17.07.2013

13023

Kleines Office Netzwerk mit Cisco Komponenten aufbauen - bitte um Hilfe!

Hallo Leute,

meine Aufgabe in der Firma soll es demnächst sein, unser Netzwerk neu aufzubauen. Dazu haben wir neue Cisco Geräte verfügbar. Zudem soll ein neues NAS (was wir auch schon da haben) mit integriert werden. Folgende Komponenten (alle schon da) sollen eingesetzt werden:

1x ZyXel VDSL2-Modem (Bez. unbekannt)
1x Cisco 1921 ISR Router
1x Cisco SGE2000P 24-Port PoE Switch
1x Cisco SF300 24 24-Port Switch
1x Cisco WAP321 WLAN-Access Point
1x QNAP TurboNas TS-469U
1x Fax/Analog ATA-Adapter von QSC

Nun soll folgende Infrastruktur aufgebaut werden:

- es sollen VLANs für verschiedene Zwecke verwendet werden
- es müssen VPN-Zugänge über IPSec bereitgestellt werden (für externe Mitarbeiter)
- jeder Switch soll verschiedene VLANs bereitstellen
- der Router soll den Internetzugang mithilfe des VDSL2-Modems ermöglichen
- der WLAN-AP sollen mobilen Geräten den Zugriff auf das Netzwerk/Internet ermöglichen
- das NAS hat 2 Gigabit Ports und soll im Trunk-Modus in das Netzwerk integriert werden (aus Geschwindigkeitsgründen)
- das ganze Netzwerk soll keine Probleme mit QSC IPfonie centraflex (virtuelle Cloud TK) bereiten

Meine Frage ist: ist das mit diesen Komponenten möglich?

P.S.: ich habe keine Erfahrung, wie man Cisco-Geräte mit IOS konfiguriert. Den Packet Tracer habe ich allerdings installiert.

Beste Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 211737

Url: https://administrator.de/contentid/211737

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

64 Kommentare

Neuester Kommentar

Hi ef,

Cisco IOS sollte das kleinste Problem sein. Das wird nur auf dem Router benötig.
Aber bei diesen, gut durchdachten, Anforderungen solltest dir lokale Hilfe holen. Die können das schnell und wenn sie nett sind erklären sie dir auch was sie tun und warum.

Gruß
Netman

Hallo ef,

der Meinung von MrNetman schließe ich mich gerne an;

- es sollen VLANs für verschiedene Zwecke verwendet werden

Wie gut oder erfahren bist Du damit?

- es müssen VPN-Zugänge über IPSec bereitgestellt werden (für externe Mitarbeiter)

VPNs + VOIP + Surfen + Mailen und alles über eine Leitung?
Darf ich einmal fragen um wie viele Leute es sich handelt?

- jeder Switch soll verschiedene VLANs bereitstellen

Das sollte wohl so funktionieren, wenn sie VLANs auch unterstützen

- der Router soll den Internetzugang mithilfe des VDSL2-Modems ermöglichen

Das ist wohl das kleinste Übel an der Geschichte.

- der WLAN-AP sollen mobilen Geräten den Zugriff auf das Netzwerk/Internet ermöglichen

Auf beides (Netzwerk & Internet)? Und für wie viele Geräte oder Benutzer denn?
Wie möchtet Ihr das WLAN eigentlich sichern? Mit einem Radius Server?

- das NAS hat 2 Gigabit Ports und soll im Trunk-Modus in das Netzwerk integriert werden (aus Geschwindigkeitsgründen)

Ihr wollt also das NAS Gerät mittels LAG (LACP) in das Netzwerk einbinden. Ok kein Thema würde ich auch so machen wollen

- das ganze Netzwerk soll keine Probleme mit QSC IPfonie centraflex (virtuelle Cloud TK) bereiten

Kannst Du mir das einmal verständlich erklären? Wie gut bist Du denn eigentlich mit cleveren QoS Regeln zum Priorisieren und zum Trennen des Netzwerkverkehrs.

Meine Frage ist: ist das mit diesen Komponenten möglich?

Ganz bestimmt sogar, nur ob eben Du das hinbekommst und wenn ja wie Du das konfiguriert bekommst
ist doch hier die Frage.

Viel Glück und Erfolg
Dobby

Hallo.

Wie gut oder erfahren bist Du damit?

Ich habe mir die Grundlagen in einem Fachbuch durchgelesen und soweit, denke ich, auch verstanden. Umgesetzt habe ich diese Sache aber noch nicht. Zumal ich leider nicht weiß, welche Methode für uns die richtige ist.

VPNs + VOIP + Surfen + Mailen und alles über eine Leitung?
Darf ich einmal fragen um wie viele Leute es sich handelt?

Gern. Wir sind 7 Leute in unserem Office. Als WAN-Leitung verwenden wir eine 50Mbit/10Mbit VDSL2-Leitung.

Das sollte wohl so funktionieren, wenn sie VLANs auch unterstützen

Ok. Habe mir die Oberflächen der Switches angeschaut. Bei jedem war ein Menüpunkt, der sich um VLANs kümmerte.

Auf beides (Netzwerk & Internet)? Und für wie viele Geräte oder Benutzer denn?
Wie möchtet Ihr das WLAN eigentlich sichern? Mit einem Radius Server?

Ja, auf Internet und Netzwerk. Es geht nur um 3 Notebooks und allgemein 5 Smartphones, die aber nicht viel Traffic verursachen. Mit dem Thema Sicherheit bei WLANs bin ich nicht so vertraut. Kenne nur die üblichen Mehtoden (WPA2 - diese wollte ich verwenden).

Kannst Du mir das einmal verständlich erklären? Wie gut bist Du denn eigentlich mit cleveren QoS Regeln zum
Priorisieren und zum Trennen des Netzwerkverkehrs.

Da habe ich leider überhaupt keine Ahnung. QSC hat uns lediglich die Ports mitgeteilt, die unbedingt geöffnet werden müssen.

Viel Glück und Erfolg
Dobby

Danke

Wenn ich flüchtig überlege:

Für so wenig Benutzer muss man nicht eine extrem saubere Infrastruktur bauen.

Aber so könnte es sein.
Ein VLAN für VoIP oder arbeitet ihr mit Soft-Clients auf dem PC?
Ein VLAN für die Daten.
Zwei VLANs für WLAN (normaler Netzzugriff und Gästenetz fürs Internet).
Typischweise verbindet man ein VLAN mit einem IP-Adressbereich um zwischen den VLANs Verbindungen schaffen zu können.
Wer macht den DHCP?

Die Verbindung der VLANs sollte über den Cisco Router passieren. Dazu wird er mit einem getaggten Port (trunk) angeschlossen. Evtl kann der Router auch noch die Adressvergabe erledigen. Ob er einen DNS Cache hat, weiß ich nicht. Besser sollte das der noch nicht erwähnte Server machen.
Auch der VPN ist Sache des Cisco. Man braucht dazu meist auch die Cisco VPN-Clients.
schau mal da: http://www.cisco.com/en/US/docs/voice_ip_comm/cvd/G2basicsmbrnt/Overvie ...

lg Netman

Hi ef,

also im Prinzip sollte das alles möglich sein. Auch mit den Komponenten, die du aufgeschrieben hast. Die Frage ist aber, ob und welche Server ihr noch in das Netzwerk integrieren wollt/müsst und ob die alle vor Ort sind oder ob die da auch noch eine Verbindung zu einem anderen Standort braucht.

Die VLANs scheinen bei dir der Kernpunkt der ganzen Konfiguration zu werden. Ich kann zwar nicht herauslesen wie viele VLANs du brauchen wirst, aber auf jeden Fall ist das der schwierigste Punkt des ganzen Netzwerks. Also solltest du dich da am meisten informieren.

Ich persönlich würde für den WLAN-AP empfehlen, dass der ein eigenes VLAN bekommt und darüber Kontakt zu einem RADIUS oder ähnliches hat. So kannst du zusätzlich zu einem starken WPA2-Key für ein bisschen mehr Sicherheit sorgen.

Ich hoffe, ich konnte helfen

Hallo,

@MrNetman

Für so wenig Benutzer muss man nicht eine extrem saubere Infrastruktur bauen.

O DOCH!

Wenn du hier schon mit dem Schlampen anfängst, bekommst du das in einer großen Struktur nie wieder raus....

Der Router kann die IP Vergabe mit machen,
VPN macht auch der Cisco. Ob du einen VPN Client benötigst hängt davon ab, was für ein VPN.
Da bieten sich der Cisco VPN Client an, oder Shrew, oder....

brammer

Hallo.

Ein VLAN für VoIP oder arbeitet ihr mit Soft-Clients auf dem PC?

Wir haben ein snom 370 Telefon und einen Analog/Fax-Adapter. Ansonsten nutzen wir nur Soft-Clients.

Ein VLAN für die Daten.
Zwei VLANs für WLAN (normaler Netzzugriff und Gästenetz fürs Internet).

Ok. Diese Aufteilung finde ich mit dem VoIP-VLAN sehr gut. Ein VLAN brauche ich noch für unsere "Labor-Rechner". Die wollen wir ungern im Produktionsnetz haben.

Typischweise verbindet man ein VLAN mit einem IP-Adressbereich um zwischen den VLANs Verbindungen schaffen zu können.

Ok, verstanden.

Wer macht den DHCP?

Hier habe ich gedacht, dass der Cisco Router DHCP und DNS übernimmt. Wir haben sonst kein Gerät, was das kann.

Hi ef,

Die Frage ist aber, ob und welche Server ihr noch in das Netzwerk integrieren wollt/müsst und ob die alle vor Ort sind oder ob die da auch noch eine Verbindung zu einem anderen Standort braucht.

Wir haben eigentlich keine weiteren Server im Einsatz, da bei uns vieles in die Cloud geschoben wurde. Lediglich das NAS wollen wir noch laufen lassen (für die Backups der lokalen Rechner).

Die VLANs scheinen bei dir der Kernpunkt der ganzen Konfiguration zu werden. Ich kann zwar nicht herauslesen wie viele VLANs du brauchen wirst, aber auf jeden Fall ist das der schwierigste Punkt des ganzen Netzwerks.

Normalerweise sollten 5 reichen (Daten, VoiP, 2x WLAN, Labor).

Hallo nochmal,

Ich habe mir die Grundlagen in einem Fachbuch durchgelesen und soweit,...

Ok mit ein paar Anleitungen und ein paar Überstunden sollte das auch zu machen sein.
- VLAN1 ist in der Regel (nicht bei jedem Hersteller) das Default VLAN und alle angeschlossenen Geräte sind dort eben
auch dann Mitglieder, das wird daher oftmals von den Administratoren als "Administrations VLAN" benutzt.
- Lege die VLANs an und wenn Du damit fertig bist über alle anderen bis auf das VLAN1 noch einmal eines drüber,
somit sind die normalen VLANs zum Arbeiten dann von dem VLAN1 (Deinem VLAN) abgeschottet, falls die Switche so etwas unterstützen, das ist kein "Muss" sondern mehr ein "Kann" aber es erhöht die Sicherheit ungemein.

Als WAN-Leitung verwenden wir eine 50Mbit/10Mbit VDSL2-Leitung.

Ich gehe einmal davon aus dass es sich um einen normalen Internetanschluss handelt und nicht um einen Business
Internetanschluss. Also bei VPNs von Außerhalb, Mailen, Surfen und noch VOIP oben auf denke ich das entweder
die Qualität des VOIP leidet oder die große Drossel einen eventuell trifft das ist aber auch stark vom ISP abhängig.

Ok. Habe mir die Oberflächen der Switches angeschaut. Bei jedem war ein Menüpunkt, der sich um VLANs kümmerte.

Ok, da einer der Switche wohl ein Layer3 Switch (Cisco SF300) ist, habe jetzt nicht nachgeschaut, sollte das auch kein
Problem sein der kann sich dann um das Routing kümmern. Allerdings ist eben dieser auch nur ein 100 MBit/s Switch
und es könnte dann eben auch im LAN selber eng werden, bei einem hohen Aufkommen im Netzwerk, wie sich so etwas auswirken könnte, kann man aktuell hier einmal nachlesen. Langsamer Switch blockiert Netzwerk?

Es geht nur um 3 Notebooks und allgemein 5 Smartphones, die aber nicht viel Traffic verursachen.

Gut das wäre dann ja auch erledigt.

Mit dem Thema Sicherheit bei WLANs bin ich nicht so vertraut. Kenne nur die üblichen Mehtoden

(WPA2 - diese wollte ich verwenden).
Das auf jeden Fall oder aber mittels Zertifikaten und einem Radius Server, das muss nicht teuer sein, und kann gerne auch aus einer Alix (PC Engines) oder einer Soekris Box bestehen, aber im Punkt Sicherheit ist das eben ein richtiger
Sprung nach vorne.

QSC hat uns lediglich die Ports mitgeteilt, die unbedingt geöffnet werden müssen.

Und was habt Ihr dort stehen, oder welchen Dienst mietet Ihr dort? VOIP?
Das Priorisieren mittels QoS endet meist am Router, wenn die Daten durch das Internet übertragen werden, es sei denn
man hat alles (Internet & VOIP) von einem Anbieter oder die Router vom Provider übertragen die QoS Markierungen
auch weiter zu dem Anbieter des VOIP Dienstes.

Gruß
Dobby

Ja, es handelt sich um einen normalen Internetanschluss. Wir haben eine relativ starke Bandbreitenauslastung, weil wir viel mit Servern in der Cloud arbeiten. Bisher gab es noch keine Drosselung.

Oh. Das wäre schlecht. Der Layer3 Switch sollte eigentlich für unsere Laborrechner verwendet werden. Kann das VLAN-Routing auch der Cisco Router übernehmen oder wird dies zu langsam (er hat ja nur noch einen Gbit-Anschluss frei, wenn das DSL-Modem noch angeschlossen wird)?

Das auf jeden Fall oder aber mittels Zertifikaten und einem Radius Server, das muss nicht teuer sein, und kann gerne auch aus
einer Alix (PC Engines) oder einer Soekris Box bestehen, aber im Punkt Sicherheit ist das eben ein richtiger
Sprung nach vorne.

Ok. Bei diesem Thema muss ich mich auf jeden Fall nochmal reinlesen. Wir haben hier noch einen Apple xServe von 2009 herumliegen (nicht mehr im Einsatz). Aber das Teil frisst ja wahnsinnig viel Strom und ist lauter als eine Flugzeugturbine.

Und was habt Ihr dort stehen, oder welchen Dienst mietet Ihr dort? VOIP?

Ja. Wir haben dort IPfonie centraflex gemietet. Das ist eine virtuelle Cloud Telefonanlage für Geschäftskunden.

Das Priorisieren mittels QoS endet meist am Router, wenn die Daten durch das Internet übertragen werden, es sei denn
man hat alles (Internet & VOIP) von einem Anbieter oder die Router vom Provider übertragen die QoS Markierungen
auch weiter zu dem Anbieter des VOIP Dienstes.

Das würden wir am liebsten so machen, d.h. auch die Leitung von QSC.

Wenn du hier schon mit dem Schlampen anfängst, bekommst du das in einer großen Struktur nie wieder raus....

Dafür +1 von mir und zusätzlich noch folgendes, bitte schreibe Dir vorher noch einmal alles genau auf dann braucht man
es nachher nur noch abtippen und man vermeidet Fehler die man dann suchen muss

eine Zeichnung des Gesamten Netzwerkes ist ebenso immer anzuraten genau wie das aktualisieren der ganzen Informationen, was nützt es wenn Du alleine weißt was dort läuft und mit einem Herzanfall vom Stuhl rutscht? (Ich wünsche Dir das natürlich nicht)
Denn wen sollen die Leute aus Eurem Betrieb dann fragen, Dich und zwar im Krankenhaus!

Hier habe ich gedacht, dass der Cisco Router DHCP und DNS übernimmt. Wir haben sonst kein Gerät, was das kann.

Ist der Cisco SF300 kein Layer3 Switch der so etwas kann?

Lediglich das NAS wollen wir noch laufen lassen (für die Backups der lokalen Rechner).

Und wenn der Blitz einschlägt sind alle Daten futsch? Ein Externes USB 3.0 RDX Laufwerk, was nachts das NAS sichert
wäre hier wohl auch noch nicht die schlechteste Idee.

Normalerweise sollten 5 reichen (Daten, VoiP, 2x WLAN, Labor).

VLAN1 für Dich zum administrieren
VLAN10 für die PCs
VLAN20 für Server oder das NAS
VLAN30 für das WLAN1
VLAN40 für ein eventuelles Gäste VLAN
VLAN50 VOIP Telefone
VLAN60 Labor
VLAN70 Drucker und alle restlichen Netzwerkgeräte

Gruß
Dobby

P.S.

Oh. Das wäre schlecht. Der Layer3 Switch sollte eigentlich für unsere Laborrechner verwendet werden.

Jo das kannst Du ja auch machen, aber die können doch auch in einem eigenen VLAN untergebracht werden oder?
Ich meine dafür sind doch VLANs gemacht worden, um die vorhandenen Netzwerkgeräte von einander zu trennen, oder irre ich jetzt?
Früher hat man für alles einen eigenen Switch genommen und heute kann man für alles zusammen einen Switch nehmen den man in VLANs unterteilt.

bitte schreibe Dir vorher noch einmal alles genau auf dann braucht man
es nachher nur noch abtippen und man vermeidet Fehler die man dann suchen muss

eine Zeichnung des Gesamten Netzwerkes ist ebenso immer anzuraten genau wie das aktualisieren der ganzen Informationen

Super Tipp, das sollte ich auf jeden Fall noch umsetzen.

Ist der Cisco SF300 kein Layer3 Switch der so etwas kann?

Im Netz steht, dass es ein Layer3 Switch ist. Wenn ich mich aber auf der Oberfläche des Switches einlogge, dann finde ich nirgends einen Punkt DHCP (Server), lediglich "DHCP Releay". Das gleiche gilt beim Gigabit Cisco Switch.

Und wenn der Blitz einschlägt sind alle Daten futsch? Ein Externes USB 3.0 RDX Laufwerk, was nachts das NAS sichert
wäre hier wohl auch noch nicht die schlechteste Idee.

Das wollen wir mit einem Cloud-Backup nachtsüber lösen.

Wow. Klasse Aufteilung

So werde ich das übernehmen.

Ich würde gern noch einmal wissen, wie jetzt optimalerweise vorzugehen ist: Sollen wir uns auch noch einen neuen Switch kaufen, der das Routing und DHCP übernehmen kann oder funktioniert es auch mit den vorhandenen Geräten?

Ich habe keine Ahnung, aber wenn die Rechner dauernd Backups machen (TimeMachine auf das NAS), dann telefoniert wird und Leute im Netz surfen, drucken und alles was sonst noch so dazu gehört, das Netzwerk sehr langsam wird. Es geht dann aufgrund der VLANs alles über den Cisco Router oder? Der ist ja nur mit einem Gigabit-Port ans Netzwerk angeschlossen und würde doch dann den Flaschenhals darstellen oder sehe ich das falsch?

Das wollen wir mit einem Cloud-Backup nachtsüber lösen.

Ein Unglück kommt selten alleine! und da ist leider etwas wahres dran.
Der Baggerfahrer und das Kabel + ein Blitz schlägt ein!
Das Rechenzentrum ist offline und das RAID im NAS geht hinüber!
Ihr wechselt den Coudanbieter und es wird eingebrichen und alle Geräte sind weg
Der Cloudanbieter geht Pleite oder wird übernommen bzw. beschlagnahmt (Megaupload) + und es brennt bei Euch.

200 € für ein RDX Laufwerk + Medien sind dagegen gar nichts!!!

Ich würde gern noch einmal wissen, wie jetzt optimalerweise vorzugehen ist: Sollen wir uns auch noch einen neuen Switch kaufen, der das Routing und DHCP übernehmen kann oder funktioniert es auch mit den vorhandenen Geräten?

Dann aber auch einen GB Layer3 Switch von Cisco das sieht dann natürlich ganz anders aus!
Cisco SG300-28 sollte das alles abfackeln können!
Schau aber bitte noch einmal nach und zwar im Handbuch, sorry aber ich bin heute zeitlich auch recht kurz angebunden.
Sollte immer im Handbuch zu erfahren sein was der Switch alles kann und für Funktionen anbietet.

aber wenn die Rechner dauernd Backups machen (TimeMachine auf das NAS)

Sind das Rechner PCs oder Rechner Macs? Windows oder Apple MacOS?

....dann telefoniert wird und Leute im Netz surfen, drucken und alles was sonst noch so dazu gehört, das Netzwerk sehr langsam wird.

Also ich würde immer zwei Routing punkte in einem Netzwerk bevorzugen wollen, aber das macht auch jeder für sich ab.
1. Router routet WAN - LAN
2. Mindestens ein Layer 3 Switch routet den Verkehr im LAN

Gruß
Dobby

200 € für ein RDX Laufwerk + Medien sind dagegen gar nichts!!!

Ja ok, da hast du allerdings recht. Gibt es eine Empfehlung?

[http://www.amazon.de/CISCO-Small-Business-SRW2024-K9-EU-28-port/dp/B0042RRJWY/ref=sr_1_1?ie=UTF8&qid=1374139421&sr=8-1&keywords=Cisco+SG300-28
Cisco SG300-28] sollte das alles abfackeln können!

Vorgemerkt.

Schau aber bitte noch einmal nach und zwar im Handbuch, sorry aber ich bin heute zeitlich auch recht kurz angebunden.
Sollte immer im Handbuch zu erfahren sein was der Switch alles kann und für Funktionen anbietet.

Kein Problem. Ich besorge mir das Handbuch und suche es mal durch.

Sind das Rechner PCs oder Rechner Macs? Windows oder Apple MacOS?

5 Rechner Macs die über TimeMachine dauernd sichern. 2 Windows PCs, bei denen wir die Sicherung planen können.

1. Router routet WAN - LAN
2. Mindestens ein Layer 3 Switch routet den Verkehr im LAN

Das hört sich für mich auch sehr sinnvoll an. Ich schaue mal wegen dem Layer3 Routing.

Habe im Handbuch des Cisco SGE2000P nachgeblättert. Laut den Informationen dort, kann man neue VLANs definieren und Ports zuweisen sowie verschiedene Modi (Access, Trunk, ...) für die Ports einstellen.

Der SGE2000P unterstützt der Bilden von VLANs nur routen kann er eben diese nicht, das geschieht auf Layer3
also entweder auf dem Cisco 1921 ISR Router oder einem anderen Layer3 Switch.

Mal etwas grundsätzliches aber nicht etwas zwingend Notwendiges.
Man versucht eigentlich immer eine einzige Bandbreite zu fahren um keine "Flaschenhälse" im Netzwerk zu haben
und mit einer einheitlichen Geschwindigkeit auch die Lastverteilung gut zu organisieren.

In Deinem Fall würde ich sagen der SG300-28 wäre schon optimal, denn ich sehe das ähnlich wie @brammer
mach es gleich, ganz und richtig. Das schafft eine solide Grundlage und auf so etwas kann man immer aufbauen!!!!!

Der Router kann ja bleiben wie er ist, das scheint eine echte Granate zu sein, der bringt auch VOIP Unterstützung schon
von Haus aus mit und den kann man auf der Rückseite ja auch noch mit Erweiterungsmodulen "aufpeppen", mit welchen müsstest Du einmal bei einem Händler oder bei Eurem Dienstleister in Erfahrung bringen, eventuell gibt es da auch eine Modul mit mehreren LAN Ports zum nachrüsten.

Hier mal eine Zeichnung wie es aussehen könnte.

Gruß
Dobby

Deine Bemühungen sind ja der Wahnsinn, vielen Dank!!

Ok, dann brauchen wir wohl noch einen neuen Switch, sonst haben wir wieder nur Ärger mit der Bandbreite.

Der Switch scheint ja richtig gut zu sein. Noch eine Frage: sollte man hier evtl. einen Catalyst nehmen? Worin würde der Unterschied bestehen (außer im brutalen Preisunterschied)?

HI Dobby,

alles richtig und eine Hammer Zeichnung.

Aber braucht man für 7 Leute 8 VLANs?
Frage 2: Bei VoIP Soft Clients kann man dem PC trotzdem nicht ein getaggtes VLAN anbieten. In dem Fall ist das ein und das selbe VLAN. Möglicherweise kann man unter der Ziel-IP eine VLAN-Zuordnung treffen die dann switchintern greift, zumindest für die Außengespräche. Interne werden intern bleiben und können auch anhand einer MAC oder IP nicht zugeordnet werden.

WLAN
WLAN-Gast
Labor
Server, NAS
Rest; PCs mit den VoIP Clients
- das sind immer noch 5 VLANs
Aber du hast recht, wenn man es anfasst, dann ist es schon egal. Hauptsache die Doku beginnt so gut wie dein Bild.

lg Netman

Hallo,

ich habe gerade folgenden Beitrag auf administrator.de entdeckt. Dobby, kannst du bitte mal nachschauen? Dort wird gesagt, dass der Cisco SGE2000P ein Layer3-Switch ist und somit routen kann. Stimmt das?

EDIT: Ok, der SGE2000P ist ein Layer3 Switch. Habe mich gerade per Telnet auf dem Switch eingeloggt. Dort kann man den Modus auf Layer3 umstellen.

Laut Datenblatt gibt es dabei keinerlei Routing, aber Schicht 3 Optionen
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps9967/ps998 ...
Man kann nur IP-basierte Regeln für ACLs erstellen

Und auf der Webseite gibt es die Notiz für den Auslauf der Serie.

#Edit' Schicht 3 Optionen .... manchmal sind englsiche Datenblätter doch leichter lesbar.
Außerdem habe ich gesehen, dass protokollabhängige VLAN-Zuordnungen getroffen werden können. Optimal für VoIP.

ich habe gerade folgenden Beitrag auf administrator.de entdeckt

Ein Link wäre jetzt echt schick gewesen aber was soll es.

Routing zwischen VLANS beim Cisco SGE2000P

Erster Eintrag von @aqui das ist ein Layer3 Switch.
Lieske bietet den auch als Layer3 Switch an aber in der Regel merke Dir mal das man so etwas immer selber nachschauen
sollte, denn jeder schaut mal daneben, ok @aqui jetzt wohl weniger, aber besser ist es.

der Switch scheint ja richtig gut zu sein. Noch eine Frage: sollte man hier evtl. einen Catalyst nehmen? Worin würde der Unterschied bestehen (außer im brutalen Preisunterschied)?

Tja in den brutal teureren verbauten Komponenten und natürlich auch den gebotenen Funktionen und Möglichkeiten, von der Geschwindigkeit mal gar nicht gesprochen. Der eine Switch ist eben nicht blockierend und die SG200/300/SGE2000
Switche sind blockierende Swicteh, also so in etwas wie ein VW Golf VII, der ist auch nezu und schick und kostet aber ein 600er AMG Mercedes bleibt eben ein Mercedes!

Aber braucht man für 7 Leute 8 VLANs?

Das muss jeder für sich ausmachen, Du (@MrNetman) tickerst dort ein paar klever QoS Regeln ein und gut ist es, aber bei @ef8619 bin ich mir da nicht so sicher und daher dachte ich je härter separiert und getrennt wird um so besser ist es.
Klar wäre in einem solchen Fall ein eigener Switch über den sonst kein anderer Netzwerkverkehr geht schon eine schicke Sache oder zumindest nur der kleine WLAN AP mit den paar Geräten, aber da würde ich dann eben zwei VLANs
aufsetzen wollen.

Gruß
Dobby

Ein Link wäre jetzt echt schick gewesen aber was soll es.

Oh, sorry. Das war etwas dämlich :-P

Tja in den brutal teureren verbauten Komponenten und natürlich auch den gebotenen Funktionen und Möglichkeiten, von der
Geschwindigkeit mal gar nicht gesprochen. Der eine Switch ist eben nicht blockierend und die SG200/300/SGE2000
Switche sind blockierende Swicteh, also so in etwas wie ein VW Golf VII, der ist auch nezu und schick und kostet aber ein 600er
AMG Mercedes bleibt eben ein Mercedes!

Verstanden.

> Aber braucht man für 7 Leute 8 VLANs?
Das muss jeder für sich ausmachen, Du (@MrNetman) tickerst dort ein paar klever QoS Regeln ein und gut ist es, aber bei
@ef8619 bin ich mir da nicht so sicher und daher dachte ich je härter separiert und getrennt wird um so besser ist es.
Klar wäre in einem solchen Fall ein eigener Switch über den sonst kein anderer Netzwerkverkehr geht schon eine schicke
Sache oder zumindest nur der kleine WLAN AP mit den paar Geräten, aber da würde ich dann eben zwei VLANs
aufsetzen wollen.

Ne, da bin ich mir auch nicht sicher. Werde mir aber dazu noch ein wenig Material durchlesen, um ein grobes Verständnis davon zu bekommen.

Ein paar Grundlagen zu dem Thema findest du auch in diesem Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Alle deine Anforderungen lassen sich aber problemlos damit umsetzen.
Das DSL Modem hätte man sich noch sparen können mit dem richtigen Cisco Router:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Da hast du dann gleich noch eine lauffähige Router Konfig.

Ich möchte gern noch einmal diesen Thread herausgraben.

Ich habe nun den Cisco ISR 1921 Router ins Netzwerk gebracht um das Teil konfigurieren zu können. Als Router dient aber nach wie vor immer noch unser alter bintec R1202.

Zudem ist der Cisco WAP321 Wireless Access Point schon im Netzwerk integriert. Funktioniert super das Teil und bietet hohe Performance. Als Verschlüsselung dient erst einmal WPA2. Einen Radius Server wollen wir evtl. später ins Netzwerk integrieren.

Was ich nun leider feststellen musste: der Cisco Router bietet 2 voneinander unabhängige Gigabit Interfaces. Diese unterstützen VLANs nicht direkt sondern nur sog. "Subinterfaces". Das bedeutet, der Router wird wohl wirklich nur dazu dienen, den Zugangs ins WAN zu ermöglichen, VPN-Zugänge bereitzustellen und mithilfe von QoS-Regeln eine saubere Kommunikation über VoIP zu ermöglichen.

Meine Frage wäre nun: ich benutzt unter Windows das "Cisco Configuration Professional" Programm um den Router zu konfigurieren. Dort habe ich die Möglichkeit für die beiden Gigabit Interfaces jeweils einzustellen, ob es sich um ein LAN oder WAN Interface handelt.

Wir haben hier wie bereits gesagt (?) ein ZyXel VDSL2-Modem vor unserem bintec-Router hängen. Das soll das an G0/1 vom neuen Cisco-Router. Das ich im CCP-Programm das G0/1 Interface als WAN-Interface einstellen muss, ist mir klar. Allerdings kenne ich mich nicht mit der weiteren Konfiguration aus bzw. wie der Zugang ins Internet in dieser Konstellation überhaupt funktioniert. Benutzt der Router das Modem um die Verbindung ins Internet herzustellen und leitet alle ein-/ausgehenden Pakete über dieser Verbindung?

Ja, denn der Router hat kein integriertes Modem und ist ein Breitbandrouter mit lediglich Ethernet Schnittstellen.
Das ist bei allen breitband Routern egal welcher Hersteller so das die immer nur reine Ethernet Schnittstellen haben und so logischerweise noch ein DSL Modem benötigen, denn du kannst ja nicht Ethernet in die DSL Dose stecken wie jeder netzwerker weiss.
Die Konfiguration ist aber kinderleicht. Du musst dort lediglich ein PPPoE Interface auf einen der Ethernet Interfaces konfigurieren und das mit dem Modem verbinden !
Das o.a. Tutorial hat so eine Konfiguration hier unter dem Dialer Interface die du 1 zu 1 übernehmen kannst.
Es ist auch Blödsinn was du sagst das die Router Interface VLANs nicht direkt unterstützen.
Das tun sie natürlich wenn man die Encapsulation auf diesem Interface anpasst.
So oder so hast du die falsche Router HW beschafft. Mit einem Cisco 886va wärst du da weit aus besser gefahren, denn der hat alles an Bord was du benötigst...aber nundenn ?!

@aqui

Kann man denn in den Cisco ISR1921 nicht noch zwei Module einbauen und so den Router um einige LAN
Ports erweitern? Oder kommen dort andere Module rein und die Möglichkeit besteht nicht?

Gruß
Dobby

Muss man ja nicht. Mit dem 802.1q Modus auf einem Interface kann man dort ja problemlos tagged Links von einem VLAN Switch definieren und so zwischen den VLANs routen bzw. diese VLANs mit dem Router bedienen.
Das ist eine popelige Konfig zeile.
Der 1921 hat nur noch 2 WIC Module. Ist zu bezweifeln das dort Ethernet WICs supported sind. Da gehen vermutlich nur WAN WIs.
Bleibt dann also bei den integrierten Ethernet Ports. Wie bereits gesagt die VLAN Konfig dafür ist kein Thema und funktioniert wunderbar...

So oder so hast du die falsche Router HW beschafft. Mit einem Cisco 886va wärst du da weit aus besser gefahren, denn der hat alles an Bord was du benötigst...aber nundenn ?!

Ok, das sehe ich mittlerweile auch ein, aber jetzt ist es leider zu spät. Es gibt für den Router noch ein WAN Interface Modul und ein LAN Interface Modul mit 4 Gigabit Schnittstellen, allerdings kostet v.a. das WAN Modul ordentlich viel Geld.

Ich habe jetzt gelesen, dass ich auf dem Router verschiedene DHCP-Bereiche definieren und dann am Layer 3 Switch DHCP-Relay aktivieren und die Bereiche den verschiedenen VLANs zuweisen muss. Ist das richtig?

Na ja ganz falsch ist er ja nicht, denn du kannst alles damit umsetzen was du willst und diese Interfaces benötigst du nicht !
Nur mit anderer Hardware wäre es erheblich einfacher und sinnvoller gewesen. Aber egal...es geht ja auch so.
Nun musst du halt die umständliche Variante realisieren aber damit klappt es auch wunderbar, also nicht nervös werden...

Was du mit dem DHCP feststellst ist so absolut richtig. Nur....

normalerweise hat man doch dafür einen zentralen DHCP Server im Netzwerk selber der das realisiert ??!
Und...wenn du einen Layer 3 Switch hast routetst du ja damit zw. den VLANs und nicht mit dem 1921, das wär ja dann Blödsinn.
Hast du dir überhaupt Gedanken gemacht WIE du das netzwerk designst ?

Warum also solche unnötigen technischen Klimmzüge oder willst du dir dein Konfig Leben noch schwerer machen ?? Oder haben wir hier nur was falsch verstanden ?

Hast du dir überhaupt Gedanken gemacht WIE du das netzwerk designst ?

Ein wenig. Ich bin von Haus aus kein Netzwerker (komme aus der Virtualisierungs- und Cluster-/Cloud-Computingecke) und habe leider auch keine Cisco Zeritifizierung. Spiele aber mit dem Gedanken eine "CCNA Routing & Switching" zu machen (unsere Firma bezahlt das zum Glück), einfach nur, um da wirklich mal etwas Plan von zu bekommen. Leider ist mein zeitliches Fenster momentan stark begrenzt und mein Chef macht Druck, dass die Netzwerküberarbeitung schnell von statten geht (wir können momentan nicht die neue Business vPBX von QSC nutzen, bezahlen aber schon seit einigen Wochen dafür).

Nun, ich habe mir gedacht, dass der neue Cisco-Router (soll ja den bintec ersetzen, da damit erst recht niemand klar kommt) primär als WAN-Zugang mit VPN und QoS Funktionalität dient und eine zuverlässige und schnelle Verbindung für unser Unternehmensnetzwerk ermöglicht.

Da wir ja (wie oben herausgefunden) einen Cisco SGE2000P Switch mit Layer 3 Funktionalität schon haben, wollte ich verschiedene VLANs anlegen, in denen sich verschiedene Klienten befinden, aber mit definierten ACL-Regeln auch untereinander kommunizieren dürfen. Das sollte ja alles der Switch erledigen können (ohne jegliche Hilfe vom Router).

Allerdings habe ich auch mit VLANs wenig Erfahrung und weiß nun nicht, wie ich den VLANs die entsprechenen IP-Adressbereiche zuweisen kann (der Switch unterstützt nur DHCP-Relay und einen dedizierten DHCP-Server haben wir leider nicht im Netzwerk). Ich habe hier gedacht, dass das der Cisco Router übernehmen kann und DHCP-Request von den Klienten mithilfe des DHCP-Relays an den Cisco-Router durchgereicht werden und dieser (je nach VLAN und damit gefordertem Adressbereich) eine Adresse vergibt.

Vergiss doch einfach mal diesen Zertifizierungs Unsinn. Um eine brauchbare Routerkonfig zu machen benötigt man solchen überflüssigen Ballast mitnichten. Das ist meist Marketing Quatsch um Systemhäuser an einen Hersteller zu binden...vergessen also.
Als Virtualisierer solltest du dich aber schon mit VLANs und Netzen auskennen, denn jeder V-Host hat auch einen internen vSwitch der solche Kenntnisse erzwingt...na ja egal ist auch unwichtig für das was du vorhast bzw. realisieren willst !

Deine o.a. Schritte sind auf alle Fälle sehr richtig.
Die Segemntierung in VLANs und das Routen dazwischen mit dem L3 Switch...das ist ein klassisches 08/15 Netzwerk Design und so tausendfach im Einsatz.
Mit folgenden Schritten gehst du vor:

Als erstes definierst du die VLANs mit Namen und VLAN IDs
Vergiss dabei nicht ein "WAN VLAN" wo du den Router reinhängst, denn so trennst du den sauber aus Produktiv und Voice LANs und hast am Switch optional zusätzliche Filteroptionen.
Diese VLANs legst du dann auf dem Switch an mit Name und ID und definierst eine entsprechende Switch IP Adresse pro VLAN. Für alle Endgeräte im VLAN ist diese Switch IP immer das Default Gateway, logisch, denn der Switch routet ja zw. den VLAN Segmenten. Diese pro VLAN Switch IP muss dann auch in einem zentralen DHCP Server als Client Gateway IP definiert sein pro VLAN IP Adress Bereich !
Dann weist du die untagged Endgeräte Ports den entsprechenden VLANs zu am Switch
Der Router bekommt eine IP Adresse in seinem Verbindungs VLAN zum Switch (WAN VLAN) und wird am Switch angeschlossen
Wichtig: Der Switch bekommt eine Default Route auf die IP Adresse des Routers !!
Wichtig: Der Router bekommt für alle VLAN IP Netze eine statische Route auf die Switch IP in seinem Verbindungs VLAN !!
Fertig !!

DAS ist erstmal die einfachste Basis Grundkonfiguration.
Wenn du Endgeräte mit statischen IPs in die VLANs hängt wird das so schon funktionieren !!
Fehlen tut noch DHCP und die ACLs ! Aber immer der Reihe nach !!
Damit DHCP funktioniert hast du einen Server mit einem zentralen DHCP Server. Dort trägst du pro VLAN dann alle Scopes und die VLAN spezifischen IP Adressen für Gateway, DNS etc. ein !
Damit der Switch nun DHCP Requests aus den einzelnen VLAN Segmenten auf den DHCP Server forwarden kann benötigt er zwingend sog. "IP Helper Adressen" oder einen DHCP Forwarder oder UDP Broadcast Forwarder....es gibt mehrere Ausdrücke dafür.
Den musst du pro VLAN im Switch definieren und als Helper Adresse wird die zentrale IP Adresse des DHCP Servers eingetragen in der Helper IP.
Dabei ist es vollkommen egal ob der DHCP Server auf einem Winblows, Linux Server oder dem Router liegt, beide Optionen sind machbar.
Wichtig für den Switch ist nur die IP Adresse unter der der DHCP Server zu erreichen ist, denn die muss in den IP Helpern definiert sein.

Wenn du bis hierhin kommst hast du alles geschafft, denn dann ist dein Netzwerk einsatzbereit und (fast) komplett.
Fehlen tun nur noch die ACLs aber das kommt dann später.
Bis hier wollen wir erstmal kommen...!!

Hallo,

allerbesten Dank für den super Beitrag. Ich werde heute versuchen, die Schritte anzugehen. Wenn ich Probleme habe, dann poste ich sie hier.

Noch eine Frage: kann ich 2 Router im Netzwerk laufen lassen, die beide Zugang ins Internet haben? Ich kann den 1921 leider nur im laufenden Netzwerkbetrieb testen, da die anderen Mitarbeiter auf das Netz angewiesen sind und dies momentan noch der bintec-Router übernimmt.

das kommt drauf an.
Wenn du zwei Internetleitungen hast und das default Gateway der Clients nicht beeinflusst wird, stören sich die Geräte nicht.
Bei einem Internetzugang wird es schon komplizierter.

Hallo,

wir haben leider nur eine Leitung (VDSL2). Der bisherige bintec-Router ist bei allen Clients als Default Gateway eingetragen (IP: 10.80.1.1). Der neue Cisco-Router hat eine andere IP (IP: 10.80.1.254).

Ich versuche nun momentan den neuen Router erst einmal ins Internet zu bringen (ohne VLAN-Konfiguration usw.). Wie ich festgestellt habe, sind die Zugangsdaten zu unserem Internet-Provider auf dem DSL-Modem abgelegt. Das bedeutet, der bisherige bintec-Router hat keine Einwahl übernommen.

Wie soll ich hier am besten verfahren? Ich weiß leider auch nicht, welche IP das Modem hat geschweige denn wie unsere Benutzerdaten lautet. Das wurde damals alles vom Techniker des Providers vor Ort eingerichtet.

Im bintec-Router finde ich hierzu nur die IP-Adresse für das WAN-Interface, zwei Routeneinträge sowie die DNS-Adressen des Providers.

Nein, mit nur einer VDSL Leitung ist logischerweise ein Parallelbetrieb unmöglich ! Wie sollte das denn auch gehen, denn du kannst die vorhandene einzelne Leitung ja nicht halbieren !
Da geht nur entweder oder.
Und bitte würfle hier nicht Router und Modem laienhaft durcheinander !!!
Ein Modem kann niemals eine Provider Einwahl machen, denn es ist lediglich ein passiver Medienwandler der DSL Frames in Ethernet Pakete wandelt !! Er hat auch keinerlei Manegement Einstellungen und muss NICHT konfiguriert werden !
Die Einwahl macht immer der Router !, denn der hält die PPPoE Zugangsdaten !!
Wenn du also wirklich Recht haben solltest und die Provider Zugangsdaten auf einem anderen Gerät liegen, dann ist das ein ROUTER !! Niemals aber ein Modem !
Ist dem so hast du dann eigentlich eine sinnlose Router Kaskade mit 2 NAT Routern hintereinander. Sowas kostet Performance und Bandbreite und sollte man möglichst vermeiden.
Wenn du uns mal mitteilen würdest was dein "Modem" (Router) für ein Modell ist dann könnten wir für dich mal Handbuch und Datenblatt lesen und sehen was das wirklich ist !!
Also bitte alles korrekt beschreiben sonst schaffst du hier nur sinnlose Verwirrung.
Wenn dem wirklich so wäre dann hättest du mit den 1921 erst recht die vollkommen falsche HW beschafft.
Der 886va hat wie gesagt ein internes VDSL Modem und den hätte man so in die DSL Amtsdose stecken können ohne irgendwelche Zusatzgeräte.
Schade...da hast du einen große Chance vertan das Netzwerk zu vereinfachen und performanter zu machen

Erschwerend kommt dazu das sich wohl keiner je um eine Dokumentation gekümmert hat.

OK, Wie gehst du vor:

Im Bintec prüfst du die IP Adressierung auf dem WAN Interface und das Default Gateway des (leider) vor dem Bintec liegenden Routers ! Damit hast du die wichtigstens Daten für den Cisco und dessen Konfig (siehe unten)
Du wartes bis zu einem Freitag nachmittag wenn alle Kollegen zuhause sind oder kommst am Samstag ins Office.
Dann konfigurierst du den Cisco identisch wie den Bintec, hängst ihn ins Netz und checkst ob er funktioniert und alles ist gut. (Kommt man eigentlich auch von selber drauf, oder ?!)

Dumm ist das du jetzt mit dem Router Tausch rein gar nichts gewonnen hast

Einen schlechten Router VOR dem guten Router gibt es weiterhin !
Du hast keinerlei Daten (Zugangsdaten, IP Adressen) des vermutlichen Billigrouters am VDSL Anschluss !
Weiterhin gibt es einen sinnlose Router Kaskade aus 2 Routern die Performance udn Bandbreite kostet und dir andere Konfigs wie z.B. VPN Zugang auf den Cisco unnötig erschweren und verkomplizieren (Port Forwarding immer zwingend erforderlich)

Wegen dieser 3 sehr gravierenden Nachteile solltest du wahrlich überlegen ob du den Router nicht tauschen kannst oder aber wenigstens die Router Kaskade durch ein simples VDSL Modem vor dem Cisco zu ersetzen.
Oder prüfen ob man den Router davor mit PPPoE Passthrough in ein nur Modem verwandeln kann.
Das erfordert dann aber ein Zugangspasswort für diesen Router !!! Oder den Reset auf die Werkseinstellungen damit du darauf Zugriff hast !
Alles in allem nicht gut vorbereitet das ganze Vorhaben eher ziemlich dilettantisch, sorry....

Hier eine Beispielkonfig für deinen Cisco 1921 die annimmt das die Provider Router IP 192.168.1.1 ist und das "WAN Koppelnetz" dieser beiden Router die 192.168.1.0 ist. Cisco hat dann die 192.168.1.254am WAN Port:
service timestamps log datetime localtime
!
hostname Cisco1921
!
logging buffered 4096
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
Folgende DHCP Konfig hier nur wenn der Router auch DHCP Server ist, sonst weglassen !!
!
ip dhcp excluded-address 10.80.1.1 10.80.1.149
ip dhcp excluded-address 10.80.1.170 10.80.1.254
!
ip dhcp pool local
network 10.80.1.0
default-router 10.80.1.1
dns-server 10.80.1.1
domain-name meinedomain.intern
!
ip domain name meinedomain.intern
!
username admin password Admin
!
interface FastEthernet0
description Lokales LAN
ip address 10.80.1.1 255.255.255.0
ip nat inside
!
interface FastEthernet1
description Link zum Provider Router
ip address 192.168.1.254
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no cdp enable
!
ip nat inside source list 101 interface FastEthernet1 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
access-list 101 permit ip 10.80.1.0 0.0.0.255 any
!
end

Ok, ich merke schon, dass das wohl ein totaler Griff in die Minuskiste war. Die Geschichte mit dem Modem haben damals die Servicetechniker von unserem Provider so eingerichtet. Die wollten erst eine Fritz!Box ranhängen, haben dann aber gesehen, dass wir schon den bintec-Router haben.

Das Modem ist ein "ZyXel P-870H-53A v2" (siehe auch http://www.zyxel.com/de/de/products_services/p_870h_5xa_v2_series.shtml ..).

An das Umtauschen habe ich auch schon gedacht. Mein Chef tritt mich in den Allerwertesten, wenn ich ihm sage, dass ich den falschen Router rausgesucht habe und er noch länger warten muss

Das kommt davon wenn man Provider "Servicetechniker" an sowas ranlässt !!!
Beim nächsten Kunden installieren die Gaszähler oder lesen die Wasseruhr ab...soviel zu dem Thema !

Ja, das Zyxel Teil oist wie vermutet ein Router !!
Hättest du auch selber gesehen wenn du mal unter der o.a. URL auf "Anwendungsbeispiele" geklickt hättest.
Laut Handbch ftp://ftp2.zyxel.com/P-870H-53A_v2/user_guide/P-870H-53A%20v2_1_ed1.pdf
kann man den auch NICHT als nur Modem konfigurieren, diese Option entfällt also auch.
Das bedeutet dann zwingend eine Router Kaskade...

Technisch am sinnvollsten wäre der Routertausch, denn damit entledigst du dich auf Schlag aller der oben genannten Probleme !
Einen 886va hat jeder Händler oder Systemhaus (auch das wo ihr den 1921 beschafft habt) auf Lager, den bekommst du von heut auf morgen, das ist ein Massenprodukt. Nix also mit warten.
Ansonsten musst du mit all den Einschränkungen leben.
In jedem Falle musst du dann aber zwingend den Admin Zugriff auf den Zyxel Router haben (Username / Password) denn dort musst du zwingend Port Forwarding und andere Dinge konfigurieren, wenn du mal VPNs oder remote Access Einrichten willst.
Darum kommst du nicht drum rum wenn du das Konstrukt so behalten willst !!

Ok, hab Chef gerade ne Mail geschrieben, dass die Servicetechniker dran Schuld sind

und wir den Router tauschen müssen. Finanziell sparen wir dabei sogar fast 200,- €

Den hier brauchen wir oder?

http://direkt.jacob-computer.de/cisco-886va-router-cisco886va-k9-artnr- ...

Jau, richtig !
Die Konfig Einrichtung dazu findest du wie bereits gesagt hier en Detail:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Achtung: Denk dran das du aus dem Zyxel oder vom Provider dir die VDSL Zugangsdaten PPPoE (User / Pass) beschaffst, denn die benötigst du.

Ok, das mache ich. Jetzt nur noch auf die Freigabe warten.

Ich habe gerade noch diesen Router hier entdeckt: http://direkt.jacob-computer.de/cisco-886va-secure-router-with-vdsl2-ad ...

Worin besteht denn der Unterschied zur "non secure" Version des 886VA?

Hätte ich eigentlich dran denken müssen....wir haben eine feste IP-Adresse. Damals mussten die Techniker die MAC-Adresse (ich glaube vom bintec-Router???) am Telefon durchgeben.

Hmm, das ist jetzt blöd.

Das ist egal, die Mac Adresse des Ciscos kann man anpassen bzw. klonen auf die des Zyxel. Das ist ein Cisco und kein Billigouter !
Und...was hindert dich daran dem Provider die neue Mac Adresse durchzugeben und sie ändern zu lassen ???
Das machst du vorab, rufst der Hotline an und sagst "..am soundsovielten stellen wir das um, bitte sorgen sie dafür das das angepasst ist". Du bist ein Business Kunde und zahlst teures Geld für den Vertrag, hast also einen Anspruch drauf !!! Warum sollte das also "blöd" sein ??

Was den Unterschied der Router anbetrifft kannst du das hier genau nachlesen:
http://www.cisco.com/en/US/prod/collateral/routers/ps380/data_sheet_c78 ... (Table 7)
Der teurere hat den Advanced IP Feature Set mit drauf, den du für deine Anwendungen aber nicht benötigst.
Wenn doch, kannst du ihn immer nachträglich per Liznenz freischalten.

Zur Not kann man eine MAC verändern.
Aber der Servicetechniker musste nicht die MAC vom Bintec Router durchgeben sondern vom ISP-Router. Der Bintec Router dahinter ist egal.

Ok, als hätte ich es nicht geahnt...Chef hat abgelehnt. Das heißt, jetzt muss ich das Ganze wohl oder übel irgendwie zusammenbasteln mit dem ZyXel Router und dem neuen Cisco.

Ich habe vorhin den Rechner direkt mit einem LAN-Kabel an den ZyXel gehangen. Ich habe leider keine Ahnung welche IP-Adresse das Ding hat (DHCP ist logischerweise deaktiviert, das macht ja der bintec). Resetten kann ich nicht, da ich keine Zugangsdaten habe und der Provider noch nicht reagiert hat.

Ein Chaos hier...

Das Chaos sitzt am Keyboard.

Wireshark wird dir schon die IP und MAC anzeigen.
Dann gibt es noch den generellen Reset.
Aber vorher solltest du die Zugangsdaten haben.

Und wie oft hast du deinem in den letzten zwei Wochen Chef schon eine Änderung vorgeschlagen ohne das Projekt auch nur anzufassen?

Ja, da hast du wohl recht. Ich wurde damit beauftragt das Netzwerk auf Vordermann zu bringen (mein Chef weiß, dass das nicht mein Gebiet ist), weil ihm der Dienstleister zu teuer und zu unzuverlässig war.

Dann habe ich viel im Internet gelesen und recherchiert (wohl nicht viel genug) und mir wurde ein ISR Router von Cisco empfohlen (auch vom Cisco Chat selbst).

Das mit dem ZyXel Router wusste niemand hier, da die Techniker schnell ihr Ding gemacht haben und dann gleich wieder verschwunden sind ohne einen Ton zu sagen.

Mit dem Router hab ich mir wohl selbst ins Bein geschossen. Hätte wohl vorher mal einen Thread zur Kaufentscheidung eröffnen sollen...

Na ja die IP des Zyxels ist doch kinderleicht rauszubekommen !!
Sie dir einfach an welches Default Gateway der Bintec konfiguriert hat !! Genau DAS ist doch die Zyxel IP Adresse !!!
Du musst dich dann nur in das Verbindungsnetz zwischen WAN Port Bintec und LAN Port Zyxel mit einem Laptop einklinken und gut ist.
Wenn du Glück hast hat der "intelligente" Provider Techniker den DHCP Server auf dem Zyxel nicht deaktiviert, dann würdest du vom Zyxel alle IPs automatisch bekommen !
Einfach dann am Laptop ipconfig eingeben und die Gateway IP die du dort siehst ist die Zyxel IP.
Das Teil hat ein Web GUI zum Konfigurieren also im Browser dann diese IP angeben und gut iss...

Das Verhalten der Provider Techniker ist bezeichnend. Die wollen nur die monatliche Kohle und es ist ziemlich naiv zu glauben das die sowas gut machen aber nundenn.
Schade das du so einen ignoranten und wohl auch fachfremden Chef hast und dich da nicht durchsetzen kannst, denn nun hat er viel Geld in eine Lösung verbraten die ihm keinerlei Verbesserungen bringt...im Gegenteil.
Aber ok, damit musst du dann wieder leben...
Alles zurück also auf oben...:

IP Adresse Zyxel rausbekommen und die Zugangsdaten zum GUI
Cisco 1921 Konfig hast du ja oben zum Abtippen...
Mit der Router Kaskade leben

Appropos, auf die Beratung kannst du nichts geben ! Entscheident ist WO und von WEM du beraten wurdest.
Der Cisco Chat ist ein externer Dienstleister in Indien der mit Cisco nix zu tun hat, der die Produkte noch viel weniger kennt als du. Die haben ein Blatt vor ihrer Nase wo genau drinsteht Kunde fragt das...du musst das antworten..
Beim nächsten Kandidaten sieht er dann auf das HP, Extreme oder Juniper Blatt...
Oder hast du etwa wirklich naiv geglaubt da sitzt ein Mitarbeiter von Cisco dahinter wohlmöglich noch ein CCNA oder CCIE und berät dich wirklich ?? Dann weisst du nicht wirklich wie IT Support funktioniert !?!
Soviel also zu diesem Thema... !

Mit diesen unsäglichen "Kaufentscheidungsthreads" hier ist das auch immer so eine Sache. Laien oder vermeintliche Experten raten dir dann eine FritzBox zu kaufen oder irgendwelchen anderen Consumer Müll ala Speedport und Co. der in einem Firmennetzwerk wahrlich nix zu sichen hat.
Andere raten was anderes quer durch den Garten und dann kommt es zum Streit und Kollege Biber löscht den Thread und du bist genauso schlau wie zuvor....
Normalerweise fragt man kompetente Systemhäuser...wobei es wieder sehr schwierig ist heute generell etwas kompetentes in dem Bereich der Midrange Systeme zu finden, das ist auch wieder wahr.

Im Router ist als Default-Gateway der Form 217.17.x.x eingetragen. Subnetzmaske ist 255.255.255.128.

Ich habe gerade noch gesehen, dass wenn ich direkt mit einem LAN-Kabel an den ZyXEL-Router gehe, ich IPv6-Adressen bekomme.

Ok, ich habe gerade etwas sehr interessantes entdeckt. Und zwar gibt es bei dem ZyXEL-Router den sogenannten "Transparent Mode". Dabei werden direkt im Router die PPPoE-Zugangsdaten abgespeichert, aber trotzdem dient er als reines Modem.

Näheres dazu auf dieser Seite: http://www.akadia.com/services/zyxel_transparent_mode.html

Ich nehme an, das haben die Techniker auch bei unserem ZyXEL so eingestellt.

..."Im Router ist als Default-Gateway der Form 217.17.x.x eingetragen. "
Aber ganz sicher NICHT im Bintec Router !!! Oder...der Zyxel ist dann wrklich nur Modem ?!

Wenn das tatsächlich stimmt mit dem Transparent Mode (stand so, typisch Zyxel, gar nicht im Handbuch, grrr) dann ist das die goldene Lösung !!!
Damit arbeitet der dann wirklich nur rein als Modem und die Zugangsdaten liegen dann auf dem Bintec !
Das würde dann auch die Route 217.17.x.x erklären, denn das ist eine öffentliche IP aus dem Internet und zeigt sicher das der Bintec direkt OHNE Router davor am Internet hängt !
Heureka !! Perfekt...
Dann sieht die Welt wieder besser aus für dich !! Dann ist der Zyxel wirklich ein dummes Modem.
Du kannst dann testweise den Cisco mit den Zugangsdaten usw. fertig konfigurieren identisch zur Bintec IP Adressierung.
Wenn die Kollegen dann Feierabend haben klemmst du ihn einfach mal um und dann kannst du ihn wasserdicht testen und wenn er funktioniert gleich drin lassen !!

Hallo,

folgender Stand heute:

- den Router konnte ich gestern leider nicht mehr im Netzwerk testen. Evtl. schaffe ich es heute am frühen Abend noch.
- ich habe unseren Cisco SGE2000P Switch in den Layer 3 Mode gebracht
- die VLANs wurden definiert (VLAN1, VLAN 10 - VLAN 80)
- VLAN 1 soll das Netzwerk globale Management-VLAN sein
- auf dem SGE2000P habe ich unter dem Punkt "IPv4 Interfaces" für jedes der VLANs eine eigene IP-Adresse für den Switch definiert (z.B. 10.80.1.253 für VLAN 1, 10.80.70.253 für VLAN 70)

Damit sind die VLANs auf dem Switch und dessen Gateway-Adresse in den verschiedenen VLANs definiert.

Wenn ich das richtig verstanden habe, dann muss ich jetzt auf dem Cisco-Router die einzelnen DHCP-Bereiche definieren und jeweils den "Default-Router" angeben, also die entsprechende IP-Adresse des Switches im entsprechenden VLAN, richtig? Bspw. der Bereich "10.80.20.100 - 10.80.20.250" bekommt als Default-Router den Eintrag "10.80.20.253". Damit weiß der Cisco-Router, dass er einem DHCP-Request von der Default-Router-IP-Adresse eine IP-Adresse aus dem entsprechenden DHCP-Bereich vergeben muss, korrekt?

Während der Konfiguration sind mir allerdings noch ein paar Fragen entstanden, für die ich gern nur erst einmal grob wüsste ob es dafür überhaupt eine Lösung gibt:

1. wenn ich mit VLANs arbeite, wie funktioniert das dann mit dem VPN? Kann ich jedem VPN-Peer ein eigenes VLAN bzw. "InterVLAN"-Regeln für diesen Peer zuweisen? Ein VPN-Peer hat ja keinen physikalischen Port, den ich einfach so in ein VLAN "stecken" kann?

2. wir möchten ja gern Softphones für unsere neue VoIP vPBX von QSC nutzen. Diese sind natürlich auf unseren Rechnern installiert. Da es für die Rechner schon ein eigenes VLAN gibt, für VoIP aber auch ein separates VLAN existiert, wird dieses doch überflüssig oder nicht?

3. wir benötigen ja QoS-Regeln (auch wenn ich davon noch keine Ahnung habe). Noch einmal bezogen auf die VLANs: kann ich QoS-Regeln auch für VLANs definieren oder funktioniert das i.A. Port- (also logisch, z.B. Port 5060) bzw. IP-Adressen-abhängig?

VPN und VLAN hast du wunderbar durcheinander geschmissen. Am besten du nimmst ein Einwahl-VLAN um von dort weiter zu gehen, zu routen.

Über Softphones hatten wir schon gesprochen, ist aber schon über 10 Tage her.
Die Switche haben die Möglichkeit applikationsorientierte QoS Regeln zu verwenden. Das geht also für Softphones. Für QoS ist ja VLAN nahezu zwingend nötig. Die Layer3 Barriere für QoS innerhalb deines Netzes ist keine, da der Switch die Pakete kennt.

lg Netman

Ok, danke.

Anbei habe ich noch eine Visio-Zeichnung erstellt, wie ich mit das Netzwerk vorstelle:

EDIT: Ich sehe gerade, dass ich die beide Switches vertauscht habe. Der SF300 24 soll eigentlich an der Stelle des SGE2000P erscheinen.

Sieht alles sehr gut aus !
Dann mal frisch ans Werk und umgesetzt !

Habe mir jetzt mal eine Stunde Zeit genommen und mit der Umstrukturierung angefangen, leider bisher ohne Erfolg.

Die zwei Gigabit-Intefaces des Cisco-Router habe ich dabei wie folgt konfiguriert:

G0/0: LAN, 10.80.1.254, 255.255.255.0, Proxy ARP, kein NAT
G0/1: WAN, 217.17.x.x, 255.255.255.128, NAT outside, DNS 217.17.x.x (vom Provider zugeteilt bekommen).

Dann habe ich im CPP für das Interface G0/1 eine Test Connection gemacht - alles super! Ping ging auch durch.

Als nächstes habe ich mithilfe des NAT-Assistenten die Schnittstelle G0/0 eingestellt, sodass die Clients eigentlich Internet-Zugang bekommen sollten.

Der bintec-Router war die ganze Zeit vom Netz.

So, und das war's auch schon. Weiter wusste ich nicht. Ich weiß zwar, dass ich nun auf dem Cisco-Router noch DHCP und DNS aktivieren muss (so, dass die Klienten sich, erstmal ohne VLANs, eine Adresse beziehen können und die IP-Adresse des G0/0 Interfaces des Cisco-Routers als Gateway und DNS-Server eingetragen wird).

Danach sollte ich doch per DHCP eine Adresse bekommen und Zugang zum Internet bekommen können oder?

EDIT: Ok, habe gerade nochmal den Post von aqui durchgelesen. Wenn ich exakt so vorgehen (außer, dass ich andere IP-Adressen für das LAN benutze), sollten meine obigen Probleme Vergangenheit sein?

Warum kein NAT auf dem LAN Interface ??
Ohne NAT kannst du ein 10er IP Netz (ist ein privates IP netz) nicht ins Internet routen !! Logisch !
Klar das das dann schon im Ansatz scheitert wenn du das vergisst !
LAN = ip nat inside WAN = ip nat outside
Dann wirds auch was mit dem Internet.
Wie gesagt: Bitte sieh dir immer diese Konfig HIER als Beispiel zum abtippen an !! 90% davon kannst du mit deiner IP Adressierung übernehmen !!!
Das Interface G0/1 macht ja einen PPPoE verbindung ins Internet bzw. zum Provider !!
Diese muss auch so entsprechend konfiguriert sein !!
So hat das dann auszusehen:
interface GigEthernet0/0
description Lokales LAN
ip address 10.80.1.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface GigEthernet0/1
description VDSL Internet Verbindung via Zyxel Modem
no ip route-cache
no cdp enable
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username <Provider-Zugang-User> password <Provider-Zugang-Password>
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 10.80.1.0 0.0.0.255 any

Fertig...
Damit sollte die PPPoE Verbindung hochkommen, was sie bei dir ja eh schon tut und ein Client im 10.80.1.0er Netz, lokales LAN sollte vom Router eine DHCP IP bekommen und auch gleich ins Internet kommen !
Ein show ip int brief sollte dir dann die Provider IP auf dem Dialer Interface zeigen !

Obige Konfig Schritte aktivieren dann auch deinen DNS Proxy Server auf dem Cisco.
Wenn der Cisco im 10.80.1er Netz (LAN) auch DHCP machen soll (Adressen .150 bis .169) dann verpasst du ihm noch folgende Zeilen: ##blue|
ip dhcp excluded-address 10.80.1.1 192.10.80.1.149
ip dhcp excluded-address 10.80.1.170 10.80.1.254
!
ip dhcp pool local
network 10.80.1.0
default-router 10.80.1.254
dns-server 10.80.1.254
domain-name ef8619.intern

Also....wirklich nochmal alles genau durchlesen, sich an das 886er Tutorial halten und dann klappt das auch auf Anhieb !!

Hallo,

ich habe heute deine obige Konfiguration in den Router eingetragen. Leider hat es nicht funktioniert

Noch einmal zum ZyXEL Router/Modem und was ich noch herausgefunden habe: im "Transparent" Modus, dient das ZyXEL nur als Modem, allerdings so, dass der dahintergeschaltete Router keine Einwahl vornehmen muss. Das Gerät ist also quasi der transparente Gateway, der eine direkte Verbindung zwischen Provider und Router ohne Einwahlmechanismen herstellen soll (so wie ich es verstanden habe).

Die anderen beiden Modi sind entweder Router-Modus oder klassischer Modem-Modus (hier wählt sich der Router über das Dialer-Interface ganz normal ein, Zugangsdaten erforderlich).

Die Sache mit dem Dialer0 Interface scheint also leider nicht zu klappen, da eine Einwahl ja nicht nötig ist. Stattdessen (hier habe ich noch einmal im bintec-Router nachgeschaut) muss das GigabitInterface0/1 wohl auf DHCP umgestellt werden.

Im bintec-Router wurde dies so gelöst. Das WAN-Interface (ein klassisches Gigabit Interface) wurde auf DHCP umgestellt. Dazu wurden 2 DNS-Adressen vom Provider eingetragen und eine Default-Route für das Interface. Das Interface bekommt dann direkt vom Provider die IP-Adresse zugewiesen (die Verbindung steht ja schon durch das ZyXEL Modem als transparenten Gateway).

Allerdings klappt das beim Cisco irgendwie garnicht. Das Interface bekommt keine IP-Adresse (der bintec-Router war nicht im Netzwerk).

OK, habe es hinbekommen!!!

Der Cisco Router ist im Netzwerk und läuft einwandfrei. Wir mussten bei unserem Provider einfach die MAC vom Cisco durchgeben, erst dann hat es funktioniert.

Folgender Status momentan:

- DHCP aktiviert
- DNS aktiviert
- NAT aktiviert
- Default Route definiert
- alle Klienten bekommen über DHCP die richtigen Einstellungen vom Cisco Router und können sowohl auf das lokale Netzwerk als auch auf das Internet zugreifen.

Was ich momentan noch benötige, damit ein normaler Betrieb weiterhin sichergestellt werden kann sind folgende 2 Dinge:

- VPN Verbindungen über PPTP definieren
- Ports freischalten für unsere VoIP Telefone (QSC hat uns die Ports mitgeteilt)

Könnt ihr mir helfen, wie ich hier vorzugehen habe?

Danke.

- VPN Verbindungen über PPTP definieren
- Ports freischalten für unsere VoIP Telefone (QSC hat uns die Ports mitgeteilt)
Könnt ihr mir helfen, wie ich hier vorzugehen habe?

Markiere den Beitrag doch mal als gelöst und mach zwei neue auf, dann wird die Beteiligung wohl etwas höher ausfallen
denke ich denn, wenn man sich hier erst einmal durch den ganzen Wust durchlesen muss dann wird das wohl nicht
mehr so viele Leute anlocken und animieren sich einzuklinken, ist zwar nur meine Meinung, aber versuche es einfach mal.

Wie markiere ich einen Beitrag als gelöst

Gruß
Dobby

Eine Default Route solltest du besser nicht auf dem Cisco einrichten wenn du eine PPPoE Einwahl machst damit !
Besser ist es immer hier ppp ipcp route default auf dem PPPoE Interface einzurichten und die Default Route wieder zu löschen !! (Siehe 886va Tutorial !)
Solltest du in deiner Konfig ggf. besser noch ändern !

Was den Rest der Fragen angeht:
- VPN Verbindungen über PPTP definieren
A.: Auch hier hast du mal wieder trotz mehrfacher Aufforderung NICHT in das oben vielzitierte Tutorial gesehen !

Dort steht im Kapitel "VPN PPTP Server mit DynDNS" ALLES was du zu dem Thema VPN Einwahl mit PPTP wissen musst !!
PPTP ist für private Bastelnetze sicher OK aber nicht mehr sicher für ein Firmennetzwerk ! Siehe HIER ! Um nicht fahrlässig zu handeln solltest du ggf. IPsec nutzen auf dem Router.
Mit dem kostenlosen Shrew Client ist das dann ein Kinderspiel und wasserdicht was die Sicherheit anbetrifft.
Eine Konfig zum Abtippen findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

- Ports freischalten für unsere VoIP Telefone (QSC hat uns die Ports mitgeteilt)
A.: Hier musst du nur die CBNAC Access Liste 111 (Tutorial Beispiel !) anpassen.
Solltest du ohne Firewall Konfiguration auf deinem Cisco arbeiten (ip inspect xyz Kommando) dann erübrigt sich das, da du keinerlei CBNAC Accessliste dann einsetzt.
Hier musst du dann nur mit statischem NAT (Port Forwarding) arbeiten wenn du etwas hinter der NAT Firewall des Routers erreichen willst.
In der Regel ist das aber nicht nötig wenn du deine VoIP Telefone (oder die Anlage) mit STUN einrichtest !

Hallo,

ich habe die Konfiguration nach deinem Tutorial bzgl. PPTP Einwahl angepasst. Irgendwie klappt die Einwahl aber nicht. Wir haben eine feste IP, auf die ein Domain-Name mittels A-Record zeigt. Das funktioniert auch soweit alles. Nur leider kommt immer wieder die Fehlermeldung am Client (iPhone 5), dass eine Einwahl nicht möglich ist. Habe ich vll. Fehler in meiner Konfiguration?

Current configuration : 6588 bytes
!
! Last configuration change at 13:28:44 UTC Thu Aug 8 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
! NVRAM config last updated at 12:44:46 UTC Wed Aug 7 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 4 <secret>
enable password cisco
!
no aaa new-model
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 10.80.1.1 10.80.1.15
ip dhcp excluded-address 10.80.1.200 10.80.1.254
!
ip dhcp pool local
 network 10.80.1.0 255.255.255.0
 default-router 10.80.1.254
 dns-server 10.80.1.254
 domain-name <name>
!
!
ip name-server <ns1>
ip name-server <ns2>
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2083690069
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2083690069
 revocation-check none
 rsakeypair TP-self-signed-2083690069
!
!
crypto pki certificate chain TP-self-signed-2083690069
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32303833 36393030 3639301E 170D3133 30313232 31393338
  33395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 30383336
  39303036 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100D274 E1A0DE74 34991BDA 2EF2B9A4 BC80511C 09A5ACE8 419DD6C9 7FDB1E36
  2ABA600A 43F71021 26808FD3 1C514566 5E2FBA5A 60A90015 1DA5D43E B3406124
  2BD20ACD 5E6D3D56 12C2EC89 7560733D 1F1A2B20 BD7B9275 1CEFB5CD CF40C960
  71A79316 F6A992FB 7A4D572E 5ED548A9 4F70048F 8F1F394B 04E8067B 2E08F658
  7F210203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 14C612DF 06D8F371 1DF1AA57 16A569F6 10FCE451 82301D06
  03551D0E 04160414 C612DF06 D8F3711D F1AA5716 A569F610 FCE45182 300D0609
  2A864886 F70D0101 05050003 8181000F 780A0FD4 D1CB31B8 AE123816 A0D94868
  65887115 D99B05BB AF41D8D0 CE2DDA8F CF288948 822CC63A EBC79A5E 793393D8
  553CE8FC 53F45CB9 6E7BC6B5 A7777C89 641B4DAC 268C89AA 03290ADC 7594E4B9
  5BC61B72 FBB83101 3C06B422 BBD115A9 084BAE46 55E01397 725A64FE 1C752A6C
  1684BA28 65D91FE5 E26639D1 DFDB04
  	quit
license udi pid CISCO1921/K9 sn FGL1704224A
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username admin privilege 15 secret 4 <secret>
username NVE password 0 <password>
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Lokales LAN
 ip address 10.80.1.254 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description VDSL Internet Verbindung$ETH-WAN$
 ip address dhcp
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 description PPTP Einwahl Interface fuer VPN-Zugang
 no ip address
 peer default ip address pool pptp_dialin
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet0/1 overload
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0

da war doch was von wegen Thread schließen und einen neuen aufmachen.
Das usprüngliche Problem ist ja gelöst.

Und ein Zertifikat so zu öffnen ist eine nette Idee.