Cisco 1921 Probleme bei der Interneteinwahl
Hallo,
nachdem Routerzwang Geschichte ist, will ich meine Fritzbox durch einen Cisco Router 1921 ersetzen.Also einen neuen Internetrouter komplett ohne Fritzbox......(Dies liegt daran, dass meine Zwangsfritzboxen vom ISP nicht gerade sehr lange halten....dafür kann ich wirklich nichts....)
Der Cisco hat sowohl eine EHWIC-VA-DSL B, als auch eine EHWIC-4ESG Karte drin. Zusätzlich eine Sec Lizenz. Ebenso 10 SSL VPN Lizenzen. Smartnet für künftige Updates ist in Arbeit.
Sicher eine Nummer kleiner hätte es auch getan, aber ich will mich endlich mal in Cisco einarbeiten. Es ist mir Klar, dass es hier nix mit Klick Klick Klack wird....
Mein Provider MNET hat mir folgende Daten bekannt gegeben
VPI:1
VCI:32
VLAN: 40
IP Protokoll IPv6 Dual Stack Zugang
AFTR Adresse:Aftr.prod.m-online.net
PCP Wert für Daten (p-Bit):0
PCP Wert für VOIP (p-Bit) : 5
Username :irgendwas @mdsl.mnet-online.de
Password: Password ätsch :D
Momentaner ausgehandelter Modus ist ADSL2+(Aus aktueller Fritzbox bekannt)
Ich möchte über die EWHIC VA DSL B Karte ins WAN und über den GigabitEthernet0/1 das interne Netzwerk bilden und ins Internet kommen.
Das interne Netzwerk ist ein 192.168.50.X / 255.255.255.0 Netz.
So hier ist meine aktuelle Routerkonfig aus dem 1921:
Hier noch eine Ausgabe:
Bei aktivieren von Befehl:
debug ppp negotiation
bekomme ich in der Konsole folgenden Fehler:
Vi2 PPP DISC: LCP failed to negotiate
Ich komme mit keinem Client in das Internet , wieso? VDSL Controller sagt doch, dass er UP ist.....Was habe ich nur falsch gemacht? Ich habe bestimmt ein paar Anfängerfehler drin....oder ist etwa die komplette Config murks?
Ich möchte den Cisco Router möglichst ohne Configuration Professional Tool parametrieren....Es handelt sich hier um meinen ersten Cisco.....also seid bitte gnädig :D
vielen Dank
LG Brooks
nachdem Routerzwang Geschichte ist, will ich meine Fritzbox durch einen Cisco Router 1921 ersetzen.Also einen neuen Internetrouter komplett ohne Fritzbox......(Dies liegt daran, dass meine Zwangsfritzboxen vom ISP nicht gerade sehr lange halten....dafür kann ich wirklich nichts....)
Der Cisco hat sowohl eine EHWIC-VA-DSL B, als auch eine EHWIC-4ESG Karte drin. Zusätzlich eine Sec Lizenz. Ebenso 10 SSL VPN Lizenzen. Smartnet für künftige Updates ist in Arbeit.
Sicher eine Nummer kleiner hätte es auch getan, aber ich will mich endlich mal in Cisco einarbeiten. Es ist mir Klar, dass es hier nix mit Klick Klick Klack wird....
Mein Provider MNET hat mir folgende Daten bekannt gegeben
VPI:1
VCI:32
VLAN: 40
IP Protokoll IPv6 Dual Stack Zugang
AFTR Adresse:Aftr.prod.m-online.net
PCP Wert für Daten (p-Bit):0
PCP Wert für VOIP (p-Bit) : 5
Username :irgendwas @mdsl.mnet-online.de
Password: Password ätsch :D
Momentaner ausgehandelter Modus ist ADSL2+(Aus aktueller Fritzbox bekannt)
Ich möchte über die EWHIC VA DSL B Karte ins WAN und über den GigabitEthernet0/1 das interne Netzwerk bilden und ins Internet kommen.
Das interne Netzwerk ist ein 192.168.50.X / 255.255.255.0 Netz.
So hier ist meine aktuelle Routerkonfig aus dem 1921:
Cisco1921#show running-config
Building configuration...
Current configuration : 4445 bytes
!
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 83jnp3n893n8ß3n8ß3o
!
no aaa new-model
!
ip cef
!
!
!
!
ip dhcp pool LAN
network 192.168.50.0 255.255.255.0
default-router 192.168.50.1
dns-server 192.168.50.1
domain-name rz.domain.de
lease 0 2
!
!
!
ip domain name rz.domain.de
ipv6 multicast rpf use-bgp
no ipv6 cef
!
multilink bundle-name authenticated
!
!
crypto pki trustpoint TP-self-signed-3541750139
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3541750139
revocation-check none
rsakeypair TP-self-signed-3541750139
!
!
crypto pki certificate chain TP-self-signed-3541750139
certificate self-signed 01
//gekürzt:hier steht nur ein paar codeblocks drin
quit
license udi pid CISCO1921/K9 sn FC83333333
!
!
username user4754 privilege 15 secret 4 93830fm8ß3nßnf
!
redundancy
!
!
!
!
!
controller VDSL 0/1/0
!
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
no routing dynamic
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
pvc 1/32
dialer pool-member 1
protocol ppp dialer
!
!
interface Ethernet0/1/0
no ip address
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0/0
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication chap optional
ppp chap hostname 12345@mdsl.mnet-online.de
ppp chap password 7 password
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
!
access-list 1 permit any
access-list 1 permit 192.168.50.0 0.0.0.255
!
control-plane
!
!
!
line con 0
logging synchronous
login local
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
password 7 password
login local
transport input ssh
line vty 5 15
login local
transport input ssh
!
scheduler allocate 20000 1000
ntp server ptbtime2.ptb.de
!
end
Hier noch eine Ausgabe:
Cisco1921#sh controllers vdsl 0/1/0
Controller VDSL 0/1/0 is UP
Daemon Status: Up
XTU-R (DS) XTU-C (US)
Chip Vendor ID: 'BDCM' 'BDCM'
Chip Vendor Specific: 0x0000 0x939E
Chip Vendor Country: 0xB500 0xB500
Modem Vendor ID: 'CSCO' ' '
Modem Vendor Specific: 0x4602 0x0000
Modem Vendor Country: 0xB500 0x0000
Serial Number Near: XXXXXXXXX 1921/K9 15.3(1)
Serial Number Far:
Modem Version Near: 15.3(1)
Modem Version Far: 0x939e
Modem Status: TC Sync (Showtime!)
DSL Config Mode: AUTO
Trained Mode: G.992.5 (ADSL2+) Annex B
TC Mode: ATM
Selftest Result: 0x00
DELT configuration: disabled
DELT state: not running
Trellis: ON ON
SRA: disabled disabled
SRA count: 0 0
Bit swap: enabled enabled
Bit swap count: 574 48
Line Attenuation: 37.0 dB 20.0 dB
Signal Attenuation: 42.2 dB 19.8 dB
Noise Margin: 3.1 dB 3.0 dB
Attainable Rate: 14984 kbits/s 1063 kbits/s
Actual Power: 19.4 dBm 12.7 dBm
Total FECC: 12761 21
Total ES: 20 0
Total SES: 0 0
Total LOSS: 0 0
Total UAS: 1747 1747
Total LPRS: 0 0
Total LOFS: 0 0
Total LOLS: 0 0
Full inits: 1
Failed full inits: 1
Short inits: 1
Failed short inits: 0
Firmware Source File Name (version)
-------- ------ -------------------
VDSL embedded VDSL_LINUX_DEV_01212008 (1)
Modem FW Version: 120306_1254-4.02L.03.B2pvC035j.d23j
Modem PHY Version: B2pvC035j.d23j
Vendor Version: Bpv35j.23j 68
DS Channel1 DS Channel0 US Channel1 US Channel0
Speed (kbps): 0 12832 0 1055
SRA Previous Speed: 0 0 0 0
Previous Speed: 0 0 0 0
Total Cells: 0 79756215 0 6552646
User Cells: 0 1459 0 2484
Reed-Solomon EC: 0 12761 0 21
CRC Errors: 0 28 0 0
Header Errors: 0 471 0 0
Interleave (ms): 0.00 8.00 0.00 7.63
Actual INP: 0.00 1.04 0.00 1.11
Training Log : Stopped
Training Log Filename : flash:vdsllog.bin
Bei aktivieren von Befehl:
debug ppp negotiation
bekomme ich in der Konsole folgenden Fehler:
Vi2 PPP DISC: LCP failed to negotiate
Ich komme mit keinem Client in das Internet , wieso? VDSL Controller sagt doch, dass er UP ist.....Was habe ich nur falsch gemacht? Ich habe bestimmt ein paar Anfängerfehler drin....oder ist etwa die komplette Config murks?
Ich möchte den Cisco Router möglichst ohne Configuration Professional Tool parametrieren....Es handelt sich hier um meinen ersten Cisco.....also seid bitte gnädig :D
vielen Dank
LG Brooks
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 311537
Url: https://administrator.de/forum/cisco-1921-probleme-bei-der-interneteinwahl-311537.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
50 Kommentare
Neuester Kommentar
Sieh dir das mal an:
https://supportforums.cisco.com/discussion/12024151/cisco-1921-sample-wo ...
https://supportforums.cisco.com/discussion/12024151/cisco-1921-sample-wo ...
Hier findest du alles zu dem Thema:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Lesenswert auch:
Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)
Da du eine alte, fehlerhafte embedded Modem Firmware verwendest. Mnet verwendet VDSL2, Profil 30a. VPI=1 und VCI=32 mit VLAN Tag 40 (200 f. VoIP)
Grund ist das dein xDSL PADI Timer austimed. (PPPoE Active Discovery Initiation) Das Modem bzw. der Router sieht im xDSL sein gegenüber nicht mehr und bricht die PPPoE Initialisierung ab.
Das kann ein Modem Firmware Problem sein. Du solltest in jedem Falle die im o.a. Thread besprochene Firmware Version flashen.
Ein entsprechender 886vaw rennt fehlerlos am MNET Netz.
Gut ist schonmal das die Modem Negotiation durchläuft bis zur PPP Authentisierung.
Außerdem hat deinen Konfig gravierende Fehler die aber erstmal mit dem eigentlichen Problem nichts zu tun haben:
VPN Tips findest du zusätzlich noch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Besser aber erstmal mit einer einfachen Standard Konfig starten um erstmal das Provider Dialin hinzubekommen und keinen überflüssigen Overhead.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Lesenswert auch:
Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)
Da du eine alte, fehlerhafte embedded Modem Firmware verwendest. Mnet verwendet VDSL2, Profil 30a. VPI=1 und VCI=32 mit VLAN Tag 40 (200 f. VoIP)
Grund ist das dein xDSL PADI Timer austimed. (PPPoE Active Discovery Initiation) Das Modem bzw. der Router sieht im xDSL sein gegenüber nicht mehr und bricht die PPPoE Initialisierung ab.
Das kann ein Modem Firmware Problem sein. Du solltest in jedem Falle die im o.a. Thread besprochene Firmware Version flashen.
Ein entsprechender 886vaw rennt fehlerlos am MNET Netz.
Gut ist schonmal das die Modem Negotiation durchläuft bis zur PPP Authentisierung.
Außerdem hat deinen Konfig gravierende Fehler die aber erstmal mit dem eigentlichen Problem nichts zu tun haben:
- NAT ACL 1 ist sinnfreier Unsinn und solltest du neu setzen
- Die Default Route auf den Dialer 1 ist ebenso Unsinn wenn man ppp ipcp route default konfiguriert hat und die so automatisch vom PPP injiziert bekommt. Eins zur Zeit geht nur ! Besser ist immer ppp ipcp route default, deshalb die statische Route löschen !
VPN Tips findest du zusätzlich noch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Besser aber erstmal mit einer einfachen Standard Konfig starten um erstmal das Provider Dialin hinzubekommen und keinen überflüssigen Overhead.
Bedeutet ich benötige ganz dringend einen Smart Net Vertrag..
Nein, man muss nur wissen wo man suchen muss Gib den Dateinamen bei Dr. Google ein. Geht beim IOS Namen entsprechend.Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Nein ! Zeigt das du das Tutorial nicht gelesen hast Man kopiert die Modem Firmware Datei aufs Flash mit copy tftp flash....
Dann konfiguriert man das Interface so:
!
controller VDSL 0
firmware filename flash:VA_A_39h_B_38h3_24h_j.bin
!
Und rebootet. Beim Booten wird dann die Firmware Datei vom Flash geladen statt die in der Firmware embeddete.
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Ja aber dann hast du wieder die embeddete Firmware die nicht die aktuellste ist.Geh zum Cisco Download für das xDSL Modul und checke die Versionen dort.
Muss ich ebenso die Rommon Software aktualisieren?
Nein !Kannst du mir bitte sagen, welche Zeilen ich löschen bzw umändern soll?
Steht doch oben schon !!ACL 1 = Halte dich da an das 880er Beispiel in der ACL Syntax
Default Route = Solltest du eigentlich wissen wo die ist ?! (ip route 0.0.0.0...)
Das ist auch mein Punkt...
Dann bitte write erase und Reload und fange neu an !- Zuerst via seriell den LAN Port IP und DHCP definieren
- PC anschliessen, sehen ob er eine IP bekommt und dann mit TeraTerm oder Putty den Router telnetten und das WAN Interface Grundkonfig einrichten.
- Das muss dann sicher laufen bevor man Finetuning macht.
!
service timestamps log datetime localtime
!
hostname MeinRouter
!
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool localLAN
network 192.168.50.0
default-router 192.168.50.254
dns-server 192.168.50.254
domain-name soho.intern
!
interface GigabitEthernet0/1
ip address 192.168.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
controller VDSL 0/1/0
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
(bridge-dot1q encap 40) **
!
interface Ethernet0/1/0
no ip address
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication (chap) pap callin
ppp pap sent-username <kennung>@provider.de password 1234567
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
!
Damit erstmal alles zum Fliegen bringen ! Weiterleitung VoIP und VPN ist dann danach ein Kinderspiel.
Beachte den im Tutorial Thread gegeben Tip bei Annex J ggf. mit bridge-dot1q encap 40 falls das auch Zwang bei deinem Provider ist ! (Tagging Pflicht beim PPP Dialin)
Möglich das auch deshal der PPP Dialer dich runterschmeisst.
Wichtig hier auch ob der Provider PAP oder CHAP Authentisierung macht ! Im Zweifel beides konfigurieren. Der Cisco probiert dann beide Verfahren.
Ggf. auch hier mal den DSL Debugger zusätzlich zum PPPoE Debugger mitlaufen lassen um zu sehen was genau den PADI Timeout bewirkt.
Tadaaa !! Gut wenns nun rennt wie es soll !
Was deine Firewall angeht, siehe in das oben zitierte 880er Tutorial, dort ist einen koplette Firewall Konfig drin.
Wie man in deinem neuen VoIP Thread ja sehen kann rennt das auch. Nur SIP hast du vergessen fürs Telefon...
Cisco 1921 VOIP und Telefonanlage ISP MNET
Was deine Firewall angeht, siehe in das oben zitierte 880er Tutorial, dort ist einen koplette Firewall Konfig drin.
Wie man in deinem neuen VoIP Thread ja sehen kann rennt das auch. Nur SIP hast du vergessen fürs Telefon...
Cisco 1921 VOIP und Telefonanlage ISP MNET
ich kann einige Seiten gut aufrufen, es gibt aber auch Seiten , die kann ich gar nicht aufrufen.
Klasssiches MTU Problem bei xDSL. Guckst du hier:http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Pass das auf dem LAN Port mit der MSS Segment Size an und auf dem WAN mit der MTU. Das Tutorial hat die richtigen Werte !
Mit DS Lite hat das eher weniger zu tun, denn das ist ja nur IPv6.
Ist aber auch möglich, das musst du natürlich entsprechend konfigurieren !
Falsch ist aber wenn du eine Feld- Wald und Wiesen v6 Adresse nimmst. Die bekommst du immer per Prefix Delegation von deinem Provider !
Im Threadverluaf des hiesigen Cisco Tutorials findest du am Ende eine Konfig dazu:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das ist aber ziemlich fatal, denn nun hast du komplett die SPI Firewall auf dem Router deaktiviert und deine Sicherheit hängt nur einzig an den einfachen Accesslisten.
Das solltest du besser nicht machen !
Man kann nur vermuten das du einen ziemlichen Fehler in der CBAC Firewall Accessliste gemacht hast !
Ansonsten ist das Verhalten nicht zu erklären.
Hast du dir das hiesige Tutorial nochmal ganz genau angesehen diesbezüglich ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das ist die ACL 111 ! Von der hängt die saubere Funktion ab ! So sollte sie aussehen:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw smtp
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
!
Dazu dann korrespondierend die ACL 111 auf dem Dialer Interface:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any
Und dazu dann das Dialer 0 Interface:
interface Dialer0
description Provider Dialin xDSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz@provider.de password geheim123
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
Damit funktioniert die Firewall dann auf JEDER Webseite fehlerlos !! Auch der Marktplatz für Tiermörder
Das solltest du besser nicht machen !
Man kann nur vermuten das du einen ziemlichen Fehler in der CBAC Firewall Accessliste gemacht hast !
Ansonsten ist das Verhalten nicht zu erklären.
Hast du dir das hiesige Tutorial nochmal ganz genau angesehen diesbezüglich ??
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das ist die ACL 111 ! Von der hängt die saubere Funktion ab ! So sollte sie aussehen:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw smtp
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
!
Dazu dann korrespondierend die ACL 111 auf dem Dialer Interface:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any
Und dazu dann das Dialer 0 Interface:
interface Dialer0
description Provider Dialin xDSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz@provider.de password geheim123
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
Damit funktioniert die Firewall dann auf JEDER Webseite fehlerlos !! Auch der Marktplatz für Tiermörder
IPv6 hat immer Vorrang vor IPv4. Ist ein Dual Stack aktiv wird das Endgerät immer eine IPv6 Verbindung versuchen.
Nicht alle Webserver im Internet haben aber auch einen IPv6 Stack aktiv und diese sind dann folglich nicht erreichbar.
Ist deine Konfig statisch oder bekommst du alles per v6 Prefix Delegation von deinem Provider ?
Nicht alle Webserver im Internet haben aber auch einen IPv6 Stack aktiv und diese sind dann folglich nicht erreichbar.
Ist deine Konfig statisch oder bekommst du alles per v6 Prefix Delegation von deinem Provider ?
Ich weiß nicht wo der Fehler in der Cisco liegt ....
Kann nur deine Konfig sein !!http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configurat ...
Damit rennt das fehlerlos auf einem Telekom DSL Anschluss
fd00 /8 IP Adressen sind Lokale Unicast Adressen.
http://www.ipv6-portal.de/informationen/einfuehrung/adressbereiche.html
Also quasi das was die provaten RFC 1918 IP Adressen bei IPv4 sind:
https://de.wikipedia.org/wiki/Private_IP-Adresse
Normal werden die niemals irgendwo vergeben. Im Internet werden di nicht geroutet wie ihr v4 Pendant !
Kann das sein das du einen DS Lite Anschluss benutzt und das Provider interne Adressen sind ??
ch bekomme ja am Interface DIaler0 eine IPV6 und eine IPV4 zugewiesen......meine öffentliche IPS zugewiesen, und diese stimmen ja auch mit der im Webbrowser
Was ja ein gutes Zeichen ist und zeigt das der Dual Stack und auch die Prefix Delegation sauber funktioniert !Der Prefix ändert sich nur bis zum Neustart des Routers....
Auch das ist normalbei der Fritzbox kann ich über IPV6 viele Websiten erreichen......auch egun.de......
Bist du dir da ganz sicher das du diese Seiten auch mit IPv6 erreichst ? Das Gros der Webhosts im Internet hat (noch) gar keine IPv6 Adresse so das der Verdacht besteht die FB erreicht diese dann mit IPv4 !Mach doch mal folgendes:
- Nimm nslookup oder dig und lege dir eine Liste der IPv6 Host IP Adressen dieser Webseiten an. Damit hast du dann die Gewissheit einer wirklich IPv6 Zieladresse.
- Jetzt machst du auf dem Cisco einen extended Ping indem du ping6 <return> eingibst und dann menügeführt deine Adressen eingibst. Bei extended Commands ? antwortest du mit yes und gibst dann als Source IP die aktuelle IPv6 WAN IP an.
- Damit kannst du dann einen dedizierten v6 Ping auf die IPv6 Hostadresse ausführen. Testweise auch nochmal mit traceroute6 usw um die v6 Hops zu checken.
- Das muss ja in jedem Falle so klappen, weil du ja native v6 Adressen nutzt und wenn nslookup keine v6 Adressen liefert haben diese Hosts keine.
- Den ping6 extended Test wieder holst du dann auf dem Cisco mit seiner LAN Port v6 Adresse. Damit kannst du dann wasserdicht checken das dein übertragender Prefix im lokalen LAN sauber gerouetet wird.
Ich denke auch im Moment über Multicast nach,
Wozu das ??Multicast ist im Internet bzw. auf dem WAN Port völliger Unsinn, denn das wird im Internet gar nicht geroutet weder bei v4 noch bei v6 !
Nicht im freien Fall raten und verschlimmbesern, das macht die Sache nur komplzierter.
Nutze besser die zahllosen Cisco Debug Kommandos die dir wirklich helfen !!
Einen Kardinalsfehler hast du noch !
Die ACL 111 als Out ACL auf dem lokalen Gig0/1 Interface ist natürlich völliger Quatsch !
Das ist eine CBAC ACL für die Firewall auf dem Dialer und ist vollkommen ungeeignet als Outbound ACL auf dem lokalen Gig Interface. Schlimmer noch sie blockt dort wichtigen Traffic.
Den Unsinn kannst du getrost löschen.
Zum eigentlichen Problem:
Hast du mal einen v6 Traceroute gemacht und gecheckt wo der Traffic hängen bleibt ??
Wie sieht deine IPv6 Routing Tabelle aus ? show ipv6 route ?
Die ACL 111 als Out ACL auf dem lokalen Gig0/1 Interface ist natürlich völliger Quatsch !
Das ist eine CBAC ACL für die Firewall auf dem Dialer und ist vollkommen ungeeignet als Outbound ACL auf dem lokalen Gig Interface. Schlimmer noch sie blockt dort wichtigen Traffic.
Den Unsinn kannst du getrost löschen.
Zum eigentlichen Problem:
Hast du mal einen v6 Traceroute gemacht und gecheckt wo der Traffic hängen bleibt ??
Wie sieht deine IPv6 Routing Tabelle aus ? show ipv6 route ?
Trotz DHCP Modus bekomme ich keine IP zugewiesen?
Schalte mal den ipv6 DHCP Debugger ein und setze das Interface mal auf shut, no shut und beobachte was da passiert !Irgendwas ist da noch faul mit der DHCPv6 Konfig.
Was aber interessant ist, ist die Tatsache das IPv6 ja rausgeroutet wird ! Leider fehlt mal wieder deine Pv6 Routing Table
Bis ins 2001:a60::69:0:2:2 Netz kommst du ja und das müsste schon das Providernetz sein, richtig ?
Hast du diese Diskussion zu dem Thema vom Mitglied @cpt-haddock gelesen zum Thema IPv6:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das diverse Seiten anfangen zu laden dann aber hängen bleiben zeugt stark von einem MTU bzw. MSS Problem.
Die Fehlermeldung mit der Windows Scale verstärkt diesen Verdacht noch.
Cisco selber sagt folgendes dazu:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
Das bezieht sich wie du oben siehst aber rein auf den VPN Zugang und diese Fehlermeldung kommt nur bei IPsec Tunneln laut o.a. Troubleshooting Guide !
Mmmhhh, der erfolgreiche v6 Ping vom iMac zu Heise zeigt das routingtechnisch ja soweit alles OK ist !
Spannend wäre nochmal ein v6 Traceroute vom iMac gewesen um die v6 Hops zu sehen.
Das zeigt doch aber ganz klar das das v6 Routing sauber rennt !
Das Filter Log zeigt aber auch das dort ganz klar UDP 53 Pakete blockiert werden denied udp 2001:A60::53:2(53)
Das das dann natürlich zu gravierenden DNS Problemen führt ist klar.
Du solltest deine WAN Port ACL nochmal sehr genau checken.
Spannend wäre nochmal ein v6 Traceroute vom iMac gewesen um die v6 Hops zu sehen.
Das zeigt doch aber ganz klar das das v6 Routing sauber rennt !
Das Filter Log zeigt aber auch das dort ganz klar UDP 53 Pakete blockiert werden denied udp 2001:A60::53:2(53)
Das das dann natürlich zu gravierenden DNS Problemen führt ist klar.
Du solltest deine WAN Port ACL nochmal sehr genau checken.
was hat das eigentlich mit Ethernet0/1/0 zu tun?
Am physischen Internet Port 0/1/0 ist dein WAN sprich Internet Port angeschlossen (Modem) !!An welchem Port dein lokales LAN angeschlossen ist ist dafür vollkommen unerheblich und spielt keinerlei Rolle !
Physisch hängt dein WAN Port an dem obigen Port. Dadurch das dein Provider Mnet dort ein VLAN Tagging mit der VLAN ID 40 erzwingt musst du ein virtuelles Subinterface auf diesem Port einrichten 0.40
Das fügt dann den VLAN Tag 40 den Paketen hinzu.
Das Subinterface wiederum ist mit pppoe-client dial-pool-number 1 eingestellt das es keine Ethernet Encapsulierung macht sondern eine PPPoE Encapsulierung auf dem Port und die "1" in dem Kommando referenziert auf das Dialer 1 Interface auf dem dann alle PPPoE Parameter konfiguriert sind.
Eigentlich doch alles ganz einfach und logisch, oder ?
Du kannst an deinen Debug Outbuts WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) klar sehen das deine Accessliste WAN_OUTSIDE_INv6 ausgehende DNS UDP Pakete mit dem Ziel 2001:A60::53:1 blockiert.
Damit ist dann kein v6 DNS möglich !
Gilt die Regeldefinition noch bzw. ist die noch aktuell :
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 100 deny ipv6 any any log
Wenn ja ist es das Statement: sequence 100 deny ipv6 any any log !
Return Pakete würde sequence 40 permit tcp any any established normalerweise passieren lassen aber du nutzt ja UDP und da greift diese regel nicht. UDP bleibt dann in der Rehel 100 hängen und taucht im Log auf !
So müsste es richtig sein um UDP 53 (DNS) durchzulassen:
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 50 permit udp any eq ntp any
sequence 100 deny ipv6 any any log
Hängt aber natürlich davon ab WIE diese ACL an das Interface gebunden ist ob inbound oder outbound. Oben ist jetzt mal geraten für inbound.
Damit sollten dann die UDP 53 Log Einträge verschwinden. Kannst du checken. Mit clear logg das Log vorher löschen.
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 100 deny ipv6 any any log
Wenn ja ist es das Statement: sequence 100 deny ipv6 any any log !
Return Pakete würde sequence 40 permit tcp any any established normalerweise passieren lassen aber du nutzt ja UDP und da greift diese regel nicht. UDP bleibt dann in der Rehel 100 hängen und taucht im Log auf !
So müsste es richtig sein um UDP 53 (DNS) durchzulassen:
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 50 permit udp any eq ntp any
sequence 100 deny ipv6 any any log
Hängt aber natürlich davon ab WIE diese ACL an das Interface gebunden ist ob inbound oder outbound. Oben ist jetzt mal geraten für inbound.
Damit sollten dann die UDP 53 Log Einträge verschwinden. Kannst du checken. Mit clear logg das Log vorher löschen.
r fängt an und bricht dann ab diese zu laden...Ideen?
Mmmhhh...riecht so ein bischen nach einer MTU Problematik. Oder falsche MSS ?!http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/12_2sba/feature/guide/s ...
Aber dann würde er nicht anfangen die Bilder zu laden und mittendrin stoppen sondern macht es gar nicht erst.
ACL kanns auch nicht sein denn dann gehts oder geht nicht. Blocking oder kein Blocking.
So halb laden und stoppen ist eher MTU / MSS
Das sieht nach einen Konflikt der SLAAC (Stateless Address Autoconfiguration) und DHCPv6 aus.
Hast du mal SLAAC komplett deaktiviert auf dem Router wenn du nur mit DHCPv6 arbeiten willst. Beide parallel erzeugt vermutlich eine Race Condition und führt zu dem Problem. Du solltest einmal entweder oder probieren und nur eine der Autokonfig Dienste nutzen für den Client.
Hast du mal SLAAC komplett deaktiviert auf dem Router wenn du nur mit DHCPv6 arbeiten willst. Beide parallel erzeugt vermutlich eine Race Condition und führt zu dem Problem. Du solltest einmal entweder oder probieren und nur eine der Autokonfig Dienste nutzen für den Client.