Cisco 1941 DHCPv6 mit Sixxs Tunnel
Abend,
ich habe einen IPv6 Tunnel von Sixxs bekommen,
Nun muss der Cisco 1941 nur doch lernen die Adressen intern zu Routen und zu verteilen,
es ist ein /64 Subnetz ist.
Und genau da liegt das Problem ich finde keine Anleitung die einen DHCPv6 Server auf dem Cisco erklärt und alle eignenden versuche haben leider nicht zum Erfolg geführt..
Hier meine Aktuelle Config :
ich habe einen IPv6 Tunnel von Sixxs bekommen,
Nun muss der Cisco 1941 nur doch lernen die Adressen intern zu Routen und zu verteilen,
es ist ein /64 Subnetz ist.
Und genau da liegt das Problem ich finde keine Anleitung die einen DHCPv6 Server auf dem Cisco erklärt und alle eignenden versuche haben leider nicht zum Erfolg geführt..
Hier meine Aktuelle Config :
sh run
Building configuration...
Current configuration : 7938 bytes
!
! No configuration change since last restart
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname Firewall386
!
boot-start-marker
boot-end-marker
!
!
no logging buffered
enable secret 5 XXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login USER local
aaa authorization exec default local
aaa authorization network GROUP local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.17.50.1 10.17.50.99
ip dhcp excluded-address 10.17.50.151 10.17.50.254
!
ip dhcp pool 1941-dhcp
network 10.17.50.0 255.255.255.0
default-router 10.17.50.1
domain-name Network297.secure.intern
dns-server 208.67.222.222 208.67.220.220
netbios-name-server 10.17.50.1
lease 7
!
!
!
ip domain name Network297.secure.intern
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip inspect name meinefw udp
ip inspect name meinefw tcp
ip inspect name meinefw http
ip ddns update method dyndns
!
ip cef
login block-for 300 attempts 3 within 30
login on-failure log
login on-success log
ipv6 unicast-routing
ipv6 dhcp pool ipv6-pool
address prefix 2001:XXXX:FF00:14D6::/64 lifetime infinite infinite
dns-server 2001:XXXX:4860::8888
dns-server 2001:XXXX:4860::8844
domain-name Network297.intern
!
ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
!
crypto pki trustpoint TP-self-signed-3888022059
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3888022059
revocation-check none
rsakeypair TP-self-signed-3888022059
!
crypto pki trustpoint TP-self-signed-2189981532
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2189981532
revocation-check none
rsakeypair TP-self-signed-2189981532
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3888022059
certificate self-signed 01
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
quit
crypto pki certificate chain TP-self-signed-2189981532
crypto pki certificate chain test_trustpoint_config_created_for_sdm
license udi pid CISCO1941/K9 sn FCZ162420P3
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username ADMIN privilege 15 password 0 XXXXXXXXXXXXXXXXXXXXXXXXXX
username XXXXXXXXXXXXXXXXXXXXXXXXXX password 0 XXXXXXXXXXXXXXXXXXXXXXXXXX
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
lifetime 7200
crypto isakmp key Cisco address 0.0.0.0
crypto isakmp client configuration address-pool local EZVPN_POOL
!
crypto isakmp client configuration group EZVPN
key Cisco123456
dns 10.17.50.1
wins 10.17.50.1
pool EZVPN_POOL
netmask 255.255.255.0
crypto isakmp profile EZVPN_PROFILE
match identity group EZVPN
client authentication list USER
isakmp authorization list GROUP
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set EZVPN_SET esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile EZVPN_PROFILE
set transform-set EZVPN_SET
set isakmp-profile EZVPN_PROFILE
!
!
!
!
!
!
!
interface Tunnel61
description 6in4 tunnel to SixXS
no ip address
ip tcp adjust-mss 1420
ipv6 address 2001:XXXX:FF00:14D6::2/64
ipv6 enable
tunnel source GigabitEthernet0/1
tunnel mode ipv6ip
tunnel destination 78.35.24.124
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Lokales Ethernet LAN $ES_LAN$
ip address 10.17.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description Internet Verbindung Kabel TV $ETH-WAN$
ip address dhcp client-id GigabitEthernet0/1 hostname router_eng297
ip access-group 111 in
ip nat outside
ip inspect meinefw out
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/1
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile EZVPN_PROFILE
!
ip local pool EZVPN_POOL 10.0.0.10 10.0.0.50
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 dhcp
!
!
ipv6 route ::/0 Tunnel61
!
!
snmp-server community public RO
snmp-server community read_me RO
snmp-server community write_me RW
access-list 1 remark INSIDE_IF=GigabitEthernet0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.53.53.0 0.0.0.255
access-list 1 permit 10.17.50.0 0.0.0.255
access-list 111 remark CCP_ACL Category=17
access-list 111 remark Auto generated by CCP for NTP (123) 134.130.4.17
access-list 111 permit udp host 134.130.4.17 eq ntp any eq ntp
access-list 111 remark tftp
access-list 111 permit udp any any log
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
!
!
control-plane
!
!
banner login ^C
##########################################################################
# WARNING! #
# Access to this device is restricted to those individuals with specific #
# Permissions. If you are not an authorized user, disconnect now. #
# Any attempts to gain unauthorized access will be prosecuted to #
# the fullest extent of the law #
##########################################################################
^C
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password XXXXXXXXXXXXXXXXXXXXXXXXXX
transport input all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 134.130.4.17 source GigabitEthernet0/0
ntp server 0.de.pool.ntp.org
!
end
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215825
Url: https://administrator.de/forum/cisco-1941-dhcpv6-mit-sixxs-tunnel-215825.html
Ausgedruckt am: 08.01.2025 um 23:01 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
ich habe auch mal eine keine Frage dazu, ich hoffe Du verzeihst mir das, aber müssen denn nicht bei IPv6 alle Geräte im LAN
und auch im WAN Bereich IPv6 "sprechen"? Und vor allem auch die VPN Tunnel Gegenstelle?
Gruß
Dobby
ich habe auch mal eine keine Frage dazu, ich hoffe Du verzeihst mir das, aber müssen denn nicht bei IPv6 alle Geräte im LAN
und auch im WAN Bereich IPv6 "sprechen"? Und vor allem auch die VPN Tunnel Gegenstelle?
Gruß
Dobby
DHCP ist überflüssig bei v6 du machst das mit dem Router Advertisement Protokoll, was auch der Cisco supportert:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/rele ...
Außerdem ist ein Kardinalsfehler in deiner Konfig ! Der /64 Prefix ist dein lokales LAN nicht aber die IP für das Tunnelinterface, die ist immer separat, denn das ist ja logischerweise einen P2P Verbindung auf SixXS. Die darf also nicht identisch sein zu deinem lokalen LAN sonst wäre ein Routing unmöglich !
Siehe: http://www.sixxs.net/wiki/Cisco
Über SixXS requestetest du ja noch ein lokales Prefix und das ist dein lokales, eigenes v6 LAN was du überhaupt noch nicht konfiguriert hast auf dem Router ?!
Wenn du auf die SixXS Homepage gehst dann siehst du deinen Tunnel und automatisch dadrunter dein dir mit dem Tunnel zugeteiltest /64 Prefix !
DAS ist dein lokales LAN was du am lokalen Cisco Routerport zusätzlich zu v4 konfigurierst. Bei dir Gig 0/0
Übrigens auch dein Vitual Template mit unnumbered GiG 0/1 ist unsinn, denn du kannst ja wohl kaum aufs Kabel TV Netz zugreicfen um dort IP Adressen zu benutzen.
Das solltest du dringenst korrigieren !
Eine entsprechende Beispielfonfig die du übernehmen kannst findest du hier fertig zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
.@Dobby
Ja, das ist richtig aber der Cisco oder ein Raspberry Pi etc. als SixXS Tunnel Router baut ein IPv4 Tunnel (o.a. Tunnel Interface) auf zu SixXS in dem IPv6 getunnelt wird.
http://www.sixxs.net/faq/connectivity/?faq=ossetup&os=linuxdebian
Der v6 Tunnel ist eine P2P Connection und von Sixxs bekommst du einen /64 Prefix zugeteilt als lokales LAN mit dem du dann fröhlich experimentieren kannst im IPv6 Internet.
Dieses Buch erklärt die Detais dazu:
http://www.amazon.de/IPv6-Workshop-praktische-Einführung-Internet- ...
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/rele ...
Außerdem ist ein Kardinalsfehler in deiner Konfig ! Der /64 Prefix ist dein lokales LAN nicht aber die IP für das Tunnelinterface, die ist immer separat, denn das ist ja logischerweise einen P2P Verbindung auf SixXS. Die darf also nicht identisch sein zu deinem lokalen LAN sonst wäre ein Routing unmöglich !
Siehe: http://www.sixxs.net/wiki/Cisco
Über SixXS requestetest du ja noch ein lokales Prefix und das ist dein lokales, eigenes v6 LAN was du überhaupt noch nicht konfiguriert hast auf dem Router ?!
Wenn du auf die SixXS Homepage gehst dann siehst du deinen Tunnel und automatisch dadrunter dein dir mit dem Tunnel zugeteiltest /64 Prefix !
DAS ist dein lokales LAN was du am lokalen Cisco Routerport zusätzlich zu v4 konfigurierst. Bei dir Gig 0/0
Übrigens auch dein Vitual Template mit unnumbered GiG 0/1 ist unsinn, denn du kannst ja wohl kaum aufs Kabel TV Netz zugreicfen um dort IP Adressen zu benutzen.
Das solltest du dringenst korrigieren !
Eine entsprechende Beispielfonfig die du übernehmen kannst findest du hier fertig zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
.@Dobby
Ja, das ist richtig aber der Cisco oder ein Raspberry Pi etc. als SixXS Tunnel Router baut ein IPv4 Tunnel (o.a. Tunnel Interface) auf zu SixXS in dem IPv6 getunnelt wird.
http://www.sixxs.net/faq/connectivity/?faq=ossetup&os=linuxdebian
Der v6 Tunnel ist eine P2P Connection und von Sixxs bekommst du einen /64 Prefix zugeteilt als lokales LAN mit dem du dann fröhlich experimentieren kannst im IPv6 Internet.
Dieses Buch erklärt die Detais dazu:
http://www.amazon.de/IPv6-Workshop-praktische-Einführung-Internet- ...