brooks
Goto Top

Cisco 1921 VOIP und Telefonanlage ISP MNET

Hi,

ich fange hier für das folgende Problem einen neuen Thread an, da es sonst unübersichtlich wird. Nützlich auch für den ein oder anderen der später auch mal mit Cisco Produkten sein Ziel erreichen möchte...

Nachdem nun endlich der Cisco 1921 die Interneteinwahl an MNET geschluckt hat, muss ich den nächsten Step klären. Es geht hierbei um das Thema VOIP und Telefonanlage..Bevor ich das nicht zum laufen gebracht habe, kann der Cisco nicht ans Netz.....


Bisher war es so:
Telefonndose <----> WAN von Fritzbox <-----> FRITZBOX<------> LAN 1 von Fritzbox (Netzwerk INTERNAL 192.168.50.1)
FRITZBOX<------>ISDN SO EXTERN <--------> SO EXTERN BUCHSE mit der Telefonanlage der Auerswald verbunden.

Jetzt will ich es aber so haben , weil der Cisco 1921 nun die Interneteinwahl aktzeptiert. (Dieser Schritt funktioniert nun Dank Aqui5)

Telefonndose<------> WAN Port (EHWIC VA DSL B) <-----CISCO 1921--------->GigabitEthernet0/1 (Netzwerk INTERNAL 192.168.50.1  
 ----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0 
 ----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/0
 ----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/1
 ----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/2
 ----------------------------------------------------------CISCO 1921--------->GigabitEthernet0/0/3

Die Telefonanlage selber ist eine Auerswald Compact 5000R (IP Adresse der Telefonanlage bisher 192.168.50.85) : es sind insgesamt 2 VOIP Telefone und 5 ISDN Telefone vorhanden....zusätzlich sind daran aussen noch zwei POE SIP Sprechanlagen verbunden.

Ich habe noch einen unmanaged kleinen Switch übrig: der hat 4 port mit und ohne POE

Was meint ihr: Telefonkram auf dem Internen Netzwerk 192.168.50.1 belassen? Oder könnte man für den Telefonkram ein eigenes Netz definieren? (Also Bsp. beim Cisco Router auf dem GigabitEthernet0/0/0)????
Dadurch wäre es doch übersichtlicher? Ich hätte so wieder am 48 Port POE Switch (Internes Netzwerk )wieder etwas Platz den ich gut gebrauchen könnte.....

Ich habe vom MNET Provider folgende Daten erhalten:


4 Accounts X SIP Benuztername XXX
4 Accounts X Sip Password XXX
Sip-Registrar phone.mnet-voip.de
VLAN ID VOIP 40

Aus der bisherigen Telefonanlage habe ich folgende Sache ermitteln können
Codec : G711

Ports die bisher an die Fritzbox weitergeleitet wurden:

Port 5060 UDP/TCP (Ich nehme an , es handelt sich hier um den SIP REGISTRAR)
Ports 7078-7109 UDP

Variante A: (Alles auf die GigabitEthernet 0/1 )

Was muss ich in den Cisco Router reinhackerln , damit er mir das weiterleitet? //An die jetzige TK Anlage 192.168.50.90

Variante B(VOIP Netzwerk ein eigenes Netzwerk kreiieren bsp für GigabitEhternet0/0/0)

Was muss ich dann in den Cisco reinhackerln , damit er mir das über das GigabitEthernet0/0/0 an die Telefonanlage weiterleitet
-Frage: Muss hier für ein eigenes Netz kreiiert werden? Bsp 10.0.0.X ?=
-Frage: Brauche ich dann hierfür eine Route vom einen zum anderen Netz? bsp eine Route vom 10er netz in das 192er Netz und umgekehrt?

Jetzige Cisco Konfig sieht so aus:
Cisco1921#show running-config
Building configuration...

Current configuration : 3905 bytes
!
! Last configuration change at 22:06:05 CEST Thu Aug 4 2016 by user4754
! NVRAM config last updated at 22:06:18 CEST Thu Aug 4 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.254 
 dns-server 192.168.50.254 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FXXXXXX
!
!
username user4754 password 7 XXXXXXXXXX
!
redundancy
!
!
!         
!         
!         
controller VDSL 0/1/0
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXXX
 ppp pap sent-username XXXXXXX@mdsl.mnet-online.de password 7 XXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny   ip any any log
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 Xxxx
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server 0.europe.pool.ntp.org
ntp server ntp.mnet-online.de prefer
!         
end       
          
Cisco1921#
  

Ich hoffe, dass ich jetzt nichts vergessen habe.

LG Brooks

Content-ID: 311754

Url: https://administrator.de/forum/cisco-1921-voip-und-telefonanlage-isp-mnet-311754.html

Ausgedruckt am: 27.12.2024 um 13:12 Uhr

aqui
aqui 05.08.2016 aktualisiert um 17:30:59 Uhr
Goto Top
Du hast ja richtigerweise schon die Firewall mit dem Application Gateway laufen, da muss man dann bis auf eine Kleinigkeit nix mehr machen:
So sollte die CBAC ACL 111 aussehen:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit gre any any
access-list 111 deny ip any any

Wenn du es ganz perfekt machen willst ergänzt du die Konfig noch mit dem Global Kommand:
no ip nat service sip udp port 5060

Das funktioniert hier fehlerlos mit einer Auerswald 3000 VoIP und sollte dann ebenso mit der 5000er rennen !

Tip: Du solltest rausbekommen was dein Provider macht als Authentisiertung (Debugger). Aufgrund des ersten Threads kannst du davon ausgehen das er ja kein PAP macht. Folglich solltest du dann auch die überflüssige Konfigleiche wie:
ppp pap sent-username XXXXXXX@mdsl.mnet...
Aus der Konfig entfernen mit no pap....
Das schützt dich imemr vor irgendwelchen üblen Sideeffects. Nachher dann immer ein u all nicht vergessen face-wink
brooks
brooks 05.08.2016 um 18:00:15 Uhr
Goto Top
Hallo,

danke ersteinmal fürs antworten:

zwei Fragen: (kleine Bitten)
ich möchte nur gern den ganzen Telefonmist auf den GigabitEthernet0/0/0 laufen lassen. Ich habe hierfür schon das GigabitEthernet0/0/0 aktiviert und es mit ip address 10.0.0.1 255.255.255.0 aktiviert

wie muss ich hier dann in der Konfig verfahren, wenn ich das GigabitEthernet aktivieren möchte und die anfragen für das Telefonzeugs vom Port 5060 udp,tcp und Port Ports 7078-7109 UDP auf das GigabitEthernet0/0/0 biegen kann?

ein anderes Problem:
Ich habe in der Fritzbox mal das IPV6 deaktiviert, bei diesem Versuch konnte die Fritzbox alle SIP Konten nicht mehr anmelden, habe ich IPV6 am Internet hingegen wieder aktiv gehabt, ging es...

Wie aktiviere ich nun für meinen Cisco 1921 mit deiner Konfiguration den Dualstack Zugang, also IPV4 und IPv6??? (am WAN)

Danke dir !!!!!

LG Brooks
aqui
aqui 05.08.2016 aktualisiert um 20:11:19 Uhr
Goto Top
Nun, das ist kinderleicht mit dem 2ten Segment.... (IP Adressen ggf. auf eigene Vorlieben anpassen !)

Erstmal eine IP Adresse dafür einrichten und das Interface für den Internet Zugriff einrichten:
!
interface GigabitEthernet0/0/0
description VoIP Segment
ip address 10.0.0.254 255.255.255.0
ip nat inside
!

NAT Funktion für das neue IP Netz einrichten bzw. erweitern für den Internet Zugang des Netzes:
!
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 101 permit ip 10.0.0.0.0 0.0.0.255 any
!

DHCP Bereich für das VoIP Segment einrichten:
!
ip dhcp pool VoIP
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!
ip dhcp excluded-address 10.0.0.1 10.0.0.149
ip dhcp excluded-address 10.0.0.170 10.0.0.254
!

Fertisch !!
Wenn du testweise jetzt an das Interface einmal einen Testrechner anhängst bekommst du da eine 10.0.0.x IP per DHCP und solltest fehlerfrei ins Internet kommen.
Gleiches sollte dann auch mit der Telefonanlage und VoIP Telefonen funktionieren.
Btw. hier ein Tip wie du preiswerte Cisco VoIP Telefone (eBay) an die Anlage und an andere SIP provider hängst: face-wink
Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen

ACHTUNG !!
Die Telefonanlage sollte wie auch Server immer eine feste, statische IP Adresse bekommen ! Das kannst du über den DHCP Server bewerkstellingen wenn du dem sagst das er auf Basis der Mac Adresse der Anlage ihr eine feste IP geben soll:
!
ip dhcp pool Auerswald
host 10.0.0.222 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
network 10.0.0..0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name voip.soho.intern
!

Wobei hier jetzt 0ab0.0c6c.01c4.d2 ein Mac Adress Beispiel für die Anlage ist. Die Mac Adresse ist auf dem Typenschild aufgedruckt ansonsten hilft ein show arp auf dem Cisco die richtige Mac anzuzeigen.
Natürlich kannst du auch IP, Gateway und DNS in der Anlage statisch einstellen ! Das ist am sichersten face-wink

Zur IPv6 Prefix Delegation Konfig findest du diverse Tips im Internet:
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
https://supportforums.cisco.com/video/11929086/configuration-dhcpv6-cisc ...
brooks
brooks 05.08.2016 aktualisiert um 20:14:41 Uhr
Goto Top
So:

Ich versuche hier mal mein Problem Schritt für Schritt zu verkleinern und auch anpassen:
Aus meinem ersten Thread ist ja der alleine IPV4 Zugang bekannt .


Nun hab ich aber folgendes festgestellt: Mein Provider ist wie bereits bekannt - MNET.
Da ich derzeit noch die Fritzbox angeschlossen habe, die auch das Thema VOIP bereitstellt, habe ich folgendes festgestellt: es wird mir sowohl eine IP v4 und eine IP v6 Adresse zugewiesen. (DUAL STACK) das gibt es auch nur auf Antrag ! Sonst nur nativ IPV6 DS LITE! (Im SURF /FON FLAT Tarif)

Bei deaktivieren von IPv6 im Internetzugang der Fritzbox ist das VOIP Thema in der Fritzbox tot.......
Das ist jetzt meine Erkenntnis, ich bin mal auf eure Meinungen / Kommentare gespannt....

Also im Klartext DUAL STACK Zugang in der Cisco 1921 aktivieren:

meine derzeitige Konfig lautet wie folgt:

Cisco1921#show running-config
Building configuration...

Current configuration : 4406 bytes
!
! No configuration change since last restart
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.254 
 dns-server 192.168.50.254 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef
ipv6 unicast-routing
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FXXXXX
!         
!         
username user4754 password 7 XXXXXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXX
 ppp pap sent-username XXXXX@mdsl.mnet-online.de password 7 XXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny   ip any any log
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp FE80::/10 eq 547 FE80::/10
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXX
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server 0.europe.pool.ntp.org
ntp server ntp.mnet-online.de prefer
!         
end       
          


So jetzt versuche ich den nächsten Schritt mit VOIP umbiegen...

EDIT: Ich sehe gerade aqui war wohl schneller, ich bastle in einer Stunde weiter :D Muss jetzt erst mal Abendessen.!
@aqui: P.S.S ipv6 Dual Stack Zugang läuft! Danke!
aqui
aqui 05.08.2016 aktualisiert um 20:23:44 Uhr
Goto Top
Bei deaktivieren von IPv6 im Internetzugang der Fritzbox ist das VOIP Thema in der Fritzbox tot.......
OK bedeutet dann das die SIP Verbindungen bei M-Net rein über v6 laufen ! Macht auch Sinn denn das bleibt ja lokal im M-Net Netz.
Dann musst du logischerweise die v4 SIP Freigaben in der Firewall nicht konfigurieren, sie wären dann eh überflüssig.
Appropos: Kann die Auerswald IPv6 ?? Das muss sie wenn das der Fall ist das Voice rein mit v6 rennt bei M-Net.

Tip: Bei der "log" Option an der ACL access-list 111 deny ip any any log musst du etwas aufpassen. Es ist für erste Spannend um mal zu sehen wer da Angriffe auf deinen Router startet. Da wirst du vermutlich geschockt sein wie viel das ist.
Das wird aber nachher so viel das du aufgeben wirst es immer alles zu lesen und mit utrace.de nachzusehen woher das kommt. Der größere Haken ist aber das das logging CPU switched ist, es macht also deinen Router langsam.
Lass es nur an wenn die Log einträge moderat sind also nicht mehr als 20-50 pro Tag. Sonst lass den Logging Parameter lieber weg.
access-list 111 permit gre any any so allein ist sinnfei. GRE brauchst du nur wenn du auf dem Router ein VPN Dialin mit PPTP einrichten willst. Dann fehlt aber noch TCP 1723. PPTP gilt heute nicht mehr als hinreichend sicher. IPsec ist da besser. Besser also solche unbenutzen Konfigleichen im löschen wenn sie keinen Funktion haben.
Zur Prefix Delegation hat das 880er Tutorial ganz am Ende der Kommentarthreads noch ein paar Hinweise (Capt. Haddock)
brooks
brooks 05.08.2016 um 20:32:49 Uhr
Goto Top
Ganz kurz

Ja die Auerswald kann ipv6 , würd ich auch gern auf ipv6 umkonfigurien , bräuchte aber hinsichtlich konfiguration in der cisco starthilfe von dir .
Darfst mir gern ein ipv6 vorgeben und welche ipv6 soll ich der Auerswald geben??

Danke

Gruß Brooks
brooks
brooks 05.08.2016, aktualisiert am 06.08.2016 um 08:47:48 Uhr
Goto Top
Ich wollte heute für das GigabitEthernet0/0/0 (EHWIC-4ESG Karte) eine Ip Adresse zuweisen...

Cisco1921(config-if)#ip address 10.0.0.254 255.255.255.0

% IP addresses may not be configured on L2 links.

Das hier bekomme ich als Fehler.....

Allgemein bin ich überhaupt nicht Fit mit IP V6, kannst du mir bitte eine IP V6 Adresse für das GigabitEthernet0/0/0 anlegen und mir einen DHCP Server (so wie du es mir vorhin in IPV4 mit der Auerswald gezeigt hast=) Danke. Ich weiß momentan nicht mehr was ich noch eintippen kann....

(ich hätte gern nur auf dem GigabitEthernet0/0/0 auch IPv4 als Option +dhcp, da kann ich aber das BSP von oben nehmen....nur kann ich eben auch hier kein ip address....eingeben. da der selbe Fehler o.g. erscheint...)

Ja , die Auerswald ist IPV6 fähig, das Teil möchte eine IPv6 Adresse und eine IPv6 gateway adresse haben, was fütter ich da rein? Wie muss ich dann die VOIP Ports umbiegen auf die Auerswald????an GigabitEthernet0/0/0

Aktuelle Konfig :
Cisco1921#show running-config
Building configuration...

Current configuration : 4634 bytes
!
! Last configuration change at 22:49:56 CEST Fri Aug 5 2016 by user4754
! NVRAM config last updated at 21:48:08 CEST Fri Aug 5 2016 by user4754
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXXXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.254 
 dns-server 192.168.50.254 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef    
ipv6 unicast-routing
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef  
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
!         
license udi pid CISCO1921/K9 sn FXXXXXX
!         
!         
username user4754 password 7 XXXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 deny   ip any any
access-list 111 permit udp any eq 5060 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp FE80::/10 eq 547 FE80::/10
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXX
 login local
 transport input ssh
!         
scheduler allocate 20000 1000
ntp server 0.europe.pool.ntp.org
ntp server ntp.mnet-online.de prefer
!         
end       
   


ANDERES THEMA:
Mir sind jetzt noch ein paar Sachen aufgefallen:
1.Problem: tauchte erst aber nach ipv6 Dual Stack aktivierung auf btw nach der Firmware in VDSL0/1/0, vorher war es nicht da ...
Aug  6 08:25:08: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x24B0D0D4z  reading 0x34
Aug  6 08:25:08: %ALIGN-3-TRACE: -Traceback= 0x24B0D0D4z 0x24B0D838z 0x24B0CC20z 0x24A9726Cz 0x24A97BC0z 0x24A92824z 0x210329D0z 0x210329B4z 
2.Problem
%IPV6_ND-3-CONFLICT: Router FE80::3681:C4FF:FEB0:CD4E on GigabitEthernet0/1 conflicting ND setting hop count 255
Cisco1921#sh ipv6 dhcp interface
Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:26:30
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::12F3:11FF:FEA3:1F00
    DUID: 0003000110F311A31F00
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 1800, T2 2880
        Prefix: 2001:A61:20F4:F600::/56
                preferred lifetime 3600, valid lifetime 7200
                expires at Aug 06 2016 10:25 AM (6991 seconds)
      DNS server: 2001:A60::53:1
      DNS server: 2001:A60::53:2
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled

Cisco1921#show alignment
Alignment data for:
C1900 Software (C1900-UNIVERSALK9-M), Version 15.4(3)M4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Compiled Sun 27-Sep-15 05:31 by prod_rel_team

No alignment data has been recorded.

Total Spurious Accesses 1, Recorded 1

 Address  Count  Traceback
      34      1  0x24B0D0D4z  0x24B0D838z  0x24B0CC20z  0x24A9726Cz 
                 0x24A97BC0z  0x24A92824z  0x210329D0z  0x210329B4z 
Cisco1921#

Noche eine Frage:

Kannst du dir bitte mal die IPv6 konfig im GigabitEthernet0/1 ansehen? ist die ok?
Wie lege ich hierfür dann einen DHCP Server an? Auch hier: welchen IPv6 Bereich sollte man hier wählen?

Danke

Gruß Brooks
aqui
aqui 06.08.2016 aktualisiert um 11:44:33 Uhr
Goto Top
Darfst mir gern ein ipv6 vorgeben und welche ipv6 soll ich der Auerswald geben??
Das geht so nicht ! Du kannst dir keine IPv6 Adresse oder Netz "ausdenken". Sowas wie das NAT Konzept mit privaten RFC 1918 IP Adressen bei IPv4 gäbe es zwar noch theoretisch bei IPv6 aber nirgendwo in der Praxis.
Mit IPv6 hat man ja nun soviele IP Adressen das du fast jedes Sandkorn auf der Erde mit einer IPv6 Adresse adressieren kannst.
In der Regel läuft das so das der Provider einen /32 Prefix zugewiesen bekommen und dann per Prefix Delegation einen /64 Prefix an ihre Kunden geben.
Sprich also beim PPPoE Dialin bekommst du dein eigenes /64 IPv6 Netzwerk vom Provider zugewiesen. Das kannst du dann natürlich wieder selber mit kleineren Masken bei dir am Router subnetten.
Es gibt bei IPv6 kein NAT mehr. D.h. dein eigenes IPv6 Netzwerk was du per prefix Delegation vom Provider bekommst ist ein festes, öffentliches IP Netz im Internet. Umso wichtiger ist hier eine funktionierende Firewall natürlich !!
Wobei "fest" nicht sicher ist. Oft wird mit jeder Prefix Delegation ein wechselndes v6 Netz an Endkunden gegeben zur Anonymisierung. Ob das bei M-Net so ist oder ob du immer das gleiche Subnetz bekommst musst du mit denen klären.

Letztlich bedeutet das für dich das du vom Provider immer dein v6 Subnetz aufgedrückt bekommst. Du darfst bzw. solltest deshalb niemals was eigene konfigurieren.
Suche bei Cisco nach "Prefix Delegation" da findest du genug Infos und fertige Konfigs zum Abtippen. Siehe auch dein M-Net Tutorial und die Threads hier zum 880 Cisco Tutorial.
On top solltest du dir etwas Literatur zu dem Thema anschaffen wenn du ein IPv6 Newbie bist.
Sehr zu empfehlen ist das hier:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...
Viele Tips und Übungen und mit einem kleinen RasPi als Testhost bist du dann sehr schnell der IPv6 Profi face-wink

Zurück zu deinem Gig 0/0/0 Interface....
Sorry, ich hatte hier einen Denkfehler gemacht und war davon ausgegangen das das ein dediziertes Interface am Router ist.
Dem ist aber natürlich nicht so auf diesem Routermodell. Es verhält sich da genau so wie auf dem 880er nur das das eben Gig Interfaces sind. (Siehe 880er Tutorial)
Die Interfaces x/0 bis x/3 sind Ports eines embeddeten Switches mit IOS Verhalten auf dem Router.
Im Default sind alle Ports untagged im VLAN 1 und das korrespondierende Layer 3 (Router) Interface dazu ist bezeichnenderweise das interface vlan 1
Du musst hier also etwas switchmäßig denken bei der Port Konfig... face-smile
Richtig sähe dann deine Konfig so aus:
!
interface GigabitEthernet0/0/0
description NETWORK VOIP
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!

Rest dann wie oben.
Jetzt ist es aber so das dann durch die Switchfunktion alle 4 GigE Ports im VLAN 1, also dem Voice Netz, sind was ein bischen Verschwendung ist. (Alle Ports sind Member vom VLAN 1)
Du kannst z.B. dein lokales LAN auch auf einen der 4 Switchports legen. Das sieht dann so aus:
(config)# vlan 10
(config)# name VoIP Netzwerk
(config)# exit
!
interface GigabitEthernet0/1
no ip address
shutdown

!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!

Du siehst vermutlich das Prinzip, oder ?
Auch z.B. ein zusätzliches Gast- oder Testnetz kannst du so etablieren:
(config)# vlan 20
(config)# name Gaeste Netzwerk
!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
description Gaeste Netzwerk Port
switchport mode access
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
interface vlan20
description Gäste Netzwerk
ip address 10.20.0.254 255.255.255.0
ip nat inside
!

Nun kannst du auch diese VLAN Struktur auf einen VLAN Switch übertragen mit einem Tagged Uplink um so diese 3 VLANs Lokal, Telefonie und Gaeste auf einen VLAN Switch zu bringen und dort wieder Portweise zuweisen:
!
interface GigabitEthernet0/0/0
description Internes Netzwerk Port
no ip address
!
interface GigabitEthernet0/0/1
description Tagged Uplink auf VLAN Switch
switchport mode trunk
switchport trunk allow vlan all
no ip address
!
interface GigabitEthernet0/0/2
description Gaeste Netzwerk Port
switchport mode access
switchport access vlan 20
no ip address
!
interface GigabitEthernet0/0/3
description Voice Netzwerk Port
switchport mode access
switchport access vlan 10
no ip address
!
interface vlan1
description Internes Netzwerk
ip address 192.168.50.1 255.255.255.0
ip nat inside
!
interface vlan10
description VoIP Netzwerk
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
interface vlan20
description Gäste Netzwerk
ip address 10.20.0.254 255.255.255.0
ip nat inside
!

Hier musst du nun genauer hinsehen WAS du dann auf deinen 4 Ports steckst !!
Welchen Port du für welches Netz oder Uplink nutzt spielt dabei keinerlei Rolle. Sogar ein Link Aggregation Trunk aus 2 oder mehr Ports vom Router auf einen Switch kannst du so konfigurieren.
Den Rest so eines Designs erklärt das hiesige VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Damit sollte dann auch dein Voice / Telefonie Netzwerk auf Anhieb spielen face-wink
Sorry nochmal für die Verwirrung.
brooks
brooks 06.08.2016 um 11:55:18 Uhr
Goto Top
Ok, Danke!

ich hab allerdings noch ein paar Fragen ....

leider fehlt mir gerade etwas die Zeit mich mit IPv6 zu beschäftigen..(du siehst bereits, dass ich mich hier erst mal richtig einarbeiten muss , das Buch habe ich mir bestellt!.

Ich habe allerdings am Interface GigabitEthernet0/0/3 einen nicht management-fähigen Switch...wie handhabe ich es dann hier mit VLAN?

Mein Präfix samt IPv6 sieht bei der Fritzbox im Moment so aus:

verbunden seit 06.08.2016, 09:15 Uhr, M-net DSL,
IPv6-Adresse: 2001:a61:209f:2800:3681:c4ff:feb0:cd52, Gültigkeit: 6789/3189s,
IPv6-Präfix: 2001:a61:209f:2800::/56, Gültigkeit: 6789/3189s

wie muss ich dann mein Interface GigabitEthernet0/0/3 , dass jetzt auf Vlan 20 arbeitet, mit einer IP v6 adresse versehen?

Wie muss ich den IP v6 DHCP für dieses Interface festlegen? Kannst du mir da ein bisschen was für die Konfig tippen, damit ich mal das Prinzip sehe.

Danke!
aqui
aqui 06.08.2016 aktualisiert um 12:20:02 Uhr
Goto Top
einen nicht management-fähigen Switch...wie handhabe ich es dann hier mit VLAN?
Keinerlei Chjance !! Vergessen, der kann kein VLAN und wird es nie können.
Du musst ja auch erstmal keinen Uplink machen. Es reicht ja fürs erste wenn du den Ports deine verwendeten IP Segmente zuweisen kannst. Es können dann eben nicht mehr als 4 werden. OK 5 wenn man das dedizierte Gig Interface am Router dazuzählt.

IPv6....
2001:a61:209f:2800::/56
OK, das sieht so aus als ob du sogar einen /56 Prefix bekommst...damit kannst du dann fast jede Fussel im Haus adressieren
Du kannst deinem 0/0/3 Interface z.B. ein /64er Netz geben:
2001:a61:209f:2814:0:0:0:0 mit der Host IP 2001:a61:209f:2814:0:0:0:1 (VLAN 20 = hex 14 in die Netzadresse eincodiert face-wink )
Man kann auch "Wortspiele" mit den Adressen machen z.B. 2001:a61:209f:2814:0:0:bade:affe /64 oder 2001:a61:209f:2814:0:0:cafe:affe /64 oder sowas ums besser zu erkennen. face-wink
Hier kannst du dann mit DHCPv6 dynamisch IPs vergeben oder über die Zeroconf Funktion von IPv6 selber ohne DHCP. Allerdings musst du dann hier mit der DNSv6 IP aufpassen.

Das Gültigkeit: 6789/3189s, lässt aber leider vermuten das da eine begrenzte Gültigkeit der Vergabe besteht. face-sad
Vermutlich aus Anonymisierungsgründen. Ohne das könnte jeder im v6 Internet schon anhand deiner v6 Absender Adresse genau sehen wer du bist.
6787 Sec sind nicht ganz 2 Stunden. Danach findet vermutlich eine neue Delegation statt mit einem neuen IPv6 Netz.
Das musst du unbedingt mal kontrollieren.
Solltest du danach ein anderes Netzwerk als das 2001:a61:209f:2800::/56 bekommen wechseln die das bei dir, was dann auch bedeutet das das lokale LAN dann wechselt bzw. wechseln muss.
Hat die Anlage dann eine statische IP wäre das fatal und bedeutet das danach deinen Telefonie nicht mehr rennt.
Dann musst du die lokale v6 IP Adressierung unbedingt dynamisch belassen oder beim Provider auf ein festes v6 Subnetz gehen ! Das kann man kostenfrei anfordern.
brooks
brooks 06.08.2016 aktualisiert um 14:03:10 Uhr
Goto Top
Ich bekomme bei Mnet erst nächstes Jahr einen festen Präfix....daher muss ich erst mal versuchen mit dhcp dynamisch zu arbeiten

Ich kapier nur nicht wie ich das DHCP für ipv6 bei einem interface aktivieren? Muss man das überhaupt?

Angenommen, ich lass die Voip telefone weg. (ein vlan switch ist bestellt...) kann ich dann einfach nur jetzt meine voip telefonanlage an den GigabitEthernet0/0/3 anstecken ?=??ß Ich muss aber nicht an der Auerswald noch ein vlan einstellen?????
brooks
brooks 06.08.2016 aktualisiert um 14:36:40 Uhr
Goto Top
Ich schaff es einfach nicht:
Der Fehler liegt hier klar bei mir ....ich kann wohl nicht mit google umgehen, damit ich mit ipv6 prefix mit der Passenden Seite etwas finde.....

wie schaffe ich es denn dass mir das dynamische IPv6 Präfix , dass mir ja nach jeder Verbindung neu zugewiesen wird, automatisch entsprechend die IPV6 Adressen des Interfaces angepasst werden, gleichzeitig ich es aber am InterfaceGigabitEthernet0/0/3 so einstelle, dass die Telefonanlage bsp die Adresse automatisch beziehen kann? Und den Gateway und DNS selber einstellt...===?????


Tut mir leid wenn ich jetzt mal Linke.....

https://supportforums.cisco.com/discussion/12610831/dynamic-isp-received ...

Ist das hier der ungefähre Ansatz???
aqui
aqui 06.08.2016 aktualisiert um 15:49:54 Uhr
Goto Top
http://bfy.tw/75tW

Tut mir leid wenn ich jetzt mal Linke.....
Genau der ist oben schon erwähnt face-wink
Ich kapier nur nicht wie ich das DHCP für ipv6 bei einem interface aktivieren? Muss man das überhaupt?
Nein, das musst du nicht und geht bei dynamsicher und wechselnder Prefix Delegation auch nicht. DHCP wäre ja dann immer statisch. Das Stichwort heisst SLAAC.
Setz einfach mal eine statische IPv6 Adresse auf das Interface und schliess einen PC an.
fc00::/7 ist für private v6 Netze reserviert.
Ein fd88:bade:affe:cafe::1 /64 z.B. als Interface Adresse. Mit einem ipconfig -all oder ifconfig bei unixoiden Endgeräten (Linux, Raspberry usw.) kannst du dann sehen das diese automatisch ohne das du was machen musst eine gültige IP aus diesem Netzwerk beziehen.
dass die Telefonanlage bsp die Adresse automatisch beziehen kann?
Guckst du hier:
https://thenetworkway.wordpress.com/2014/07/02/ipv6-address-assignment-s ...
Stichwort SLAAC
brooks
brooks 06.08.2016 um 16:33:15 Uhr
Goto Top
Hmmm

bade affe cafe ... was willst du mir nur damit sagen :D :D..

zu dem Link , ich hab das erste angeklickt..
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...

Ich habe diese Anleitung durchgekaut......
Was ich hier nicht so ganz kapier ist folgendes:
Anleitung beschreibt DHCP Server und DHCP Client..

Ich kann hier in meinem Cisco 1921er Router jedoch dann nur der DHCP Client sein, weil ich kann nicht auch den DHCP Server des ISPs sein.....

entsprechend steht ja in meiner Konfig dann schon (fast ) alles drin, (siehe oben)

Im interface Dialer0 steht bereits:
ipv6 client pd NODE-PD rapid-commit

ich nehme an es geht hier darum ständig den Präfix der IPV6 Addresse vom ISP zu ermitteln und in diesen "Pool" NODE PD da reinzuschieben.....

Im Internet GigabitEthernet0/1 steht ja schon:

Ipv6 Address NODE-PD ::1:0:0:0:1/64

auch hier gilt wieder meine Annahme , dass der Präfix hier aus dem "Pool" genommen wird und mit dem ::1:0:0:0:1/64 ergänzt wird.
Meine IPV6 LAN INTERFace Adresse hat sich somit ergeben ....korrekt?=

d.h für mein anderes Gigabit Lan einfach dann im VLAN folgenden Kommando reinschreiben
pv6 Address NODE-PD ::2:0:0:0:1/64

Sag mir mal was du davon hältst?
aqui
aqui 06.08.2016 aktualisiert um 17:01:54 Uhr
Goto Top
bade affe cafe ... was willst du mir nur damit sagen
Nein nein...bitte keine falschen Assoziationen face-big-smile

Für die Prefix Delegation bei IPv6 benötigst du einen v6 DHCP Client auf dem Port, denn das Netzwerk bzw. die IP wird vom Provider per DHCP zugeteilt.
Den Server bräuchte man nur wenn man eigene Netze hat und dort Adressen verteilen will. Auch nicht wirklich denn v6 kann das mit SLAAC auch selber.
Im interface Dialer0 steht bereits:
Richtig ! Hier kommt es jetzt darauf an zu sehen ob du dort die richtige v6 IP bekommst ??
Was sagt ein show ipv6 interface brief ??
Du musst mal mehr mit den Show show ipv6 * Kommandos jonglieren um zu sehen was am Provider Port passiert.
Debuggen hilft hier auch um zu sehen wie die v6 Vergabe vonstatten geht dort.
auch hier gilt wieder meine Annahme , dass der Präfix hier aus dem "Pool" genommen wird und mit dem ::1:0:0:0:1/64 ergänzt wird.
Das ist auch richtig ! Wie gesagt sh ipv6 int brie !! Siehst du dort v6 Netze ?
d.h für mein anderes Gigabit Lan einfach dann im VLAN folgenden Kommando reinschreiben
Bingo...richtig !
brooks
brooks 06.08.2016 um 17:11:56 Uhr
Goto Top
AHHHHHH :D ich mag ipv6.......

Den Befehl kenne ich noch nicht, aber gut zu wissen....
Cisco1921#show ipv6 interface brief 
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:312D:501::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned


Cisco1921#sh ipv6 dhcp interface
Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:17:57
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::F6CF:E2FF:FE61:4500
    DUID: 00030001F4CFE2614500
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 1800, T2 2880
        Prefix: 2001:A61:312D:500::/56
                preferred lifetime 3600, valid lifetime 7200
                expires at Aug 06 2016 06:56 PM (6477 seconds)
      DNS server: 2001:A60::53:2
      DNS server: 2001:A60::53:1
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled

Ist das so ok?

Frage1: Wenn ich jetzt an GigabitEthernet0/0/3 mein VOIP Ansetze und dies auf irgendeinen vlan setze, wie du es mir beschrieben hast......kann ich dann einfach meine Telefonanlage von auerswald in den port 0/0/3 vom cisco einstecken für KONTAKT ? Ich kann nur eben nicht in meiner auerswald eine vlan adresse angeben? trotzdem ok?

Frage 2:
wenn ich jetzt port 5060 und meine anderen ports o.g.über ipv6 von dialer0 nach gigabitEthernet0/0/3 (vlan XX) über ipv6 schiebe, wie muss ich die Access list dann erstellen, wie konfig oben?
aqui
aqui 06.08.2016 aktualisiert um 20:15:13 Uhr
Goto Top
Dein Router bekommt kein IPv6 Netzwerk vom Provider face-sad
Oben schreibst du aber: "S.S ipv6 Dual Stack Zugang läuft! Danke!" Was gilt denn nun ???
Irgendwas ist da noch faul wenn das aktuelle show ip8v6) int brie stimmt ! FE80::669E:F3FF:FE57:B40 auf dem Dialer0 bzw. VA2 Interface ist ein Link Local Netzwerk (FE80)
Debugge das mal was da im v6 Handshaking mit dem Provider vor sich geht !
Hier ist übrigens mal eine gute Beschreibung des ganzen:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...

Frage 2:
Gar nicht, das macht die Application Firewall des Ciscos für dich face-wink
access-list 111 permit udp any eq 5060 any
Appropos... Diese könnte auch ein Problem für das nicht funktionierende IPv6 Handshaking sein ! (Zitat Tutorial):
Wer das WAN Interface statt mit PPPoE wie bei xDSL hier als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang, usw. muss hier auch DHCP erlauben in der WAN Accessliste, ansonsten bezieht der Port keine IP Adresse:
access-list 111 permit udp any eq bootps any

Der DHCP Request des Ciscos mit UDP 67 geht zwar raus aber der Reply vom Provider mit UDP 68 bleibt in der Cisco Firewall hängen !
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP-N ...
Das solltest du also noch zwingend in die CBAC ACL integrieren (ebenso wie SIP) oder diese ggf. zum v6 Testen erstmal ganz weglassen um sicherzugehen.
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6/113126-ipv6-a ...
Der Debugger ist dein Freund face-smile
brooks
brooks 06.08.2016 aktualisiert um 22:51:03 Uhr
Goto Top
Hmmm Hust Hust......Dialer0 hatte auch nie eine Chance....der Fehler lag hier zwischen Stuhl und Tastatur.....Hust **

sh ipv6 dhcp interface
GigabitEthernet0/1 is in server mode
  Using pool: NODE-DHCPV6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled
Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:28:23
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::F6CF:E2FF:FE61:4500
    DUID: 00030001F4CFE2614500
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 1800, T2 2880
        Prefix: 2001:A61:313E:A300::/56
                preferred lifetime 3600, valid lifetime 7200
                expires at Aug 07 2016 12:34 AM (7104 seconds)
      DNS server: 2001:A60::53:2
      DNS server: 2001:A60::53:1
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled
Cisco1921#
Cisco1921#
Cisco1921#
Cisco1921#show ipv6 interface brief  
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:313E:A301::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
    2001:A61:313E:A3FF::1
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned


Cisco1921#sh ipv6 dhcp interface 
GigabitEthernet0/1 is in server mode
  Using pool: NODE-DHCPV6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled
Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:21:38
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::F6CF:E2FF:FE61:4500
    DUID: 00030001F4CFE2614500
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 1800, T2 2880
        Prefix: 2001:A61:313E:A300::/56
                preferred lifetime 3600, valid lifetime 7200
                expires at Aug 07 2016 12:34 AM (6699 seconds)
      DNS server: 2001:A60::53:2
      DNS server: 2001:A60::53:1
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled

Ok soweit? wieso ist jetzt GigabitEhternet0/1 im Servermode , ist das ok?

Frage XX:

Darf ich jetzt behaupten, das der Dual Stack Zugang funktioniert? :D
aqui
aqui 06.08.2016, aktualisiert am 07.08.2016 um 11:36:40 Uhr
Goto Top
Yepp, bingo ! Das darfst du face-wink Nun kommt der Provider Prefix auch am Cisco an....!
Woran hats gehapert am Dialer Interface ? (Kannst auch per PM antworten wenns zu peinlich ist !) face-smile
Was sagt ein show ipv6 int brief ??
brooks
brooks 06.08.2016, aktualisiert am 07.08.2016 um 10:40:28 Uhr
Goto Top
Hi,

1.Sache:
**Hmm ich glaube es geht noch nicht ganz.....An InterfaceGigabitEthernet0/1 habe ich meine Fritzbox hingehängt, sie selber bildet jetzt über LAN1 einen Router...

internet ipv4 klappt
jedoch bei der internetverbindung ipv6 sagt sie folgendes :

internetverbindung ipv6 wurde erfolgreich hergestellt,.....IP Adresse.....Es fängt mit 2001:a61:20f7:5101:3681:4cff:feb0:cd52 ......an
Internetverbindung ipv6 :DHCPv6 Fehler mit Fehlergrund 8 (NOPREFIX-AVAIL)
**


Der Cisco Selber sagt hier im LOG FOLGENDES

Cisco1921#
*Aug  7 08:28:32.267: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:28:32.267: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:28:32.267: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:28:32.267: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:28:32.267: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:28:32.271: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:28:33.327: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:28:33.327: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:28:33.327: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:28:33.327: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:28:33.327: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:28:33.327: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:28:35.407: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:28:35.407: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:28:35.407: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:28:35.407: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:28:35.407: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:28:35.407: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:28:39.539: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:28:39.539: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:28:39.539: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:28:39.539: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:28:39.539: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:28:39.539: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:28:47.759: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:28:47.759: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:28:47.759: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:28:47.759: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:28:47.759: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:28:47.759: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:29:04.239: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:29:04.239: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:29:04.239: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:29:04.239: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:29:04.239: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:29:04.239: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:29:29.727: IPv6 DHCP: Received SOLICIT from FE80::B2FA:EBFF:FED9:A550 on GigabitEthernet0/1
*Aug  7 08:29:29.727: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:29:29.727: IPv6 DHCP: Creating binding for FE80::B2FA:EBFF:FED9:A550 in pool NODE-DHCPV6
*Aug  7 08:29:29.727: IPv6 DHCP: Binding for IA_NA 7FC626D8 not found
*Aug  7 08:29:29.727: IPv6 DHCP: Allocating IA_NA 7FC626D8 in binding for FE80::B2FA:EBFF:FED9:A550
*Aug  7 08:29:29.727: IPv6 DHCP: Freeing IA_NA 7FC626D8 from bind
Cisco1921#ing for FE80::B2FA:EBFF:FED9:A550
*Aug  7 08:29:29.727: IPv6 DHCP: Freeing binding for FE80::B2FA:EBFF:FED9:A550 from pool NODE-DHCPV6
*Aug  7 08:29:29.727: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:29:29.727: IPv6 DHCP: Sending ADVERTISE to FE80::B2FA:EBFF:FED9:A550 on GigabitEthernet0/1
Cisco1921#
*Aug  7 08:29:37.179: IPv6 DHCP: Received SOLICIT from FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1
*Aug  7 08:29:37.179: IPv6 DHCP: Option RECONF-ACCEPT(20) is not processed
*Aug  7 08:29:37.179: IPv6 DHCP: Option VENDOR-CLASS(16) is not processed
*Aug  7 08:29:37.179: IPv6 DHCP: Using interface pool NODE-DHCPV6
*Aug  7 08:29:37.179: IPv6 DHCP: Source Address from SAS FE80::669E:F3FF:FE57:B41

*Aug  7 08:29:37.179: IPv6 DHCP: Sending ADVERTISE to FE80::3681:C4FF:FEB0:CD52 on GigabitEthernet0/1

2. Sache:

ja ich hab n paar Zeilen vergessen...es lag daran das der Dialer keine ipv6 address Befehlsatz hatte...und ich nicht wusste dass der Dialer0 eine IPv6 Addresse benötigt....und da war noch ne Menge anderes Zeug *gg, es wäre super wenn du da mal drauf schauen würdest....auch bitte in die ipv6 accessliste

show ipv6 int brief sagt:

Cisco1921#show ipv6 int brief
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:12A3:A301::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
    2001:A61:12A3:A3FF::1
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned
Cisco1921#


meine aktuelle Konfig: (Hier bitte nocheinmal drüber schauen es wurden doch einige Befehle mehr....!!!) DANKE!

Cisco1921#show running-config
Building configuration...

Current configuration : 4835 bytes
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.1 192.168.50.149
ip dhcp excluded-address 192.168.50.170 192.168.50.254
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.1 
 dns-server 192.168.50.1 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
domain-name soho.intern
!
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 inspect name STD6 ftp
ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FXXXXX
!
!
username user4754 password 7 XXXXX
!         
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6
 ipv6 verify unicast reverse-path
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 deny   ip any any
access-list 111 permit udp any eq 5060 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp FE80::/10 eq 547 FE80::/10
 permit udp 2001::/56 eq 547 2001::/56
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXXXX
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
          

3. Sache
Ich habe außerdem das GEfühl das die meisten Seiten super gehen...es gibt jedoch auch Seiten da dauert es einfach länger......
google, spiegel, ebay seiten gehen super...vieles ist super und ok.....

aber:

eine seite von avm bsp ratgeber (weil ich habe da nach dhcp server deaktivieren gesucht ) ging sehr schlecht zum aufrufen

auch die seite von t-online.de geht sehr schlecht...es gibt ein paar Seiten, die dauern einfach spürbar länger....

heute morgen t-online Seite aufgerufen im Log vom cisco wird folgendes ausgepuckt:

%DNSSERVER-3-BADQUERY: Bad DNS query from 93.158.200.132
woran liegt das...eine IDEE?


Nochetwas:
4.Sache:
es tauchen ab und zu diese Fehlermeldungen hier auf

Aug 6 08:25:08: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x24B0D0D4z reading 0x34
02.
Aug 6 08:25:08: %ALIGN-3-TRACE: -Traceback= 0x24B0D0D4z 0x24B0D838z 0x24B0CC20z 0x24A9726Cz 0x24A97BC0z 0x24A92824z 0x210329D0z 0x210329B4z


Was mache ich damit?????
aqui
aqui 07.08.2016 um 11:56:21 Uhr
Goto Top
Der Cisco Selber sagt hier im LOG FOLGENDES
Ignoriere bitte alles was FE80: ist !! Das sind Link Local Adressen die uns hier nicht helfen und nur zusätzlich verwirren. Alle diese Debugger und Log Mledungen zu den Adressen sind nicht hilfreich.
show ipv6 int brief sagt:
GigabitEthernet0/1 [up/up]
FE80::669E:F3FF:FE57:B41
2001:A61:12A3:A301::1

Bingo ! Das zeigt doch das die Delegation funktioniert !! Der 2001:A61:12A3:A3 ist der 56 Bit Prefix vom Provider und du hast ein /64er Netz dort 2001:A61:12A3:A301 jetzt an deinem lokalen LAN.
Also alles genau wie es sein soll !
Wenn du dort jetzt v6 Endgeräte anschliesst sollten die schon über SLAAC einen IP Adresse aus dem lokalen 2001:A61:12A3:A301 Subnetz bekommen. Ist das der Fall ?
So gesehen ist alles wie es sein soll.
Knackpunkt ist deine native-v6-firewall ACL. FE80: Netze sind tödlich. Das sind reine Lokalnetze die nicht geroutet werden. Warum permittest du die ?

Punkt 3 Wartezeit....
Was sagt ein show hosts ? Funktioniert der DNS Proxy ?
Ansonsten können das nur MTU Probleme sein. Bei dir fehlt auch ein:
ip tcp adjust-mss 1452
am Interface des lokalen LANs !! Mit dem Kommando sollte das dann behoben sein.

Punkt 4:
http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-softwa ...
Das kann mit der MSS Segment Size zu tun haben.
brooks
brooks 07.08.2016 aktualisiert um 13:51:04 Uhr
Goto Top
Ok,

Ich habe jetzt die Fritzbox komplett abgesteckt, da sie ja im DHCPv6 mitmischt....

Der Befehl: ip tcp adjust-mss 1452 hat sehr gut geholfen am LAN Interface....Alle Seiten hatten bisher keine Probleme beantstandet....

Zu Punkt 4, ich werde das jetzt mal im Auge behalten, wenn es weiter auftritt, kann ich ja mal einen TAC eröffnen....wenn ich dann mal den Smartnet habe....

das andere:

Im Moment bin ich jetzt mit dem Internet der Cisco verbunden......Ich werde die Fritzbox auch heute nicht mehr anstecken...möchte aber gern, das VOIP noch heute läuft :PPP , wenn nicht muss die fritzbox wieder hin...naja...

ich versuche erst mal am GigabitEthernet0/1 auch das VOIP laufen zu lassen. Erst müssen die Basics funktionieren, dann kann man es verschönern....

Wie prüfe ich den DNS Proxy?

show hosts sagt folgendes:
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
d26qltrtikx00.cloudfront. None  (temp, EX)  0   IP    52.85.173.164
                                                      52.85.173.92
                                                      52.85.173.156
                                                      52.85.173.181
                                                      52.85.173.140
                                                      52.85.173.64
                                                      52.85.173.113
                                                      52.85.173.43
akadns.net                NA    (temp, EX)  0  SOA      internal.akadns.net hostmaster.akamai.com
                                                   1470567071 90000 90000 90000 180
adnxs.com                 NA    (temp, EX)  0  SOA      ns1.gslb.com support.appnexus.net
                                                   1 86400 30 86400 30
cisco-servicefinder.com   None  (temp, OK)  0   IP    66.185.168.152
  www.cisco-servicefinder.c
newsroom.cisco.com        None  (temp, OK)  0   IP    173.36.124.49
cisco-marketing-vm.hosted None  (temp, OK)  0   IP    204.93.85.56
  communities.cisco.com    
marketplace.cisco.com     None  (temp, OK)  0   IP    209.251.187.111
cway.cisco.com            None  (temp, OK)  0   IP    54.209.41.122
csr.cisco.com             None  (temp, OK)  0   IP    50.56.191.136
p03.t.eloqua.com          None  (temp, OK)  0   IP    142.0.160.13
  s177775138.t.eloqua.com  
cisco-tags.cisco.com      None  (temp, OK)  0   IP    72.163.10.10
dyn.web.whatsapp.com      None  (temp, OK)  0   IP    169.55.74.49
                                                      169.55.74.45
                                                      169.55.74.50
                                                      158.85.224.175
                                                      169.55.74.42
                                                      169.55.74.36
                                                      158.85.224.177
                                                      158.85.224.174
  w6.web.whatsapp.com      
whatsapp.com              NA    (temp, EX)  0  SOA      ns1.p13.dynect.net hostmaster.whatsapp.com
                                                   2016080306 3600 600 604800 1800
geo.kaspersky.com         NA    (temp, EX)  0  SOA      dnsmaster.kasperskylabs.net dnsadmin.kaspersky.com
                                                   1470567496 7200 3600 864000 3600
ksn-crypto-tcert.geo.kasp None  (temp, OK)  0   IP    195.122.177.183
                                                      195.122.177.186
                                                      62.128.100.57
                                                      62.128.100.55
  ksn-crypto-tcert-geo.kasp
fkmail.de                 None  (temp, OK)  0   IP    93.104.220.57
apple.com                 None  (temp, OK)  0   IP    17.178.96.59
                                                      17.142.160.59
                                                      17.172.224.47
cisco.sc.omtrdc.net       None  (temp, EX)  0   IP    66.117.29.37
g4.akamai.net             NA    (temp, EX)  0  SOA      n0g4.akamai.net hostmaster.akamai.com
                                                   1470565651 1000 1000 1000 1800
ksn-tboot-1.kaspersky-lab None  (temp, OK)  0   IP    62.128.100.84
ksn-crypto-ipm.geo.kasper None  (temp, OK)  0   IP    81.19.104.129
                                                      81.19.104.3
                                                      62.128.100.61
  ksn-crypto-ipm-geo.kasper
ksn-crypto-stat.geo.kaspe None  (temp, OK)  0   IP    62.128.100.57
                                                      62.128.100.47
                                                      62.128.100.55
                                                      62.128.100.49
                                                      62.128.100.53
                                                      62.128.100.45
  ksn-crypto-stat-geo.kaspe
ff.kis.scr.kaspersky-labs None  (temp, OK)  0   IP    127.245.107.154
ll7.wiredminds.de         None  (temp, OK)  0   IP    213.239.198.94
wm2.wiredminds.de         None  (temp, OK)  0   IP    46.4.245.75
l.doubleclick.net         NA    (temp, EX)  0  SOA      ns4.google.com dns-admin.google.com
                                                   129560104 900 900 1800 60
blog.auerswald.de         None  (temp, OK)  0   IP    81.14.169.81
simulation.auerswald.de   None  (temp, OK)  0   IP    81.14.169.83
newstour.auerswald.de     None  (temp, OK)  0   IP    81.14.169.81
unternehmen.auerswald.de  None  (temp, OK)  0   IP    81.14.169.81
www.auerswald.de          None  (temp, OK)  0   IP    81.14.169.81

Irgendwas stimmt immer noch nicht mit ipv6
Fakt ist aber ich bekomme sowohl mit der Fritzbox, mit meinen Macs, Windows-PC und mit der Auerswald keine IPV6 Addresse !!!!

Es werden lediglich der DNS Server ausgegeben:!!!!!

meine Running Konfig:

Cisco1921#show running-config
Building configuration...

Current configuration : 4830 bytes
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 10
enable secret 5 XXXX
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
!
!
!
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.50.170 192.168.50.254
ip dhcp excluded-address 192.168.50.1 192.168.50.153
!
ip dhcp pool Internal Network
 network 192.168.50.0 255.255.255.0
 default-router 192.168.50.1 
 dns-server 192.168.50.1 
 domain-name soho.intern
!
!
!
ip domain name soho.intern
ip name-server 212.18.0.5
ip name-server 212.18.3.5
ip name-server 2001:A60::53:1
ip name-server 2001:A60::53:2
ip inspect name Firewall tcp router-traffic
ip inspect name Firewall udp
ip inspect name Firewall sip
ip inspect name Firewall rtsp
ip inspect name Firewall ftp
ip inspect name Firewall icmp
ip inspect name Firewall pptp
ip cef
ipv6 unicast-routing
ipv6 dhcp pool NODE-DHCPV6
 dns-server 2001:A60::53:1
 dns-server 2001:A60::53:2
 domain-name soho.intern
!
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
!
license udi pid CISCO1921/K9 sn FXXXXX
!
!
username user4754 password 7 XXX
!
redundancy
!         
!         
!         
!         
!         
controller VDSL 0/1/0
 firmware filename flash:VA_A_39m_B_38u_24h.bin
!         
ip tcp synwait-time 5
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 no ip address
 shutdown 
 duplex auto
 speed auto
!         
interface GigabitEthernet0/1
 description NETWORK INTERN
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server NODE-DHCPV6
 ipv6 verify unicast reverse-path
!         
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
!         
interface ATM0/1/0.1 point-to-point
 pvc 1/32 
  bridge-dot1q encap 40
  pppoe-client dial-pool-number 1
 !        
!         
interface Ethernet0/1/0
 no ip address
 no ip route-cache
!         
interface Ethernet0/1/0.40
 encapsulation dot1Q 40
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!         
interface GigabitEthernet0/0/0
 description NETWORK VOIP
 no ip address
!         
interface GigabitEthernet0/0/1
 no ip address
!         
interface GigabitEthernet0/0/2
 no ip address
!         
interface GigabitEthernet0/0/3
 no ip address
!         
interface Vlan1
 no ip address
!         
interface Dialer0
 description VDSL Einwahl Interface to ISP MNET
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip inspect Firewall out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ipv6 address NODE-PD ::FF:0:0:0:1/128
 ipv6 enable
 ipv6 mtu 1492
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in
 no keepalive
 ppp authentication pap chap callin
 ppp chap hostname XXXXXXX@mdsl.mnet-online.de
 ppp chap password 7 XXXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!         
ip forward-protocol nd
!         
no ip http server
no ip http secure-server
!         
ip dns server
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
!         
dialer-list 1 protocol ip list 101
ipv6 route ::/0 Dialer0
!         
!         
access-list 101 permit ip 192.168.50.0 0.0.0.255 any
access-list 111 deny   ip any any
access-list 111 permit udp any eq 5060 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 permit udp any eq bootps any
access-list 111 permit udp any any eq 546
!         
ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 sequence 30 permit udp 2001::/56 eq 547 2001::/56
!         
control-plane
!         
!         
!         
line con 0
 logging synchronous
 login local
 transport preferred none
line aux 0
line 2    
 no activation-character
 no exec  
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password 7 XXXX
 login local
 transport preferred none
 transport input telnet ssh
!         
scheduler allocate 20000 1000
!         
end       
          


Cisco1921#show ipv6 int brief
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned


Cisco1921#sh ipv6 dhcp interface 
GigabitEthernet0/1 is in server mode
  Using pool: NODE-DHCPV6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled
Dialer0 is in client mode
  Prefix State is SOLICIT (33)
  Retransmission timer expires in 00:01:57
  Address State is IDLE
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled
Cisco1921#
Wo sind meine IPV6 Adressen jetzt ?????hmm ich mach mal ein reload.....

AHA!!!

ipv6 access-list native-ipv6-Firewall
 permit icmp any any
 permit udp 2001::/56 eq 547 2001::/56
 permit udp FE80::/10 eq 547 FE80::/10
 

entferne ich die dritte Seite mit dem FE80.....dann sieht es wie. o.g. aus.....wenn ich das jetzt so drinnen lasse sieht es wie u.g. aus:


GigabitEthernet0/1 is in server mode
  Using pool: NODE-DHCPV6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled
Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:24:16
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::12F3:11FF:FEA3:1F00
    DUID: 0003000110F311A31F00
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 1800, T2 2880
        Prefix: 2001:A61:20D8:9100::/56
                preferred lifetime 3600, valid lifetime 7200
                expires at Aug 07 2016 03:49 PM (6857 seconds)
      DNS server: 2001:A60::53:1
      DNS server: 2001:A60::53:2
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled


Cisco1921#show ipv6 int brief
Em0/0                  [administratively down/down]
    unassigned
GigabitEthernet0/0     [administratively down/down]
    unassigned
GigabitEthernet0/1     [up/up]
    FE80::669E:F3FF:FE57:B41
    2001:A61:20D8:9101::1
ATM0/1/0               [up/up]
    unassigned
ATM0/1/0.1             [up/up]
    unassigned
Ethernet0/1/0          [down/down]
    unassigned
Ethernet0/1/0.40       [down/down]
    unassigned
GigabitEthernet0/0/0   [down/down]
    unassigned
GigabitEthernet0/0/1   [down/down]
    unassigned
GigabitEthernet0/0/2   [down/down]
    unassigned
GigabitEthernet0/0/3   [down/down]
    unassigned
Dialer0                [up/up]
    FE80::669E:F3FF:FE57:B40
    2001:A61:20D8:91FF::1
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::669E:F3FF:FE57:B40
Vlan1                  [down/down]
    unassigned


Gibt es hier bereits ein Problem?

Weißt du wieso ich an GigabitEthernet0/1 mit der Auenwald, Fritzbox und den Clients keine ipv6 Adressen bekommen kann?
aqui
Lösung aqui 07.08.2016 um 14:59:45 Uhr
Goto Top
Wie prüfe ich den DNS Proxy?
show hosts sagt folgendes:
Bitte bitte nicht immer den ganzen ellenlangen Output... face-sad 3 Zeilen hätten gereicht. Proxy funktioniert wie du am Output sehen kannst.
Wenn du einen Client hast der die Cisco IP als DNS konfiguriert hat dann kannst du da auch mit nslookup und / oder dig testen.
Sieht aber aus das das rennt...Haken dran.
entferne ich die dritte Seite mit dem FE80.....
3te Seite ?? Welche Seite ??? Bahnhof ??
.wenn ich das jetzt so drinnen lasse sieht es wie u.g. aus:
Sorry, mein Fehler. Die Makse inkludiert natürlich auch v6 ICMP Multicasts: http://www.elektronik-kompendium.de/sites/net/2009221.htm
Diese sind nötig zum Prefix Handshaking.
OK, damit ist ja dann alles wieder Bella ! IPv6 Adresse an Dialer 0 und auch die Delegation an dein lokales LAN...so sollte es sein !
Gibt es hier bereits ein Problem?
Nein, sieht gut aus.
Weißt du wieso ich an GigabitEthernet0/1 mit der Auenwald, Fritzbox und den Clients keine ipv6 Adressen bekommen kann?
Das passiert nicht automatisch oder dann erst nach längerem Timeout. Du musst die einmal abziehen und anstecken damit es eine neue SLAAC Vergabe gibt. Dann sollte es klappen.
brooks
brooks 07.08.2016 aktualisiert um 15:57:12 Uhr
Goto Top
Ok , mein Fehler! ich meinte mit dritte Seite die dritte Zeile....hat wohl Autokorrektur zugeschlagen....

SO....Aqui , ich weiß nicht wie ich es dir erklären soll, :D

Ich hab jetzt ne Stunde mich dem LSA Verteiler gewidmet, weil ich ehrlich gesagt, keine Lust mehr hatte. Ich war kurz davor , die Cisco rauszuschmeißen. Aber die Cisco macht genau das was man ihr reintippt....das ist eben nicht mal eben klick klick klack mit Assistenten....

Genau irgendwann in der Zeit haben die PCs /Geräte jetzt ihre IPV6 Addresse bezogen, auch die Fritzbox.....sie ist jetzt mit ipv4 und ipv6 verbunden...an dem S0 Ausgang hängt über ISDN EXtern die Telefonanlage dran....Telefonie geht einwandfrei....Auch die Auerswald hat eine IPv6 bezogen

Jetzt kann ich sagen, die Cisco arbeitet dank dir einwandfrei und ich kann jetzt anfangen, für GigabitEthernet0/0/3 ein VOIP samt VLAN anzulegen

Frage:

Wenn ich jetzt auf GigabitEthernet0/0/3 ein Vlan 30, so wie du es oben beschrieben hattest , anlege und die Fritzbox über LAN in diesen Port stecke, dann funktioniert dass doch auch ohne Switch? Oder? Weil ich hab grad keinen kleinen managbaren da....(und über Fritzbox und Auerswald kann ich kein VLAN 30 definieren....

p.S. Bitte nicht wundern - die Fritzbox ist im Moment nur mein Platzhalter hier in der Konfiguration um zu sehen, ob die Cisco ihre Aufgaben erledigt- weil ich hab ehrlich gesagt noch keine Ahnung, wie ich die Konfiguration der VOIP Teilnehmer in der Auerswald Anlage parametieren muss....Ich hab aber schon die passenden Seiten gefunden.....Ich hoffe , dass ich es hinbekomme...
aqui
aqui 07.08.2016 um 17:28:55 Uhr
Goto Top
und die Fritzbox über LAN in diesen Port stecke, dann funktioniert dass doch auch ohne Switch?
Ja logo. Der Router Port ist wie ein FritzBox LAN Port, ist wie ein Switchport, ist wie ein PC LAN Port ist wie ein...
Es ist halt Ethernet immer das geiche face-wink
Was soll der tiefere Sinn sein die FB da anzuschliessen ??
Willst du das VLAN 30 als WLAN benutzen und die jetzt überflüssige FB als simplen WLAN Accesspoint benutzen wie hier beschrieben:
Kopplung von 2 Routern am DSL Port face-wink
Ach so...nur als 4 Switchports benutzen..?! Ja klar, logo...das klappt natürlich !
Aaaaber !!! Dran denken: DHCP abschalten auf der FB wenn der Cisco auch DHCP Server spielen sollte dort im VLAN 30 sonst hast du ein IP Adress Tohuwabohu...weisst du aber auch selber.
wie ich die Konfiguration der VOIP Teilnehmer in der Auerswald Anlage parametieren muss....
Das ist recht einfach. Auerswald hat ein Video Tutorial dazu was auf Anhieb klappt.
https://www.youtube.com/watch?v=TbIhRCLEMPk
Sollte auch für deine identisch sein...
brooks
brooks 08.08.2016 um 11:28:12 Uhr
Goto Top
Hi,

ich habe um kurz vor Mitternacht noch meine interface LAN IP von 192.168.50.1 auf die 192.168.50.2 gesetzt, DHCP angepasst und einen reload durchgeführt....

heute Morgen ist mir aufgefallen, dass die Fritzbox nicht mehr mit ipv6 ins Internet gehen wollte-_> kein VOIP

meine Auerswald TK und auch die Clients haben alle eine korrekte IPv6 bekommen und erhalten diese auch ....

Ich denke hier solangsam, dass die Fritzbox etwas eigen ist....-wahrscheinlich ist sie beleidigt , wenn sie nur das eine machen darf...face-smile

Ich muss die Auerswald mal konfigurieren, und es testen.....Die Fritzbox will jedoch nicht als eigener Router vom Cisco eine IPV6...

Außerserdem:

wie muss ich die ACL Liste noch anpassen, damit ich auch Videos und Streams von den Websites anschauen kann?

Im moment hängt jetzt erst mal wieder die Fritzbox am Netz...Cisco ist momentan offline....face-sad..
aqui
aqui 08.08.2016 aktualisiert um 11:40:43 Uhr
Goto Top
meine interface LAN IP von 192.168.50.1 auf die 192.168.50.2 gesetzt,
Infrastruktur IP insbesondere Router sollte man kosmetisch immer besser ans Ende setzen .1 oder .254 was gängig Praxis ist. Technisch geht natürlich jede IP aber die Enden sorgen dafür das es so gut wie nie zu Überschneidungen kommt. Ist aber Kosmetik...klar.
meine Auerswald TK und auch die Clients haben alle eine korrekte IPv6 bekommen und erhalten diese auch ....
Und du kannst auch IPv6 Endgeräte IPs wie z.B. heisev6 usw im Internet pingen mit IPv6 (ping6) von Geräten im lokalen LAN ?
Ich muss die Auerswald mal konfigurieren, und es testen....
Das wäre sinnig face-wink
Die Fritzbox will jedoch nicht als eigener Router vom Cisco eine IPV6...
Nein, das ist auch logisch, denn beide senden v6 RAs. Normal bei "richtigen" Routern kann man das konfigurieren, das auch ein Router Interface mit SLAAC konfiguriert werden kann (ipv6 autoconfig bei Cisco) aber ist fraglich ob ein billiger Consummer Router das auch kann. In 98% aller Haushalte muss man das nicht.
wie muss ich die ACL Liste noch anpassen, damit ich auch Videos und Streams von den Websites anschauen kann?
Für IPv4 oder IPv6 ??
Für IPv4 musst du nichts machen wenn du Streams im Internet ansehen willst. Es sei denn das Internet soll auf Stremaing Server bei dir im netz zugreifen ?!
brooks
brooks 08.08.2016 um 11:54:02 Uhr
Goto Top
Das mit der nummer 2 ist jetzt nur vorübergehend, weil ich hab keine Lust ständig die Gateways und dns Adressen ständig anpassen zu müssen.

Ja der Ping war erfolgreich.

Auerswald fehlt mir gerade die Zeit....werde ich vielleicht heute Abend mal versuchen....

mir ist eben aufgefallen, dass ich z. b einen Stream ansehen wollte zum Test, es gab da bei t-online diverse Videos und Streams, ich konnte diese nicht öffnen.....Da blockiert irgendetwas in der Firewall.....ich denke wir sind hier mit ipv4 unterwegs....

Ausserdem habe ich immer noch den Eindruck dass einige Websiten sich nicht öffnen lassen....

d.h. was vorher dieser mtu adjust Wert erledigt hatte.....waren die Seiten die vorher Problematisch waren...die gehen jetzt....

jetzt gibt es aber auch ganz wenige die ich nicht öffnen kann, Beispiele hab ich gerade nicht zur hand

Ich werde das mal beobachten und notieren
aqui
aqui 08.08.2016 um 14:51:57 Uhr
Goto Top
es gab da bei t-online diverse Videos und Streams, ich konnte diese nicht öffnen.....Da blockiert irgendetwas in der Firewall.....ich denke wir sind hier mit ipv4 unterwegs....
Kann eigentlich nicht sein, denn die CBAC Firewall lässt alles durch was outbound geht.
Vermutlich sind das Flash Filmchen und die werden von aktuellen Browsern (zu Recht) blockiert face-wink
Ausserdem habe ich immer noch den Eindruck dass einige Websiten sich nicht öffnen lassen....
Das sind dann MTU Probleme. Sollten aber mit der MSS Konfig pro Netzwerk weg sein !
Mach dazu einem Ping Test indem du mit -l die MTU zyklisch erhöst:
http://www.tippscout.de/windows-7-mtu-optimieren-download-abgebrochen_t ...
Vielleicht hat Mnet auch nur schlechte Peering Anbindungen in diese Zielnetze. Traceroute ist hier dein Freund oder pingplotter: http://www.pingplotter.com