPP DISC: LCP failed to negotiate

Ich komme mit keinem Client in das Internet , wieso? VDSL Controller sagt doch, dass er UP ist.....Was habe ich nur falsch gemacht? Ich habe bestimmt ein paar Anfängerfehler drin....oder ist etwa die komplette Config murks?

Ich möchte den Cisco Router möglichst ohne Configuration Professional Tool parametrieren....Es handelt sich hier um meinen ersten Cisco.....also seid bitte gnädig :D

vielen Dank

LG Brooks

Content-ID: 311537

Url: https://administrator.de/forum/cisco-1921-probleme-bei-der-interneteinwahl-311537.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Kuemmel
Kuemmel 03.08.2016 um 13:22:11 Uhr
Goto Top
brooks
brooks 03.08.2016 um 13:54:53 Uhr
Goto Top
Leider hat mir das nichts gebracht:

interface Ethernet0/1/0.40
Ich habe jetzt in Zeile 114/115 noch eingefügt"ip address dhcp"

desweiteren habe ich jetzt noch in

interface Dialer1
die bestehende Zeile "ppp authentication ....chap optional" ausgetauscht durch die Zeile "ppp authentication pap chap callin"

Bis hier leider keine Besserung......

Ich habe jetzt mal versucht ein paar Konsolenlogs herauszuholen

iled to get PPPoE micro block on pvc
*Aug  3 11:52:44.223: PPPoE: Failed to get PPPoE micro block on pvc
*Aug  3 11:52:44.223: PPPoE: Failed to get PPPoE micro block on pvc
*Aug  3 11:52:44.223: PPPoE: Failed to get PPPoE micro block on pvc
*Aug  3 11:52:45.155: %DIALER-6-BIND: Interface Vi3 bound to profile Di1
*Aug  3 11:52:45.159: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
*Aug  3 11:52:45.159: Vi3 PPP: Sending cstate

 11:52:57.255: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:52:57.255: Vi3 LCP:    MagicNumber 0x9F127D2A (0x05069F127D2A)
*Aug  3 11:52:57.255: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:52:59.271: Vi3 LCP: O CONFREQ [REQsent] id 8 len 14
*Aug  3 11:52:59.271: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:52:59.271: Vi3 LCP:    MagicNumber 0x9F127D2A (0x05069F127D2A)
*Aug  3 11:52:59.271: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:01.287: Vi3 LCP: O CONFREQ [REQsent] id 9 len 14
*Aug  3 11:53:01.287: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:01.287: Vi3 LCP:    MagicNumber 0x9F127D2A (0x05069F127D2A)
*Aug  3 11:53:01.287: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:03.303: Vi3 LCP: O CONFREQ [REQsent] id 10 len 14
*Aug  3 11:53:03.303: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:03.303: Vi3 LCP:    MagicNumber 0x9F127D2A (0x05069F127D2A)
*Aug  3 11:53:03.303: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:03.339:  padi timer expired
*Aug  3 11:53:03.339:  Sending PADI: Interface = Ethernet0/1/0.40
*Aug  3 11:53:05.319: Vi3 PPP DISC: LCP failed to negotiate
*Aug  3 11:53:05.319: PPP: NET STOP send to AAA.
*Aug  3 11:53:05.319: Vi3 PPP: No remote authentication for call-out
*Aug  3 11:53:05.319: Vi3 LCP: Event[Timeout-] State[REQsent to Stopped]
*Aug  3 11:53:05.319: Vi3 LCP: Event[DOWN] State[Stopped to Starting]
*Aug  3 11:53:05.319: Vi3 PPP: Phase is DOWN
*Aug  3 11:53:06.319: PPP: Alloc Context [3102CE08]
*Aug  3 11:53:06.319: ppp2 PPP: Phase is ESTABLISHING
*Aug  3 11:53:06.319: Vi3 PPP: Using dialer call direction
*Aug  3 11:53:06.319: Vi3 PPP: Treating connection as a callout
*Aug  3 11:53:06.319: Vi3 PPP: Session handle[27000002] Session id[2]
*Aug  3 11:53:06.319: Vi3 LCP: Event[OPEN] State[Initial to Sta


user4754s-iMac:~ user4754$ screen /dev/cu.usbserial 9600

*Aug  3 11:53:16.391: Vi3 LCP:    MagicNumber 0x9F12CFDA (0x05069F12CFDA)
*Aug  3 11:53:16.391: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:18.407: Vi3 LCP: O CONFREQ [REQsent] id 7 len 14
*Aug  3 11:53:18.407: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:18.407: Vi3 LCP:    MagicNumber 0x9F12CFDA (0x05069F12CFDA)
*Aug  3 11:53:18.407: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:20.423: Vi3 LCP: O CONFREQ [REQsent] id 8 len 14
*Aug  3 11:53:20.423: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:20.423: Vi3 LCP:    MagicNumber 0x9F12CFDA (0x05069F12CFDA)
*Aug  3 11:53:20.423: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:22.439: Vi3 LCP: O CONFREQ [REQsent] id 9 len 14
*Aug  3 11:53:22.439: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:22.439: Vi3 LCP:    MagicNumber 0x9F12CFDA (0x05069F12CFDA)
*Aug  3 11:53:22.439: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:24.455: Vi3 LCP: O CONFREQ [REQsent] id 10 len 14
*Aug  3 11:53:24.455: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:24.455: Vi3 LCP:    MagicNumber 0x9F12CFDA (0x05069F12CFDA)
*Aug  3 11:53:24.455: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:26.471: **Vi3 PPP DISC: LCP failed to negotiate**@@+++@@
*Aug  3 11:53:26.471: PPP: NET STOP send to AAA.
*Aug  3 11:53:26.471:** Vi3 PPP: No remote authentication for call-out**
*Aug  3 11:53:26.471: Vi3 LCP: Event[Timeout-] State[REQsent to Stopped]
*Aug  3 11:53:26.471: Vi3 LCP: Event[DOWN] State[Stopped to Starting]
*Aug  3 11:53:26.471: Vi3 PPP: Phase is DOWN
*Aug  3 11:53:27.471: PPP: Alloc Context [3102CE08]
*Aug  3 11:53:27.471: ppp3 PPP: Phase is ESTABLISHING
*Aug  3 11:53:27.471: Vi3 PPP: Using dialer call direction
*Aug  3 11:53:27.471: Vi3 PPP: Treating connection as a callout
*Aug  3 11:53:27.471: Vi3 PPP: Session handle[EF000003] Session id[3]
*Aug  3 11:53:27.471: Vi3 LCP: Event[OPEN] State[Initial to Starting]
*Aug  3 11:53:27.471: Vi3 PPP: No remote authentication for call-out
*Aug  3 11:53:27.471: Vi3 LCP: O CONFREQ [Starting] id 1 len 14
*Aug  3 11:53:27.471: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:27.471: Vi3 LCP:    MagicNumber 0x9F132288 (0x05069F132288)
*Aug  3 11:53:27.471: Vi3 LCP: Event[UP] State[Starting to REQsent]
*Aug  3 11:53:29.479: Vi3 LCP: O CONFREQ [REQsent] id 2 len 14
*Aug  3 11:53:29.479: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:29.479: Vi3 LCP:    MagicNumber 0x9F132288 (0x05069F132288)
*Aug  3 11:53:29.479: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:31.495: Vi3 LCP: O CONFREQ [REQsent] id 3 len 14
*Aug  3 11:53:31.495: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:31.495: Vi3 LCP:    MagicNumber 0x9F132288 (0x05069F132288)
*Aug  3 11:53:31.495: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
*Aug  3 11:53:33.511: Vi3 LCP: O CONFREQ [REQsent] id 4 len 14
*Aug  3 11:53:33.511: Vi3 LCP:    MRU 1492 (0x010405D4)
*Aug  3 11:53:33.511: Vi3 LCP:    MagicNumber 0x9F132288 (0x05069F132288)
*Aug  3 11:53:33.511: Vi3 LCP: Event[Timeout+] State[REQsent to REQsent]
aqui
aqui 03.08.2016 aktualisiert um 14:40:09 Uhr
Goto Top
Hier findest du alles zu dem Thema:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Lesenswert auch:
Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)
Da du eine alte, fehlerhafte embedded Modem Firmware verwendest. Mnet verwendet VDSL2, Profil 30a. VPI=1 und VCI=32 mit VLAN Tag 40 (200 f. VoIP)
Grund ist das dein xDSL PADI Timer austimed. (PPPoE Active Discovery Initiation) Das Modem bzw. der Router sieht im xDSL sein gegenüber nicht mehr und bricht die PPPoE Initialisierung ab.
Das kann ein Modem Firmware Problem sein. Du solltest in jedem Falle die im o.a. Thread besprochene Firmware Version flashen.
Ein entsprechender 886vaw rennt fehlerlos am MNET Netz.
Gut ist schonmal das die Modem Negotiation durchläuft bis zur PPP Authentisierung.
Außerdem hat deinen Konfig gravierende Fehler die aber erstmal mit dem eigentlichen Problem nichts zu tun haben:
  • NAT ACL 1 ist sinnfreier Unsinn und solltest du neu setzen
  • Die Default Route auf den Dialer 1 ist ebenso Unsinn wenn man ppp ipcp route default konfiguriert hat und die so automatisch vom PPP injiziert bekommt. Eins zur Zeit geht nur ! Besser ist immer ppp ipcp route default, deshalb die statische Route löschen !
Den Rest kannst du dem o.a. Tutorial zum 880er entnehmen.
VPN Tips findest du zusätzlich noch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Besser aber erstmal mit einer einfachen Standard Konfig starten um erstmal das Provider Dialin hinzubekommen und keinen überflüssigen Overhead.
brooks
brooks 03.08.2016 um 15:37:50 Uhr
Goto Top
Hallo,

Ich habe einiges von der Konfig eben aus dem o.g. Threads schon geholt....Leider gibt es in vielen anderen Ecken des Internets auch etwas.....Ich bin ja schon froh, dass der VDSL Controller überhaupt mal UP ist.....

ok, das Bedeutet ich benötige ganz dringend einen Smart Net Vertrag....Leider lässt mich Cisco momentan damit warten, bis mich da jemand zurückruft. GIbt es eine alternative wo ich mir Privat einen Smart Net Zugang für CIsco erwerben kann? Oder kann mir jemand helfen?

EIn paar zus. Fragen
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?

Aktualisieren muss ich also mein IOS von 15.1 auf 15.6.3

Muss ich ebenso die Rommon Software aktualisieren?

Im Punkt Konfiguration hat gravierende Mängel:
Kannst du mir bitte sagen, welche Zeilen ich löschen bzw umändern soll?

Das ist auch mein Punkt...ich möchte erst einmal dass er sich ins INternet einwählt, wenn das funktioniert, kommt die Telefongeschichte dran (weiterleitung auf die TK Anlage) , wenn das funktioniert -> VPN.....dann bin ich fertig.

Ich hab nur langsam rießig Respekt vor Cisco und finde die Konsole ganz gut, wenn man weiß welche Befehle man da eintippen muss, ist eine Konfig schnell und sauber geschrieben....> Übersichtlich. Leider brauche ich allerdings noch Hilfe face-sad

Vielen VIELEN DANK!!!
aqui
aqui 03.08.2016 aktualisiert um 19:35:43 Uhr
Goto Top
Bedeutet ich benötige ganz dringend einen Smart Net Vertrag..
Nein, man muss nur wissen wo man suchen muss face-wink Gib den Dateinamen bei Dr. Google ein. Geht beim IOS Namen entsprechend.
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Nein ! Zeigt das du das Tutorial nicht gelesen hast face-sad
Man kopiert die Modem Firmware Datei aufs Flash mit copy tftp flash....
Dann konfiguriert man das Interface so:
!
controller VDSL 0
firmware filename flash:VA_A_39h_B_38h3_24h_j.bin
!

Und rebootet. Beim Booten wird dann die Firmware Datei vom Flash geladen statt die in der Firmware embeddete.
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Ja aber dann hast du wieder die embeddete Firmware die nicht die aktuellste ist.
Geh zum Cisco Download für das xDSL Modul und checke die Versionen dort.
Muss ich ebenso die Rommon Software aktualisieren?
Nein !
Kannst du mir bitte sagen, welche Zeilen ich löschen bzw umändern soll?
Steht doch oben schon !!
ACL 1 = Halte dich da an das 880er Beispiel in der ACL Syntax
Default Route = Solltest du eigentlich wissen wo die ist ?! (ip route 0.0.0.0...)
Das ist auch mein Punkt...
Dann bitte write erase und Reload und fange neu an !
  • Zuerst via seriell den LAN Port IP und DHCP definieren
  • PC anschliessen, sehen ob er eine IP bekommt und dann mit TeraTerm oder Putty den Router telnetten und das WAN Interface Grundkonfig einrichten.
  • Das muss dann sicher laufen bevor man Finetuning macht.
So eine Grund Konfig sähe dann z.B. so aus:
!
service timestamps log datetime localtime
!
hostname MeinRouter
!
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool localLAN
network 192.168.50.0
default-router 192.168.50.254
dns-server 192.168.50.254
domain-name soho.intern
!
interface GigabitEthernet0/1
ip address 192.168.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
controller VDSL 0/1/0
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
(bridge-dot1q encap 40) **
!
interface Ethernet0/1/0
no ip address
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication (chap) pap callin
ppp pap sent-username <kennung>@provider.de password 1234567
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
!

Damit erstmal alles zum Fliegen bringen ! Weiterleitung VoIP und VPN ist dann danach ein Kinderspiel.
Beachte den im Tutorial Thread gegeben Tip bei Annex J ggf. mit bridge-dot1q encap 40 falls das auch Zwang bei deinem Provider ist ! (Tagging Pflicht beim PPP Dialin)
Möglich das auch deshal der PPP Dialer dich runterschmeisst.
Wichtig hier auch ob der Provider PAP oder CHAP Authentisierung macht ! Im Zweifel beides konfigurieren. Der Cisco probiert dann beide Verfahren.
Ggf. auch hier mal den DSL Debugger zusätzlich zum PPPoE Debugger mitlaufen lassen um zu sehen was genau den PADI Timeout bewirkt.
brooks
brooks 03.08.2016 um 21:20:47 Uhr
Goto Top
Hi


kurzer Zwischenstand:

ich habe jetzt die IOS Software auf folgenden Stand gebracht:
c100-universalk9-mz.SPA.154-3.M4.bin

im VDSL Controller wie beschrieben die folgende Firmware eingetippt und auch im Flash die FIrmware abgelegt:
VA_A_39t_B_35j_24m.bin

Beim Reboot fährt der Router hoch allerdings ist es jetzt so, dass die EHWIC VA DSL B Karte nicht mehr syncronisiert ( die CP Leuchte blinkt dauernd)

Jetzt werde ich nachert noch ein write erase tippen und deine komplette Konfig mal eintippen.....
dann sehen wir weiter..

DANKE!!
brooks
brooks 03.08.2016 um 23:47:59 Uhr
Goto Top
Hi,

zur Info:
also der Mnet Router (fritzbox) arbeitet im Annex B Modus

Meine, nunja also (Deine) jetzige Konfiguration sieht nun wie folgt aus


Cisco1921#show running-config
Building configuration...

Current configuration : 2911 bytes
!
! Last configuration change at 23:36:20 CEST Wed Aug 3 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.254 
 dns-server 192.168.50.254 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FCXXXXXX
!
!         
username user4754 password 7 XXXXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!         
interface ATM0/1/0
 no ip address
 shutdown 
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
 shutdown 
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username XXXXXX@mdsl.mnet-online.de password 7 XXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXXXX
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server pnpntpserver.fritz.box
!         
end       
          

Bei Eingabe folgender Kommandos kommen jetzt folgende Fehler:
debug ppp authentication
debug ppp negotiation
debug ppp error
debug pppoe errors
debug pppoe events
debug pppoe packets

Ich habe jetzt mal folgende Konfig am laufen:
*Aug  3 21:41:48.651:  padi timer expired
*Aug  3 21:41:50.699:  padi timer expired
*Aug  3 21:41:52.747:  padi timer expired
*Aug  3 21:41:54.795:  padi timer expired
*Aug  3 21:41:56.843:  padi timer expired
*Aug  3 21:41:58.891:  padi timer expired
*Aug  3 21:42:00.939:  padi timer expired
*Aug  3 21:42:02.987:  padi timer expired
*Aug  3 21:42:05.035:  padi timer expired
*Aug  3 21:42:07.083:  padi timer expired
*Aug  3 21:42:09.131:  padi timer expired
*Aug  3 21:42:11.179:  padi timer expired
*Aug  3 21:42:13.227:  padi timer expired
*Aug  3 21:42:15.275:  padi timer expired
*Aug  3 21:42:17.323:  padi timer expired
*Aug  3 21:42:18.091:  padi timer expired
*Aug  3 21:42:18.091:  Sending PADI: Interface = Ethernet0/1/0.40
*Aug  3 21:42:18.091: pppoe_send_padi: 
contiguous pak, size 64
         FF FF FF FF FF FF 64 9E F3 57 0B 50 81 00 00 28
         88 63 11 09 00 00 00 10 01 01 00 00 01 03 00 08
         BD 00 00 02 00 00 0A 91 00 00 00 00 00 00 00 00
         00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
*Aug  3 21:42:19.371:  padi timer expired
*Aug  3 21:42:21.419:  padi timer expired
*Aug  3 21:42:23.467:  padi timer expired
*Aug  3 21:42:25.515:  padi timer expired
*Aug  3 21:42:27.563:  padi timer expired
*Aug  3 21:42:29.611:  padi timer expired
*Aug  3 21:42:31.659:  padi timer expired
*Aug  3 21:42:33.707:  padi timer expired
*Aug  3 21:42:35.755:  padi timer expired
*Aug  3 21:42:37.803:  padi timer expired
*Aug  3 21:42:39.851:  padi timer expired
*Aug  3 21:42:41.899:  padi timer expired
*Aug  3 21:42:43.947:  padi timer expired
*Aug  3 21:42:46.011:  padi timer expired
*Aug  3 21:42:48.059:  padi timer expired
*Aug  3 21:42:50.107:  padi timer expired
*Aug  3 21:42:50.363:  padi timer expired
*Aug  3 21:42:50.363:  Sending PADI: Interface = Ethernet0/1/0.40

Im Internet bin ich nicht....dafür sind nun die Fehlermeldungen um einigies weniger geworden.....
Soll ich jetzt die Firmwaredatei , wie o.g. noch in den VDSL Controller einbinden?

Ich habe im InterfaceDialer0

ppp authentication chap pap callin
und
ppp authentication pap callin

versucht, beides keine Wirkung.....

Der Auszug vom VDSL Controller:
Cisco1921#show controllers VDSL 0/1/0
Controller VDSL 0/1/0 is UP

Daemon Status:		 Up 

			XTU-R (DS)		XTU-C (US)
Chip Vendor ID:		'BDCM'			 'BDCM'  
Chip Vendor Specific:   0x0000			 0x939E
Chip Vendor Country:    0xB500			 0xB500
Modem Vendor ID:	'CSCO'			 '    '  
Modem Vendor Specific:  0x4602			 0x0000
Modem Vendor Country:   0xB500			 0x0000
Serial Number Near:    FXXXXXXXX 1921/K9 15.4(3)M4
Serial Number Far:     
Modem Version Near:    15.4(3)M4
Modem Version Far:     0x939e

Modem Status:		 TC Sync (Showtime!) 

DSL Config Mode:	 AUTO 
Trained Mode:	G.992.5 (ADSL2+) Annex B 
TC Mode:		 ATM 
Selftest Result:	 0x00 
DELT configuration:	 disabled 
DELT state:		 not running 

Full inits:		2
Failed full inits:	2
Short inits:		2
Failed short inits:	0

Firmware	Source		File Name 
--------	------		----------
VDSL		embedded   	VDSL_LINUX_DEV_01212008

Modem FW  Version:	130205_1433-4.02L.03.B2pvC035j.d23j
Modem PHY Version:	B2pvC035j.d23j
Trellis:		 ON			  ON
SRA: 			 disabled		 disabled
 SRA count: 		 0			 0
Bit swap: 		 enabled		 enabled
 Bit swap count:	 0			 0
Line Attenuation:	 37.0 dB		 20.0 dB
Signal Attenuation:	 42.1 dB		 20.1 dB
Noise Margin:		  3.1 dB		  3.0 dB
Attainable Rate:	13620 kbits/s		 1044 kbits/s
Actual Power:		 19.1 dBm		 12.7 dBm
Total FECC:		13833			 15
Total ES:		21			 0
Total SES:		11			 0
Total LOSS:		1			 0
Total UAS:		734			 734
Total LPRS:		0			 0
Total LOFS:		9			 0
Total LOLS:		0			 0

          
                  DS Channel1	  DS Channel0	US Channel1	  US Channel0
Speed (kbps):	          0	       12320	         0	        1044
SRA Previous Speed:       0	           0	         0	           0
Previous Speed:	          0	       12071	         0	        1081
Total Cells:	          0	           0	         0	           0
User Cells:	          0	           0	         0	           0
Reed-Solomon EC:          0	           0	         0	           0
CRC Errors:	          0	         495	         0	           0
Header Errors:	          0	           0	         0	           0
Interleave (ms):       0.00	        8.00	      0.00	        7.71
Actual INP:	       0.00	        1.08	      0.00	        1.12
          
Training Log :	Stopped
Training Log Filename :	flash:vdsllog.bin
brooks
brooks 04.08.2016 um 10:04:01 Uhr
Goto Top
Ok , ich hatte ein paar Fehler drinen und zwar hatte ich ein Shut bei Ethernet0/1/0 und ein shut bei ATM0/1/0...hier steht jetzt "no shut".

Durch aktivieren deines Befehls:
im
interface ATM0/1/0.1 point-to-point

der folgenden Zeile:
bridge-dot1q encap 40



bekomme ich im Konsolenfenster endlich folgende Meldungen:
Interessant ist nun das hier:

user4754s-iMac:~ user4754$ screen /dev/cu.usbserial 9600

*Aug  4 08:03:05.095: PPPoE : encap string prepared
*Aug  4 08:03:05.095: PPPoE 21491: data path set to PPPoE Client
*Aug  4 10:03:05: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up
*Aug  4 08:03:05.099: Vi2 PPP: Sending cstate UP notification
*Aug  4 08:03:05.099: Vi2 PPP: Processing CstateUp message
*Aug  4 08:03:05.099: PPP: Alloc Context [2BB2C0A0]
*Aug  4 08:03:05.099: ppp7 PPP: Phase is ESTABLISHING
*Aug  4 08:03:05.099: Vi2 PPP: Using dialer call direction
*Aug  4 08:03:05.099: Vi2 PPP: Treating connection as a callout
*Aug  4 08:03:05.099: Vi2 PPP: Session handle[96000007] Session id[7]
*Aug  4 08:03:05.099: Vi2 LCP: Event[OPEN] State[Initial to Starting]
*Aug  4 08:03:05.099: Vi2 PPP: No remote authentication for call-out
*Aug  4 08:03:05.099: Vi2 LCP: O CONFREQ [Starting] id 1 len 10
*Aug  4 08:03:05.099: Vi2 LCP:    MagicNumber 0x9F646286 (0x05069F646286)
*Aug  4 08:03:05.099: Vi2 LCP: Event[UP] State[Starting to REQsent]
*Aug  4 08:03:05.123: Vi2 LCP: I CONFREQ [REQsent] id 1 len 19
*Aug  4 08:03:05.123: Vi2 LCP:    MRU 1492 (0x010405D4)
*Aug  4 08:03:05.123: Vi2 LCP:    AuthProto CHAP (0x0305C22305)
*Aug  4 08:03:05.123: Vi2 LCP:    MagicNumber 0x659DE984 (0x0506659DE984)
*Aug  4 08:03:05.123: Vi2 LCP: O CONFNAK [REQsent] id 1 len 8
*Aug  4 08:03:05.123: Vi2 LCP:    MRU 1500 (0x010405DC)
*Aug  4 08:03:05.123: Vi2 LCP: Event[Receive ConfReq-] State[REQsent to REQsent]
*Aug  4 08:03:05.123: Vi2 LCP: I CONFACK [REQsent] id 1 len 10
*Aug  4 08:03:05.123: Vi2 LCP:    MagicNumber 0x9F646286 (0x05069F646286)
*Aug  4 08:03:05.123: Vi2 LCP: Event[Receive ConfAck] State[REQsent to ACKrcvd]
*Aug  4 08:03:05.147: Vi2 LCP: I CONFREQ [ACKrcvd] id 2 len 19
*Aug  4 08:03:05.147: Vi2 LCP:    MRU 1500 (0x010405DC)
*Aug  4 08:03:05.147: Vi2 LCP:    AuthProto CHAP (0x0305C22305)
*Aug  4 08:03:05.147: Vi2 LCP:    MagicNumber 0x659DE984 (0x0506659DE984)
*Aug  4 08:03:05.147: Vi2 LCP: O CONFACK [ACKrcvd] id 2 len 19
*Aug  4 08:03:05.147: Vi2 LCP:    MRU 1500 (0x010405DC)
*Aug  4 08:03:05.147: Vi2 LCP:    AuthProto CHAP (0x0305C22305)
*Aug  4 08:03:05.147: Vi2 LCP:    MagicNumber 0x659DE984 (0x0506659DE984)
*Aug  4 08:03:05.147: Vi2 LCP: Event[Receive ConfReq+] State[ACKrcvd to Open]
*Aug  4 08:03:05.171: Vi2 PPP: No authorization without authentication
*Aug  4 08:03:05.171: Vi2 PPP: Phase is AUTHENTICATING, by the peer
*Aug  4 08:03:05.171: Vi2 LCP: State is Open
*Aug  4 08:03:05.191: Vi2 CHAP: I CHALLENGE id 1 len 29 from "ac3.muc7"  
*Aug  4 08:03:05.191: Vi2 PPP: Sent CHAP SENDAUTH Request
*Aug  4 08:03:05.191: Vi2 PPP: Received SENDAUTH Response FAIL
*Aug  4 08:03:05.191: Vi2 CHAP: Unable to authenticate for peer
*Aug  4 08:03:05.191: Vi2 PPP DISC: User failed CHAP authentication
*Aug  4 08:03:05.191: Vi2 PPP: Sending AAA radius abort
*Aug  4 08:03:05.191: PPP: NET STOP send to AAA.
*Aug  4 08:03:05.195: Vi2 LCP: O TERMREQ [Open] id 2 len 4
*Aug  4 08:03:05.195: Vi2 LCP: Event[CLOSE] State[Open to Closing]
*Aug  4 08:03:05.195: Vi2 PPP: Phase is TERMINATING
*Aug  4 08:03:05.219: Vi2 LCP: I TERMACK [Closing] id 2 len 4
*Aug  4 08:03:05.219: Vi2 PPP: No remote authentication for call-out
*Aug  4 08:03:05.219: Vi2 LCP: Event[Receive TermAck] State[Closing to Closed]
*Aug  4 08:03:05.219: Vi2 LCP: Event[DOWN] State[Closed to Initial]
*Aug  4 08:03:05.219: Vi2 PPP: Phase is DOWN
*Aug  4 08:03:05.219:  PPPoE : Shutting down client session
*Aug  4 08:03:05.219: PPPoE 21491: O PADT  R:10f3.11a3.1f00 L:649e.f357.0b50 1/32  ATM0/1/0.1
*Aug  4 08:03:05.219: PPPoE: Failed to add PPPoE switching subblock
*Aug  4 10:03:05: %DIALER-6-UNBIND: Interface Vi2 unbound from profile Di0
*Aug  4 10:03:05: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to down
*Aug  4 08:03:05.223: PPPoE: Unexpected Event!. PPPoE switching Subblockdestroy called
*Aug  4 08:03:25.283: Sending PADI: vc=1/32
*Aug  4 08:03:25.319: PPPoE 0: I PADO  R:10f3.11a3.1f00 L:649e.f3

Eine Idee:???
brooks
brooks 04.08.2016 aktualisiert um 15:19:47 Uhr
Goto Top
ROUTER IS UPPP!!!!---INTERNET IST DA.....

aufgrund der Logs wurde immer wieder ein Fehler bei der User-authorisierung ausgegeben. Durch Zufall und Selbststudium habe ich im Dialer0
folgendes reingehackerlt:

ppp chap hostname XXXX
ppp chap password XXXX


DIe jetzige FINAL-Konfiguration sieht nun wie folgt aus:
Cisco1921#show running-config
Building configuration...

Current configuration : 3010 bytes
!
! Last configuration change at 15:08:59 CEST Thu Aug 4 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.254 
 dns-server 192.168.50.254 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FCXXXXXX
!
!
username user4754 password 7 XXXXXXX
!
redundancy
!
!
!
!
!
controller VDSL 0/1/0
!
! 
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXXXX
 ppp pap sent-username XXXXXXX@mdsl.mnet-online.de password 7 XXXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXXXX
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server pnpntpserver.fritz.box
!         
end       
  

es wird jetzt lediglich im Konsolenlog nur noch folgende Fehler ausgegeben:

*Aug  4 13:12:02.755:  padi timer expired
*Aug  4 13:12:02.755:  Sending PADI: Interface = Ethernet0/1/0.40

Hat jemand eine Idee, was dagegen getan werden kann? Oder ist Ignorieren hier die Lösung?


Interessant ist auch folgendes:
Fritzbox hatte einen Downstream von ca 9-10 Mbit.....

Die Cisco hingegen schafft jetzt etwa 16 Mbit...... und beim Internet surfen merkt man es auch....WOW...

Gibt es noch ein paar TIpps / Zeilen wie ich mich hier noch mit der FIrewall absichern sollte????
aqui
aqui 05.08.2016 um 18:00:53 Uhr
Goto Top
Tadaaa !! Gut wenns nun rennt wie es soll ! face-wink
Was deine Firewall angeht, siehe in das oben zitierte 880er Tutorial, dort ist einen koplette Firewall Konfig drin.
Wie man in deinem neuen VoIP Thread ja sehen kann rennt das auch. Nur SIP hast du vergessen fürs Telefon...
Cisco 1921 VOIP und Telefonanlage ISP MNET
brooks
brooks 05.08.2016 aktualisiert um 21:21:06 Uhr
Goto Top
Ok, Dual Stack ist erledigt, siehe zweiten Thread von mir.....
brooks
brooks 10.09.2016 um 13:16:59 Uhr
Goto Top
Leider hatte ich in letzter Zeit viel zu tun: Daher geriet das Projekt etwas nach....

Hmm, ich wollte heute mal in meinem Urlaub mal mit dem Experiment hier langsam abschließen, jedoch habe ich wohl nicht alles richtig gemacht.

Das Problem ist, ich kann einige Seiten gut aufrufen, es gibt aber auch Seiten , die kann ich gar nicht aufrufen. Der Cisco zickt hier rum. Die Fritzbox tut hier ihren Dienst einwandfrei.....Es liegt wohl nicht am mss adjust .....

Ich habe jetzt in einem anderen Forum noch nachgefragt, ein User hat mir dort folgendes mitgeteilt:

BEGINN:
hört sich ganz danach an als ob du DS-Lite / AFTR hast aber dies dem Cisco nicht gesagt hast ;)

Du musst aber die Adresse statisch hinterlegen also musst du einmal

dig aaaa aftr.prod.m-online.net
machen und eine IPv6 picken.

https://www.cisco.com/c/en/us/td/docs/r ... er_01.html

Strg+F => aftr-tunnel-endpoint-address

ENDE:

ich habe daraufhin den Befehl in meinem Mac eingegeben, dieser spuckt mir das hier aus:

aftr.prod.m-online.net. 3579 IN AAAA 2001:a60:0:4::ffff
aftr.prod.m-online.net. 3579 IN AAAA 2001:a60:0:1::ffff

Die Anleitung in Cisco beschreibt folgendes:
RP/0/RP0/CPU0:router# config
RP/0/RP0/CPU0:router(config)#service cgn cgn1
RP/0/RP0/CPU0:router(config-cgn)#service-type ds-lite ds-lite1
RP/0/RP0/CPU0:router(config-cgn-ds-lite)#aftr-tunnel-endpoint-address 10:10::2
RP/0/RP0/CPU0:router(config-cgn-ds-lite)

Tipp ich das jetzt so in den 1921 er Router mit statt 10:10::2 dann 2001:a60:0:4::ffff ?

Danke
aqui
aqui 10.09.2016 um 19:16:45 Uhr
Goto Top
ich kann einige Seiten gut aufrufen, es gibt aber auch Seiten , die kann ich gar nicht aufrufen.
Klasssiches MTU Problem bei xDSL. Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Pass das auf dem LAN Port mit der MSS Segment Size an und auf dem WAN mit der MTU. Das Tutorial hat die richtigen Werte !
Mit DS Lite hat das eher weniger zu tun, denn das ist ja nur IPv6.
Ist aber auch möglich, das musst du natürlich entsprechend konfigurieren !
Falsch ist aber wenn du eine Feld- Wald und Wiesen v6 Adresse nimmst. Die bekommst du immer per Prefix Delegation von deinem Provider !
Im Threadverluaf des hiesigen Cisco Tutorials findest du am Ende eine Konfig dazu:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
brooks
brooks 01.10.2016 aktualisiert um 19:02:22 Uhr
Goto Top
Hi,

ich hab jetzt die Werte ausprobiert, geht alles nix:...

daraufhin habe jetzt mal die Befehle hier im Dialer 0 rausgeschmissen:
ip inspect Firewall out


ipv6 inspect inspectv6 out


ipv6 traffic-filter native-ipv6-Firewall in

jetzt kann ich sogar youtube und t-online und einige andere Websiten ohne Probleme besuchen...und auch videos schauen....

jetzt geht eigentlich alles nur bei dieser Website:
egun.de


Die kann ich zwar in der Startseite laden , sobald ich aber auf Deutsch klicke geht nix mehr, mit der Fritzbox gehts....IDEEN?????ich habe keine mehr, ich weiß nicht wo ich noch weitermachen soll....

der Fehler liegt doch langsam woanders? ich habe adjust-mss aktuell bei 1452, mtu und ipv6 mtu bei 1492...hilft alles nix.....
aqui
aqui 02.10.2016 aktualisiert um 12:20:46 Uhr
Goto Top
Das ist aber ziemlich fatal, denn nun hast du komplett die SPI Firewall auf dem Router deaktiviert und deine Sicherheit hängt nur einzig an den einfachen Accesslisten.
Das solltest du besser nicht machen !

Man kann nur vermuten das du einen ziemlichen Fehler in der CBAC Firewall Accessliste gemacht hast !
Ansonsten ist das Verhalten nicht zu erklären.
Hast du dir das hiesige Tutorial nochmal ganz genau angesehen diesbezüglich ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Das ist die ACL 111 ! Von der hängt die saubere Funktion ab ! So sollte sie aussehen:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw smtp
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
!


Dazu dann korrespondierend die ACL 111 auf dem Dialer Interface:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any


Und dazu dann das Dialer 0 Interface:
interface Dialer0
description Provider Dialin xDSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz@provider.de password geheim123
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!


Damit funktioniert die Firewall dann auf JEDER Webseite fehlerlos !! Auch der Marktplatz für Tiermörder face-wink
brooks
brooks 02.10.2016 aktualisiert um 17:34:01 Uhr
Goto Top
Ok, der Fehler liegt wirklich irgendwo in der CBAC Access Liste....ich hab vorhin herumgespielt, für einen kurzem Moment ging die Egun Website , dann aber nicht mehr...

jetzt gehen folgende Websites nicht mehr.
www.t-online.de
www.egun.de
www.youtube.com
www.wieistmeineip.de

im LOG steht folgendes


2 17:34:12: %SEC-6-IPACCESSLOGP: list 111 denied udp 17.173.254.223(16387) -> 188.174.74.232(16403), 1 packet
*Oct 2 17:34:33: %SEC-6-IPACCESSLOGP: list 111 denied tcp 88.247.138.59(62621) -> 188.174.74.232(23), 1 packet
*Oct 2 17:34:40: %SEC-6-IPACCESSLOGP: list 111 denied tcp 110.92.131.18(26203) -> 188.174.74.232(23), 1 packet
*Oct 2 17:35:22: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49191), 1 packet
*Oct 2 17:36:39: %SEC-6-IPACCESSLOGP: list 111 denied tcp 175.183.11.84(13880) -> 188.174.74.232(23), 1 packet
*Oct 2 17:38:46: %SEC-6-IPACCESSLOGP: list 111 denied tcp 113.22.87.190(18935) -> 188.174.74.232(2323), 1 packet
*Oct 2 17:39:03: %SEC-6-IPACCESSLOGP: list 111 denied tcp 58.210.197.67(8934) -> 188.174.74.232(23), 1 packet
*Oct 2 17:39:50: %SEC-6-IPACCESSLOGP: list 111 denied udp 17.173.254.223(16387) -> 188.174.74.232(16403), 11 packets
*Oct 2 17:40:06: %SEC-6-IPACCESSLOGP: list 111 denied tcp 46.255.243.65(36481) -> 188.174.74.232(23), 1 packet
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49191), 3 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49183), 4 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49192), 4 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49190), 4 packets
*Oct 2 17:40:59: %SEC-6-IPACCESSLOGP: list 111 denied tcp 37.29.47.135(19766) -> 188.174.74.232(2323), 1 packet
*Oct 2 17:41:02: %SEC-6-IPACCESSLOGP: list 111 denied tcp 47.9.217.84(62684) -> 188.174.74.232(21), 1 packet
*Oct 2 17:41:04: %SEC-6-IPACCESSLOGP: list 111 denied udp 62.245.181.76(38066) -> 188.174.74.232(1900), 1 packet
*Oct 2 17:42:16: %SEC-6-IPACCESSLOGP: list 111 denied tcp 122.117.171.146(5067) -> 188.174.74.232(23), 1 packet


IDEEN???

MEINE Running Config:

sco1921#show running-config
Building configuration...

Current configuration : 6754 bytes
!
! Last configuration change at 14:27:51 CEST Sun Oct 2 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
network 192.168.50.0 255.255.255.0
domain-name soho.intern
default-router 192.168.50.2
dns-server 192.168.50.2
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
dns-server 2001:A60::53:1
dns-server 2001:A60::53:2
domain-name soho.intern
!
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
crypto pki trustpoint TP-self-signed-3541750139
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3541750139
revocation-check none
rsakeypair TP-self-signed-3541750139
!
!
crypto pki certificate chain TP-self-signed-3541750139
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D XXXXXX1 37353031 3339301E 170D3136 31303031 31363132
30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35343137
35303133 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AC7A B8C1CAB9 1A538A5D 515A96F7 8792C227 E025F934 92582383 6FC17DC6
5A09BFE7 16A17C13 809198EE 340FA185 6798C7F3 48AD775D 9BF60306 3F34D897
4626C4C6 D59A2937 6D50C7E6 E6EDA123 D9C057EE A7D84F6A 0F5A73C2 E867942A
20FA1605 122F4456 FFCE3419 8B26C111 E077D078 88A8B898 A3F3038A A40A4BF7
7E390203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14ED5731 13DC7327 3729D570 C37B2C81 5AAA4EEA 7C301D06
03551D0E 04160414 ED573113 DC732737 29D570C3 7B2C815A AA4EEA7C 300D0609
2A864886 F70D0101 05050003 81810032 F53E40B0 F3935CFE B8EA0B92 DAA94CB7
CF1893D2 2930ADA4 F9B88F4B XXXXXXX 682E5090 5A94DF87 02AD49C1 3779E506
70956716 32C4FD50 F70F4350 ED06A162 CF19191C 763AF6BC 7234BD62 C67D96A3
88CEA027 8D18DFB4 40E5823C 2D5170AF E32FE01C 121DD53E 68BDEE3C 3884A1BF
6BCD837F 3B77ED7C E35EB8E4 506E08
quit
license udi pid CISCO1921/K9 sn FXXXXX
!
!
username user4754 password 7 XXXX
!
redundancy
!
!
!
!
!
controller VDSL 0/1/0
firmware filename flash:VA_A_39m_B_38u_24h.bin
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
description NETWORK INTERN
ip address 192.168.50.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
ipv6 address NODE-PD ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server NODE-DHCPV6
ipv6 verify unicast reverse-path
no mop enabled
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
bridge-dot1q encap 40
pppoe-client dial-pool-number 1
!
!
interface Ethernet0/1/0
no ip address
no ip route-cache
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0/0
description NETWORK VOIP
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
interface Dialer0
description VDSL Einwahl Interface to ISP MNET
mtu 1492
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect Firewall out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
ipv6 address NODE-PD ::FF:0:0:0:1/128
ipv6 enable
ipv6 mtu 1492
ipv6 dhcp client pd NODE-PD rapid-commit
ipv6 verify unicast reverse-path
ipv6 inspect inspectv6 out
ipv6 traffic-filter native-ipv6-Firewall in
no keepalive
ppp authentication pap chap callin
ppp chap hostname XXXXX@mdsl.mnet-online.de
ppp chap password 7 XXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit udp any eq 5060 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 deny ip any any
!
ipv6 access-list native-ipv6-Firewall
permit icmp any any
permit udp 2001::/56 eq 547 2001::/56
permit udp FE80::/10 eq 547 FE80::/10
permit tcp 2001::/56 eq 547 2001::/56
!
control-plane
!
!
!
line con 0
logging synchronous


Der Cisco kann erst dann am Netz hängen wenn alle Websites einwandfrei gehen, bis dahin muss die Fritzbox herhalten.....
Ich hab im Moment allerdings keinen Plan, welchen fatalen Fehler ich begannen habe....
brooks
brooks 02.10.2016 um 18:07:17 Uhr
Goto Top
BAAAAMMMM:

Ich hab den Fehler gefunden:

Wenn ich den Windows PC anstecke an den Cisco, und das Protokoll ipv6 auf dem Client deaktiviere, kann ich alle Seiten besuchen......ohne STRESSface-smile

Mein Problem:

ipv6 dhcp pool NODE-DHCPV6
dns-server 2001:A60::53:1
dns-server 2001:A60::53:2
domain-name soho.intern

Was ist hier Falsch?????
Muss ich hier beide DNS herausschmeissen? Wo ist hier die Adresse für das Gateway?
brooks
brooks 03.10.2016 aktualisiert um 10:04:23 Uhr
Goto Top
Guten Morgen Aqui,

also


meine jetzige Running-Config:

Cisco1921#show running-config
Building configuration...

Current configuration : 6950 bytes
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 $1$LhN7$kX2KVBkrnJKrKopjJiE/o/
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 domain-name soho.intern
 default-router 192.168.50.2 
 dns-server 192.168.50.2 
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef    
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
 domain-name soho.intern
!         
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef  
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-3541750139
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3541750139
 revocation-check none
 rsakeypair TP-self-signed-3541750139
!         
!         
crypto pki certificate chain TP-self-signed-3541750139
 certificate self-signed 01
  XXXXXXX
  6BCD837F 3B77ED7C E35EB8E4 506E08
        quit
license udi pid CISCO1921/K9 sn FXXXXX
!         
!         
username user4754 password 7 XXXXXXXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip access-group 111 out
 ip accounting output-packets
 ip accounting access-violations
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6 rapid-commit preference 1 allow-hint
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 no mop enabled
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 mtu 1492 
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 1800 inbound
 dialer-group 1
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any log
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp 2001::/56 eq 547 2001::/56
 permit udp FE80::/10 eq 547 FE80::/10
 permit tcp 2001::/56 eq 547 2001::/56
 permit tcp any any established
 permit udp any any eq 546
 deny ipv6 any any
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXXXX
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       

Die folgende Befehl zeigt folgende IPV6 Addressen an:

Cisco1921#sh ipv6 int brief
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:20F8:C401::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
    2001:A61:20F8:C4FF::1
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned

Ich bekomme an dem MAC OS X Client folgende IP Addressen zugewiesen:
IPV6:Addresse: 2001:a61:20f8:c401:aa20:66ff:fe52:4e84 Prefix 64
IPV6:Addresse: 2001:a61:20f8:78bd:3de2:4de2:aed5:1c82 Prefix 64
Router IPV6___:fe80::669e:f3ff:fe57:b41
DNS :dns-server 2001:A60::53:1 (VON Internetserviceprovider)
DNS:dns-server dns-server 2001:A60::53:2 (Von INternetserviceprovider)

Wenn ich am Browser über dem CLient die Seite "wieistmeineIpv6 aufrufe:
Bekomme ich als antwort meiner IPV6 Addresse:
2001:A61:20F8:C401:34DF:A000:EFF4:2015


Was läuft hier falsch=???? Wenn ich an den Client ipv6 deaktiviere, klappt es wunderbar mit dem Internet, gehe ich jedoch nur auf IPV6 habe ich massive Probleme , da viele Websiten nicht gehen.

Ist DHCP Ok? Liegt es an der FIrewall? Ich habe im moment keine Idee was ich noch tun könnte.....

Hier noch ein paar Auszüge:
Cisco1921#show ipv6 int      
GigabitEthernet0/1 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::669E:F3FF:FE57:B41 
  No Virtual link-local address(es):
  Description: NETWORK INTERN
  General-prefix in use for addressing
  Global unicast address(es):
    2001:A61:20F8:C401::1, subnet is 2001:A61:20F8:C401::/64 [CAL/PRE]
      valid lifetime 5731 preferred lifetime 2131
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF02::1:FF00:1
    FF02::1:FF57:B41
    FF05::1:3
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification Common pak subblock Verify Unicast Reverse-Path
  Output features: Common Flow Table Stile Classification Firewall Inspection
 IPv6 verify source reachable-via rx, allow default
   17 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule inspectv6
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.
Dialer0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::669E:F3FF:FE57:B40 
  No Virtual link-local address(es):
  Description: VDSL Einwahl Interface to ISP MNET
  General-prefix in use for addressing
  Global unicast address(es):
    2001:A61:20F8:C4FF::1, subnet is 2001:A61:20F8:C4FF::1/128 [CAL/PRE]
      valid lifetime 5731 preferred lifetime 2131
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:1
    FF02::1:FF57:B40
  MTU is 1492 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification Dialer i/f override Common pak subblock Access List Verify Unicast Reverse-Path
  Output features: Common Flow Table Stile Classification Firewall Inspection
  Inbound access list native-ipv6-Firewall
 IPv6 verify source reachable-via rx, allow default
   130 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule inspectv6
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.
Virtual-Access2 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::669E:F3FF:FE57:B40 
  No Virtual link-local address(es):
  Description: VDSL Einwahl Interface to ISP MNET
  No global unicast address is configured
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF57:B40
  MTU is 1492 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Dialer i/f override Common pak subblock
  Output features: Firewall Inspection Dialer idle reset
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.

Was ich nicht verstehe, ist der u.g. Auszug .....Der Mac steckt momentan direkt an der Cisco 1921 , diese mit dem Internet verbunden. Sonst kein weiterer PC angeschlossen: der Mac hat sich die IPV6 Daten alle geholt vom Cisco:
Wieso steht dann in der Anzeige Active Client 0, und nicht eine 1?

Cisco1921#show ipv6 dhcp pool  
DHCPv6 pool: NODE-DHCPV6
  DNS server: 2001:A60::53:1
  DNS server: 2001:A60::53:2
  Domain name: soho.intern
  Active clients: 0


NACHTRAG:
Im Log vom Cisco tauchen hier folgende Meldungen auf:

*Oct  3 09:53:50: %IPV6_ROUTING-3-RIB: ipv6_is_addr_ours called for link-local address with wrong tableid -Process= "DNS Server", ipl= 0, pid= 433  
-Traceback= 22B31DC4z 22B321B8z 22B35E70z 22B35FF8z 210329D0z 210329B4z
*Oct  3 09:54:00: %IPV6_ROUTING-3-RIB: ipv6_is_addr_ours called for link-local address with wrong tableid -Process= "DNS Server", ipl= 0, pid= 433  
-Traceback= 22B31DC4z 22B321B8z 22B35E70z 22B35FF8z 210329D0z 210329B4z
*Oct  3 09:54:50: %IPV6_ROUTING-3-RIB: ipv6_is_addr_ours called for link-local address with wrong tableid -Process= "DNS Server", ipl= 0, pid= 433  
-Traceback= 22B31DC4z 22B321B8z 22B35E70z 22B35FF8z 210329D0z 210329B4z
*Oct  3 09:54:50: %IPV6_ROUTING-3-RIB: ipv6_is_addr_ours called for link-local address with wrong tableid -Process= "DNS Server", ipl= 0, pid= 433  
-Traceback= 22B31DC4z 22B321B8z 22B35E70z 22B35FF8z 210329D0z 210329B4z
*Oct  3 09:54:50: %IPV6_ROUTING-3-RIB: ipv6_is_addr_ours called for link-local address with wrong tableid -Process= "DNS Server", ipl= 0, pid= 433  
-Traceback= 22B31DC4z 22B321B8z 22B35E70z 22B35FF8z 210329D0z 210329B4z


Vielleicht hilft dir auch das hier weiter:

Cisco1921#show ipv6 route
IPv6 Routing Table - default - 6 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
       I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
       EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
       NDr - Redirect, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1
       OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       a - Application
S   ::/0 [1/0]
     via Dialer0, directly connected
S   2001:A61:20F8:C400::/56 [1/0]
     via Null0, directly connected
C   2001:A61:20F8:C401::/64 [0/0]
     via GigabitEthernet0/1, directly connected
L   2001:A61:20F8:C401::1/128 [0/0]
     via GigabitEthernet0/1, receive
LC  2001:A61:20F8:C4FF::1/128 [0/0]
     via Dialer0, receive
L   FF00::/8 [0/0]
     via Null0, receive
aqui
aqui 04.10.2016 um 14:29:41 Uhr
Goto Top
IPv6 hat immer Vorrang vor IPv4. Ist ein Dual Stack aktiv wird das Endgerät immer eine IPv6 Verbindung versuchen.
Nicht alle Webserver im Internet haben aber auch einen IPv6 Stack aktiv und diese sind dann folglich nicht erreichbar.
Ist deine Konfig statisch oder bekommst du alles per v6 Prefix Delegation von deinem Provider ?
brooks
brooks 04.10.2016 aktualisiert um 14:55:10 Uhr
Goto Top
Ich bekomme den Prefix vom Provider. In der Fritzbox funktioniert es , nur eben nicht bei der Cisco . Ich weiß nicht wo der Fehler in der Cisco liegt ....

Bsp funktioniert die Website egun in ipv6 nur in der Fritzbox , im Cisco selber nicht, unter IPv4 allerdings schon

Was mir noch aufgefallen ist , in der Fritzbox bekomme ich zusätzlich fd00 .... ipv6. Adressen zugewiesen , mit der Cisco nicht...

Ich bin mir auch nicht sicher ob der DNS server stimmt , den die Fritzbox weist mir einen fd00 ... zu...
brooks
brooks 04.10.2016 um 14:58:06 Uhr
Goto Top
Kann es sein , dass noch link local für ipv6 aktiviert werden muss??
aqui
aqui 04.10.2016 um 17:04:17 Uhr
Goto Top
Ich weiß nicht wo der Fehler in der Cisco liegt ....
Kann nur deine Konfig sein !!
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configurat ...
Damit rennt das fehlerlos auf einem Telekom DSL Anschluss
fd00 /8 IP Adressen sind Lokale Unicast Adressen.
http://www.ipv6-portal.de/informationen/einfuehrung/adressbereiche.html
Also quasi das was die provaten RFC 1918 IP Adressen bei IPv4 sind:
https://de.wikipedia.org/wiki/Private_IP-Adresse
Normal werden die niemals irgendwo vergeben. Im Internet werden di nicht geroutet wie ihr v4 Pendant !

Kann das sein das du einen DS Lite Anschluss benutzt und das Provider interne Adressen sind ??
brooks
brooks 04.10.2016 aktualisiert um 22:27:22 Uhr
Goto Top
Der Fehler liegt definitiv in der Config....


Hmm, also was ich dir sagen kann:

ich hatte zuerst einen DS-Lite ipv6 Zugang, also nur eine IPV6 Addresse., dann dort telefonisch angerufen und um eine zusätzliche IPV4 Adresse gebeten. Mnet sagte mir dann ich bekomme einen Dual Stack Zugang...

http://www.m-net.de/hilfe-service/glossar/begriff/show/a-e/dual-stack-l ...

Was ich nicht verstehe:
Ich bekomme ja am Interface DIaler0 eine IPV6 und eine IPV4 zugewiesen......meine öffentliche IPS zugewiesen, und diese stimmen ja auch mit der im Webbrowser (wieistmeineip.de...) Ich hoffe ich konnte die Frage damit beantworten, falls nicht, hab ich wohl den Sinn deiner Frage nicht verstanden....

Der Prefix ändert sich nur bis zum neustart des Routers....

ich hab dir mal einen AUszug meiner IP Zuweisung von der Fritbox per PN Nachricht geschickt.....

Hast du eine Idee wie wir den Fehler weiter eingrenzen können.....

Bei der Cisco kann über IPV6 eigentlich nur google.de erreichen , nicht aber egun.de
bei der Fritzbox kann ich über IPV6 viele Websiten erreichen......auch egun.de......


EDIT_//

ich habe jetzt 4 Stunden herumgespielt, DHCP und DNS sind wohl in Ordnung....

Wenn ich die Abfrage auf Egun.de Website Lade, dann kommt die Seite, klicke ich auf das Deutsch Symbol, will die Seite laden und bleibt dann stehen .....

Ich bin am Ende mit meinem Laienfachwissen....Selbst bei der minimalistischen Konfig abgewandelt für MNET bleibt es dabei.....

Magst du /jemand von euch nicht mal meine Cisco Config in einen Testrouter von dir/euch reinladen , vielleicht kommen wir den Fehler so näher...

Ich würde mal gerne eine funktionierende CIsco Dual Stack Config Sehen, wenn bei abgeschaltetem IPV4 die Seite Egun.de (es ist eine Referenzseite für mich um zu prüfen ob ich ales richtig gemacht habe.....)noch geht....:D...bei mir geht es mit genannter Config nicht.....und wenn das nicht geht, brauch ich meine TK Anlage gar nicht erst anbinden....

Ich denke auch im Moment über Multicast nach, aber der Befehl IPv6 Multicast, hat auch nichts gebracht....
aqui
aqui 05.10.2016 aktualisiert um 16:50:27 Uhr
Goto Top
ch bekomme ja am Interface DIaler0 eine IPV6 und eine IPV4 zugewiesen......meine öffentliche IPS zugewiesen, und diese stimmen ja auch mit der im Webbrowser
Was ja ein gutes Zeichen ist und zeigt das der Dual Stack und auch die Prefix Delegation sauber funktioniert !
Der Prefix ändert sich nur bis zum Neustart des Routers....
Auch das ist normal
bei der Fritzbox kann ich über IPV6 viele Websiten erreichen......auch egun.de......
Bist du dir da ganz sicher das du diese Seiten auch mit IPv6 erreichst ? Das Gros der Webhosts im Internet hat (noch) gar keine IPv6 Adresse so das der Verdacht besteht die FB erreicht diese dann mit IPv4 !

Mach doch mal folgendes:
  • Nimm nslookup oder dig und lege dir eine Liste der IPv6 Host IP Adressen dieser Webseiten an. Damit hast du dann die Gewissheit einer wirklich IPv6 Zieladresse.
  • Jetzt machst du auf dem Cisco einen extended Ping indem du ping6 <return> eingibst und dann menügeführt deine Adressen eingibst. Bei extended Commands ? antwortest du mit yes und gibst dann als Source IP die aktuelle IPv6 WAN IP an.
  • Damit kannst du dann einen dedizierten v6 Ping auf die IPv6 Hostadresse ausführen. Testweise auch nochmal mit traceroute6 usw um die v6 Hops zu checken.
  • Das muss ja in jedem Falle so klappen, weil du ja native v6 Adressen nutzt und wenn nslookup keine v6 Adressen liefert haben diese Hosts keine.
  • Den ping6 extended Test wieder holst du dann auf dem Cisco mit seiner LAN Port v6 Adresse. Damit kannst du dann wasserdicht checken das dein übertragender Prefix im lokalen LAN sauber gerouetet wird.
Ich denke auch im Moment über Multicast nach,
Wozu das ??
Multicast ist im Internet bzw. auf dem WAN Port völliger Unsinn, denn das wird im Internet gar nicht geroutet weder bei v4 noch bei v6 !
Nicht im freien Fall raten und verschlimmbesern, das macht die Sache nur komplzierter.
Nutze besser die zahllosen Cisco Debug Kommandos die dir wirklich helfen !!
brooks
brooks 08.10.2016 aktualisiert um 15:35:19 Uhr
Goto Top
Hi,

also bez. Cisco:
ich hab jetzt auf Version 15.5 geupdatet. Keine Besserung.

Cisco1921#ping ipv6 (VON SOURCE DIALER0)
Target IPv6 address: 2001:1bc0:af::a1
Repeat count [5]: 10
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands? [no]: 
Sweep range of sizes? [no]: 
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 2001:1BC0:AF::A1, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 100/182/292 ms

Cisco1921#ping ipv6                             
Target IPv6 address: 2001:1bc0:af::a1                      
Repeat count [5]: 5
Datagram size [100]: 
Timeout in seconds [2]: 
Extended commands? [no]: yes
Source address or interface: 2001:A61:31A3:32FF::1
UDP protocol? [no]: 
Verbose? [no]: 
Precedence : 
DSCP : 
Include hop by hop option? [no]: 
Include destination option? [no]: 
Sweep range of sizes? [no]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1BC0:AF::A1, timeout is 2 seconds:
Packet sent with a source address of 2001:A61:31A3:32FF::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms

 (VON SOURCE GIGABITEEHTERNET0/1
Cisco1921#ping ipv6            
Target IPv6 address: 2001:1BC0:AF::A1
Repeat count [5]: 5
Datagram size [100]: 
Timeout in seconds [2]: 2
Extended commands? [no]: yes
Source address or interface: 2001:A61:31A3:3201:669E:F3FF:FE57:B41
UDP protocol? [no]: 
Verbose? [no]: 
Precedence : 
DSCP : 
Include hop by hop option? [no]: 
Include destination option? [no]: 
Sweep range of sizes? [no]: 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1BC0:AF::A1, timeout is 2 seconds:
Packet sent with a source address of 2001:A61:31A3:3201:669E:F3FF:FE57:B41
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/33/36 ms

bei cisco, wird mit dem Befehl show host auch das hier angezeigt "gekürzt...."
egun.de                   None  (temp, OK)  0  IPv6   2001:1BC0:AF::A1
egun.de                   None  (temp, OK)  0   IP    82.96.64.127


Ich habe es zu der Seite egun.de getestet. Diese ist IPv6 Fähig. Kann es sein , das IPv6 absolute ok ist.? und der Fehler woanderst sitzt?

meine jetzige running-config

Cisco1921#show running-config
Building configuration...

Current configuration : 7422 bytes
!
! Last configuration change at 15:24:10 CEST Sat Oct 8 2016 by user4754
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXX!
no aaa new-model
ethernet lmi ce
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 domain-name soho.intern
 default-router 192.168.50.2 
 dns-server 192.168.50.2 
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef    
ipv6 general-prefix MyLocals FD00:1234:5678::/48
ipv6 general-prefix MyLocals FD00:8765:4321::/48
ipv6 unicast-routing
ipv6 dhcp pool local-ipv6
 prefix-delegation pool local-ipv6-pd-pool lifetime 3600 1800
 domain-name soho.intern
!         
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 multicast-routing
ipv6 cef  
ipv6 cef accounting prefix-length
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-3541750139
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3541750139
 revocation-check none
 rsakeypair TP-self-signed-3541750139
!         
!         
crypto pki certificate chain TP-self-signed-3541750139
 certificate self-signed 01
  XXXXXXX
        quit
license udi pid CISCO1921/K9 sn XXXXXX!         
!         
username user4754 password 7 XXXXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip access-group 111 out
 ip accounting output-packets
 ip accounting access-violations
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address MyLocals ::1/64
 ipv6 address NODE-PD 0:0:0:1::/64 eui-64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 nd ra interval 30
 ipv6 nd ra dns server FD00:1234:5678::1
 ipv6 mld query-interval 60
 ipv6 dhcp server local-ipv6 rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 no mop enabled
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 mtu 1492 
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 1800 inbound
 dialer-group 1
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 ipv6 virtual-reassembly in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
ipv6 local pool local-ipv6-pd-pool 2001:A61:31::/56 60
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any log
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp 2001::/56 eq 547 2001::/56
 permit udp FE80::/10 eq 547 FE80::/10
 permit tcp 2001::/56 eq 547 2001::/56
 permit tcp any any established
 permit udp any any eq 546
 sequence 80 permit tcp FD00::/56 eq 547 FD00::/56
 deny ipv6 any any
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXX
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
      

Cisco1921#show ipv6 traffic
IPv6 statistics:
	Rcvd:  43183 total, 832 local destination
	       0 source-routed, 149 truncated
	       0 format errors, 0 hop count exceeded
	       0 bad header, 0 unknown option, 0 bad source
	       0 unknown protocol, 0 not a router
	       0 fragments, 0 total reassembled
	       0 reassembly timeouts, 0 reassembly failures
	Sent:  3084 generated, 28690 forwarded
	       0 fragmented into 0 fragments, 0 failed
	       1336 encapsulation failed, 0 no route, 6 too big
	       671 RPF drops, 0 RPF suppressed drops
	Mcast: 1878 received, 979 sent

ICMP statistics:
	Rcvd: 1984 input, 0 checksum errors, 0 too short
	      0 unknown info type, 0 unknown error type
	      unreach: 0 routing, 0 admin, 0 neighbor, 0 address, 1 port
	               0 sa policy, 0 reject route
	      parameter: 0 error, 0 header, 0 option
	      0 hopcount expired, 0 reassembly timeout,0 too big
	      0 bad embedded ipv6
	      0 echo request, 20 echo reply
	      0 group query, 0 group report, 0 group reduce
	      20 router solicit, 4 router advert, 0 redirects
	      240 neighbor solicit, 235 neighbor advert
	Sent: 1057 output, 0 rate-limited
	      unreach: 0 routing, 16 admin, 0 neighbor, 0 address, 0 port
	               0 sa policy, 0 reject route
	      parameter: 0 error, 0 header, 0 option
	      0 hopcount expired, 0 reassembly timeout,6 too big
	      20 echo request, 0 echo reply
	      148 group query, 0 group report, 0 group reduce
	      0 router solicit, 181 router advert, 0 redirects
	      248 neighbor solicit, 247 neighbor advert

UDP statistics:
  Rcvd: 312 input, 0 checksum errors, 0 length errors
        0 no port, 0 dropped
  Sent: 1538 output

TCP statistics:
  Rcvd: 0 input, 0 checksum errors
  Sent: 0 output, 0 retransmitted

So und was nun? Wenn es die Software nicht ist, wenn es das IPV6 nicht ist, was kann es dann sonst noch sein?=
aqui
aqui 08.10.2016 um 19:22:28 Uhr
Goto Top
Einen Kardinalsfehler hast du noch !
Die ACL 111 als Out ACL auf dem lokalen Gig0/1 Interface ist natürlich völliger Quatsch !
Das ist eine CBAC ACL für die Firewall auf dem Dialer und ist vollkommen ungeeignet als Outbound ACL auf dem lokalen Gig Interface. Schlimmer noch sie blockt dort wichtigen Traffic.
Den Unsinn kannst du getrost löschen.

Zum eigentlichen Problem:
Hast du mal einen v6 Traceroute gemacht und gecheckt wo der Traffic hängen bleibt ??
Wie sieht deine IPv6 Routing Tabelle aus ? show ipv6 route ?
brooks
brooks 08.10.2016 aktualisiert um 20:56:39 Uhr
Goto Top
Den Unsinn, also die ACL111 auf dem GigabitEthernet0/1 habe ich gelöscht.


'#####################
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address dhcp rapid-commit
 ipv6 address MyLocals ::1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 nd ra interval 30
 ipv6 nd ra dns server FD00:1234:5678::1
 ipv6 mld query-interval 60
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 no mop enabled

Trotz DHCP Modus bekomme ich keine IP zugewiesen? Sollte ich das doch so lassen wie ich es vorher hatte?
Cisco1921#show ipv6 interface GigabitEthernet0/1
GigabitEthernet0/1 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::669E:F3FF:FE57:B41
  No Virtual link-local address(es):
  Description: NETWORK INTERN
  General-prefix in use for addressing
  Global unicast address(es):
    FD00:1234:5678::1, subnet is FD00:1234:5678::/64
    FD00:8765:4321::1, subnet is FD00:8765:4321::/64
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::D
    FF02::16
    FF02::1:FF00:1
    FF02::1:FF57:B41
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification Common pak subblock Verify Unicast Reverse-Path
  Output features: Common Flow Table Stile Classification Firewall Inspection MFIB Adjacency
 IPv6 verify source reachable-via rx, allow default
   39 verification drop(s) (process), 1236 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule inspectv6
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 30 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.

Den Thread hier bitte ignorieren, hab den unteren gestartet....
brooks
brooks 08.10.2016 aktualisiert um 20:57:50 Uhr
Goto Top
Also
Den Unsinn, also die ACL111 auf dem GigabitEthernet0/1 habe ich gelöscht.
ich habe zwischenzeitlich mal wieder in GigabitEthernet0/1 die Zeile 09 wieder durch ipv6 address NODE-PD 0:0:0:1::/64 eui-64
und erhalte auch wieder eine IPV6 addresse, warum das mit dhcp nicht klappt verstehe ich nicht.....

Das Interface GigabitEthernet0/1 muss aber im Client Modus sein was DHCP V6 betrifft?

Cisco1921#traceroute
Protocol [ip]: trace
% Unknown protocol - "trace", type "trace ?" for help  
Cisco1921#trace
Protocol [ip]: ipv6
Target IPv6 address: 2001:1BC0:AF::A1 
Source address: 2001:A61:20CA:9001:669E:F3FF:FE57:B41
Insert source routing header? [no]: 
Numeric display? [no]: 
Timeout in seconds [3]: 
Probe count [3]: 
Minimum Time to Live [1]: 
Maximum Time to Live [30]: 
Priority : 
Port Number : 
Type escape sequence to abort.
Tracing the route to egun.de (2001:1BC0:AF::A1)

  1 2001:A60::89:703:1 40 msec 40 msec 36 msec
  2 2001:A60::69:0:2:2 32 msec 32 msec 32 msec
  3 decix1.eurotransit.net (2001:7F8::73F6:0:1) 32 msec 32 msec 32 msec
  4 egun.de (2001:1BC0:AF::A1) 32 msec 36 msec 32 msec

Traceroute auf dem MAC:
user4754s-iMac:~ user4754$ traceroute6 2001:1BC0:AF::A1
traceroute6 to 2001:1BC0:AF::A1 (2001:1bc0:af::a1) from 2001:a61:20ca:9001:75cc:ce8e:626c:6be8, 64 hops max, 12 byte packets
 1  2001:a61:20ca:9001:669e:f3ff:fe57:b41  0.567 ms  0.564 ms  0.380 ms
 2  2001:a60::89:703:1  38.675 ms  38.309 ms  37.633 ms
 3  2001:a60::69:0:2:2  32.745 ms  33.230 ms  32.949 ms
 4  decix1.eurotransit.net  33.260 ms  33.505 ms  32.706 ms
 5  egun.de  34.241 ms  33.892 ms  33.224 ms
brooks
brooks 08.10.2016 aktualisiert um 20:57:36 Uhr
Goto Top
Ein anderes Traceroute auf dem MAC:

user4754s-iMac:~ user4754$ traceroute6 wieistmeineip.de
traceroute6 to wieistmeineip.de (2a02:2e0:3fd::76) from 2001:a61:20ca:9001:75cc:ce8e:626c:6be8, 64 hops max, 12 byte packets
 1  2001:a61:20ca:9001:669e:f3ff:fe57:b41  0.604 ms  0.384 ms  0.396 ms
 2  2001:a60::89:703:1  58.118 ms  37.951 ms  40.609 ms
 3  2001:a60::69:0:2:2  33.466 ms  34.287 ms  33.216 ms
 4  * * *
 5  te1-3.c102.f.de.plusline.net  34.519 ms
    te7-2.c101.f.de.plusline.net  33.153 ms
    te1-3.c102.f.de.plusline.net  34.083 ms
 6  te6-1.c13.f.de.plusline.net  34.415 ms
    te6-2.c13.f.de.plusline.net  34.206 ms
    te6-1.c13.f.de.plusline.net  34.080 ms
 7  wieistmeineip.de  32.829 ms  33.790 ms  33.974 ms

Noch eine Seite:
user4754s-iMac:~ user4754$ traceroute6 ipv6-test.com
traceroute6 to ipv6-test.com (2001:41d0:8:e8ad::1) from 2001:a61:20ca:9001:75cc:ce8e:626c:6be8, 64 hops max, 12 byte packets
 1  2001:a61:20ca:9001:669e:f3ff:fe57:b41  0.547 ms  0.385 ms  0.359 ms
 2  2001:a60::89:703:1  38.383 ms  36.922 ms  37.471 ms
 3  2001:a60::69:0:2:2  33.674 ms  33.756 ms  32.751 ms
 4  * * *
 5  * * *
 6  vl20.rbx-g1-a75.fr.eu  42.441 ms  41.522 ms  41.834 ms
 7  * * *
 8  ipv6-test.com  41.902 ms  41.127 ms  41.327 ms

Es gibt auch Seiten, die fangen an zu Laden und laden dann ewig.....Es gibt auch Seiten die lassen sich gar nicht öffnen, so wie die letzte mit ipv6-test.com

egun läd hier zwar die Startseite, beim klick auf die eigentliche Deutsch Hauptseite , fängt sie auch an zu laden und bleibt dann stehen..
brooks
brooks 08.10.2016 um 22:30:15 Uhr
Goto Top
vielleicht wichtig?

In show logging:
#
%IPV6_FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Dropping packet - Invalid Window Scale option for session 2001:A61:20BE:8601:6152:1E82:2410:3D3E:53581 to 2A02:26F0:12:197::90:80 [Initiator(flag 0,factor 5) Responder (flag 840083044, factor 244619520)]
aqui
aqui 09.10.2016 aktualisiert um 11:42:15 Uhr
Goto Top
Trotz DHCP Modus bekomme ich keine IP zugewiesen?
Schalte mal den ipv6 DHCP Debugger ein und setze das Interface mal auf shut, no shut und beobachte was da passiert !
Irgendwas ist da noch faul mit der DHCPv6 Konfig.
Was aber interessant ist, ist die Tatsache das IPv6 ja rausgeroutet wird ! Leider fehlt mal wieder deine Pv6 Routing Table face-sad
Bis ins 2001:a60::69:0:2:2 Netz kommst du ja und das müsste schon das Providernetz sein, richtig ?
Hast du diese Diskussion zu dem Thema vom Mitglied @cpt-haddock gelesen zum Thema IPv6:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Das diverse Seiten anfangen zu laden dann aber hängen bleiben zeugt stark von einem MTU bzw. MSS Problem.
Die Fehlermeldung mit der Windows Scale verstärkt diesen Verdacht noch.
Cisco selber sagt folgendes dazu:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
Das bezieht sich wie du oben siehst aber rein auf den VPN Zugang und diese Fehlermeldung kommt nur bei IPsec Tunneln laut o.a. Troubleshooting Guide !
brooks
brooks 09.10.2016 aktualisiert um 13:22:34 Uhr
Goto Top
Der Windows Scale Fehler kam nur ein einziges Mal , weil ich jetzt soviel herumgespielt habe....ich habe ja gestern noch ein paar andere Kommandos aus dem Cisco Forum versucht, da mir dort einer ein paar andere Kommandos empfohlen hat....

Ich poste die Konfig dann gleich:

Hier der IP Route, Verzeihung!

Cisco1921#show ipv6 route
IPv6 Routing Table - default - 9 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, R - RIP, H - NHRP, I1 - ISIS L1
       I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
       EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
       NDr - Redirect, O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1
       OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       a - Application
S   ::/0 [1/0]
     via Dialer0, directly connected
S   2001:A61:20C8:8F00::/56 [1/0]
     via Null0, directly connected
C   2001:A61:20C8:8F00::/64 [0/0]
     via GigabitEthernet0/1, directly connected
L   2001:A61:20C8:8F00::1/128 [0/0]
     via GigabitEthernet0/1, receive
C   FD00:1234:5678::/64 [0/0]
     via GigabitEthernet0/1, directly connected
L   FD00:1234:5678::1/128 [0/0]
     via GigabitEthernet0/1, receive
C   FD00:8765:4321::/64 [0/0]
     via GigabitEthernet0/1, directly connected
L   FD00:8765:4321::1/128 [0/0]
     via GigabitEthernet0/1, receive
L   FF00::/8 [0/0]
     via Null0, receive
Cisco1921#



Cisco1921#show ipv6 dhcp 
This device's DHCPv6 unique identifier(DUID): 00030001649EF3570B40  
Cisco1921#show ipv6 dhcp pool
DHCPv6 pool: NODE-DHCPV6
  Prefix pool: NODE-PD
               preferred lifetime 60, valid lifetime 1800
  DNS server: 2001:A60::53:1
  DNS server: 2001:A60::53:2
  Domain name: soho.intern
  Active clients: 0
Cisco1921#show ipv6 interface Dialer0
Dialer0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::669E:F3FF:FE57:B40 
  No Virtual link-local address(es):
  Description: VDSL Einwahl Interface to ISP MNET
  Stateless address autoconfig enabled
  No global unicast address is configured
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::D
    FF02::16
    FF02::1:FF57:B40
  MTU is 1492 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification Dialer i/f override Common pak subblock Virtual fragment reassembly Access List Verify Unicast Reverse-Path
  Output features: Common Flow Table Stile Classification Firewall Inspection
  IPv6 VFR(in) Parameters:

  IPv6 configured max datagram reassembly cnt: 64
  IPv6 configured max fragments per datagram: 16
  IPv6 configured time to hold individual datagram: 3 seconds
  IPv6 configured drop fragment option: OFF


  Inbound access list native-ipv6-Firewall
 IPv6 verify source reachable-via rx, allow default
   0 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule inspectv6
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.

das von cpt haddock werde ich mir gleich mal ansehen.....

Ich bin alternativ noch hier dranface-sad Mein Englisch ist wohl auch nicht mehr das beste....face-sad ...)
https://supportforums.cisco.com/discussion/13133901/cisco-1921-router-in ...


Meine aktuelle Running-Config:

Cisco1921#show running-config
Building configuration...

Current configuration : 7173 bytes
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret XXXXX
!
no aaa new-model
ethernet lmi ce
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 domain-name soho.intern
 default-router 192.168.50.2 
 dns-server 192.168.50.2 
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef    
ipv6 general-prefix MyLocals FD00:1234:5678::/48
ipv6 general-prefix MyLocals FD00:8765:4321::/48
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 prefix-delegation pool NODE-PD lifetime 1800 60
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
 domain-name soho.intern
!         
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 multicast-routing
ipv6 cef  
ipv6 cef accounting prefix-length
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-3541750139
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3541750139
 revocation-check none
 rsakeypair TP-self-signed-3541750139
!         
!         
crypto pki certificate chain TP-self-signed-3541750139
 certificate self-signed 01
  XXXXXX
        quit
license udi pid CISCO1921/K9 sn XXXXX
!         
!         
username user4754 password XXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address MyLocals ::1/64
 ipv6 address NODE-PD ::1/64
 ipv6 address autoconfig
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6
 ipv6 inspect inspectv6 out
 no mop enabled
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 mtu 1492 
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 1800 inbound
 dialer-group 1
 ipv6 address dhcp
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 ipv6 virtual-reassembly in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXX@mdsl.mnet-online.de
 ppp chap password XXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any log
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp 2001::/56 eq 547 2001::/56
 permit udp FE80::/10 eq 547 FE80::/10
 permit tcp 2001::/56 eq 547 2001::/56
 permit tcp any any established
 permit udp any any eq 546
 sequence 80 permit tcp FD00::/56 eq 547 FD00::/56
 deny ipv6 any any
 permit tcp any any
 permit udp any any
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password XXX
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
          

Was MTU btw MSS anbelangt, ich habe schon sehr lange an den Werten herumgespielt ohne Besserung....

Im Moment habe ich bei dieser Konfig immer noch das Problem, dass der Dialer0 keine IPv6 Adresse beziehen kann, das GigabitEthernet0/1 wohl schon......im Moment bin ich da erst mal daran, warum per DHCP keine addresse bezogen werden kann,. Diese Running COnfig bleibt jetzt so, irgendwo muss der Fehler ja sein......


Auf deine Frage:

Bis ins 2001:a60::69:0:2:2 Netz kommst du ja und das müsste schon das Providernetz sein, richtig ?

Richtig!
brooks
brooks 09.10.2016 um 14:25:40 Uhr
Goto Top
9 12:26:43.335: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:26:43.359: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:26:43.359: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:26:44.447: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:26:44.471: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 12:26:45.559: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:46.511: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:48.439: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:52.307: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:27:00.527: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:27:16.463: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:27:28: %SEC-6-IPACCESSLOGP: list 111 denied udp 89.163.144.212(5104) -> 93.104.115.32(5060), 1 packet
*Oct 9 12:27:48.651: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:28:17.839: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:28:25: %SEC-6-IPACCESSLOGP: list 111 denied tcp 171.98.85.50(28364) -> 93.104.115.32(23), 1 packet
*Oct 9 12:28:45.771: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:16.635: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:29:23: %SEC-6-IPACCESSLOGP: list 111 denied tcp 77.247.178.145(23) -> 93.104.115.32(57395), 1 packet
*Oct 9 12:29:45.527: IPv6 DHCP: Reached max retransimission count 10
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from REQUEST to IDLE (ADDR_SHUTDOWN) on Dialer0
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from IDLE to SOLICIT (ADDR_START) on Dialer0
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_TIMEOUT) on Dialer0
*Oct 9 12:29:46.587: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:29:46.611: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:29:46.611: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:29:47.707: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:29:47.731: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 12:29:48.719: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:49.731: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:51.771: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:29:54: %SEC-6-IPACCESSLOGP: list 111 denied tcp 120.37.138.178(49250) -> 93.104.115.32(23), 1 packet
*Oct 9 14:29:54: %SEC-6-IPACCESSLOGP: list 111 denied tcp 175.213.213.12(4282) -> 93.104.115.32(23), 2 packets
*Oct 9 14:29:55: %SEC-6-IPACCESSLOGP: list 111 denied tcp 66.240.219.146(58022) -> 93.104.115.32(7777), 1 packet
*Oct 9 12:29:55.935: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:30:04.095: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:30:19.907: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:30:32: %SEC-6-IPACCESSLOGP: list 111 denied tcp 187.35.101.245(60168) -> 93.104.115.32(23), 1 packet
*Oct 9 12:30:47.391: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:31:15.359: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:31:45.619: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:13.987: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0

2:32:41.147: IPv6 DHCP: DHCPv6 address changes state from REQUEST to IDLE (ADDR_SHUTDOWN) on Dialer0
*Oct 9 12:32:41.147: IPv6 DHCP: DHCPv6 address changes state from IDLE to SOLICIT (ADDR_START) on Dialer0
*Oct 9 12:32:41.147: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_TIMEOUT) on Dialer0
*Oct 9 12:32:42.155: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:32:42.179: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:32:42.179: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:32:43.163: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:32:43.187: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 14:32:43: %SEC-6-IPACCESSLOGP: list 111 denied tcp 194.135.108.30(50259) -> 93.104.115.32(23), 1 packet
*Oct 9 12:32:44.147: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:45.103: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:47.019: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0


Ich habe jetzt mal im Dialer0 ipv6 address dhcp durch ipv6 address NODE-PD ::FF:0:0:0:1/128, damit ich mal am Dialer0 eine IP zugewiesen bekomme.....keine Besserung
brooks
brooks 09.10.2016 um 14:43:50 Uhr
Goto Top
vielleicht ist das für dich hier auch interessant :

user4754s-iMac:~ user4754$ ping6 www.heise.de
PING6(56=40+8+8 bytes) 2001:a61:20b2:bf00:c135:34cd:a118:d515 --> 2a02:2e0:3fe:1001:7777:772e:2:85
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=0 hlim=58 time=32.331 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=1 hlim=58 time=32.322 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=2 hlim=58 time=32.493 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=3 hlim=58 time=32.326 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=4 hlim=58 time=32.782 ms

ping test geht, die Websiten Problematik mit IPv6 bleibt....
brooks
brooks 09.10.2016 um 16:16:06 Uhr
Goto Top
Hab die Accesslisten mal so angepasst wie es auf deiner Seite der Cisco holic vorgeschlagen hat

LOG Shows: *Oct 9 16:16:07: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(53546), 1 packet *Oct 9 16:16:07: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(60449), 1 packet *Oct 9 16:16:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(61881), 1 packet *Oct 9 16:16:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(58848), 1 packet
brooks
brooks 09.10.2016 um 17:20:22 Uhr
Goto Top
Ich glaube , das von irgendwo nach irgendwo der DNS Server blockiert wird........Richtig=??
aqui
aqui 11.10.2016 um 23:24:28 Uhr
Goto Top
Mmmhhh, der erfolgreiche v6 Ping vom iMac zu Heise zeigt das routingtechnisch ja soweit alles OK ist !
Spannend wäre nochmal ein v6 Traceroute vom iMac gewesen um die v6 Hops zu sehen.
Das zeigt doch aber ganz klar das das v6 Routing sauber rennt !

Das Filter Log zeigt aber auch das dort ganz klar UDP 53 Pakete blockiert werden denied udp 2001:A60::53:2(53)
Das das dann natürlich zu gravierenden DNS Problemen führt ist klar.
Du solltest deine WAN Port ACL nochmal sehr genau checken.
brooks
brooks 12.10.2016 um 09:59:32 Uhr
Goto Top
Traceroute versuche ich heute Abend mal nachzuliefern.
Hier siehst du die IPv6 Firewall, welche Zeilen muss ich da noch eintragen?, damit DNS funktioniert????
ipv6 access-list WAN_INSIDE_OUTv6
 permit icmp any any
 permit tcp any any
 permit udp any any
 sequence 100 deny ipv6 any any log-input
!         
ipv6 access-list WAN_OUTSIDE_INv6
 permit icmp any any nd-na
 sequence 11 permit icmp any any nd-ns
 sequence 12 permit udp any any eq 546
 sequence 20 permit icmp any any
 sequence 40 permit tcp any any established
 sequence 100 deny ipv6 any any log
aqui
aqui 12.10.2016 um 17:41:53 Uhr
Goto Top
Mit tcp any any established fackelst du ja alles ab was vom Router initiiert ist also auch DNS sofern der Router auch Proxy ist.
Testweise könntest du die ACL mal kurz deaktivieren, aber daran wirds nicht liegen.
Der Traceroute wäre mal spannend.
brooks
brooks 12.10.2016 um 20:08:48 Uhr
Goto Top
Hi,

also ich hab jetzt an den ACL nichts gemacht,

ein traceroute6 auf dem MAC sieht so aus:

user4754s-iMac:~ user4754$ traceroute6 egun.de
traceroute6 to egun.de (2001:1bc0:af::a1) from 2001:a61:313b:6200:e9d9:3f89:8ee1:39d2, 64 hops max, 12 byte packets
1 2001:a61:313b:6200::1 0.778 ms 0.630 ms 0.481 ms
2 2001:a60::89:301:1 65.229 ms 74.634 ms 249.067 ms
3 2001:a60::69:0:2:2 63.538 ms 64.057 ms 65.555 ms
4 decix1.eurotransit.net 63.550 ms 58.036 ms 63.219 ms
5 www.egun.de 58.387 ms 60.543 ms 66.762 ms


Traceroute von Cisco über GIgabitEThernet0/1

Cisco1921#traceroute                            
Protocol [ip]: ipv6                                  
Target IPv6 address: 2001:1BC0:AF::A1                      
Source address: 2001:A61:313B:6200::1
Insert source routing header? [no]: 
Numeric display? [no]: 
Timeout in seconds [3]: 
Probe count [3]: 
Minimum Time to Live [1]: 
Maximum Time to Live [30]: 
Priority : 
Port Number : 
Type escape sequence to abort.
Tracing the route to egun.de (2001:1BC0:AF::A1)

  1 2001:A60::89:301:1 68 msec 72 msec 68 msec
  2 2001:A60::69:0:2:2 60 msec 80 msec 64 msec
  3 decix1.eurotransit.net (2001:7F8::73F6:0:1) 68 msec 60 msec 60 msec
  4 egun.de (2001:1BC0:AF::A1) 64 msec 64 msec 64 msec
Cisco1921#

Traceroute von Cisco über Dialer0
Cisco1921#traceroute                            
Protocol [ip]: ipv6                 
Target IPv6 address: 2001:1BC0:AF::A1     
Source address: 2001:A61:313B:62FF::1
Insert source routing header? [no]: 
Numeric display? [no]: 
Timeout in seconds [3]: 
Probe count [3]: 
Minimum Time to Live [1]: 
Maximum Time to Live [30]: 
Priority : 
Port Number : 
Type escape sequence to abort.
Tracing the route to egun.de (2001:1BC0:AF::A1)

  1 2001:A60::89:301:1 72 msec 52 msec 256 msec
  2 2001:A60::69:0:2:2 56 msec 140 msec 64 msec
  3 decix1.eurotransit.net (2001:7F8::73F6:0:1) 60 msec 68 msec 64 msec
  4 egun.de (2001:1BC0:AF::A1) 52 msec 60 msec 56 msec
Cisco1921#

Ich weiß nicht mehr wo das Problem liegt, ich bin am Ende mit meiner Laienweisheit ....face-sad ich fürchte, alles war umsonst...

Cisco1921#sh ipv6 int brief
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:313B:6200::1
    FD00:1234:5678::1
    FD00:8765:4321::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::179:1
    2001:A61:313B:62FF::1
NVI0                   [up/up]
    unassigned
Tunnel0                [up/up]
    FE80::669E:F3FF:FE57:B40
    unnumbered (GigabitEthernet0/1)
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned
Cisco1921#

Cisco1921#show ip int brief  
Interface                  IP-Address      OK? Method Status                Protocol
Embedded-Service-Engine0/0 unassigned      YES NVRAM  administratively down down    
GigabitEthernet0/0         unassigned      YES NVRAM  administratively down down    
GigabitEthernet0/1         192.168.50.2    YES NVRAM  up                    up      
ATM0/1/0                   unassigned      YES NVRAM  up                    up      
ATM0/1/0.1                 unassigned      YES unset  up                    up      
Ethernet0/1/0              unassigned      YES NVRAM  down                  down    
Ethernet0/1/0.40           unassigned      YES unset  down                  down    
GigabitEthernet0/0/0       unassigned      YES unset  down                  down    
GigabitEthernet0/0/1       unassigned      YES unset  down                  down    
GigabitEthernet0/0/2       unassigned      YES unset  down                  down    
GigabitEthernet0/0/3       unassigned      YES unset  down                  down    
Dialer0                    1XX.XXX.81.180  YES IPCP   up                    up  (ÖFFENTLICHE IPV4)    
NVI0                       192.168.50.2    YES unset  up                    up      
Tunnel0                    unassigned      YES unset  up                    up      
Virtual-Access1            unassigned      YES unset  up                    up      
Virtual-Access2            unassigned      YES unset  up                    up      
Vlan1                      unassigned      YES unset  down                  down    
Cisco1921#
Der Witz ist, ich bekomme eine IPV4 und eine IPV6 am Dialer0.....
Warum ist eigentlich Ethernet0/1/0.40 down?
brooks
brooks 12.10.2016 um 20:18:13 Uhr
Goto Top
was ich bsp nicht verstehe ist das hier

interface Ethernet0/1/0
no ip address
no ip route-cache
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1

was hat das eigentlich mit Ethernet0/1/0 zu tun?

Ich hab doch nur das GIgabitEthernet0/1 als interes LAN
und den DIALER0
brooks
brooks 12.10.2016 um 20:44:52 Uhr
Goto Top
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54746), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58636), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(52362), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(60603), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(54258), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58520), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58642), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(59128), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(54972), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(63922), 1 packet
*Oct 12 20:52:24: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54258), 1 packet
*Oct 12 20:52:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54972), 1 packet
*Oct 12 20:52:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(63922), 1 packet
aqui
aqui 15.10.2016 um 12:14:15 Uhr
Goto Top
was hat das eigentlich mit Ethernet0/1/0 zu tun?
Am physischen Internet Port 0/1/0 ist dein WAN sprich Internet Port angeschlossen (Modem) !!
An welchem Port dein lokales LAN angeschlossen ist ist dafür vollkommen unerheblich und spielt keinerlei Rolle !

Physisch hängt dein WAN Port an dem obigen Port. Dadurch das dein Provider Mnet dort ein VLAN Tagging mit der VLAN ID 40 erzwingt musst du ein virtuelles Subinterface auf diesem Port einrichten 0.40
Das fügt dann den VLAN Tag 40 den Paketen hinzu.
Das Subinterface wiederum ist mit pppoe-client dial-pool-number 1 eingestellt das es keine Ethernet Encapsulierung macht sondern eine PPPoE Encapsulierung auf dem Port und die "1" in dem Kommando referenziert auf das Dialer 1 Interface auf dem dann alle PPPoE Parameter konfiguriert sind.
Eigentlich doch alles ganz einfach und logisch, oder ?

Du kannst an deinen Debug Outbuts WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) klar sehen das deine Accessliste WAN_OUTSIDE_INv6 ausgehende DNS UDP Pakete mit dem Ziel 2001:A60::53:1 blockiert.
Damit ist dann kein v6 DNS möglich !
brooks
brooks 15.10.2016 um 12:19:55 Uhr
Goto Top
Hi

Welche Regel muss ich dann hinzufügen, , damit DNS nicht mehr blockiert wird?
aqui
aqui 15.10.2016 aktualisiert um 12:56:02 Uhr
Goto Top
Gilt die Regeldefinition noch bzw. ist die noch aktuell :
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 100 deny ipv6 any any log


Wenn ja ist es das Statement: sequence 100 deny ipv6 any any log !
Return Pakete würde sequence 40 permit tcp any any established normalerweise passieren lassen aber du nutzt ja UDP und da greift diese regel nicht. UDP bleibt dann in der Rehel 100 hängen und taucht im Log auf !
So müsste es richtig sein um UDP 53 (DNS) durchzulassen:
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 50 permit udp any eq ntp any
sequence 100 deny ipv6 any any log


Hängt aber natürlich davon ab WIE diese ACL an das Interface gebunden ist ob inbound oder outbound. Oben ist jetzt mal geraten für inbound.
Damit sollten dann die UDP 53 Log Einträge verschwinden. Kannst du checken. Mit clear logg das Log vorher löschen.
brooks
brooks 30.11.2016 um 15:28:17 Uhr
Goto Top
Hi Aqui,

ich habe derzeit wieder etwas Zeit für den Cisco:

Leider bin ich immer noch bei dem selben Problem.

Ein anderer hat in einem anderem Forum etwas geschrieben, kannst du dir mal den letzten Kommentar ansehen?
https://forum.m-net.de/viewtopic.php?f=20&t=10560

Danke dir
brooks
brooks 30.11.2016 aktualisiert um 16:25:12 Uhr
Goto Top
Hi,

für einen kurzen Moment ging es wohl mit ipv6 und meinen Problemseiten, ich denke der Fehler ist in den IPV6 ACLs

allerdings: ich kann wenn ich Bilder anschauen möchte diese nicht ganz laden lassen, er fängt an und bricht dann ab diese zu laden...Ideen?

Cisco1921#show running-config
Building configuration...

Current configuration : 7692 bytes
!
! Last configuration change at 16:08:52 CET Wed Nov 30 2016 by user4754
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 $XXXXXXX
!
no aaa new-model
ethernet lmi ce
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 domain-name soho.intern
 default-router 192.168.50.2 
 dns-server 192.168.50.2 
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef
ipv6 general-prefix MyLocals FD00:1234:5678::/48
ipv6 general-prefix MyLocals FD00:8765:4321::/48
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 prefix-delegation pool NODE-PD lifetime 1800 60
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
 domain-name soho.intern
!
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 multicast-routing
ipv6 cef  
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-XXXX
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-XXX
 revocation-check none
 rsakeypair TP-self-signed-XXXX
!         
!         
crypto pki certificate chain TP-self-signed-XXXXX
 certificate self-signed 01
  XXXX
        quit
license udi pid CISCO1921/K9 sn XXXX
!         
!         
username user4754 password XXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address MyLocals ::1/64
 ipv6 address NODE-PD ::1/64
 ipv6 address autoconfig
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6
 ipv6 inspect inspectv6 out
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 mtu 1492 
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 1800 inbound
 dialer-group 1
 ipv6 address FE80::179:1 link-local
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 mtu 1492
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter WAN_OUTSIDE_INv6 in
 ipv6 traffic-filter WAN_INSIDE_OUTv6 out
 ipv6 virtual-reassembly in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXX@mdsl.mnet-online.de
 ppp chap password XXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any log
!         
ipv6 access-list WAN_INSIDE_OUTv6
 sequence 5 permit ipv6 host 2001:A60::53:1 any
 sequence 6 permit ipv6 host 2001:A60::53:2 any
 sequence 11 permit icmp any any nd-ns
 sequence 15 permit udp any any
 sequence 40 permit tcp any any
 sequence 100 deny ipv6 any any log
!         
ipv6 access-list WAN_OUTSIDE_INv6
 sequence 5 permit ipv6 host 2001:A60::53:1 any
 sequence 6 permit ipv6 host 2001:A60::53:2 any
 sequence 11 permit icmp any any nd-ns
 sequence 12 permit udp any any eq 546
 sequence 15 permit udp any any eq domain
 sequence 20 permit icmp any any
 sequence 40 permit tcp any any established
 permit udp any eq ntp any
 sequence 100 deny ipv6 any any log
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password XXXXXX
 ipv6 access-class BLOCKv6 in
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
          
Cisco1921#

Ich denke meine ACL in ipv6 wird verkehrt sein? 


dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer0

was sagst du dazu???

Was können wir mit dem Bildproblem tun??????

show log sagt folgendes:
Nov 30 16:15:26: %IPV6_ACL-6-ACCESSLOGDP: list WAN_INSIDE_OUTv6/100 denied icmpv6 2001:A61:3179:EF00:49A8:226F:2F3B:1D42 -> 2001:A60::53:1 (1/4), 1 packet
aqui
aqui 30.11.2016 aktualisiert um 19:26:45 Uhr
Goto Top
r fängt an und bricht dann ab diese zu laden...Ideen?
Mmmhhh...riecht so ein bischen nach einer MTU Problematik. Oder falsche MSS ?!
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/12_2sba/feature/guide/s ...
Aber dann würde er nicht anfangen die Bilder zu laden und mittendrin stoppen sondern macht es gar nicht erst.
ACL kanns auch nicht sein denn dann gehts oder geht nicht. Blocking oder kein Blocking.
So halb laden und stoppen ist eher MTU / MSS
brooks
brooks 01.12.2016 aktualisiert um 10:15:26 Uhr
Goto Top
Hi,

also wenn ich in interfaceGigabitEthernet0/1 das hier einfüge , dann geht alles so wie es sein soll
ipv6 traffic-filter WAN_OUTSIDE_INv6 in

Es werden die Bilder geladen und ich habe bisher keine Fehler feststellen können bis ausnahme auf das hier:

sobald ich jedoch eine neue Lan Verbindung zwischen MacOS X Client und dem Cisco schaffe oder unterbreche, bekomme ich keinen DHCP Addressen (NUR FÜR DNS)mehr am Client zugewiesen.....trage ich diese jedoch im Client manuell ein, geht alles wunderbar.......Ideen?

Das ist meine Running-Config
Cisco1921#show running-config
Building configuration...

Current configuration : 7746 bytes
!
! Last configuration change at 09:58:05 CET Thu Dec 1 2016 by user4754
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXX
!
no aaa new-model
ethernet lmi ce
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!         
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 domain-name soho.intern
 default-router 192.168.50.2
 dns-server 192.168.50.2
!         
!         
!         
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef    
ipv6 general-prefix MyLocals FD00:1234:5678::/48
ipv6 general-prefix MyLocals FD00:8765:4321::/48
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 prefix-delegation pool NODE-PD lifetime 1800 60
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
 domain-name soho.intern
!         
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 ftp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 tcp
ipv6 multicast-routing
ipv6 cef  
ipv6 cef accounting per-prefix
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-XXXX
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-XXXX
 revocation-check none
 rsakeypair TP-self-signed-XXX
!         
!         
crypto pki certificate chain TP-self-signed-XXXX
 certificate self-signed 01
  XXXXXXX
        quit
license udi pid CISCO1921/K9 sn FXXXX
!         
!         
username user4754 password 7 XXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!         
interface GigabitEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address MyLocals ::1/64
 ipv6 address NODE-PD ::1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter WAN_OUTSIDE_INv6 in
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 mtu 1492
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 1800 inbound
 dialer-group 1
 ipv6 address FE80::179:1 link-local
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 mtu 1492
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter WAN_OUTSIDE_INv6 in
 ipv6 traffic-filter WAN_INSIDE_OUTv6 out
 ipv6 virtual-reassembly in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
ip http server
ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any log
!         
ipv6 access-list BLOCKv6
 deny ipv6 any any log-input
!         
ipv6 access-list WAN_INSIDE_OUTv6
 sequence 5 permit ipv6 host 2001:A60::53:1 any
 sequence 6 permit ipv6 host 2001:A60::53:2 any
 sequence 10 permit icmp any any
 permit tcp any any
 permit udp any any
 sequence 100 deny ipv6 any any log-input
!         
ipv6 access-list WAN_OUTSIDE_INv6
 sequence 5 permit ipv6 host 2001:A60::53:1 any
 sequence 6 permit ipv6 host 2001:A60::53:2 any
 sequence 10 permit icmp any any nd-na
 sequence 11 permit icmp any any nd-ns
 sequence 12 permit udp any any eq 546
 sequence 20 permit icmp any any
 sequence 40 permit tcp any any established
 sequence 100 deny ipv6 any any log-input
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXX
 ipv6 access-class BLOCKv6 in
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
          
Cisco1921#

Und hier mal ein paar Log Informationen aus dem Cisco, seit ich diesen Befehl eingegeben habe, tauchen sehr viele Infos auf....
Cisco1921#), 1 packet
*Dec  1 10:12:24: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50615) (GigabitEthernet0/1 a820.6652.4e84) -> 2A00:1450:4016:803::2006(443), 1 packet
*Dec  1 10:12:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50584) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 4 packets
*Dec  1 10:12:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:31
Cisco1921#35:D500:DD3A:909A:4044:64A9(50627) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 packet
*Dec  1 10:12:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50586) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 3 packets
*Dec  1 10:12:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50628) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 pa
Cisco1921#cket
*Dec  1 10:12:27: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50587) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 3 packets
*Dec  1 10:12:27: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50634) (GigabitEthernet0/1 a820.6652.4e84) -> 2400:CB00:2048:1::6810:1CD8(80), 1 packet
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D5
Cisco1921#00:DD3A:909A:4044:64A9(50590) (GigabitEthernet0/1 a820.6652.4e84) -> 2400:CB00:2048:1::6810:18D8(80), 4 packets
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50638) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 packet
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50592) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 4 pa
Cisco1921#ckets
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50639) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 packet
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50595) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 4 packets
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:D
Cisco1921#D3A:909A:4044:64A9(50641) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 packet
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50599) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 4 packets
*Dec  1 10:12:28: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50642) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*De
Cisco1921#c  1 10:12:29: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50602) (GigabitEthernet0/1 a820.6652.4e84) -> 2400:CB00:2048:1::6810:19D8(80), 4 packets
*Dec  1 10:12:29: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50647) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 10:12:29: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:9
Cisco1921#09A:4044:64A9(50648) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 10:12:32: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50650) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 10:12:32: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50651) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 1
Cisco1921#0:12:32: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50652) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 10:12:32: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50604) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 4 packets
*Dec  1 10:12:32: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64
Cisco1921#A9(50653) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 1 packet
*Dec  1 10:12:33: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50608) (GigabitEthernet0/1 a820.6652.4e84) -> 2400:CB00:2048:1::6810:1AD8(80), 4 packets
*Dec  1 10:12:33: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50654) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*Dec  1 10:12:
Cisco1921#34: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50553) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*Dec  1 10:12:34: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50655) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*Dec  1 10:12:36: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(505
Cisco1921#57) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 1 packet
*Dec  1 10:12:36: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50656) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*Dec  1 10:12:36: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50627) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 4 packets
*Dec  1 10:12:36: %IPV6_A
Cisco1921#CL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50657) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
*Dec  1 10:12:36: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50628) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 4 packets
*Dec  1 10:12:36: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50658) (Gigab
Cisco1921#itEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 1 packet
Cisco1921#
*Dec  1 10:12:58: %SEC-6-IPACCESSLOGP: list 111 denied tcp 163.172.238.45(42872) -> 188.174.64.53(587), 1 packet  
Cisco1921#
*Dec  1 10:13:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50634) (GigabitEthernet0/1 a820.6652.4e84) -> 2400:CB00:2048:1::6810:1CD8(80), 4 packets
*Dec  1 10:13:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50669) (GigabitEthernet0/1 a820.6652.4e84) -> 2001:1BC0:AF::A1(80), 1 packet
Cisco1921#
*Dec  1 10:13:14: %SEC-6-IPACCESSLOGP: list 111 denied tcp 222.102.242.30(51452) -> 188.174.64.53(23), 1 packet  
Cisco1921#
*Dec  1 10:13:19: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50639) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 4 packets
*Dec  1 10:13:19: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A61:3135:D500:DD3A:909A:4044:64A9(60517) (GigabitEthernet0/1 a820.6652.4e84) -> 2001:A60::53:1(53), 1 packet
*Dec  1 10:13:19: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044
Cisco1921#:64A9(50638) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 4 packets
*Dec  1 10:13:19: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A61:3135:D500:DD3A:909A:4044:64A9(61760) (GigabitEthernet0/1 a820.6652.4e84) -> 2001:A60::53:1(53), 1 packet
Cisco1921#
*Dec  1 10:13:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50642) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:187::201A(80), 4 packets
*Dec  1 10:13:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A61:3135:D500:DD3A:909A:4044:64A9(60517) (GigabitEthernet0/1 a820.6652.4e84) -> 2001:A60::53:2(53), 1 packet
*Dec  1 10:13:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044
Cisco1921#:64A9(50641) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:199::201A(80), 4 packets
*Dec  1 10:13:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A61:3135:D500:DD3A:909A:4044:64A9(61760) (GigabitEthernet0/1 a820.6652.4e84) -> 2001:A60::53:2(53), 1 packet
Cisco1921#
*Dec  1 10:13:24: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied tcp 2001:A61:3135:D500:DD3A:909A:4044:64A9(50647) (GigabitEthernet0/1 a820.6652.4e84) -> 2A02:26F0:12:18D::201A(80), 4 packets
*Dec  1 10:13:24: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp FE80::10C6:5BFF:8B33:C3(5353) (GigabitEthernet0/1 a820.6652.4e84) -> FF02::FB(5353), 1 packet
Cisco1921#

Ich kann dann sogar am Client per Ipv6 im Interet surfen. Entferne ich die Zeile wieder in GigabitEthernet0/1, dann ist das alte Problem wieder da, aber ich bekomme sofort wieder meine DHCP Serveraddressen an den Clients...

Hmm ein Loch wird gestopft und ein anderes entsteht.....
aqui
aqui 02.12.2016 um 09:34:47 Uhr
Goto Top
Das sieht nach einen Konflikt der SLAAC (Stateless Address Autoconfiguration) und DHCPv6 aus.
Hast du mal SLAAC komplett deaktiviert auf dem Router wenn du nur mit DHCPv6 arbeiten willst. Beide parallel erzeugt vermutlich eine Race Condition und führt zu dem Problem. Du solltest einmal entweder oder probieren und nur eine der Autokonfig Dienste nutzen für den Client.