Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 1921 Probleme bei der Interneteinwahl

Mitglied: brooks

brooks (Level 1) - Jetzt verbinden

03.08.2016, aktualisiert 08.10.2016, 4915 Aufrufe, 50 Kommentare

Hallo,

nachdem Routerzwang Geschichte ist, will ich meine Fritzbox durch einen Cisco Router 1921 ersetzen.Also einen neuen Internetrouter komplett ohne Fritzbox......(Dies liegt daran, dass meine Zwangsfritzboxen vom ISP nicht gerade sehr lange halten....dafür kann ich wirklich nichts....)

Der Cisco hat sowohl eine EHWIC-VA-DSL B, als auch eine EHWIC-4ESG Karte drin. Zusätzlich eine Sec Lizenz. Ebenso 10 SSL VPN Lizenzen. Smartnet für künftige Updates ist in Arbeit.

Sicher eine Nummer kleiner hätte es auch getan, aber ich will mich endlich mal in Cisco einarbeiten. Es ist mir Klar, dass es hier nix mit Klick Klick Klack wird....

Mein Provider MNET hat mir folgende Daten bekannt gegeben

VPI:1
VCI:32
VLAN: 40
IP Protokoll IPv6 Dual Stack Zugang
AFTR Adresse:Aftr.prod.m-online.net
PCP Wert für Daten (p-Bit):0
PCP Wert für VOIP (p-Bit) : 5
Username :irgendwas @mdsl.mnet-online.de
Password: Password ätsch :D
Momentaner ausgehandelter Modus ist ADSL2+(Aus aktueller Fritzbox bekannt)

Ich möchte über die EWHIC VA DSL B Karte ins WAN und über den GigabitEthernet0/1 das interne Netzwerk bilden und ins Internet kommen.
Das interne Netzwerk ist ein 192.168.50.X / 255.255.255.0 Netz.

So hier ist meine aktuelle Routerkonfig aus dem 1921:


Hier noch eine Ausgabe:

Bei aktivieren von Befehl:
debug ppp negotiation

bekomme ich in der Konsole folgenden Fehler:

Vi2 PPP DISC: LCP failed to negotiate

Ich komme mit keinem Client in das Internet , wieso? VDSL Controller sagt doch, dass er UP ist.....Was habe ich nur falsch gemacht? Ich habe bestimmt ein paar Anfängerfehler drin....oder ist etwa die komplette Config murks?

Ich möchte den Cisco Router möglichst ohne Configuration Professional Tool parametrieren....Es handelt sich hier um meinen ersten Cisco.....also seid bitte gnädig :D

vielen Dank

LG Brooks
50 Antworten
Mitglied: brooks
03.08.2016 um 13:54 Uhr
Leider hat mir das nichts gebracht:

interface Ethernet0/1/0.40
Ich habe jetzt in Zeile 114/115 noch eingefügt"ip address dhcp"

desweiteren habe ich jetzt noch in

interface Dialer1
die bestehende Zeile "ppp authentication ....chap optional" ausgetauscht durch die Zeile "ppp authentication pap chap callin"

Bis hier leider keine Besserung......

Ich habe jetzt mal versucht ein paar Konsolenlogs herauszuholen

Bitte warten ..
Mitglied: aqui
03.08.2016, aktualisiert um 14:40 Uhr
Hier findest du alles zu dem Thema:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Lesenswert auch:
https://www.administrator.de/content/detail.php?id=307041&token=55
Da du eine alte, fehlerhafte embedded Modem Firmware verwendest. Mnet verwendet VDSL2, Profil 30a. VPI=1 und VCI=32 mit VLAN Tag 40 (200 f. VoIP)
Grund ist das dein xDSL PADI Timer austimed. (PPPoE Active Discovery Initiation) Das Modem bzw. der Router sieht im xDSL sein gegenüber nicht mehr und bricht die PPPoE Initialisierung ab.
Das kann ein Modem Firmware Problem sein. Du solltest in jedem Falle die im o.a. Thread besprochene Firmware Version flashen.
Ein entsprechender 886vaw rennt fehlerlos am MNET Netz.
Gut ist schonmal das die Modem Negotiation durchläuft bis zur PPP Authentisierung.
Außerdem hat deinen Konfig gravierende Fehler die aber erstmal mit dem eigentlichen Problem nichts zu tun haben:
  • NAT ACL 1 ist sinnfreier Unsinn und solltest du neu setzen
  • Die Default Route auf den Dialer 1 ist ebenso Unsinn wenn man ppp ipcp route default konfiguriert hat und die so automatisch vom PPP injiziert bekommt. Eins zur Zeit geht nur ! Besser ist immer ppp ipcp route default, deshalb die statische Route löschen !
Den Rest kannst du dem o.a. Tutorial zum 880er entnehmen.
VPN Tips findest du zusätzlich noch hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
Besser aber erstmal mit einer einfachen Standard Konfig starten um erstmal das Provider Dialin hinzubekommen und keinen überflüssigen Overhead.
Bitte warten ..
Mitglied: brooks
03.08.2016 um 15:37 Uhr
Hallo,

Ich habe einiges von der Konfig eben aus dem o.g. Threads schon geholt....Leider gibt es in vielen anderen Ecken des Internets auch etwas.....Ich bin ja schon froh, dass der VDSL Controller überhaupt mal UP ist.....

ok, das Bedeutet ich benötige ganz dringend einen Smart Net Vertrag....Leider lässt mich Cisco momentan damit warten, bis mich da jemand zurückruft. GIbt es eine alternative wo ich mir Privat einen Smart Net Zugang für CIsco erwerben kann? Oder kann mir jemand helfen?

EIn paar zus. Fragen
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?

Aktualisieren muss ich also mein IOS von 15.1 auf 15.6.3

Muss ich ebenso die Rommon Software aktualisieren?

Im Punkt Konfiguration hat gravierende Mängel:
Kannst du mir bitte sagen, welche Zeilen ich löschen bzw umändern soll?

Das ist auch mein Punkt...ich möchte erst einmal dass er sich ins INternet einwählt, wenn das funktioniert, kommt die Telefongeschichte dran (weiterleitung auf die TK Anlage) , wenn das funktioniert -> VPN.....dann bin ich fertig.

Ich hab nur langsam rießig Respekt vor Cisco und finde die Konsole ganz gut, wenn man weiß welche Befehle man da eintippen muss, ist eine Konfig schnell und sauber geschrieben....> Übersichtlich. Leider brauche ich allerdings noch Hilfe

Vielen VIELEN DANK!!!
Bitte warten ..
Mitglied: aqui
03.08.2016, aktualisiert um 19:35 Uhr
Bedeutet ich benötige ganz dringend einen Smart Net Vertrag..
Nein, man muss nur wissen wo man suchen muss Gib den Dateinamen bei Dr. Google ein. Geht beim IOS Namen entsprechend.
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Nein ! Zeigt das du das Tutorial nicht gelesen hast
Man kopiert die Modem Firmware Datei aufs Flash mit copy tftp flash....
Dann konfiguriert man das Interface so:
!
controller VDSL 0
firmware filename flash:VA_A_39h_B_38h3_24h_j.bin
!

Und rebootet. Beim Booten wird dann die Firmware Datei vom Flash geladen statt die in der Firmware embeddete.
Um die FIrmware des Modems zu aktualisieren, kann ich die dann aus dem IOS SOftware 15.6.3 holen?
Ja aber dann hast du wieder die embeddete Firmware die nicht die aktuellste ist.
Geh zum Cisco Download für das xDSL Modul und checke die Versionen dort.
Muss ich ebenso die Rommon Software aktualisieren?
Nein !
Kannst du mir bitte sagen, welche Zeilen ich löschen bzw umändern soll?
Steht doch oben schon !!
ACL 1 = Halte dich da an das 880er Beispiel in der ACL Syntax
Default Route = Solltest du eigentlich wissen wo die ist ?! (ip route 0.0.0.0...)
Das ist auch mein Punkt...
Dann bitte write erase und Reload und fange neu an !
  • Zuerst via seriell den LAN Port IP und DHCP definieren
  • PC anschliessen, sehen ob er eine IP bekommt und dann mit TeraTerm oder Putty den Router telnetten und das WAN Interface Grundkonfig einrichten.
  • Das muss dann sicher laufen bevor man Finetuning macht.
So eine Grund Konfig sähe dann z.B. so aus:
!
service timestamps log datetime localtime
!
hostname MeinRouter
!
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool localLAN
network 192.168.50.0
default-router 192.168.50.254
dns-server 192.168.50.254
domain-name soho.intern
!
interface GigabitEthernet0/1
ip address 192.168.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
controller VDSL 0/1/0
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
(bridge-dot1q encap 40) **
!
interface Ethernet0/1/0
no ip address
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication (chap) pap callin
ppp pap sent-username <kennung>@provider.de password 1234567
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
!

Damit erstmal alles zum Fliegen bringen ! Weiterleitung VoIP und VPN ist dann danach ein Kinderspiel.
Beachte den im Tutorial Thread gegeben Tip bei Annex J ggf. mit bridge-dot1q encap 40 falls das auch Zwang bei deinem Provider ist ! (Tagging Pflicht beim PPP Dialin)
Möglich das auch deshal der PPP Dialer dich runterschmeisst.
Wichtig hier auch ob der Provider PAP oder CHAP Authentisierung macht ! Im Zweifel beides konfigurieren. Der Cisco probiert dann beide Verfahren.
Ggf. auch hier mal den DSL Debugger zusätzlich zum PPPoE Debugger mitlaufen lassen um zu sehen was genau den PADI Timeout bewirkt.
Bitte warten ..
Mitglied: brooks
03.08.2016 um 21:20 Uhr
Hi


kurzer Zwischenstand:

ich habe jetzt die IOS Software auf folgenden Stand gebracht:
c100-universalk9-mz.SPA.154-3.M4.bin

im VDSL Controller wie beschrieben die folgende Firmware eingetippt und auch im Flash die FIrmware abgelegt:
VA_A_39t_B_35j_24m.bin

Beim Reboot fährt der Router hoch allerdings ist es jetzt so, dass die EHWIC VA DSL B Karte nicht mehr syncronisiert ( die CP Leuchte blinkt dauernd)

Jetzt werde ich nachert noch ein write erase tippen und deine komplette Konfig mal eintippen.....
dann sehen wir weiter..

DANKE!!
Bitte warten ..
Mitglied: brooks
03.08.2016 um 23:47 Uhr
Hi,

zur Info:
also der Mnet Router (fritzbox) arbeitet im Annex B Modus

Meine, nunja also (Deine) jetzige Konfiguration sieht nun wie folgt aus


Bei Eingabe folgender Kommandos kommen jetzt folgende Fehler:
debug ppp authentication
debug ppp negotiation
debug ppp error
debug pppoe errors
debug pppoe events
debug pppoe packets

Ich habe jetzt mal folgende Konfig am laufen:
Im Internet bin ich nicht....dafür sind nun die Fehlermeldungen um einigies weniger geworden.....
Soll ich jetzt die Firmwaredatei , wie o.g. noch in den VDSL Controller einbinden?

Ich habe im InterfaceDialer0

ppp authentication chap pap callin
und
ppp authentication pap callin

versucht, beides keine Wirkung.....

Der Auszug vom VDSL Controller:
Bitte warten ..
Mitglied: brooks
04.08.2016 um 10:04 Uhr
Ok , ich hatte ein paar Fehler drinen und zwar hatte ich ein Shut bei Ethernet0/1/0 und ein shut bei ATM0/1/0...hier steht jetzt "no shut".

Durch aktivieren deines Befehls:
im
interface ATM0/1/0.1 point-to-point

der folgenden Zeile:



bekomme ich im Konsolenfenster endlich folgende Meldungen:
Interessant ist nun das hier:

user4754s-iMac:~ user4754$ screen /dev/cu.usbserial 9600

Eine Idee:???
Bitte warten ..
Mitglied: brooks
04.08.2016, aktualisiert um 15:19 Uhr
ROUTER IS UPPP!!!!---INTERNET IST DA.....

aufgrund der Logs wurde immer wieder ein Fehler bei der User-authorisierung ausgegeben. Durch Zufall und Selbststudium habe ich im Dialer0
folgendes reingehackerlt:


DIe jetzige FINAL-Konfiguration sieht nun wie folgt aus:
es wird jetzt lediglich im Konsolenlog nur noch folgende Fehler ausgegeben:

Hat jemand eine Idee, was dagegen getan werden kann? Oder ist Ignorieren hier die Lösung?


Interessant ist auch folgendes:
Fritzbox hatte einen Downstream von ca 9-10 Mbit.....

Die Cisco hingegen schafft jetzt etwa 16 Mbit...... und beim Internet surfen merkt man es auch....WOW...

Gibt es noch ein paar TIpps / Zeilen wie ich mich hier noch mit der FIrewall absichern sollte????
Bitte warten ..
Mitglied: aqui
05.08.2016 um 18:00 Uhr
Tadaaa !! Gut wenns nun rennt wie es soll !
Was deine Firewall angeht, siehe in das oben zitierte 880er Tutorial, dort ist einen koplette Firewall Konfig drin.
Wie man in deinem neuen VoIP Thread ja sehen kann rennt das auch. Nur SIP hast du vergessen fürs Telefon...
https://www.administrator.de/forum/cisco-1921-voip-telefonanlage-isp-mne ...
Bitte warten ..
Mitglied: brooks
05.08.2016, aktualisiert um 21:21 Uhr
Ok, Dual Stack ist erledigt, siehe zweiten Thread von mir.....
Bitte warten ..
Mitglied: brooks
10.09.2016 um 13:16 Uhr
Leider hatte ich in letzter Zeit viel zu tun: Daher geriet das Projekt etwas nach....

Hmm, ich wollte heute mal in meinem Urlaub mal mit dem Experiment hier langsam abschließen, jedoch habe ich wohl nicht alles richtig gemacht.

Das Problem ist, ich kann einige Seiten gut aufrufen, es gibt aber auch Seiten , die kann ich gar nicht aufrufen. Der Cisco zickt hier rum. Die Fritzbox tut hier ihren Dienst einwandfrei.....Es liegt wohl nicht am mss adjust .....

Ich habe jetzt in einem anderen Forum noch nachgefragt, ein User hat mir dort folgendes mitgeteilt:

BEGINN:
hört sich ganz danach an als ob du DS-Lite / AFTR hast aber dies dem Cisco nicht gesagt hast ;)

Du musst aber die Adresse statisch hinterlegen also musst du einmal

dig aaaa aftr.prod.m-online.net
machen und eine IPv6 picken.

https://www.cisco.com/c/en/us/td/docs/r ... er_01.html

Strg+F => aftr-tunnel-endpoint-address

ENDE:

ich habe daraufhin den Befehl in meinem Mac eingegeben, dieser spuckt mir das hier aus:

aftr.prod.m-online.net. 3579 IN AAAA 2001:a60:0:4::ffff
aftr.prod.m-online.net. 3579 IN AAAA 2001:a60:0:1::ffff

Die Anleitung in Cisco beschreibt folgendes:
RP/0/RP0/CPU0:router# config
RP/0/RP0/CPU0:router(config)#service cgn cgn1
RP/0/RP0/CPU0:router(config-cgn)#service-type ds-lite ds-lite1
RP/0/RP0/CPU0:router(config-cgn-ds-lite)#aftr-tunnel-endpoint-address 10:10::2
RP/0/RP0/CPU0:router(config-cgn-ds-lite)

Tipp ich das jetzt so in den 1921 er Router mit statt 10:10::2 dann 2001:a60:0:4::ffff ?

Danke
Bitte warten ..
Mitglied: aqui
10.09.2016 um 19:16 Uhr
ich kann einige Seiten gut aufrufen, es gibt aber auch Seiten , die kann ich gar nicht aufrufen.
Klasssiches MTU Problem bei xDSL. Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Pass das auf dem LAN Port mit der MSS Segment Size an und auf dem WAN mit der MTU. Das Tutorial hat die richtigen Werte !
Mit DS Lite hat das eher weniger zu tun, denn das ist ja nur IPv6.
Ist aber auch möglich, das musst du natürlich entsprechend konfigurieren !
Falsch ist aber wenn du eine Feld- Wald und Wiesen v6 Adresse nimmst. Die bekommst du immer per Prefix Delegation von deinem Provider !
Im Threadverluaf des hiesigen Cisco Tutorials findest du am Ende eine Konfig dazu:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Bitte warten ..
Mitglied: brooks
01.10.2016, aktualisiert um 19:02 Uhr
Hi,

ich hab jetzt die Werte ausprobiert, geht alles nix:...

daraufhin habe jetzt mal die Befehle hier im Dialer 0 rausgeschmissen:
ip inspect Firewall out


ipv6 inspect inspectv6 out


ipv6 traffic-filter native-ipv6-Firewall in

jetzt kann ich sogar youtube und t-online und einige andere Websiten ohne Probleme besuchen...und auch videos schauen....

jetzt geht eigentlich alles nur bei dieser Website:
egun.de


Die kann ich zwar in der Startseite laden , sobald ich aber auf Deutsch klicke geht nix mehr, mit der Fritzbox gehts....IDEEN?????ich habe keine mehr, ich weiß nicht wo ich noch weitermachen soll....

der Fehler liegt doch langsam woanders? ich habe adjust-mss aktuell bei 1452, mtu und ipv6 mtu bei 1492...hilft alles nix.....
Bitte warten ..
Mitglied: aqui
02.10.2016, aktualisiert um 12:20 Uhr
Das ist aber ziemlich fatal, denn nun hast du komplett die SPI Firewall auf dem Router deaktiviert und deine Sicherheit hängt nur einzig an den einfachen Accesslisten.
Das solltest du besser nicht machen !

Man kann nur vermuten das du einen ziemlichen Fehler in der CBAC Firewall Accessliste gemacht hast !
Ansonsten ist das Verhalten nicht zu erklären.
Hast du dir das hiesige Tutorial nochmal ganz genau angesehen diesbezüglich ??
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
bzw.
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...

Das ist die ACL 111 ! Von der hängt die saubere Funktion ab ! So sollte sie aussehen:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw smtp
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
!


Dazu dann korrespondierend die ACL 111 auf dem Dialer Interface:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any


Und dazu dann das Dialer 0 Interface:
interface Dialer0
description Provider Dialin xDSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz@provider.de password geheim123
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!


Damit funktioniert die Firewall dann auf JEDER Webseite fehlerlos !! Auch der Marktplatz für Tiermörder
Bitte warten ..
Mitglied: brooks
02.10.2016, aktualisiert um 17:34 Uhr
Ok, der Fehler liegt wirklich irgendwo in der CBAC Access Liste....ich hab vorhin herumgespielt, für einen kurzem Moment ging die Egun Website , dann aber nicht mehr...

jetzt gehen folgende Websites nicht mehr.
www.t-online.de
www.egun.de
www.youtube.com
www.wieistmeineip.de

im LOG steht folgendes

<code>
2 17:34:12: %SEC-6-IPACCESSLOGP: list 111 denied udp 17.173.254.223(16387) -> 188.174.74.232(16403), 1 packet
*Oct 2 17:34:33: %SEC-6-IPACCESSLOGP: list 111 denied tcp 88.247.138.59(62621) -> 188.174.74.232(23), 1 packet
*Oct 2 17:34:40: %SEC-6-IPACCESSLOGP: list 111 denied tcp 110.92.131.18(26203) -> 188.174.74.232(23), 1 packet
*Oct 2 17:35:22: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49191), 1 packet
*Oct 2 17:36:39: %SEC-6-IPACCESSLOGP: list 111 denied tcp 175.183.11.84(13880) -> 188.174.74.232(23), 1 packet
*Oct 2 17:38:46: %SEC-6-IPACCESSLOGP: list 111 denied tcp 113.22.87.190(18935) -> 188.174.74.232(2323), 1 packet
*Oct 2 17:39:03: %SEC-6-IPACCESSLOGP: list 111 denied tcp 58.210.197.67(8934) -> 188.174.74.232(23), 1 packet
*Oct 2 17:39:50: %SEC-6-IPACCESSLOGP: list 111 denied udp 17.173.254.223(16387) -> 188.174.74.232(16403), 11 packets
*Oct 2 17:40:06: %SEC-6-IPACCESSLOGP: list 111 denied tcp 46.255.243.65(36481) -> 188.174.74.232(23), 1 packet
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49191), 3 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49183), 4 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49192), 4 packets
*Oct 2 17:40:50: %SEC-6-IPACCESSLOGP: list 111 denied tcp 23.42.23.147(443) -> 188.174.74.232(49190), 4 packets
*Oct 2 17:40:59: %SEC-6-IPACCESSLOGP: list 111 denied tcp 37.29.47.135(19766) -> 188.174.74.232(2323), 1 packet
*Oct 2 17:41:02: %SEC-6-IPACCESSLOGP: list 111 denied tcp 47.9.217.84(62684) -> 188.174.74.232(21), 1 packet
*Oct 2 17:41:04: %SEC-6-IPACCESSLOGP: list 111 denied udp 62.245.181.76(38066) -> 188.174.74.232(1900), 1 packet
*Oct 2 17:42:16: %SEC-6-IPACCESSLOGP: list 111 denied tcp 122.117.171.146(5067) -> 188.174.74.232(23), 1 packet

<code>

IDEEN???

MEINE Running Config:
<code>
sco1921#show running-config
Building configuration...

Current configuration : 6754 bytes
!
! Last configuration change at 14:27:51 CEST Sun Oct 2 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
network 192.168.50.0 255.255.255.0
domain-name soho.intern
default-router 192.168.50.2
dns-server 192.168.50.2
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip inspect name Firewall tcp
ip inspect name Firewall https
ip inspect name Firewall pop3s
ip inspect name Firewall smtp
ip inspect name Firewall imaps
ip cef
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
dns-server 2001:A60::53:1
dns-server 2001:A60::53:2
domain-name soho.intern
!
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
crypto pki trustpoint TP-self-signed-3541750139
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3541750139
revocation-check none
rsakeypair TP-self-signed-3541750139
!
!
crypto pki certificate chain TP-self-signed-3541750139
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D XXXXXX1 37353031 3339301E 170D3136 31303031 31363132
30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35343137
35303133 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AC7A B8C1CAB9 1A538A5D 515A96F7 8792C227 E025F934 92582383 6FC17DC6
5A09BFE7 16A17C13 809198EE 340FA185 6798C7F3 48AD775D 9BF60306 3F34D897
4626C4C6 D59A2937 6D50C7E6 E6EDA123 D9C057EE A7D84F6A 0F5A73C2 E867942A
20FA1605 122F4456 FFCE3419 8B26C111 E077D078 88A8B898 A3F3038A A40A4BF7
7E390203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14ED5731 13DC7327 3729D570 C37B2C81 5AAA4EEA 7C301D06
03551D0E 04160414 ED573113 DC732737 29D570C3 7B2C815A AA4EEA7C 300D0609
2A864886 F70D0101 05050003 81810032 F53E40B0 F3935CFE B8EA0B92 DAA94CB7
CF1893D2 2930ADA4 F9B88F4B XXXXXXX 682E5090 5A94DF87 02AD49C1 3779E506
70956716 32C4FD50 F70F4350 ED06A162 CF19191C 763AF6BC 7234BD62 C67D96A3
88CEA027 8D18DFB4 40E5823C 2D5170AF E32FE01C 121DD53E 68BDEE3C 3884A1BF
6BCD837F 3B77ED7C E35EB8E4 506E08
quit
license udi pid CISCO1921/K9 sn FXXXXX
!
!
username user4754 password 7 XXXX
!
redundancy
!
!
!
!
!
controller VDSL 0/1/0
firmware filename flash:VA_A_39m_B_38u_24h.bin
!
ip tcp synwait-time 5
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/1
description NETWORK INTERN
ip address 192.168.50.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
ipv6 address NODE-PD ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server NODE-DHCPV6
ipv6 verify unicast reverse-path
no mop enabled
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
pvc 1/32
bridge-dot1q encap 40
pppoe-client dial-pool-number 1
!
!
interface Ethernet0/1/0
no ip address
no ip route-cache
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0/0
description NETWORK VOIP
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
interface Dialer0
description VDSL Einwahl Interface to ISP MNET
mtu 1492
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect Firewall out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer idle-timeout 1800 inbound
dialer-group 1
ipv6 address NODE-PD ::FF:0:0:0:1/128
ipv6 enable
ipv6 mtu 1492
ipv6 dhcp client pd NODE-PD rapid-commit
ipv6 verify unicast reverse-path
ipv6 inspect inspectv6 out
ipv6 traffic-filter native-ipv6-Firewall in
no keepalive
ppp authentication pap chap callin
ppp chap hostname XXXXX@mdsl.mnet-online.de
ppp chap password 7 XXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit udp any eq 5060 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
access-list 111 deny ip any any
!
ipv6 access-list native-ipv6-Firewall
permit icmp any any
permit udp 2001::/56 eq 547 2001::/56
permit udp FE80::/10 eq 547 FE80::/10
permit tcp 2001::/56 eq 547 2001::/56
!
control-plane
!
!
!
line con 0
logging synchronous


<code>

Der Cisco kann erst dann am Netz hängen wenn alle Websites einwandfrei gehen, bis dahin muss die Fritzbox herhalten.....
Ich hab im Moment allerdings keinen Plan, welchen fatalen Fehler ich begannen habe....
Bitte warten ..
Mitglied: brooks
02.10.2016 um 18:07 Uhr
BAAAAMMMM:

Ich hab den Fehler gefunden:

Wenn ich den Windows PC anstecke an den Cisco, und das Protokoll ipv6 auf dem Client deaktiviere, kann ich alle Seiten besuchen......ohne STRESS

Mein Problem:

ipv6 dhcp pool NODE-DHCPV6
dns-server 2001:A60::53:1
dns-server 2001:A60::53:2
domain-name soho.intern

Was ist hier Falsch?????
Muss ich hier beide DNS herausschmeissen? Wo ist hier die Adresse für das Gateway?
Bitte warten ..
Mitglied: brooks
03.10.2016, aktualisiert um 10:04 Uhr
Guten Morgen Aqui,

also


meine jetzige Running-Config:

Die folgende Befehl zeigt folgende IPV6 Addressen an:

Ich bekomme an dem MAC OS X Client folgende IP Addressen zugewiesen:
IPV6:Addresse: 2001:a61:20f8:c401:aa20:66ff:fe52:4e84 Prefix 64
IPV6:Addresse: 2001:a61:20f8:78bd:3de2:4de2:aed5:1c82 Prefix 64
Router IPV6___:fe80::669e:f3ff:fe57:b41
DNS :dns-server 2001:A60::53:1 (VON Internetserviceprovider)
DNS:dns-server dns-server 2001:A60::53:2 (Von INternetserviceprovider)

Wenn ich am Browser über dem CLient die Seite "wieistmeineIpv6 aufrufe:
Bekomme ich als antwort meiner IPV6 Addresse:
2001:A61:20F8:C401:34DF:A000:EFF4:2015



Was läuft hier falsch=???? Wenn ich an den Client ipv6 deaktiviere, klappt es wunderbar mit dem Internet, gehe ich jedoch nur auf IPV6 habe ich massive Probleme , da viele Websiten nicht gehen.

Ist DHCP Ok? Liegt es an der FIrewall? Ich habe im moment keine Idee was ich noch tun könnte.....

Hier noch ein paar Auszüge:
Was ich nicht verstehe, ist der u.g. Auszug .....Der Mac steckt momentan direkt an der Cisco 1921 , diese mit dem Internet verbunden. Sonst kein weiterer PC angeschlossen: der Mac hat sich die IPV6 Daten alle geholt vom Cisco:
Wieso steht dann in der Anzeige Active Client 0, und nicht eine 1?


NACHTRAG:
Im Log vom Cisco tauchen hier folgende Meldungen auf:


Vielleicht hilft dir auch das hier weiter:

Bitte warten ..
Mitglied: aqui
04.10.2016 um 14:29 Uhr
IPv6 hat immer Vorrang vor IPv4. Ist ein Dual Stack aktiv wird das Endgerät immer eine IPv6 Verbindung versuchen.
Nicht alle Webserver im Internet haben aber auch einen IPv6 Stack aktiv und diese sind dann folglich nicht erreichbar.
Ist deine Konfig statisch oder bekommst du alles per v6 Prefix Delegation von deinem Provider ?
Bitte warten ..
Mitglied: brooks
04.10.2016, aktualisiert um 14:55 Uhr
Ich bekomme den Prefix vom Provider. In der Fritzbox funktioniert es , nur eben nicht bei der Cisco . Ich weiß nicht wo der Fehler in der Cisco liegt ....

Bsp funktioniert die Website egun in ipv6 nur in der Fritzbox , im Cisco selber nicht, unter IPv4 allerdings schon

Was mir noch aufgefallen ist , in der Fritzbox bekomme ich zusätzlich fd00 .... ipv6. Adressen zugewiesen , mit der Cisco nicht...

Ich bin mir auch nicht sicher ob der DNS server stimmt , den die Fritzbox weist mir einen fd00 ... zu...
Bitte warten ..
Mitglied: brooks
04.10.2016 um 14:58 Uhr
Kann es sein , dass noch link local für ipv6 aktiviert werden muss??
Bitte warten ..
Mitglied: aqui
04.10.2016 um 17:04 Uhr
Ich weiß nicht wo der Fehler in der Cisco liegt ....
Kann nur deine Konfig sein !!
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configurat ...
Damit rennt das fehlerlos auf einem Telekom DSL Anschluss
fd00 /8 IP Adressen sind Lokale Unicast Adressen.
http://www.ipv6-portal.de/informationen/einfuehrung/adressbereiche.html
Also quasi das was die provaten RFC 1918 IP Adressen bei IPv4 sind:
https://de.wikipedia.org/wiki/Private_IP-Adresse
Normal werden die niemals irgendwo vergeben. Im Internet werden di nicht geroutet wie ihr v4 Pendant !

Kann das sein das du einen DS Lite Anschluss benutzt und das Provider interne Adressen sind ??
Bitte warten ..
Mitglied: brooks
04.10.2016, aktualisiert um 22:27 Uhr
Der Fehler liegt definitiv in der Config....


Hmm, also was ich dir sagen kann:

ich hatte zuerst einen DS-Lite ipv6 Zugang, also nur eine IPV6 Addresse., dann dort telefonisch angerufen und um eine zusätzliche IPV4 Adresse gebeten. Mnet sagte mir dann ich bekomme einen Dual Stack Zugang...

http://www.m-net.de/hilfe-service/glossar/begriff/show/a-e/dual-stack-l ...

Was ich nicht verstehe:
Ich bekomme ja am Interface DIaler0 eine IPV6 und eine IPV4 zugewiesen......meine öffentliche IPS zugewiesen, und diese stimmen ja auch mit der im Webbrowser (wieistmeineip.de...) Ich hoffe ich konnte die Frage damit beantworten, falls nicht, hab ich wohl den Sinn deiner Frage nicht verstanden....

Der Prefix ändert sich nur bis zum neustart des Routers....

ich hab dir mal einen AUszug meiner IP Zuweisung von der Fritbox per PN Nachricht geschickt.....

Hast du eine Idee wie wir den Fehler weiter eingrenzen können.....

Bei der Cisco kann über IPV6 eigentlich nur google.de erreichen , nicht aber egun.de
bei der Fritzbox kann ich über IPV6 viele Websiten erreichen......auch egun.de......



EDIT_//

ich habe jetzt 4 Stunden herumgespielt, DHCP und DNS sind wohl in Ordnung....

Wenn ich die Abfrage auf Egun.de Website Lade, dann kommt die Seite, klicke ich auf das Deutsch Symbol, will die Seite laden und bleibt dann stehen .....

Ich bin am Ende mit meinem Laienfachwissen....Selbst bei der minimalistischen Konfig abgewandelt für MNET bleibt es dabei.....

Magst du /jemand von euch nicht mal meine Cisco Config in einen Testrouter von dir/euch reinladen , vielleicht kommen wir den Fehler so näher...

Ich würde mal gerne eine funktionierende CIsco Dual Stack Config Sehen, wenn bei abgeschaltetem IPV4 die Seite Egun.de (es ist eine Referenzseite für mich um zu prüfen ob ich ales richtig gemacht habe.....)noch geht....:D...bei mir geht es mit genannter Config nicht.....und wenn das nicht geht, brauch ich meine TK Anlage gar nicht erst anbinden....

Ich denke auch im Moment über Multicast nach, aber der Befehl IPv6 Multicast, hat auch nichts gebracht....
Bitte warten ..
Mitglied: aqui
05.10.2016, aktualisiert um 16:50 Uhr
ch bekomme ja am Interface DIaler0 eine IPV6 und eine IPV4 zugewiesen......meine öffentliche IPS zugewiesen, und diese stimmen ja auch mit der im Webbrowser
Was ja ein gutes Zeichen ist und zeigt das der Dual Stack und auch die Prefix Delegation sauber funktioniert !
Der Prefix ändert sich nur bis zum Neustart des Routers....
Auch das ist normal
bei der Fritzbox kann ich über IPV6 viele Websiten erreichen......auch egun.de......
Bist du dir da ganz sicher das du diese Seiten auch mit IPv6 erreichst ? Das Gros der Webhosts im Internet hat (noch) gar keine IPv6 Adresse so das der Verdacht besteht die FB erreicht diese dann mit IPv4 !

Mach doch mal folgendes:
  • Nimm nslookup oder dig und lege dir eine Liste der IPv6 Host IP Adressen dieser Webseiten an. Damit hast du dann die Gewissheit einer wirklich IPv6 Zieladresse.
  • Jetzt machst du auf dem Cisco einen extended Ping indem du ping6 <return> eingibst und dann menügeführt deine Adressen eingibst. Bei extended Commands ? antwortest du mit yes und gibst dann als Source IP die aktuelle IPv6 WAN IP an.
  • Damit kannst du dann einen dedizierten v6 Ping auf die IPv6 Hostadresse ausführen. Testweise auch nochmal mit traceroute6 usw um die v6 Hops zu checken.
  • Das muss ja in jedem Falle so klappen, weil du ja native v6 Adressen nutzt und wenn nslookup keine v6 Adressen liefert haben diese Hosts keine.
  • Den ping6 extended Test wieder holst du dann auf dem Cisco mit seiner LAN Port v6 Adresse. Damit kannst du dann wasserdicht checken das dein übertragender Prefix im lokalen LAN sauber gerouetet wird.
Ich denke auch im Moment über Multicast nach,
Wozu das ??
Multicast ist im Internet bzw. auf dem WAN Port völliger Unsinn, denn das wird im Internet gar nicht geroutet weder bei v4 noch bei v6 !
Nicht im freien Fall raten und verschlimmbesern, das macht die Sache nur komplzierter.
Nutze besser die zahllosen Cisco Debug Kommandos die dir wirklich helfen !!
Bitte warten ..
Mitglied: brooks
08.10.2016, aktualisiert um 15:35 Uhr
Hi,

also bez. Cisco:
ich hab jetzt auf Version 15.5 geupdatet. Keine Besserung.

bei cisco, wird mit dem Befehl show host auch das hier angezeigt "gekürzt...."

Ich habe es zu der Seite egun.de getestet. Diese ist IPv6 Fähig. Kann es sein , das IPv6 absolute ok ist.? und der Fehler woanderst sitzt?

meine jetzige running-config

So und was nun? Wenn es die Software nicht ist, wenn es das IPV6 nicht ist, was kann es dann sonst noch sein?=
Bitte warten ..
Mitglied: aqui
08.10.2016 um 19:22 Uhr
Einen Kardinalsfehler hast du noch !
Die ACL 111 als Out ACL auf dem lokalen Gig0/1 Interface ist natürlich völliger Quatsch !
Das ist eine CBAC ACL für die Firewall auf dem Dialer und ist vollkommen ungeeignet als Outbound ACL auf dem lokalen Gig Interface. Schlimmer noch sie blockt dort wichtigen Traffic.
Den Unsinn kannst du getrost löschen.

Zum eigentlichen Problem:
Hast du mal einen v6 Traceroute gemacht und gecheckt wo der Traffic hängen bleibt ??
Wie sieht deine IPv6 Routing Tabelle aus ? show ipv6 route ?
Bitte warten ..
Mitglied: brooks
08.10.2016, aktualisiert um 20:56 Uhr
Den Unsinn, also die ACL111 auf dem GigabitEthernet0/1 habe ich gelöscht.


'
Trotz DHCP Modus bekomme ich keine IP zugewiesen? Sollte ich das doch so lassen wie ich es vorher hatte?
Den Thread hier bitte ignorieren, hab den unteren gestartet....
Bitte warten ..
Mitglied: brooks
08.10.2016, aktualisiert um 20:57 Uhr
Also
Den Unsinn, also die ACL111 auf dem GigabitEthernet0/1 habe ich gelöscht.
ich habe zwischenzeitlich mal wieder in GigabitEthernet0/1 die Zeile 09 wieder durch ipv6 address NODE-PD 0:0:0:1::/64 eui-64
und erhalte auch wieder eine IPV6 addresse, warum das mit dhcp nicht klappt verstehe ich nicht.....

Das Interface GigabitEthernet0/1 muss aber im Client Modus sein was DHCP V6 betrifft?

Traceroute auf dem MAC:
Bitte warten ..
Mitglied: brooks
08.10.2016, aktualisiert um 20:57 Uhr
Ein anderes Traceroute auf dem MAC:

Noch eine Seite:
Es gibt auch Seiten, die fangen an zu Laden und laden dann ewig.....Es gibt auch Seiten die lassen sich gar nicht öffnen, so wie die letzte mit ipv6-test.com

egun läd hier zwar die Startseite, beim klick auf die eigentliche Deutsch Hauptseite , fängt sie auch an zu laden und bleibt dann stehen..
Bitte warten ..
Mitglied: brooks
08.10.2016 um 22:30 Uhr
vielleicht wichtig?

In show logging:
%IPV6_FW-3-RESPONDER_WND_SCALE_INI_NO_SCALE: Dropping packet - Invalid Window Scale option for session 2001:A61:20BE:8601:6152:1E82:2410:3D3E:53581 to 2A02:26F0:12:197::90:80 [Initiator(flag 0,factor 5) Responder (flag 840083044, factor 244619520)]
Bitte warten ..
Mitglied: aqui
09.10.2016, aktualisiert um 11:42 Uhr
Trotz DHCP Modus bekomme ich keine IP zugewiesen?
Schalte mal den ipv6 DHCP Debugger ein und setze das Interface mal auf shut, no shut und beobachte was da passiert !
Irgendwas ist da noch faul mit der DHCPv6 Konfig.
Was aber interessant ist, ist die Tatsache das IPv6 ja rausgeroutet wird ! Leider fehlt mal wieder deine Pv6 Routing Table
Bis ins 2001:a60::69:0:2:2 Netz kommst du ja und das müsste schon das Providernetz sein, richtig ?
Hast du diese Diskussion zu dem Thema vom Mitglied @cpt-haddock gelesen zum Thema IPv6:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...

Das diverse Seiten anfangen zu laden dann aber hängen bleiben zeugt stark von einem MTU bzw. MSS Problem.
Die Fehlermeldung mit der Windows Scale verstärkt diesen Verdacht noch.
Cisco selber sagt folgendes dazu:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
Das bezieht sich wie du oben siehst aber rein auf den VPN Zugang und diese Fehlermeldung kommt nur bei IPsec Tunneln laut o.a. Troubleshooting Guide !
Bitte warten ..
Mitglied: brooks
09.10.2016, aktualisiert um 13:22 Uhr
Der Windows Scale Fehler kam nur ein einziges Mal , weil ich jetzt soviel herumgespielt habe....ich habe ja gestern noch ein paar andere Kommandos aus dem Cisco Forum versucht, da mir dort einer ein paar andere Kommandos empfohlen hat....

Ich poste die Konfig dann gleich:

Hier der IP Route, Verzeihung!

das von cpt haddock werde ich mir gleich mal ansehen.....

Ich bin alternativ noch hier dran Mein Englisch ist wohl auch nicht mehr das beste.... ...)
https://supportforums.cisco.com/discussion/13133901/cisco-1921-router-in ...



Meine aktuelle Running-Config:

Was MTU btw MSS anbelangt, ich habe schon sehr lange an den Werten herumgespielt ohne Besserung....

Im Moment habe ich bei dieser Konfig immer noch das Problem, dass der Dialer0 keine IPv6 Adresse beziehen kann, das GigabitEthernet0/1 wohl schon......im Moment bin ich da erst mal daran, warum per DHCP keine addresse bezogen werden kann,. Diese Running COnfig bleibt jetzt so, irgendwo muss der Fehler ja sein......


Auf deine Frage:

Bis ins 2001:a60::69:0:2:2 Netz kommst du ja und das müsste schon das Providernetz sein, richtig ?

Richtig!
Bitte warten ..
Mitglied: brooks
09.10.2016 um 14:25 Uhr
9 12:26:43.335: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:26:43.359: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:26:43.359: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:26:44.447: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:26:44.471: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:44.471: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 12:26:45.559: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:46.511: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:48.439: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:26:52.307: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:27:00.527: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:27:16.463: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:27:28: %SEC-6-IPACCESSLOGP: list 111 denied udp 89.163.144.212(5104) -> 93.104.115.32(5060), 1 packet
*Oct 9 12:27:48.651: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:28:17.839: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:28:25: %SEC-6-IPACCESSLOGP: list 111 denied tcp 171.98.85.50(28364) -> 93.104.115.32(23), 1 packet
*Oct 9 12:28:45.771: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:16.635: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:29:23: %SEC-6-IPACCESSLOGP: list 111 denied tcp 77.247.178.145(23) -> 93.104.115.32(57395), 1 packet
*Oct 9 12:29:45.527: IPv6 DHCP: Reached max retransimission count 10
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from REQUEST to IDLE (ADDR_SHUTDOWN) on Dialer0
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from IDLE to SOLICIT (ADDR_START) on Dialer0
*Oct 9 12:29:45.527: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_TIMEOUT) on Dialer0
*Oct 9 12:29:46.587: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:29:46.611: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:29:46.611: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:29:47.707: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:29:47.731: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:47.731: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 12:29:48.719: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:49.731: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:29:51.771: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:29:54: %SEC-6-IPACCESSLOGP: list 111 denied tcp 120.37.138.178(49250) -> 93.104.115.32(23), 1 packet
*Oct 9 14:29:54: %SEC-6-IPACCESSLOGP: list 111 denied tcp 175.213.213.12(4282) -> 93.104.115.32(23), 2 packets
*Oct 9 14:29:55: %SEC-6-IPACCESSLOGP: list 111 denied tcp 66.240.219.146(58022) -> 93.104.115.32(7777), 1 packet
*Oct 9 12:29:55.935: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:30:04.095: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:30:19.907: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 14:30:32: %SEC-6-IPACCESSLOGP: list 111 denied tcp 187.35.101.245(60168) -> 93.104.115.32(23), 1 packet
*Oct 9 12:30:47.391: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:31:15.359: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:31:45.619: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:13.987: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0

2:32:41.147: IPv6 DHCP: DHCPv6 address changes state from REQUEST to IDLE (ADDR_SHUTDOWN) on Dialer0
*Oct 9 12:32:41.147: IPv6 DHCP: DHCPv6 address changes state from IDLE to SOLICIT (ADDR_START) on Dialer0
*Oct 9 12:32:41.147: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_TIMEOUT) on Dialer0
*Oct 9 12:32:42.155: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:32:42.179: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:32:42.179: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:32:43.163: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: Received ADVERTISE from FE80::12F3:11FF:FEA3:1F00 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: Removing server FE80::12F3:11FF:FEA3:1F00 that advertised no addresses
*Oct 9 12:32:43.187: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:43.187: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on Dialer0
*Oct 9 14:32:43: %SEC-6-IPACCESSLOGP: list 111 denied tcp 194.135.108.30(50259) -> 93.104.115.32(23), 1 packet
*Oct 9 12:32:44.147: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:45.103: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0
*Oct 9 12:32:47.019: IPv6 DHCP: Sending REQUEST to FF02::1:2 on Dialer0



Ich habe jetzt mal im Dialer0 ipv6 address dhcp durch ipv6 address NODE-PD ::FF:0:0:0:1/128, damit ich mal am Dialer0 eine IP zugewiesen bekomme.....keine Besserung
Bitte warten ..
Mitglied: brooks
09.10.2016 um 14:43 Uhr
vielleicht ist das für dich hier auch interessant :

user4754s-iMac:~ user4754$ ping6 www.heise.de
PING6(56=40+8+8 bytes) 2001:a61:20b2:bf00:c135:34cd:a118:d515 --> 2a02:2e0:3fe:1001:7777:772e:2:85
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=0 hlim=58 time=32.331 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=1 hlim=58 time=32.322 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=2 hlim=58 time=32.493 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=3 hlim=58 time=32.326 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=4 hlim=58 time=32.782 ms

ping test geht, die Websiten Problematik mit IPv6 bleibt....
Bitte warten ..
Mitglied: brooks
09.10.2016 um 16:16 Uhr
Hab die Accesslisten mal so angepasst wie es auf deiner Seite der Cisco holic vorgeschlagen hat

LOG Shows: *Oct 9 16:16:07: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(53546), 1 packet *Oct 9 16:16:07: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(60449), 1 packet *Oct 9 16:16:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(61881), 1 packet *Oct 9 16:16:08: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) (Dialer0) -> 2001:A61:3113:BE00::1(58848), 1 packet
Bitte warten ..
Mitglied: brooks
09.10.2016 um 17:20 Uhr
Ich glaube , das von irgendwo nach irgendwo der DNS Server blockiert wird........Richtig=??
Bitte warten ..
Mitglied: aqui
11.10.2016 um 23:24 Uhr
Mmmhhh, der erfolgreiche v6 Ping vom iMac zu Heise zeigt das routingtechnisch ja soweit alles OK ist !
Spannend wäre nochmal ein v6 Traceroute vom iMac gewesen um die v6 Hops zu sehen.
Das zeigt doch aber ganz klar das das v6 Routing sauber rennt !

Das Filter Log zeigt aber auch das dort ganz klar UDP 53 Pakete blockiert werden denied udp 2001:A60::53:2(53)
Das das dann natürlich zu gravierenden DNS Problemen führt ist klar.
Du solltest deine WAN Port ACL nochmal sehr genau checken.
Bitte warten ..
Mitglied: brooks
12.10.2016 um 09:59 Uhr
Traceroute versuche ich heute Abend mal nachzuliefern.
Hier siehst du die IPv6 Firewall, welche Zeilen muss ich da noch eintragen?, damit DNS funktioniert????
Bitte warten ..
Mitglied: aqui
12.10.2016 um 17:41 Uhr
Mit tcp any any established fackelst du ja alles ab was vom Router initiiert ist also auch DNS sofern der Router auch Proxy ist.
Testweise könntest du die ACL mal kurz deaktivieren, aber daran wirds nicht liegen.
Der Traceroute wäre mal spannend.
Bitte warten ..
Mitglied: brooks
12.10.2016 um 20:08 Uhr
Hi,

also ich hab jetzt an den ACL nichts gemacht,

ein traceroute6 auf dem MAC sieht so aus:
</code>
user4754s-iMac:~ user4754$ traceroute6 egun.de
traceroute6 to egun.de (2001:1bc0:af::a1) from 2001:a61:313b:6200:e9d9:3f89:8ee1:39d2, 64 hops max, 12 byte packets
1 2001:a61:313b:6200::1 0.778 ms 0.630 ms 0.481 ms
2 2001:a60::89:301:1 65.229 ms 74.634 ms 249.067 ms
3 2001:a60::69:0:2:2 63.538 ms 64.057 ms 65.555 ms
4 decix1.eurotransit.net 63.550 ms 58.036 ms 63.219 ms
5 www.egun.de 58.387 ms 60.543 ms 66.762 ms
</code>

Traceroute von Cisco über GIgabitEThernet0/1

Ich weiß nicht mehr wo das Problem liegt, ich bin am Ende mit meiner Laienweisheit .... ich fürchte, alles war umsonst...

Der Witz ist, ich bekomme eine IPV4 und eine IPV6 am Dialer0.....
Warum ist eigentlich Ethernet0/1/0.40 down?
Bitte warten ..
Mitglied: brooks
12.10.2016 um 20:18 Uhr
was ich bsp nicht verstehe ist das hier

interface Ethernet0/1/0
no ip address
no ip route-cache
!
interface Ethernet0/1/0.40
encapsulation dot1Q 40
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1

was hat das eigentlich mit Ethernet0/1/0 zu tun?

Ich hab doch nur das GIgabitEthernet0/1 als interes LAN
und den DIALER0
Bitte warten ..
Mitglied: brooks
12.10.2016 um 20:44 Uhr
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54746), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58636), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(52362), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(60603), 1 packet
*Oct 12 20:52:21: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(54258), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58520), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(58642), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(59128), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(54972), 1 packet
*Oct 12 20:52:22: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) -> 2001:A61:313E:EFFF::1(63922), 1 packet
*Oct 12 20:52:24: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54258), 1 packet
*Oct 12 20:52:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(54972), 1 packet
*Oct 12 20:52:25: %IPV6_ACL-6-ACCESSLOGP: list WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:2(53) -> 2001:A61:313E:EFFF::1(63922), 1 packet
Bitte warten ..
Mitglied: aqui
15.10.2016 um 12:14 Uhr
was hat das eigentlich mit Ethernet0/1/0 zu tun?
Am physischen Internet Port 0/1/0 ist dein WAN sprich Internet Port angeschlossen (Modem) !!
An welchem Port dein lokales LAN angeschlossen ist ist dafür vollkommen unerheblich und spielt keinerlei Rolle !

Physisch hängt dein WAN Port an dem obigen Port. Dadurch das dein Provider Mnet dort ein VLAN Tagging mit der VLAN ID 40 erzwingt musst du ein virtuelles Subinterface auf diesem Port einrichten 0.40
Das fügt dann den VLAN Tag 40 den Paketen hinzu.
Das Subinterface wiederum ist mit pppoe-client dial-pool-number 1 eingestellt das es keine Ethernet Encapsulierung macht sondern eine PPPoE Encapsulierung auf dem Port und die "1" in dem Kommando referenziert auf das Dialer 1 Interface auf dem dann alle PPPoE Parameter konfiguriert sind.
Eigentlich doch alles ganz einfach und logisch, oder ?

Du kannst an deinen Debug Outbuts WAN_OUTSIDE_INv6/100 denied udp 2001:A60::53:1(53) klar sehen das deine Accessliste WAN_OUTSIDE_INv6 ausgehende DNS UDP Pakete mit dem Ziel 2001:A60::53:1 blockiert.
Damit ist dann kein v6 DNS möglich !
Bitte warten ..
Mitglied: brooks
15.10.2016 um 12:19 Uhr
Hi

Welche Regel muss ich dann hinzufügen, , damit DNS nicht mehr blockiert wird?
Bitte warten ..
Mitglied: aqui
15.10.2016, aktualisiert um 12:56 Uhr
Gilt die Regeldefinition noch bzw. ist die noch aktuell :
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 100 deny ipv6 any any log


Wenn ja ist es das Statement: sequence 100 deny ipv6 any any log !
Return Pakete würde sequence 40 permit tcp any any established normalerweise passieren lassen aber du nutzt ja UDP und da greift diese regel nicht. UDP bleibt dann in der Rehel 100 hängen und taucht im Log auf !
So müsste es richtig sein um UDP 53 (DNS) durchzulassen:
!
ipv6 access-list WAN_OUTSIDE_INv6
permit icmp any any nd-na
sequence 11 permit icmp any any nd-ns
sequence 12 permit udp any any eq 546
sequence 20 permit icmp any any
sequence 40 permit tcp any any established
sequence 50 permit udp any eq ntp any
sequence 100 deny ipv6 any any log


Hängt aber natürlich davon ab WIE diese ACL an das Interface gebunden ist ob inbound oder outbound. Oben ist jetzt mal geraten für inbound.
Damit sollten dann die UDP 53 Log Einträge verschwinden. Kannst du checken. Mit clear logg das Log vorher löschen.
Bitte warten ..
Mitglied: brooks
30.11.2016 um 15:28 Uhr
Hi Aqui,

ich habe derzeit wieder etwas Zeit für den Cisco:

Leider bin ich immer noch bei dem selben Problem.

Ein anderer hat in einem anderem Forum etwas geschrieben, kannst du dir mal den letzten Kommentar ansehen?
https://forum.m-net.de/viewtopic.php?f=20&t=10560

Danke dir
Bitte warten ..
Mitglied: brooks
30.11.2016, aktualisiert um 16:25 Uhr
Hi,

für einen kurzen Moment ging es wohl mit ipv6 und meinen Problemseiten, ich denke der Fehler ist in den IPV6 ACLs

allerdings: ich kann wenn ich Bilder anschauen möchte diese nicht ganz laden lassen, er fängt an und bricht dann ab diese zu laden...Ideen?


was sagst du dazu???

Was können wir mit dem Bildproblem tun??????

show log sagt folgendes:
Bitte warten ..
Mitglied: aqui
30.11.2016, aktualisiert um 19:26 Uhr
r fängt an und bricht dann ab diese zu laden...Ideen?
Mmmhhh...riecht so ein bischen nach einer MTU Problematik. Oder falsche MSS ?!
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/12_2sba/feature/guide/s ...
Aber dann würde er nicht anfangen die Bilder zu laden und mittendrin stoppen sondern macht es gar nicht erst.
ACL kanns auch nicht sein denn dann gehts oder geht nicht. Blocking oder kein Blocking.
So halb laden und stoppen ist eher MTU / MSS
Bitte warten ..
Mitglied: brooks
01.12.2016, aktualisiert um 10:15 Uhr
Hi,

also wenn ich in interfaceGigabitEthernet0/1 das hier einfüge , dann geht alles so wie es sein soll
ipv6 traffic-filter WAN_OUTSIDE_INv6 in

Es werden die Bilder geladen und ich habe bisher keine Fehler feststellen können bis ausnahme auf das hier:

sobald ich jedoch eine neue Lan Verbindung zwischen MacOS X Client und dem Cisco schaffe oder unterbreche, bekomme ich keinen DHCP Addressen (NUR FÜR DNS)mehr am Client zugewiesen.....trage ich diese jedoch im Client manuell ein, geht alles wunderbar.......Ideen?

Das ist meine Running-Config