01.11.2019, aktualisiert um 17:42:49 Uhr

1624

Cisco 897VA WAN

Hallo Zusammen,

ich versuche gerade verzweifelt den WAN Anschluss am CISCO 897VA zum laufen zu bekommen, leider klappt das irgendwie nicht, ob wohl ich schon mehrfach die Anleitung ([ Cisco 800, 900, ISR11xx Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN Link])von dir durchgegangen bin.

Ich hab allerdings nur die "FastEthernet" durch "GigabitEhernet" ersetzt,
Bei der WAN Config habe ich anstatt dem FastEthernet0, versuchsweiße GigabitEhernet 8 (der WAN port am 897) hier ließ sich dann kann VLAN einrichten, deswegen noch ein Versuch mit GigabitEhernet7 ein Verbindung zum Internet habe ich allerdings nie bekommen...

Kann mir evtl. jemannd helfen?

Vielen Dank schon im Voraus!

Anbei die Config:

Building configuration...

Current configuration : 7456 bytes
!
! Last configuration change at 11:09:04 CET Fri Nov 1 2019
!
version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 5 $1$Sbxk$OtWna1nhQuA3zXaP.0dal0
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local 
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-235961381
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-235961381
 revocation-check none
 rsakeypair TP-self-signed-235961381
!
!
crypto pki certificate chain TP-self-signed-235961381
 certificate self-signed 01
  30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32333539 36313338 31301E17 0D313931 31303130 39323530 
  325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3233 35393631 
  33383130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  B39FABDA 5D503E10 408C3FD7 233A0BE3 2B122A12 E5BE3C72 E07DD15A 89C6633B 
  7FF9EEFB D11AE18C 33596859 F730A670 FBDBB6F9 DB5EA874 4EB85DFF A3192812 
  4AF16F31 B3A5466B E84D05C5 9F073232 C0728549 96D33329 3E86ECE4 4325AA33 
  25B77144 27E84E21 3BD49293 8485360A 86BF087E 72B37367 AFA3614E C3958F39 
  02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D 
  23041830 16801404 F1E28D4D 8C88F48A 06C07330 F69A255D 2EA5C230 1D060355 
  1D0E0416 041404F1 E28D4D8C 88F48A06 C07330F6 9A255D2E A5C2300D 06092A86 
  4886F70D 01010505 00038181 009CA250 853E878B F7A967A7 44D65A9F FF5B3390 
  6A1E151C 559ECC53 F8DE3732 D19A1D08 E855BE17 A944CA2F 012CA87E C6CFB966 
  B9C62097 F0E7EA78 3B7F192D BAB3B9F4 7D02E990 276DC17D 2D641D94 4BE89CA4 
  FBD4B234 0577528F 946663D1 37E3EBC8 3A1FCE2B 7E403B2E E6F64D27 E6E8C025 
  19084827 B113DE19 B5822A72 97
  	quit
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 192.168.100.1 192.168.100.100
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.50
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254 
 dns-server 192.168.100.254 
 option 42 ip 130.149.17.8 
 domain-name Meinnetzwerk.home.arpa
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254 
 dns-server 172.16.100.254 
 option 42 ip 130.149.17.8 
 domain-name gast.Meinnetzwerk.home.arpa
!
ip dhcp pool WinServer
 host 192.168.100.170 255.255.255.0
 client-identifier 01b0.0c6c.01c4.d2
 default-router 192.168.100.254 
 dns-server 192.168.100.254 
 client-name winserver
 domain-name Meinnetzwerk.home.arpa
!
!
!
ip domain name Meinnetzwerk.home.arpa
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
cts logging verbose
license udi pid C897VA-K9 sn FCZ201494B0
!
!
username admin password 0 Geheim123
!
!
!
!
!
controller VDSL 0
!
ip ssh time-out 60
! 
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 shutdown
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 description Internet
 switchport access vlan 99
 no ip address
 no cdp enable
!
interface GigabitEthernet8
 description PrimaryWANDesc_
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN (GigabitEthernet0 bis 2)
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz (GigabitEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip access-group gastnetz in
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan99
 description Internet Interface
 ip address dhcp
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 bandwidth 10000
 bandwidth receive 50000
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username ?????t-online-com.de password 0 
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list nat-list interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet8
!
ip access-list extended gastnetz
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 deny   ip any any
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
access-list 111 deny   ip any any
access-list 111 deny   icmp any any echo
access-list 111 deny   icmp any any traceroute
access-list 111 deny   icmp any any redirect
access-list 111 permit ip any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 transport input ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source Dialer0
ntp server pnpntpserver.fritz.box
!
!
!
end

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 511151

Url: https://administrator.de/forum/cisco-897va-wan-511151.html

Ausgedruckt am: 18.04.2025 um 14:04 Uhr

25 Kommentare

Neuester Kommentar

Das die obige Konfig ziemlich wirr und durcheinander ist muss man sicher nicht nochmal wiederholen. Zeigt eigentlich das du recht planlos und wirr vorgehst indem du sinnfrei alles in die Konfig kopierst.

Aber versuchen wir mal das Konfig Chaos etwas zu ordnen...!

Der allerwichtigste Punkt fehlt leider in deinem Post:
WIE willst du denn aufs Internet zugreifen ???

per ADSL ?
per VDSL ?
oder per Ethernet via Modem oder direkt ?

Der Cisco kann ja alles nur DU musst es ihm mit der Konfig nur explizit sagen WAS.
Wenn man deine wirre Konfig oben ansieht hast du ja mehr oder minder als sinnfreien Schrotschuß alles 3 auf einmal konfiguriert. Das dann auch noch unvollständig und fehlerhaft. Das das auch mit dem besten Router nicht gehen kann erkennt auch ein Laie.
Kein großes Wunder also das deine Internet Verbindung nicht funktioniert.

Nur der Vollständigkeit halber das du es verstehst (und wie es im Tutorial auch beschrieben ist !):

Das ATM Interface bzw. Subinterface mappt intern auf das ADSL Modem. Hier muss du also den Dialer anhängen wenn du per ADSL ins Internet gehst.
Das Ethernet0 Interface bzw. Subinterface mappt intern auf das VDSL Modem. Hier muss du den Dialer anhängen wenn du per VDSL ins Internet gehst.
Das VLAN 99 war im Tutorial ein Beispiel wenn man direkt per physischen Ethernet Port (also ohne die xDSL Modems) ins Internet geht wie bei Fiber oder TV-Kabel Anschlüssen.

Bevor wir hier also ins Eingemachte gehen und das zum Fliegen bringen, solltest du überhaupt erstmal genau klären WIE denn dein Internet Anschluss aussieht, sprich also ADSL, VDSL, Ethernet ? Mit Tagg oder ohne, welcher Provider usw. usw. ?
Das bestimmt dann letztlich über welche der 3 Infrastrukturen gearbeitet wird.
Die lokalen LAN Verbindungen und Gastnetz klappen soweit (Router ist pingbar aus beiden Netzen ?), richtig ?

Hallo,

das hatte ich befürchet, irgendwie hab ich immer mehr dazu gebastelt, weil nichts ging...

Auf Internet möchte ich häuptsächlich über einen Magenta M VDSL 50 IP Anschluss zugreifen.
Als Fallback soll noch soll noch eine Zugriff über Ethernet an einem "Skytron" Anschluss dienen.

Die LAN Anbindung funktionieren bestens.

Vielen Dank und Grüße

Also ein Dual WAN Port Router....! Das ist ja schon einen Profi Anforderung !

OK, gehen wir schrittweise voran und realisieren erstmal den VDSL Zugang der Telekom, das sollte dir ein schnelles Erfolgserlebnis bescheren.
Als erstes entfernst du mit no interface ATM0.1 point-to-point das ADSL Subinterface was ja bei VDSL nicht gebraucht wird !
Das vlan 99 Interface setzt du mit shutdown erstmal inaktiv.
Da du VDSL machst musst du das Ethernet0 Interface aktivieren was ja das VDSL Modem ist. Das sieht dann so aus:
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.7
description VDSL Internet Verbindung Telekom
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!
Das aktiviert das VDSL Modem (no shutdown) und erzeugt ein Tagging mit der VLAN ID 7 wie es die Telekom fordert auf VDSL. Gleichzeitig aktiviert es PPPoE Encapsulation und bindet das Modem auf das Dialer 0 Interface.
Letzteres hast du schon korrekt konfiguriert !

Dann gehst du nochmal mit dem Besen durch die Konfig und machst etwas sauber...

Statische Default Route mit no ip route 0.0.0.0 0.0.0.0 GigabitEthernet8 entfernen !
NAT an Gig 8 auch erstmal entfernen mit no ip nat inside source list nat-list interface GigabitEthernet8 overload denn eine ACL nat-list existiert eh nicht so das das Kommando so oder so überflüssig ist.
Die ACL 111 ist durch deine Fehlversuche völlig verwürfelt und solltest du zwingend korrigieren. Am besten mit no access-list 111 komplett entfernen und neu eingeben. Diese sollte so aussehen:

!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any
!
Mehr sollte in der ACL 111 nicht drinstehen ! Kannst du so rein cut and pasten.
Wichtig:! Konfig danach mit wr sichern !!

Das wärs für den ersten Schritt und sollte nun mit VDSL fehlerlos funktionieren wenn alle VDSL Kabel richtig angeschlossen sind und deine PPPoE Daten stimmen.
Am besten gibst du an der seriellen Konsole oder Telnet reload ein und bootest den Router neu.
Die Front LED blinkt wenn das Modem mit dem VDSL DSLAM synct. Das dauert etwas also nicht nervös werden.

Danach leuchtet die LED dann permanent und zusätzlich die PPPoE LED und die VDSL Verbindung sollte stehen.
Mit show int dialer 0 kannst du den Dialer ansehen und der sollte auf up up stehen. Auch ein sh ip int brief zeigt dir die Internet Verbindung und die ausgehandelte IP Adresse des Telekom Anschlusses.
Ebenso sollte ein sh contro vdsl 0 dir einen erfolgreichen Sync (Showtime!) mit dem VDSL DSLAM und die ausgehandelten Datenraten zeigen.
Dann kannst du direkt vom Cisco mal mit ping 9.9.9.9 checken obs klappt.

Danke schon viel mals.
DSL kann ich erst nächste Woche testen, so bald ich wieder auf der Baustelle bin.

Hab hier nur Kabel Anschluss.

Ist da ein Kabel Modem oder ein Kabel Router dran ??
Damit kannst du es auch testen wenn du willst.
Deine VLAN 99 Konfig oben ist richtig und die kannst du so übernehmen. In einer Router Kaskade (Anschluss an vorhandenen TV-Kabel Router) kannst du die ACL 111 dann weglassen.
Dafür reicht die o.a. Konfig an Interface Gig8.
!
interface GigabitEthernet8
description Kabel-TV Internet
ip address dhcp
ip nat outside
ip inspect myfw out
!
Das NAT Konfig Statement musst du dann natürlich auch auf das Gig8 Interface anpassen:
!
ip nat inside source list 101 interface Gigabit8 overload

Vielen Dank! Über den WAN Port läuft jetzt das Internet zumindest mal am Schreibtisch.

Das wird es nächste Woche dann auch auf dem VDSL Link tun !!

Ich hoffe es

Werde dann berichten.
Allerdings hat sich das nächste Problem aufgetran, dafür aber ein neuer Theard

Dann wäre es sinnvoll hier auch auf den Folgethread zu verweisen !!

Hallo,

ja klar hier der Link:

Cisco 897VA keine IP im Gästenetz

Vielen Dank nochmals für deine Hilfe!

Grüße

Zitat von @aqui:

Das wird es nächste Woche dann auch auf dem VDSL Link tun !!

Da wäre ich mir nicht so sicher, der 897va ist das Annex A Modell. Hier im deutschen Lande wird seit jeher Annex B eingesetzt. Bei ADSL zwar mittlerweile Annex J, bei VDSL weiterhin aber Annex B.

Sollte die kiste also nicht synchronisieren weißt du zumindest warum, dann wäre der 896va die bessere Wahl gewesen. Oder eben ein externes Modem davor

Oh Mann, misst...
Das wäre jetzt echt blöd...

Versuch es erstmal ! Hier rennt ein 887va fehlerlos am VDSL Netz der Telekom. Du solltest zudem wenn möglich immer die aktuellste Modem Firmware verwenden. Das hiesige Tutorial beschreibt wie man die einbindet:
Cisco 800, 900, ISR11xx Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)
Also anschliessen und austesten. Ggf. mal den PPPoE Debugger laufen lassen sollte es Negotiation Probleme mit dem Modem geben.
Versuch macht also klug...wie immer

Ok, werde es mal versuchen.
Kann es sein dass man die Firmware nicht als normaler User downloaden kann? Bei mir kommt immer eine Meldung dass ich mich an meinen Cisco Partner wenden soll.

Ja, das ist normal. Du brauchst eine Wartungs ID. Aber wenn du mal etwas kreativ nach dem genauen Dateinamen suchst wirst du auch so fündig

Kurze Rückmeldung:

Mit der integrierten FW hat der Sync mit 25Mbit funktioniert, mit der neueren FW Sync der Anschluss mit 125MBit.

Die Speedtest sind auch entsprechend, also abschließend kann man sagen, der 897va läuft perfekt am VDSL.

Grüße

Glückwunsch ! 👏
Jetzt kommt dann nur noch die Dual WAN Port Konfig, oder ?

Ja genau...

bin mal gespannt, über was ich da alles Stolpere...

Grüße

Über gar nichts. Das ist ganz einfach.
Schalte beide WAN Verbindungen aktiv und definiere 2 statische Default Routen.
Der Router macht dann ganz von selber ein Session basiertes Load Balancing auf beiden Internet Links.

https://howdoesinternetwork.com/2015/static-route-load-balance

Vielen Dank,

das klappt auch wenn, wie Internetverbindung am Port8 (WAN) instabil ist?

Grüße

Wieso ist die instabil ??
Ja, klappt auch aber dann rennst du natürlich in Timeouts rein. Kann dann sein das die eine oder andere Session mal hakelt.
Dann ist es ggf. besser du nutzt die instabile nur als Backup. Das bekommst du hin wenn du der statischen Default Route auf die instabile Verbindung eine schlechtere Metrik gibst.

Aus Technologie gründen, das ist eine "modifiziert" WLAN Versorgung die recht Wetterfühlig ist, ist eben noch aus Zeiten vor VDSL
Und der Vertrag läuft noch länger, deswegen soll es eben noch als Backup Lösung dienen.
Also auf eher als Backup, möchte da ungern Beschwerden bekommen, dass mal wieder das Internet nicht richtig geht .

Grüße

Du kannst auch per PBR (Policy based Routing) andere nicht wichtige Anwendungen auf den Link schicken um ihn so wenigstens für mitzunutzen:
Cisco Router 2 Gateways für verschiedene Clients

Noch eine kurze Rückmeldung, es läuft inzwischen alles so wie geplant, zumindest die nächsten drei Monate, dann soll der "WAN" Port gegen eine LTE verbinundung getauscht werden, die nur beim Ausfall vom DSL aktiv wird. Denke aber dass ich dass ich das hinbekommen werden, gibt ja schon einige Theards darüber.

Vielen Dank noch mal für die Hilfe. ohne würde ich wohl immer noch verzweifeln.

Grüße