Cisco887 VAW - Kabel Deutschland Anschluss
Moin moin,
ich habe seit einiger Zeit einen Cisco 887VAW bei mir laufen und das bis dato immer ohne Probleme.
Heute morgen jedoch habe ich versucht den Cisco via fast ethernet 2 und einem Vlan an meinen neuen Kabelanschluss (Kabel Deutschland 30 Mbit) anzubinden.
Der Cisco holt sich allerdings von dem Hitron cablemodem keine IP via DHCP. Am Modem ist der "Bridgemode" eingeschalten d.h es ist nur ein dummes Modem ohne NAT und co.
Mit einem Lancom oder bintec-elmeg Router funktioniert der Kabelanschluss einwandfrei. Auch nach einem Neustart des Modems holt sich der 887 keine IP.
Nun meine Frage: Was habe ich falsch konfiguriert oder vergessen an dem 887 einzustellen?
Hier einmal meine komplette Config:
Current configuration : 9346 bytes
!
! Last configuration change at 06:36:45 CEST Wed Aug 31 2016 by admin
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco887V
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 password.
enable password Pasword
!
no aaa new-model
!
no process cpu extended history
no process cpu autoprofile hog
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
service-module wlan-ap 0 bootimage autonomous
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.66.1 192.168.66.239
ip dhcp excluded-address 192.168.66.254
!
ip dhcp pool local
import all
network 192.168.66.0 255.255.255.0
default-router 192.168.66.1
dns-server 192.168.66.1
!
!
ip cef
ip domain name media-kontor
ip name-server 8.8.8.8
ip ips config location flash:ips retries 1
ip ips notify SDEE
ip ips name iosips
ip ips name ips list 111
!
ip ips signature-category
category all
retired true
category ios_ips basic
retired false
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip ddns update method dyndns
HTTP
add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
no ipv6 cef
!
!
multilink bundle-name authenticated
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
!
!
username admin privilege 15 secret 5 $ key
username vpn1 password 7 key
username vpngoup password 7 key
!
!
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
!
!
controller VDSL 0
shutdown
!
controller Cellular 0
!
ip tcp synwait-time 10
!
track 1 ip sla 1 reachability
!
crypto keyring VPNMK
pre-shared-key address 0.0.0.0 0.0.0.0 key key
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes 256
hash sha256
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key key
dns 192.168.66.1
domain media-kontor.com.local
pool vpnpool
save-password
max-users 5
banner ^C Willkommen im VPN von MEDIA-KONTOR ^C
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
crypto isakmp profile DynDialin
description VPNs mit dyn. IP
keyring VPNMK
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec transform-set CISCO-WRV esp-3des esp-sha-hmac
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
!
crypto dynamic-map BINTEC 10
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN
crypto dynamic-map BINTEC 11
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN1
crypto dynamic-map BINTEC 12
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN2
crypto dynamic-map BINTEC 13
set security-association lifetime seconds 86400
set transform-set CISCO-WRV
match address VPNMKDYN3
!
!
crypto map VPN 1 ipsec-isakmp dynamic BINTEC
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
switchport access vlan 11
no cdp enable
!
interface FastEthernet3
switchport access vlan 10
no cdp enable
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface wlan-ap0
description Internes Service Interface zum Management des internen WLAN APs
ip unnumbered Vlan1
no cdp enable
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no cdp enable
!
interface Cellular0
no ip address
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer pool-member 2
!
interface Vlan1
ip address 192.168.66.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan10
no ip address
ip nat outside
ip virtual-reassembly in
pppoe-client dial-pool-number 1
!
interface Vlan11
ip address dhcp
ip access-group 111 in
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
!
interface Dialer0
ip ddns update hostname hostname
ip ddns update dyndns
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
ip mtu 1452
ip flow ingress
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname test#0001@t-online.de
ppp chap password 0 test
ppp ipcp dns request
ppp ipcp route default
no cdp enable
crypto map VPN
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 2
dialer idle-timeout 0
dialer string gsm
dialer persistent
ppp chap hostname tm
ppp chap password 0 tm
ppp ipcp dns request
ppp ipcp route default
no cdp enable
!
ip local pool vpnpool 192.168.66.240 192.168.66.250
no ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 2
ip route 0.0.0.0 0.0.0.0 Vlan11 3
!
ip access-list extended VPNMKDYN
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
ip access-list extended VPNMKDYN1
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
ip access-list extended VPNMKDYN2
permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
ip access-list extended VPNMKDYN3
permit ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
!
ip sla 1
icmp-echo 8.8.8.8 source-interface Dialer0
frequency 5
ip sla schedule 1 life forever start-time now
ip sla auto discovery
logging esm config
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
dialer-list 1 protocol ip list 101
no cdp run
!
!
!
!
route-map 3g-nat permit 10
match ip address 101
match interface Dialer1
!
route-map cable-nat permit 10
match ip address 101
match interface Vlan11
!
route-map adsl-nat permit 10
match ip address 101
match interface Dialer0
!
!
control-plane
!
alias exec zumwlanap service-module wlan-ap 0 session
banner login ^CWelcome MEDIA-KONTOR Admin^C
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line 3
script dialer gsm
no exec
rxspeed 7200000
txspeed 5760000
line vty 0 4
access-class 23 in
privilege level 15
password key
login local
transport input ssh
!
ntp server 130.149.17.8 source Dialer0
end
ich habe seit einiger Zeit einen Cisco 887VAW bei mir laufen und das bis dato immer ohne Probleme.
Heute morgen jedoch habe ich versucht den Cisco via fast ethernet 2 und einem Vlan an meinen neuen Kabelanschluss (Kabel Deutschland 30 Mbit) anzubinden.
Der Cisco holt sich allerdings von dem Hitron cablemodem keine IP via DHCP. Am Modem ist der "Bridgemode" eingeschalten d.h es ist nur ein dummes Modem ohne NAT und co.
Mit einem Lancom oder bintec-elmeg Router funktioniert der Kabelanschluss einwandfrei. Auch nach einem Neustart des Modems holt sich der 887 keine IP.
Nun meine Frage: Was habe ich falsch konfiguriert oder vergessen an dem 887 einzustellen?
Hier einmal meine komplette Config:
Current configuration : 9346 bytes
!
! Last configuration change at 06:36:45 CEST Wed Aug 31 2016 by admin
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco887V
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 password.
enable password Pasword
!
no aaa new-model
!
no process cpu extended history
no process cpu autoprofile hog
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
service-module wlan-ap 0 bootimage autonomous
crypto pki token default removal timeout 0
!
!
ip source-route
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.66.1 192.168.66.239
ip dhcp excluded-address 192.168.66.254
!
ip dhcp pool local
import all
network 192.168.66.0 255.255.255.0
default-router 192.168.66.1
dns-server 192.168.66.1
!
!
ip cef
ip domain name media-kontor
ip name-server 8.8.8.8
ip ips config location flash:ips retries 1
ip ips notify SDEE
ip ips name iosips
ip ips name ips list 111
!
ip ips signature-category
category all
retired true
category ios_ips basic
retired false
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip ddns update method dyndns
HTTP
add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
no ipv6 cef
!
!
multilink bundle-name authenticated
chat-script gsm "" "atdt*98*1#" TIMEOUT 180 "CONNECT"
license udi pid CISCO887VGW-GNE-K9 sn FCZ1608C0FW
!
!
username admin privilege 15 secret 5 $ key
username vpn1 password 7 key
username vpngoup password 7 key
!
!
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
!
!
controller VDSL 0
shutdown
!
controller Cellular 0
!
ip tcp synwait-time 10
!
track 1 ip sla 1 reachability
!
crypto keyring VPNMK
pre-shared-key address 0.0.0.0 0.0.0.0 key key
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes 256
hash sha256
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key key
dns 192.168.66.1
domain media-kontor.com.local
pool vpnpool
save-password
max-users 5
banner ^C Willkommen im VPN von MEDIA-KONTOR ^C
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
crypto isakmp profile DynDialin
description VPNs mit dyn. IP
keyring VPNMK
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
crypto ipsec transform-set CISCO-WRV esp-3des esp-sha-hmac
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
!
crypto dynamic-map BINTEC 10
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN
crypto dynamic-map BINTEC 11
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN1
crypto dynamic-map BINTEC 12
set security-association lifetime seconds 86400
set transform-set myset
match address VPNMKDYN2
crypto dynamic-map BINTEC 13
set security-association lifetime seconds 86400
set transform-set CISCO-WRV
match address VPNMKDYN3
!
!
crypto map VPN 1 ipsec-isakmp dynamic BINTEC
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
switchport access vlan 11
no cdp enable
!
interface FastEthernet3
switchport access vlan 10
no cdp enable
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface wlan-ap0
description Internes Service Interface zum Management des internen WLAN APs
ip unnumbered Vlan1
no cdp enable
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no cdp enable
!
interface Cellular0
no ip address
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer pool-member 2
!
interface Vlan1
ip address 192.168.66.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan10
no ip address
ip nat outside
ip virtual-reassembly in
pppoe-client dial-pool-number 1
!
interface Vlan11
ip address dhcp
ip access-group 111 in
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
!
interface Dialer0
ip ddns update hostname hostname
ip ddns update dyndns
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
ip mtu 1452
ip flow ingress
ip nat outside
ip ips iosips in
ip ips iosips out
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname test#0001@t-online.de
ppp chap password 0 test
ppp ipcp dns request
ppp ipcp route default
no cdp enable
crypto map VPN
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 2
dialer idle-timeout 0
dialer string gsm
dialer persistent
ppp chap hostname tm
ppp chap password 0 tm
ppp ipcp dns request
ppp ipcp route default
no cdp enable
!
ip local pool vpnpool 192.168.66.240 192.168.66.250
no ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
no ip nat service sip udp port 5060
ip nat inside source route-map 3g-nat interface Dialer1 overload
ip nat inside source route-map adsl-nat interface Dialer0 overload
ip nat inside source route-map cable-nat interface Vlan11 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 2
ip route 0.0.0.0 0.0.0.0 Vlan11 3
!
ip access-list extended VPNMKDYN
permit ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
ip access-list extended VPNMKDYN1
permit ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
ip access-list extended VPNMKDYN2
permit ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
ip access-list extended VPNMKDYN3
permit ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
!
ip sla 1
icmp-echo 8.8.8.8 source-interface Dialer0
frequency 5
ip sla schedule 1 life forever start-time now
ip sla auto discovery
logging esm config
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 10.250.10.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.36.0 0.0.0.255
access-list 101 deny ip 192.168.66.0 0.0.0.255 192.168.83.0 0.0.0.255
access-list 101 permit ip 192.168.66.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq ntp any
access-list 111 permit ip host 204.13.248.111 any log-input DynDNS_perm
access-list 111 permit udp any eq bootpc any
dialer-list 1 protocol ip list 101
no cdp run
!
!
!
!
route-map 3g-nat permit 10
match ip address 101
match interface Dialer1
!
route-map cable-nat permit 10
match ip address 101
match interface Vlan11
!
route-map adsl-nat permit 10
match ip address 101
match interface Dialer0
!
!
control-plane
!
alias exec zumwlanap service-module wlan-ap 0 session
banner login ^CWelcome MEDIA-KONTOR Admin^C
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line 3
script dialer gsm
no exec
rxspeed 7200000
txspeed 5760000
line vty 0 4
access-class 23 in
privilege level 15
password key
login local
transport input ssh
!
ntp server 130.149.17.8 source Dialer0
end
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314019
Url: https://administrator.de/contentid/314019
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
28 Kommentare
Neuester Kommentar
Das ist auch klar warum es nicht klappt !
Deine CBAC Access Liste 111 ist nicht für inbound DHCP Traffic freigegeben. Der DHCP Provider Offer mit UDP 68 bleibt so in der Firewall ACL hängen !
Du hast das zwar gemacht aber mit bootpc als ACL Statement, das ist aber der Client Request mit UDP 67. Ankommen muss aber der DHCP Offer vom Server mit UDP 68 und das ist das bootps Statement in der ACL.
Wenn du das änderst in deiner ACL 111 sollte es sofort klappen...
Da kannst du mal sehen wie gut deine Firewall funktioniert
Ändere also einfach dein ACL 111 Statement in:
access-list 111 permit udp any eq bootps any
Damit bekommt dein interface vlan 11 dann sofort eine IP Adresse per DHCP.
Wenn man das hiesige Cisco Tutorial liest ist das dort aber auch entsprechend beschrieben...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Deine CBAC Access Liste 111 ist nicht für inbound DHCP Traffic freigegeben. Der DHCP Provider Offer mit UDP 68 bleibt so in der Firewall ACL hängen !
Du hast das zwar gemacht aber mit bootpc als ACL Statement, das ist aber der Client Request mit UDP 67. Ankommen muss aber der DHCP Offer vom Server mit UDP 68 und das ist das bootps Statement in der ACL.
Wenn du das änderst in deiner ACL 111 sollte es sofort klappen...
Da kannst du mal sehen wie gut deine Firewall funktioniert
Ändere also einfach dein ACL 111 Statement in:
access-list 111 permit udp any eq bootps any
Damit bekommt dein interface vlan 11 dann sofort eine IP Adresse per DHCP.
Wenn man das hiesige Cisco Tutorial liest ist das dort aber auch entsprechend beschrieben...:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das Balancing ist nicht ganz einfach. Das kannst du letztlich nur über die SLA Steuerung hinbekommen.
Es geht aber auch mit statischen Routen Default Routen und entsprechender Metrik an diesen Routen. Der beste Link bekommt dann die beste Metrik der schlechteste die schlechteste Metrik das geht auch.
Das Problem ist aber das die statischen Routen vom Interface abhängig sind beim Umschalten nur nach dem Status gehen.
Will sagen solange das Interface bei show int im up up Status ist greift die Routen bzw. die Metrik nicht. Das kalppt nur wenn das Interface physisch auf Down geht.
Letzteres passiert aber nur wenn z.B. das KD Modem stirbt oder das Patchkabel an dem Port. Nicht aber wenn bei KD was im Zugangsnetz passiert oder bei den anderen Links.
Das kannst du logischerweise nur detektieren wenn du auf den jeweiligen Links die Connectivity zyklisch z.B. mit einem Ping an den next Hop Router oder einen anderen Host im Internet testest.
Und da wären wir dann wieder bei den SLAs....
Was den Durchsatz anbetrifft kann ich das nicht nachvollziehen. Ein 887vaw renn hier an 50 Mbit VDSL in fast Wirespeed mit PPPoE Encapsulation und Firewall CBAC ACL.
Es geht aber auch mit statischen Routen Default Routen und entsprechender Metrik an diesen Routen. Der beste Link bekommt dann die beste Metrik der schlechteste die schlechteste Metrik das geht auch.
Das Problem ist aber das die statischen Routen vom Interface abhängig sind beim Umschalten nur nach dem Status gehen.
Will sagen solange das Interface bei show int im up up Status ist greift die Routen bzw. die Metrik nicht. Das kalppt nur wenn das Interface physisch auf Down geht.
Letzteres passiert aber nur wenn z.B. das KD Modem stirbt oder das Patchkabel an dem Port. Nicht aber wenn bei KD was im Zugangsnetz passiert oder bei den anderen Links.
Das kannst du logischerweise nur detektieren wenn du auf den jeweiligen Links die Connectivity zyklisch z.B. mit einem Ping an den next Hop Router oder einen anderen Host im Internet testest.
Und da wären wir dann wieder bei den SLAs....
Was den Durchsatz anbetrifft kann ich das nicht nachvollziehen. Ein 887vaw renn hier an 50 Mbit VDSL in fast Wirespeed mit PPPoE Encapsulation und Firewall CBAC ACL.
bedeutet doch diese Config das ich immer nur den Kabelanschluss nutzen kann? Und nur beim Ausfall der Telekomanschluss einspringt?
Ja, aber das ist doch was du willst, oder ?Wenn du ein Policy Based Routing machen willst also einen aktive Lastverteilung musst du das zusätzlich konfigurieren. Hier findest du einen groben Überblick wie das geht:
Cisco Router 2 Gateways für verschiedene Clients
Zudem wollte ich eigentlich alle 3 WAN-IPs nutzen also müsste ich es irgendwie hinbekommen das alle 3 WANs gleichzeitig online sind und voll nutzbar.
Das geht ja generell nur musst du dem Router natürlich sagen welchen Traffic du wohin haben willst. Ohne dich kann er das ja (noch) nicht raten.
Hier rennt eine Version 15.4(3)M5 auf einem 886va.
Deine 2 VPNs musst du mit 2 Crypto Maps lösen. Eine aktivierst du auf dem KD Anschluss und die andere auf dem T-Com Port. So wäre das sauber getrennt.
Du kannst aber auch beide Ports über eine Crypto Map arbeiten, müsstest dann aber ggf. mit ACLs arbeiten wenn die VPNs vollkommen getrennt sein sollen. Der Aufwand ist da größer so das 2 Maps sinnvoller ist.
Dein Ping Fehler ist Client basierend gemeint, oder ?
Das liegt vermutlich daran, das dein VPN Client das Default Gateway beim Dialin auf die Tunnel IP setzt und damit dann alles in den Tunnel routet. Kann das sein ?
Mach mal einen Traceroute oder Pathping, dann siehst du das. Generell ist ein WAN Port vollkommen unabhängig vom VPN Verhalten. Die siehst das jetzt vermutlich nur mit einem Client. Wenn du aber einen anderen nimmst egal wo im Internet kann der ganz sicher pingen.
Der WAN Port geht ja niemals auf down wenn ein VPN aktiv ist das wär ja Unsinn. Denk immer dran wohin gerade deine Default Route zeigt !! Das ist relevant für die Wegefindung !
Was logischerweise nicht geht ist das du im KD Port reinkommst, Antworten aber über den T-Com Port gesendet werden.
Dann hätten Reply Pakete eine andere Absender IP was beim TCP/IP Stack und auch ICMP zum sofortigen Session Abbruch führt !
Deine 2 VPNs musst du mit 2 Crypto Maps lösen. Eine aktivierst du auf dem KD Anschluss und die andere auf dem T-Com Port. So wäre das sauber getrennt.
Du kannst aber auch beide Ports über eine Crypto Map arbeiten, müsstest dann aber ggf. mit ACLs arbeiten wenn die VPNs vollkommen getrennt sein sollen. Der Aufwand ist da größer so das 2 Maps sinnvoller ist.
Dein Ping Fehler ist Client basierend gemeint, oder ?
Das liegt vermutlich daran, das dein VPN Client das Default Gateway beim Dialin auf die Tunnel IP setzt und damit dann alles in den Tunnel routet. Kann das sein ?
Mach mal einen Traceroute oder Pathping, dann siehst du das. Generell ist ein WAN Port vollkommen unabhängig vom VPN Verhalten. Die siehst das jetzt vermutlich nur mit einem Client. Wenn du aber einen anderen nimmst egal wo im Internet kann der ganz sicher pingen.
Der WAN Port geht ja niemals auf down wenn ein VPN aktiv ist das wär ja Unsinn. Denk immer dran wohin gerade deine Default Route zeigt !! Das ist relevant für die Wegefindung !
Was logischerweise nicht geht ist das du im KD Port reinkommst, Antworten aber über den T-Com Port gesendet werden.
Dann hätten Reply Pakete eine andere Absender IP was beim TCP/IP Stack und auch ICMP zum sofortigen Session Abbruch führt !
Hier muss ja denke ich ein Problem bei meinen Standartrouten vorliegen?
Setz mal die Interfaces vlan11 und Dialer1 auf shutdown !Kannst du dann via Dialer 0 pingen ?
Kann es sein das du die Default Route via Dialer0 per ppp ipcp route default automatisch injizierst ??
Das darfst du niemals machen wenn du mit mehreren Internet Interfacen und statischen Default Routen mit unterschiedlichen Metriken arbeitest. Das musst du aus allen Dialer Interfaces dann entfernen !
Du siehst das daran das die statische vlan11 Default Route immer Priorität hat !
PPP Injizierung immer nur wenn man einen singulären Internet Link hat.
Die Interfaces hinter deinen statischen Routen (dhcp, dhcp2-3) sind das Aliase ??
Ich dachte das dieser befehl bedeutet das vlan 11 seine Ip und die IP des default Gateway von Kabel Deutschland via dhcp holt?
Nein, das tut es allein schon damit das ip address dhcp auf dem vlan11 Interface konfiguriert ist Das dhcp statement am ip route Kommando implementiert von sich aus einen DHCP Server um das weiterzugeben. Guckst du hier:
http://www.cisco.com/c/en/us/td/docs/ios/iproute_pi/command/reference/i ...
...unter ip route !
Das ist eher kontraproduktiv für dich !
Nur wie sage ich dem Cisco das er vlan 11 als default route hat und gleichzeitig aber auch dialer 0 und 1?
Mit statischen Routen unterschiedlicher Metrik !Der Router kann ja immer nur eine zur Zeit benutzen. Wenn du ein Balancing oder eine Traffic Steuerung mit PBR willst musst du das zusätzlich konfigurieren.
Aber es muss doch gehen 3 WAN Anschlüsse gleichzeitig Online zu habe am Router
Ja natürlich. Das geht ja auch nur der Router kann ja nicht ohne spezifische Konfig raten welches Packet nun wo raus soll.Wenn du VLAN Spezifisch die Interfaces nutzen willst, dann machst du das mit PBR.
Da kannst du dann sagen: Alle VLAN 2 Hosts via Dialer 0 ins Internet, alle VLAN10er via 1 und der Rest via vlan11
Das musst du dann über PBR customizen.
Kein ping mehr. --->gebe ich den dhcp wieder hinzu geht sofort alles wieder?
Sorry, du hast recht ! Freudsche Fehlleistung Das Interface kann man einzig nur angeben wenn man einen Point to Point Link hat. Das ist bei einem DHCP basierten LAN natürlich nicht der Fall (Point to Multipoint). In so fern ist das dann richtig.
Bei den PPP Links aber definitiv nicht. Dort kann man rein mit dem Dialer Interface arebieten.
Kann man das so machen oder gibt es da bessere Lösungen?
Ja, das kann man so machen aber bedenke das man dann bei static NAT dieser Adresse diese aus dem PAT (overload NAT) entfernen muss ! Sonst greift das nicht.Das machst du über die overload Access List indem du diese Hostadressen mit einem DENY Statement VOR dem Permit des netzes definierst !
ip nat inside source static tcp 192.168.83.9 21 interface Vlan11 21
ip nat inside source static tcp 192.168.83.9 20 interface Vlan11 20
Das oben ist aber kein SFTP, denn das sind die klassischen FTP Ports !!ip nat inside source static tcp 192.168.83.9 20 interface Vlan11 20
FTP kannst du nicht via Port Forwarding über NAT übertragen. Jedenfalls nicht wenn Server und Clients nicht den PASSIVE Mode unterstützen.
Warum das so ist wird dir ganz gut hier erklärt:
http://slacksite.com/other/ftp.html
Speziell die Session Grafiken zeigen die NAT Problematik.
Du musst also sicherstellen das bei deinen FTP Komponenten Passive Mode aktiv ist !
Ansonsten nimm doch einfach SCP. Das nutzt nur Port 22 und mit dem kostenlosen WinSCP_Tool hast du auch eine schöne GUI dazu !
Oder nutze FTP schlicht und einfach übers VPN.
Nein, da hast du Recht. Wenn du das IP Netz in der VPN ACL gesamt freigibst kommst du logischerweise mit allen Diensten durch.
Vermutlich blockt der Kerio das oder dessen lokale Firewall.
Am besten checkst du mal mit dem Wireshark was da am Kerio Port passiert.
Spasseshalber kannst du mal einen kleinen Webserver als Testserver starten wie den HFS
http://www.rejetto.com/hfs/
Da kannst du einfach die exe starten und hast einen Webserver zum testen mit HTTP oder HTTPS.
Wenn du fehlerlos auf den Zugreifen kannst, dann ist es der Kerio selber.
NAT scheidet auch aus, denn das machst du ja nicht im VPN !
Vermutlich blockt der Kerio das oder dessen lokale Firewall.
Am besten checkst du mal mit dem Wireshark was da am Kerio Port passiert.
Spasseshalber kannst du mal einen kleinen Webserver als Testserver starten wie den HFS
http://www.rejetto.com/hfs/
Da kannst du einfach die exe starten und hast einen Webserver zum testen mit HTTP oder HTTPS.
Wenn du fehlerlos auf den Zugreifen kannst, dann ist es der Kerio selber.
NAT scheidet auch aus, denn das machst du ja nicht im VPN !
Mit VPN ACL ist dann quasi die ext. ACL gemeint?
Nein, das ist die mit der man das Profil auf ein remotes VPN Netzwerk bindet...Beispiel:
crypto map vpntest 15 ipsec-isakmp => Weist der Client Internet IP VPN IPCop Profil zu
description Tunnel Static IP IP-Cop
set peer 10.1.1.86
set transform-set testset
set isakmp-profile IPCop
match address vpnipcop
!
ip access-list extended vpnipcop => Bestimmt zu verschlüsselnden Traffic für VPN mit IP Cop
permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255
Die ACL permit ip 172.16.7.0 0.0.0.255 172.16.70.0 0.0.0.255 bestimmt in welches Subnetz der Profiltraffic geforwardet wird (und auch verschlüsselt wird).
Und zwar ist es möglich am Cisco auch via VPN 2 Netze zu routen?
Na klar ! Am bintec ging das also müsste der Cisco das ja auch locker können?!
Lego, kann er natürlich auch...Ich dachte es würde einfach so gehen: !Geht aber nicht!
Doch, wenn man weiss was man tut. Es ist ja ein klassisches Desin bei Netzen die remote segementiert sind Soweit ist deine Konfig richtig, denn du hast in der Crypto ACL den Traffic drin und auch in der Deny ACL für das NAT.
Der Knackpunkt wird bei dir die Rückroute sein sprich der Bintec auf der anderen Seite.
Der wird vermutlich den Traffic mit Absender IPs aus dem .40.0er Netz nicht in den Tunnel routen bzw. dessen Crypto Map unterdrückt das und routet es lokal (Provider) ?!
Das wird der Fehler sein.
Schau dir mit dem show crypto isakmp sa mal die SAs an und checke ob die Packet counter da hochgehen, was dann anzeigt das .40.0er Traffic Cisco seitig in den Tunel geht (TX Zweig).
Wenn der RX Zweig auf 0 Byte bleibt ist die Sache dann klar, dann kommt vom Bintec nix.
Das Problem liegt zu 99,8% nicht am Cisco. So ein Szenario rennt fehlerlos hier.