Cisco 886VAJ - einige Webseiten laden nicht
Hallo,
ich bin Cisco Neuling und dabei einen 886VAJ an einem o2 ADSL2+ einzurichten.
Folgende Situation:
Die Einwahl zum Provider funktioniert. Jedoch kann ich einige Webseiten nicht laden.
Der Ladevorgang beginnt zwar, wird jedoch nicht abgeschlossen.
Dies ist unabhängig vom Host, dem Betriebssystem oder dem Browser.
Zu diesen Seiten gehören unter anderem:
networklessons.com
twitter.com
tumblr.com
flickr.com.
Allen gemein ist, das sie über https geladen werden.
Auch kann Outlook sich nicht mit dem gmx Account verbinden und iPhone und iPad könne keine Updates mehr laden.
Wechsel ich zum alten Router oder zum Mobilen Netz funktioniert alles.
Ich sitze jetzt seit 4 Tagen daran, und sehe langsam keine Bilder mehr. Es ist vermutlich nur eine Kleinigkeit die ich übersehen habe.
Vielleicht kann einer von euch einen kurzen Blick in die config werfen.
Ich danke euch.
Ach ja. Wenn ich dem Dialer eine ACL „deny ip any any“ in mitgebe werden alle Internetzugriff geblockt. Aber eigentlich müsste die inspect FW out diese doch „überlagern“? Habe ich das falsch verstanden?
!
! Last configuration change at 09:00:08 MST Sun Apr 9 2017 by s.lorenz
! NVRAM config last updated at 09:03:22 MST Sun Apr 9 2017 by s.lorenz
!
version 15.6
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname R1
!
boot-start-marker
boot system flash:c800-universalk9-mz.SPA.156-2.T1.bin
boot-end-marker
!
!
enable secret
enable password
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone MET 1 0
clock summer-time MST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
ip dhcp excluded-address 10.0.0.1 10.0.0.99
!
ip dhcp pool tesedilo
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
dns-server 10.0.0.1
domain-name tesedilo.local
!
!
!
ip domain name tesedilo.local
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW http
ip inspect name FW https
ip inspect name FW pop3s
ip inspect name FW esmtp
ip inspect name FW ssh
ip inspect name FW ntp
ip inspect name FW isakmp
ip inspect name FW dns
ip inspect name FW icmp
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
license udi pid C886VAJ-K9 sn ######
license accept end user agreement
license boot module c800 level advipservices
!
!
username ######### privilege 15 secret 5 $1$kbX9$h6sHdHnUWnwDqMtkae66g0
!
!
!
!
!
controller VDSL 0
firmware filename flash:VA_A_39m_B_38u_24h.bin
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description SW1
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
shutdown
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect FW out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ##########
ppp chap password 7 135744425F5D5D7D7E
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer1 overload
ip ssh version 2
!
logging trap debugging
logging host 10.0.0.59
!
access-list 10 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
exec-timeout 6 0
privilege level 15
password 7 143E27035B547075122F66
logging synchronous
no modem enable
line aux 0
line vty 0 4
access-class 10 in
exec-timeout 6 0
privilege level 15
password 7 012B2E570C283C02110D5C3032
transport input ssh
!
scheduler allocate 20000 1000
ntp server pool.ntp.org
!
end
Vielen Dank und euch noch ein schönes Wochenende.
Steve
ich bin Cisco Neuling und dabei einen 886VAJ an einem o2 ADSL2+ einzurichten.
Folgende Situation:
Die Einwahl zum Provider funktioniert. Jedoch kann ich einige Webseiten nicht laden.
Der Ladevorgang beginnt zwar, wird jedoch nicht abgeschlossen.
Dies ist unabhängig vom Host, dem Betriebssystem oder dem Browser.
Zu diesen Seiten gehören unter anderem:
networklessons.com
twitter.com
tumblr.com
flickr.com.
Allen gemein ist, das sie über https geladen werden.
Auch kann Outlook sich nicht mit dem gmx Account verbinden und iPhone und iPad könne keine Updates mehr laden.
Wechsel ich zum alten Router oder zum Mobilen Netz funktioniert alles.
Ich sitze jetzt seit 4 Tagen daran, und sehe langsam keine Bilder mehr. Es ist vermutlich nur eine Kleinigkeit die ich übersehen habe.
Vielleicht kann einer von euch einen kurzen Blick in die config werfen.
Ich danke euch.
Ach ja. Wenn ich dem Dialer eine ACL „deny ip any any“ in mitgebe werden alle Internetzugriff geblockt. Aber eigentlich müsste die inspect FW out diese doch „überlagern“? Habe ich das falsch verstanden?
!
! Last configuration change at 09:00:08 MST Sun Apr 9 2017 by s.lorenz
! NVRAM config last updated at 09:03:22 MST Sun Apr 9 2017 by s.lorenz
!
version 15.6
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname R1
!
boot-start-marker
boot system flash:c800-universalk9-mz.SPA.156-2.T1.bin
boot-end-marker
!
!
enable secret
enable password
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
ethernet lmi ce
clock timezone MET 1 0
clock summer-time MST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
ip dhcp excluded-address 10.0.0.1 10.0.0.99
!
ip dhcp pool tesedilo
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
dns-server 10.0.0.1
domain-name tesedilo.local
!
!
!
ip domain name tesedilo.local
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW http
ip inspect name FW https
ip inspect name FW pop3s
ip inspect name FW esmtp
ip inspect name FW ssh
ip inspect name FW ntp
ip inspect name FW isakmp
ip inspect name FW dns
ip inspect name FW icmp
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
license udi pid C886VAJ-K9 sn ######
license accept end user agreement
license boot module c800 level advipservices
!
!
username ######### privilege 15 secret 5 $1$kbX9$h6sHdHnUWnwDqMtkae66g0
!
!
!
!
!
controller VDSL 0
firmware filename flash:VA_A_39m_B_38u_24h.bin
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description SW1
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
shutdown
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect FW out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ##########
ppp chap password 7 135744425F5D5D7D7E
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer1 overload
ip ssh version 2
!
logging trap debugging
logging host 10.0.0.59
!
access-list 10 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
exec-timeout 6 0
privilege level 15
password 7 143E27035B547075122F66
logging synchronous
no modem enable
line aux 0
line vty 0 4
access-class 10 in
exec-timeout 6 0
privilege level 15
password 7 012B2E570C283C02110D5C3032
transport input ssh
!
scheduler allocate 20000 1000
ntp server pool.ntp.org
!
end
Vielen Dank und euch noch ein schönes Wochenende.
Steve
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334656
Url: https://administrator.de/contentid/334656
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
6 Kommentare
Neuester Kommentar
ich bin Cisco Neuling...
Willkommen im Club ! Du hast vergessen die IP Segment Size zu setzen auf dem lokalen LAN Port. Dadurch bekommst du dann IP MTU Probleme auf dem PPPoE Interface. Den Grund kannst du hier nachlesen:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Halte dich ganz einfach an die Beispiel Konfig im hiesen Forums Tutorial: (Suchfunktion lässt grüßen )
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das fixt das Problem sofort. Deine MTU auf dem Dialer Interface ist zudem keine ip mtu sondenr die Layer 2 MTU und damit wirkungslos. Solltest du entfernen.
Noch ein Tip. Die Root Domain .local sollte man niemals lokal verwenden, denn die kollidiert mit dem mDNS Standard für
den diese Domain reseviert ist:
https://en.wikipedia.org/wiki/Multicast_DNS#Protocol_overview
Du solltest das also besser ändern und immer .intern oder .lokal etc. verwenden
P.S.:
Dein lokaler Fast Ethernet 0 Port ist als tagged Uplink definiert (Trunk). Das ist Unsinn wenn du keine weiteren VLANs auf dem Router hast.
Um dem wieder als Access Port zu definieren sagst du no switchport mode trunk und dananch dann switchport mode access. Wenn er ins Defualt VLAN 1 soll dann noch switchport access vlan 1.
Meine Versuche die gesetzte MTU auf dem Dialer Interface mit „no mtu“ oder
Das kann auch nicht gehen. Die Zauberformel lautet no mtu 1492. Da ist der Cisco etwas pedantisch Auch das setzen einer ip mtu per „ip mtu 1492“ wird vom Router ignoriert.
Das ist Quatsch und da kann man dann sagen das du zu 100% etwas verkehrt machst. (PEBKAC Problem ?!) Vermutlich konfigurierst du es nicht Interface bezogen.Hier zum Beleg mal ein Live Config Mitschnitt vom Router:
!
Cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Cisco(config)#int dialer 0
Cisco(config-if)#ip mt
Cisco(config-if)#ip mtu ?
<68-1500> MTU (bytes)
Cisco(config-if)#ip mtu 1492
Cisco(config-if)#
Cisco886va(config-if)#do sh run int dia 0
Building configuration...
Current configuration : 541 bytes
!
interface Dialer0
description PPPoE Dialin Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xyz...
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
end
Works as designed !!!
Siehe auch entsprechende Beispielkonfig im hiesigen_Tutorial
100erte Cisco Router können sich nicht irren...!
Vielleicht sollt ich mir doch einen 40,- € TP-Link Router in die Ecke stellen
Ganz sicher NICHT !!!