serial90
Goto Top

Cisco887VAW - VDSL2Vect. via VLAN zu ISP

Moin moin,

ich habe mal wieder ein kleines Konfig.-Problem an meinem 887.

Und zwar war ich gezwungen den ISP zu wechseln:

Von der Telekom mit einer super pppoe-Einwahl mit Username und Passwort ZU

der Netkom mit einer VLAN-Verbindung.

Von meinem neuen ISP habe ich nur meine feste WAN-IP bekommen und eine VLAN-ID.

Mit einer Fritzbox 7490 funktioniert das alles wunderbar mit dem VLAN aber wie konfiguriere ich das in den Cisco887? Die Anleitung hier im Forum habe ich schon durchsucht aber leider nichts zu diesem Thema gefunden.

Der 887 ist sync. mit dem DSLAM des Betreibers und hat sogar das Vectoring gefressen.

Ich habe auch laut Anleitung das interface konfiguriert, nur jetzt weis ich nicht mehr weiter?! da es ja kein pppoe wird sonder VLAN?

interface Ethernet0.180
 encapsulation dot1Q 180
 no ip route-cache

Content-ID: 331165

Url: https://administrator.de/forum/cisco887vaw-vdsl2vect-via-vlan-zu-isp-331165.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

aqui
aqui 04.03.2017 aktualisiert um 13:10:16 Uhr
Goto Top
So sollte es klappen:
controller VDSL 0
!
interface Ethernet0
no ip address
no shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
shutdown
!
interface Ethernet0.180
description VDSL Internet Verbindung - VLAN 180 tagged
encapsulation dot1Q 180
pppoe enable
pppoe-client dial-pool-number 1
!

Der Dialer usw. bleibt erhalten, denn über die Userkennung bekommst du deine feste IP zugewiesen.
Auch wenn der Provider BNG nutzt wird die Verbindung per PPPoE Dialer gemacht und Username / Passwort wäre dann egal.
Serial90
Serial90 04.03.2017 aktualisiert um 14:06:45 Uhr
Goto Top
Leider funktioniert es so nicht bei mir?
Ich habe einen Dialer 1 erstellt und alles wie in der Anleitung konfiguriert außer eben Username und Passwort.

Interface                  IP-Address      OK? Method Status                Protocol
Cellular0                  unassigned      YES unset  up                    up      
Dialer0                    10.56.229.184   YES IPCP   up                    up      
Dialer1                    unassigned      YES IPCP   up                    up      
Ethernet0                  unassigned      YES NVRAM  up                    up      
Ethernet0.7                unassigned      YES unset  deleted               down    
Ethernet0.180              unassigned      YES unset  up                    up      
FastEthernet0              unassigned      YES unset  down                  down    
FastEthernet1              unassigned      YES unset  down                  down    
FastEthernet2              unassigned      YES unset  down                  down    
FastEthernet3              unassigned      YES unset  down                  down    
NVI0                       unassigned      YES unset  administratively down down    
Virtual-Access1            unassigned      YES unset  down                  down    
Virtual-Access2            unassigned      YES unset  up                    up      
Virtual-Template1          192.168.66.254  YES unset  down                  down    
Vlan1                      192.168.66.254  YES NVRAM  up                    up      
Wlan-GigabitEthernet0      unassigned      YES unset  up                    up      
wlan-ap0                   192.168.66.254  YES unset  up                    up

Hier mal noch ein Bild wie man es laut ISP in der Fritzbox einstellen muss und so läuft es damit auch:
bildschirmfoto 2017-03-04 um 14.05.35
aqui
aqui 04.03.2017 aktualisiert um 14:25:07 Uhr
Goto Top
Entscheidend war der Haken ganz unten "IP Adresse über DHCP beziehen" !
Logisch und klar das ein PPPoE Dialer damit dann natürlich sinnfrei ist. Das Dialer Interface kannst du dann auch entfernen. Das Interface muss dann als DHCP Client definiert werden um eine IP Adresse zu requesten.
Da hättest du aber auch leicht selber drauf kommen können...! face-wink
Beachte dann das du NAT (ip nat outside) , Firewalling, CBAC ACL usw. alles auf dem Subinterface konfigurieren musst.

Das sollte dann das Problem lösen:
!
controller VDSL 0
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.180
description VDSL Internet Verbindung - VLAN 180 tagged
encapsulation dot1Q 180
ip address dhcp
!

Ein sh ip int brief zeigt dir an ob du eine gültige IP bzw. deine IP vom Provider bekommen hast.
Serial90
Serial90 04.03.2017 um 14:26:50 Uhr
Goto Top
ah ok! :D

Also eine IP habe ich jetzt an dem ethernet0.180 interface.
Und nun setze ich quasi das ethernet0.180 interface überall (ACL und NAT usw.) anstelle des Dialer 1 ein?
aqui
aqui 04.03.2017 aktualisiert um 15:07:18 Uhr
Goto Top
Ja. So sollte es komplett aussehen:
!
interface Ethernet0.180
description VDSL Internet Verbindung - VLAN 180 tagged
encapsulation dot1Q 180
ip address dhcp
ip access-group 111 in
mtu 1492
ip nat outside
ip inspect myfw out
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
!
ip nat inside source list 101 interface Ethernet0.180 overload
Serial90
Serial90 04.03.2017 um 15:21:15 Uhr
Goto Top
Jetzt geht es! (DANKE!)
Habe ne IP bekommen und kann auch google.de und Heise.de usw. pingen, allerdings sind manche Seiten nicht erreichbar und der DNS-Aufbau sehr schleppend? Kann das an dem alten Cisco und meiner Konfig liegen oder ist da eher bei dem Provider was im argen?
aqui
aqui 04.03.2017 um 15:34:15 Uhr
Goto Top
allerdings sind manche Seiten nicht erreichbar
Das ist ein MTU Problem. Ggf. musst du die MTU oben noch weiter runterschrauben. Musst du mal mit einem Ping austesten was maximal geht:
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on- ...
http://www.tp-link.com/us/FAQ-190.html
Der Grund ist der hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
und der DNS-Aufbau sehr schleppend?
DNS und statische Default Route solltest du dann mit dem DHCP vom Provider bekommen.
Lass den Cisco dann als Prxy DNS laufen.
biteater123
biteater123 04.03.2017 um 17:05:19 Uhr
Goto Top
Da Sie nun per dhcp eine IP erhalten und direkt IP im (Ethernet-)vlan 180 gesprochen wird,
sollten Sie auf dem WAN-Interface die MUT auch wieder auch 1500 Ethernet-Standard aendern -
1492 sind 1500 minus die 8 Byte PPPoE header.

also:

conf t
int ethernet 0.180
 mtu 1500
 ip mtu 1500
end
wr m

Ab besten jedoch - zusaetzlich :

conf t
int ethernet 0.180
 ip tcp adjust-mss 1280
int vlan 1
 ip tcp adjust-mss 1280
end
wr m

dann hat es auch keine Probleme mehr wenn die Gegenseite xDSL hat (mit pppoet oder noch weiter eingeschraenkter MTU 1452 findet man in der Cisco-Literatur) oder man mal per LTE/umts nach Hause verbindet.
Serial90
Serial90 04.03.2017 aktualisiert um 17:29:07 Uhr
Goto Top
@aqui Danke! das war wirklich die MTU bin auf 1480 runter und jetzt geht alles.
Mit welchen Befehl sage ich dem Cisco das er als Prxy dns laufen soll?

@BitEater wenn ich versuche auf das ethernet0.180 den mtu befehlt einzugeben meckert der Cisco mit einem fehler.
Er nimmt nur den ip mtu Befehl an?!

Aber der 887 ist denke ich überfordert mit ips und CBAC kommen von meinen 100.000 nur 25.000 durch und CPU klemmt am Anschlag leider!

Werde mich wohl nach einem stärkeren Cisco umsehen müssen demnächst. Mit den 16.000 von der Telekom war er immer super unterwegs.
biteater123
biteater123 04.03.2017 um 17:46:38 Uhr
Goto Top
Sorry, "MTU" sollte auf dem physikalischen ethernet 0 tun,
auf dem dot-q subinterface nur ip mtu.

887va ist seltsam, DE ist doch annex-B (also eigentlich 886VA) und nicht annex-A ? gilt wohl nur fuer _A_DSL ...

bei ip per dhcp sollte eigentlich auch die "volle" ip mtu von 1500 moeglich sein,
1480 klingt da schon komisch.

Was fuer DNS-Server-IP Adressen vergibt denn der dhcp-server in der 887 fuer das vlan 1 ?
Ggf. antworten die t-com dns-resolver kunden anderer Provider nicht so gern
(ggf. mal die beliebten google-dns-server verwenden, z.B.)

BTW, welches IOS, welche VDSL-Firmware, ... und Spass macht es doch erst mit "AIS" Lizenz.

Ansonsten wuerde ich "firewalling" und "routing" schoen trennen, fuer beides gibt es spezialisierte Hardware face-smile
biteater123
biteater123 04.03.2017 um 17:49:58 Uhr
Goto Top
also eine Cisco 887 duerfte eigentlich _nicht_ an einem T-COM ADSL 1600 laufen,
denn die 887 ist ein annex-a geraet (England, Spanien, Italien, Frankreich...).
Die 886 waere das annex-b Geraet fuer ISDN-Deutschland .
aqui
aqui 04.03.2017, aktualisiert am 05.03.2017 um 13:15:05 Uhr
Goto Top
Du solltest zusätzlich noch die MSS auf dem lokalen Ethernet entsprechend setzen:
ip tcp adjust-mss 1452

Mit welchen Befehl sage ich dem Cisco das er als Prxy dns laufen soll?
Das ist das globale Kommando ip dns server
Ob das korrekt arbeitet kannst du dann mit show hosts sehen wenn du die Cisco LAN IP als DNS Server bei den Clients angibst.
Serial90
Serial90 04.03.2017 um 21:49:01 Uhr
Goto Top
OK. Vielen Dank für den Tipp! Läuft jetzt einwandfrei! Immer wieder super hier!

Vielen Dank!
Serial90
Serial90 21.06.2017 um 08:32:41 Uhr
Goto Top
Moin moin!

Ich habe noch eine Frage zu dem Thema.

Und zwar meldet mir der Cisco wenn ich :

ip route 0.0.0.0 0.0.0.0 ethernet 0.180

setze

%Default route without gateway, if not a point-to-point interface, may impact performance

Wie kann ich das noch besser machen? Müsste ich mir hierfür vom ISP das default Gateway nennen lassen und dieses dann anstelle des Interface einfügen?
biteater123
Lösung biteater123 21.06.2017 aktualisiert um 21:39:15 Uhr
Goto Top
Wenn man per dhcp seine WAN-IP zugeteilt bekommt, dann ist normalerweise auch das default-gateway mit dabei. Anschauen mit
sh dhcp lease
Man kann darauf Routen setzen, syntax ist (beispielhaft!)
 ip route 8.4.8.4 255.255.255.255 ethernet 0.180 dhcp
Das geht natürlich auch mit der IPv4-default-route:
 ip route 0.0.0.0 0.0.0.0 ethernet 0.180 dhcp
Hope that help's!
biteater123
biteater123 21.06.2017 um 21:44:06 Uhr
Goto Top
die C897VA (annex-A) bzw C896VA (annex-B) bzw C891f (ohne xDSL modem) sind deutlich leistungsstärker...