mariocisco
Goto Top

CISCO ROuter 926-4P VDSL Telefonica

GUten Tag,

ich habe oben genannten Router und möchte wissen wie ich die Einwahl für den oben genannten Router einrichte und die restlichen Einstellungen wie NAT falls
diese für ich noch nicht in den Einstellungen enthalten sind als Grundvoraussetzung für DSL Konfiguration.

Ich bitte um eine komplette Hilfestellung für eine DSL Konfiguration für den oben genannten Router.

mit freundlichen Grüßen

Mario Cisco

Content-Key: 948757463

Url: https://administrator.de/contentid/948757463

Printed on: February 23, 2024 at 07:02 o'clock

Member: cykes
cykes Jul 09, 2021 updated at 05:51:13 (UTC)
Goto Top
Moin,
Zitat von @148656:
Man nehme das Heft mit der Aufschrift "Manuel" aus der Verpackung, holt sich eine Tasse Kaffee und setzt sich in seine Leseecke.
Er wollte doch eine "komplette" Hilfestellung, da muss man doch sicher auch beim Auspacken, Anschließen und Lesen helfen face-smile

@mariocisco Also so wird das nichts, Du hast Dir doch offenbar genau dieses Modell gekauft und zeigst jetzt gar kein Interesse, Dich auch nur ansatzweise damit zu beschäftigen und erstmal selbst zu probieren? Ein örtlicher Dienstleister/Cisco Partner ist Dir sicher gern behilflich. Oder Du verfolgst erstmal den Ansatz, Dich selbst einzuarbeiten und korrigierst Deine Anfrage hier, wenn Du konkrete Probleme hast aka. es nur teilweise läuft.

Gruß

cykes

[EDIT] Hier wäre schon mal ein Startpunkt: https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...
oder hier: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Member: Windows10Gegner
Windows10Gegner Jul 09, 2021 at 06:41:52 (UTC)
Goto Top
Laut Cisco hat das Teil IOS, ergo ist das für dich die erste Lektüre: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Was ich gleich sagen kann: Die erste Inbetriebnahme war bei mir als IOS-Neuling auch nicht gerade angenehm, erst später war ich mit IOS vertraut.
Hast du schonmal mit IOS gearbeitet?
Member: aqui
aqui Jul 09, 2021 at 08:03:15 (UTC)
Goto Top
Lieber Mario, einfach mal die Suchfunktion benutzen...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Viel mehr "Silbertablet" damit du nur noch Abtippen musst haben wir nun nicht mehr für dich ! face-big-smile
Member: brammer
brammer Jul 09, 2021 at 08:23:12 (UTC)
Goto Top
Hallo,

@aqui

Viel mehr "Silbertablet" damit du nur noch Abtippen musst haben wir nun nicht mehr für dich !

Du kannst jetzt aber schon noch weiter supporten und die Config speziell an sein Netz anpassen face-smile

Oder mal eine Anleitung ausarbeiten wie man das in der GUI macht...
Hat der 926 überhaupt ein GUI?

brammer
Member: Windows10Gegner
Windows10Gegner Jul 09, 2021 updated at 08:24:57 (UTC)
Goto Top
@aqui bereite dich schonmal auf so eine Orgie wie mir mir damals vor.
@to:
Bei Cisco gibt es keine "Grundeinstellung" (doch schon, aber das Teil kann da nichts).
Du musst da schon alles selbst einstellen, so wie du es haben willst.
Member: brammer
brammer Jul 09, 2021 at 08:46:55 (UTC)
Goto Top
Hallo,

@mariocisco

Falls du die Config doch selber schreiben möchtest, hier der Link zum config Guide für den DSL part https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...

brammer
Member: brammer
brammer Jul 09, 2021 at 08:49:09 (UTC)
Goto Top
Hallo,

@148656

Terminal ist GUI genug face-wink face-wink

wie oben geschrieben: "Hat der 926 überhaupt ein GUI?"

Ich wüsste es wirklich nicht und ich würde es bei keinem IOS Gerät über die GUI machen...selbst wenn er eine hätte.

brammer
Member: aqui
aqui Jul 09, 2021 updated at 08:58:47 (UTC)
Goto Top
"Hat der 926 überhaupt ein GUI?"
Ja, hat jeder Cisco aber muss man vorab explizit aktivieren. Siehe o.a. Tutorial.
Du kannst jetzt aber schon noch weiter supporten und die Config speziell an sein Netz anpassen
Klar, das Wochenende steht ja vor der Tür und da sind wir dann gnädig und holen auch nochmal das "Platintablet" für ihn raus sofern er es denn benötigt. 🤣
ich würde es bei keinem IOS Gerät über die GUI machen...selbst wenn er eine hätte.
👍 "Real networkers do CLI !!!"
Mitglied: 148656
148656 Jul 09, 2021 updated at 09:22:22 (UTC)
Goto Top
Zitat von @brammer:

Hallo,

@148656

Terminal ist GUI genug face-wink face-wink

wie oben geschrieben: "Hat der 926 überhaupt ein GUI?"

Ich wüsste es wirklich nicht und ich würde es bei keinem IOS Gerät über die GUI machen...selbst wenn er eine hätte.

brammer

Moin Brammer,

Es ist eigentlich egal, ob der Router oder Switch eine GUI besitzt.
Ein "sh conf" ist einfacher und Aussagekräftiger. Warum sollte man sich unzählige Untermenüs in einer Klickbunti-Oberfläche merken? 🤗

Gruß
C.C.
Member: aqui
aqui Jul 09, 2021 at 14:06:34 (UTC)
Goto Top
Nun ist Super Mario aber wieder dran mit einem Feedback das alles zur Zufriedenheit rennt und er den Thread schliessen kann... face-wink
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
Member: mariocisco
mariocisco Jul 09, 2021, updated at Jul 10, 2021 at 10:26:40 (UTC)
Goto Top
Ist das euer ernst? [Moderation (Kommentar entfernt: Bitte höflich bleiben!)]

Diese Anleitungen kannte ich auch alle.

Nur folgendes Problem : Funktioniert das auch bei Telefonica?

Laut der Anleitung Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

gibt es unterschiede bei den Anbietern .

Ist dieses so richtig?

Hat jmd. Erfahrung mit dem Router und kann ernsthafte Beiträge posten?

ALso nach einem GUI zu fragen ist wohl eher ein Scherz oder?

Hat denn jmd diesen Router betriebsfähig konfiguriert?

Ist euch bekannt dass dieser ROuter nach nur kurzer Zeit sehr heiss wird?

Mit freundlichen Grüße

Mario cisco
Member: Windows10Gegner
Windows10Gegner Jul 10, 2021 updated at 04:37:09 (UTC)
Goto Top
Ja, es gibt Unterschiede, z.B. bei den Einwahldaten.
Um was für einen Vertrag handelt es sich?
Bei VDSL muss normalerweise ein VLAN-Tag gesetzt werden.
Bei der T-Com ist das 7, bei O2 wohl 11.
Es kann sein, dass die die T-Com-Infrastruktur mieten, dann kann es auch 7 sein.
Daher am besten bei denen anfragen.
https://hilfe.o2online.de/router-software-internet-telefonie-34/verzweig ...
Einfach mal 7 und 11 testen.
Member: cykes
cykes Jul 10, 2021 updated at 15:11:20 (UTC)
Goto Top
Zitat von @mariocisco:

Ist das euer ernst?

Diese Anleitungen kannte ich auch alle.
Ah ja, und das lesen wir wo in Deiner Eingangsfrage?
Lass die doch mal von einem Unbeteiligten lesen und beurteilen, wie das 'rüberkommt...
Nur folgendes Problem : Funktioniert das auch bei Telefonica?
Mit Sicherheit, man muss nur an die entsprechenden Daten für die Einwahl per PPPoE kommen, das ist u.a. vom Vorleister, der Anschlussart (VDSL, VVDSL, SVVDSL) und tw. auch vom Vertrag (Privat- oder Geschäftskunden-Anschluss) abhängig. Auch CGN könnte noch ein Rolle spielen.
Allgemein steckt recht wenig Informationsgehalt in Deiner Frage und erstmal in die falsche Richtung spekulieren, wenn man erst nach und nach die Informationen bekommt, ergibt halt einfach keinen Sinn.

Laut der Anleitung [...]
gibt es unterschiede bei den Anbietern .
Ist dieses so richtig?
Ja, das ist korrekt, da ist in dem Fall das Kundencenter oder der Support von Telefonica Dein erster Ansprechpartner.
Hat jmd. Erfahrung mit dem Router und kann ernsthafte Beiträge posten?
Wenn Du eine ordentliche Anfrage stellst sicher, schau mal, wer z.B. das Tutorial geschrieben hat.
Probleme könnte es ggf. speziell bei Telefonica geben, wenn Du auch Telefonie/VoIP nutzen willst. Das ist aber nicht auf Cisco beschränkt, sondern gilt für nahezu alle Fremdrouter an Telefonica/o2-Anschlüssen.
Hat denn jmd diesen Router betriebsfähig konfiguriert?
Da finden sich sicher einige...
Ist euch bekannt dass dieser ROuter nach nur kurzer Zeit sehr heiss wird?
Die Frage kommt aber erst jetzt zum Vorschein oder wo dürfen wir das oben herauslesen. Wie bereits gesagt, bei konkreten Anfragen hilft man lieber. Wenn sich da schon wenig Mühe gegebene wird, gibt es auch nur allgemeine Antworten.

Gruß

cykes
Member: brammer
brammer Jul 10, 2021 at 05:35:48 (UTC)
Goto Top
Hallo,

Das du die Konfiguration, die @aqui erstellt hat und seitdem dutzende male erprobt wurde, nicht eins zu eins übernehmen kannst ist dir aber schon klar, oder?
Anpassungen auf dein Netz, dein Provider sind notwendig. Mit Telefonica sollte es kein Problem geben, musst du aber austesten und wenn irgendwas nicht geht, dann frag halt hier nach.

Deine Fragestellung war ziemlich oberflächlich und hatte zu wenig Hintergrund Informationen., da darf man sich dann über ein paar flapsige Antworten nicht wundern.

brammer
Member: Windows10Gegner
Windows10Gegner Jul 10, 2021 updated at 15:12:06 (UTC)
Goto Top
Zitat von @mariocisco:

Ist das euer ernst?
Wenn man schon beleidigt, dann bitte richtig, denn das Komma fehlt. Richtig wäre "Thanks for your support, [removed]"

Diese Anleitungen kannte ich auch alle.
Prima, dann kannst du ja schon die Grundlagen.
Nur folgendes Problem : Funktioniert das auch bei Telefonica?
Ja, wenn man es anpasst, aber das MUSST DU MACHEN, du lieferst uns ja hier nichtmal die notwendigen Informationen.

gibt es unterschiede bei den Anbietern .
Ja, z.B. bei der PPPoE-Einwahl, VLAN-Tagging, IPv6-Unterstützung usw.


Hat jmd. Erfahrung mit dem Router und kann ernsthafte Beiträge posten?
Mit diesem exakten Modell nicht, aber ich betreibe einen 886va an VDSL. Da das IOS ist wird das nicht anders sein.

ALso nach einem GUI zu fragen ist wohl eher ein Scherz oder?
Es gibt eine GUI, aber die ist Schrott, du wirst nicht um Cisco IOS rumkommen, ich musste das auch lernen.
Hat denn jmd diesen Router betriebsfähig konfiguriert?
Nicht dieses Modell, aber ein anderes.
Ist euch bekannt dass dieser ROuter nach nur kurzer Zeit sehr heiss wird?
Was ist für dich heiß?

Mit freundlichen Grüße
Mit gräulichen Füßen
Marco

PS. Gerne helfe ich dir hier weiter, aber du musst die Infos liefern und nicht ausfällig werden.
Member: aqui
aqui Jul 10, 2021 updated at 11:41:06 (UTC)
Goto Top
Nur folgendes Problem : Funktioniert das auch bei Telefonica?
Trotz "ass....": Es funktioniert bei ALLEN Providern fehlerlos !
Auch das VDSL Tagging ist gleich, denn O2 nutzt zumindestens als Reseller von T-Com Anschlüssen den VLAN Tag 7 andernfalls 11 wie Kollege @Windows10Gegner oben schon gesagt hat.
Hat denn jmd diesen Router betriebsfähig konfiguriert?
Alle hier die ihn betreiben haben das, und durch die Bank funktionieren mit dem Setup auch ALLE anderen Cisco Modelle ! IOS Konfig Syntax ist bekanntlich immer gleich plattformübergreifend.
Genau DAS war auch die Intention das o.a. Tutorial zu schreiben um anderen Usern wie z.B. dir eine Hilfestellung zu geben das schnell und problemlos zum Laufen zu bekommen ! Es wäre ja sicher recht sinnfrei ein nicht Praxis bezogenes Tutorial hier in einem Administrator Forum zu posten !
Ist euch bekannt dass dieser ROuter nach nur kurzer Zeit sehr heiss wird?
Nein, nur handwarm, was aber völlig normal ist. Man sollte ihn natürlich nicht gerade auf warme Oberflächen stellen wie Switches, Server in einem Rack. Wenn du ihn in einem Rack Fachboden stehen hast solltest du, je nach Umgebungs Temperatur, zur besseren Belüftung immer die beigelegten Gummifüße unterkleben !
Member: mariocisco
mariocisco Jul 10, 2021 at 15:08:00 (UTC)
Goto Top
An alle es tut mir wirklich leid es war mehr nur ein Spruch .

Nicht wirklich als Beleidung an die Person gerichtet.

Ich habe wohl eure Antworten falsch verstanden und wollte nichts böses.

Ich werde es gem. der Anleitung und selbstverständlich angepasst ausprobieren.

Der Router ist nach 5 min schon so heiß dass ich nicht glaube dass es normal ist.
Member: brammer
brammer Jul 10, 2021 at 15:12:23 (UTC)
Goto Top
Hallo,

Der Router ist nach 5 min schon so heiß dass
ich nicht glaube dass es normal ist.

Ist der Router neu, oder gebraucht?

halte mal ein Thermometer dran und messe die Gehäuse Temperatur.

brammer
Member: mariocisco
mariocisco Jul 10, 2021 at 15:15:26 (UTC)
Goto Top
Router ist neu kann ich aktuell nicht machen.
Member: aqui
aqui Jul 10, 2021 updated at 18:08:43 (UTC)
Goto Top
dass ich nicht glaube dass es normal ist.
Ist vermutlich normal. Etwas wärmer wird die Box schon. Wie beim APU Board ist das Gehäuse der passive Kühlkörper der CPU. Du solltest aber wie oben schon bemerkt unbedingt dafür sorgen das ein Lüftungsspalt am Boden ist.
Member: mariocisco
mariocisco Aug 01, 2021 at 10:31:58 (UTC)
Goto Top
Hallo zusammen,

also ich habe mir die ANleitung welche mir auch empfohlen worden ist einmal angeschaut und habe ein paar Probleme welche ich hier gerne schildern möchte.

Ich bekomme mit den Einstellungen zwar eine IP aber ich komme nicht ins Internet auf keinem Port ( es sind zwar nicht alle eingerichtet aber ich habe es ausprobierrt). Kann es sein dass ich switchport mode acces noch einrichten muss damit eine Verbindung besteht ? ( oder lässt man das weg?) Ist das NAT evtl. auf dem 920-4P anders oder falsch eingerichtet für O2?

Was ist in der Konfiguration was bewirkt dass ich mich im User Acces Mode (zu Beginn) anmelden muss obwohl ich bei meiner EIngabe den Username und die Kennwörter weggelsassen habe weil es mit der Standardkonfig welche mir zur Verfügung gestellt worden ist zum selben Problem führte nämlich dass ich mich nicht mehr anmelden konnte am Router?

Muss man den controller Dial0 oder den vdsl0 hochfahren mit no shutdown ?

WIe kann man die EInwahl kontrollierne gibt es dafür einen Befehl?

Hat es einen Grund dass in den Einstellnungen für ATM0 in der Bezeichnung STAG steht oder muss ich für Telefonica bzw. O2 noch mehr abändern? ( WIrd hier keine IP eingestellt weil diese automatisch vergeben wird bei den ATM0 einstellungen ? Weicht bei VDSL etwas ab?)

Muss evtl. ein anderes VLAN Tag bei O2 eingerichtet werden?

Wenn ich den Teil für die Firewall mit IP INspect eingabe funktioniert dieses nicht und ich erhalte ein invalid input detect at ^ input ( Warum was ist falsch?)

Gibt es auch die config die erstellt worden ist so dass man mir diese zur Verfügung stellen kann?( Also dass was der jenige welche die running config reinkopiert hat erstellt hat?)

In der Anleitung gibt es ein Interface Brio0 dieses gibt es bein Cisco 926-4P nicht für was ist dieses und muss ich die Einstellungen beim 926-4P wo anders einstellen=

Was ist ZFW FIrewall?

Ist alles in der ANleitung unter Hier wichtier Hinweis nur für Telekom anschlüsse oder auch für z.B. O2 relevant?

Ich würde mich sehr freuen zeitnah eine Antwort zu erhalten?
Member: Windows10Gegner
Windows10Gegner Aug 01, 2021 at 10:37:34 (UTC)
Goto Top
Poste bitte deine Konfiguration.
Muss man den controller Dial0 oder den vdsl0 hochfahren mit no shutdown ?
Beide, das eine Ist das Modem und das andere ist das Dialer-Interface, das dann die IP-Adresse/das Netz bekommt.
In der Anleitung gibt es ein Interface Brio0 dieses gibt es bein Cisco 926-4P nicht für was ist dieses und muss ich die Einstellungen beim 926-4P wo anders einstellen
Das ist das ISDN-Interface 8Basic Rate Interface, ISDN-Basisanschluss).
Wenn dein Router kein ISDN kann (was bei neuen Modellen normal ist) gibt es das nicht. Steht aber in der Anleitung eh auf shutdown, ist also gar nicht aktiv. Kein Handlungsbedarf.

Muss evtl. ein anderes VLAN Tag bei O2 eingerichtet werden?
Kommt drauf an, frage am besten bei O2 nach.
Member: cykes
cykes Aug 01, 2021 at 11:07:01 (UTC)
Goto Top
Hallo Mario,
Ich würde mich sehr freuen zeitnah eine Antwort zu erhalten?
Wir ebenso, jetzt ist fast 1 Monat vergangen und wir sind quasi wieder beim Anfang.
also ich habe mir die ANleitung welche mir auch empfohlen worden ist einmal angeschaut und habe ein paar Probleme welche ich hier gerne schildern möchte.
Ein wenig Transferleistung darf man schon erwarten, denke ich. Nicht einfach 1:1 abtippen. Bisher hast Du keine relevanten Informationen geliefert, diese wurden mehrfach angefragt, wie auch Deine aktuelle Config.
Ich bekomme mit den Einstellungen zwar eine IP
Damit scheint ja zumindest die Einwahl zu funktionieren. Aber relevante Daten, wie VLAN-Tags musst Du bei o2 erfragen bzw. im Kundencenter nachlesen.
Was ist ZFW FIrewall?
Auch das kannst Du durchaus selbst herausfinden. ZFW = Zone Based Firewall. Das meinte (nicht nur) ich mit Einarbeitung.
Du willst das ja auch später warten/überwachen und vor allem verstehen (können).

Gruß

cykes
Member: mariocisco
mariocisco Aug 01, 2021 at 14:36:43 (UTC)
Goto Top
Zitat von @cykes:

Hallo Mario,
Ich würde mich sehr freuen zeitnah eine Antwort zu erhalten?
Wir ebenso, jetzt ist fast 1 Monat vergangen und wir sind quasi wieder beim Anfang.
also ich habe mir die ANleitung welche mir auch empfohlen worden ist einmal angeschaut und habe ein paar Probleme welche ich hier gerne schildern möchte.
Ein wenig Transferleistung darf man schon erwarten, denke ich. Nicht einfach 1:1 abtippen. Bisher hast Du keine relevanten Informationen geliefert, diese wurden mehrfach angefragt, wie auch Deine aktuelle Config.
Ich bekomme mit den Einstellungen zwar eine IP
Damit scheint ja zumindest die Einwahl zu funktionieren. Aber relevante Daten, wie VLAN-Tags musst Du bei o2 erfragen bzw. im Kundencenter nachlesen.
Was ist ZFW FIrewall?
Auch das kannst Du durchaus selbst herausfinden. ZFW = Zone Based Firewall. Das meinte (nicht nur) ich mit Einarbeitung.
Du willst das ja auch später warten/überwachen und vor allem verstehen (können).

Gruß

cykes

Ich habe die Konfiguration ja nicht 1:1 abgetippt. deswegen meine Fragen.

Ich habe geschrieben dass ich eine IP bekomme du schreibst die Einwahl sei ok. Ich habe die DHCP Einstellungen
übernommen, komme allerdings nicht raus. ( Dieses hatte ich auch so geschrieben)

Ich kann die Config hochladen nur nicht jetzt.

Vllt. gibt es ja Admins die mir helfen möchten und können. Es sind ja quasi alle Fragen noch offen.

Ich bitte um freundliche und sachliche Antworten, danke.
Member: mariocisco
mariocisco Aug 01, 2021 at 15:03:14 (UTC)
Goto Top
WIe gewünscht hier die Konfiguration:


service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco_Router_B
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
aaa local authentication attempts max-fail 3
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
!
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
(option 42 ip 130.149.17.8)
domain-name mario.domain
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
(option 42 ip 130.149.17.8 )
domain-name gast.mario.domain
!

domain-name mario.domain
!
ip domain name mario.domain
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic

!
controller VDSL 0
!
interface Ethernet0
no ip address
no shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
no shutdown
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
no ip address
no shutdown
!
interface GigabitEthernet1
no ip address
no shutdown
!
interface GigabitEthernet2
no ip address
no shutdown
!
interface GigabitEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
no shutdown
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
!
!
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
mtu 1488
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username dsl@provider.de password 1234
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
no shutdown
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
access-list 111 permit icmp any any administratively-prohibited <-- Lässt wichtige ICMP Steuerpakete durch die Firewall passieren.
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
access-list 111 deny ip any any
!
!
dialer-list 1 protocol ip list 101


Müsste es so funktionieren?
Member: cykes
cykes Aug 01, 2021, updated at Aug 02, 2021 at 04:50:25 (UTC)
Goto Top
Hi,

Müsste es so funktionieren?
Das wirkt aber stark wie Copy&Paste inkl. der Kommentare.
Was zunächst auffällt, es ist nirgends die VID/VLAN auf dem WAN-Interface nirgends (vollständig) konfiguriert ist. Deswegen klappt auch keine Einwahl -> kein Internet.
Also bleibt die Frage:
Ich bekomme mit den Einstellungen zwar eine IP
Wo bekommst Du eine IP, auf dem angeschlossenen Client via DHCP oder am WAN-Interface?

Generell kannst Du doch die (erfolgreiche) Einwahl selbst überprüfen, bekommt das Modem überhaupt Sync, gibt es Einwahlfehler via PPPoE?
Hast Du inzwischen Deine Einwahldaten (Benutzer/Passwort) herausgefunden - siehe Kundencenter/Mein o2?
In Deiner Config steht noch der Dummy aus aquis Tutorial, ersetz' das doch mal durch das Format, was Du eigegeben hast.
Welcher Anschluss ist das genau (ADSL, VDSL, VVDSL, SVVDSL - Business oder Privat)?
Welchen Router setzt Du aktuell an diesem Anschluss ein?

Ich würde auch schrittweise vorgehen, damit nicht mehrere Konfigurationsschritte auf einmal die Ursache für Probleme komplexer machen, weil man nicht mehr weiß, was man alles geändert hat.

1.) Erfolgreiche Einwahl mit Internetzugriff realisieren
2.) Firewall/NAT konfigurieren
3.) usw.

Das Interface BRI0 kannst Du rauswerfen, das brauchst Du bei Deinem Modell nicht.
Meines Wissens nach setzt o2 inzwischen an allen Anschlüssen CGN/DS-Lite ein, das ist bisher auch nicht vollständig konfiguriert.

Gruß

cykes
Member: mariocisco
mariocisco Aug 01, 2021 updated at 21:52:26 (UTC)
Goto Top
Hallo danke für die Antwort


Was zunächst auffällt, es ist nirgends die VID/VLAN auf dem WAN-Interface nirgends (vollständig) konfiguriert ist. Deswegen klüüt auch keine Einwahl -> kein Internet.
Hierzu möchte ich sagen dass mir nicht klar ist wie ich dieses mache? WIe mache ich das? Ist es in der Konfiguration welche als Anleitung dient auch nicht eingerichtet oder kann man mir sagen was ich machen muss?

Ich bekomme mit den Einstellungen zwar eine IP
Wo bekommst Du eine IP, auf dem angeschlossenen Client via DHCP oder am WAN-Interface?
wie bereits erwähnt lokal am Interface. Online Einwahl ist mir unklar wie ich dieses prüfen kann? Kann man mir sagen wie ich
dieses am besten im Cisco Router prüfe?


Generell kannst Du doch die (erfolgreiche) Einwahl selbst überprüfen, bekommt das Modem überhaupt Sync, gibt es Einwahlfehler via PPPoE?
Hast Du inzwischen Deine Einwahldaten (Benutzer/Passwort) herausgefunden - siehe Kundencenter/Mein o2?
Einwahldaten sind natürlich nicht das Problem diese habe ich und auch so wie dargestellt nur mit meinen aus dem Kundencenter
eingebeben dort wo es in der ANleitung auch dargestellt ist.


In Deiner Config steht noch der Dummy aus aquis Tutorial, ersetz' das doch mal durch das Format, was Du eigegeben hast.
Ist dieser Satz ernst gemeint ich poste bestimmt nicht meine Zugangsdaten hier . ( DIese werden auch an einem anderen Router genutzt sonst könnte ich ja nicht Online sein) Oder ist etwas anderes gemeint?

Welcher Anschluss ist das genau (ADSL, VDSL, VVDSL, SVVDSL - Business oder Privat)?
Es ist ein VDSL Anschluss 100 Mbit's O2 , ist ein privater Anschluss.

Welchen Router setzt Du aktuell an diesem Anschluss ein?
Fritzbox 7490

Ich würde auch schrittweise vorgehen, damit nicht mehrere Konfigurationsschritte auf einmal die Ursache für Probleme komplexer machen, weil man nicht mehr weiß, was man alles geändert hat.

1.) Erfolgreiche Einwahl mit Internetzugriff relaisieren
Wie oben bereits erwähnt weis ich nicht wie ich das prüfen sollte aber brauche ich zum testen nicht das NAT?
2.) Firewall/NAT konfigurieren
3.) usw.

Das Interface BRI0 kannst Du rauswerfen, das brauchst Du bei Deinem Modell nicht.
Meines Wissens nach setzt o2 inzwischen an allen Anschlüssen CGN/DS-Lite ein, das ist bisher auch nicht vollständig konfiguriert.
Was ist das CGN/DS Lite?
Gruß

cykes

Das von meiner Seite dazu.
Member: Windows10Gegner
Windows10Gegner Aug 02, 2021 at 03:47:17 (UTC)
Goto Top
 Was ist das CGN/DS Lite?
Dual-Stack-Lite, du hast keine öffentliche IPv4-Adresse mehr im Gegensatz zu Dual-Stack, aber du hast ein öffentliches Ipv6-Netz, was du aber hier leider nicht konfiguriert hast.
Member: cykes
cykes Aug 02, 2021 updated at 05:43:37 (UTC)
Goto Top
Hierzu möchte ich sagen dass mir nicht klar ist wie ich dieses mache? WIe mache ich das? Ist es in der Konfiguration welche als Anleitung dient auch nicht eingerichtet oder kann man mir sagen was ich machen muss?
Das steht in der Anleitung von aqui etwas weiter unten, zumindest einmal sollte man sich die komplett durchlesen. Auch wenn für die Grundkonfiguration nicht alle Kapitel benötigt werden. Höchstwahrscheinlich musst Du auf WAN VLAN-Tag 7 einstellen. 11 gab es nur bei den ganz alten indoor VDSL-Anschlüssen (direkt über Telefonica), die aber alle schon vor einigen Jahren abgeschafft und auf BNG umgestellt wurden.

Ist dieser Satz ernst gemeint ich poste bestimmt nicht meine Zugangsdaten hier . ( DIese werden auch an einem anderen Router genutzt sonst könnte ich ja nicht Online sein) Oder ist etwas anderes gemeint?
Ja, der Satz war durchaus ernst gemeint, aber nicht so, wie Du ihn verstanden hast. Es ging mir um das Schema des Benutzernamens, anhand dessen kann man nämlich einiges ablesen. Dürfte bei Dir vermutlich auf @s93.bbi-o2.de enden bzw. @s9x.bbi-o2.de
Dein Passwort interessiert mich herzlich wenig, es ging mir nur darum, ob die korrekten Zugangsdaten unter "Mein o2" stehen, das ist nicht immer der Fall und das kannst nur Du beantworten.

Ist Deine FritzBox 7490 von o2 oder auch schon ein eigens angeschaffter Router (Fremdrouter)?

Bezüglich DS-Lite steht auch etwas in aquis Tutorial, das kannst aber auch nur Du ermitteln.

Wie Du den erfolgreichen Verbindungsaufbau/Sync überprüfst steht ebenfalls in aquis Tutorial und in dem von mir anfangs verlinkten Dokument bei Cisco. Kurz:
show controller vdsl 0
ist Dein Freund. Weiteres unter Troubleshooting im Cisco Dokument.

Gruß

cykes
Member: aqui
aqui Aug 02, 2021 updated at 10:46:02 (UTC)
Goto Top
Was ist ZFW FIrewall?
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Kann man mir sagen wie ich dieses am besten im Cisco Router prüfe
show ip int brief oder Interface spezifisch z.B. show ip int dialer 0
Mit show ? kannst du dir generell ansehen welche Show Kommandos es zum Troubleshooten gibt.
Das o.a. Tutorial behandelt auch alles andere was du zum Thema Cisco Router Konfig mit IOS wissen musst. face-wink
Member: mariocisco
mariocisco Aug 02, 2021 updated at 14:18:00 (UTC)
Goto Top
Zitat von @cykes:

Hierzu möchte ich sagen dass mir nicht klar ist wie ich dieses mache? WIe mache ich das? Ist es in der Konfiguration welche als Anleitung dient auch nicht eingerichtet oder kann man mir sagen was ich machen muss?
Das steht in der Anleitung von aqui etwas weiter unten, zumindest einmal sollte man sich die komplett durchlesen. Auch wenn für die Grundkonfiguration nicht alle Kapitel benötigt werden. Höchstwahrscheinlich musst Du auf WAN VLAN-Tag 7 einstellen. 11 gab es nur bei den ganz alten indoor VDSL-Anschlüssen (direkt über Telefonica), die aber alle schon vor einigen Jahren abgeschafft und auf BNG umgestellt wurden.

Zu dem VLAN Tag habe ich keine Informationen im Kundencenter gefunden , soll ich dort anrufen oder kann man das auch wo anders sehen?

mit dem VLAN Tag 7 (kann man dieses an einem anderen Router auch auslesen auch wenn man es nicht einstellen muss oder brauch man es dort überhaupt nicht ) Was ist überhaupt ein WAN VLAN TAG?


Meint ihr diesen Teil welchen ich dann am GigabitEthernet Interface eingeben muss?( Bei welchem Internet genutzt wird, kann es sein dass dieses schon der Fehler war?)

"interface GigabitEthernet0
no ip address
no shutdown
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1"


Ist dieser Satz ernst gemeint ich poste bestimmt nicht meine Zugangsdaten hier . ( DIese werden auch an einem anderen Router genutzt sonst könnte ich ja nicht Online sein) Oder ist etwas anderes gemeint?
Ja, der Satz war durchaus ernst gemeint, aber nicht so, wie Du ihn verstanden hast. Es ging mir um das Schema des Benutzernamens, anhand dessen kann man nämlich einiges ablesen. Dürfte bei Dir vermutlich auf @s93.bbi-o2.de enden bzw. @s9x.bbi-o2.de
Dein Passwort interessiert mich herzlich wenig, es ging mir nur darum, ob die korrekten Zugangsdaten unter "Mein o2" stehen, das ist nicht immer der Fall und das kannst nur Du beantworten.

s93.bbi-o2.de so etwas steht bei den Zugangsdaten. Zugansdaten funtktionieren . (Fritzbox ist in dem mom. wenn der Cisco angeschlossen nicht angeschlossen)


Ist Deine FritzBox 7490 von o2 oder auch schon ein eigens angeschaffter Router (Fremdrouter)?

Meine Fritzbox ist meine eigene also ein Fremdrouter.

Bezüglich DS-Lite steht auch etwas in aquis Tutorial, das kannst aber auch nur Du ermitteln.

Zu dem DS Lite gehe ich davon aus dass ihr einen reinen DSL Annschluss meint , also einen von den neuen ab 2015 ? Ist ein Vectoring Anschluss VDSL . Verbindungstyp: VDSL2 17a G.Vector (ITU G.993.5) steht in der Fritzbox unter DSL .

Zu dem DSL Lite wo finde ich das in der ANleitung?


Wie Du den erfolgreichen Verbindungsaufbau/Sync überprüfst steht ebenfalls in aquis Tutorial und in dem von mir anfangs verlinkten Dokument bei Cisco. Kurz:
show controller vdsl 0
ist Dein Freund. Weiteres unter Troubleshooting im Cisco Dokument.


sh controller vdsl 0 ist mir ein Begriff ich dachte hier könnte ich nur den Synch überprüfen . Wo steht es mit der Einwahl?

Gruß

cykes



Ich hoffe dass wir bzw. ich das Problem zeitnahe lösen kann damit ich den Router in Betrieb nehmen kann. Ich hoffe auch dass meine Beiträge euch helfen mir zu helfen face-smile.
Member: Windows10Gegner
Windows10Gegner Aug 02, 2021 at 14:33:40 (UTC)
Goto Top
Zu dem DSL Lite wo finde ich das in der Anleitung?
Weiter unten unter IPv6.

Zu dem DS Lite gehe ich davon aus dass ihr einen reinen DSL Annschluss meint , also einen von den neuen ab 2015 ? Ist ein Vectoring Anschluss VDSL . Verbindungstyp: VDSL2 17a G.Vector (ITU G.993.5) steht in der Fritzbox unter DSL .
Nein, das hat nichts mit dem Modulationsverfahren zu tun.
Member: aqui
aqui Aug 02, 2021 updated at 19:52:43 (UTC)
Goto Top
Zum Thema VLAN Tag
https://www.heise.de/ct/artikel/Erwuenschtes-Fremdgehen-291758.html
https://www.etscheid.biz/blog/archive/463
Wo steht es mit der Einwahl?
Wenn du mit show ip int brief eine öffentliche IP am WAN Port siehst ist die PPPoE Einwahl erfolgreich.
Der controller vdsl 0 show Befehl sollte dann ein„Showtime !“ anzeigen.
Member: mariocisco
mariocisco Aug 02, 2021 at 22:57:57 (UTC)
Goto Top
Zitat von @Windows10Gegner:

Zu dem DSL Lite wo finde ich das in der Anleitung?
Weiter unten unter IPv6.

Zu dem DS Lite gehe ich davon aus dass ihr einen reinen DSL Annschluss meint , also einen von den neuen ab 2015 ? Ist ein Vectoring Anschluss VDSL . Verbindungstyp: VDSL2 17a G.Vector (ITU G.993.5) steht in der Fritzbox unter DSL .
Nein, das hat nichts mit dem Modulationsverfahren zu tun.

Meinst du diesen Teil dass diese in den Dial0 mit in die Konfiguration muss?

interface Dialer0
description xDSL Einwahl Interface Internet
ipv6 address autoconfig default
ipv6 enable
no ipv6 redirects
no ipv6 unreachables
ipv6 nd autoconfig default-route
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix
ipv6 dhcp client pd provider-v6-prefix rapid-commit
Sollte der Provider keine two-message exchange Option supporten, dann lässt man den Parameter "rapid-commit" weg !
(ipv6 dhcp client pd provider-v6-prefix)"

im allgemeinen gibt es eine Änderung der Einstellung in der Anleitung wennn ich direkt an den port meinen Rechner anschliesse?
Member: mariocisco
mariocisco Aug 02, 2021 at 22:59:55 (UTC)
Goto Top
wenn ich das richtig sehe ist der Teil mit VPN für ein eigenes VPN welches den Zugang ermöglicht ins eigene Netz oder wenn man ein anderes VPN einbinden möchte? ( evtl. ist die Frage unlogisch aber mich interessiert es)
Member: cykes
cykes Aug 03, 2021 at 04:47:56 (UTC)
Goto Top
Zitat von @mariocisco:
wenn ich das richtig sehe ist der Teil mit VPN für ein eigenes VPN welches den Zugang ermöglicht ins eigene Netz oder wenn man ein anderes VPN einbinden möchte? ( evtl. ist die Frage unlogisch aber mich interessiert es)
Ja und ja, aber lass das doch erstmal außen vor und mach Dir nicht noch weitere Baustellen auf. Funktioniert jetzt die Einwahl?
Member: aqui
aqui Aug 03, 2021 at 10:11:10 (UTC)
Goto Top
Wenn du DS-Lite hast musst du in jedem Falle die o.a. IPv6 Konfig am WAN Interface (dialer 0) konfigurieren, denn der v4 Internet Zugang basiert ja auf einem sauber laufenden v6 Anschluss.
Member: mariocisco
mariocisco Aug 03, 2021 at 20:24:43 (UTC)
Goto Top
Zitat von @aqui:

Wenn du DS-Lite hast musst du in jedem Falle die o.a. IPv6 Konfig am WAN Interface (dialer 0) konfigurieren, denn der v4 Internet Zugang basiert ja auf einem sauber laufenden v6 Anschluss.

nicht umgekehrt?
Member: mariocisco
mariocisco Aug 03, 2021 at 20:28:40 (UTC)
Goto Top
Zitat von @cykes:

Zitat von @mariocisco:
wenn ich das richtig sehe ist der Teil mit VPN für ein eigenes VPN welches den Zugang ermöglicht ins eigene Netz oder wenn man ein anderes VPN einbinden möchte? ( evtl. ist die Frage unlogisch aber mich interessiert es)
Ja und ja, aber lass das doch erstmal außen vor und mach Dir nicht noch weitere Baustellen auf. Funktioniert jetzt die Einwahl?

Also ich habe so wie beschrieben geprüft aber nach meinen Kenntnissen ist nicht mehr als vorher zu sehen . Ich sehe nur einen Synch das showtime ist auch ohne korrekte zugangsdaten zu sehen? ( Warum?)

Hier ein Auszug aus den sh Befehlen welche ich genutzt habe :

Router#sh controllers vdsl 0
Controller VDSL 0 is UP

Daemon Status: Up

XTU-R (DS) XTU-C (US)
Chip Vendor ID: 'BDCM' 'BDCM'
Chip Vendor Specific: 0x0000 0xC01A
Chip Vendor Country: 0xB500 0xB500
Modem Vendor ID: 'CSCO' 'BDCM'
Modem Vendor Specific: 0x4602 0x0000
Modem Vendor Country: 0xB500 0xB500
Serial Number Near: FGL2517LEU1 C926-4P 15.8(3)M2
Serial Number Far: PD0H6000132_62
Modem Version Near: 15.8(3)M2
Modem Version Far: 0xc01a

Modem Status: TC Sync (Showtime!)

DSL Config Mode: AUTO
Trained Mode: G.993.2 (VDSL2) Profile 17a

TC Mode: PTM
Selftest Result: 0x00
DELT configuration: disabled
DELT state: not running
Link Status: UP

Full inits: 1
Failed full inits: 0
Short inits: 0
Failed short inits: 2

Firmware Source File Name
------ ----------
VDSL embedded VDSL_LINUX_DEV_01212008

Modem FW Version: 4.14L.04
Modem PHY Version: B2pv6F039x3.d26d

Line:

XTU-R (DS) XTU-C (US)
Trellis: ON ON
SRA: disabled disabled
SRA count: 0 0
Bit swap: enabled enabled
Bit swap count: 5 0
Line Attenuation: 9.2 dB 0.0 dB
Signal Attenuation: 0.0 dB 0.0 dB
Noise Margin: 13.8 dB 15.2 dB
Attainable Rate: 141200 kbits/s 46412 kbits/s
Actual Power: 14.2 dBm - 4.4 dBm
Per Band Status: D1 D2 D3 U0 U1 U2 U3
Line Attenuation(dB): 6.0 10.0 12.9 1.9 6.3 8.8 N/A
Signal Attenuation(dB): 5.5 10.0 12.9 1.9 5.6 7.9 N/A
Noise Margin(dB): 14.6 13.8 13.4 16.0 15.7 14.9 N/A
Total FECC: 31 5
Total ES: 0 0
Total SES: 0 0
Total LOSS: 0 0
Total UAS: 122 122
Total LPRS: 0 0
Total LOFS: 0 0
Total LOLS: 0 0


DS Channel1 DS Channel0 US Channel1 US Channel0
Speed (kbps): 0 116800 0 32000
SRA Previous Speed: 0 0 0 0
Previous Speed: 0 0 0 0
Reed-Solomon EC: 0 31 0 5
CRC Errors: 0 0 0 0
Header Errors: 0 0 0 0
Interleave (ms): 2.00 0.00 0.00 0.00
Actual INP: 3.00 74.00 4.00 42.00

Training Log : Stopped
Training Log Filename : flash:vdsllog.bin


Router(config-if)#do sh int atm 0
ATM0 is down, line protocol is down
Hardware is MPC ATMSAR, address is f8a7.3af9.2ce7 (bia f8a7.3af9.2ce7)
MTU 1800 bytes, sub MTU 1800, BW 4608 Kbit/sec, DLY 80 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ATM, loopback not set
Keepalive not supported
Encapsulation(s): AAL5
4 maximum active VCs, 1024 VCs per VP, 0 current VCCs
VC Auto Creation Disabled.
VC idle disconnect time: 300 seconds
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: Per VC Queueing
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out


Router(config-if)#do sh ip int brief
Interface IP-Address OK? Method Status Protocol
ATM0 unassigned YES unset down down
ATM0.1 unassigned YES unset down down
Dialer0 unassigned YES manual up up
Ethernet0 unassigned YES unset up up
GigabitEthernet0 unassigned YES unset down down
GigabitEthernet1 unassigned YES unset down down
GigabitEthernet2 unassigned YES unset down down
GigabitEthernet3 unassigned YES unset down down
GigabitEthernet4 unassigned YES unset administratively down down
NVI0 192.168.2.100 YES unset up up
Vlan1 unassigned YES unset down down


Router(config-if)#do sh ip int dialer 0
Dialer0 is up, line protocol is up
Internet address will be negotiated using IPCP
Broadcast address is 255.255.255.255
MTU is 1488 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 111
Proxy ARP is disabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are never sent
ICMP unreachables are never sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is disabled
IP CEF switching is enabled
IP CEF switching turbo vector
IP Null turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain outside
BGP Policy Mapping is disabled
Input features: Common Flow Table, Stateful Inspection, Dialer i/f override, Virtual Fragment Reassembly, Access List, Virtual Fragment Reassembly After IPSec Decryption, NAT Outside, MCI Check
Output features: Post-routing NAT Outside, Common Flow Table, Stateful Inspection, NAT ALG proxy, Dialer idle reset
IPv4 WCCP Redirect outbound is disabled
IPv4 WCCP Redirect inbound is disabled
IPv4 WCCP Redirect exclude is disabled

entschuldigt den vielen Text.

@cykes
Ich habe nun so wie empfohlen nur die Einwahl testen wollen aber es scheint keine Änderung zu geben oder irre ich mich?

Wie soll ich weiter vorgehen?
Member: cykes
cykes Aug 03, 2021 at 20:46:51 (UTC)
Goto Top
Zitat von @mariocisco:
Also ich habe so wie beschrieben geprüft aber nach meinen Kenntnissen ist nicht mehr als vorher zu sehen . Ich sehe nur einen Synch das showtime ist auch ohne korrekte zugangsdaten zu sehen? ( Warum?)
Den Synce baut das Modem (vdsl 0) auf, die Zugangsdaten gehen über PPPoE über das dialer interface raus. Der Sync ist top in Ordnung.

Hier ein Auszug aus den sh Befehlen welche ich genutzt habe :
[...]
entschuldigt den vielen Text.
Detz die größeren Blöcke einfach in Code-Tags "
 {Text] 
", dann bekommst Du etwas übersichtlichere Blöcke, die nicht ganz so den Post überladen.
@cykes
Ich habe nun so wie empfohlen nur die Einwahl testen wollen aber es scheint keine Änderung zu geben oder irre ich mich?
Sieht so aus, als wäre es - wie vermutet - ein DS-Lite Anschluss. Also noch die IPv6 Konfiguration durchführen, dann solltest Du Internet haben.

Gruß

cykes
Member: mariocisco
mariocisco Aug 03, 2021 at 22:35:24 (UTC)
Goto Top
@cykes
Meinst du den Teil zu dem ich was am "mariocisco 03.08.2021 um 00:57:57 Uhr | Bearbeiten" gepostet habe?

Gehört wenn dieses das ist was ich noch zusätzlich konfigurieren soll noch etwas weiteres hinzu?

Wenn nein was gehört dann in die Konfiguration?

Vielen Dank für eure Antworten.
Member: aqui
aqui Aug 04, 2021 updated at 10:08:49 (UTC)
Goto Top
nicht umgekehrt?
Nein !
Denke bitte einmal selber etwas nach. DS Lite setzen Provider ein dei keine IPv4 Adressen mehr haben. Siehe:
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Folglich könne sie also primär erstmal nur IPv6 nutzen. Daraus folgt das die grundlegende Konfig eine IPv6 Konfig sein MUSS auf der dann der v4 Tunnel aufbaut. Die IPv6 Konfig auf dem Dialer Interface und lokalem LAN Interface wie im Cisco Tutorial angegeben ist also ein MUSS für dich !!
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Gib also ein show ipv6 int brief ein und auch ein show ipv6 dhcp int und poste das in Code Tags hier.
Formatierungen in den Beiträgen
Wenn du hier gültige IPv6 IP Adressen bekommen hast an Dialer 0 und lokalem LAN hat alles sauber geklappt. Das 2te Kommando zeigt dir an ob die Provider IPv6 Prefix Delegation an dich fehlerlos geklappt hat.
Member: mariocisco
mariocisco Aug 04, 2021 at 22:31:12 (UTC)
Goto Top
@aqui
DS Lite kannte ich nicht bzw. sagte mir nichts.

Also hier meine RUnning Config leider funktioniert es nicht.( Zugangsdaten herausgelöscht)

< Building configuration...

Current configuration : 4203 bytes
!
! Last configuration change at 22:06:49 CEST Wed Aug 4 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name mario.domain
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description xDSL Einwahl Interface Internet
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
ipv6 verify unicast reverse-path
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
mtu 1488
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
no keepalive
ppp authentication pap callin
ppp pap sent-username provider@dsl.com password 0 PASSWORD
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
!
dialer-list 1 protocol ip list 101
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
access-list 111 deny ip any any
!
!
!
control-plane
!
!
line con 0
line 4
no activation-character
transport preferred none
transport input all
transport output all
stopbits 1
line vty 0 4
transport input none
!
scheduler allocate 20000 1000
!
end >

<2. Wenn ich ipv6 dhcp server DHCPv6 eingebe erhalte ich :

Fehlermeldung:Pool DHCPv6 not configured globally - configuring anyway
Warum?>


<3. ipv6 dhcp client pd provider-v6-prefix

Fehelermeldung: INterface is in DHCP Server Mode <--- Richtig oder falsch?

oder ist

ipv6 dhcp client pd provider-v6-prefix rapid-commit
Sollte der Provider keine two-message exchange Option supporten, dann lässt man den Parameter "rapid-commit" weg !
(ipv6 dhcp client pd provider-v6-prefix)

Richtig wenn ja warum?>


@ aqui Hier noch die show Befehle welche ich nach dem DS LITE als den zusätzlichen Änderungen im VLAN 1 und im DIALER 0 eingeben sollte . aber es scheint nicht zu funktionieren.

<4.Cisco_Router_B(config)#do show ipv6 int brief
ATM0 [down/down]
unassigned
ATM0.1 [down/down]
unassigned
Dialer0 [up/up]
unassigned
Ethernet0 [up/up]
unassigned
GigabitEthernet0 [down/down]
unassigned
GigabitEthernet1 [down/down]
unassigned
GigabitEthernet2 [down/down]
unassigned
GigabitEthernet3 [down/down]
unassigned
GigabitEthernet4 [administratively down/down]
unassigned
NVI0 [up/up]
unassigned
Vlan1 [down/down]
FE80::FAA7:3AFF:FEF9:2CE0
Vlan2 [down/down]
unassigned >

< 5. Cisco_Router_B(config)#do show ipv6 dhcp int
Vlan1 is in server mode
Using pool: DHCPv6
Preference value: 0
Hint from client: ignored
Rapid-Commit: disabled >

< 6. Cisco_Router_B(config)#do sh ip int brief
Interface IP-Address OK? Method Status Prot ocol
ATM0 unassigned YES unset down down
ATM0.1 unassigned YES unset down down
Dialer0 unassigned YES manual up up
Ethernet0 unassigned YES unset up up
GigabitEthernet0 unassigned YES unset down down
GigabitEthernet1 unassigned YES unset down down
GigabitEthernet2 unassigned YES unset down down
GigabitEthernet3 unassigned YES unset down down
GigabitEthernet4 unassigned YES unset administratively down down
NVI0 192.168.2.100 YES unset up up
Vlan1 192.168.100.254 YES manual down down
Vlan2 172.16.100.254 YES manual down down>

<7. Auch wenn es zu viel Text ist habe ich hier noch einmal einen Auszug vom ipconfig /all gemacht. Die Mac Adresse ist absichtlich nicht drin.

cmd -> ipconfig /all
EEthernet-Adapter Ethernet:

Verbindungsspezifisches DNS-Suffix: mario.domain
Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR8132 PCI-E Fast Ethernet Controller (NDIS 6.30)
Physische Adresse . . . . . . . . :
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::2036:4e59:73c0:a1c0%3(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.100.150(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Donnerstag, 8. Juli 2021 08:37:04
Lease läuft ab. . . . . . . . . . : Freitag, 9. Juli 2021 08:37:03
Standardgateway . . . . . . . . . : 192.168.100.254
DHCP-Server . . . . . . . . . . . : 192.168.100.254
DHCPv6-IAID . . . . . . . . . . . : 50341054
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-02-18-05-00-24-BE-5C-88-82
DNS-Server . . . . . . . . . . . : 192.168.100.254
NetBIOS über TCP/IP . . . . . . . : Aktiviert>


Vielen Dank für eure Hilfe, ich denke wir sind auf dem richtigen Weg.

Kann man den Router im PacketTracer einfügen ?

Vllt. kann man es da auch testen ?
Member: cykes
cykes Aug 05, 2021 at 04:44:59 (UTC)
Goto Top
Moin,

setz doch die längeren Blöcke bitte in CODE-Tags, das sieht dann so aus:
< Building configuration...

Current configuration : 4203 bytes
!
! Last configuration change at 22:06:49 CEST Wed Aug 4 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name mario.domain
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description xDSL Einwahl Interface Internet
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
ipv6 verify unicast reverse-path
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
mtu 1488
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
no keepalive
ppp authentication pap callin
ppp pap sent-username provider@dsl.com password 0 PASSWORD
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
!
dialer-list 1 protocol ip list 101
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
access-list 111 deny ip any any
!
!
!
control-plane
!
!
line con 0
line 4
no activation-character
transport preferred none
transport input all
transport output all
stopbits 1
line vty 0 4
transport input none
!
scheduler allocate 20000 1000
!
end >
und wäre deutlich übersichtlicher.

Mir fehlt in Deine running config noch immer die VID/VLAN-Tag 7 auf der PPPoE Einwahl. Somit klappt die Einwahl folglich nicht.
Alles weitere erübrigt sich damit eigentlich, nicht eingewählt, kein IPv6 usw.

Gruß

cykes
Member: aqui
aqui Aug 05, 2021 updated at 09:30:16 (UTC)
Goto Top
DS Lite kannte ich nicht bzw. sagte mir nichts.
Nur weil du oben irgenwann mal von DS-Lite gesprochen hast. Wenn du natürlich keinen DS-Lite Anschluss hast, dann vergiss alles was oben dazu gesagt wurde. Dann machst du eine ganz normale Dual Stack Konfig wie sie oben schon gepostet wurde !
Nur zur Info für dich... Hier steht was DS-Lite ist:
https://www.elektronik-kompendium.de/sites/net/2010211.htm

Zu deinen Fehlermeldungen:
Die resultieren alle daraus das deine IPv6 Konfiguration fehlerhaft ist bzw. das du diverse Kommandos vergessen hast ! ;-(
Bitte sieh dir den v6 Abschnitt des Tutorial noch einmal genau an !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Was fehlt sind die globalen Kommandos:
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6

Und... es fehlen vollständig die v6 Kommandos auf dem Dialer 0 Interface. Mit diesen fatalen Konfig Fehlern ist v6 nicht möglich und das ist auch der Grund deiner beiden Fehlermeldungen !
interface Dialer0
description xDSL Einwahl Interface Internet
ipv6 address autoconfig default
ipv6 enable
no ipv6 redirects
no ipv6 unreachables
ipv6 nd autoconfig default-route
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix
ipv6 dhcp client pd provider-v6-prefix rapid-commit

Trage das nach gem. Tutorial und poste nochmal deine dann finale Konfig mit show run hier.
Aber bitte in Code Tags wie Kollege @cykes schon richtig angemerkt hat !
Formatierungen in den Beiträgen
Und... bitte das hiesige Cisco Tutorial wirklich einmal lesen ! Es macht keinen Spass daraus immer alles doppelt zu zitieren nur weil du dort keinen Blick hineinwirfst. face-sad

Dann folgende Show outputs auch in Code Tags:
show ip int brief
show ipv6 int brief
show ipv6 dhcp int


Wenn du eine öffentliche IP Adresse auf dem Dialer 0 Interface bekommen hast hast du auch eine Internet Verbindung. Dann solltest du einmal direkt auf dem Router Prompt eingeben:
ping 8.8.8.8
Und danach mal einen Hostnamen pingen wie ping www.heise.de
Member: mariocisco
mariocisco Aug 05, 2021 updated at 16:38:47 (UTC)
Goto Top
Zitat von @aqui:

DS Lite kannte ich nicht bzw. sagte mir nichts.
Nur weil du oben irgenwann mal von DS-Lite gesprochen hast. Wenn du natürlich keinen DS-Lite Anschluss hast, dann vergiss alles was oben dazu gesagt wurde. Dann machst du eine ganz normale Dual Stack Konfig wie sie oben schon gepostet wurde !
Nur zur Info für dich... Hier steht was DS-Lite ist:
https://www.elektronik-kompendium.de/sites/net/2010211.htm

Zu deinen Fehlermeldungen:
Die resultieren alle daraus das deine IPv6 Konfiguration fehlerhaft ist bzw. das du diverse Kommandos vergessen hast ! ;-(
Bitte sieh dir den v6 Abschnitt des Tutorial noch einmal genau an !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Was fehlt sind die globalen Kommandos:
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6

Und... es fehlen vollständig die v6 Kommandos auf dem Dialer 0 Interface. Mit diesen fatalen Konfig Fehlern ist v6 nicht möglich und das ist auch der Grund deiner beiden Fehlermeldungen !
interface Dialer0
description xDSL Einwahl Interface Internet
ipv6 address autoconfig default
ipv6 enable
no ipv6 redirects
no ipv6 unreachables
ipv6 nd autoconfig default-route
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix
ipv6 dhcp client pd provider-v6-prefix rapid-commit

Trage das nach gem. Tutorial und poste nochmal deine dann finale Konfig mit show run hier.
Aber bitte in Code Tags wie Kollege @cykes schon richtig angemerkt hat !
Formatierungen in den Beiträgen
Und... bitte das hiesige Cisco Tutorial wirklich einmal lesen ! Es macht keinen Spass daraus immer alles doppelt zu zitieren nur weil du dort keinen Blick hineinwirfst. face-sad

Dann folgende Show outputs auch in Code Tags:
show ip int brief
show ipv6 int brief
show ipv6 dhcp int


Wenn du eine öffentliche IP Adresse auf dem Dialer 0 Interface bekommen hast hast du auch eine Internet Verbindung. Dann solltest du einmal direkt auf dem Router Prompt eingeben:
ping 8.8.8.8
Und danach mal einen Hostnamen pingen wie ping www.heise.de

Den Teil bei interface Dialer0 von ipv6 unicast routing bis zu ... ipv6 dhcp client pd provider-v6-prefix rapid-commit habe ich eingegeben. ( Soll ich die Zeile mit rapdid-commit weglassen? ( habe ich so gemacht denn ich denke beides macht keinen Sinn) )


@cykes

den Teil mit VLAN Tag 7 der kommt noch hinzu.
Der ist tatsächlich vergessen worden. Entschuldigt bitte.

@alle

das mit den Code Block war ein versehen.

 ich ändere es ab und poste dann noch einmal hier aber dieses mal richtig :D wie bekomme ich die Zeilennummern rein?

Also es ist 100 % DualStack . Eben Info erhalten. Entschuldigt die verspätete Rückmeldung.

In der ANleitung steht bei DualStack
(Bleibende IPv4 Interface Kommandos sind hier der Übersicht halber weggelassen !) <-- Welche sind damit gemeint? sind hiermit die Interface vlan Einstellungen und die GigabitEthernet Einstellungen gemeint? Wohl eher die unter interface dialer0 oder?
Member: Windows10Gegner
Windows10Gegner Aug 05, 2021 at 16:58:27 (UTC)
Goto Top
Die die weiter oben bei Dialer0 beschrieben sind.
Im Dialer kommt der ganze IPv6-Kram rein, völlig egal ob das über VDSL oder Ethernet zum Provider geht.
Member: aqui
aqui Aug 05, 2021 at 17:15:08 (UTC)
Goto Top
Einfach nur mal das Cisco Tutorial in aller Ruhe lesen, verstehen und vor allem umsetzen !
Und....bitte nicht immer alles komplett zitieren das macht hier alles nur noch wirrer und unübersichtlicher ! 🧐
Member: mariocisco
mariocisco Aug 05, 2021 at 21:51:06 (UTC)
Goto Top
@aqui

ipv6 unicast-routing ...
bis domain-name meinedomain.home.arpa

im Bezug auf das DualStack IPV6 kommt bei VDSL controller rein richtig? Deshalb kommt auch anschliessend das mit dem Interface Dialer0 ( Wenn ich richtig gelesen habe dann schon. face-smile
(Bleibende IPv4 Interface Kommandos sind hier der Übersicht halber weggelassen !) <-- Welche sind damit gemeint? Dieser Satz ist mir dennoch nicht klar auch wenn ich es durchgelesen habe.

Beim Thema DualStack sicher dass der Eintrag nach dem DNS richtig ist?
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload

Ich habe was davon gelesen dass man kein NAT mehr braucht weil es ja IPv6 ist oder?

Ich schaue dann mal dass ich das mit dem VLAN Tag 7 noch einbaue.
Member: Windows10Gegner
Windows10Gegner Aug 06, 2021 updated at 05:32:34 (UTC)
Goto Top
Da weltweit noch haufenweise Server ohne IPv6 existieren, muss man weiterhin IPv4 implementieren und damit auch IPv4-NAT. Zeige bitte deine aktuelle config
sh run
sh ipv6 int brief
Member: aqui
aqui Aug 06, 2021 updated at 08:53:24 (UTC)
Goto Top
Ja der Eintrag ist bei Dual Stack richtig ! Hier arbeitet der Router bei v4 ja als DNS Proxy. Die v6 DNS Server Adressen deines Providers trägst du immer statisch ein wie es das Tutorial am Beispiel der Telekom DNS Server ja auch zeigt.
Das NAT Kommando gilt ausschliesslich nur für v4 wie du ja an der ACL erkennen kannst. Im v6 gibt es in der Tat kein NAT und der Router NATet dort auch nicht.
Alles korrekt also... face-wink
Member: mariocisco
mariocisco Aug 06, 2021 at 12:07:05 (UTC)
Goto Top
So nun habe ich eine IP Juhuu. Vom ROuter aus pingen funktioniert. 1. Aber von keinem Port habe ich Internetverbindung! Was kann das nur sein? Wie nummeriere ich die Zeilen im Codeblock?

Text, service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1448
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username cisco@dsl.com password 0 KENNWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
!
!
!
control-plane
!
!
line con 0
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
!
scheduler allocate 20000 1000
!
end

2.unabhängig von dem Problem mit den lokalen Schnittstellen möchte ich noch wissen ?
Warum muss ich mich anmelden obwohl ich das login local rausgenommen habe? GIbt es noch etwas anderes was die Anmeldung erzwingt? ( in diesem fall obwohl kein User angelegt ist, was sehr kontraproduktiv ist, weil ich mich nicht anmelden kann?)

3. Hier mein erfolgloser ping vom Computer

C:\Users\COMPUTER>ping www.google.de

Ping wird ausgeführt für www.google.de [142.250.181.195] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

4.

ip dns server soll dieser Eintrag leer sein? Oder muss noch etwas dazu eingetragen werden.
!
Member: Windows10Gegner
Windows10Gegner Aug 06, 2021 at 12:31:47 (UTC)
Goto Top
Und es fehlt
sh ipv6 int brief
Member: aqui
aqui Aug 06, 2021 updated at 14:23:42 (UTC)
Goto Top
Was kann das nur sein
Das sieht Jeder Laie sofort auf den ersten Blick und hätte dir als Cisco Router Profi auch sofort selbst auffallen müssen. Mal wieder nicht ins Tutorial gesehen... face-sad

Du hast vergessen NAT zu aktivieren für v4 !!! Damit können die lokalen Clients kein NAT (IP Adress Translation) für v4 machen und scheitern sofort mit dem Internet Zugriff !!
Folgende Zeilen also global hinzufügen:
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!

Dann klappt es lokal zumindestens für IPv4 sofort !

Um die IPv6 Adressierung checken zu können fehlt wie vom Kollegen @Windows10Gegner schon richtigerweise gesagt:
show ipv6 int brief
show ipv6 dhcp int dialer 0

Ob IPv6 Connectivity besteht kannst du vom Cisco Router Prompt z.B. Mit ping ipv6 www.heise.de checken.
Lesen und verstehen... face-wink
Member: mariocisco
mariocisco Aug 06, 2021 updated at 16:10:57 (UTC)
Goto Top
@aqui und Windows10Gegner vielen Dank für eure Hilfe.

Also was ich aktuell sagen kann ist dass ich eine ipv4 Adresse bekommen habe.

ich werde die config ergänzen und noch einmal mit sh ipv6 Rückmeldung geben.

Bei controller vdsl 0

dns-server 2003:180:2:3000::53 (T-Com IPv6 DNS Adressen !! Bei anderen Providern deren DNS v6 IPs anpassen !!)

Was passiert wenn man hier nur den Open DNS einträgt ist es falsch , also muss einer von O2 rein oder egal?
Member: aqui
aqui Aug 06, 2021 updated at 17:08:38 (UTC)
Goto Top
Nein, du kannst natürlich jeden beliebigen v6 DNS Server dort eintragen. Ob es allerdings Sinn macht DNS Anfragen auf ausländische Server um die halbe Welt zu schicken musst du selber wissen.
Auf der anderen Seite sind die IPv6 Dokumentationen Telefonica üblich unter aller Kanone. Kein Wunder bei einem Unternehmen was seine Kunden eher naiv gängeln möchte anstatt sie als mündige Kunden zu betrachten...nundenn. face-sad
Das können andere Dual Stack Provider erheblich besser.
Dann musst du vermutlich besser einen der öffentlichen IPv6 DNS Server verwenden wie z.B. Quad9 einer der wenigen die (angeblich) kein Nutzerprofil von dir erstellen und vermarkten:
2620:fe::fe
2620:fe::9

https://www.privacy-handbuch.de/handbuch_93d.htm

P.S: Bitte wenn du zitierst mache es richtig und nutze ein „>“ mit einem Leerzeichen dahinter !! Das ist sonst höchst unübersichtlich wenn du solche zitierten Passagen im normalen Text deiner Posts erscheinen lässt. face-sad
Member: Windows10Gegner
Windows10Gegner Aug 06, 2021 at 17:09:11 (UTC)
Goto Top
@mariocisco
Bist du eigentlich in der Lage, die Ausgabe von
show ipv6 int brief
show ipv6 dhcp int dialer 0
jetzt mal zu posten?
Der Thread entwickelt sich immer mehr zu einem Chat.
Member: mariocisco
mariocisco Aug 07, 2021 at 00:26:43 (UTC)
Goto Top
        Cisco_Router_B(config)#do sh run
Building configuration...

Current configuration : 3493 bytes
!
! Last configuration change at 01:17:22 CEST Sat Aug 7 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1448
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username CISCO@DSL.com password 0 1234
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
!
control-plane
!
!
So besser? @ aqui? sry wenn ich das falsch geposted ahbe aber das mit den Nummern in der Zeile funktioniert nicht

2.
       Cisco_Router_B(config-dhcpv6)#do show ipv6 int brief
ATM0                   [administratively down/down]
    unassigned
Dialer0                [up/up]
    IPV6 ADRESSE!
Ethernet0              [up/up]
    unassigned
Ethernet0.7            [up/up]
    unassigned
GigabitEthernet0       [down/down]
    unassigned
GigabitEthernet1       [down/down]
    unassigned
GigabitEthernet2       [down/down]
    unassigned
GigabitEthernet3       [down/down]
    unassigned
GigabitEthernet4       [administratively down/down]
    unassigned
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    IPV6 Adresse
Vlan1                  [down/down]
    unassigned
Vlan2                  [down/down]
    unassigned

3.
                               isco_Router_B(config-dhcpv6)#do show ipv6 dhcp int dialer 0
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:50:50
  Renew will be sent in 23:50:50
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::6A8F:84FF:FEF4:AD93
    DUID: 0001000600A88FB6688F84F4AD93
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 86400, T2 138240
        Prefix: 2A01:C23:84D8:5400::/56
                preferred lifetime 172800, valid lifetime 259200
                expires at Aug 10 2021 01:25 AM (258650 seconds)
      DNS server: 2A01:C30::530
      DNS server: 2A01:C30::531
      Information refresh time: 0
  Prefix name: provider-v6-prefix
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled


4.

      Cisco_Router_B(config-dhcpv6)#do show ipv6 dhcp int dialer 0
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:50:50
  Renew will be sent in 23:50:50
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::6A8F:84FF:FEF4:AD93
    DUID: 0001000600A88FB6688F84F4AD93
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 86400, T2 138240
        Prefix: 2A01:C23:84D8:5400::/56
                preferred lifetime 172800, valid lifetime 259200
                expires at Aug 10 2021 01:25 AM (258650 seconds)
      DNS server: 2A01:C30::530
      DNS server: 2A01:C30::531
      Information refresh time: 0
  Prefix name: provider-v6-prefix
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled

5.

       ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic

Warum bekomme ich die Fehlernmeldung?
% Invalid input detected at '^' marker.
^bei i von inspect ( entschuldigt falls ihr mir dieses schon einmal geschrieben habt?

6. Warum geht nach der EIngabe:

     ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any 
access-list 111 permit udp any eq bootps any
access-list 111 deny ip any any (log*) 
!
!
dialer-list 1 protocol ip list 101

nichts mehr? LAN ICON unten rechts wechselt alle paar Minuten von INternetzugriff auf kein
INternetzugriff PC Symbol dann wieder Welt Symbol mit durchgestrichenen Kreis unten rechts.

VIELEN DANK FÜR EURE HILFE BIS HIER .

ENDLICH EIN INTERNETFÄHIGEN CISCO ROUTER :D.

IHR SEIT SUPER :D.
Member: Windows10Gegner
Windows10Gegner Aug 07, 2021 at 03:55:10 (UTC)
Goto Top
Jetzt vom Cisco
ping 2001:470:20::2
Member: aqui
aqui Aug 07, 2021 at 10:19:39 (UTC)
Goto Top
aber das mit den Nummern in der Zeile funktioniert nicht
Das liegt daran das du den „type=plain“ nutzt bei den Code Tags. Nutze einen anderen Type, dann hast du auch eine Nummerierung. FAQs lesen hilft wirklich !! face-wink
Du kannst am o.a. Show Output auch sehen das du eine v6 Adresse plus DNS Server auf dem Internet Interface bekommen hast. Zeigt das du wenigstens auf dem Dialer Interface alles richtig konfiguriert hast.

Aber es zeigt auch das du zum wiederholten Male das Cisco Tutorial im Kapitel IPv6 NICHT gelesen und umgesetzt hast obwohl du hier von den Kollegen mehrfach darauf hingewiesen wurdest !
So macht das echt kEinen Spass hier und Kollege @Windows10Gegner hat absolut Recht das das in einen Chat ausartet der wenig zielführend ist. face-sad
Du hast sowohl im VLAN 1 Interface des privaten Netzes als auch im Gastsegment die IPv6 Konfig wieder einmal NICHT umgesetzt.
Folglich fehlt in den lokalen Netzen die IPv6 Adressierung und IPv6 scheitert dann logischerweise.
So sollte es aussehen:
!
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6
dns-server 2A01:C30::530
dns-server 2A01:C30::531
domain-name mario.domain
!
interface Vlan1
description Lokales LAN
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Vlan2
description Gastnetz
ipv6 address provider-v6-prefix ::2:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!

Fazit:
Bitte WIRKLICH das Tutorial lesen, verstehen und dann die dort ausführlich beschriebenen Konfig Schritte umsetzen und das auch mit den entsprechenden Show Kommandos und Pings verifizieren.
Das würde allen Helfenden hier das Supporten sehr erleichtern !!
Member: mariocisco
mariocisco Aug 08, 2021 updated at 13:41:07 (UTC)
Goto Top
So jetzt funktioniert es. DANKE nochmal.


Jetzt muss ich selbst nur noch die Firewall anpassen(Das wird im Alltag geschehen weil mir dann die Sachen auffallen die ich brauche)

Aber was ich noch wichtig finde ist die Tatsache dass eine Anmeldung nach erneutem anmelden wenn ich die Konfiguration gespeichert habe erfolgen soll welche nach meinem Kenntnisstand nicht eingerichtet ist? Welcher Befehl kann das sein? Des weiteren geschieht dieses auch nach einer gewissen Zeit wenn ich am Router nicht tätig bin (also mit Serieller Verbindung am Router bin). Was muss ich machen auch wenn ich natürlich eine Anmeldung aus Sicherheitsgründen einrichten will damit dieses in der jetzigen Config nicht passiert?


Hier die Running Config nachdem es funktioniert hat ( ohne Firewall)
 hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN (FastEthernet0 bis 2)
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username cisco@dsl.com password 0 XXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
 permit udp any any eq bootpc
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 deny   ip any any
!
dialer-list 1 protocol ip list 101
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
!
!
!
control-plane
!
!
line con 0
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
!
scheduler allocate 20000 1000
!
end

Die sh ipv6 Kommandos lasse ich weg weil Internet technisch alles funktioniert. Wäre nur noch die Frage mit den vor dem Codeblock dargestellten Problem. Wenn wir das noch klären könnten wäre ich wunschlos glücklich.
Member: Windows10Gegner
Windows10Gegner Aug 08, 2021 at 15:22:18 (UTC)
Goto Top
Zitat von @mariocisco:
Die sh ipv6 Kommandos lasse ich weg weil Internet technisch alles funktioniert. Wäre nur noch die Frage mit den vor dem Codeblock dargestellten Problem. Wenn wir das noch klären könnten wäre ich wunschlos glücklich.

Zeige Sie bitte trotzdem, nur weil es funktioniert, bedeutet es nicht, dass alles richtig eingestellt ist.
Member: mariocisco
mariocisco Aug 08, 2021 at 23:06:38 (UTC)
Goto Top
Hier die geforderten Kommandos , ich hoffe ihr findet keinen Fehler. beginnt mit 2. face-smile .

2. 

Cisco_Router_B(config)#do show ipv6 int brief
ATM0                   [administratively down/down]
    unassigned
Dialer0                [up/up]
    IPV6 Adresse
	IPV6 Adresse
Ethernet0              [up/up]
    unassigned
Ethernet0.7            [up/up]
    unassigned
GigabitEthernet0       [down/down]
    unassigned
GigabitEthernet1       [down/down]
    unassigned
GigabitEthernet2       [down/down]
    unassigned
GigabitEthernet3       [down/down]
    unassigned
GigabitEthernet4       [administratively down/down]
    unassigned
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::FAA7:3AFF:FEF9:2CE7
Vlan1                  [down/down]
    FE80::FAA7:3AFF:FEF9:2CE0
    2A01:C23:847F:8F01::1
Vlan2                  [down/down]
    FE80::FAA7:3AFF:FEF9:2CE0
    2A01:C23:847F:8F02::1



3.
Cisco_Router_B(config-dhcpv6)#Cisco_Router_B(config)#do show ipv6 dhcp int dialer 0
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:58:51
  Renew will be sent in 23:58:51
  Address State is IDLE
  List of known servers:
    Reachable via address: IPV6 Adresse
    DUID: 0001000600A88FB6688F84F4AD93
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 86400, T2 138240
        Prefix: IPV6 Adresse
                preferred lifetime 172800, valid lifetime 259200
                expires at Aug 12 2021 12:43 AM (259131 seconds)
      DNS server: 2A01:C30::531
      DNS server: 2A01:C30::530
      Information refresh time: 0
  Prefix name: provider-v6-prefix
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled




4.

ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic

Warum bekomme ich die Fehlernmeldung?
% Invalid input detected at '^' marker.  
^bei i von inspect


5. Warum geht nach EINgabe von 

ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any 
access-list 111 permit udp any eq bootps any
access-list 111 deny ip any any (log*) 
!
!
dialer-list 1 protocol ip list 101


nichts mehr? LAN ICON unten rechts wechselt alle paar Minuten von INternetzugriff auf kein 
INternetzugriff PC Symbol dann wieder Welt Symbol mit durchgestrichenen Kreis unten rechts.


6.
Cisco_Router_B(config)# do show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
ATM0                       unassigned      YES unset  administratively down down
Dialer0                    IPV4 Adrese    YES IPCP   up                    up  
Ethernet0                  unassigned      YES unset  up                    up  
Ethernet0.7                unassigned      YES unset  up                    up  
GigabitEthernet0           unassigned      YES unset  down                  down
GigabitEthernet1           unassigned      YES unset  down                  down
GigabitEthernet2           unassigned      YES unset  down                  down
GigabitEthernet3           unassigned      YES unset  down                  down
GigabitEthernet4           unassigned      YES unset  administratively down down
NVI0                       192.168.2.100   YES unset  up                    up  
Virtual-Access1            unassigned      YES unset  up                    up  
Virtual-Access2            unassigned      YES unset  up                    up  
Vlan1                      192.168.100.254 YES manual down                  down
Vlan2                      172.16.100.254  YES manual down                  down

7.

Cisco_Router_B(config)#do show ipv6 interface
Dialer0 is up, line protocol is up
  IPv6 is enabled, link-local address is IPV6 Adresse
  No Virtual link-local address(es):
  Description: xDSL Einwahl Interface Internet
  Stateless address autoconfig enabled
  Global unicast address(es):
    IPV6 Adresse, subnet is IPV6 Adresse [EUI/CAL/PRE]
      valid lifetime 259046 preferred lifetime 172646
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FFF9:2CE7
  MTU is 1488 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are disabled
  ICMP unreachables are disabled
  Input features: Common Flow Table Stile classification Dialer i/f override Verify Unicast Reverse-Path
  Output features: Common Flow Table Stile Classification Dialer idle reset
 IPv6 verify source reachable-via rx, allow default
   0 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.
Virtual-Access2 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::FAA7:3AFF:FEF9:2CE7
  No Virtual link-local address(es):
  Description: xDSL Einwahl Interface Internet
  No global unicast address is configured
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FFF9:2CE7
  MTU is 1488 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Dialer i/f override
  Output features: Dialer idle reset
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.
Vlan1 is down, line protocol is down
  IPv6 is tentative, link-local address is FE80::FAA7:3AFF:FEF9:2CE0 [TEN]
  No Virtual link-local address(es):
  Description: Lokales LAN (FastEthernet0 bis 2)
  General-prefix in use for addressing
  Global unicast address(es):
    2A01:C23:847F:8F01::1, subnet is 2A01:C23:847F:8F01::/64 [CAL/PRE/TEN]
      valid lifetime 258875 preferred lifetime 172475
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF05::1:3
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification
  Output features: Common Flow Table Stile Classification
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.
Vlan2 is down, line protocol is down
  IPv6 is tentative, link-local address is FE80::FAA7:3AFF:FEF9:2CE0 [TEN]
  No Virtual link-local address(es):
  Description: Gastnetz (FastEthernet3)
  General-prefix in use for addressing
  Global unicast address(es):
    2A01:C23:847F:8F02::1, subnet is 2A01:C23:847F:8F02::/64 [CAL/PRE/TEN]
      valid lifetime 258875 preferred lifetime 172475
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF05::1:3
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Common Flow Table Stile classification
  Output features: Common Flow Table Stile Classification
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.

8. Cisco_Router_B(config)#do show ipv6 dhcp int
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:51:58
  Renew will be sent in 23:51:58
  Address State is IDLE
  List of known servers:
    Reachable via address: IPV6 Adresse
    DUID: 0001000600A88FB6688F84F4AD93
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00130001, T1 86400, T2 138240
        Prefix: IPV6 Adresse
                preferred lifetime 172800, valid lifetime 259200
                expires at Aug 12 2021 12:43 AM (258718 seconds)
      DNS server: 2A01:C30::531
      DNS server: 2A01:C30::530
      Information refresh time: 0
  Prefix name: provider-v6-prefix
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled
Vlan1 is in server mode
  Using pool: DHCPv6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled
Vlan2 is in server mode
  Using pool: DHCPv6
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled

9.


Cisco_Router_B#sh controller vdsl 0
Controller VDSL 0 is UP

Daemon Status:           Up

                        XTU-R (DS)              XTU-C (US)
Chip Vendor ID:         'BDCM'                   'BDCM'  
Chip Vendor Specific:   0x0000                   0xC01A
Chip Vendor Country:    0xB500                   0xB500
Modem Vendor ID:        'CSCO'                   'BDCM'  
Modem Vendor Specific:  0x4602                   0x0000
Modem Vendor Country:   0xB500                   0xB500
Serial Number Near:    FGL2517LEU1 C926-4P 15.8(3)M2
Serial Number Far:     PD0H6000132_62
Modem Version Near:    15.8(3)M2
Modem Version Far:     0xc01a

Modem Status:          TC Sync (Showtime!)

DSL Config Mode:         AUTO
Trained Mode:   G.993.2 (VDSL2) Profile 17a

TC Mode:                 PTM
Selftest Result:         0x00
DELT configuration:      disabled
DELT state:              not running
Link Status:             UP

Full inits:             1
Failed full inits:      0
Short inits:            0
Failed short inits:     2

Firmware        Source          File Name
--------        ------          ----------
VDSL            embedded        VDSL_LINUX_DEV_01212008

Modem FW  Version:      4.14L.04
Modem PHY Version:      B2pv6F039x3.d26d

Line:

                        XTU-R (DS)              XTU-C (US)
Trellis:                 ON                       ON
SRA:                     disabled                disabled
 SRA count:              0                       0
Bit swap:                enabled                 enabled
 Bit swap count:         6                       0
Line Attenuation:         9.2 dB                  0.0 dB
Signal Attenuation:       0.0 dB                  0.0 dB
Noise Margin:            15.8 dB                 15.2 dB
Attainable Rate:        140581 kbits/s           46416 kbits/s
Actual Power:            14.5 dBm                - 4.5 dBm
Per Band Status:        D1      D2      D3      U0      U1      U2      U3
Line Attenuation(dB):   6.1     10.1    12.6    1.9     6.4     8.8     N/A
Signal Attenuation(dB): 5.5     10.0    12.6    1.9     5.8     7.9     N/A
Noise Margin(dB):       16.8    15.6    15.3    16.0    15.7    14.9    N/A
Total FECC:             0                        0
Total ES:               0                        0
Total SES:              0                        0
Total LOSS:             0                        0
Total UAS:              122                      122
Total LPRS:             0                        0
Total LOFS:             0                        0
Total LOLS:             0                        0


                  DS Channel1     DS Channel0   US Channel1       US Channel0
Speed (kbps):             0           110000             0             32000
SRA Previous Speed:       0                0             0                 0
Previous Speed:           0                0             0                 0
Reed-Solomon EC:          0                0             0                 0
CRC Errors:               0                0             0                 0
Header Errors:            0                0             0                 0
Interleave (ms):       2.00             0.00          0.00              0.00
Actual INP:            3.00            45.00          4.00             42.00

Training Log :  Stopped
Training Log Filename : flash:vdsllog.bin
Member: Windows10Gegner
Windows10Gegner Aug 09, 2021 at 05:32:03 (UTC)
Goto Top
Sieht von den Adressen her ok aus.
Bekommen die Rechner eine IPv6-Adresse (das geht da, wenn nicht deaktiviert, über SLAAC)?
Bekommen Sie einen DNS-Server?
Member: aqui
aqui Aug 09, 2021 updated at 10:20:58 (UTC)
Goto Top
Aber was ich noch wichtig finde ist die Tatsache dass eine Anmeldung nach erneutem anmelden wenn ich die Konfiguration gespeichert habe erfolgen soll welche nach meinem Kenntnisstand nicht eingerichtet ist? Welcher Befehl kann das sein?
Sorry, dieses „Kauderwelsch“ versteht kein normaler IT Mensch ! face-sad
WAS bitte genau willst du uns mit dem wirren Gestammel sagen ?? Da versteht man nur Bahnhof. Also bitte etwas genauer was du warum und wie umgesetzt haben möchtest...

Tip, damit du nicht immer jedes einzelne Cisco Kommando mühselig von anderen erfragen musst einfach mal ein Fachbuch lesen: face-wink
https://www.amazon.de/Network-Warrior-Gary-Donahue/dp/1449387861/ref=sr_ ...
Member: mariocisco
mariocisco Aug 09, 2021 at 11:07:22 (UTC)
Goto Top
@Windows10Gegner ja und ja.

@aqui Kennst du auch Deutsche Bücher ich finde nur Englische.
Member: aqui
aqui Aug 09, 2021 updated at 11:57:34 (UTC)
Goto Top
Englisch ist bekanntlich die lingua franca der IT. Die sollte man wenigstens im Ansatz mit seinem Schulenglisch beherrschen wenn man in dem Beruf arbeiten und weiterkommen will. 😉
Simple Binsenweisheit...

Zu deiner (vermutlichen) Login und Passwort Frage....
Ein Internet Router OHNE Kennwort und Usernamen ist natürlich fatal. Sowas macht nicht einmal mehr ein Dummie.
Aus deiner o.a. verklausulierten Frage zu urteilen möchtest du das Passwort vermutlich jetzt wieder setzen um von Remote per PUTTY mit SSH und/oder Telnet zugreifen zu können, richtig ?

Um das wieder zu aktivieren musst du mehrere Einstellungen anpassen.
Für den remoten Zugriff mit einem Terminal wie PuTTY musst du das virtuelle Terminal entsprechend setzen.
!
line vty 0 4
login local
transport input telnet ssh
!

Damit aktivierst du generell den Remoten Zugang per Telnet oder SSH auf den Router
Dann must du das globale enable Passwort setzen mit
!
enable algorithm-type scrypt secret Geheim123
!

Das Wort was hinter „secret“ steht ist das enable Passwort, also das was der Router abfragt wenn du mit „enable“ in den priviligierten Mode zum Konfigurieren wechselst !
Damit der Router dazu auch noch einen Usernamen abfragt muss du diesen setzen mit
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
!
username admin privilege 15 algorithm-type scrypt secret Geheim123

Auch hier steht hinter „secret“ wieder das Passwort für den User „admin“ !
Damit ist dann ein wasserdichtes Login über den Konsolport als auch über den remoten Zugriff per Telnet oder SSH Terminal möglich.
Der Router schmeisst dich aus Sicherheitsgründen nach einem Idle Zeitraum raus. Wenn du also z.B länger als 15 Minuten nichts machst wirst du automatisch ausgeloggt.
Das macht auch Sinn, denn wenn du am konfigurieren bist und gehst mal kurz an die frische Luft willst du nicht das jemand anderes an der göffneten Konsole rumfummelt, oder ?

Bitte lies dir diese Cisco Anleitung dazu durch. Für dich auch alles in Deutsch !!
https://www.cisco.com/c/de_de/support/docs/ip/access-lists/13608-21.html
Dort steht alles was du zu dem Thema Login Management und Passwörter wissen musst. face-wink
Member: mariocisco
mariocisco Aug 10, 2021 at 22:01:43 (UTC)
Goto Top
Nein kein SSH .

Wie ich den Konsolen Login einrichte weis ich.
Wow ich kann sogar den enable Modus extra absichern ( kleiner Scherz).
Wie stelle ich den Timeout ein?

Dass ich den Router so nicht eingestellt lasse ist klar.

Aber normalerweise sollte doch wenn keine Login Einstellungen oder SSH aktiviert ist , es gar nicht dazu kommen
dass eine Anmeldung erfolgt ( in diesem Fall nach dem Timeout).

Ich möchte wissen wie ich dieses einstelle, weil er eigentlich nicht automatisch sich abmelden sollte( der Router).
Member: Windows10Gegner
Windows10Gegner Aug 11, 2021 at 04:36:16 (UTC)
Goto Top
Member: aqui
aqui Aug 11, 2021 updated at 09:18:23 (UTC)
Goto Top
Wie stelle ich den Timeout ein?
Wichtig ist dafür generell den Service TCP Keepalives zu aktivieren mit:
Router1(config)#service tcp-keepalives-in

Im Default steht der Enable Mode Timeout auf 10 Minuten. Wenn du damit leben kannst musst du nichts fummeln an der Konfig.
Ansonsten passt du das so an:
Router1(config)#line con 0
Router1(config)# exec-timeout <sekunden>
Router1(config)#line vty 0 4
Router1(config)# exec-timeout <sekunden>
Router1(config)#end


SSH timeout mit ip ssh time-out <sekunden>

wenn keine Login Einstellungen oder SSH aktiviert ist , es gar nicht dazu kommen
Jein.
Das musst du unter „line vty 0 4“ explizit einstellen. Dort muss stehen:
transport input NONE
Erst dann ist sämtlicher remoter Zugang deaktiviert und du kannst einzig nur über die serielle Konsole zugreifen. Wenn das OK ist kann man das machen.
Etwas intelligenter ist es eine ACL einzurichten die den remoten Zugang einzig nur aus dem lokalen LAN (Beispiel 192.168.100.0\24) erlaubt:
!
access-list 23 permit 192.168.100.0 0.0.0.255
!
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet ssh

Such dir das für dich Schönste raus... 😉
Member: mariocisco
mariocisco Aug 12, 2021 at 20:42:38 (UTC)
Goto Top
1. Ich werde noch die Firewall anpassen müssen. Aber was mich irretiert ist dass sich eineige Seiten problemlos aufrufen lassen und andere nicht. Das ist doch alles Port 80 , oder?

2. Ich kann mich trotz User der angelegt ist und serieller Schnittstelle (mit Passwort) nicht anmelden ? Warum ist das so?

Hier meine Running COnfig vielleicht könnt ihr mir helfen.
Building configuration...

Current configuration : 4655 bytes
!
! Last configuration change at 00:21:21 CEST Thu Aug 12 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$ZhXK$VUfXO71rRo8ewyfzRzSuw/
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
!
username admin privilege 15 secret 5 $1$blWc$8Q9qTYv9GQf.V.RbeiUoF0
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username DSL@provider.de password 7 051850153B1D4D001D1F18
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
 permit udp any any eq bootpc
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 deny   ip any any
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
!
!
!
control-plane
!
!
line con 0
 password 7 05005B4B737F000D4912343B2F551339
 login authentication admin
line 4
 no activation-character
 transport preferred none
 transport output all
 stopbits 1
line vty 0 5
 transport input none
!
scheduler allocate 20000 1000
!
end
Member: Windows10Gegner
Windows10Gegner Aug 13, 2021 at 05:33:31 (UTC)
Goto Top
. Ich werde noch die Firewall anpassen müssen. Aber was mich irretiert ist dass sich eineige Seiten problemlos aufrufen lassen und andere nicht. Das ist doch alles Port 80 , oder?
Nö, die meisten Seiten nutze https über Port 443.
Zudem würde ich von innen nach außen alles erlauben und nur eingehend (SPI-Firewall) das erlauben, was von außen rein muss (z.B. öffentlicher FTP-Server, Mailserver, Gopher usw.).
Member: aqui
aqui Aug 13, 2021 at 10:58:14 (UTC)
Goto Top
Laut der o.a. aktuellen Konfig ist ja keinerlei Firewall definiert. Weder ne CABC Firewall noch die modernere ZFW.
Da sollte der TO also nochmal ins Cisco Tutorial sehen... 😉
Member: mariocisco
mariocisco Aug 13, 2021 at 22:02:20 (UTC)
Goto Top
Mit dem ip inspect gab es Probleme aber ich hatte keine Antwort bekommen und hatte es dann vergessen wieder mit aufzunehmen in meiner config.

1. Hier meine alte Frage:
       ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic

Warum bekomme ich die Fehlernmeldung?
% Invalid input detected at '^' marker.  
^bei i von inspect ( entschuldigt falls ihr mir dieses schon einmal geschrieben habt?

@Windows10Gegner und aqui

brauch man die spi firewall (für eingehend) noch wenn man die ZFW benutzt? ( Ist sie deswegen nicht im Tutorial enthalten)
Member: aqui
aqui Aug 14, 2021, updated at Aug 16, 2021 at 11:07:23 (UTC)
Goto Top
Wo kommt denn deine Fehlermeldung bzw. was passiert wenn du mal ip ? am CLI Parser eingibst ?
Kennt er das Kommando ip inspect ?
Die CBAC Firewall sollte eigentlich Bestandteil des IP Base Packages sein.
Die Zone based Firewall ZFW hingegen bekommst du nur wenn du auch die „SEC“ Lizenz erworben hast beim 900er Modell. Guckst du hier:
https://www.cisco.com/c/en/us/products/collateral/routers/900-series-int ...

Klare Empfehlung ist das SEC Package noch zu erwerben und einzuspielen, denn langfristig wird die CBAC Firewall aus IOS verschwinden.
Member: mariocisco
mariocisco Aug 14, 2021 at 20:03:25 (UTC)
Goto Top
Also ist das IP Base Packages Standardmäßig so vorhanden so dass man die Einstellungen vornehmen kann so wie in der Anleitung?

Warum kann man die ZFW doch nicht einstellen?

Brauch man SL-900-APP(=) oder SL-900-SEC(=) SL-900-SECNPE(=) ?

Ich habe noch ein Problem dass ich festgestellt habe dass sich z.B: ww.google.de öffnen lässt aber z.B. www.gmx.net nicht bzw. nur teilweise? Genauso www.administrator.de öffnet sich überhaupt nicht.

Kann dieses an dem DNS liegen? Es wird eine IPV4 Adresse angezeigt aber kein ping?

Muss man diese Packages wirklich bestellen? ( In der Anleitung liest sich dass nicht so als müsste man das) Ich höre davon auch im Zusammenhang mit Cisco zum ersten mal?

Kann man diese irgendwie anders einspielen?

Was kosten dieses SL-900-SEC(=) SL-900-SECNPE(=) ?

Die Fehlermeldung zu ip ? und ip inspect ? werde ich noch reinstellen.
Member: Windows10Gegner
Windows10Gegner Aug 14, 2021 at 20:07:32 (UTC)
Goto Top
Zeige vom Router
ping 9.9.9.9
ping 2001:470:20::2
Vom PC ebenfalls.
Member: mariocisco
mariocisco Aug 14, 2021 updated at 20:11:05 (UTC)
Goto Top
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/98628-zone-design-guide.html#intro

also hier steht nichts davon dass die ZFW etwas kostet.

dort lautet es:
Introduction
Cisco IOS® Software Release 12.4(6)T introduced Zone-Based Policy Firewall (ZFW), a new configuration model for the Cisco IOS Firewall feature set. This new configuration model offers intuitive policies for multiple-interface routers, increased granularity of firewall policy application, and a default deny-all policy that prohibits traffic between firewall security zones until an explicit policy is applied to allow desirable traffic.

Nearly all classic Cisco IOS Firewall features implemented before Cisco IOS Software Release 12.4(6)T are supported in the new zone-based policy inspection interface: ...

Kann es also sein da ich Version 15+ schon habe dieses darin enthalten habe?

@Windows10Gegner : Mache ich auch noch

Eine andere Frage wenn ich für die Konsolenschnittstelle ein PW einrichte . Warum fragt der ROuter nach dem User? Auch wenn ich einen eingerichtet habe funktioniert es nicht. ( Ich bin ja nicht bescheuert)
Member: Windows10Gegner
Windows10Gegner Aug 14, 2021 at 20:17:25 (UTC)
Goto Top
Eine andere Frage wenn ich für die Konsolenschnittstelle ein PW einrichte . Warum fragt der ROuter nach dem User? Auch wenn ich einen eingerichtet habe funktioniert es nicht. ( Ich bin ja nicht bescheuert)
Zeige dazu bitte deine Konfig.
Member: mariocisco
mariocisco Aug 15, 2021 at 11:34:01 (UTC)
Goto Top
Hier die pings vom ROuter und vom PC:
1.
Windows10Gegner 14.08.2021 um 22:07:32 Uhr
MARKIERE ALS 'LÖSUNG'  
Goto Top
Zeige vom Router
ping 9.9.9.9
ping 2001:470:20::2
Vom PC ebenfalls.


PC: 

C:\Users\Computer>ping 9.9.9.9

Ping wird ausgeführt für 9.9.9.9 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 9.9.9.9:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

C:\Users\Computer>ping 2001:470:20::2

Ping wird ausgeführt für 2001:470:20::2 mit 32 Bytes Daten:
Antwort von 2001:470:20::2: Zeit=6ms
Antwort von 2001:470:20::2: Zeit=6ms
Antwort von 2001:470:20::2: Zeit=6ms
Antwort von 2001:470:20::2: Zeit=6ms

Ping-Statistik für 2001:470:20::2:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 6ms, Maximum = 6ms, Mittelwert = 6ms

Vom ROuter:

Cisco_Router_B#ping ipv6 2001:470:20::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:470:20::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms

Cisco_Router_B#ping 9.9.9.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 9.9.9.9, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 14/14/16 ms

2.ALso hier einmal die RUnning Config es funktioniert nur www.bing.com und z.B: www.bild.de oder www.tagesschau.de wenn ich www.administrator.de versuche zu öffnen funktioniert es nicht.

Cisco_Router_B(config-line)#do sh run
Building configuration...

Current configuration : 3839 bytes
!
! Last configuration change at 17:19:04 CEST Sat Aug 14 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 123456
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
no ip domain lookup
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn FGL2517LEU1
!
username admin password 123456 privilege 15
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username CISCO@DSL.com password 7 KENNWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
!
!
!
control-plane
!
!
line con 0
 password 7 123456
line 4
 no activation-character
 transport preferred none
 transport output all
 stopbits 1
line vty 0 4
 transport input none
line vty 5 14
 transport input none
!
scheduler allocate 20000 1000
!
end
Member: Windows10Gegner
Windows10Gegner Aug 15, 2021 at 11:43:34 (UTC)
Goto Top
Am PC geht kein IPv4, ergo gehen Server, die nur per IPv4 erreichbar sind (wie administrator.de) nicht.
Schau dir am PC die IPv4-Routingtabelle an und gehe mit traceroute an die Sache.
Member: aqui
aqui Aug 16, 2021 updated at 11:31:36 (UTC)
Goto Top
Muss man diese Packages wirklich bestellen?
Warum liest du mal wieder nicht die dir oben geposteten Infos ??? face-sad
liccisco
Zumindestens die ZFW Firewall Funktion ist NICHT Teil der Base IP Lizenz.
Für die ZFW benötigst du, sofern du sie nutzen willst, also in jedem Falle die zusätzliche SEC Lizenz !

Zwingend ist das aber nicht und du brauchst es nicht unbedingt....der Router funktioniert natürlich auch ohne. Allerdings sind reine ACLs nicht stateful.
Zumindestens die CBAC Firewall sollte (eigentlich) Bestandteil der IP Base Lizenz sein aber das müsste man nochmal genau klären.
Sollte die CBAC Funktion in der Base IP Lizenz auch nicht enthalten sein (kannst du ganz einfach an der Verfügbarkeit der ip inspect xyz Kommandos im Kommando Parser klären !!) dann kannst du immer noch mit den klassischen Access Listen problemlos arbeiten. Mehr oder minder machst du das ja derzeit auch so, vermutlich aber dann mit einer fehlerhaften ACL.
Ohne CBAC oder ZFW Firewall Konfig müsste man aber die ACL 111 des Konfig Beispiels im hiesigen Cisco Tutorial etwas anpassen, denn diese geht immer von einer CBAC bzw. ZFW Konfig aus !!
Für IPv6 ist das extrem wichtig das dort eine wasserdichte ACL definiert ist denn hier fehlt wegen des in v6 nicht vorhandenen NAT (Adress Translation) ohne entsprechende ACL der Schutz. Du hängst dann zumindest per v6 völlig ungeschützt im Internet !!! Zumindestens im privaten LAN Segment (vlan 1) solltest du, bevor dort nicht eine wasserdichte v6 ACL aktiv ist, besser mit no ipv6 enable die Nutzung von IPv6 deaktivieren aus Sicherheitsgründen !!

Vermutlich spielt dir also die oben schon erwähnte Dual Stack Problematik (Manche Ziel wie z.B. administrator.de sind rein nur per v4 erreichbar) oder eine fehlerhaft konfigurierte ACL auf deinem Router dann einen Streich.
Kollege @Windows10Gegner hat es oben ja schon anschaulich an einer Live Config erklärt warum das so ist oder sein kann.
Fazit: Passe das an, dann klappt es auch mit allen Webseiten ! face-wink
Member: mariocisco
mariocisco Aug 16, 2021 at 13:10:45 (UTC)
Goto Top
wenn ich keine ACL hab um zu testen muss dann das ip access-group 111 in unter in dialer 0 raus? Oder wie angepasst werden?

Oder ist der Eintrag doch noch in Ordnung wenn keine ACL eingetragen wird? ( ich will es ja ohne testen)


2. TRACERT VON PC ZU www.administrator.de 

C:\Users\PC>tracert www.administrator.de

Routenverfolgung zu www.administrator.de [82.149.225.19]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  DOMÄNENNEMAE [LOKALE IP ADRESSE]
  2     5 ms    43 ms     4 ms  loopback1.0003.acln.01.off.de.net.telefonica.de [62.52.200.220]
  3     5 ms     5 ms     5 ms  bundle-ether13.0001.dbrx.01.off.de.net.telefonica.de [62.53.12.4]
  4     5 ms     5 ms     5 ms  bundle-ether1.0002.prrx.01.off.de.net.telefonica.de [62.53.28.171]
  5     6 ms     5 ms     5 ms  10GE-7-1.DECIX1.FRA.IAG.EU [80.81.194.46]
  6     6 ms     5 ms     5 ms  83-141-0-181.static.aixit.com [83.141.0.181]
  7     5 ms     5 ms     5 ms  83.141.5.38
  8    34 ms    33 ms    33 ms  www.administrator.de [82.149.225.19]

Ablaufverfolgung beendet.

3.

Cisco_Router_B(config)#do traceroute www.adminstrator.de
Translating "www.adminstrator.de"...domain server (62.109.121.1)  

Translating "www.adminstrator.de"...domain server (62.109.121.1) [OK]  

Type escape sequence to abort.
Tracing the route to www.adminstrator.de (72.52.179.174)
VRF info: (vrf in name/id, vrf out name/id)
  1 loopback1.0001.acln.01.off.de.net.telefonica.de (62.52.200.218) 6 msec 32 ms                                 ec 6 msec
  2 bundle-ether11.0002.dbrx.01.off.de.net.telefonica.de (62.53.11.254) 6 msec
    bundle-ether11.0001.dbrx.01.off.de.net.telefonica.de (62.53.11.252) 8 msec
    bundle-ether11.0002.dbrx.01.off.de.net.telefonica.de (62.53.11.254) 6 msec
  3 bundle-ether2.0002.prrx.01.off.de.net.telefonica.de (62.53.28.179) 6 msec
    bundle-ether1.0002.prrx.01.off.de.net.telefonica.de (62.53.28.171) 8 msec
    bundle-ether2.0001.prrx.01.off.de.net.telefonica.de (62.53.28.177) 6 msec
  4 176.52.252.34 6 msec
    176.52.252.32 8 msec 12 msec
  5 5.53.4.29 8 msec
    be12956.agr41.fra03.atlas.cogentco.com (130.117.14.117) 8 msec
    5.53.4.29 8 msec
  6 be12956.agr41.fra03.atlas.cogentco.com (130.117.14.117) 8 msec 6 msec 8 msec
  7 be2813.ccr41.ams03.atlas.cogentco.com (130.117.0.121) 12 msec 14 msec 14 mse                                 c
  8 be12265.ccr41.par01.atlas.cogentco.com (130.117.2.142) 114 msec
    be2814.ccr42.ams03.atlas.cogentco.com (130.117.0.141) 12 msec
    be2183.ccr22.lpl01.atlas.cogentco.com (154.54.58.69) 112 msec
  9 be2183.ccr22.lpl01.atlas.cogentco.com (154.54.58.69) 112 msec
    be3043.ccr22.ymq01.atlas.cogentco.com (154.54.44.166) 114 msec
    be2490.ccr42.jfk02.atlas.cogentco.com (154.54.42.85) 112 msec
 10 be2490.ccr42.jfk02.atlas.cogentco.com (154.54.42.85) 114 msec
    be2890.ccr22.cle04.atlas.cogentco.com (154.54.82.245) 112 msec 112 msec
 11 be2889.ccr21.cle04.atlas.cogentco.com (154.54.47.49) 114 msec
    be2993.ccr21.cle04.atlas.cogentco.com (154.54.31.225) 112 msec
    be2717.ccr41.ord01.atlas.cogentco.com (154.54.6.221) 110 msec
 12 be2765.ccr41.ord03.atlas.cogentco.com (154.54.45.18) 112 msec
    be2717.ccr41.ord01.atlas.cogentco.com (154.54.6.221) 112 msec
    be2765.ccr41.ord03.atlas.cogentco.com (154.54.45.18) 112 msec
 13 be2765.ccr41.ord03.atlas.cogentco.com (154.54.45.18) 112 msec 112 msec
    be2718.ccr42.ord01.atlas.cogentco.com (154.54.7.129) 112 msec
 14 38.32.96.98 106 msec 106 msec
    lw-dc3-core1-eth2-19.rtr.liquidweb.com (209.59.157.244) 118 msec
 15 lw-dc3-core2.rtr.liquidweb.com (209.59.157.50) 116 msec
    69.167.128.153 116 msec
    38.32.96.98 110 msec
 16  *  *
    lw-dc3-core1-eth2-19.rtr.liquidweb.com (209.59.157.244) 120 msec
 17  *  *  *
 18  *  *  *
 19  *  *  *
 20  *  *  *
 21  *  *  *
 22  *  *  *
 23  *  *  *
 24  *  *  *
 25  *  *  *
 26  *  *  *
 27  *  *  *
 28  *  *  *
 29  *  *  *
 30  *  *  *

4. ping vom Router
Cisco_Router_B(config)#do ping www.administrator.de
Translating "www.administrator.de"...domain server (62.109.121.1)  

Translating "www.administrator.de"...domain server (62.109.121.1) [OK]  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 82.149.225.19, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 6/6/8 ms

5.Bei ping auf www.administrator.de Zeitüberschreitung der Anforderung

C:\Users\PC>ping www.google.de

Ping wird ausgeführt für www.google.de [2a00:1450:4001:827::2003] mit 32 Bytes Daten:
Antwort von 2a00:1450:4001:827::2003: Zeit=6ms
Antwort von 2a00:1450:4001:827::2003: Zeit=6ms
Antwort von 2a00:1450:4001:827::2003: Zeit=6ms
Antwort von 2a00:1450:4001:827::2003: Zeit=6ms

Ping-Statistik für 2a00:1450:4001:827::2003:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 6ms, Maximum = 6ms, Mittelwert = 6ms

Stand 15:10 ich schicke die Routing Tabelle vom PC noch zu. ( habe ich zu dem Zeitpunkt vergessen)
Member: Windows10Gegner
Windows10Gegner Aug 16, 2021 at 13:25:38 (UTC)
Goto Top
ip access-group 111 in unter in dialer 0 raus?
Dann ist diese ACL da nicht aktiv, teste das mal.
Member: mariocisco
mariocisco Aug 16, 2021 at 14:36:23 (UTC)
Goto Top
hier die notwendigen Daten vllt. könnt ihr mir helfen


2. Cisco_Router_B#ip ?
  dhcp  DHCP related commands
  sla   SLA

3.
Cisco_Router_B#ip inspect?
% Unrecognized command

Cisco_Router_B(config)#ip inspect ?
% Unrecognized command

4. 

C:\Users\Mario>route print
===========================================================================
Schnittstellenliste
 13...MAC ADRESSE ......Qualcomm Atheros AR9285 Wireless Network Adapter
 16...MAC ADRESSE......Microsoft Wi-Fi Direct Virtual Adapter
  4...MAC ADRESSE......Microsoft Wi-Fi Direct Virtual Adapter #2
  3...MAC ADRESSE ......Qualcomm Atheros AR8132 PCI-E Fast Ethernet Controller (NDIS 6.30)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0  192.168.100.254  192.168.100.150     35
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
    192.168.100.0    255.255.255.0   Auf Verbindung   192.168.100.150    291
  192.168.100.150  255.255.255.255   Auf Verbindung   192.168.100.150    291
  192.168.100.255  255.255.255.255   Auf Verbindung   192.168.100.150    291
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.100.150    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.100.150    291
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  3    291 ::/0                     fe80::faa7:3aff:fef9:2ce0
  1    331 ::1/128                  Auf Verbindung
  3    291 2a01:c22:d06e:b701::/64  Auf Verbindung
  3    291 2a01:c22:d06e:b701:2036:4e59:73c0:a1c0/128
                                    Auf Verbindung
  3    291 2a01:c22:d06e:b701:c161:3b5:7509:277/128
                                    Auf Verbindung
  3    291 fe80::/64                Auf Verbindung
  3    291 fe80::2036:4e59:73c0:a1c0/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
  3    291 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine
Member: Windows10Gegner
Windows10Gegner Aug 16, 2021 at 15:05:02 (UTC)
Goto Top
2. Cisco_Router_B#ip ?
Das muss im Config-Modus passieren.
Member: aqui
aqui Aug 16, 2021 updated at 15:53:02 (UTC)
Goto Top
Das muss im Config-Modus passieren.
Sollte der TO aber mittlerweile nun langsam mal wissen das man dazu erst conf t (configure terminal) eingeben muss um in den Config Mode zu kommen !!
Guckst du dazu auch hier: https://www.coufal.info/cisco_ios/
wenn ich keine ACL hab um zu testen muss dann das ip access-group 111 in unter in dialer 0 raus?
Ja, Kollege @windows10gegener hat es ja schon gesagt.
Zumindestens für IPv4 bist du dann mal ohne jegliche Restriktionen aber die NAT Firewall schützt dich zumindestens für IPv4. Was aber natürlich NICHT heissen sollte das du das dann produktiv so lassen solltest.
Zumindestens für IPv6 solltest du zwingend einen ACL installieren die rein nur established Connections erlaubt so das inbound via WAN keinerlei v6 Sessions etabliert werden können.

Was die Traceroute Ergebnisse anbetrifft sieht das ganz OK aus. Viele Provider blocken ICMP auf ihren Router so das die Traceroute Hops dann ins Leere laufen und *** erzeugen. Das ist normal. Um das zu überwinden müsste man ein TCP basiertes Traceroute nutzen.
Einzig relevant ist aber der erforlgreiche Ping auf administrator.de der eindeutig zeigt das das Ziel ja erreichbar ist.
Member: Windows10Gegner
Windows10Gegner Aug 16, 2021 at 16:02:26 (UTC)
Goto Top
Zumindestens für IPv6 solltest du zwingend einen ACL installieren die rein nur established Connections erlaubt so das inbound via WAN keinerlei v6 Sessions etabliert werden können.
Wobei man das zu Diagnosezwecken auch mal temporär lassen kann, sofern auf den Rechner keine Dienste laufen können nämlich auch keine Verbindungen aufgebaut werden.
Man kann aber mit
sh access-lists
die ACLS samt Zählern zeigen.
Da dann auf deny achten.
Member: mariocisco
mariocisco Aug 16, 2021 updated at 21:43:41 (UTC)
Goto Top
1. @windows10 Gegnger wenn man im conf t ip ? eingibt erscheinen wie sonst auch kommandos aber inspect ist nicht aufgeführt.

2. Cisco_Router_B(config)#ip inspect ?
% Unrecognized command

3. Ich kann mit und ohne das ip access-group 111 in bei int dialer 0 keinen Unterschied erkennen.

4. einige Seiten funktionieren , andere nicht. tracert auf www.administrator.de endet mit Zeitüberschreitung., dieser endet am eigenen Gateway 192.168.100.254

5. sh access-list
bringt kein Ergebnis weil leer.

6. im Netz meiner Fritzbox funktioniert der tracert
C:\Users\PC>tracert www.administrator.de

Routenverfolgung zu www.administrator.de [82.149.225.19]
über maximal 30 Hops:

1 <1 ms <1 ms <1 ms fritz.box [192.168.178.1]
2 46 ms 6 ms 6 ms loopback1.0004.acln.02.fra.de.net.telefonica.de [62.52.201.195]
3 7 ms 7 ms 6 ms bundle-ether31.0004.dbrx.02.fra.de.net.telefonica.de [62.53.0.228]
4 7 ms 7 ms 7 ms bundle-ether2.0005.prrx.02.fra.de.net.telefonica.de [62.53.9.53]
5 8 ms 7 ms 7 ms 10GE-7-1.DECIX1.FRA.IAG.EU [80.81.194.46]
6 7 ms 7 ms 7 ms 83-141-0-181.static.aixit.com [83.141.0.181]
7 7 ms 7 ms 7 ms 83.141.5.38
8 9 ms 7 ms 7 ms www.administrator.de [82.149.225.19]

Ablaufverfolgung beendet.

7. Bezüglich des tracert TCP welches Programm benutzt ihr? tcproute und tracertcp funktionieren beide nicht? tcproute lässt sich nicht starten und tracertcp schreibt es sind über 30 hops-

8. @ aqui 16.08.2021 aktualisiert um 17:53:02 Uhr
Was ist TO?

Es kann doch nichts gravierendes sein oder etwa doch ? Ich war so froh da ich geglaubt habe es funktioniert alles aber anscheinend doch nicht face-sad. Hoffentlich könnt ihr mir helfen.

9. muss unter umständen etwas wie ip route 0.0.0.0 0.0.0.0 eingetragen werden?
Member: Windows10Gegner
Windows10Gegner Aug 16, 2021 at 21:07:17 (UTC)
Goto Top
1. @windows10 Gegnger wenn man im conf t ip ? eingibt erscheinen wie sonst auch kommandos aber inspect ist nicht aufgeführt.
Dann kannst du es nicht nutzen.

4. einige Seiten funktionieren , andere nicht. tracert auf www.administrator.de endet mit Zeitüberschreitung.
Bitte posten, vor allem wo es hängt.

Was ist TO?
Thread Owner, hier bist du gemeint.
Member: aqui
aqui Aug 17, 2021 updated at 08:08:24 (UTC)
Goto Top
erscheinen wie sonst auch kommandos aber inspect ist nicht aufgeführt.
Bedeutet dann das auch die CBAC Firewall Funktion einzig nur mit der "SL-900 SEC" Lizenz nutzbar ist ! Wenn es dir nicht zu teuer ist und du den Router etwas sicherer haben willst solltest du die noch erwerben und einspielen.
Ich kann mit und ohne das ip access-group 111 in bei int dialer 0 keinen Unterschied erkennen.
Die ACL 111 aus dem Beispiel ist wie oben schon mehrfach gesagt rein nur auf die CBAC Firewall Konfig bezogen. Sie ist bei einer reinen ACL Nutzung wie du sie anstrebst überflüssig bzw. müsste auf reinen ACL Betrieb angepasst werden. Deshalb ist sie in deinem Setup ohne Funktion bzw. kontraproduktiv und du kannst sie auch ganz weglassen.
tracert auf www.administrator.de endet mit Zeitüberschreitung.,
Ist vermutlich normal, da einige Provider ICMP auf ihren Routern generell filtern und deshalb die ICMP time exceed Message fehlt. Da bleibt Traceroute dann hängen. Traceroute nutzt das ICMP_Protokoll. Über einen T-COM VDSL Anschluss ist admin.de auch nicht traceroutebar vom Cisco CLI. Das ist also normal und erwartbar.Entscheidend ist das du administrator.de als Ziel vom Router pingen kannst, was ja die Erreichbarkeit wasserdicht verifiziert !
muss unter umständen etwas wie ip route 0.0.0.0 0.0.0.0 eingetragen werden?
Nein, jedenfalls nicht solange du ppp ipcp route default als Kommando im Dualer 0 Interface stehen hast. Das bewirkt das dir die vom Provider per PPPoE übermittelte Route in deiner Routing Tabelle automatisch eingetragen wird was eine statische Default Route überflüssig macht.
Solche Banalitäten musst du auch nicht fragen sondern ein einfaches show ip route und auch ein erfolgreicher Ping einer Internet IP wie 8.8.8.8 zeigt dir die korrekte Default Route auch an. face-wink
Es kann doch nichts gravierendes sein oder etwa doch ?
Nein ist es auch nicht.
Als erste ToDos solltest du folgendes machen:
  • IPv6 disablen auf den lokalen LAN Interfaces Privat und Gast
  • ACLs auf dem Dialer Interface entfernen
  • Prüfen das die MTU und MSS einstellungen auf Dialer 0 und den lokalen LAN Interface korrekt sind laut Tutorial.
Damit sollte dann fehlerfreier Betrieb möglich sein.

Wenn es dennoch hakt benötigen wir hier mit show run deine aktuell laufende Konfig auf dem System !
Achte auch darauf das du dem Router die aktuelle Firmware geflasht hast !!!
https://software.cisco.com/download/home/286315020/type/280805680/releas ...
Aktuell ist die 15.9.3M2 bzw. der latest Patch mit der 15.9.3M4. Den M4 Patch solltest du wenn möglich verwenden.
Member: Windows10Gegner
Windows10Gegner Aug 17, 2021 at 08:37:26 (UTC)
Goto Top
IPv6 disablen auf den lokalen LAN Interfaces Privat und Gast
Aber nur temporär zur Diagnose vom IPv4-Problem.
Danach wieder aktivieren.

Prüfen das die MTU und MSS einstellungen auf Dialer 0 und den lokalen LAN Interface korrekt sind laut Tutorial.
MSS wird hier gar nicht das Problem sein, denn das gilt nur für TCP und ist eigentlich ja nicht dafür vorgesehen, für was es da genutzt wird.
Member: aqui
aqui Aug 17, 2021 at 09:51:15 (UTC)
Goto Top
MSS wird hier gar nicht das Problem sein, denn das gilt nur für TCP
Ist aber essentiell für die Erreichbarkeit einzelner Webseiten also HTTP und HTTPS was ja bekanntlich auf TCP basiert. Siehe dazu auch hier.
Ohne ein korrektes Setzen der MTU auf dem PPPoE Dialer und korrespondierendem MSS Setting der lokalen LAN Segmente kommt es zu so einem Verhalten wie beim TO das manche Webseite erreichbar sind und manche nicht.
Für ICMP ist es nicht relevant, das ist richtig.
Member: Windows10Gegner
Windows10Gegner Aug 17, 2021 at 09:56:35 (UTC)
Goto Top
Wobei das MSS-Clamping nur ein unschöner Workaround für Netze ist, in denen ICMP blockiert wird und damit Path-MTU-Discovery nicht geht.
ICMP sollte immer zugelassen werden.
Member: mariocisco
mariocisco Aug 17, 2021 updated at 23:36:47 (UTC)
Goto Top
Das Problem mit dem anmelden ist weiterhin da.

Ich kann auch mit Kennwort 1234 auf der line con 0 mich nicht mehr anmelden?

Welchen User nimmt man dann?

Selbst wenn ich den User admin anlege und login local eingebe so funktioniert es nicht oder mache ich was falsch?

Wie würdet ihr NUR den LOGIN auf der LINE CON 0 einrichten mit Kennwort selbterklärend?

Nicht einmal der exec-timeout funktioniert. Stelle ich ihn auf maximum so ist er sehr schnell wieder zurückgesetzt.

Angenommen ich hätte nichts an den Standardeinstellungen verändert und ich verlasse den PC welcher seriell angeschlossen ist für einen mom. und nun werde ich nach einem Kennwort gefragt. Welchen User und welches Kennwort müsste ich nehmen?
Member: Windows10Gegner
Windows10Gegner Aug 18, 2021 at 05:26:54 (UTC)
Goto Top
Nicht einmal der exec-timeout funktioniert. Stelle ich ihn auf maximum so ist er sehr schnell wieder zurückgesetzt.
Hast du auch wr gemacht?

Damit wir dir hier helfen können postest du bitte
wr
sh run
und änderst danach gar nichts mehr an der Konfiguration bis du eine Antwort bekommen hast. Wir können uns sonst kein Bild davon machen, wie es bei dir aussieht.
Member: aqui
aqui Aug 18, 2021 updated at 09:16:28 (UTC)
Goto Top
Kollege @Windows10Gegner hat absolut Recht !! Du hast vermutlich vergessen deine geänderte Konfig zu sichern mit dem Kommando wr ?!
Unterbleibt das, sind alle Konfig Änderungen nach einem Reboot verloren !
Für ein richtiges Login auf der Konsole muss deine Konfig so aussehen:
!
aaa new-model
aaa authentication login default local
aaa authorization exec default local
!
username admin privilege 15 password Geheim1234
username keinadmin password test1234
!
line con 0
line aux 0
line vty 0 4
transport input none
!

Wenn du möchtest das der Konsol User direkt in den Privileged Mode gehen soll beim Login musst du con 0 entsprechend setzen:
line con 0
privilege level 15

So ist KEIN Login über Telnet oder SSH (z.B. PuTTY) möglich und einzig nur der Zugang über die serielle Konsole am Router möglich.
Normal recht unbequem für einen Netzwerk Admin, denn du musst für jegliche Konfig Änderung immer umständlich an den Router ran mit der seriellen Konsole.
Zumindestens SSH sollte man sich aktivieren das man auch so überall vom Netzwerk via SSH Terminal (z.B. PuTTY) bequem zugreifen kann ohne physisch am Router sein zu müssen.
Die VTY Konfig muss dann wie folgt geändert werden:
line vty 0 4
transport input ssh

In deiner Konfig fehlt die Konfiguration des Usernamen und Passwort, deshalb schlägt der Konsolen Login fehl !
Ob du als Usernamen "admin" oder "franz" oder "grossermeister" wählst mit Passwort ist deine eigene kosmetische Entscheidung.

Ansonsten gilt was oben schon gesagt wurde: Bitte anonymisiert deine aktuelle Konfig mit sh run hier posten damit wir uns ein Bild machen können. Andernfalls drehen wir uns alle hier nur sinnfrei und genervt im Kreis !! face-sad
Member: mariocisco
mariocisco Aug 18, 2021 at 13:08:41 (UTC)
Goto Top
Entschudligt bitte das posten der aktuellen Konfiguration .

Ich hatte dieses eigentlcih schon erledigt vermutlich hatte das Forum dieses nicht übernommen weil ich erst das eine und dann das andere eingegeben habe. Das die config nach einem neustart nicht mehr drin wäre ist mir ja klar. Was aber bei dem Problem mit dem Login eher hilfreich wäre als störend.

Hier die RUnning Config:

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$CA31$WcJ8fA82Xv3YfcMjrwA540
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
no ip domain lookup
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn SERIENNUMMER
!
!
username admin password 7 123456
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
 shutdown
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 no keepaliveexit
 ppp authentication pap callin
 ppp pap sent-username DSL@cisco.com password 7 KENNWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
!
tftp-server flash:/firmware/vadsl_module_img.bin
!
!
!
control-plane
!
!
line con 0
 password 7 123456
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
line vty 5 14
 transport input none
!
scheduler allocate 20000 1000
!
end
Member: aqui
aqui Aug 18, 2021 at 13:34:15 (UTC)
Goto Top
OK, hier die Fehler...
  • "no ip domain-lookup" solltest du mit ip domain lookup entfernen.
  • Das interface Ethernet0 darf NICHT auf Shutdown sein ! Das ist das physische Parent Interface zum Subinterface 0.7 ! Solltest du mit no shut aktiv lassen !
  • Die "no keepaliveexit" Konfig "Leiche" unbedingt entfernen vom Dialer 0 Interface.
  • Ebenso das überflüssige "tftp-server flash:/f..." Kommando. Einen TFTP Server sollte man niemals offen auf dem Router laufen lassen !

Ansonsten ist die Konfig soweit OK und sollte fehlerlos laufen.
Bedenke das du so nur mit der NAT Firewall unterwegs bist !
Member: mariocisco
mariocisco Aug 18, 2021 at 15:58:36 (UTC)
Goto Top
ahh es müsste demnach warscheinlich das shutdown auf dem ethernet 0 interface gewesen sein aber funktioniert es dann ohne die lokalen ipv6 Einstellungen?

Ich werde es dann so noch einmal probieren .

Oder müssen die ipv6 lokal einstellungen rein? ( welche ich ja raus nehmen sollte)
Member: aqui
aqui Aug 18, 2021 at 17:16:34 (UTC)
Goto Top
aber funktioniert es dann ohne die lokalen ipv6 Einstellungen?
Ja, du machst dann halt immer nur IPv4 only was zum Testen auch erstmal richtig ist und besser du lässt sie erstmal raus.
Member: mariocisco
mariocisco Aug 19, 2021 updated at 01:34:20 (UTC)
Goto Top
Also jetzt ist er zwar Online aber es funktioniert trotzdem nicht wenn ich die ipv6 Einstellungen wieder Lokal einfüge funktioniert es wie vorher nur so naja was ich oben beschrieben habe. Suchmaschinen ja z.B. youtube aber sonst nichts. Was stimmt bei der Einstellung nicht , ich dachte es müsste funktionieren?

Hier die Config mit den fehlenden ipv6 Einstellungen und den Änderungen.

Building configuration...

Current configuration : 3592 bytes
!
! Last configuration change at 02:36:38 CEST Thu Aug 19 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$MEJ0$6XGsN0HAqwKbtkHX8RS.W1
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
no ip domain lookup
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
 dns-server 2620:119:53::53
 domain-name mario.domain
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn Seriennummer
!
!
username admin privilege 15 password 7 014254570F5E50
username keinadmin password 7 1543595F507F7D
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 ppp authentication pap callin
 ppp pap sent-username DSL@cisco.com password 7 120A530D085A0F0D2E312B
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
!
!
!
!
control-plane
!
!
line con 0
 privilege level 15
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
line vty 5 14
 transport input none
!
scheduler allocate 20000 1000
!
end

Hier die Pings die nicht funktioniert haben? Auch die ip int brief Daten usw.

Cisco_Router_B#sh ipv6 int brief
ATM0                   [administratively down/down]
    unassigned
Dialer0                [up/up]
   IPV6 Adresse 
   IPV6 Adresse
Ethernet0              [up/up]
    unassigned
Ethernet0.7            [up/up]
    unassigned
GigabitEthernet0       [down/down]
    unassigned
GigabitEthernet1       [down/down]
    unassigned
GigabitEthernet2       [down/down]
    unassigned
GigabitEthernet3       [up/up]
    unassigned
GigabitEthernet4       [down/down]
    unassigned
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::FAA7:3AFF:FEF9:2CE7
Vlan1                  [down/down]
    unassigned
Vlan2                  [down/down]
    unassigned
Cisco_Router_B#
Cisco_Router_B#


3.



Cisco_Router_B(config)#do sh ip int brief
Interface                  IP-Address      OK? Method Status                Prot               ocol
ATM0                       unassigned      YES unset  administratively down down               
Dialer0                    ipv4 Adresse    YES IPCP   up                    up                 
Ethernet0                  unassigned      YES unset  up                    up                 
Ethernet0.7                unassigned      YES unset  up                    up                 
GigabitEthernet0           unassigned      YES unset  down                  down               
GigabitEthernet1           unassigned      YES unset  down                  down               
GigabitEthernet2           unassigned      YES unset  up                    up                 
GigabitEthernet3           unassigned      YES unset  down                  down               
GigabitEthernet4           unassigned      YES unset  administratively down down               
NVI0                       192.168.2.100   YES unset  up                    up                 
Virtual-Access1            unassigned      YES unset  up                    up                 
Virtual-Access2            unassigned      YES unset  up                    up                 
Vlan1                      192.168.100.254 YES manual up                    up                 
Vlan2                      172.16.100.254  YES manual down                  down     


4. Kein Ping auch Router zu IP nicht? Kein Internet Kein ping zu websites?

Cisco_Router_B(config)#do ping 172.16.150.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.150.100, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Cisco_Router_B(config)#do ping 172.16.100.150
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.150, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Cisco_Router_B(config)#do ping 172.16.100.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Cisco_Router_B(config)#do ping 172.16.100.150
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.150, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

5. 

C:\Users\PC>ping www.google.de
Ping-Anforderung konnte Host "www.google.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.  


6. Kein ping möglich warum?


Translating "www.google.de"  
% Unrecognized host or address, or protocol not running.

.....
Success rate is 0 percent (0/5)
Cisco_Router_B(config)#do ping ipv6 www.google.de
Translating "www.google.de"  
% Unrecognized host or address, or protocol not running.

Cisco_Router_B(config)#do ping www.google.de
Translating "www.google.de"  

Hat jmd. die Konfiguration am laufen und kann diese vielleicht mal posten?
So langsam glaube ich es bringt nichts oder doch?

Was muss noch gemacht werden dass mit den ipv6 Einstellungen alle Seiten und Dienste laufen?
Member: Windows10Gegner
Windows10Gegner Aug 19, 2021 at 05:39:48 (UTC)
Goto Top
Wie du siehst ist dein IPv4 gestört, nicht IPv6.

Vlan2 172.16.100.254 YES manual down down
Down bedeutet, hat keinen Link. Prüfe, was da los ist.
So kann die Verbindung natürlich nicht gehen.
Member: aqui
aqui Aug 19, 2021 updated at 07:42:19 (UTC)
Goto Top
Also jetzt ist er zwar Online aber es funktioniert trotzdem nicht
WAS genau funktioniert denn nicht ?? Kannst du keinerlei IPv4 Adressen wie z.B. 8.8.8.8 vom Cisco CLI pingen. Es wäre hilfreich für alle hier die helfen wollen wenn du etwas detailierter werden könntest ! face-sad

Kollege @Windows10Gegner hat absolut Recht das du ein massives Problem mit deinem IPv4 Zugang hast. Da ist es dann völlig klar das du diverse Webseiten nicht erreichen kannst, nämlich diese die rein nur mit IPv4 erreichbar sind.
Also normales und erwartbares Verhalten also wenn du keine IPv4 Connectivity hast !!

Nur nochmal doof nachgefragt: Du bist sicher das dein Provider Anschluss kein DS-Lite_Anschluss ist ??
Du hast es bis dato ja leider noch nicht geschafft hier einmal mit einem show ip int brief Output zu zeigen ob du eine öffentliche IPv4 Adresse am WAN Port bekommen hast. Das würde zumindestens ansatzweise klären ob du an einem DS-Lite Anschluss hängst oder einem normalen Dual Stack Anschluss.
Nur nochmal zur Klarstellung: Die o.a. Cisco Konfig ist keine DS-Lite Konfig sondern geht von einem ganz normalen Dual-Stack Anschluss aus. Solltest du an einem DS-Lite Anschluss hängen musst du natürlich die IPv4 Konfiguration anpassen !
Kläre das bitte nochmal wasserdicht mit deinem Anbieter (Hotline usw.) bevor wir uns hier alle im Kreis drehen und uns einen Wolf suchen !!
Member: mariocisco
mariocisco Aug 19, 2021 at 14:48:39 (UTC)
Goto Top
@ Windows10Gegner 19.08.2021 um 07:39:48 Uhr
Text, 
ich kann doch nur im Gast oder im normalen LAN sein also VLAN 1 oder VLAN 2 oder nicht? Kann es sein dass das switchport access vlan 2 bei gig ethernet 2 nicht das einzigste ist dass auch bei einem anderne Port z.B. dem Gig4 switchport access vlan 1 hinzufüge kann es das sein?

@aqui 19.08.2021 aktualisiert um 09:42:19 Uhr
Text, 
ich habe den Eintrag durch den EIntrag ipv4 Adresse ersetzt im int Dialer0 und es gibt den sh ip int brief Eintrag. Laut meinem Anbieter habe ich DualStack ( Wie kann man dass an einem laufenden Anschluss noch einmal ausschliessen , vllt sollte ich mal zum testen es anderes ausprobieren als DS_lite? ) . Bitte schauen bei meinem vorherigen Beitrag dort steht es geschrieben.

@alle
Text, 
Kann sein dass das fehlt

 access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any

unter dem IP ip nat inside source list 101 interface Dialer0 overload ?
darüber
Bei ip dns server <--- Muss hier eine ipv4 adresse eines externen DNS Servers rein?

Kann es sein dass mal das VLAN Tag 11 anstatt 7 ausprobiert werden muss oder ist dieses auch 100 % kein Problem.
Member: mariocisco
mariocisco Aug 21, 2021 at 15:27:35 (UTC)
Goto Top
100 % Dual Bestätigung telefonisch von O2. .

Den Rest poste ich umgehend wenn ich ipv6 herausgenommen habe.

Kennt jmd. das Problem das der Router sich nicht im Privileged oder Glboal COnfiguration Mode also SOftwaremäßig zurücksetzen lässt und die Config trotzdem noch aktiv ist obwohl sie es nicht sein sollte mit dem Befehel erase startup z.B. ?
Member: aqui
aqui Aug 22, 2021 updated at 09:35:12 (UTC)
Goto Top
100 % Dual Bestätigung telefonisch von O2. .
Perfekt ! 👍
Dann sollte einer sauberen Funktion nichts im Wege stehen. Deshalb der Rat erstmal mit "write erase" oder "era startup" den Router wieder nackig machen (Reset auf Werkseinstellung) und erstmal mit einer reinen IPv4 Konfiguration anfangen. Damit kannst du dann die reine IPv4 Connectivity sauber testen und verifizieren.
Klappt das alles erweiterst du auf IPv6 und den Dual Stack Betrieb. Das wäre die sinnvollste Vorgehensweise.
Member: mariocisco
mariocisco Aug 22, 2021 at 14:36:17 (UTC)
Goto Top
Also es hat leider nicht funktioniert , die selben Fehler .

1.Hier die Running config
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 Kennwort
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
no ip domain lookup
ip domain name mario.domain
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn SERIENNUMMER
!
!
username admin privilege 15 password 7 KENNWORT
username keinadmin password 7 KENNWORT
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username DSL@cisco.com password 7 PASSWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
!
!
!
!
!
control-plane
!
!
line con 0
 privilege level 15
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
line vty 5 14
 transport input none
!
scheduler allocate 20000 1000
!
end

2.Hier die Pings und sh ip int brief

Cisco_Router_B#sh ipv6 int brief
ATM0                   [administratively down/down]
    unassigned
Dialer0                [up/up]
    unassigned
Ethernet0              [up/up]
    unassigned
Ethernet0.7            [up/up]
    unassigned
GigabitEthernet0       [down/down]
    unassigned
GigabitEthernet1       [down/down]
    unassigned
GigabitEthernet2       [down/down]
    unassigned
GigabitEthernet3       [down/down]
    unassigned
GigabitEthernet4       [administratively down/down]
    unassigned
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    unassigned
Vlan1                  [down/down]
    unassigned
Vlan2                  [down/down]
    unassigned
Cisco_Router_B#sh ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
ATM0                       unassigned      YES unset  administratively down down
Dialer0                    IPV4 Adresse   YES IPCP   up                    up  
Ethernet0                  unassigned      YES unset  up                    up  
Ethernet0.7                unassigned      YES unset  up                    up  
GigabitEthernet0           unassigned      YES unset  down                  down
GigabitEthernet1           unassigned      YES unset  down                  down
GigabitEthernet2           unassigned      YES unset  down                  down
GigabitEthernet3           unassigned      YES unset  down                  down
GigabitEthernet4           unassigned      YES unset  administratively down down
NVI0                       192.168.2.100   YES unset  up                    up  
Virtual-Access1            unassigned      YES unset  up                    up  
Virtual-Access2            unassigned      YES unset  up                    up  
Vlan1                      192.168.100.254 YES manual down                  down
Vlan2                      172.16.100.254  YES manual down                  down
Cisco_Router_B#ping www.heise.de
Translating "www.heise.de"  
% Unrecognized host or address, or protocol not running.

Cisco_Router_B#ping www.google.de
Translating "www.google.de"  
% Unrecognized host or address, or protocol not running.

Cisco_Router_B#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 6/6/8 ms

C:\Users\PC>ping 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 8.8.8.8:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

C:\Users\PC>ping www.heise.de
Ping-Anforderung konnte Host "www.heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut.  

3. Wie gebe ich oder muss ich überhautp wenn ich ipv6 raus nehme den dns server eingeben ich kann den Befehl gar nicht verwenden? Oder muss man ihn irgendwie anders eingeben als ipv4 oder doch ipv6 Adresse?

4. Wofür ist ppp ipcp dns request ?

5. Kann es sein dass unterhalb


-->ip nat inside source list 101 interface Dialer0 overload
diese zwei Einträge fehlen?

access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any


Ich bin wirklich verzweifelt ich dachte dass wir den Fehler gefunden haben aber er ist trotz ipv4 immer noch da , dann muss doch etwas an der ipv4 Einstellung nicht stimmen oder?
Member: aqui
aqui Aug 22, 2021 updated at 15:38:35 (UTC)
Goto Top

back-to-topFehler:

  • 1.) Wieder fälschlicherweise no ip domain lookup konfiguriert obwohl du mehrfach oben darauf hingewiesen wurdest ! face-sad Solltest du mit ip domain lookup wieder aktivieren ansonsten kannst du vom Router keine Hostnamen per DNS auflösen bzw. pingen wie Heise ! Das "no" Kommando deaktiviert die DNS Auflösung am Router !
  • 2.) Es fehlt vollständig die ACL 101 die das NAT (IP Adress Translation) ins Internet definiert. Ohne diese ACL Ist ein Internet Zugang technisch unmöglich da die beiden lokalen LAN IP Netze Lokal (vlan 1) und Gast (vlan 2) private RFC 1918 IP Netze sind, die im Internet nicht geroutet werden können. NAT ist da also zwingend !! Die ACL 101 erlaubt (engl. "to permit") dann diese 2 Netze fürs NAT.
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any

Trage die bitte nach !!!
Internet Connectivity an sich hast du ja schonmal wie dir der erfolgreiche Ping auf die 8.8.8.8 ja eindeutig zeigt ! Wenigstens etwas... face-wink

Zu deinen Fragen:
3.)
Du musst keinen DNS Server statisch eintragen ! Der wird dem Router automatisch über die PPPoE Verbindung vom Provider mitgeteilt. Das ist das Kommando ppp ipcp dns request am Dialer 0 Interface ! Ein show hosts zeigt dir diese automatisch übermittelten DNS Server an !
4.)
Siehe Punkt 3
5.)
Ja !! Unbedingt nachtragen sonst funktioniert KEIN NAT ins Internet ! Siehe Punkt 2 oben.

Ich bin wirklich verzweifelt
Ruhig bleiben ! Wenn du die o.a. Punkte ALLE umsetzt und BITTE auch parallel das Tutorial WIRKLICH nochmal in Ruhe dazu parallel ansiehst und die Erklärungen dort beherzigst wird das alles zu 100% klappen !
Ist doch auch logisch wenn du ihm die DNS Auflösung abschaltest und auch das NAT deaktivierst das nix geht. Das sind DEINE Flüchtigkeitsfehler in der Konfig. Der Router macht immer nur das was DU ihm sagst.
Also...durchatmen und korrigiere die, dann klappt das auch sofort !
Member: aqui
aqui Aug 23, 2021 at 16:04:02 (UTC)
Goto Top
Kein Feedback ist natürlich auch ein Feedback ! face-sad
Wenn's das denn nun war bitte den Thread dann auch schliessen.
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
Member: mariocisco
mariocisco Aug 23, 2021 updated at 22:52:18 (UTC)
Goto Top
Ich werde diese unverzüglich nachholen. Mir ist es unerklärlich wie dieses passieren konnte.
Ich bin mir aber sicher dass ich das ip domain lookup schon rausgenommen habe.
Aber ich ändere es noch einmal ab und melde mich noch einmal .

Bitte den Thread nicht schliessen.

Wenn man keinen DNS Server eintragen muss warum steht dann im Tutorial drin dass man es muss? Vorher haben wir doch auch immer davon gesprochen dass einer eingetragen werden muss oder nicht?
Member: Windows10Gegner
Windows10Gegner Aug 24, 2021 at 04:27:46 (UTC)
Goto Top
Wenn man keinen DNS Server eintragen muss warum steht dann im Tutorial drin dass man es muss?
Wenn das Teil nur Routing machen soll braucht es nicht zwingend einen, es ist aber hilfreich, da dann auf dem Cisco Namen aufgelöst werden können.

Wenn der DNS-Cache ist, braucht der natürlich auch noch einen Eintrag für einen rekursiven DNS.
Member: brammer
brammer Aug 24, 2021 at 08:24:57 (UTC)
Goto Top
Hallo,

119 Beiträge bisher.... langsam aber sicher rekordverdächtig....

@mariocisco
bitte nimm deinen Namen mal wortwörtlich und beschäftige dich mit dem Cisco Gerät....
Und, wenn die Kollegen @aqui oder @Windows10Gegner fragen stellen dann beantworte die bitte auch...
Nach einer Information gefragt zu werden und 4 Sachen ändern und danach nicht mehr wissen was richtig ist, macht es für alle nur komplizierter.

brammer
Member: aqui
aqui Aug 24, 2021 updated at 10:10:22 (UTC)
Goto Top
warum steht dann im Tutorial drin dass man es muss?
Kannst du den Tutorial Abschnitt zitieren WO das steht ?? In keiner der im Tutorial angegebenen IPv4 Konfig ist ein DNS Server definiert oder das DNS Lookup deaktiviert !!
Die DNS Server stehen lediglich immer rein nur in den DHCP Definitionen, werden aber niemals als statischer DNS in der Router Konfig definiert. WO also bitte siehst du im o.a. Tutorial eine statische DNS Server Definition ?
Einen statischen DNS Eintrag benötigst du nur wenn du einen eigenen lokalen DNS Server betreibts und vom Router die Option haben möchtest das der auch lokale DNS Namen auflösen kann. Und nur dann braucht man den...sonst nie.
Definiert man diesen statischen DNS NICHT, dann nutzt der Router immer die DNS Server die er dynamisch via PPPoE vom Provider gelernt hat. Wie bereits gesagt ein show hosts zeigt dir diese DNS Adressen.

Viel spannender wäre für die gedultige Hilfe Community hier denn nun die finale Frage ob nach dieser mehr als schweren Geburt mit dir deine IPv4 Konfig nun fehlerfrei auf dem Router rennt ??? Diese Frage hast du ja noch nicht beantwortet.
Ansonsten gelten die zu Recht mahnenden Worte des Kollegen @brammer !
Kollege @Windows10Gegner hatte Recht mit der Vorsehung einer "Threadorgie" face-big-smile
Bitte den Thread nicht schliessen.
Das kannst aus gutem Grund eh nur DU als Threadowner SELBER !
Member: Windows10Gegner
Windows10Gegner Aug 24, 2021 at 10:06:08 (UTC)
Goto Top
Zitat von @aqui:
Das kannst eh nur DU als Threadowner SELBER !

Nein, das können die Mods und Frank glaub auch.
die finale Frage ob nach dieser mehr als schweren Geburt mit dir deine IPv4 Konfig nun fehlerfrei auf dem Router rennt ???
Dann wäre IPv6 dran, aber erst, wenn IPv4 geht.
Member: mariocisco
mariocisco Aug 24, 2021 updated at 13:57:35 (UTC)
Goto Top
@brammer genau dieses habe ich gemacht.

@alle ja der Router ist Online und funktioniert mit IPv4 danke nochmal an alle die geholfen haben.

Zum Thema Firewall ohne die extra Lizenz kann ich wohl nur ACL und SPI nutzen .

auf welchem Interface werden folgende ACL gem. Tutorial eingebunden?

access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any

@Windows10Gegner 13.08.2021 um 07:33:31 Uhr
wird das Thema SPI irgendwo in dem Tutorial behandelt?
Gibt es standard einstellungen welche man beachten sollte?
Member: Windows10Gegner
Windows10Gegner Aug 24, 2021 at 13:40:40 (UTC)
Goto Top
Ja, jetzt musst du aber noch IPv6 einrichten.
Member: Windows10Gegner
Windows10Gegner Aug 24, 2021 at 14:06:32 (UTC)
Goto Top
Bevor du an die Firewall gehst kümmerst du dich bitte um IPv6. Denn bei der CBAC-FW muss man das getrennt betrachten.
Member: mariocisco
mariocisco Aug 24, 2021 updated at 19:06:21 (UTC)
Goto Top
Sobald die ip acces-group 111 in auf int dialer 0 gebunden keine Verbindung mehr möglich ins Internet . Warum ist das so ?

Bei ip access-group gastnetz in bei int vlan2 das selbe . nur zusätzlich nur APIPA?

@windows10 Gegner ich habe nun die Config mit ipv6 erfolgreich getestet.

Aber auch mit ipv6 funktioniert mit access-list 111 gar nichts.

Wie geht es jetzt weiter mit der CBAB Firewall ? Die muss doch standardmäßig funktionieren oder?

Hier meine Config:

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 KENNWORT
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
!
ipv6 cef
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn SERIENNUMMER
!
!
username admin privilege 15 password 7 KENNWORT
username keinadmin password 7 KENNWORT
!
redundancy
!
!
controller VDSL 0
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz (FastEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 ppp authentication pap callin
 ppp pap sent-username DSL@cisco.com password 7 KENNWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended gastnetz
 permit udp any any eq bootpc
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 deny   ip any any
!
!
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq bootps any
access-list 111 deny   ip any any
!
!
!
control-plane
!
!
line con 0
 privilege level 15
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
line vty 5 14
 transport input none
!
scheduler allocate 20000 1000
!
end

scheduler allocate 20000 1000 <--- was bewirkt dieser befehl?

Ich lande direkt im enable warum nicht in der normalen Anmeldung?

Akutell ist die accel list nicht auf dem dialer 0 auf in geschaltet.
Member: aqui
aqui Aug 25, 2021 updated at 07:55:23 (UTC)
Goto Top
Holla die Waldfee ! 127 Kommentare ! Wir sind hier absolut rekordverdächtig !!! face-big-smile
Sobald die ip acces-group 111 in auf int dialer 0 gebunden keine Verbindung mehr möglich ins Internet . Warum ist das so ?
Oben wurde dir wiederholt gesagt und auch wiederholt drauf hingewiesen das diese ACL 111 ausschliesslich nur für eine Konfig mit der CBAC Firewall gedacht ist. In allen anderen Konfig Szenarien funktioniert sie NICHT und ist deshalb NICHT zu verwenden !
Wenn du dir einmal das Regelwerk der ACL 111 ansiehst, dann weisst du auch warum ! Da du ja bekanntlich OHNE die CBAC Firewall Konfig arbeitest ist also die ACL 111 für dich also NICHT relevant.
Wie geht es jetzt weiter mit der CBAB Firewall ? Die muss doch standardmäßig funktionieren oder?
Nope, denn oben hatte sich ja mit deiner Hilfe schon herausgestellt das sowohl die CBAC Firewall (CBAC = Content Based Access Control list) als auch die modernere ZFW Firewall Bestandteil der Security License sind und du generell alle Firewall Funktionen nur mit dieser License konfigurieren kannst. Ohne License bleiben dir nur einfach Inbound Blocking ACLs am Dialer Interface.
Das Fehlen der Firewall Kommandos kannst du ja daran sehen das wenn du ip in? eingibst, es das Kommando ip inspect ... gar nicht gibt am Kommando Prompt.
Diese Kommando Sets sind erst frei wenn du die Lizenz ID eingegeben hast !

Die Lizenz ist nichts anderes als ein einfacher Key bzw. eine Key ID die du beim Cisco Händler schnell und einfach erwirbst und per Email zugesand bekommst und dann in die Konfig eingibst.
Fertig. Dann hast du auch alle Konfig Optionen der beiden Firewall Konfigs frei.
scheduler allocate 20000 1000 <--- was bewirkt dieser befehl?
Das erzeugt der Router beim Laden der Konfig selber. Wenn du weitere solch' grundlegende Infos zu Basis Kommandos wissen willst siehe bitte immer in die Command Reference:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fundamentals/command/c ...
Dort ist natürlich auch der o.a. Befehl und seine Funktion genauestens erklärt:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fundamentals/command/c ...
An solchen automatisch erzeugten Kommandos solltest du NICHT rumfummeln !
Ich lande direkt im enable warum nicht in der normalen Anmeldung?
Das liegt am Kommando aaa authorization exec default local
Damit springst du direkt in den Enable Mode. Wenn du das weglässt musst du zum Enable Mode mit "ena" auch ein Passwort eingeben.
Hier ist ein kurzes HowTo dazu:

security authentication failure rate 3 log
( ==>> Zwangslogout nach 3 Login Fehlversuchen)
security passwords min-length 6
( ==>> Passwort muss mindestens 6 Stellen haben)
enable algorithm-type scrypt secret <password>
( ==>> Enable Passwort)
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
( ==>> Autom. im Enable Mode nach Login)
!
username <user> privilege 15 algorithm-type scrypt secret <password>
username <noadmin> algorithm-type scrypt secret <password>
!
line con 0
(privilege level 15)
(==>> Automatisch Enable Mode für alle Konsol User)
line aux 0
line vty 0 4
access-class 23 in
(==>> Access Liste 23 gilt für Netzwerk Zugriff per Telnet und SSH)
transport input telnet ssh
!

Die access-list 23 permit 192.168.100.0 0.0.0.255 lässt also remoten Telnet oder SSH Konfig Zugriff auf dem Router vom lokalen Netz (z.B. mit PuTTY_Terminal) nur aus dem lokalen IP Netzwerk 192.168.100.0 zu.
Der scrypt Algorithmus schafft sicher verschlüsselte Passwörter in der Konfig was der Type 7 wie du ihn verwendest NICHT kann. Diese Passwörter sind lediglich XOR verschleiert und damit sehr leicht zu knacken wie du HIER selber ausprobieren kannst.
Siehe dazu auch hier:
https://community.cisco.com/t5/networking-documents/understanding-the-di ...
Member: mariocisco
mariocisco Aug 25, 2021 updated at 20:27:06 (UTC)
Goto Top
Also muss ich mir eine ACL selber erstellen.

DIe welche unter dialer 0 im Tutorial bzw. in meiner Einstellung eingegeben ist , sie ist nichts für das für was ich sie nutzen will .

Ist das so richtig?

Wenn ich eine ACL erstellen will dann muss ich mir eine eigene erstellen.

habe ich das richtig verstanden?

Was ist den mit den SPI Befehlen , dieses sollte doch funktionieren? ( Mit der Base Lizenz sollten die doch auch funktionieren)

Gibt es eine Art Vorlage was man zwingend immer in einer Standard ACL aufnehmen sollte wenn man sie an einem Dialer0 betreibt? Oder betreibt man diese gar nicht Standardmäßig am Dialer 0 ( ich denke schon weil das was ich eingebeben habe etwas blockt eingehend auch wenn es wohl so wie eingestellt nicht richtig ist)
Member: Windows10Gegner
Windows10Gegner Aug 26, 2021 at 05:09:36 (UTC)
Goto Top
Gibt es eine Art Vorlage was man zwingend immer in einer Standard ACL aufnehmen sollte wenn man sie an einem Dialer0 betreibt? Oder betreibt man diese gar nicht Standardmäßig am Dialer 0 ( ich denke schon weil das was ich eingebeben habe etwas blockt eingehend auch wenn es wohl so wie eingestellt nicht richtig ist)
Man will i.d.R. nicht, dass SPI-mäßig (ist dir SPI und dessen Funktionsweise ein Begriff?) was von außen nach innen kommt. Sonst will man i.d.R. nichts blockieren.

Wenn ich eine ACL erstellen will dann muss ich mir eine eigene erstellen.
Du willst eine SPI-FW, da braucht es dann ggf. eine ACL, die bestimmte Dinge erlaubt, die du zulassen willst. (z.B. wenn du innen einen TFTP-Server betreibst, der aus dem Internet erreichbar sein soll).
Member: aqui
aqui Aug 26, 2021 updated at 06:28:30 (UTC)
Goto Top
Was ist den mit den SPI Befehlen , dieses sollte doch funktionieren?
Die Frage ist WAS genau du mit "SPI Befehlen" denn meinst ?? Welche Befehle sollen das konkret sein ? Du kannst auch immer selber sehen ob dir diese Befehle mit deiner Lizenz zur Verfügung stehen wenn du hinter dem Kommando ein ? angibst !!!
Das Fragezeichen hinter dem Kommando zeigt immer an ob dieser Befehl vorhanden und auch syntaktisch richtig ist ! Eine ideale Option also das Vorhandensein zu prüfen.
Beispiel:
cisco-router#
cisco-router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
cisco-router(config)#int?
interface

cisco-router(config)#int 
Hier kannst du sehen das nach Eingabe von int? er alle Befehle anzeigt die mit int... beginnen. Das Ergebnis ist das es nur ein Kommando gibt nämlich interface.
Beispiel 2 um zu sehen was alles mit ip in... anfängt:
cisco-router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
cisco-router(config)#ip i?
icmp  identd  igmp  inspect
ips

cisco-router(config)#ip in?
inspect

hbc-hv(config)#ip inspect ?
  L2-transparent  Transparent Mode commands
  alert-off       Disable alert
  audit-trail     Enable the logging of session information (addresses and bytes)
  dns-timeout     Specify timeout for DNS
  hashtable-size  Specify size of hashtable
  log             Inspect packet logging
  max-incomplete  Specify maximum number of incomplete connections before clamping
  name            Specify an inspection rule
  one-minute      Specify one-minute-sample watermarks for clamping
  redundancy      Redundancy settings for firewall sessions
  tcp             Config timeout values for tcp connections
  udp             Config timeout values for udp flows
  <cr>            <cr>

cisco-router(config)#ip inspect 
Hier kannst du erkennen das es 5 Befehle gibt die mit ip i... anfangen. Man kann an der Auflistung der 5 möglichen Kommandos die nach "ip" mit einem "i" anfangen sehen das es nur einen einzigen gibt der mit "in" anfängt. Fügt man noch das "n" dazu sieht man das folglich auch das nur noch "inspect" übrig bleibt !
Zeigt das dieser Router den Befehl "ip inspect" kennt den du z.B. für die CBAC Firewall brauchst.
So einfach ist das... face-wink
Member: mariocisco
mariocisco Aug 26, 2021 at 12:14:15 (UTC)
Goto Top
Ich rede von Konfiguration Stateful Packet Inspection (SPI) aber laut meinen Unterlagen ist dieses leider auch nur mit ip inspect möglich aber ok . ( oder irre ich mich und es funktioniert auch anders?)

Wie würdet ihr vorgehen wenn ihr keine extra Lizenz zur Verfügung steht?
Member: aqui
aqui Aug 26, 2021 updated at 15:54:58 (UTC)
Goto Top
aber laut meinen Unterlagen ist dieses leider auch nur mit ip inspect möglich
Nein, das ist sachlich falsch ! Es ist auch mit einer Zone Based Firewall Konfig möglich. Wie oben mehrfach gesagt gibt es 2 SPI Firewall Konfig Möglichkeiten. Zu empfehlen ist immer die modernere ZFW weil CBAC auf lange Sicht aus der IOS Firmware verschwinden wird.
Für beide SPI Firewall Konfigs benötigst du aber die o.a. Security Lizenz Option auf dem Router. Ohne die bleiben dir nur die NAT Firewall (Overload Funktion) und die normalen Access Listen.
Wie würdet ihr vorgehen wenn ihr keine extra Lizenz zur Verfügung steht?
Die Frage ist eigentlich recht sinnfrei. Ist dir vermutlich auch selber klar, denn die Fakten sind ja eindeutig: OHNE Security Lizenz keine SPI Firewall Funktion mit ALG. Sehr einfach zu verstehende Logik !
Fazit:
Einfach ne Lizenz dazukaufen und einspielen...fertisch. face-wink Wenn du partout keine SPI Firewall Lizenz installieren willst musst du mit dem Status Quo der derzeit aktiven NAT Firewall leben ohne SPI und kannst noch ein paar ACLs definieren die <edit> ausgewählte Typen </edit> bei ICMP verbietet usw. um den Router noch geringfügig etwas sicherer zu machen.
Wenn man kein erhöhtes Sicherheitsbedürfnis hat und den Router aus dem WAN/Internet per ACL abschottet für ICMP, Telnet und Web Access kann man mit der aktuell aktiven NAT Firewall (Overload) aber auch leben. Ob das für ein Firmennetz reicht ist abhängig von deren Security Policy.
Ist halt "Security des kleinen Mannes". face-wink
Zum Rest hat der Kollege @148656 oben schon alles ausführlich und genau treffend gesagt !
Member: Windows10Gegner
Windows10Gegner Aug 26, 2021 at 13:19:43 (UTC)
Goto Top
und kannst noch ein 2 ACL definieren die ICMP verbietet usw.
Hier bitte nur bestimmte Typen und nicht alles verbieten.
Member: Windows10Gegner
Windows10Gegner Aug 26, 2021 at 15:03:38 (UTC)
Goto Top
Wie würdet ihr vorgehen wenn ihr keine extra Lizenz zur Verfügung steht?
Eine kaufen, eine andere Firewall zusätzlich einsetzen oder auf die FW verzichten.
Member: mariocisco
mariocisco Aug 27, 2021 at 14:23:09 (UTC)
Goto Top
dann schliesst den Thread hier dann würde ich einen neuen nur wegen der Firewall aufmachen ok ?

Wenn ich die Lizenz erwerbe .
Member: Windows10Gegner
Windows10Gegner Aug 27, 2021 at 14:30:14 (UTC)
Goto Top
Zitat von @mariocisco:

dann schliesst den Thread hier dann würde ich einen neuen nur wegen der Firewall aufmachen ok ?

Einfach auf gelöst setzen, geschlossen wird der i.d.R. nicht.
Member: aqui
aqui Aug 28, 2021 at 07:47:43 (UTC)
Goto Top
dann schliesst den Thread hier
Das kannst aus guten Gründen nur DU selber machen als Thread Owner !!
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?

FAQs lesen hilft wirklich !! face-wink
Member: aqui
aqui Aug 28, 2021 updated at 10:21:19 (UTC)
Goto Top
😉 👍
Dann harren wir mal gespannt auf den kommenden Firewall Thread. Messlatte liegt ja mit 139 Einträgen schonmal recht hoch... 🤣
Member: mariocisco
mariocisco Apr 15, 2022 at 21:54:59 (UTC)
Goto Top
Ich habe eine Frage und zwar ist mir aufgefallen das die Access List ja gar nicht auf ein INterface gebunden per ip access-group ACLNUMBER in/out , warum ist das so?

Ich wollte nämlich mit einer Access List ip access-list 111 deny icmp any any im kompletten Netzwerk ping unterbinden , aber es funktinoiert nicht . Man kann sie auch nicht auf Interface binden warum?
Member: aqui
aqui Apr 15, 2022 updated at 22:18:52 (UTC)
Goto Top
ist mir aufgefallen das die Access List ja gar nicht auf ein INterface gebunden per ip access-group ACLNUMBER in/out , warum ist das so?
Dafür gibt es eine sehr einfache Lösung !
Das ist sehr wahrscheinlich so weil DU es vergessen hast zuzuweisen ! Hellsehen kann auch ein Cisco Router (noch) nicht ! 😉
Member: Windows10Gegner
Windows10Gegner Apr 16, 2022 at 05:36:47 (UTC)
Goto Top
Höre bitte auf ICMP komplett zu blockieren, denn darüber läuft unter anderen die Path MTU Discovery. Wenn du Ping blockieren willst blockiere bitte nur Echo reply und Echo request. Die sind anhand von Typen und Codes spezifiziert.
https://datatracker.ietf.org/doc/html/rfc4443#section-4
Member: mariocisco
mariocisco Apr 19, 2022 at 22:39:10 (UTC)
Goto Top
warum meckert mein Router wenn ich ip access-group eingebe? muss ich bei jedem Interface einzeln die ACL drauf binden und wenn mit access-group wie wenn ich eine Fehlermeldung bekommen? WIe macht ihr es bei diesem ROuter?

Könnt ihr mir da weiterhelfen?

Habe ich es falsch gemacht oder war es in der "Anleitung " schon falsch? Meine Running COnfig sind wir ja mehrfach durchgegangen?
Member: Windows10Gegner
Windows10Gegner Apr 20, 2022 at 04:18:05 (UTC)
Goto Top
Zeige bitte, was als Meldung kommt.
Man muss das im Interface angeben, damit die Firewall weiß, was wo gefiltert werden soll. In praktisch jeder Situation will man nicht, dass alle ACLs für alles gelten.
Member: aqui
aqui Apr 20, 2022, updated at Apr 22, 2022 at 14:15:29 (UTC)
Goto Top
warum meckert mein Router wenn ich ip access-group eingebe?
Kollege @Windows10Gegner hat hier absolut Recht. Keiner weiss hier WO an welcher Stelle du das eingibst und WELCHER Fehler kommt. Folglich ist eine zielführende Hilfe schwer möglich wie du dir ja auch sicher selber denken kannst.
Nur so viel...
Das ip access-group Kommando ist ein Interface spezifisches Kommando, greift also nur auf Interface Ebene. Also ja, man muss jedem Interface eine ACL zuweisen sofern man dort Traffic filtern will. Zumindest ist das bei Interface ACLs so. Bindest du eine ACL im Rahmen der Firewall Konfig ein geht das über den Umweg der Class Maps. Aber wie schon gesagt...
Leider teilst du uns nicht mir WAS du WO an ACLs konfigurieren willst. face-sad
Normal erstellt man über das access-list Kommando eine ACL und weist sie dann mit dem ip access-group Kommando (man achte auf die Position des Bindestriches !!) einem Interface zu. So machen wir es immer. Einfache Logik ! face-wink
Member: mariocisco
mariocisco Apr 22, 2022 at 13:47:21 (UTC)
Goto Top
also bevor ich euch die genau Fehlermeldung sage teile ich euch mit das die Fehlermeldung kommt wenn ich es im Specific Cofiguration Mode des interface eingebe den Befehl ip access-group . Da ihr die ACL ja aus der ANleitung kennen sollte könnt ihr euch die ACLs schon denken und die welche dazu kommt will ich dazu machen bezüglich der Ping anfragen.

Ich poste die Fehlermeldung sobald ich sie habe.
Member: aqui
aqui Apr 22, 2022 updated at 14:13:55 (UTC)
Goto Top
Das kann 2 mögliche Ursachen haben...
  • Die Erste sieht man sofort auf den ersten Blick, denn dein Kommando ist falsch geschrieben !! Siehe hätte es obendrein dann syntaktisch auch noch richtig autokomplettiert !! Der Cisco hat Hilfe zu Kommandos deshalb immer mit an Bord um dir zu helfen, man muss es nur wollen. Das Fragezeichen ist immer dein bester CLI Freund ! 😉
  • Der Zweite kann dann nur sein das du die ACL Nummer oder Name falsch eingeben hast und die nicht zu einer bestehenden ACL korrespondiert.
Wir nehmen jetzt mal Wetten an welcher der 2 möglichen Fehler es bei dir ist !
Ich tippe am Freitag 🐟 einmal auf die erste Option ! 🧐
Member: mariocisco
mariocisco Apr 22, 2022 at 19:16:42 (UTC)
Goto Top
der Befehl taucht auch bei der Auto Vervollständigung nicht auf.

Hier meine Auszüge aus der CLI:"
DIE ACL access-list 111 deny icmp any any

EINBINDEN AUF DAS INTERFACE
Cisco_Router_B(config)#int gig 0
Cisco_Router_B(config-if)#ip ac
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip acc
Cisco_Router_B(config-if)#ip access
Cisco_Router_B(config-if)#ip access-
Cisco_Router_B(config-if)#ip access-group
^
% Invalid input detected at '^' marker.

Cisco_Router_B(config-if)#ip access-group 111 in
^
% Invalid input detected at '^' marker.

Cisco_Router_B(config-if)#ip ?
Interface IP configuration subcommands:
address Set the IP address of an interface
admission Apply Network Admission Control
auth-proxy Apply authentication proxy
ddns Configure dynamic DNS
device IP device tracking
dhcp Configure DHCP parameters for this interface
igmp IGMP interface commands
rsvp RSVP Interface Commands
"
Was ist falsch gelaufen?
Member: Windows10Gegner
Windows10Gegner Apr 22, 2022 at 19:34:28 (UTC)
Goto Top
Kann es sein, dass es Modelle gibt, die kein Firewalling unterstützen bzw. man eine Lizenz braucht?
Irgendwas diesbezüglich habe ich da bei dir in Erinnerung.
Member: aqui
aqui Apr 22, 2022 updated at 20:42:31 (UTC)
Goto Top
der Befehl taucht auch bei der Auto Vervollständigung nicht auf.
Sorry, aber das glaubt dir hier kein Netzwerk Admin !
Was sagt denn ein ip ? am Interface Prompt ?? Dort siehst du vermutlich sowas:
cisco-router(config-if)#ip ?
Interface IP configuration subcommands:
  address     Set the IP address of an interface
  admission   Apply Network Admission Control
  auth-proxy  Apply authentication proxy
  ddns        Configure dynamic DNS
  device      IP device tracking
  dhcp        Configure DHCP parameters for this interface
  igmp        IGMP interface commands
  rsvp        RSVP Interface Commands 
...und mehr nicht ! Ist dem so ??
Wie du siehst gibt es dort kein ip access-group Kommando, was auch logisch ist.
Du solltest also einmal in dich gehen und etwas nachdenken !!
Die Ports Gig0 bis Gig3 sind Layer 2 Memberport des internen VLAN Switches, können also technisch niemals Layer 3 IP Traffic filtern. Genau deshalb fehlen dort die IP basierten ACL Kommandos.
Wenn, kannst du also nur am Layer 3 Interface IP Traffic filtern und das ist immer das korrespondierende VLAN Interface (interface Vlan x)!!
Dort wirst du auch dein ip access-group Kommando finden ! face-wink
dass es Modelle gibt, die kein Firewalling unterstützen
Nein !
Access Listen haben rein gar nichts mit Firewalling zu tun und gehören immer lizenzfrei zum Basic Feature Set des Routers !
Member: mariocisco
mariocisco Apr 24, 2022 at 01:45:57 (UTC)
Goto Top
also dass mit dem VLAN und den acces listen höre ich so zum ersten mal? Normalerweise macht man dass doch auch bei layer 2 switches auf die interfaces ! Wie kann das sein?
Member: Windows10Gegner
Windows10Gegner Apr 24, 2022 at 04:27:35 (UTC)
Goto Top
Layer2-Switches kümmern sich nur um den Ethernet-Header incl. VLAN, aber nicht um die IP-Schicht (3).
Die haben nur IP implementiert, um ein Management-Interface zu bieten. Da könnte man dann ACLs nutzen, sofern diese unterstützt werden.
Member: aqui
aqui Apr 24, 2022 updated at 07:20:48 (UTC)
Goto Top
Normalerweise macht man dass doch auch bei layer 2 switches auf die interfaces !
Das ist Blödsinn. Kein L2 Switch supportet L3 IP Accesslisten an seinen Ports. Wie auch ?? So ein Switch "sieht" nur Mac Adressen. Was in der OSI Schicht über ihm transportiert wird sieht und weiss so ein Switch gar nicht und hat folglich keine Ahnung von IP. Kollege @Windows10Gegner hat es ja oben schon gesagt !
Also bitte einmal nachdenken bevor du sowas in einem Admin Forum postest ! 🧐
Member: mariocisco
mariocisco Apr 25, 2022 updated at 20:58:34 (UTC)
Goto Top
Hallo Penny ,

bitte nur Produktive Beiträge.

Die auch etwas nützen.

@ Penny ich hoffe du arbeitest nicht mit Menschen zusammen.(KOmisch Unernehmen und Gesundheitswesen dort findet man dieses bestimmt nicht)

Der Umgangston könnte freundlicher sein weil man kann solch einen Beitrag sich auch sparen wenn man ihn sich nicht anschauen möchte.

Ich will ja das es funktioniert bzw. es funktioniert ja und ich will wissen warum die ACL welche schon erstellt sind nirgendswo drauf gebunden sind (worauf ich sie binden müsste weil ihr das ja auch machen müsstet oder?) und wie ich meine auf ein Interface sowie zum Beispiel bei der CCNA Übung Packet Tracer 5.1.8 5.1.8-packet-tracer---configure-numbered-standard-ipv4-acls binde?

Ist jetzt klarer was mein Problem mit eurer Antwort ist?
Member: aqui
aqui Apr 26, 2022 updated at 06:26:01 (UTC)
Goto Top
und ich will wissen warum die ACL welche schon erstellt sind nirgendswo drauf gebunden sind
Sorry, aber da musst du dann einmal auf dich selber sehen, denn DU bist ja der Konfigurator dieses Routers. Wenn du lediglich nur eine ACL erstellst, diese aber nicht auf eines der Layer 3 Interfaces bindest kann die ja dann auch nicht greifen. Einfaches PEBKAC Problem... face-wink
Der Router kann ja immer nur so arbeiten wie sein Herr und Meister ihm das sagt und das bist dann ja DU !
müsste weil ihr das ja auch machen müsstet oder?
Jupp, ganz genau und genau so machen wir es ja hier alle auch. face-wink

Also nochmal für dich in aller Ruhe:
  • Router die einen embeddeten VLAN Switch haben wie einige der kleinen ISR Router (880, 900, 1100 usw.) können nicht an den L2 Switchports filtern weil sie den L3 Traffic dort nicht wahrnehmen.
  • Diese Router können L3 Traffic immer nur an ihren L3 Router Interfaces filtern, was die vlan Interfaces sind.
  • Nur dedizierte Router Interfaces können auch L3 Traffic filtern

Beispiel:
interface GigabitEthernet0
description L2 Port VLAN Switch
switchport access vlan 1
!
interface GigabitEthernet1
description L2 Port VLAN Switch
switchport access vlan 1
!
interface GigabitEthernet2
description L2 Port VLAN Switch
switchport access vlan 1
!
interface GigabitEthernet3
description L2 Port VLAN Switch
switchport access vlan 2

!
ip access-list extended LOKALES_LAN
permit tcp 192.168.1.0 0.0.0.255 any eq dns
permit udp 192.168.1.0 0.0.0.255 any eq dns
permit tcp 192.168.1.0 0.0.0.255 host any eq 443
permit tcp 192.168.1.0 0.0.0.255 host any eq www
permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.22 eq ssh
!
interface vlan 1
description Lokales LAN
ip address 192.168.1.254 255.255.255.0
ip access-group LOKALES_LAN in
!
interface vlan 2
description Server
ip address 192.168.2.254 255.255.255.0
!

Dieses Beispiel ist eine Inbound ACL am lokalen LAN Port welcher über den embeddeten 4 Port L2 Switch (GigEth0 bis 2) an das Router Interface vlan 1 gebunden ist (switchport access vlan 1).
Die ACL definiert das nur DNS und Web Traffic aus dem lokalen LAN erlaubt ist sowie ein Server mit der IP .2.22 im Server Netz per SSH erreichbar ist.
Schon die ACL Konfig Syntax an sich macht das doch alles sehr einfach verständlich und du hast es weiter oben ja auch schon alles richtig umgesetzt !

WO ist denn da an dieser sehr einfachen Konfig Logik noch etwas für dich nicht zu verstehen ?
Bitte dann noch einmal konkret dein Verständnisproblem hier posten !
Nach rekordverdächtigen 159 Kommentaren sollte das doch nun auch endlich einmal verständlich geklärt sein für dich ?! face-wink
Member: mariocisco
mariocisco Apr 26, 2022 updated at 20:07:21 (UTC)
Goto Top
Warum wird das mit den dedizierten Routern nicht z.B. bei der PacketTracer Aufgabe aus dem CCNA erwähnt? DU oder jmd anderes müsste ja die Aufgabe kennen ( Wenn nicht ITexams.de könnte helfen falls ihr sie euch mal anschauen wollt) und dort geht es ja auch und sonst hab ich davon noch nichts gehört wo wird das denn erklärt weil ich es so nohc nicht erzählt bekommen habe. DIE frage ist gar nicht beantwortet worden.

Ihr hattet doch auch über die Config geschaut , sind denn die ACL welche Standardmäßig vergeben sind alle richtig gebunden? Wenn ja muss ich ja nur dass machen was ihr mit den anderen gemacht habt bzw. auf das entsprechende VLAN ( falls ein anderes)

Switch ?! WIr reden doch über einen Router? Das mit dem switchport mode access macht man doch nur wenn man mit switches arbeitet, oder etwa nicht? ( entschuldigt wenn ich falsch liege)
Member: Windows10Gegner
Windows10Gegner Apr 27, 2022 at 04:24:09 (UTC)
Goto Top
Zitat von @mariocisco:
Switch ?! WIr reden doch über einen Router? Das mit dem switchport mode access macht man doch nur wenn man mit switches arbeitet, oder etwa nicht? ( entschuldigt wenn ich falsch liege)

Die meisten heutigen Cisco-Router haben auch einen integrierten Switch. Da kann man dann mit switchport mode einstellen, ob da Pakete ohne VLAN-Tag raussollen (und in welchen virtuellen Link (VLAN) die Pakete gehen) oder ob das ein Trunk mit getaggten Paketen gibt.
Uralte Router konnten das nicht, da wurde auch die IP direkt auf dem Ethernet-Interface und nicht auf dem VLAN-Interface festgelegt.
Member: aqui
aqui Apr 27, 2022 updated at 08:17:30 (UTC)
Goto Top
Warum wird das mit den dedizierten Routern nicht z.B. bei der PacketTracer Aufgabe aus dem CCNA erwähnt?
Die Lehrinhalte hängen meist immer hoffnungslos der Technik hinterher. Darauf darfs du nichts geben.
Kauf dir einen preiswerten 831er Router bei eBay und übe daran oder nimm GNS3 was Router IOS Live Firmware für die Emulation verwendet. Damit bist du allemal besser und vor allem aktueller bedient!
Switch ?! WIr reden doch über einen Router?
Ja, aber die Grenzen sind da bekanntlich ja fliessend. Alle Cisco Router haben heute wie auch jeder FritzBox usw. fast immer embeddete Switches mit an Bord oder Switch Module. Andersrum sind alle Catalyst Layer 3 Switches auch immer Router! Kollege @Windows10Gegner hat es oben schon treffend gesagt.
WO bitte willst du denn da die Grenze ziehen? Denke doch bitte einmal realistisch und Praxis bezogen und nicht nur theoretisch im Elfenbeinturm!!
Member: mariocisco
mariocisco Apr 27, 2022 at 21:06:00 (UTC)
Goto Top
@ Aqui Einen Router kaufen ich habe doch einen Cisco 926 4 P wofür brauche ich den einen anderen?

Also die Übung hängt der Technik hinterher aber warum ist es dort über all so dass man auf das Interface z.B: g0/0 die ACL bindet und bei meinem Router soll das so nicht funktionierten , diese Frage ist unbeantwortet bzw. es ergibt für mich keinen Sinn.

@ Windows 10 Gegner
Also kann ich das switchport mode dort auch einstellen , ok.

@alle
ist das auch ein Grund warum man z.B. den Router welchen ich habe nicht findet im PacketTracer , weil die AUfgaben nicht so aktuell im allgemeinen sind?
Also bei neueren Geräten immer die ACL am VLan einstellen ist das so richtig?

Aber warum ist dann die eine ACL der Anleitung auf dem DSL Interface gebunden?( ist das eine AUsnahme und nicht auf der Encapsulation?)
Member: aqui
aqui Apr 27, 2022 updated at 21:45:17 (UTC)
Goto Top
wofür brauche ich den einen anderen?
Perfekt ! Dann bist du natürlich bestens ausgestattet, keine Frage ! 👍
aber warum ist es dort über all so dass man auf das Interface z.B: g0/0 die ACL bindet und bei meinem Router soll das so nicht funktionierten
Oh man...du musst auch mal lesen was man dir hier schreibt. Zusätzlich auch die Doku zum Gerät. Langsam macht das keinen Spaß mehr wenn man sich hier auf Kommentar Nr. 200 zubewegt. face-sad
Nur so viel:
Dein Beispiel mit g0/0 ist ein dediziertes Router Interface, also ein dedizierter, physischer Router Port und keiner eines Switches. Vergleichbar mit dem interface GigabitEthernet4 auf deinem 926er. Auch das Gig4 ist ein dedizierter Router Port.
Die Ports GigabitEthernet0 bis 3 sind keine dedizierten Routerports sondern die des embeddeten 4 Port Gigabit Ethernet Switches. Das sind reine Layer 2 Interfaces wie bei einem Catalyst Switch, also keine dedizierten Router Interfaces!
Diese können keinen Layer 3 Traffic also IP Traffic verarbeiten, weil sie rein nur auf Mac Adress Basis (L2 only) arbeiten. Deshalb siehst du im Command Line Parser auch diese IP bezogenen Kommandos dort nicht. Es gibt eben auch Router mit integriertem Mehrport Switche. Einfache Logik.
Für jeden Cisco SE macht das sofort Sinn und ist auch sofort verständlich. Die Frage wurde dir oben auch schon mehrfach beantwortet.
Du solltest auch dringenst einmal die offizielle Cisco Lektüre zu dem Thema lesen:
https://www.cisco.com/c/en/us/td/docs/routers/access/900/software/config ...
Aber warum ist dann die eine ACL der Anleitung auf dem DSL Interface gebunden?
Eine ACL ist genau wie beim Switch niemals auf das physische xDSL Interface gebunden. Das ist also Unsinn was du da sagst.
Gebunden sind die ACLs immer auf das dazu korrespondierende Layer 3 Interface nämlich das PPP Dialer x Interface.
Ist exakt das gleiche wie beim embeddeten Switch und den vlan Interfaces.
Nochmal... Das Gig 4 Interface ist ein dediziertes Routing Interface. Dort kannst du dich direkt auf dem Interface mit ACLs und allem anderen genüsslich austoben ! face-wink
Und...vergiss mal den Tracer und nimm etwas Anständiges wie den GNS3. Der arbeitet mit der original Firmware und da hast du dann auch wieder deine vlan Interfaces. face-wink
Member: aqui
aqui Jun 27, 2022 at 13:11:38 (UTC)
Goto Top
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!