serial90
Goto Top

Cisco887 VAW - Kabel Deutschland Anschluss

Moin moin,

ich habe seit einiger Zeit einen Cisco 887VAW bei mir laufen und das bis dato immer ohne Probleme.

Heute morgen jedoch habe ich versucht den Cisco via fast ethernet 2 und einem Vlan an meinen neuen Kabelanschluss (Kabel Deutschland 30 Mbit) anzubinden.

Der Cisco holt sich allerdings von dem Hitron cablemodem keine IP via DHCP. Am Modem ist der "Bridgemode" eingeschalten d.h es ist nur ein dummes Modem ohne NAT und co.
Mit einem Lancom oder bintec-elmeg Router funktioniert der Kabelanschluss einwandfrei. Auch nach einem Neustart des Modems holt sich der 887 keine IP.

Nun meine Frage: Was habe ich falsch konfiguriert oder vergessen an dem 887 einzustellen?

Hier einmal meine komplette Config:

Current configuration : 9346 bytes
!
! Last configuration change at 06:36:45 CEST Wed Aug 31 2016 by admin
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco887V
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 password.
enable password Pasword
!
no aaa new-model
!
no process cpu extended history
no process cpu autoprofile hog
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
service-module wlan-ap 0 bootimage autonomous
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.66.1 192.168.66.239
ip dhcp excluded-address 192.168.66.254
!
ip dhcp pool local
import all
network 192.168.66.0 255.255.255.0
default-router 192.168.66.1
dns-server 192.168.66.1
!
!
ip cef
ip domain name media-kontor
ip name-server 8.8.8.8
ip ips config location flash:ips retries 1
ip ips notify SDEE
ip ips name iosips
ip ips name ips list 111
!
ip ips signature-category
category all
retired true
category ios_ips basic
retired false
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip ddns update method dyndns
HTTP
add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
no ipv6 cef
!
!
multilink bundle-name authenticated
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
!
!
username admin privilege 15 secret 5 $ key
username vpn1 password 7 key
username vpngoup password 7 key
!
!
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
!
!
controller VDSL 0
shutdown
!
controller Cellular 0
!
ip tcp synwait-time 10
!
track 1 ip sla 1 reachability
!
crypto keyring VPNMK
pre-shared-key address 0.0.0.0 0.0.0.0 key key
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes 256
hash sha256
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key key
dns 192.168.66.1
domain media-kontor.com.local
pool vpnpool
save-password
max-users 5
banner ^C Willkommen im VPN von MEDIA-KONTOR ^C
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
crypto isakmp profile DynDialin
description VPNs mit dyn. IP
keyring VPNMK
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec transform-set CISCO-WRV esp-3des esp-sha-hmac
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
!
crypto dynamic-map BINTEC 10
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN
crypto dynamic-map BINTEC 11
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN1
crypto dynamic-map BINTEC 12
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN2
crypto dynamic-map BINTEC 13
set security-association lifetime seconds 86400
set transform-set CISCO-WRV
match address VPNMKDYN3
!
!
crypto map VPN 1 ipsec-isakmp dynamic BINTEC
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
switchport access vlan 11
no cdp enable
!
interface FastEthernet3
switchport access vlan 10
no cdp enable
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface wlan-ap0
description Internes Service Interface zum Management des internen WLAN APs
ip unnumbered Vlan1
no cdp enable
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no cdp enable
!
interface Cellular0
no ip address
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer pool-member 2
!
interface Vlan1
ip address 192.168.66.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan10
no ip address
ip nat outside
ip virtual-reassembly in
pppoe-client dial-pool-number 1
!
interface Vlan11
ip address dhcp
ip access-group 111 in
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
!
interface Dialer0
ip ddns update hostname hostname
ip ddns update dyndns
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
ip mtu 1452
ip flow ingress
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname test#0001@t-online.de
ppp chap password 0 test
ppp ipcp dns request
ppp ipcp route default
no cdp enable
crypto map VPN
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 2
dialer idle-timeout 0
dialer string gsm
dialer persistent
ppp chap hostname tm
ppp chap password 0 tm
ppp ipcp dns request
ppp ipcp route default
no cdp enable
!
ip local pool vpnpool 192.168.66.240 192.168.66.250
no ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 2
ip route 0.0.0.0 0.0.0.0 Vlan11 3
!
ip access-list extended VPNMKDYN
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
ip access-list extended VPNMKDYN1
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
ip access-list extended VPNMKDYN2
permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
ip access-list extended VPNMKDYN3
permit ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
!
ip sla 1
icmp-echo 8.8.8.8 source-interface Dialer0
frequency 5
ip sla schedule 1 life forever start-time now
ip sla auto discovery
logging esm config
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
dialer-list 1 protocol ip list 101
no cdp run

!
!
!
!
route-map 3g-nat permit 10
match ip address 101
match interface Dialer1
!
route-map cable-nat permit 10
match ip address 101
match interface Vlan11
!
route-map adsl-nat permit 10
match ip address 101
match interface Dialer0
!
!
control-plane
!
alias exec zumwlanap service-module wlan-ap 0 session
banner login ^CWelcome MEDIA-KONTOR Admin^C
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line 3
script dialer gsm
no exec
rxspeed 7200000
txspeed 5760000
line vty 0 4
access-class 23 in
privilege level 15
password key
login local
transport input ssh
!
ntp server 130.149.17.8 source Dialer0
end

Content-ID: 314019

Url: https://administrator.de/contentid/314019

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

aqui
aqui 31.08.2016 aktualisiert um 10:11:28 Uhr
Goto Top
Das ist auch klar warum es nicht klappt !
Deine CBAC Access Liste 111 ist nicht für inbound DHCP Traffic freigegeben. Der DHCP Provider Offer mit UDP 68 bleibt so in der Firewall ACL hängen !
Du hast das zwar gemacht aber mit bootpc als ACL Statement, das ist aber der Client Request mit UDP 67. Ankommen muss aber der DHCP Offer vom Server mit UDP 68 und das ist das bootps Statement in der ACL.
Wenn du das änderst in deiner ACL 111 sollte es sofort klappen...
Da kannst du mal sehen wie gut deine Firewall funktioniert face-wink
Ändere also einfach dein ACL 111 Statement in:
access-list 111 permit udp any eq bootps any

Damit bekommt dein interface vlan 11 dann sofort eine IP Adresse per DHCP.
Wenn man das hiesige Cisco Tutorial liest ist das dort aber auch entsprechend beschrieben...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Serial90
Serial90 31.08.2016, aktualisiert am 01.09.2016 um 06:39:10 Uhr
Goto Top
Vielen Dank für die schnelle Hilfe!

Das Problem mit der IP via DHCP habe ich nun dank deiner Anweisung gelöst.

Allerdings habe ich nun noch ein Problem mit den Routen.
Ich habe 3 Anschlüsse an dem Cisco:
1. KD 30 Mbit vlan 11
2. DTAG 6 Mibt dialer0
3. DTAG 3 G dialer1

Damit möchte ich folgendes tun: Wenn ein Anschluss ausfällt soll der nächst niedriger übernehmen, ich habe es schon mit ip SLA probiert aber komme da nicht so recht weiter.
Ebenso habe ich es mit ip route 0.0.0.0 0.0.0.0 vlan 11 2 .......dialer0 3 usw. probiert , allerdings immer ohne Erfolg.
Daher nun die Frage wie ich diese Ausfallsicherheit herstellen kann mit dem Cisco?
(Wenn dies überhaupt möglich, wäre es schön wenn im Falle eines Ausfalls von einer Schnittstelle auch die VPN-Tunnel auf der nächsten wieder kommen würden)


p.s. Das der 887 nicht mehr als 16-17,5 mbit schafft liegt an Ihm selbst oder? (IPS an, ACL?)
aqui
aqui 01.09.2016 um 12:35:58 Uhr
Goto Top
Das Balancing ist nicht ganz einfach. Das kannst du letztlich nur über die SLA Steuerung hinbekommen.
Es geht aber auch mit statischen Routen Default Routen und entsprechender Metrik an diesen Routen. Der beste Link bekommt dann die beste Metrik der schlechteste die schlechteste Metrik das geht auch.
Das Problem ist aber das die statischen Routen vom Interface abhängig sind beim Umschalten nur nach dem Status gehen.
Will sagen solange das Interface bei show int im up up Status ist greift die Routen bzw. die Metrik nicht. Das kalppt nur wenn das Interface physisch auf Down geht.
Letzteres passiert aber nur wenn z.B. das KD Modem stirbt oder das Patchkabel an dem Port. Nicht aber wenn bei KD was im Zugangsnetz passiert oder bei den anderen Links.
Das kannst du logischerweise nur detektieren wenn du auf den jeweiligen Links die Connectivity zyklisch z.B. mit einem Ping an den next Hop Router oder einen anderen Host im Internet testest.
Und da wären wir dann wieder bei den SLAs....
Was den Durchsatz anbetrifft kann ich das nicht nachvollziehen. Ein 887vaw renn hier an 50 Mbit VDSL in fast Wirespeed mit PPPoE Encapsulation und Firewall CBAC ACL.
Serial90
Serial90 01.09.2016 aktualisiert um 15:02:40 Uhr
Goto Top
Moin,

also ich habe jetzt mal versucht das ganze mit SLA hinzubekommen.

ip route 0.0.0.0 0.0.0.0 Vlan11 Track 1
ip route 0.0.0.0 0.0.0.0 dialer 0 Track 2

ip sla 1
icmp-echo 83.169.185.225 source-interface vlan 11
frequency 5
ip sla schedule 1 life forever start-time now
ip sla auto discovery

ip sla 2
icmp-echo 217.237.151.205 source-interface dialer 0
frequency 5
ip sla schedule 1 life forever start-time now
ip sla auto discovery

track 1 ip sla 1 reachability
track 2 ip sla 2 reachability

Es zeigt mir auch bei sh track den Status als up an ----ABER nur kurz dann down?! Sobald ich die ip route schalte springt der Cisco mit der SLA von UP-->down hin und her ?! Habe ich da etwas falsch konfiguriert? Bin etwas ratlos.
Und selbst wenn es nicht mehr up - dowm geht im sekundentakt bedeutet doch diese Config das ich immer nur den Kabelanschluss nutzen kann? Und nur beim Ausfall der Telekomanschluss einspringt?

Zudem wollte ich eigentlich alle 3 WAN-IPs nutzen also müsste ich es irgendwie hinbekommen das alle 3 WANs gleichzeitig online sind und voll nutzbar.
Nur wie ich das beim Cisco anstelle ist mir noch nicht so ganz klar?

Die Static routes habe ich gleich außen vor gelassen da mir das ja nicht wirklich eine Ausfallsicherheit gibt. (Wann geht mal an Patchkabel kaputt oder modem --> Ich habe hier öfter Ausfälle die vor meinem Anschluss passieren und meist 3-4 h dauern)
aqui
aqui 01.09.2016 um 15:29:11 Uhr
Goto Top
bedeutet doch diese Config das ich immer nur den Kabelanschluss nutzen kann? Und nur beim Ausfall der Telekomanschluss einspringt?
Ja, aber das ist doch was du willst, oder ?
Wenn du ein Policy Based Routing machen willst also einen aktive Lastverteilung musst du das zusätzlich konfigurieren. Hier findest du einen groben Überblick wie das geht:
Cisco Router 2 Gateways für verschiedene Clients
Zudem wollte ich eigentlich alle 3 WAN-IPs nutzen also müsste ich es irgendwie hinbekommen das alle 3 WANs gleichzeitig online sind und voll nutzbar.
Das geht ja generell nur musst du dem Router natürlich sagen welchen Traffic du wohin haben willst. Ohne dich kann er das ja (noch) nicht raten. face-wink
Serial90
Serial90 01.09.2016 aktualisiert um 20:53:01 Uhr
Goto Top
Wegen der Bandbreite komme ich nicht weiter, komisch das der bei dir so rennt? Liegt das an der Firmware?

Ich habe CISCO887VGW-GNE-K9 mit Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.1(3)T4, RELEASE SOFTWARE (fc1)

Das PBR werde ich am We in Ruhe mal austesten und Ihm sagen wo welcher Traffic hin soll.

Mein eigentliches Problem ist aber das ich nicht weis was ich konfigurieren muss damit ich von Außen einen VPN tunnel auf das Vlan 11 mit KD bekomme - ddns name: xyz.dyndns.org und einen auf den
Dialer 0 mit Telekom -ddns name: 12345.dyndns.org

Sobald das vlan 11 mit KD online ist erreiche ich von außen den dialer0 mit telekom nicht mehr und andersherum genau so , es geht immer nur der Anschluss mit ping und co der zuerst online ist?

Ich habe hier bestimmt nur einen denkfehler oder es ist mit einem routingeintrag getan?!
aqui
aqui 01.09.2016 aktualisiert um 23:50:11 Uhr
Goto Top
Hier rennt eine Version 15.4(3)M5 auf einem 886va.
Deine 2 VPNs musst du mit 2 Crypto Maps lösen. Eine aktivierst du auf dem KD Anschluss und die andere auf dem T-Com Port. So wäre das sauber getrennt.
Du kannst aber auch beide Ports über eine Crypto Map arbeiten, müsstest dann aber ggf. mit ACLs arbeiten wenn die VPNs vollkommen getrennt sein sollen. Der Aufwand ist da größer so das 2 Maps sinnvoller ist.
Dein Ping Fehler ist Client basierend gemeint, oder ?
Das liegt vermutlich daran, das dein VPN Client das Default Gateway beim Dialin auf die Tunnel IP setzt und damit dann alles in den Tunnel routet. Kann das sein ?
Mach mal einen Traceroute oder Pathping, dann siehst du das. Generell ist ein WAN Port vollkommen unabhängig vom VPN Verhalten. Die siehst das jetzt vermutlich nur mit einem Client. Wenn du aber einen anderen nimmst egal wo im Internet kann der ganz sicher pingen.
Der WAN Port geht ja niemals auf down wenn ein VPN aktiv ist das wär ja Unsinn. Denk immer dran wohin gerade deine Default Route zeigt !! Das ist relevant für die Wegefindung !
Was logischerweise nicht geht ist das du im KD Port reinkommst, Antworten aber über den T-Com Port gesendet werden.
Dann hätten Reply Pakete eine andere Absender IP was beim TCP/IP Stack und auch ICMP zum sofortigen Session Abbruch führt !
Serial90
Serial90 02.09.2016 um 07:34:59 Uhr
Goto Top
Hm ok. Ich werde heute auch mal diese Version probieren, mir ist aber aufgefallen das wenn ich die IPS ausschalte die Bandbreite schon auf 25-31 hoch geht? Kann es sein das der 887 mit 256k nicht genug bums hat für den Anschluss VPN und co?

Das mit dem Crypto Maps werde ich ebenfalls tun wenn alles geht.

Mein Problem ist folgendes:

ping 8.8.8.8 source vlan 11

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 146.52.232.250
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms

ping 8.8.8.8 source dialer 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 79.246.206.86
Success rate is 0 percent (0/5)

ping 8.8.8.8 source dialer 1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.19.248.59
Success rate is 0 percent (0/5)

Ich kann schon vom Cisco aus nur über die Kabel Deutschland Schnittstelle nach draußen?
Hier muss ja denke ich ein Problem bei meinen Standartrouten vorliegen?

ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip route 0.0.0.0 0.0.0.0 Vlan11 dhcp
ip route 0.0.0.0 0.0.0.0 Dialer0 dhcp 2
ip route 0.0.0.0 0.0.0.0 Dialer1 dhcp 3

Oder woran liegt es das ich immer nur von einem Anschluss einen Ping zu google bekomme? Normalerweise muss ich doch von allen 3 WANs einen Ping raus bekommen?
aqui
aqui 02.09.2016 aktualisiert um 12:21:20 Uhr
Goto Top
Hier muss ja denke ich ein Problem bei meinen Standartrouten vorliegen?
Setz mal die Interfaces vlan11 und Dialer1 auf shutdown !
Kannst du dann via Dialer 0 pingen ?
Kann es sein das du die Default Route via Dialer0 per ppp ipcp route default automatisch injizierst ??
Das darfst du niemals machen wenn du mit mehreren Internet Interfacen und statischen Default Routen mit unterschiedlichen Metriken arbeitest. Das musst du aus allen Dialer Interfaces dann entfernen !
Du siehst das daran das die statische vlan11 Default Route immer Priorität hat !
PPP Injizierung immer nur wenn man einen singulären Internet Link hat.
Die Interfaces hinter deinen statischen Routen (dhcp, dhcp2-3) sind das Aliase ??
Serial90
Serial90 02.09.2016 um 12:52:25 Uhr
Goto Top
Wenn ich vlan 11 und den Dialer 1 auf shutdown setze kann ich pingen via dialer 0.

ppp ipcp route default ist überall raus.


ip route 0.0.0.0 0.0.0.0 Vlan11 dhcp --> Laut cisco bedeutet das default route via vlan 11 ( DHCP - Default Gateway obtained from DHCP
)und das er sich das defaultgateway über dhcp holt?
Das sind keine aliase.
Die 2-3 dahinter sind laut cli help die metrik?!
aqui
aqui 02.09.2016 um 13:02:06 Uhr
Goto Top
Aber Dialer 0 und 1 machen doch gar kein DHCP wozu also dann das dhcp Statement an den Routen ?
Serial90
Serial90 02.09.2016 aktualisiert um 13:17:36 Uhr
Goto Top
Ich dachte das dieser befehl bedeutet das vlan 11 seine Ip und die IP des default Gateway von Kabel Deutschland via dhcp holt?

Und ja in der Tat bei Dialer 0 und 1 ist dieser befehl schwachsinn da es ja pppoe ist.

Nur wie sage ich dem Cisco das er vlan 11 als default route hat und gleichzeitig aber auch dialer 0 und 1?

Wenn ich das mit der Metrik mache dann nimmt er den dialer 0 und 1 ja nur wenn vlan11 down ist?

Und mit IP SLA habe ich es ja wie o.g. versucht das hat aber auch nicht den gewünschten Erfolg gebracht.

Aber es muss doch gehen 3 WAN Anschlüsse gleichzeitig Online zu habe am Router und dann diese wenn Sie denn mal alle 3 einen Ping erlauben über den Router in Vlans mit PBR zu stecken?
aqui
aqui 02.09.2016 aktualisiert um 15:01:10 Uhr
Goto Top
Ich dachte das dieser befehl bedeutet das vlan 11 seine Ip und die IP des default Gateway von Kabel Deutschland via dhcp holt?
Nein, das tut es allein schon damit das ip address dhcp auf dem vlan11 Interface konfiguriert ist face-wink
Das dhcp statement am ip route Kommando implementiert von sich aus einen DHCP Server um das weiterzugeben. Guckst du hier:
http://www.cisco.com/c/en/us/td/docs/ios/iproute_pi/command/reference/i ...
...unter ip route !
Das ist eher kontraproduktiv für dich !
Nur wie sage ich dem Cisco das er vlan 11 als default route hat und gleichzeitig aber auch dialer 0 und 1?
Mit statischen Routen unterschiedlicher Metrik !
Der Router kann ja immer nur eine zur Zeit benutzen. Wenn du ein Balancing oder eine Traffic Steuerung mit PBR willst musst du das zusätzlich konfigurieren.
Aber es muss doch gehen 3 WAN Anschlüsse gleichzeitig Online zu habe am Router
Ja natürlich. Das geht ja auch nur der Router kann ja nicht ohne spezifische Konfig raten welches Packet nun wo raus soll.
Wenn du VLAN Spezifisch die Interfaces nutzen willst, dann machst du das mit PBR.
Da kannst du dann sagen: Alle VLAN 2 Hosts via Dialer 0 ins Internet, alle VLAN10er via 1 und der Rest via vlan11
Das musst du dann über PBR customizen.
Serial90
Serial90 02.09.2016, aktualisiert am 03.09.2016 um 12:08:38 Uhr
Goto Top
So also ich habe es nun einmal ohne diesen dhcp befehl probiert.

ip route 0.0.0.0 0.0.0.0 vlan 11

und sowie ich dann enter drücke ist alles tot?! Kein ping mehr. --->gebe ich den dhcp wieder hinzu geht sofort alles wieder?
ppp ipcp ist aber auf allen dialer aus.

Das mit den Routen habe ich nun auch begriffen. Werde es mit nem Loadbalancing machen + PBR aber das mache ich morgen bzw versuche ich.

Nun habe ich noch eine Frage:
Ich möchte gerne ein Forwarding machen zu einem host (192.168.83.9) ssh und FTP, habe nach deiner Anleitung konfiguriert. Kann man das so machen oder gibt es da bessere Lösungen?

ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip nat inside source static tcp 192.168.83.9 22 interface Vlan11 22
ip nat inside source static tcp 192.168.83.9 21 interface Vlan11 21
ip route 0.0.0.0 0.0.0.0 Vlan11 dhcp
ip route 0.0.0.0 0.0.0.0 Dialer0 dhcp 2
ip route 0.0.0.0 0.0.0.0 Dialer1 dhcp 3


access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 permit ip 192.168.83.0 0.0.0.255 any
access-list 103 deny ip host 192.168.83.9 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
dialer-list 1 protocol ip list 101

bräuchte dazu nochmals deine Hilfe bitte. Danke!

Zudem müsste ich noch wissen wie ich eine Port Range also SSL z.b 50000-50009 freigebe via static nat?
aqui
aqui 03.09.2016 aktualisiert um 13:15:45 Uhr
Goto Top
Kein ping mehr. --->gebe ich den dhcp wieder hinzu geht sofort alles wieder?
Sorry, du hast recht ! Freudsche Fehlleistung face-wink
Das Interface kann man einzig nur angeben wenn man einen Point to Point Link hat. Das ist bei einem DHCP basierten LAN natürlich nicht der Fall (Point to Multipoint). In so fern ist das dann richtig.
Bei den PPP Links aber definitiv nicht. Dort kann man rein mit dem Dialer Interface arebieten.
Kann man das so machen oder gibt es da bessere Lösungen?
Ja, das kann man so machen aber bedenke das man dann bei static NAT dieser Adresse diese aus dem PAT (overload NAT) entfernen muss ! Sonst greift das nicht.
Das machst du über die overload Access List indem du diese Hostadressen mit einem DENY Statement VOR dem Permit des netzes definierst !
Serial90
Serial90 03.09.2016 um 19:31:50 Uhr
Goto Top
Vielen Dank!
Ich habe soweit ersteinmal alles am laufen!

Nur bekomme ich keine SFTP Verbindung zu stande mit dem Cisco? Woran kann das liegen?

ip nat inside source static tcp 192.168.83.9 22 interface Vlan11 22
ip nat inside source static tcp 192.168.83.9 21 interface Vlan11 21
ip nat inside source static tcp 192.168.83.9 20 interface Vlan11 20

access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 deny ip host 192.168.83.9 any
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 permit ip 192.168.83.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
access-list 111 permit udp any any range 10000 20000
dialer-list 1 protocol ip list 101
aqui
aqui 04.09.2016 aktualisiert um 11:22:44 Uhr
Goto Top
ip nat inside source static tcp 192.168.83.9 21 interface Vlan11 21
ip nat inside source static tcp 192.168.83.9 20 interface Vlan11 20
Das oben ist aber kein SFTP, denn das sind die klassischen FTP Ports !!
FTP kannst du nicht via Port Forwarding über NAT übertragen. Jedenfalls nicht wenn Server und Clients nicht den PASSIVE Mode unterstützen.
Warum das so ist wird dir ganz gut hier erklärt:
http://slacksite.com/other/ftp.html
Speziell die Session Grafiken zeigen die NAT Problematik.
Du musst also sicherstellen das bei deinen FTP Komponenten Passive Mode aktiv ist !
Ansonsten nimm doch einfach SCP. Das nutzt nur Port 22 und mit dem kostenlosen WinSCP_Tool hast du auch eine schöne GUI dazu ! face-wink
Oder nutze FTP schlicht und einfach übers VPN.
Serial90
Serial90 07.09.2016 um 08:40:40 Uhr
Goto Top
Viele Dank!

SFTP funktioniert nun auch sehr gut habe das WinSCP_Tool genommen, super Tool danke nochmals für den Tipp!

Jetz hätte ich nur noch die Frage wie ich eine Range also z.b. SSL 50000-50009 freigebe via Static nat? Oder geht dies nicht?

Und ich habe noch ein Problem mit dem Kerio Operator ich komme durch die VPN Tunnel nicht auf die Adminoberfläche obwohl dies im Kerio freigeben ist? Als würde das https geblockt? Nur das kann doch nichts mit ACL oder NAT zu tun haben da ich ja im Tunnel bin und da ja meiner Meinung nach nichts blockiert wird oder?
aqui
aqui 08.09.2016 um 19:20:24 Uhr
Goto Top
Nein, da hast du Recht. Wenn du das IP Netz in der VPN ACL gesamt freigibst kommst du logischerweise mit allen Diensten durch.
Vermutlich blockt der Kerio das oder dessen lokale Firewall.
Am besten checkst du mal mit dem Wireshark was da am Kerio Port passiert.
Spasseshalber kannst du mal einen kleinen Webserver als Testserver starten wie den HFS
http://www.rejetto.com/hfs/
Da kannst du einfach die exe starten und hast einen Webserver zum testen mit HTTP oder HTTPS.
Wenn du fehlerlos auf den Zugreifen kannst, dann ist es der Kerio selber.
NAT scheidet auch aus, denn das machst du ja nicht im VPN !
Serial90
Serial90 09.09.2016 um 11:30:08 Uhr
Goto Top
Ok. Mit VPN ACL ist dann quasi die ext. ACL gemeint?
Das werde ich mal tun.
Noch ein Problem ist das ich mit dem Kerio zwar angerufen werden kann aber nicht rausrufen kann? Dies sollte doch aber gehen mit der Einstellung von oben?
aqui
aqui 09.09.2016 um 18:35:03 Uhr
Goto Top
Mit VPN ACL ist dann quasi die ext. ACL gemeint?
Nein, das ist die mit der man das Profil auf ein remotes VPN Netzwerk bindet...
Beispiel:
crypto map vpntest 15 ipsec-isakmp
=> Weist der Client Internet IP VPN IPCop Profil zu
description Tunnel Static IP IP-Cop
set peer 10.1.1.86
set transform-set testset
set isakmp-profile IPCop
match address vpnipcop
!
ip access-list extended vpnipcop
=> Bestimmt zu verschlüsselnden Traffic für VPN mit IP Cop
permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255

Die ACL permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255 bestimmt in welches Subnetz der Profiltraffic geforwardet wird (und auch verschlüsselt wird).
Serial90
Serial90 10.09.2016 aktualisiert um 09:37:25 Uhr
Goto Top
Ah ok, das werde ich gleich mal austesten. Vielen Dank.

Nun noch das schlimmere Problem das ich mit dem KERIO operator nicht mehr raus rufen kann?
Rein geht?! Aber wenn ich versuche raus zu kommen mit irgend einem Telefon ist besetzt.
Der Kerio Zeigt im log aber auch keinen Fehler an?

Was kann das sein an der Config hat sich eigentlich nichts geändert?

ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp

no ip nat service sip udp port 5060
ip nat inside source static tcp 192.168.83.9 22 interface Vlan11 22
ip nat inside source static tcp 192.168.83.9 50000 interface Vlan11 50000
ip nat inside source static tcp 192.168.83.9 50001 interface Vlan11 50001
ip nat inside source static tcp 192.168.83.9 50002 interface Vlan11 50002
ip nat inside source static tcp 192.168.83.9 50003 interface Vlan11 50003
ip nat inside source static tcp 192.168.83.9 50004 interface Vlan11 50004
ip nat inside source static tcp 192.168.83.9 50005 interface Vlan11 50005
ip nat inside source static tcp 192.168.83.9 50006 interface Vlan11 50006
ip nat inside source static tcp 192.168.83.9 50007 interface Vlan11 50007
ip nat inside source static tcp 192.168.83.9 50008 interface Vlan11 50008
ip nat inside source static tcp 192.168.83.9 50009 interface Vlan11 50009
ip nat inside source static tcp 192.168.83.9 21 interface Vlan11 21
ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 2
ip route 0.0.0.0 0.0.0.0 Dialer1 3
ip route 0.0.0.0 0.0.0.0 Vlan11 dhcp
!
ip access-list extended VPNMKDYN1
permit ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
ip access-list extended VPNMKDYN2
permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
permit ip 192.168.83.0 0.0.0.255 10.250.10.0 0.0.0.255
ip access-list extended VPNMKDYN3
permit ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
permit ip 192.168.83.0 0.0.0.255 192.168.55.0 0.0.0.255
!
logging esm config
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 permit ip 192.168.83.0 0.0.0.255 any
access-list 103 deny ip host 192.168.83.9 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
access-list 111 permit udp any eq bootps any
access-list 111 permit icmp any any echo
access-list 111 permit udp any eq 5060 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
access-list 111 permit udp any range 10000 20000 any
access-list 111 permit tcp any range 50000 50009 any
dialer-list 1 protocol ip list 101
no cdp run


hier noch ein Debug auf die ACL 111

Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Access List(31), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, IPSec input classification(37), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, NAT Outside(64), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, MCI Check(78), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, CCE Post NAT Classification(38), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Stateful IPS (CCE)(40), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Firewall (NAT)(43), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Firewall (inspect)(48), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, NAT ALG proxy(53), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Post-Ingress-NetFlow(66), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), g=192.168.83.200, len 449, forward
Sep 10 07:34:19.796: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, sending full packet
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150, len 586, input feature, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150, len 586, input feature, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150, len 586, input feature, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150, len 586, input feature, MCI Check(78), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Post-routing NAT Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.824: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, IPSec output classification(32), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, CCE Post NAT Classification(38), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Stateful IPS (CCE)(40), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Firewall (NAT)(43), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Firewall (inspect)(48), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, NAT ALG proxy(53), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Post-Ingress-NetFlow(66), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, IPSec: to crypto engine(68), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, output feature, Post-encryption output features(69), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), g=146.52.214.254, len 586, forward
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, post-encap feature, (1), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, post-encap feature, FastEther Channel(3), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:19.828: IP: s=146.52.214.103 (Vlan2), d=217.10.68.150 (Vlan11), len 586, sending full packet
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Access List(31), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, IPSec input classification(37), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, NAT Outside(64), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200, len 449, input feature, MCI Check(78), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, CCE Post NAT Classification(38), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Stateful IPS (CCE)(40), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Firewall (NAT)(43), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Firewall (inspect)(48), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, NAT ALG proxy(53), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, output feature, Post-Ingress-NetFlow(66), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), g=192.168.83.200, len 449, forward
Sep 10 07:34:20.304: IP: s=217.10.68.150 (Vlan11), d=192.168.83.200 (Vlan2), len 449, sending full packetu all

Gestern ging noch alles Wunderbar? Bin ratlos?
aqui
aqui 10.09.2016 um 12:11:37 Uhr
Goto Top
Problem das ich mit dem KERIO operator nicht mehr raus rufen kann?
WAS genau heisst das ?? TCP, UDP Protokoll ? Was macht dieser ominöse "Operator" ??
Gestern ging noch alles Wunderbar? Bin ratlos?
Ein Router verändert sich nicht von Geisterhand alleine !
Serial90
Serial90 10.09.2016 aktualisiert um 12:29:34 Uhr
Goto Top
UDP - Voip Calls via 5060 und 10000 20000.

Operator ist eine Asterisk Telefonanlage mit schönem Gui von KERIO.

Dieser hängt per ip (192.168.83.200) an dem Cisco.

Der Operator baut einen SIP-Trunk zu Sipgate auf via 5060. (Das funktioniert)

Dann setze ich einen Call ab zu einem beliebigen Ziel und bekomme ein besetzt vom Operator. (Im Cisco sieht das so aus wie oben im debug zu sehen ist)

Rufe ich allerdings meine Nummer an von extern (Handy) klingelt mein Cisco Telefon und es gehen auch Sprachpakete durch.

Ich habe Quasi ein Problem mit dem Operator nach draußen zu rufen? Nur warum?

Der KERIO Operator ist nicht das Problem denn lasse ich diesen über einen anderen Router laufen geht alles prima.
Serial90
Serial90 28.09.2016 um 07:53:33 Uhr
Goto Top
Moin moin,

also ich habe das KERIO - Problem gelöst in dem ich einmal bei Sipgate anrief und die haben mir dort gesagt das ich noch den Port 5061 weiterleiten muss zu dem Kerio und siehe da alles ging sofort prima!

Vielen Dank nochmals für deine schnelle Hilfe!
aqui
aqui 28.09.2016 um 09:53:26 Uhr
Goto Top
OK, das muss man natürlich wissen ! Hoffentlich posten die diese Info dann auch mal auf deren Support Seite...
Klasse wenns nun klappt wie es soll face-wink
Serial90
Serial90 01.10.2016 um 10:12:52 Uhr
Goto Top
Ich habe dann doch nochmal eine Frage.

Und zwar ist es möglich am Cisco auch via VPN 2 Netze zu routen?

Also ich habe hier am Cisco z.b. die 192.168.83.0 und meine Außenstelle hat die 192.168.36.0 und 192.168.40.0.

Nun möchte ich gerne über einen Tunnel in beide Netze kommen?! Am bintec ging das also müsste der Cisco das ja auch locker können?!

Ich dachte es würde einfach so gehen: !Geht aber nicht!

Der Tunnel ist da und ich komme auch wunderbar in das 36er Netz aber nicht in das 40er?!

crypto dynamic-map BINTEC 11
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN1

ip access-list extended VPNMKDYN1
permit ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
permit ip 192.168.83.0 0.0.0.255 192.168.40.0 0.0.0.255

access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 102 deny ip 192.168.83.0 0.0.0.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 192.168.83.0 0.0.0.255 any
aqui
aqui 01.10.2016 aktualisiert um 10:49:15 Uhr
Goto Top
Und zwar ist es möglich am Cisco auch via VPN 2 Netze zu routen?
Na klar ! face-wink
Am bintec ging das also müsste der Cisco das ja auch locker können?!
Lego, kann er natürlich auch...
Ich dachte es würde einfach so gehen: !Geht aber nicht!
Doch, wenn man weiss was man tut. Es ist ja ein klassisches Desin bei Netzen die remote segementiert sind face-big-smile
Soweit ist deine Konfig richtig, denn du hast in der Crypto ACL den Traffic drin und auch in der Deny ACL für das NAT.
Der Knackpunkt wird bei dir die Rückroute sein sprich der Bintec auf der anderen Seite.
Der wird vermutlich den Traffic mit Absender IPs aus dem .40.0er Netz nicht in den Tunnel routen bzw. dessen Crypto Map unterdrückt das und routet es lokal (Provider) ?!
Das wird der Fehler sein.
Schau dir mit dem show crypto isakmp sa mal die SAs an und checke ob die Packet counter da hochgehen, was dann anzeigt das .40.0er Traffic Cisco seitig in den Tunel geht (TX Zweig).
Wenn der RX Zweig auf 0 Byte bleibt ist die Sache dann klar, dann kommt vom Bintec nix.
Das Problem liegt zu 99,8% nicht am Cisco. So ein Szenario rennt fehlerlos hier.