Cisco ISR 1116-4P Webseiten werden nicht durchgelassen

Hallo,
ich habe mir einen Cisco ISR 1116-4P gekauft. Probleme mit der Einrichtung der DSL-Verbindung hatte ich dank der diversen Forenbeiträge nicht wirklich. Vielen Dank dafür an die Autoren dieser Beiträge.

Vor allem weil ich mich auch geschäftlich/privat mit der Konfiguration solcher Router beschäftige verstehe ich das Problem was ich habe nicht und hoffe auf eure Hilfe. Auch gerne Links zu anderen Beiträgen, weil ich trotz intensiver suche nichts gefunden habe.

So jetzt zu meinem Problem:

Der Router ist richtig hochgefahen und die DSL Verbindung steht. Seiten wie z.B.: google, meine eigene Webseite werden mit auf dem Laptop angezeigt. Aber zum Beispiel https://schulaemter.brandenburg.de oder die Anmeldung am Playstationnetwork funktionieren nicht. Der Browser zeigt Timeout an. Ich habe die aktuelle Config unten angehängt. Sie ist noch nicht fertig, da ich noch die Firewall implementieren muss. Da ich aber den Router zurückgesetzt hatte, habe ich jetzt erstmal das nötigste gemacht damit die DSL Verbindung steht und mein Laptop eine IP Adresse bekommt.

Vielen Dank im Voraus für eure Hilft.

Gruß Tavo

Building configuration...

Current configuration : 7857 bytes
!
! Last configuration change at 16:14:37 UTC Thu Jan 12 2023 by tavo.broetz
!
version 16.10
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
service call-home
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"  
  active
  destination transport-method http
  no destination transport-method email
!
!
!
ip dhcp excluded-address 192.168.15.254
!
ip dhcp pool Tavo
 network 192.168.15.0 255.255.255.0
 default-router 192.168.15.254
 dns-server 192.168.15.254
 domain-name tavo.home.local
 lease 7
!
!
!
login on-success log
ipv6 unicast-routing
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
crypto pki trustpoint TP-self-signed-
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-
 revocation-check none
 rsakeypair TP-self-signed-
!
!
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  
  
        quit
crypto pki certificate chain TP-self-signed-1602852613
 certificate self-signed 01
  
        quit
!
crypto pki certificate pool
 cabundle nvram:ios_core.p7b
!
no license feature hseck9
license udi pid C1116-4P sn 
license boot level securityk9
!
!
!
!
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!

!
redundancy
 mode none
!
!
!
!
controller VDSL 0/2/0
!
!
vlan internal allocation policy ascending
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback1
 ip address 192.168.0.1 255.255.255.0
!
interface GigabitEthernet0/0/0
 no ip address
 negotiation auto
!
interface GigabitEthernet0/1/0
 switchport access vlan 10
 switchport mode access
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
!
interface ATM0/2/0
 no ip address
 atm oversubscribe factor 2
 no atm enable-ilmi-trap
!
interface Ethernet0/2/0
 no ip address
 no negotiation auto
!
interface Ethernet0/2/0.7
 description VDSL-Internet-Verbindung
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description Gateway-TavoMary
 ip address 192.168.15.254 255.255.255.0
 ip nat inside
!
interface Dialer0
 description VDSL2-Einwahl-Interface
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 dhcp client request vendor
 ipv6 verify unicast reverse-path
 ppp authentication chap callin
 ppp chap hostname !gibt es
 ppp chap password !gibt es auch
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 ppp ipcp address accept
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list NAT interface Dialer0 overload
!
!
ip access-list standard NAT
 permit 192.168.15.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
 exec-timeout 0 0
 logging synchronous
 login local
 history size 50
 transport input none
 stopbits 1
line vty 0 4
 login
 length 0
!
!
!
!
!
!
end

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5456023192

Url: https://administrator.de/forum/cisco-isr-1116-4p-webseiten-werden-nicht-durchgelassen-5456023192.html

Ausgedruckt am: 22.04.2025 um 06:04 Uhr

3 Kommentare

Neuester Kommentar

ich habe mir einen Cisco ISR 1116-4P gekauft.

Glückwunsch! 👏👍 Gute Wahl.
Das Cisco Tutorial hast du wirklich genau gelesen und dich an die dortigen Konfig Schritte gehalten??
Cisco 800, 900, ISR11xx Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN

Dein Kardinalsfehler ist die fehlende Anpassung der MSS mit ip tcp adjust-mss 1448 auf dem lokalen LAN Interface (VLAN 10). Damit kommt es bei xDSL Anschlüssen zu einem MTU Fehler und das äußert sich dann im Symptom der teilweise nicht angezeigten Webseiten.
Fazit: Tutorial wie leider so häufig nicht genau gelesen!

Ein paar Anmerkungen zum Setup die du auch dringenst korrigieren solltest wenn du einen störungsfreien Betrieb anstrebst:

Es fehlen User ID sowie Zugangs- und enable Passwörter
TLD .local sollte man nicht verwenden, da weltweit eine IANA reservierte TLD! (Siehe dazu HIER)
Die korrekte Konfig der Uhrzeit inkl. NTP Server fehlt. (Wichtig f. Zertifikate und Log etc.)
Eine Loopback Adresse hat immer eine /32 Hostmaske
aaa sollte besser immer im "new" Mode laufen
Nicht aktive Interfaces besser auf "shutdown" setzen
IPv6 auf dem WAN aktiv aber nicht auf dem LAN ist etwas sinnfrei
Es fehlt gänzlich eine Sicherung des Zugangs!! vty sollte auf SSH only eingestellt sein und es ist dringenst anzuraten eine vty ACL zu setzen die den Zugang einzig nur vom lokalen LAN erlaubt. Das ist fahrlässig ohne zu arbeiten und Telnet aktiv zu haben! Ein NoGo.
HTTP Server zu aktivieren ohne lokale vty Access Liste ist ebenso fahrlässig! HTTP und S sowie Telnet sollte man gänzlich deaktivieren um keinen Angriffsvektor zu liefern.

Hallo aqui,
danke für deine Antwort. Mein Problem hat sich erledigt. Ich hatte mich an dem von dir empfohlen Forenbeitrag gehalten allerdings nicht richtig gelesen. Ich werde in Zukunft die Beiträge richtig lesen.

Zu deinen Anmerkungen:

Es gibt eine Benutzer auf dem Router. Ich habe ihn nur nicht gepostet weil ich da was gegen habe, dass solche Infos im Internet verbreitet werden
Die TLD werden ich ändern. Ich wusste nicht das die IANA diesen reserviert hat
Der Router wird NTP Master und ich werden auch noch einen NTP Server hinterlegen. Die Konfig die ich gepostet habe ist wirklich nur der Anfang. Ich wollte nur erstmal die grundlegenden Sachen machen damit die DSL Verbindung steht um zu schauen ob ich in der vorigen Konfig was falsch gemacht habe
Die Loopback bekommt eine 32 Maske
aaa steht auf der to-do-Liste. Ist aber noch nicht geschehen wegen der Erklärung von Punkt drei
Die restlichen Interfaces werden noch konfiguriert
ipv6 wird noch auf alles Interfaces implementiert
vty werde ich noch sichern und auch auf SSHv2 stellen. Aber auch hier siehe Punkt drei
der HTTP Server bekommt auch noch eine ACL für den eingeschränkten Zugriff

Wie gesagt vielen Dank für deine Antwort.

Bis die Tage