pharit
10.12.2016, aktualisiert am 19.02.2017
view2878
view20
0
Goto Top

Cisco mit zwei Internetanschlüssen

gelöstFrageNetzwerkeLAN, WAN, Wireless
Hallo allerseits,

bei unserem Heimnetzwerk mit zwei Fritzboxen (weil hier noch ein Vertrag lange läuft, der kaum Geschwindigkeit bringt) versuche ich mir mit Aquis Tutorials Cisco nach und nach näher zu bringen und bestenfalls ein Load Balancing zu Stande zu bringen und die beiden durch den Cisco zu ersetzen.

Somit hängt der Cisco jetzt direkt hinter einem Kabelmodem mit GigEth8 und der FastEth0 hinter meinem ADSL2+ Modem.


Dabei glaube ich, den Dialer (ordentlich) aufgesetzt zu haben, weiß aber nicht, ob mein VLAN1 noch mit dem WAN Anschluss GigEth8 arbeitet, der am schnellen Kabelanschluss hängt, oder automatisch(?!) schon FastEth0 dort mit dran hängt. Bei GigEth8, der bei meinem Router auch WAN GE heißt, musste ich zumindest nichts weiter dafür einstellen. Ungefähr so habe ich mir es nun auch bei WAN FE vorgestellt. Hab aber kein Internet auf dem FastEth PPPoe Interface.

Sieht jemand womöglich, warum ich bei ADSL kein Internet hier im Netzwerk haben könnte? GigEth solo läuft bestens.


VPN und fixe IPs habe ich zur besseren Lesbarkeit der Konfig entfernt.

Viele Grüße,

PharIT


Building configuration...


Current configuration : 7083 bytes
!
! Last configuration change at 21:46:05 CET Sat Dec 10 2016 by alan
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname CiscoRouter
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
!
aaa session-id common
ethernet lmi ce
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.10.1 10.10.10.20
ip dhcp excluded-address 10.10.10.150 10.10.10.254
!
!
ip domain name az.muc
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
license udi pid C891F-K9 sn xxx
!

!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface FastEthernet0
 no ip address
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 duplex auto
 speed auto
 pppoe enable
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 description Internet Port Kabelmodem
 ip address xx.xx.xxx.xx 255.255.255.192
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
!
!
interface Vlan1
 description Lokales LAN
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Async3
 no ip address
 encapsulation slip
!
interface Dialer0
 description xDSL Einwahl Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Xxxxx@mdsl.mnet-online.de password 0 xxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip local pool vpnpool 10.10.10.240 10.10.10.250
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 109.125.67.193
ip ssh time-out 60
ip ssh authentication-retries 2
!
ip access-list extended vpndynmt
 permit ip 10.10.10.0 0.0.0.255 192.168.88.0 0.0.0.255
!
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny   ip 10.10.10.0 0.0.0.255 192.168.88.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!
!
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
line con 0
 no modem enable
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 transport input ssh
!
scheduler allocate 20000 1000
!
end
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 323482

Url: https://administrator.de/contentid/323482

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

20 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 10.12.2016 um 23:52:53 Uhr
Goto Top
Hallo,

Zitat von @PharIT:
Wäre toll, wenn mir jemand sagen könnte, wo es noch hängt.
Du bist doch lange genug hier um zu wissen "No Input - No Output". Erwartest du wiklich das wir uns hier aus deiner Konfiguration versuchen herauszulesen welche Hardware du nutz, wie diese per Patchkabel verbunden ist usw. Willst du uns hier prüfen oder willst du hilfe zu einem dir bekannten Problem? Wir können nur Lesen was du uns schreibst, wir müssen nicht Vermuten was du hast oder tust oder willst. Alleine deine Konfig mit über 100 Leerzeilen ist eher ein Zumutung. Da bekommt keine Lust sich mit dein Problem zu befassen. Neben deine 2 Fritzboxen nutzt du eine eine C891F-K9 (Zeile 85). wie du diese 3 verbunden hast? Und was ist dein Problem?

Gruß,
Peter
PharIT
PharIT 11.12.2016 aktualisiert um 00:16:57 Uhr
Goto Top
Hi Peter,


danke Dir vielmals für die Kritik, ich habe den Beitrag für alle die ihn neu lesen überarbeitet.

Zur Sicherheit nochmals hier in aller Kurzform

Cisco ersetzt zwei Fritzboxen und soll Internet hinter Kabelmodem aufbauen (funktioniert bestens) und hinter ADSL Modem mit dem FastEth0 (auch WAN FE genannt an meinem Cisco) via PPPoe. GigEth8 funktioniert, ziehe ich ihn raus -nix mehr. Nun weiß ich nicht, habe ich den Dialer falsch konfiguriert, ihn falsch dem Interface zugeordnet oder habe ich einen dicken Knick in der Logik und mein VLAN1 kann garnicht diese zwei Interfaces für das externe Internet nutzen? Bzw. vielleicht nur in meiner momentanten Konfig

Da hänge ich und komme nicht weiter...


Ich hoffe, in aller Suche nach dem richtigen Weg, hab ich mich diesmal ordenltich ausgedrückt.


Viele Grüße,

PharIT
aqui
aqui 11.12.2016 um 10:19:00 Uhr
Goto Top
ein Load Balancing zu Stande zu bringen und die beiden durch den Cisco zu ersetzen.
Ein Schritt in die richtige Richtung face-wink
Dabei glaube ich, den Dialer (ordentlich) aufgesetzt zu haben,
Dir ist aber schon klar, das man dafür kein Dialer Interface benötigt, oder ??
TV Kabelmodem Interfaces arbeiten in der Regel mit DHCP und da ist keinerlei PPP erforderlich was ein Dialer Interface rechtfertigt !
An dem Port an dem das Kabelmodem dranhängt reicht ein einfaches ip address dhcp am Interface um dieses in den DHCP Client Modus zu setzen.
Voraussetzung dabei ist das dein TV Kabelmodem auch wirklich ein reines Modem ist und KEIN Router ?!
Ansonsten hättest du eine Routerkaskade !
Das geht auch aber die Interface Konfig sieht dann logischerweise anders aus !
Hab aber kein Internet auf dem FastEth PPPoe Interface.
Klar, wenn das DHCP ist. Erklärung siehe oben.
Dein Kardinalsfehler ist bei DHCP im Kabelbereich ein Dialer Interface zu verwenden. Das gibt es nirgendwo.

Das Balancing über die 2 WANs später machst du dann ganz einfach mit ACLs und Policy Based Routing:
Cisco Router 2 Gateways für verschiedene Clients

Übrigens nochmals der Apell das nur ziemliche Dummies den Google GNS konfigurieren. Den solltest du wenn dir deine Privatsphäre etwas wert ist niemals verwenden, denn Google erstellt damit ein Profil deiner Internet Gewohnheiten. Mal abgesehen von dem Usinn DNS Anfragen um die ganze Welt zu schicken. Nimm hier immer den deines Providers. Testweise kann man das aber machen.
PharIT
PharIT 11.12.2016 aktualisiert um 11:30:30 Uhr
Goto Top
Hi Aqui,

vielen Dank mal wieder für die schnelle Antwort!

Mit dem Kabelanschluss ist alles gut, denn den Dialer benutze ich ja auch für den M-Net Anschluss (Leitung der Telekom)

GigabitEth8 hängt hinter dem Kabelmodem, mit der IP vom Provider (über diese Konfig haben wir beide uns schon mal gewundert face-wink )Die ist aber so vorgegeben und funktioniert bis dato auch...


FastEth0 hängt hinter dem M-Net Anschluss, den ich per PPPoe betreiben soll. -Braucht also den Dialer, oder?


Bzgl. DNS: Ich dachte nach den Telekom-Geschichten der letzten Tage wäre das ne geniale Idee. Kennst Du abgesehen von meinem Provider wirklich private DNS Server?


Viele Grüße,

PharIT
aqui
aqui 11.12.2016 aktualisiert um 14:00:12 Uhr
Goto Top
Die ist aber so vorgegeben und funktioniert bis dato auch...
OK, dann könne wir beim Kabelprovider also einen Haken machen...
FastEth0 hängt hinter dem M-Net Anschluss, den ich per PPPoe betreiben soll. -Braucht also den Dialer, oder?
Jau, das ist richtig ! Wenn M-Net PPPoE macht dann brauchst du den Dialer.... Aaaaber..
nur wenn du ein reines Modem zu Mnet am FastEth0 hast oder einen Router der PPPoE Passthrough macht, sprich also einfach nur PPPoE Frames weiterleitet.
Dann, und nur dann ist das richtig !

Betreibst du daran eine Routerkaskade, sprich also am Mnet Anschluss ist noch ein zusätzlicher Router, dann entfällt logischerweise das Dialer (PPPoE) Interface !
Dann reicht dort eine normale IP Verbindung !
Das ist leider etwas unklar bei dir..?? Frage also: Modem oder Router am FastEth0 Interface ??
Ich dachte nach den Telekom-Geschichten der letzten Tage wäre das ne geniale Idee.
Google IPs und geniale Idee ??? Das meinst du wohl hoffentlich nicht wirklich Ernst, oder ? "Genial dumm" würde es besser treffen face-smile
Letztlich aber deine eigene Entscheidung ob du dich vor Dr. Google nackig machen willst oder nicht. Ist so wie bei Facebook: Du bezahlst mit deinen privaten Daten !
Dies hat auch mit der eigentlichen Aufgabenstellung hier erstmal nichts zu tun.
Und was genau meinst du mit "Telekom-Geschichten der letzten Tage" ?? Die hatten, wie du ja sicher selber weisst, rein gar nichts mit DNS zu tun und schon gar nichts mit Cisco !
Hier ging es um einen Angriff auf den TR-069 Port bei den gruseligen Speedport Gurken. Richtige Router machen so einen Müll wie TR-069 gar nicht.
Vergiss das also. Das hat nichts miteinander zu tun.

Einen gravierenden Konfig Fehler hast du aber noch auf deinem FastEth0 Interface !!!
Dort fehlt ein pppoe-client dial-pool-number 1 !!!
Das muss da rein, denn es referenziert auf das dialer pool 1 im Dialer 0 Interface damit das virtuelle Dialer Interface auch weiss zu welchem physischen Port es gehört !
Ohne das funktioniert es nicht !

Nochwas:
Du hast eine statische Route definiert. Die mangelt natürlich alle dynamisch gelernten über ! Wunder dich also erstmal nicht wenn deine PPPoE Verbindung steht und weiter alles über den TV Kabelanschluss geht !
Ein show ip route zeigt dir die Routing Tabelle des Routers nach der Pakets forwardet !
Um den PPPoE Link zu Mnet zu testen musst du dann die statische Route testweise mal entfernen.
Dann geht alles über den Mnet Link.
Wenn das funktioniert dann bist du schon fast am Ziel.
Dann aktivierst du PBR mit einer Route Map, selektierst mit einer ACL welcher Traffic über Mnet und Kabel geben soll und definierst die entsprechenden Gateways.
PharIT
PharIT 11.12.2016 aktualisiert um 23:44:52 Uhr
Goto Top
Hi aqui,

vielen Dank Dir -ich hab's versucht nur leider ohne Erfolg. Wenn ich die statische Route entferne ist auch das Internet dahin... Dialer0 allerdings "up"

Muss ich den FastEthernet0, der darüber wählt womöglich noch dem VLAN1 zufügen?

Hoffe, das sind die passenden Konfig-Abschnitte.

!
interface FastEthernet0
 no ip address
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 duplex auto
 speed auto
 pppoe enable
 pppoe-client dial-pool-number 1
!
!
!
!
interface Vlan1
 description Lokales LAN
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!


Viele Grüße,

PharIT
aqui
aqui 12.12.2016 aktualisiert um 10:21:25 Uhr
Goto Top
Wenn ich die statische Route entferne ist auch das Internet dahin... Dialer0 allerdings "up"
Das ist auch klar, denn dann hast du ja kein Default Gateway mehr !! Nachdenken bitte und immer show ip route eingeben, das dir die aktuelle Routing Tabelle des Routers ausgibt ! Anhand der Tabelle kannst du IMMER den Paket Flow sehen.

Du hast allerdings ja ppp ipcp route default konfiguriert auf dem Dialer. D.h. das dynamisch übermittelete Gateway vom Provider wird so als Default in die Routing Tabelle übernommen.
Die statische Route hat immer eine höhere Priorität und killt bzw. verhindert dies dann.
Also mach mal bitte folgendes:
  • Entferne die statische Route
  • Mache auf dem Dialer 0 ein shut und danch ein no shut. Das nimmt das Interface runter und aktiviert es wieder was eine neue PPP Negotiation triggert und damit den Routing Prozess.
  • Dann gibst du mal ein show ip route ein und siehst dir die Routing Tabelle an !! Jetzt sollte das Default Gateway auf das Dialer Interface zeigen bzw. das dortige IP Netz
  • Sollte das wider Erwarten nicht klappen richtest du einen statische Default Route auf den Dialer0 ein: ip route 0.0.0.0 0.0.0.0 int dialer 0 Dann erzwingst du das und dann geht es ganz sicher.
Vom Router kannst du das dann immer per Traceroute Kommando verifizieren.
Bitte nutze alle diese Router Tools und Show Kommandos zum checken, das erspart dir unnötige Fragerei hier face-wink

Letzteres kannst du dir mit sh ip int brief auch nochmal genau ansehen ob die PPP Negotiation mit dem Provider geklappt hat. Wenn das Dialer Interface auf "UP" ist ist das schon mal sehr gut. Bedeutet das du alles richtig gemacht hast !

Du hast allerdings leider wieder einen neuen Kardinalsfehler in deine Konfig gebastelt face-sad
Die Kommandos:
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
sind auf dem physischen Interface FastEth 0 Schwachsinn (Sorry face-smile ) ! Denke also auch hier bitte mal nach. Das Interface hat gar keine IP Adresse (no ip address) wie soll da also z.B. eine IP ACL dann wirken ??
Entferne den Blödsinn also schnell wieder. Das FastEth0 ist nur Physik !! Du sagst dem nur das es einen PPP Encapsulation macht und das ist alles !
Alles IP relevante wird dann auf dem virtuellen Dialer Interface definiert was dann auf das physische FastEth0 gemappt ist. Einzig nur das Dialer Interface hält alle IP relevanten Konfigs !!
Bereinige das also und entferne das aus der Port Konfig.
PharIT
PharIT 12.12.2016 aktualisiert um 11:34:37 Uhr
Goto Top
Hi aqui,

vielen Dank für Deine Antwort!


Also mach mal bitte folgendes:
  • Entferne die statische Route
  • Mache auf dem Dialer 0 ein shut und danch ein no shut. Das nimmt das Interface runter und aktiviert es wieder was eine neue PPP Negotiation triggert und damit den Routing Prozess.
  • Dann gibst du mal ein show ip route ein und siehst dir die Routing Tabelle an !! Jetzt sollte das Default Gateway auf das Dialer Interface zeigen bzw. das dortige IP Netz
  • Sollte das wider Erwarten nicht klappen richtest du einen statische Default Route auf den Dialer0 ein: ip route 0.0.0.0 0.0.0.0 int dialer 0 Dann erzwingst du das und dann geht es ganz sicher.
Vom Router kannst du das dann immer per Traceroute Kommando verifizieren.
Bitte nutze alle diese Router Tools und Show Kommandos zum checken, das erspart dir unnötige Fragerei hier face-wink

Habe ich alles gemacht, leider fehlt es mir irgendwo an einer fundamentalen Einstellunge glaube ich (meine Routing Tabelle wäre unten). Denn ich habe alles gemacht, wie Du sagst -dennoch pingt nichtmal der Cisco raus. Dialer bleibt aber "up". Muss ich den Dialer auch dem VLAN zuordnen oder auf physikalischer Ebene dem FastEth0?

Letzteres kannst du dir mit sh ip int brief auch nochmal genau ansehen ob die PPP Negotiation mit dem Provider geklappt hat. Wenn das Dialer Interface auf "UP" ist ist das schon mal sehr gut. Bedeutet das du alles richtig gemacht hast !


Du hast allerdings leider wieder einen neuen Kardinalsfehler in deine Konfig gebastelt face-sad
Die Kommandos: ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
sind auf dem physischen Interface FastEth 0 Schwachsinn (Sorry face-smile ) ! Denke also auch hier bitte mal nach. Das Interface hat gar keine IP Adresse (no ip address) wie soll da also z.B. eine IP ACL dann wirken ??
Entferne den Blödsinn also schnell wieder. Das FastEth0 ist nur Physik !! Du sagst dem nur das es einen PPP Encapsulation macht und das ist alles !
Alles IP relevante wird dann auf dem virtuellen Dialer Interface definiert was dann auf das physische FastEth0 gemappt ist. Einzig nur das Dialer Interface hält alle IP relevanten Konfigs !!
Bereinige das also und entferne das aus der Port Konfig.

Hier noch meine Routing Table, die den FastEth0 noch nicht einmal erwähnt face-sad face-sad
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.10.10.0/24 is directly connected, Vlan1
L        10.10.10.1/32 is directly connected, Vlan1
      109.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        1xx.xx.xx.192/26 is directly connected, GigabitEthernet8
L        1xx.xx.xx.199/32 is directly connected, GigabitEthernet8


Und die Interfaces, die sagen, sie seien up:

Dialer0                    unassigned      YES NVRAM  up                    up
FastEthernet0              unassigned      YES NVRAM  up                    up


(Nur zur Ergänzung der korrigierte FastEth0 und Dialer)

!
!
interface FastEthernet0
 no ip address
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
!
interface Vlan1
 description Lokales LAN
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
!
interface Dialer0
 description xDSL Einwahl Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-usernamexxx pass xxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!


Wäre wirklich sehr dankbar über den rettenden Hinweis!


Viele Grüße,

PharIT
aqui
aqui 12.12.2016 aktualisiert um 11:58:49 Uhr
Goto Top
Hier noch meine Routing Table, die den FastEth0 noch nicht einmal erwähnt
Das ist doch auch normal ! Das FastEth0 Interface ist doch nur das physische Interface auf das das Dialer Interface gemappt ist. Relevant ist also einzig nur das Dialer Interface ! Es benutzt das FastEth0 nur als Transport.
Es ist doch auch logisch das das FastEth Interface OHNE einen IP Konfig ja wohl kaum in einer IP Routing Tabelle auftauchen kann face-wink

Das Problem kannst du ja sehen. Beim Dialer0 steht Unassigned, sprich das Dialer Interface bekommt keine IP Adresse per PPP zugeteilt vom gegenüber.
Das dürfte also eingentlich niemals auf "UP" gehen !!!
Was sagt denn ein show int dialer 0 ??
Dort sollte sowas wie
Dialer0 is up, line protocol is up (spoofing)
Hardware is Unknown
Description: Dialin T-Online DSL
Internet address is 84.123.45.67/32
MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Closed, loopback not set
Keepalive not set
Bound to:
Virtual-Access1 is up, line protocol is up
Hardware is Virtual Access interface
Description: Dialin T-Online DSL
MTU 1500 bytes, BW 672 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: IPCP
PPPoE vaccess, cloned from Dialer0
Vaccess status 0x44, loopback not set
Keepalive not set
Interface is bound to Di0 (Encapsulation PPP)
stehen !
Ein sh pppoe session zeigt dir die aktive Session.
Irgendwas rennt also noch falsch mit der PPPoE Negotiation zum Provider !

Um das zu checken schalte mal mit debug pppoe packets und debug pppoe events/errors das PPPoE Debugging ein. Damit kannst du dann den PPPoE Sessionaufbau genau verfolgen mit dem Provider und was genau da schiefgeht.
Mache, bevor du das aktivierst, ein term mon wenn du mit einer Telnet oder SSH Session auf dem Router bist um die Konsolen Outputs in deine Telnet/SSH Session zu bekommen.
Dann nimmst du mit shutdown entweder das FastEth0 oder das Dialer0 Interface runter (also conf t -> int xyz -> shutdown) aktivierst den PPPoE Debugger wie oben und dann auch mit no shut wieder das Interface.
Wenn jetzt Pakets aus dem Dialer gehen triggern die den PPPoE Dialin und du kannst den PPP Sessionaufbau mitsehen und auch ggf. Fehlermeldungen.

Damit der Dialer0 getriggert wird muss natürlich noch zwingend:
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
!
dialer-list 1 protocol ip list 101
!
ip route 0.0.0.0 0.0.0.0 int dialer0 (testweise)

in deiner Konfig stehen was oben nicht ersichtlich war.
Ein ping 8.8.8.8 sollte dann den PPPoE Prozess starten.

Achtung: Den Debugger immer wieder mit u all AUSschalten wenn du mit dem Debuggen fertig bist !
PharIT
PharIT 23.12.2016 aktualisiert um 00:48:30 Uhr
Goto Top
Hi Aqui,

vielen Dank Dir, nach einigem hin und her die letzten Tage mit dem Anbieter und "Beheben von Leitungsstörungen" habe ich im Debug trotzdem noch immer zigfach diese Meldungen:

*Dec 22 23:41:20.564: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Dec 22 23:41:20.564: Vi2 IPCP:    PrimaryDNS 212.18.0.5 (0x8106D4120005)
*Dec 22 23:41:20.564: Vi2 IPCP:    SecondaryDNS 212.18.3.5 (0x8306D4120305)
*Dec 22 23:41:20.564: Vi2 IPCP: Event[Timeout+] State[REQsent to REQsent]


Hast Du eine Idee, in welcher Ecke ich suchen muss? Zumindest vom Windows Client kann ich an diesem Modem nun bestens ein PPPoe aufbauen.


Viele Grüße,

PharIT
aqui
aqui 23.12.2016 aktualisiert um 16:28:07 Uhr
Goto Top
Zumindest vom Windows Client kann ich an diesem Modem nun bestens ein PPPoe aufbauen.
Sorry, der Satz ist jetzt etwas verwirrend...?!
Was genau meinst du damit ??
Du hast dort ein reines Modem (kein Router) schliesst da einen PC an der am Anschlussport (NIC) direkt PPPoE zum Provider macht.
Ist das so richtig verstanden ?
Oder ist der Rechner am Cisco und der Cisco macht die PPPoE Session auf ?

Dein Debugger Snippet zeigt die PPP Negotiation vom Provider wie der seine DNS IPs weitergibt.
Das sieht dann schon recht vielversprechend aus wenn du schon so weit kommst, denn das bedeutet das die Authentisierung usw. durch ist und der PPP Link fast steht...
Letztlich bedeutet das: Modem negotiatet richtig, PPP rennt richtig es sollte also zu einem Verbindungsaufbau kommen.
Hast du auch debug pppoe errors an ?
PharIT
PharIT 27.12.2016 um 20:08:34 Uhr
Goto Top
Hi Aqui,

die errors sind (leider) schon an, bekomme jedoch keine angezeigt...

Und zu Deiner Frage: Genau! Wenn ich meinen Rechner direkt (Windows10) an das Modem anschließe und ihm wie bei Windows ja üblich nur die PPPoe Daten durchgeben, findet er seinen weg selbst.

Hast Du noch eine Idee? Der Cisco scheint die Session nicht zu öffnen.


Viele Grüße,

PharIT
aqui
aqui 28.12.2016 um 15:32:24 Uhr
Goto Top
und ihm wie bei Windows ja üblich nur die PPPoe Daten durchgeben, findet er seinen weg selbst.
Sorry das ist jetzt etwas zu oberflächlich und stimmt so nicht oder von dir falsch ausgedrückt.

Das Winblows Interface kannst du auf 2erlei Optionen einstellen:
  • Das es PPPoE direkt macht. Dann konfigurierst du Username und Passwort für den Providerzugang HIER auf dem Windows Rechner direkt.
Das NIC Interface dazu verbindest du dann mti einem Modem, wie gesagt ein reines Modem und KEIN Router !!
Dann spricht der Windows Rechner PPPoE was das Modem einzig nur Medien- oder Format wandelt und gut iss.
  • Wenn du das nicht machst also kein PPPoE als Format an der Windows NIC angibst sondern einfaches IP machst entweder mit statischer oder dynamischer IP Adressierung, dann brauchst du statt reinem Modem zwingen einen ROUTER !!
Es ist also etwas unklar was du genau oben meinst ?!
Vielleicht spezifizierst du das nochmal genau bevor wir hier weitermachen ?!

Nochwas: Hat dein Cisco ein internes xDSL Modem oder keins, sprich also dann ein normales Ethernet Breitband Interface so das du mit einem externen NUR Modem arbeiten musst ?
PharIT
PharIT 29.12.2016 aktualisiert um 17:15:54 Uhr
Goto Top
Hallo aqui,

mein Cisco hat leider keins, ich hab ihn hinter einem AllNet hängen... Und genau hinter diesem (ohne Router) funktioniert der Windows Rechner. Aus dem Cisco heraus aber nicht. Ich arbeite also testweise mit der erstgenannten Deiner beiden Möglichkeiten.

Ich habe von meinem Anbieter noch die folgenden Hinweise erhalten, muss ich die noch irgendwo kommunizieren?

ATM-Parameter VPI: 1
ATM-Paramter VCI: 32
(sollten doch nur das Modem angehen, oder nicht?)
und klar, IPv4

Hilft uns das vielleicht noch?

Dialer0 is administratively up, line protocol is up
  Hardware is Unknown
  Description: xDSL Einwahl Interface
  Internet address will be negotiated using IPCP
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive not set
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 2w3d  
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes
     0 packets output, 0 bytes
Bound to:
Virtual-Access2 is up, line protocol is up
  Hardware is Virtual Access interface
  Description: xDSL Einwahl Interface
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open
  REQsent: IPCP
  PPPoE vaccess, cloned from Dialer0
  Vaccess status 0x44, loopback not set
  Keepalive not set
  Interface is bound to Di0 (Encapsulation PPP)
  Last input 6d16h, output never, output hang never
  Last clearing of "show interface" counters 6d16h  
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     62 packets input, 1981 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     259495 packets output, 8822334 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions


Oder, dass sich das Snippet mit aufsteigender ID wiederholt?
*Dec 29 16:09:53.933: Vi2 IPCP: O CONFREQ [REQsent] id 119 len 32
*Dec 29 16:09:53.933: Vi2 IPCP:    VSO OUI Cisco Netmask 0.0.0.0 (0x000A00000C0100000000)
*Dec 29 16:09:53.933: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Dec 29 16:09:53.933: Vi2 IPCP:    PrimaryDNS 212.18.0.5 (0x8106D4120005)
*Dec 29 16:09:53.933: Vi2 IPCP:    SecondaryDNS 212.18.3.5 (0x8306D4120305)
*Dec 29 16:09:53.933: Vi2 IPCP: Event[Timeout+] State[REQsent to REQsent]
*Dec 29 16:09:55.949: Vi2 IPCP: O CONFREQ [REQsent] id 120 len 32
*Dec 29 16:09:55.949: Vi2 IPCP:    VSO OUI Cisco Netmask 0.0.0.0 (0x000A00000C0100000000)
*Dec 29 16:09:55.949: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Dec 29 16:09:55.949: Vi2 IPCP:    PrimaryDNS 212.18.0.5 (0x8106D4120005)
*Dec 29 16:09:55.949: Vi2 IPCP:    SecondaryDNS 212.18.3.5 (0x8306D4120305)
*Dec 29 16:09:55.949: Vi2 IPCP: Event[Timeout+] State[REQsent to REQsent]
*Dec 29 16:09:57.965: Vi2 IPCP: O CONFREQ [REQsent] id 121 len 32
*Dec 29 16:09:57.965: Vi2 IPCP:    VSO OUI Cisco Netmask 0.0.0.0 (0x000A00000C0100000000)
*Dec 29 16:09:57.965: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Dec 29 16:09:57.965: Vi2 IPCP:    PrimaryDNS 212.18.0.5 (0x8106D4120005)
*Dec 29 16:09:57.965: Vi2 IPCP:    SecondaryDNS 212.18.3.5 (0x8306D4120305)
*Dec 29 16:09:57.965: Vi2 IPCP: Event[Timeout+] State[REQsent to REQsent]
*Dec 29 16:09:59.981: Vi2 IPCP: O CONFREQ [REQsent] id 122 len 32
*Dec 29 16:09:59.981: Vi2 IPCP:    VSO OUI Cisco Netmask 0.0.0.0 (0x000A00000C0100000000)
*Dec 29 16:09:59.981: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Dec 29 16:09:59.981: Vi2 IPCP:    PrimaryDNS 212.18.0.5 (0x8106D4120005)
*Dec 29 16:09:59.981: Vi2 IPCP:    SecondaryDNS 212.18.3.5 (0x8306D4120305)
*Dec 29 16:09:59.981: Vi2 IPCP: Event[Timeout+] State[REQsent to REQsent]

Wenn ich das Modem rausziehe, ändert sich noch nicht einmal etwas...


Viele Grüße,

PharITw
aqui
aqui 29.12.2016 aktualisiert um 20:08:00 Uhr
Goto Top
Und genau hinter diesem (ohne Router) funktioniert der Windows Rechner.
OK, das ist schonmal gut und dann ist das technisch geklärt.

Dann gehe strategisch vor und konfiguriere den Router erstmal so das er nur einfach erstmal mit diesem Link funktioniert, das sollte dann fehlerfrei klappen.
Tut es das nehmen wir die anderen Links und das PBR Routing dazu !
Die VPI/VCI Parameter betreffenin der Tat nur das modem. Das klappt ja denn die Konfig mit dem Winblows Rechner ist der beste Beweis.

Fange also nochmal ganz einfach an und bringe den Cisco erstmal nur allein am PPPoE Anschluss mit Modem zum Laufen:
Also write erase dann reload und So sähe das dann aus:
!
vpdn enable
!
interface FastEthernet0
description WAN-Schnittstelle Modem
no ip address
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin DSL
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username 0018565634935200007212860001@t-online.de password Geheim123
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
access-list 103 permit ip 10.10.10 0.0.0.255 any
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
Den PPPoE Usernamen und Passwort musst du natürlich anpassen !
ACHTUNG: Gut möglich das dein Provider CHAP Authentication statt PAP macht im PPPoE !! Dann musst du den Teil im Dialer Interface entsprechend abändern in:
!
ppp authentication chap callin
ppp chap hostname feste-ip2/2TBBC692Y4JD@t-online-com.de
ppp chap password Geheim123
!
Auch hier: Den PPPoE Usernamen und Passwort musst du natürlich anpassen und zwar genau so wie du es auch am Windows Client in den PPPoE Einstellungen gemacht hast.

Man kann auch beide Verfahren parallel laufen lassen:
ppp authentication chap pap callin
ppp chap hostname <pppoe_username>
ppp chap password Geheim123
ppp pap sent-username <pppoe_username> password Geheim123

Besser ist aber das zu verwenden was der Provider auch wirklich macht.
Mit dieser Minimalkonfig startest du jetzt erstmal und bringts nur den PPPoE Anschluss mit dem Modem zum Fliegen.
Dann machen wir Schritt für Schritt weiter.

Du kannst ja sehen am Debugger das das Dialer Interface irgendwie keine IP bekommt. Irgendwas ist da also noch faul in deiner Konfig.
Sinnvoll wäre auch mal ein show ip int brief Damit kannst du die IP Adressierung des Routers sehen und checken ob das Dialer Interface eine PPPoE IP bekommen hat.
Sowas sollte da rauskommen wenn alles glatt gegangen ist: 
CiscoRouter>sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
Dialer0                    94.179.137.121  YES IPCP   up                    up
Ethernet0                  unassigned      YES NVRAM  administratively down down
FastEthernet0              unassigned      YES unset  up                    up
FastEthernet1              unassigned      YES unset  down                  down
FastEthernet2              unassigned      YES unset  down                  down
FastEthernet3              unassigned      YES unset  up                    up
NVI0                       unassigned      YES unset  administratively down down
Virtual-Access1            unassigned      YES unset  up                    up
Vlan1                      10.10.10.1      YES NVRAM  up                    up
Vlan20                     172.16.1.254    YES NVRAM  up                    up
CiscoRouter>
Auch ein show pppoe session zeigt dir den aktuellen Status der PPPoE Session !
PharIT
PharIT 14.02.2017 um 01:49:25 Uhr
Goto Top
Hi Aqui!


Vielen Dank! Nach viel Tüftelei habe ich es mit meiner Original-Konfig hinbekommen, indem ich im Dialer ipcp route default weggelassen habe.

Das Interface hat nun eine IP. Wenn ich aber ip route 0.0.0.0 0.0.0.0 dialer0 setze, komme ich nicht raus.

So sieht mein interface aus

  Internet address is 93.104.128.93/32
  Broadcast address is 255.255.255.255
  Address determined by IPCP
  MTU is 1492 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is 111
  Proxy ARP is disabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
  ICMP redirects are never sent
  ICMP unreachables are never sent
  ICMP mask replies are never sent
  IP fast switching is enabled
  IP fast switching on the same interface is enabled
  IP Flow switching is disabled
  IP CEF switching is enabled
  IP CEF switching turbo vector
  IP Null turbo vector
  IP multicast fast switching is enabled
  IP multicast distributed fast switching is disabled
  IP route-cache flags are Fast, CEF
  Router Discovery is disabled
  IP output packet accounting is disabled
  IP access violation accounting is disabled
  TCP/IP header compression is disabled
  RTP/IP header compression is disabled
  Policy routing is disabled
  Network address translation is enabled, interface in domain outside
  BGP Policy Mapping is disabled
  Input features: Common Flow Table, Stateful Inspection, Dialer i/f override, Virtual Fragment Reassembly, Access List, Virtual Fragment Reassembly After IPSec Decryption, NAT Outside, MCI Check
  Output features: Post-routing NAT Outside, Common Flow Table, Stateful Inspection, Firewall (NAT), Firewall (inspect), NAT ALG proxy, Dialer idle reset, Dialer idle reset
  IPv4 WCCP Redirect outbound is disabled
  IPv4 WCCP Redirect inbound is disabled
  IPv4 WCCP Redirect exclude is disabled
  Outgoing inspection rule is myfw



Hast Du eine Idee, warum kein Browser raus geht? Es sollte doch dann alles über Dialer0 geroutet werden, oder?


Viele Grüße,

PharIT
aqui
Lösung aqui 14.02.2017 aktualisiert um 11:00:05 Uhr
Goto Top
indem ich im Dialer ipcp route default weggelassen habe.
Mmmmhhh...hier widersprichst du dich jetzt diametral :
Auf der einen Seite sagst du du hast das Kommando ipcp route default im Dialer weggelassen.
Das bewirkt dann das der Router NICHT die vom Provider per PPPoE übertragene Default Route automatisch in die Routing Tabelle übernimmt !
Ist ok aber daraus ergibt sich dann logischerweise zwingend das man dem Router dann manuell eine Default Route definieren muss.
Ist ja auch klar und logisch wenn die automatisch übertragene nicht mehr kommt !!
Dann sagst du aber "Wenn ich aber ip route 0.0.0.0 0.0.0.0 dialer0 setze, komme ich nicht raus."
Nach der o.a. Logik kann das aber niemals sein, denn das eine schliesst das andere aus ?!
Die Frage bleibt was du da wirklich dann machst ???

Ein simples show ip route auf dem Router hätte dir geholfen, denn DA siehst du doch die Default Route ob sie übertragen wurde oder konfiguriert wurde und letztlich ob der Router sie hat.
Wenn du vom Router Kommandoprompt dann mal direkt ein ping 8.8.8.8 machst kannst du checken ob die Internet Verbindung an sich sauber klappt.
Ist das der Fall sind schon mal 90% erledigt.
Wenn du jetzt noch nicht mit einem Ping oder Browser Zugriff aus dem lokalen LAN rauskommst stimmt irgendwas mit deinem Adress Translation ggf. nicht.
  • ip nat inside auf dem lokalen LAN Interface konfiguriert ?
  • ip nat outside auf dem Dialer Interface konfiguriert ?
  • Passen die ACLs zum dialer list permit Kommando ?
  • Stimmen deine DNS Angaben am Client ? Proxy aktiviert ? DNS mit nslookup gecheckt ?? show hosts auf dem Router gecheckt ?
Um generell DNS Problem mal auszuschliessen solltest du mal http://82.149.225.21 im Browser eingeben und checken ob das geht. Damit umgehst du erstmal DNS Problemen.
PharIT
PharIT 14.02.2017 um 13:13:42 Uhr
Goto Top
Hi Aqui,


vielen Dank für die schnelle Antwort! Der ping vom Router zu 8.8.8.8, sogar auflösen bei ping google.de klappt bestens. Ich habe auch diese Rules auf dem Dialer0, das müsste doch passen, oder?

interface Dialer0
 description xDSL Einwahl Interface
 mtu 1492
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp chap hostname xxx
 ppp chap password 0 xxx
 ppp ipcp dns request
 ppp ipcp mask request
 no cdp enable
!
Mit diesen Regeln

!
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny   ip 10.10.10.0 0.0.0.255 192.168.88.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!



Ich verstehe nicht mehr, wo der Fehler noch liegen kann...


Viele Grüße,

PharIT
aqui
aqui 15.02.2017 um 14:10:46 Uhr
Goto Top
Dann ist mit dem Internet Anschlzss an sich alles bestens !
Der Fehler kann dann einzig nur noch im NAT oder Routing liegen !

Du hast einen 2ten Thread dazu aufgemacht, richtig ?
Dann gehts ab jetzt ja da weiter face-wink
Cisco hat Internet - Computer nicht
PharIT
PharIT 15.02.2017 um 15:55:24 Uhr
Goto Top
Jap, habe ich face-wink Du merkst auch alles!


Da ja PPPoe, der eigentliche Zweck dieses Threads, endlich steht, dachte ich mir es sei übersichtlicher.
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von PharITPharITExchange synchronisiert unregelmäßigPharIT - 6 KommentarePharITAuf Serverlaufwerk arbeitenPharIT - 8 KommentarePharITNetzwerk innerhalb HyperVPharIT - 3 KommentarePharITHardware Wartungsvertrag von HP läuft abPharIT - 12 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare