74
Routing Problem VLANS Internet
Hi all ,
nachdem die Kiste Thread (danke Aqui! ) jetzt einigermaßen läuft für TV und Internet habe ich folgendes Prob und komm nicht mehr weiter :
VLANS per SubiF auf dem Router über 2 Switche per Trunk verbunden. Ext Modem -> Router 2821 -> Trunk -> SG300 Trunk -> Cisco2960G (VLAN30 Access Port)
Interne Kommunikation läuft problemlos also Routing passt.
Extern wird der Dialer 0 genutzt. Die VLAN sind per ACL freigeschaltet über den Dialer und matchen auch. Ich komme aber nicht ins Internet .
Konfig : als Beispiel VLAN30
sh ip route:
Dialer 0:
access list
Mein "normales Netz hängt am Gi0/1 und da funktioniert Internet
Subif :
port Gi0.07
Pinge ich direkt vom Router mit :
Habe Laptop an den Switch am dem access port angeschlossen und - ping 192.168.30.1 (subIF) geht einwandfrei .
Ping 8.8.8.8 von dort nicht.
??
Auch kann ich vom Router selbst alle devices pingen auf den Access ports auf dem 2960er
Das verstehe ich nicht. Kann mir da bitte jemand helfen oder Tipps geben wie ich da weiterkomme?
Danke vorab
Greets
Cyb
nachdem die Kiste Thread (danke Aqui! ) jetzt einigermaßen läuft für TV und Internet habe ich folgendes Prob und komm nicht mehr weiter :
VLANS per SubiF auf dem Router über 2 Switche per Trunk verbunden. Ext Modem -> Router 2821 -> Trunk -> SG300 Trunk -> Cisco2960G (VLAN30 Access Port)
Interne Kommunikation läuft problemlos also Routing passt.
Extern wird der Dialer 0 genutzt. Die VLAN sind per ACL freigeschaltet über den Dialer und matchen auch. Ich komme aber nicht ins Internet .
Konfig : als Beispiel VLAN30
Extended IP access list 101
10 permit ip 192.168.5.0 0.0.0.255 any (35426 matches)
20 permit ip 192.168.30.0 0.0.0.255 any (644 matches)
...sh ip route:
Gateway of last resort is 87.186.224.118 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 87.186.224.118
...interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip pim sparse-mode
ip nat outside
ip inspect myfw1 out
ip virtual-reassembly in
encapsulation ppp
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
endaccess list
access-list 101 permit ip 192.168.30.0 0.0.0.255 any
...
access-list 101 deny ip any any log
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
...
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 101Mein "normales Netz hängt am Gi0/1 und da funktioniert Internet
!
interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip igmp helper-address 10.246.63.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
duplex auto
speed auto
endinterface GigabitEthernet0/1.30
description vlan_ps3
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
endport Gi0.07
!
interface GigabitEthernet0/0.7
description VDSL Internet Connection
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1Pinge ich direkt vom Router mit :
ping 8.8.8.8 source Gi0/1.30
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.168.30.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 msHabe Laptop an den Switch am dem access port angeschlossen und - ping 192.168.30.1 (subIF) geht einwandfrei .
Ping 8.8.8.8 von dort nicht.
??
Auch kann ich vom Router selbst alle devices pingen auf den Access ports auf dem 2960er
Das verstehe ich nicht. Kann mir da bitte jemand helfen oder Tipps geben wie ich da weiterkomme?
Danke vorab
Greets
Cyb
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331030
Url: https://administrator.de/contentid/331030
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
74 Kommentare
Neuester Kommentar
Die Lösung ist kinderleicht... 
Du hast schlicht und einfach vergessen auf dem VLAN 30 Interface NAT zu aktivieren !
!
interface GigabitEthernet0/1.30
description vlan_ps3
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip nat inside
!
Ohne NAT kommst natürlich nicht ins Internet mit deinem .30.0er Netz
Kleine Ursache, große Wirkung...
Du hast schlicht und einfach vergessen auf dem VLAN 30 Interface NAT zu aktivieren !
!
interface GigabitEthernet0/1.30
description vlan_ps3
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip nat inside
!
Ohne NAT kommst natürlich nicht ins Internet mit deinem .30.0er Netz
Kleine Ursache, große Wirkung...
Hi Aqui ,
das hatte ich aber testweise auch schon drin und ging nicht.. hm ..
das ip nat inside ist doch auf dem Gi0/1 drauf und gilt für alle SubIf oder?
UPDATE
Hab mal noch anderes zum testen dazu genommen und beide geshuttet nach dem nat inside.
Beim Receiver geht es jetzt
danke
Bei der Ps3 vlan 30 immer noch nicht. Kommt immer ein DNS Fehler. (gleiche eingaben wie beim Receiver)
gateway die .1 im netz , 1 dns 192.168.5.2 , 2.dns 8.8.8.8
Thx vorab
Greets
das hatte ich aber testweise auch schon drin und ging nicht.. hm ..
das ip nat inside ist doch auf dem Gi0/1 drauf und gilt für alle SubIf oder?
UPDATE
Hab mal noch anderes zum testen dazu genommen und beide geshuttet nach dem nat inside.
Beim Receiver geht es jetzt
dankeBei der Ps3 vlan 30 immer noch nicht. Kommt immer ein DNS Fehler. (gleiche eingaben wie beim Receiver)
gateway die .1 im netz , 1 dns 192.168.5.2 , 2.dns 8.8.8.8
Thx vorab
Greets
das ip nat inside ist doch auf dem Gi0/1 drauf und gilt für alle SubIf oder?
Nein !Der Router sieht jedes Interface als eigenständiges Interface ! Folglich musst du ip nat inside auch zwingend auf dem 0.30er setzen. Bzw. bei JEDEM Subinterface.
Steck zu Testen immer einen PC oder Laptop ran. Wenn der ins Internet kann ist alles gut.
Tip:
Den Google DNS solltest du besser niemals verwenden. Google erstellt von dir dann ein Profil. Jeder der heute wenigstens etwas auf Sicherheit bedacht ist läst das !
Du musst auch keinen externen DNS nehmen denn das ist aus Performance Sicht immer kontraproduktiv. Wenn dann immer den lokalen des Providers.
Außerdem hast du doch einen DNS Proxy laufen auf dem Cisco, oder ?? ("ip dns server" als Global Command) Dann nimm den doch als DNS. Ist viel sinnvoller....und sicherer.
Hi Aqui,
thanks nochmal .Die Krück war die schei?§" Ps3. Geht immer noch nicht raus. Keine Ahnung was das Ding will. Hab Sie jetzt sogar wieder in mein Homenet rein und will trotzdem nicht . (Port zurück etc ) klar. Arghh.
ah ok..das mit google wusste ich nicht. Danke. WErd ich sofort umstellen.
Laptop war da grad nicht zur Hand ..aber auch das werd ich merken.
Jetzt mach ich mal die anderen VLANs und setz die ACLs passend ob das hinhaut ...
nice Weekend
greets
Cyb
thanks nochmal .Die Krück war die schei?§" Ps3. Geht immer noch nicht raus. Keine Ahnung was das Ding will. Hab Sie jetzt sogar wieder in mein Homenet rein und will trotzdem nicht . (Port zurück etc ) klar. Arghh.
ah ok..das mit google wusste ich nicht. Danke. WErd ich sofort umstellen.
Laptop war da grad nicht zur Hand ..aber auch das werd ich merken.
Jetzt mach ich mal die anderen VLANs und setz die ACLs passend ob das hinhaut ...
nice Weekend
greets
Cyb
soll das Home-LAN wirklich mit der PS (zwar nur geroutet aber trotzdem) kommunizieren koennen ?
das mit google wusste ich nicht
Na komm...die Datenkrake kennt doch nun jeder Erstklässler. Überlegt dir mal warum die Millionen Server auf der Welt mit Millionen Stromkosten für dich umsonst betreiben ! Menschenfreunde sind das nicht.Wir alle bezahlen mit unseren privaten Daten !!!
Nein nur ein Rechner auf dem Mediaserver läuft.
Muss das nochmal anschauen.
Muss das nochmal anschauen.
Na das mit google schon klar... aber als DNS - so weit hat ich nicht gedacht.
Deswegen hab ich auch fatzebuch adieu gesagt.
btw. Zum Thema nochmal-
Mein Gi0/0.8 nimmt ja den VLAN Tag für TV an . Danach ist der ja weg, wenn ich das richtig verstanden habe und wird mit Multicast über meine Verbindung zum SG geschickt.
Kann ich das nicht einfach nochmal taggen und nur an den Port wo entertain dran ist ein vlan machen?
Oder bringt das nichts ??
Thx vorab
Greets
Cyb
Deswegen hab ich auch fatzebuch adieu gesagt.
btw. Zum Thema nochmal-
Mein Gi0/0.8 nimmt ja den VLAN Tag für TV an . Danach ist der ja weg, wenn ich das richtig verstanden habe und wird mit Multicast über meine Verbindung zum SG geschickt.
Kann ich das nicht einfach nochmal taggen und nur an den Port wo entertain dran ist ein vlan machen?
Oder bringt das nichts ??
Thx vorab
Greets
Cyb
aber als DNS - so weit hat ich nicht gedacht.
Du musst noch vieeeeel weiter denken und das reicht dann auch noch nicht ansatzweise zu dem was wirklich gemacht wird !Deswegen hab ich auch fatzebuch adieu gesagt.
Eine weise Entscheidung !Mein Gi0/0.8 nimmt ja den VLAN Tag für TV an
Das ist richtig ! Dort landen alle Frames die einVLAN Tag 8 haben.und wird mit Multicast über meine Verbindung zum SG geschickt
Jein... Es wird per PIM Routing auf die Router Interfaces geforwardet die auch für PIM Routing aktiviert sind und dann natürlich in die dazu korrespondierenden VLANs.Aber so meintest du das sicherlich, oder ?
Ansonsten hilft das hier zum Verständnis von PIM Routing:
https://www.youtube.com/watch?v=AvbSMBKBZgY
Kann ich das nicht einfach nochmal taggen und nur an den Port wo entertain dran ist ein vlan machen?
Klar das geht. Wie bereits gesagt. MC kommt nur da an wo PIM aktiviert ist.Auf Interfaces wo kein PIM ist geht auch kein Entertain, Multicast.
So kannst du dir ganz einfach VLANs "basteln" mit und ohne Multicast.
Oh je... und ich dacht ich bin einigermaßen vorsichtig 
Hab das jetzt mal auf die schnelle geschaut und auch hier PIM und dachte das PIM zwischen meinem Router und Telekom Router (in dem Fall) gesprochen wird und Local dann IGMP? Aber dann wäre ja auch auf meinem Interface Gi0/1 kein pim sondern nur igmp? Mist das hab ich nicht verstanden.
Das Interface wo entertain dran hängt ist ja noch nicht separat. Das heißt der Router schiebt den MC Traffic zum SG300 weil von dort die Anfrage des Receivers kommt und regelt das dann per IGMP?
Glaub muss mir alle Teile nochmal reinziehen. So ganz blick ich das noch nicht wirklich . Auch nicht wegen den VLANs weil imo habe ich ja gar nichts in den IF stehen und es geht ?
Hab das jetzt mal auf die schnelle geschaut und auch hier PIM und dachte das PIM zwischen meinem Router und Telekom Router (in dem Fall) gesprochen wird und Local dann IGMP? Aber dann wäre ja auch auf meinem Interface Gi0/1 kein pim sondern nur igmp? Mist das hab ich nicht verstanden.
Das Interface wo entertain dran hängt ist ja noch nicht separat. Das heißt der Router schiebt den MC Traffic zum SG300 weil von dort die Anfrage des Receivers kommt und regelt das dann per IGMP?
Glaub muss mir alle Teile nochmal reinziehen. So ganz blick ich das noch nicht wirklich . Auch nicht wegen den VLANs weil imo habe ich ja gar nichts in den IF stehen und es geht ?
IGMP ist immer ein Teil von PIM
Der Switch kann nur IGMP Snooping. Er kaspert also nur intelligent raus wo überhaupt Clients sind die Multicast machen und forwardet das nur an diese Ports.
Hättest du einen dummen Switch ohne IGMP dann müsste der Switch alle MC Pakete fluten und so behandeln wie Broadcasts. Ungemanagete Switches machen das auch so.
IGMP regelt den MC Traffic also nur auf Layer 2 nicht aber auf L3, das macht PIM.
interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip igmp helper-address 10.246.63.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
duplex auto
speed auto
In den VLANs (außer eben VLAN 1 oben) dürfte aber kein Entertain sprich Multicasting funktionieren.
Der Switch kann nur IGMP Snooping. Er kaspert also nur intelligent raus wo überhaupt Clients sind die Multicast machen und forwardet das nur an diese Ports.
Hättest du einen dummen Switch ohne IGMP dann müsste der Switch alle MC Pakete fluten und so behandeln wie Broadcasts. Ungemanagete Switches machen das auch so.
IGMP regelt den MC Traffic also nur auf Layer 2 nicht aber auf L3, das macht PIM.
Auch nicht wegen den VLANs weil imo habe ich ja gar nichts in den IF stehen und es geht ?
Das stimmt ja de facto nicht ! interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip igmp helper-address 10.246.63.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
duplex auto
speed auto
In den VLANs (außer eben VLAN 1 oben) dürfte aber kein Entertain sprich Multicasting funktionieren.
Hi Aqui,
ich kann mich schlecht ausdrücken ich weiß. Sorry
Ich wollte ja damit sagen, dass ich in den IF am SG300 nichts drin habe und vom Gi0/1 quasi alles MC rein kommt. D.h. , wenn ich dich richtig verstanden habe, muss ich gar kein vlan machen, weil der Switch igmp snooping kann und den MC traffic sowieso nur an den port schiebt wo entertain ist. Status quo.
Hab mal gelesen , dass ich beim receiver mal reset machen soll. Das könnte das anhalten problem lösen. Vielleicht auch das stocken manchmal. Muss mal testen. CPU ist nicht high ..das hab ich mal gestestet und am Freitag hat sich, warum auch immer , die 10er IP auf dem Gi0.08 verabschiedet. shut no shut brachte dann alles wieder zum laufen. Kann man root cause für sowas später noch ausmachen?
greets & thx
Cyb
ich kann mich schlecht ausdrücken ich weiß. Sorry
Ich wollte ja damit sagen, dass ich in den IF am SG300 nichts drin habe und vom Gi0/1 quasi alles MC rein kommt. D.h. , wenn ich dich richtig verstanden habe, muss ich gar kein vlan machen, weil der Switch igmp snooping kann und den MC traffic sowieso nur an den port schiebt wo entertain ist. Status quo.
Hab mal gelesen , dass ich beim receiver mal reset machen soll. Das könnte das anhalten problem lösen. Vielleicht auch das stocken manchmal. Muss mal testen. CPU ist nicht high ..das hab ich mal gestestet und am Freitag hat sich, warum auch immer , die 10er IP auf dem Gi0.08 verabschiedet. shut no shut brachte dann alles wieder zum laufen. Kann man root cause für sowas später noch ausmachen?
greets & thx
Cyb
Ich wollte ja damit sagen, dass ich in den IF am SG300 nichts drin habe
Ahhhh so !! OK, ist ja auch logisch, denn du machst ja das ganze Routing auf dem Router und eben NICHT am Switch. Deshalb darfst du auch gar nix IP mässiges am Switch machen das wäre fatal und kontraproduktiv.Dein Switch sollte außer einer Management IP keine aktive IP haben.
Er muss also quasi als reiner L2 Switch arbeiten wie ein SG-200.
Das was vom G0/1 reinkommt an MC landet bei ihm ausschliesslich auch nur in VLAN 1 und nirgendwo anders.
und den MC traffic sowieso nur an den port schiebt wo entertain ist.
Richtig!...das aber eben nur im VLAN 1 weil du PIM Routing ja nur ins VLAN 1 machst.Das könnte das anhalten problem lösen. Vielleicht auch das stocken manchmal.
Das könnte sein. Ich meine es ist aber der Query Intervall Timer. Den solltest du mal hochdrehen auf 5. Ich meine das war das irgendwie.Stimmt..habs gefunden:
http://www.cisco-forum.net/topic_2769.0.html
Letzter Threadeintrag....
Boah ..danke ... Bist echt der patron man
Ich werde es testen sobald ich daheim bin. Das mit dem Anhalten habe ich gestern noch lösen können - Receiver update gemacht (TV).
Öhm. .. ich frag mal ganz frechdumm:
Habe gelesen das der query Interval standard bei cisco auf 60 sek steht. Warum jetzt hier auf 15 bzw. wie du jetzt schreibst 5 ?
Und kann es sein, dass man igmp snooping auf dem L2 SG 300 aktivieren kann und er dann nicht auf alle ports im vlan 1 schickt sondern "nur" auf die anfragenden? Meine ich hätte das vorhin auch so zwischen Tür und Angel gelesen.
Ach und falls ich mal Kabel Haien will... mein PC damit hängt an port von SG300 imo noch über nicht gemanagden Switch) ... versteh ich das richtig, das ich am SG300 den UPLINK zum Router mirroren kann für den Netztraffic? Bedeutet dann vom ISP zu meinen SubIFs vom Router mach ich dann 2 mal mirror? Oder wie geht das ?
Thanks vorab
Hab mal im Log geschaut.. Da kommt immer wieder :
Ähm das heißt vom Dialer zu MC Adresse werden denied..
Hab mal debug ip packet 101 gemacht und da seh ich :
oder
oder
?
Ich werde es testen sobald ich daheim bin. Das mit dem Anhalten habe ich gestern noch lösen können - Receiver update gemacht (TV).
Öhm. .. ich frag mal ganz frechdumm:
Habe gelesen das der query Interval standard bei cisco auf 60 sek steht. Warum jetzt hier auf 15 bzw. wie du jetzt schreibst 5 ?
Und kann es sein, dass man igmp snooping auf dem L2 SG 300 aktivieren kann und er dann nicht auf alle ports im vlan 1 schickt sondern "nur" auf die anfragenden? Meine ich hätte das vorhin auch so zwischen Tür und Angel gelesen.
Ach und falls ich mal Kabel Haien will... mein PC damit hängt an port von SG300 imo noch über nicht gemanagden Switch) ... versteh ich das richtig, das ich am SG300 den UPLINK zum Router mirroren kann für den Netztraffic? Bedeutet dann vom ISP zu meinen SubIFs vom Router mach ich dann 2 mal mirror? Oder wie geht das ?
Thanks vorab
Hab mal im Log geschaut.. Da kommt immer wieder :
list 101 denied pim 80.140.255.125 -> 224.0.0.13, 29 packetsHab mal debug ip packet 101 gemacht und da seh ich :
19:40:20.337: %SEC-6-IPACCESSLOGRP: list 101 denied pim 0.0.0.0 -> 224.0.0.13, 1 packet 19:40:36.585: %SEC-6-IPACCESSLOGRP: list 101 denied pim 10.246.43.173 -> 224.0.0.13, 1 packet19:44:14.087: %SEC-6-IPACCESSLOGRP: list 101 denied pim 80.140.255.125 -> 224.0.0.13, 28 packetsauf dem L2 SG 300 aktivieren kann und er dann nicht auf alle ports im vlan 1 schickt sondern "nur" auf die anfragenden?
Das ist die Grundfunktion von IGMP das MC nur dahin geforwardet wird wo es angefordert wird !versteh ich das richtig, das ich am SG300 den UPLINK zum Router mirroren kann für den Netztraffic?
Jepp...das kannst du !Das macht man mit einem Mirror Port ! Du speigelst den Port wo dein Router dran ist auf einen Port und klemmst da den Wireshark an. Dann hast du quasi einen 2ten Routerport und kannst auf dem Wireshark schön sehen was alles an den Router geht und was kommt
Da kommt immer wieder :
Das ist auch normal. Die 101er ACL blockiert Multicast Adressen wie 224.0.0.13. Die dürfen nicht geNATet werden und auch icht ins Internet.Du solltest das Error Logging der ACL 101 ausschalten, das müllt dir nur das Log voll. Zudem erzwingt es dann das diese Packete über die CPU müssen (Performance). ACL Logging sollte man nur machen wenn man was debuggen will.
Du kannst die ACL auch ändern in:
access-list 101 permit ip 192.168.30.0 0.0.0.255 any
access-list 101 permit ip any 224.0.0.0 0.255.255.255
...
access-list 101 deny ip any any
Das lässt dann alle MC Pakete passieren. Aber wenn du keine Einschränkungen hast ?!
Hi Aqui,,
danke mal wieder.. wollte gestern testen und habe mal auf query 5 umgestellt. Da kam dann ne Meldung dass dich nicht höher sein darf als die query max response time .. .aber es wurde umgestellt. Als ich dann testen wollte..kamn schon von family Internet geht nicht
Ok..also nachgeschaut ..das interval erstmal wieder zurück ... TV ging aber ... Irgendwie war der DNS den ich hinterlegt hatte wohl down (nachdem ich den google raus hatte) .. jetzt merhre genommen von providern . geht..Allerdings kam ich dann nicht mehr zum weiter testen.
Und sorry wenn ich dumm fragen muss du hast geschrieben :
Warum gibt es denn dann IGMP Snooping ? Wenn ich das hier lese IGMP Snooping ist doch das genau die Grundfunktion die du beschreibst ? Oder wo hab ich den Denkfehler??
Ich hab auch mal nachgeschaut- der switch SG300 hat wohl auch Option das snooping einzuschalten.
Danke für Aufklärung
greets
danke mal wieder.. wollte gestern testen und habe mal auf query 5 umgestellt. Da kam dann ne Meldung dass dich nicht höher sein darf als die query max response time .. .aber es wurde umgestellt. Als ich dann testen wollte..kamn schon von family Internet geht nicht
Ok..also nachgeschaut ..das interval erstmal wieder zurück ... TV ging aber ... Irgendwie war der DNS den ich hinterlegt hatte wohl down (nachdem ich den google raus hatte) .. jetzt merhre genommen von providern . geht..Allerdings kam ich dann nicht mehr zum weiter testen.
Und sorry wenn ich dumm fragen muss du hast geschrieben :
Das ist die Grundfunktion von IGMP das MC nur dahin geforwardet wird wo es angefordert wird !Warum gibt es denn dann IGMP Snooping ? Wenn ich das hier lese IGMP Snooping ist doch das genau die Grundfunktion die du beschreibst ? Oder wo hab ich den Denkfehler??
Ich hab auch mal nachgeschaut- der switch SG300 hat wohl auch Option das snooping einzuschalten.
Danke für Aufklärung
greets
Irgendwie war der DNS den ich hinterlegt hatte
Sorry aber WARUM "hinterlegst" du einen ??Du bekommst doch immer den besten automatisch per PPPoE übermittelt und dann lässt du deinen Cisco doch als DNS Proxy laufen so das die Clients die Cisco IP als DNS haben. So hast du immer den besten DNS Server am laufen.
Was frickelst du denn da immer mit DNS ???
Warum gibt es denn dann IGMP Snooping ?
Eben damit nur MC an Ports geforwardet wird wo es gefordert wird. Ohne aktives IGMP flutet der Switch alle MC Pakete, sprich er forwardet sie an alle Ports. Das muss er per Definition ja auch ist nur sehr unökonomich, da er damit ja auch alle Ports belastet wo kein MC erforderlich ist. Deshalb eben IGMP.der switch SG300 hat wohl auch Option das snooping einzuschalten.
Dann solltest du das auch dringenst machen, denn sonst flutet der Switch sämtlichen MC Traffic wie ein billiger, unmanaged Blödmarkt Switch.Lad dir mal ein freies MC Testtool wie den MC Hammer von Nortel auf den Rechner:
http://www.michaelfmcnamara.com/files/avaya/mchammer_installer_for_wind ...
Damit kannst du das wunderbar sehen !
Hallo Aqui,
ok ok..DNS sind raus. Ich wusste es ehrlich gesagt nicht, dass per PPPoE einer mitgeliefert wird. Ok wieder was gelernt.
OK..IGMP Snooping aktiviert auf dem Switch uind auch mal die query interval auf 5 runter gemacht. Leider kein Erfolg. Bild bleibt immer mal sporadisch stehen (1-3) sekunden. Keine Drops auf den Interfaces , keine high CPU . Könnte mal noch anderen Port probieren aber sonst wüsste ich auch nicht mal wie ich das testen kann.
Im log ist auch nichts zu sehen. Einzig was mir aufgefallen ist, dass wenn ich sh run mache auf dem Router und TV ist an - stockt es auch schon ein wenig. Reprodzuierbar. `??
hast du noch nen Tipp wie ich da was testen kann -weil nervig ist das schon ...
Danke vorab
greets
Cyb
ok ok..DNS sind raus. Ich wusste es ehrlich gesagt nicht, dass per PPPoE einer mitgeliefert wird. Ok wieder was gelernt.
OK..IGMP Snooping aktiviert auf dem Switch uind auch mal die query interval auf 5 runter gemacht. Leider kein Erfolg. Bild bleibt immer mal sporadisch stehen (1-3) sekunden. Keine Drops auf den Interfaces , keine high CPU . Könnte mal noch anderen Port probieren aber sonst wüsste ich auch nicht mal wie ich das testen kann.
Im log ist auch nichts zu sehen. Einzig was mir aufgefallen ist, dass wenn ich sh run mache auf dem Router und TV ist an - stockt es auch schon ein wenig. Reprodzuierbar. `??
hast du noch nen Tipp wie ich da was testen kann -weil nervig ist das schon ...
Danke vorab
greets
Cyb
Ich wusste es ehrlich gesagt nicht, dass per PPPoE einer mitgeliefert wird.
Na komm....das ist seit Generationen so und jede FritzBox bekommt so den DNS Server geliefert. Oder wie dachtest du soll Otto Normalverbraucher das machen der von IT und besonders IP keinerlei Ahnung hat ??!Außerdem findest du im ppp Dialer doch auch das Kommando ppp ipcp dns request !!
Dreimal darfst du raten was das wohl macht...?!!
Es kann eigentlich nur noch an den Multicasting Parametern liegen. Wenn die optimiert sind sollte das eigentlich verschwinden. Ich check das mal...
Ja so gesehen hast du Recht. . Geb ja zu -stell mich manchmal blöder an als ich bin
Mir fehlt einfach die Routine... deswegen ja auch das Konstrukt daheim ... immerhin hab ich jetzt fast mehr gelernt darin als auf Arbeit in 2 Jahren
Oder meinst ggfs ein Bug in software ? Mich wundert, dass er schon strauchelt wenn ich ein sh run mache
Danke für die Hilfe
greets
Mir fehlt einfach die Routine... deswegen ja auch das Konstrukt daheim ... immerhin hab ich jetzt fast mehr gelernt darin als auf Arbeit in 2 Jahren
Oder meinst ggfs ein Bug in software ? Mich wundert, dass er schon strauchelt wenn ich ein sh run mache
Danke für die Hilfe
greets
Das sollte auch nicht so sein. Das macht nichtmal ein alter Cisco 831.
Hast du CEF Switching aktiviert auf dem Router ? Das geht global mit ip cef.
Hast du CEF Switching aktiviert auf dem Router ? Das geht global mit ip cef.
Ja cef ist aktiviert aber CPU niedrig bei max 20 % .
Kollege meinte eventuell sind zuviele Dienste gestartet er default, die nicht gebraucht werden? Oder hat die Software ein bug - oder HW?
Kollege meinte eventuell sind zuviele Dienste gestartet er default, die nicht gebraucht werden? Oder hat die Software ein bug - oder HW?
Mmmhh welche Dienste hast du denn gestartet ??
Unter Services solltest du alles abschalten, HTTP usw. auch.
Hast du irgendwas was CPU Switching erzwingt wie secondary Adresses oder sowas ?
Unter Services solltest du alles abschalten, HTTP usw. auch.
Hast du irgendwas was CPU Switching erzwingt wie secondary Adresses oder sowas ?
Ich habe nichts dazu eingestellt. Rein nur die config wie ich Sie aus dem Tutorial habe .
Die Dienste die automatisch (default) sind laufen. Habe auch kein http.
War ja nur ne Idee. CPU wird wohl nicht die Ursache sein. Drops habe ich keine gesehen auf den IF.
Die Dienste die automatisch (default) sind laufen. Habe auch kein http.
War ja nur ne Idee. CPU wird wohl nicht die Ursache sein. Drops habe ich keine gesehen auf den IF.
Ein show proc CPU sagt dir was am meisten Performance frisst.
Zu Hause werde ich schauen... ich habe das ja bereits geguckt auch die history ... aber soweit ich mich erinnere war da nicht ein Prozess mit viel cpu sondern viele mit wenig.
Hi Aqui,
so in etwa sieht es immer aus :
Insgesamt sind es so 380 pids . Auf den IF Gi0/0 und der Subs ist Cef disabled. Auf allen anderen enabled über global
gesehen bei sh cef interfaces
Aber muss irgendwas damit nicht stimmen- sh run und das Bild stockt
so in etwa sieht es immer aus :
sh proc cpu sorted
CPU utilization for five seconds: 23%/8%; one minute: 22%; five minutes: 21%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
140 45379096 251598576 180 12.00% 11.35% 11.27% 0 IP Input
6 1003532 88249 11371 1.19% 0.23% 0.18% 0 Check heaps
114 2824 66389959 0 0.31% 0.31% 0.31% 0 Ethernet Msec Ti
151 2112 1700 1242 0.23% 0.15% 0.07% 514 SSH Process
377 2052 26082406 0 0.15% 0.14% 0.14% 0 MFIB_mrib_write
380 2432 16317909 0 0.15% 0.11% 0.10% 0 PPP manager
2 2236 104506 21 0.07% 0.03% 0.02% 0 Load Meter
187 296 7730 38 0.07% 0.00% 0.00% 0 TCP Timer
366 15404 5354594 2 0.07% 0.04% 0.05% 0 IGMP Input
384 153084 699572 218 0.07% 0.17% 0.07% 0 DNS Server
381 2256 16317938 0 0.07% 0.06% 0.07% 0 PPP Eventsgesehen bei sh cef interfaces
Aber muss irgendwas damit nicht stimmen- sh run und das Bild stockt
hi Aqui,
hatte noch den output gepostet. Hast du noch ne Idee was ich testen kann oder debuggen um das Problem zu finden??
thx
hatte noch den output gepostet. Hast du noch ne Idee was ich testen kann oder debuggen um das Problem zu finden??
thx
Ad hoc so nicht. Da müsste man mal mit dem Kabelhai genau nachsehen was da in der MC Kommunikation schiefläuft.
Hast du mal mit den MC Fastleave Parametern etwas rumgespielt ?
Hast du mal mit den MC Fastleave Parametern etwas rumgespielt ?
Hi Aqui,
habe mal einen simplen Switch nur zwischen Router und TV gemacht mit noch WLAN AP dran.
Ergebnis :
Keine Hangs mehr seit über Stunde.. Allerdings auch hier kurz Artefakte wenn ich sh run eingebe. Damit könnte ich allerdings gut leben
So jetzt die Frage wo ist der Unterschied . Fastleave Parameter? Ich habe nur mal mit den scheduler allocate und den query timers etwas geändert was nichts brachte.
habe mal einen simplen Switch nur zwischen Router und TV gemacht mit noch WLAN AP dran.
Ergebnis :
Keine Hangs mehr seit über Stunde.. Allerdings auch hier kurz Artefakte wenn ich sh run eingebe. Damit könnte ich allerdings gut leben
So jetzt die Frage wo ist der Unterschied . Fastleave Parameter? Ich habe nur mal mit den scheduler allocate und den query timers etwas geändert was nichts brachte.
MMmhhh, das ist interessant. Das könnte ein Hinweis darauf sein das du zwischen TV und vorherigem Routerport ein Autonegotiation Problem hast. Sprich also ein Speed- Und Duplex Mismatch.
Das würde auch die Performance Probleme erklären, denn bei steigendem Traffic Volumen entstehen mehr Collisions.
Was sagt denn ein show interface an diesem Port wo der TV dranhängt. Siehst du dort irgendwelche Runts oder Giants oder Paket Drops ? Ggf. ein clear count vorher machen.
Gut möglich das der Switch das kompensiert und damit den Durchsatz wiederherstellt. Das solltest du mal untersuchen.
Mit sh run ist schon komisch. Eigentlich sollte das den Switch wenig bis gar nicht belasten aber solange es dabei bleibt ist das ja tolerabel.
Das würde auch die Performance Probleme erklären, denn bei steigendem Traffic Volumen entstehen mehr Collisions.
Was sagt denn ein show interface an diesem Port wo der TV dranhängt. Siehst du dort irgendwelche Runts oder Giants oder Paket Drops ? Ggf. ein clear count vorher machen.
Gut möglich das der Switch das kompensiert und damit den Durchsatz wiederherstellt. Das solltest du mal untersuchen.
Mit sh run ist schon komisch. Eigentlich sollte das den Switch wenig bis gar nicht belasten aber solange es dabei bleibt ist das ja tolerabel.
Hi Aqui,
werd bald verrückt... arghh Glaub hab HobBits oder wirklich ein buggy Router.
Was ist passiert :
Hatte wieder umgepatcht und siehe da fast keine Ruckler mehr .. Hm... Ok.. gefreut ...
Hatte mal auf einem Subnet eine angepasste ACL für nur einen host (Receicer) ... Getestet.. Webradio geht. Wunnabar.
Heute Receiver eingeschaltet ..kein Webradio , TV ging einigermaßen 2 kurze innerhalb 30 min, und auch Amazon prime (anderes subnet) kein Netz.
Zum groben Unterscheiden habe ich dem Receiver eine feste IP gegeben und amazon per dhcp. Beides geht nicht -> immer schlecht.
Sieht man aber ja schon irgendwas stimmt da nicht ...ok.. Hab dann mal die ACL wieder runter gemacht und gesehen , dass er bei der 101 den counter auf 62.000 denied hat. ????? Dacht ich mal dann debug ip packet access list 101 ... enter gedrückt , 2 sek später router nicht mehr erreichbar..
Hab dann rebootet ..allerdings zog er sich dann keine IP fürs IPTV mehr. Erst ein shut des Dialers half hier weiter...
das ist doch shiet sowas.Hab mal die counters auf 0 ..innerhalb 5 min 120 auf den deny der 101??
Eigentlich sind doch alle netzt permitted von mir auf der 101
denk langsam wirklich das liegt am router oder ios
oder doch layer8 ?
werd bald verrückt... arghh Glaub hab HobBits oder wirklich ein buggy Router.
Was ist passiert :
Hatte wieder umgepatcht und siehe da fast keine Ruckler mehr .. Hm... Ok.. gefreut ...
Hatte mal auf einem Subnet eine angepasste ACL für nur einen host (Receicer) ... Getestet.. Webradio geht. Wunnabar.
Heute Receiver eingeschaltet ..kein Webradio , TV ging einigermaßen 2 kurze innerhalb 30 min, und auch Amazon prime (anderes subnet) kein Netz.
Zum groben Unterscheiden habe ich dem Receiver eine feste IP gegeben und amazon per dhcp. Beides geht nicht -> immer schlecht.
Sieht man aber ja schon irgendwas stimmt da nicht ...ok.. Hab dann mal die ACL wieder runter gemacht und gesehen , dass er bei der 101 den counter auf 62.000 denied hat. ????? Dacht ich mal dann debug ip packet access list 101 ... enter gedrückt , 2 sek später router nicht mehr erreichbar..
Hab dann rebootet ..allerdings zog er sich dann keine IP fürs IPTV mehr. Erst ein shut des Dialers half hier weiter...
das ist doch shiet sowas.Hab mal die counters auf 0 ..innerhalb 5 min 120 auf den deny der 101??
Eigentlich sind doch alle netzt permitted von mir auf der 101
denk langsam wirklich das liegt am router oder ios
oder doch layer8 ?
Mmmhhh... wie ist denn deinen aktuelle ACL 101 ??
Denk dran das du das Multicasting da aus dem NAT rausnehmen musst !
Eigentlich lügt das IOS nicht Wenn dort ein denied steht, dann blockt er es auch aus ACL Gründen.
Dazu müsste man aber die aktuelle ACL mal sehen um zu entscheiden ob das Router oder Layer 8 ist
Denk dran das du das Multicasting da aus dem NAT rausnehmen musst !
Eigentlich lügt das IOS nicht
Wenn dort ein denied steht, dann blockt er es auch aus ACL Gründen.Dazu müsste man aber die aktuelle ACL mal sehen um zu entscheiden ob das Router oder Layer 8 ist
Hi
meine 101 sieht so aus :
was meinst du mit Multicast aus NAT nehmen?? IPTV is eine aus dem 5er Netz und läuft über native vlan , welches über Gi0/1 geht .
Da ist ip nat inside drin.
meine 101 sieht so aus :
10 permit ip 192.168.5.0 0.0.0.255 any (33061 matches)
20 permit ip 192.168.30.0 0.0.0.255 any
30 permit ip 192.168.40.0 0.0.0.255 any (2 matches)
40 permit ip 192.168.50.0 0.0.0.255 any (261 matches)
50 permit ip 192.168.70.0 0.0.0.255 any
60 permit ip 192.168.80.0 0.0.0.255 any (9 matches)
70 permit ip 192.168.90.0 0.0.0.255 any
80 deny ip any any log (38599 matches)was meinst du mit Multicast aus NAT nehmen?? IPTV is eine aus dem 5er Netz und läuft über native vlan , welches über Gi0/1 geht .
Da ist ip nat inside drin.
Die Multicast Address Range ist ja 224.0.0.0 /4 (Wildcard: 15.255.255.255) Mir war erst so als müsste man das vom NAT excluden, das geht aber nicht weil intern RFC 1918 IP Adressen verwendet werden.
Vergiss das...kleiner Denkfehler meinerseits
Interessant ist aber schon die Frage warum der Deny Counter so hoch ist, denn eigentlich sollten dort ja keine anderen Absender IP Adressen als 5er und 30er bis 90er sein.
Es muss aber de facto noch ne Menge internen Traffic geben in deinen Subnetzen die andere IP Adressen haben und im Deny hängenbleiben.
Was das ist kannst nur du wissen. Normal ist das nicht das der Counter so hoch ist.
Vergiss das...kleiner Denkfehler meinerseits
Interessant ist aber schon die Frage warum der Deny Counter so hoch ist, denn eigentlich sollten dort ja keine anderen Absender IP Adressen als 5er und 30er bis 90er sein.
Es muss aber de facto noch ne Menge internen Traffic geben in deinen Subnetzen die andere IP Adressen haben und im Deny hängenbleiben.
Was das ist kannst nur du wissen. Normal ist das nicht das der Counter so hoch ist.
Argh..
keine Ahnung was jetzt wieder los ist... wollte auf log schauen und kommt langsam nur drauf... aber cpu ist 10 % dann aufgehängt.
ich habe NICHTS geändert. What the hell???
Binn dann per Konsole dran und bekomm lauter downs angezeigt obwohl ich nicht auf log bin . Auch hier cpu keine Last. ????
Was ne Kiste... hab jetzt vor Frust wieder alles auf FB gepatcht damit alles wenigstens stable läuft.
Ich mach den Router nochmal platt oder hol mir einen anderen.
Entweder da sind wirklich HobBits oder irgendwas ist da im Argen. Hab grad so ein Prass.
keine Ahnung was jetzt wieder los ist... wollte auf log schauen und kommt langsam nur drauf... aber cpu ist 10 % dann aufgehängt.
ich habe NICHTS geändert. What the hell???
Binn dann per Konsole dran und bekomm lauter downs angezeigt obwohl ich nicht auf log bin . Auch hier cpu keine Last. ????
Was ne Kiste... hab jetzt vor Frust wieder alles auf FB gepatcht damit alles wenigstens stable läuft.
Ich mach den Router nochmal platt oder hol mir einen anderen.
Entweder da sind wirklich HobBits oder irgendwas ist da im Argen. Hab grad so ein Prass.
Das hört sich aber in der Tat dann an als ob die Kiste einen HW Defekt hat ?!
Hast du dir mal die Interface Statistiken angesehen ? Nicht das du da ein physisches Problem am Switch oder Port hast mit Autonegotiation oder sowas...
Mit einem einfachen 886va rennt das mit einer aktuellen Telekom BNG Konfig vollkommen ruckelfrei:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Und das ist ein kleiner Accessrouter.
Hast du dir mal die Interface Statistiken angesehen ? Nicht das du da ein physisches Problem am Switch oder Port hast mit Autonegotiation oder sowas...
Mit einem einfachen 886va rennt das mit einer aktuellen Telekom BNG Konfig vollkommen ruckelfrei:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Und das ist ein kleiner Accessrouter.
Also vorher hab ich nichts ungewöhnliches gesehen bei den Ports .
Hab mich aber erinnert dass er bevor ich die config angepasst hatte auch schon mal down ging am Gi0/1 . Hab es auf das Kabel geschoben weil es ein altes war aber jetzt das andere auch ? Eher nicht..
Leider gibt es nix ISR mäßiges für gebrauchte ~150 was passen würde.
Vielleicht greif ich in der Bucht für dasselbe nochmal zu.
Ja die FB rennt ja auch einwandfrei ,.. also an der Power kann es definitiv nicht liegen.
Greets
Hab mich aber erinnert dass er bevor ich die config angepasst hatte auch schon mal down ging am Gi0/1 . Hab es auf das Kabel geschoben weil es ein altes war aber jetzt das andere auch ? Eher nicht..
Leider gibt es nix ISR mäßiges für gebrauchte ~150 was passen würde.
Vielleicht greif ich in der Bucht für dasselbe nochmal zu.
Ja die FB rennt ja auch einwandfrei ,.. also an der Power kann es definitiv nicht liegen.
Greets
Guckst du hier ! Das ist doch ein Schnapper
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
hm... danke
der hat aber "nur" 100er Ports.
Meine Überlegung war ggfs nochmal 2821 den zu nehmen. Dann kann ich RAM upgraden und hab ggfs dann noch Netzteil und Lüfter als Ersatzteile.
Power für den VDSL 50 sollten beide locker haben selbst mit Firewall. Denke das es an der HW liegt imo...
der hat aber "nur" 100er Ports.
Meine Überlegung war ggfs nochmal 2821 den zu nehmen. Dann kann ich RAM upgraden und hab ggfs dann noch Netzteil und Lüfter als Ersatzteile.
Power für den VDSL 50 sollten beide locker haben selbst mit Firewall. Denke das es an der HW liegt imo...
Wenn du VDSL 50 hast reichen die 100er ja
Ja du jast Recht aber dennoch habe ich den 2821 noch einmal geholt.
Will es jetzt wissen Und wenn es auch nicht klappt - verkaufe ich die beiden und hol mir 886 Oder mach ne Bäckerlehre... lol
thx..vorab...
Denke bis am WE hab ich das Teil.
Will es jetzt wissen
Und wenn es auch nicht klappt - verkaufe ich die beiden und hol mir 886 Oder mach ne Bäckerlehre... lolthx..vorab...
Denke bis am WE hab ich das Teil.
Dann nimm das Gigbit Pendant den 890er
Oder eben Brötchen....?!
Berichte mal was die Kiste macht. Flash dir auch gleich ein aktuelles Image drauf !
Oder eben Brötchen....?!
Berichte mal was die Kiste macht. Flash dir auch gleich ein aktuelles Image drauf !
Sicher , mach ich ...
Die Frage ist auch noch...das neueste klar .. aber da gibts ja auch differences ..
Ich hab das Advanced Enterprise (all in ) drauf gehabt,
Reichen sollte aber auch schon das Advanced IP Services ...
Meinst du das macht einen Unterschied??
Thanks
Die Frage ist auch noch...das neueste klar .. aber da gibts ja auch differences ..
Ich hab das Advanced Enterprise (all in ) drauf gehabt,
Reichen sollte aber auch schon das Advanced IP Services ...
Meinst du das macht einen Unterschied??
Thanks
Für deinen Anwendungszweck wohl eher nicht. Was der genaue Unterschied zwischen den Versionen/Lizenzmodellen ist, kannst du im Cisco Feature Navigator auslesen:
http://cfn.cloudapps.cisco.com/ITDIT/CFN/jsp/index.jsp
Nur mal so nebenbei: Die Cisco 890-Serie fällt für zu Hause wohl eher im Moment noch flach, die Dinger bekommt man (leider) immer noch nicht für unter 800€.. Den 881/886 bekommt man allerdings aktuell zu einem sehr guten Kurs und sollte bei dir alles abdecken!
http://cfn.cloudapps.cisco.com/ITDIT/CFN/jsp/index.jsp
Nur mal so nebenbei: Die Cisco 890-Serie fällt für zu Hause wohl eher im Moment noch flach, die Dinger bekommt man (leider) immer noch nicht für unter 800€.. Den 881/886 bekommt man allerdings aktuell zu einem sehr guten Kurs und sollte bei dir alles abdecken!
Hi Kuemmel,
auch dir danke. Ja ich habe dort nachgeschaut. Deswegen ja meine Frage ob eine "höhere" Version ggfs Nachteile bringt . Wenn notwendige Features in der Version darunter schon reichen würde.
Ich habe mir wie geschrieben den 2821 nochmal geholt und probiere es damit noch einmal. Falls das nicht funktioniert werde ich afu 886 ausweichen.
Thx und greets
auch dir danke. Ja ich habe dort nachgeschaut. Deswegen ja meine Frage ob eine "höhere" Version ggfs Nachteile bringt . Wenn notwendige Features in der Version darunter schon reichen würde.
Ich habe mir wie geschrieben den 2821 nochmal geholt und probiere es damit noch einmal. Falls das nicht funktioniert werde ich afu 886 ausweichen.
Thx und greets
Hi Aqui,
so.. hab das Teil getauscht und angeschlossen. Im Internet bin ich aber trotzdem Problem :
1. Ich habe das mit dem DNS immer noch nicht genau kapiert. Könntest du mir das bitte nochmal erklären??
- Habe KEINEN DNS Server auf der Büchse aktiviert für mein Homenet.. und komme nicht raus ins Netz. (Hardeinträge auf IP DNS Router )
Gebe ich 8.8.8.8 ein geht es .
Ach und wo ich letztens DNS Server auf Route aktiv geschalten hatte - bekam ich Post vom Provider das mein DNS Port offen ist.
Ich weiß DNS ist in der ACL freigeschaltet..dachte aber die Firewall blockt alles was nicht von innen raus geht??
Danke für Hilfe.. test dann TV
greets
so.. hab das Teil getauscht und angeschlossen. Im Internet bin ich aber trotzdem Problem :
1. Ich habe das mit dem DNS immer noch nicht genau kapiert. Könntest du mir das bitte nochmal erklären??
- Habe KEINEN DNS Server auf der Büchse aktiviert für mein Homenet.. und komme nicht raus ins Netz. (Hardeinträge auf IP DNS Router )
Gebe ich 8.8.8.8 ein geht es .
Ach und wo ich letztens DNS Server auf Route aktiv geschalten hatte - bekam ich Post vom Provider das mein DNS Port offen ist.
Ich weiß DNS ist in der ACL freigeschaltet..dachte aber die Firewall blockt alles was nicht von innen raus geht??
Danke für Hilfe.. test dann TV
greets
OK, es ist ganz einfach:
Den DNS Server den du mit
ip name-server x.y.z.h
(ip domain lookup source-interface Dialer0)
in der Konfig definierst hat NICHTS mit einer DNS Auflösung oder Konfig der Endgeräte zu tun !!
Er gilt lediglich nur für die Router Plattform selber.
Sprich also es ist genau das was du an einem PC unter "DNS Adresse" einstellst damit diese Namen auflösen kann.
Es dient einzig nur auf der Router Plattform selber zur Namensauflösung also wenn du z.B. in der Cisco Konfig Hostnamen beim NTP Server, SNMP oder VPN Peers usw. usw. angibst, damit der Router dann selber diese Hostnamen auflösen kann braucht er ja selber auch eine DNS Server Information und genau das ist das.
DNS Traffic von Endgeräten in deinem Netz haben damit rein gar nichts zu tun.
Wenn du den Cisco also nicht als Proxy DNS konfigurierst, dann hat er DNS seitig rein gar nichts mit der DNS Auflösung deiner Endgeräte zu tun, das ist ja logisch. Die Endgeräte sind dann allein auf sich gestellt.
Klar, wenn du denne dann 8.8.8.8 einträgst geht es. Der Cisco ist ja dann raus aus dem DNS Geschäft....
Hier muss du dann immer in allen Endgeräten statisch einen entsprechenden DNS Server konfigurieren. Da der Router dann ja NICHT involviert ist muss das ein Provider DNS oder Öffentlicher oder was auch immer sein.
Oder auch ein lokaler DNS Server mit Windows Server oder Raspberry Pi usw. der dann eine Weiterleitung definiert hat auf Privider DNS etc. Es ist wie gesagt eine Baumstruktur.
In dem Fall nimmt man logischerweise immer den Bereichs DNS Server seines Providers.
Google wegen der Ausschnüffelei schon mal gar nicht und auch nicht weil ene DNS Anfrage so um die halbe Welt geschickt wird und wieder zürück. Kontraproduktiv was Schnelligkeit anbetrifft.
Genau das ist auch der Grund warum alle billigen Consumer Router immer im Default als DNS Proxy laufen. Sie bekommen damit dynmaisch per PPPoE (oder bei Kabel TV Internet per DHCP) die IP des nächstgelegenen Provider DNS Servers und geben ihre eigene an die Endgeräte im lokalen Netz weiter.
Alle Anfragen aus dem lokalen Netz reichen sie also durch zum Provider UND speichern sie gleichzeitig in ihrem Cache um sie ab dann lokal zu beantworten.
Nur die allererste Anfrage nach z.B. www.administrator.de geht dann also an den Provider DNS alle weiteren Anfragen an www.administrator.de beantwortet der Router dann also direkt selber aus seinem Cache.
Ein sehr sinnvolles Konzept also.
Genau DAS kannst du auch realisieren mit dem Cisco indem du ihm wie sonst auch zum Proxy DNS machst ! Mit..
ppp ipcp dns request
in der Konfig des Dialer Interfaces bekommt der Router die lokale Provider DNS immer dynamisch übermittelt. Damit erübrigt sich dann auch ein ip name-server x.y.z.h denn so klappt schon die lokale Auflösung auf dem Router selber.
Mit einem globalen ip dns server in der Konfig ist der Cisco dann auch Proxy DNS.
Erst jetzt kannst du die lokale Router IP auch als DNS Server angeben bei allen deinen Endgeräten. Der Cisco cacht dann alles als Proxy DNS Server und die Sache funktioniert wie oben beschrieben.
Ein show host zeigt dir dann den Router internen DNS Cache und welche Namen er gelernt hat. Mit clear host all * kannst du den z.B. temporär auch löschen.
Aber ACHTUNG !:
Bei einer CBAC ACL in Verbindung mit einer Router Firewall würde OHNE entsprechende ACL Einträge die Firewall die angefragten DNS Replies des Routers selber blocken.
Du musst also IMMER mit
access-list xyz permit udp any eq domain any
access-list xyz permit tcp any eq domain any
DNS Traffic in der Firewall freigeben !! Ohne Firewall ist das obsolet.
Ansonsten funktioniert der Proxy DNS nicht.
Jetzt alles verstanden ???
Laut Definition nutzt DNS beides oder ist für beides spezifiziert:
https://de.wikipedia.org/wiki/Domain_Name_System
Aktuell ist aber so gut wie immer nur TCP im Spiel. Du kannst deine CBAC ACL also einfach mal auf rein nur TCP 53 limitieren wenn deine Endgeräte da alle mitspielen, das sollte das Problem dann schon fixen.
Den DNS Server den du mit
ip name-server x.y.z.h
(ip domain lookup source-interface Dialer0)
in der Konfig definierst hat NICHTS mit einer DNS Auflösung oder Konfig der Endgeräte zu tun !!
Er gilt lediglich nur für die Router Plattform selber.
Sprich also es ist genau das was du an einem PC unter "DNS Adresse" einstellst damit diese Namen auflösen kann.
Es dient einzig nur auf der Router Plattform selber zur Namensauflösung also wenn du z.B. in der Cisco Konfig Hostnamen beim NTP Server, SNMP oder VPN Peers usw. usw. angibst, damit der Router dann selber diese Hostnamen auflösen kann braucht er ja selber auch eine DNS Server Information und genau das ist das.
DNS Traffic von Endgeräten in deinem Netz haben damit rein gar nichts zu tun.
Wenn du den Cisco also nicht als Proxy DNS konfigurierst, dann hat er DNS seitig rein gar nichts mit der DNS Auflösung deiner Endgeräte zu tun, das ist ja logisch. Die Endgeräte sind dann allein auf sich gestellt.
Klar, wenn du denne dann 8.8.8.8 einträgst geht es. Der Cisco ist ja dann raus aus dem DNS Geschäft....
Hier muss du dann immer in allen Endgeräten statisch einen entsprechenden DNS Server konfigurieren. Da der Router dann ja NICHT involviert ist muss das ein Provider DNS oder Öffentlicher oder was auch immer sein.
Oder auch ein lokaler DNS Server mit Windows Server oder Raspberry Pi usw. der dann eine Weiterleitung definiert hat auf Privider DNS etc. Es ist wie gesagt eine Baumstruktur.
In dem Fall nimmt man logischerweise immer den Bereichs DNS Server seines Providers.
Google wegen der Ausschnüffelei schon mal gar nicht und auch nicht weil ene DNS Anfrage so um die halbe Welt geschickt wird und wieder zürück. Kontraproduktiv was Schnelligkeit anbetrifft.
Genau das ist auch der Grund warum alle billigen Consumer Router immer im Default als DNS Proxy laufen. Sie bekommen damit dynmaisch per PPPoE (oder bei Kabel TV Internet per DHCP) die IP des nächstgelegenen Provider DNS Servers und geben ihre eigene an die Endgeräte im lokalen Netz weiter.
Alle Anfragen aus dem lokalen Netz reichen sie also durch zum Provider UND speichern sie gleichzeitig in ihrem Cache um sie ab dann lokal zu beantworten.
Nur die allererste Anfrage nach z.B. www.administrator.de geht dann also an den Provider DNS alle weiteren Anfragen an www.administrator.de beantwortet der Router dann also direkt selber aus seinem Cache.
Ein sehr sinnvolles Konzept also.
Genau DAS kannst du auch realisieren mit dem Cisco indem du ihm wie sonst auch zum Proxy DNS machst ! Mit..
ppp ipcp dns request
in der Konfig des Dialer Interfaces bekommt der Router die lokale Provider DNS immer dynamisch übermittelt. Damit erübrigt sich dann auch ein ip name-server x.y.z.h denn so klappt schon die lokale Auflösung auf dem Router selber.
Mit einem globalen ip dns server in der Konfig ist der Cisco dann auch Proxy DNS.
Erst jetzt kannst du die lokale Router IP auch als DNS Server angeben bei allen deinen Endgeräten. Der Cisco cacht dann alles als Proxy DNS Server und die Sache funktioniert wie oben beschrieben.
Ein show host zeigt dir dann den Router internen DNS Cache und welche Namen er gelernt hat. Mit clear host all * kannst du den z.B. temporär auch löschen.
Aber ACHTUNG !:
Bei einer CBAC ACL in Verbindung mit einer Router Firewall würde OHNE entsprechende ACL Einträge die Firewall die angefragten DNS Replies des Routers selber blocken.
Du musst also IMMER mit
access-list xyz permit udp any eq domain any
access-list xyz permit tcp any eq domain any
DNS Traffic in der Firewall freigeben !! Ohne Firewall ist das obsolet.
Ansonsten funktioniert der Proxy DNS nicht.
Jetzt alles verstanden ???
bekam ich Post vom Provider das mein DNS Port offen ist.
Das ist Quatsch, zumal der DNS ja nur ein Proxy DNS ist. Es ist gut möglich das das der UDP Port ist. Oder es ist ein Phishing Email !! Vorsicht.Laut Definition nutzt DNS beides oder ist für beides spezifiziert:
https://de.wikipedia.org/wiki/Domain_Name_System
Aktuell ist aber so gut wie immer nur TCP im Spiel. Du kannst deine CBAC ACL also einfach mal auf rein nur TCP 53 limitieren wenn deine Endgeräte da alle mitspielen, das sollte das Problem dann schon fixen.
Hi Aqui ,
danke ..ich glaub jetzt hab ich es kapier. Ich brauche (in meinem Fall ) den Router als proxy. (Hab gemischt statisch und dynamisch im Netz)
ip dns server global erreicht mein Ziel. Den Dialer Befehl hatte ich schon. -Dann noch die ACL anpassen und es sollte gehen. Werde ich später testen.
Vielen Dank
Nein war kein phishing...habe auch mit denen gesprochen. Und es war zeitlich wirklich da so drin in der config. Nach deiner Erklärung damals raus und es war nichts mehr bei denen..
Bin mal gespannt wie TV läuft.. Mittagspause teste ich wenn es reicht
p.s. das Pdf aus dem Link für IPTV ist nicht mehr online.. nur als Info. (ich habe es lokal)
greets
danke ..ich glaub jetzt hab ich es kapier. Ich brauche (in meinem Fall ) den Router als proxy. (Hab gemischt statisch und dynamisch im Netz)
ip dns server global erreicht mein Ziel. Den Dialer Befehl hatte ich schon. -Dann noch die ACL anpassen und es sollte gehen. Werde ich später testen.
Vielen Dank
Nein war kein phishing...habe auch mit denen gesprochen. Und es war zeitlich wirklich da so drin in der config. Nach deiner Erklärung damals raus und es war nichts mehr bei denen..
Bin mal gespannt wie TV läuft.. Mittagspause teste ich wenn es reicht
p.s. das Pdf aus dem Link für IPTV ist nicht mehr online.. nur als Info. (ich habe es lokal)
greets
Hoi Aqui,
also bisher scheint alles ohne Hänger zu laufen. Bin noch nicht dazu gekommen mit sh run die Auswirkungen zu checken.
Ich beobachte heute abend und wenn das läuft kann es ans WLAN Projekt Mikrotik gehen (wo ich ja auch auf deine Hilfe hoffe ;) )
greets
also bisher scheint alles ohne Hänger zu laufen. Bin noch nicht dazu gekommen mit sh run die Auswirkungen zu checken.
Ich beobachte heute abend und wenn das läuft kann es ans WLAN Projekt Mikrotik gehen (wo ich ja auch auf deine Hilfe hoffe ;) )
greets
Hi Aqui,
so habe gestern abend mal TV Session gemacht.. Fazit :
Das "Problem" ist immer noch da, wenn auch viel seltener. Habe so 1 -2 mal in der Stunde kurzen Hang.
Werde mal jetzt sniffen die Tage um zu sehen was passiert wenn es hängt.
greets
so habe gestern abend mal TV Session gemacht.. Fazit :
Das "Problem" ist immer noch da, wenn auch viel seltener. Habe so 1 -2 mal in der Stunde kurzen Hang.
Werde mal jetzt sniffen die Tage um zu sehen was passiert wenn es hängt.
greets
das Pdf aus dem Link für IPTV ist nicht mehr online
Danke für den Hinweis. Geht wieder... !
Bitte.. gerne doch.
Vielleicht kannst du mir wieder mal behilflich sein :
Ich wollte mal testen ob die Aussetzer ggfs mit einem eigenen VLAN für IP TV weg sind.
Wenn ich es richtig verstehe ist durch den ISP der TV Datenstrom getaggt mit vlan8.
Dies "endet" momentan an meinem Subif Gi0/0.8 und geht dann untaggt native vlan1 über Gi0/1 in mein Netzwerk.
Kann ich es einrichten, dass ich als Beispiel VLAN8 nur für IPTV nehme?
Auf dem 2821 IP Range für vlan8 mit DHCP machen. SubIF anlegen
VLAN 8 allowen auf dem Trunk zwischen SG300 und 2821 und den Port auf dem SG 300 wo der Receiver dran ist - auf mode switchport vlan8 stellen.
Aber hab grad ein Brain Hänger wie der Traffic getaggt weiter geht von Gi0./0.8 mit Vlan 8 auf Gi0/1 (Trunk)
thx & greets
Vielleicht kannst du mir wieder mal behilflich sein :
Ich wollte mal testen ob die Aussetzer ggfs mit einem eigenen VLAN für IP TV weg sind.
Wenn ich es richtig verstehe ist durch den ISP der TV Datenstrom getaggt mit vlan8.
Dies "endet" momentan an meinem Subif Gi0/0.8 und geht dann untaggt native vlan1 über Gi0/1 in mein Netzwerk.
Kann ich es einrichten, dass ich als Beispiel VLAN8 nur für IPTV nehme?
Auf dem 2821 IP Range für vlan8 mit DHCP machen. SubIF anlegen
VLAN 8 allowen auf dem Trunk zwischen SG300 und 2821 und den Port auf dem SG 300 wo der Receiver dran ist - auf mode switchport vlan8 stellen.
Aber hab grad ein Brain Hänger wie der Traffic getaggt weiter geht von Gi0./0.8 mit Vlan 8 auf Gi0/1 (Trunk)
thx & greets
ist durch den ISP der TV Datenstrom getaggt mit vlan8.
Richtig !an meinem Subif Gi0/0.8 und geht dann untaggt native vlan1 über Gi0/1 in mein Netzwerk.
Es "geht" nicht, es wird dahin geroutet wie es sich gehört bei einem Router ! Kann ich es einrichten, dass ich als Beispiel VLAN8 nur für IPTV nehme?
Ja natürlich ! Es kann auch VLAN 88 oder VLAN xyz sein. Die VLAN ID des separaten MC Segments spielt keine Rolle.Eine entsprechende Konfig sähe dann so aus (VLAN 1 dann ohne Multicasting):
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description Port für VLAN 88
switchport mode access
switchport access vlan 88
!
interface Vlan1
description Lokales LAN
ip address 192.168.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan88
description VLAN nur fuer Multicast
ip address 192.168.88.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
ip pim sparse-mode
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
access-list 101 permit ip 192.168.88.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
Das wenn du einen Router hast mit embeddetem 4 Port Switch.
Bei deinem mit dedizierten Interfaces ist es etwas anders:
!
interface GigabitEthernet0/1
description Lokales Netzwerk
ip address 192.168.5.2 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
ip virtual-reassembly in
!
interface GigabitEthernet0/1.88
description Multicast only VLAN
encapsulation dot1Q 88
ip address 192.168.88.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
ip pim sparse-mode
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
Falls du deine VLANs zentral mit einem tagged Uplink auf deine Switch Infrastruktur überträgst sieht die Konfig am physischen Port etwas anders aus:
!
interface FastEthernet3
description Tagged Uplink auf Switch
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allow vlan all
Auch das obige entfällt natürlich wenn du keinen embeddeten Switch auf dem Router hast sondern nur dedizierte Interfaces.
Du musst natürlich dann die Switchseite entsprechend haben: VLAN 88 einrichten, Ports hinzufügen und Tagging auf dem Uplink Port zum Router einrichten.
Hi Aqui ,
super ,,danke für die Mühe. Dann werd ich das vielleicht auch nochmal probieren.
DHCP für die VLAN Range noch anlegen ..
Hab gesehen bei dem SG 300 kann man auch noch Routerports mrouter anlegen oder definieren. (wäre ja der uplink port) ..das habe ich auch noch nicht probiert..
ich werde berichten.
Danke
super ,,danke für die Mühe. Dann werd ich das vielleicht auch nochmal probieren.
DHCP für die VLAN Range noch anlegen ..
Hab gesehen bei dem SG 300 kann man auch noch Routerports mrouter anlegen oder definieren. (wäre ja der uplink port) ..das habe ich auch noch nicht probiert..
ich werde berichten.
Danke
DHCP für die VLAN Range noch anlegen ..
Da du ja jetzt Cisco Profi" bist hatte ich mir dieses Detail, da Standard, mal erspart kann man auch noch Routerports mrouter anlegen oder definieren
Das stimmt ! Musst du aber nicht.In jedem Falle solltest du aber zwingen IGMP Snooping auf dem 300er aktivieren wenn nicht schon gemacht.
Ansonsten müsste der die MC Frames alle umständlich fluten was auf die Performance geht.
Nochwas zum Thema Klötzchen bei Entertain:
Das mal gelesen:
https://telekomhilft.telekom.de/t5/Fernsehen/Entertain-2-0/td-p/1896231/ ...
Entertain 2.0 nutzt SSM/MLD
http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fi ...
Du solltest es deshalb mal mit dem globalen Kommando
ip pim ssm default
versuchen ob das ggf. nochwas bringt.
Ein Feedback dazu wäre mal ganz spannend !!
Das mal gelesen:
https://telekomhilft.telekom.de/t5/Fernsehen/Entertain-2-0/td-p/1896231/ ...
Entertain 2.0 nutzt SSM/MLD
http://www.cisco.com/c/en/us/td/docs/ios/12_2/ip/configuration/guide/fi ...
Du solltest es deshalb mal mit dem globalen Kommando
ip pim ssm default
versuchen ob das ggf. nochwas bringt.
Ein Feedback dazu wäre mal ganz spannend !!
Hi Aqui ,
danke werde ich lesen und testen.
Ich habe auch nochmal alles nachgeschaut und auf eigenes vlan gestellt. Erstmal keine Änderung.
Dann habe ich gesegen, dass auf meinem Gi0/0.8 if der befehl no ip route cache (=proc switch) aktiviert war. Habe dies nun gelöscht und nun habe ich auch bei Multicast switching fast bei sh ip multicast int
Das werde ich mal beobachten und dann obiges ggfs. anpassen.
Ach ..gestern wieder vom Provider Inof überoffenen DNS bekommen. Habe mal spasseshalber den udp rausgenommen aus der acl aber dann ging mein wlan nicht mehr. Vielleicht nur damit ich es kapier (habe auch port checks gleich gemacht. DNS ist zu) ..Kommt da ein check zur selben Zeit wenn eine Anfrage zufällig von meinem Netz kommt und geht dann mit durch ? Oder wie kommen die darauf??
Ein Fake ist es nicht. Habe nochmal mit denen auch telefoniert...
Thx
und greets
danke werde ich lesen und testen.
Ich habe auch nochmal alles nachgeschaut und auf eigenes vlan gestellt. Erstmal keine Änderung.
Dann habe ich gesegen, dass auf meinem Gi0/0.8 if der befehl no ip route cache (=proc switch) aktiviert war. Habe dies nun gelöscht und nun habe ich auch bei Multicast switching fast bei sh ip multicast int
Das werde ich mal beobachten und dann obiges ggfs. anpassen.
Ach ..gestern wieder vom Provider Inof überoffenen DNS bekommen. Habe mal spasseshalber den udp rausgenommen aus der acl aber dann ging mein wlan nicht mehr. Vielleicht nur damit ich es kapier (habe auch port checks gleich gemacht. DNS ist zu) ..Kommt da ein check zur selben Zeit wenn eine Anfrage zufällig von meinem Netz kommt und geht dann mit durch ? Oder wie kommen die darauf??
Ein Fake ist es nicht. Habe nochmal mit denen auch telefoniert...
Thx
und greets
udp rausgenommen aus der acl aber dann ging mein wlan nicht mehr.
Dein WLAN ging ganz sicher noch aber deine Endgeräte im WLAN nutzen dann UDP 53 für die DNS Auflösung und das kommt dann nicht mehr durch die Firewall.Es ist also weniger dein WLAN selber als deine Geräte dort.
Habe nochmal mit denen auch telefoniert...
Ruf die nochmal an (am besten gleich 2nd Level Support) und erzähle denen das du einen Cisco IOS Router einsetzt was sie ja ganz sicher auch in ihrem gesamten Backbone haben.Dann fragst du sie wie sie denn die Konfig mit einem Proxy DNS lösen würden bei Cisco IOS???
Auf die Antwort bin ich gespannt....
Du könntest in der ACL noch das "Established" Bit setzen bzw. aktivieren. Ggf. hilft das.
Schon komisch das die sowas sehen weil es ja gar kein vollständiger DNS ist sondern nur ein Caching Server. Ein offener DNS ist es schonmal gar nicht.
Ggf. verbirgt sich irgendwo einen RFC1918 IP die das auslöst. Das kannst du mit dem Kommando:
dns forwarding source-interface dialer0
mal festnageln.
Was sagt ein sh ip dns view bei dir ?
Hier gibt es noch ein paar Details zu dem Thema:
http://www.cisco.com/c/en/us/td/docs/ios/12_4t/12_4t11/htspldns.html
Lesenswert auch:
http://blog.ipspace.net/search/label/DNS
Hi Aqui ,
also in meiner Access list ist folgendes
tcp keine Treffer und UDP kann ich ja nicht establishen ?!
sh ip dns view default
das dns kommando geht bei mir nicht ...
und vielleicht noch die Frage - wenn ich mich vertippe und der Router dies auflösen will von cisco.mad.de ..warum ist da diese IP ( 62.138.239.45) ??
also in meiner Access list ist folgendes
60 permit udp any eq domain any (4151 matches)
70 permit tcp any eq domain anytcp keine Treffer und UDP kann ich ja nicht establishen ?!
sh ip dns view default
DNS View default parameters:
Logging is off
DNS Resolver settings:
Domain lookup is enabled
Default domain name: mad.de
Domain search list:
Lookup timeout: 3 seconds
Lookup retries: 2
Domain name-servers:
217.0.43.145
217.0.43.129
DNS Server settings:
Forwarding of queries is enabled
Forwarder timeout: 3 seconds
Forwarder retries: 2
Forwarder addresses:das dns kommando geht bei mir nicht ...
und vielleicht noch die Frage - wenn ich mich vertippe und der Router dies auflösen will von cisco.mad.de ..warum ist da diese IP ( 62.138.239.45) ??
Du solltest es deshalb mal mit dem globalen Kommando
ip pim ssm default
versuchen ob das ggf. nochwas bringt.
Übrigens kann auch das Interface Kommando ip igmp proxy-service bei Entertain 2.0 (sofern du das hast) komplett entfallen.ip pim ssm default
versuchen ob das ggf. nochwas bringt.
Auch hier wäre ein Feedback mal spannend ob dem so ist und was es bringt !
tcp keine Treffer und UDP kann ich ja nicht establishen ?!
Richtig. Sorry das bezog sich auf TCP. Entferne doch TCP mal völlig und warte mal ob sie immer noch meckern..?!warum ist da diese IP ( 62.138.239.45) ??
Mmmhh die muss irgendwo in der Konfig stehen oder er bekommt die dynamisch von irgendwoher.Hast du ggf. noch einen DHCP Client irgendwo am werkeln der noch einen DNS bekommt ??
Du kannst aber uch ein no ip dns domain lookup setzen in der Konfig, dann löst er keine Namen am CLI Prompt mehr auf.
Hi Aqui,
danke .
Seit gestern keine Hänger mehr ausser wenn sh run am router gemacht wird.
Ich denke es lag an dem fast switching am Gi0/0 was auf process war . Cef global aktiviert.
TCP hab ich mal rausgenommen obwohl da 3 Einträge waren jetzt... Hast mal vorbei geschaut? ;)
Und Entertain 2.0 hab ich (noch) nicht. Reicht mir so noch alles.
ach und bei global : den befehl no ip dns domain lookup habe ich nicht. Wenn ich das global mache mit no ip domain-lookup geht keine Auflösung mehr . Oder meintest du nur auf den vty?
Juhuu... jetzt noch das WLAN auf den Mikrotik bringen und die Grundstruktur steht
Das dann in neuem Fred bei Mikrotik?Oder hier da es ja hauptsächlich um das Routing geht ?
greets
danke .
Seit gestern keine Hänger mehr ausser wenn sh run am router gemacht wird.
Ich denke es lag an dem fast switching am Gi0/0 was auf process war . Cef global aktiviert.
TCP hab ich mal rausgenommen obwohl da 3 Einträge waren jetzt... Hast mal vorbei geschaut? ;)
Und Entertain 2.0 hab ich (noch) nicht. Reicht mir so noch alles.
ach und bei global : den befehl no ip dns domain lookup habe ich nicht. Wenn ich das global mache mit no ip domain-lookup geht keine Auflösung mehr . Oder meintest du nur auf den vty?
Juhuu... jetzt noch das WLAN auf den Mikrotik bringen und die Grundstruktur steht
Das dann in neuem Fred bei Mikrotik?Oder hier da es ja hauptsächlich um das Routing geht ?
greets
Glückwunsch !!
Ja CEF abschalten ist tödlich, denn dann ist der gesamte Traffic Process Switched, geht also immer über die CPU. Das würde das Verhalten erklären.
Sorry ich meinte auch no ip domain-lookup hatte die genaue Syntax nicht mehr auf der Reihe. Geht dann auch kein Caching mehr ?
Ja CEF abschalten ist tödlich, denn dann ist der gesamte Traffic Process Switched, geht also immer über die CPU. Das würde das Verhalten erklären.
Sorry ich meinte auch no ip domain-lookup hatte die genaue Syntax nicht mehr auf der Reihe. Geht dann auch kein Caching mehr ?
Das dann in neuem Fred bei Mikrotik?Oder hier da es ja hauptsächlich um das Routing geht ?
Ja, macht mehr Sinn. Gleiche Rubrik Netzwerk Router/Routing.
Cef war ja global an
aber auf dem sub If mit no ip route cache wohl deactiviert..
Mich wundert nur, dass er dann keine CPU Last angezeigt hat , nicht mal ein peak... hmm.
Kannst du mir sagen ob bzw. was es bringt auf em Router 1 GB Ram anstatt 512 zu setzen?
Danke
greets
aber auf dem sub If mit no ip route cache wohl deactiviert..
Mich wundert nur, dass er dann keine CPU Last angezeigt hat , nicht mal ein peak... hmm.
Kannst du mir sagen ob bzw. was es bringt auf em Router 1 GB Ram anstatt 512 zu setzen?
Danke
greets
Bei deinen Standardfunktionen sicher nicht. Das kannst du dir sparen. Wenn dort jetzt VRFs usw. in einen nennenswerten Anzahl laufen und dynmaische Routing Protokolle die große Routing Tabellen, L2 Tabellen usw. halten müssen dann ja.
So mit einfachen Standardfunktionen kannst du das Geld sparen.
So mit einfachen Standardfunktionen kannst du das Geld sparen.
Hi Aqui,
danke... Ne kaufen würd ich es mir nicht.Aber durch den anderen Router hab ich ja 512 noch "über". Dacht die kann ich ja reinmachen.
Hab gesehen, dass der neuere Router controller
controller E1 0/0/0
controller E1 0/0/1
hat . Kann ich die ausbauen? Brauch ich ja nicht oder?
So werd dann noch mit den VLANs testen so wie ich es gerne hätte und VPN einrichten und dann geht es an das WLAN.
greets
danke... Ne kaufen würd ich es mir nicht.Aber durch den anderen Router hab ich ja 512 noch "über". Dacht die kann ich ja reinmachen.
Hab gesehen, dass der neuere Router controller
controller E1 0/0/0
controller E1 0/0/1
hat . Kann ich die ausbauen? Brauch ich ja nicht oder?
So werd dann noch mit den VLANs testen so wie ich es gerne hätte und VPN einrichten und dann geht es an das WLAN.
greets
Klar wenn du es über hast immer rein damit. Schaden kann das gewiss nicht
Die E1 kannst du ausbauen. Das sind serielle Module die du vermutlich nie mehr brauchst
Die E1 kannst du ausbauen. Das sind serielle Module die du vermutlich nie mehr brauchst
Hi Aqui,
nachdem fast 3 Monate alles gut gelaufen ist - hatte ich am Freitag Umstellung auf neuen Entertain As . Vorherige Fragen ob sich netztechnisch etc was ändern würde wurden verneint. Auch mit der Konfig Angabe. Kam wie es musste..seit Freitag ist As tot. PADI geht raus - nichts kommt mehr. Modem ist Synchron . Technik Telekom sagt alles gut - falls man mal jemand erreicht.
Bin echt mal gespannt wo das Problem liegt... komme ggfs heute dazu mal die FB zu reaktivieren um zu schauen ob es damit läuft.
greets
Cyb
nachdem fast 3 Monate alles gut gelaufen ist - hatte ich am Freitag Umstellung auf neuen Entertain As . Vorherige Fragen ob sich netztechnisch etc was ändern würde wurden verneint. Auch mit der Konfig Angabe. Kam wie es musste..seit Freitag ist As tot. PADI geht raus - nichts kommt mehr. Modem ist Synchron . Technik Telekom sagt alles gut - falls man mal jemand erreicht.
Bin echt mal gespannt wo das Problem liegt... komme ggfs heute dazu mal die FB zu reaktivieren um zu schauen ob es damit läuft.
greets
Cyb
Update...schnell die FB umgepfrimelt und ... alles geht einwandfrei ((
Super Sache. Könnt grad ausflippen..von wegen ändert sich nix.. Muss ja wohl oder??
Aber was genau ?? Jemand von Euch ne Ahnung oder erfahre ich das nur bei den Telekomikern??
greets
((Super Sache. Könnt grad ausflippen..von wegen ändert sich nix.. Muss ja wohl oder??
Aber was genau ?? Jemand von Euch ne Ahnung oder erfahre ich das nur bei den Telekomikern??
greets
massenmarktrouter an massenmarktanschluss .
wenn man auf ein anderes "produkt" umstellt, dann aendern sich diverse Paramerter,
die bei einer "home-box" automagisch autoprovisioniert werden was man bei einem handwerklich selbst konfigurierten Geraet nicht gerne hat.
Wenn das PPPoE bisher vlan 7 getagged war, dann evtl nun anders oder gar nicht mehr;
evtl. kann nun auch einfach per DHCP die Wan-IP Bezogen werden.
Habe richtiges Internet, brauche t-entertain nicht
wenn man auf ein anderes "produkt" umstellt, dann aendern sich diverse Paramerter,
die bei einer "home-box" automagisch autoprovisioniert werden was man bei einem handwerklich selbst konfigurierten Geraet nicht gerne hat.
Wenn das PPPoE bisher vlan 7 getagged war, dann evtl nun anders oder gar nicht mehr;
evtl. kann nun auch einfach per DHCP die Wan-IP Bezogen werden.
Habe richtiges Internet, brauche t-entertain nicht
Da hast du bestimmt Recht -- nur wenn ich denjenige der umstellen will Frage ob und was sich ändert - sollte man da zumindest Auskunft geben können.
Heute habe ich dafür keine Zeit mehr schaue morgen mal.
greets
Heute habe ich dafür keine Zeit mehr schaue morgen mal.
greets
- ok..doch noch kurz geschaut- Die haben mich auf das "neue" Netz umgestellt. Das bedeutet wohl es gibt nur noch ein VLAN und ich muss wieder alles zurück / um konfigurieren.
Ist das ein neuer ADSL2+ BNG Anschluss der Telekom ??
Dann haben die ein VLAN 7 Tagging auf dem ADSL Interface was eine geringfügig andere Konfig erfordert.
!
interface ATM0
description DTAG-BNG ADSL2plus
no ip address
no atm ilmi-keepalive
!
interface ATM0.7 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
Bei VDSL ist alles beim Alten.
Dann haben die ein VLAN 7 Tagging auf dem ADSL Interface was eine geringfügig andere Konfig erfordert.
!
interface ATM0
description DTAG-BNG ADSL2plus
no ip address
no atm ilmi-keepalive
!
interface ATM0.7 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
Bei VDSL ist alles beim Alten.
Hi Aqui,
öhm nee ist ein VDSL Anschluss aber auch im neuen BNG Netz. Hab ich jetzt auch mit Telekom verifiziert. Aber hier ist auch nur ein VLAN 7 das gesendet wird. Ich meine ich hatte nur ein VLAN 8 Sub IF bei mir gemacht. Aber eigentlich ging ich davon aus das mein Modem transparent weiter gab... Hm... Vielleicht liegt es auch "nur" an diesem Easy Login was ich ausschalten kann laut support. Das wäre, das man keine Zugangsdaten mehr braucht. ?
Somit wird wohl das Modem das VLAN 7 in dem Fall jetzt erwarten von meinem Router (kein SubIF vlan 7 zuvor) Oder ich lass das Modem das Tag 7 annehmen. Also kann ich mein VLAN 8 wieder "zurückbauen" und dann entweder ein SubIF vlan7 einrichten oder eben mit Modem ent- taggen?
greets
Cyb
öhm nee ist ein VDSL Anschluss aber auch im neuen BNG Netz. Hab ich jetzt auch mit Telekom verifiziert. Aber hier ist auch nur ein VLAN 7 das gesendet wird. Ich meine ich hatte nur ein VLAN 8 Sub IF bei mir gemacht. Aber eigentlich ging ich davon aus das mein Modem transparent weiter gab... Hm... Vielleicht liegt es auch "nur" an diesem Easy Login was ich ausschalten kann laut support. Das wäre, das man keine Zugangsdaten mehr braucht. ?
Somit wird wohl das Modem das VLAN 7 in dem Fall jetzt erwarten von meinem Router (kein SubIF vlan 7 zuvor) Oder ich lass das Modem das Tag 7 annehmen. Also kann ich mein VLAN 8 wieder "zurückbauen" und dann entweder ein SubIF vlan7 einrichten oder eben mit Modem ent- taggen?
greets
Cyb
Hi Aqui,
also hab den Router wieder soweit , dass ich ins Internet kann. Ok.
Das Netz BGN schickt nur noch Tag 7 das das Modem kappt. Somit habe ich eigentlich nur Gi0/0 und Gi0/1 . Dies habe ich wie in deinem Tut eingestelllt. Aber mit dem Entertain BGN klappt es noch nicht ganz. Leider geht das speizielle Tutorial für das Entertain nicht mehr. Glaube ich muss doch "meine" pim ermitteln.
Danke nochmal für Tipps
greets
Cyb
also hab den Router wieder soweit , dass ich ins Internet kann. Ok.
Das Netz BGN schickt nur noch Tag 7 das das Modem kappt. Somit habe ich eigentlich nur Gi0/0 und Gi0/1 . Dies habe ich wie in deinem Tut eingestelllt. Aber mit dem Entertain BGN klappt es noch nicht ganz. Leider geht das speizielle Tutorial für das Entertain nicht mehr. Glaube ich muss doch "meine" pim ermitteln.
Danke nochmal für Tipps
greets
Cyb
