Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing Telekom VDSL mit cisco 896VA

Mitglied: magheinz

magheinz (Level 1) - Jetzt verbinden

01.06.2018 um 20:03 Uhr, 3954 Aufrufe, 14 Kommentare

Hallo,

ich versuche das routing einzustellen.
Die pppoe-Einwahl funktioniert.
Ich bekomme eine IP, ein GW und zwei Nameserver.
Die beiden übergebenen Nameserver kann ich anpingen, sonst aber nichts.

Hat jemand eine Idee?
Mitglied: tikayevent
01.06.2018 um 22:09 Uhr
Die ACL 111 und die NAT-Definition fehlen.
Bitte warten ..
Mitglied: aqui
02.06.2018, aktualisiert um 13:37 Uhr
Guckst du hier:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...
Dort steht wirklich ALLES was du zu dem Thema wissen musst !

Fehler in der o.a. Konfig:
  • In den DHCP exclude IPs (Ausschluss) gibt man IMMER Hostadressen an aber niemals IP Netze (Hostbits auf 0) wie bei dir.
  • Domain Name in der DHCP Konfig fehlt
  • Kommando bridge-group 1 fehlerhaft und tödlich in Interface gig 8 und dessen Subinterface !! Sollte mit no bridge-group 1 entfernt werden. Damit ist auch das BVI Interface völlig überflüssiger (Konfig) Ballast !
  • Google (8.8.8.8) als Nameserver anzugeben machen heutzutage nur noch Dummies. Jeder weiss mittlerweile das Google dann die privaten Surfdaten und Profile mit Dritten vermarket und verkauft. Unsinn sowas, denn den lokalen DNS Server bekommt man eh automatisch per PPPoE vom Provider. Fazit: besser entfernen !
  • Sommerzeit Umstellung fehlt vollständig: clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
  • Die Firewall Kommandos ip inspect name firewall tcp und ip inspect name firewall udp gehören logischerweise ans Ende der ip inspect Kommandos und niemals an den Anfang, denn dann werden die protokollspezifischen Inspect Kommandos der Firewall gar nicht ausgeführt. Logisch, denn alles ist TCP oder UDP.
  • 2 Firewall Definitionen firewall und myfw sind natürlich Blödsinn, da nur eine verwendet werden kann !
  • Die Firewall ist außerdem gar nicht aktiv, da das Kommando ip inspect myfw out auf dem Dialer Interface komplett fehlt ! Tödlich aus Sicherheits Sicht. Ein show ip inspect hätte das auch sofort gezeigt.
  • NAT overload Kommando fehlt, so das keinerlei Paket aud dem lokalen Netz ins Internet ge"NATet" werden kann und damit keinerlei Traffic rausgeht ! Auch hier hätte ein show ip nat trans das sofort gezeigt.
  • Der Konfig Zugriff aus dem Internet ist NICHT gesichert ! (ACL 23 im Tutorial) Hier fehlt die angegebene ACL acl_access auch für IPv6.
  • Telnet sollte man deaktivieren. SSH Zugriff mit transport input telnet ssh fehlt.

Fazit:
Viele und heftige Kinken in der Konfig die dringenst einer Korrektur bedürfen sollte es sicher sein und auch funktionieren !
Das o.a. Cisco Tutorial schreibt dir genau wie. Halte dich am besten genau daran !
Bitte warten ..
Mitglied: magheinz
02.06.2018 um 14:34 Uhr
unter anderem aus dem Link heraus habe ich die konfig gebaut.
Das chaos entstand nach der Umstellung von ADSL2+ nach VDSL. Ich habe von diesen Consumeranschlüssen nicht so die große Ahnung, es geht hier nur um unseren Test-Anschluss.

Die Firewall ist im Moment gewollt offen für alles. Läuft die Verbindung kommt wieder die Standard-ACL von uns drauf.

Ich glaube ich fang das Teil noch mal von vorne an. Das zweite Gerät hängt noch am ADSL-Anschluss und funktioniert. Die Config wollte ich einfach übernehmen und nur das Interface anpassen.

Zur bridge: Ich brauche das WAN-Interface mit im intranet da ich den SFP-Port brauche. Wie bringe ich das sonst mit rein?
Bitte warten ..
Mitglied: aqui
02.06.2018, aktualisiert um 15:07 Uhr
unter anderem aus dem Link heraus habe ich die konfig gebaut.
Kann nicht sein ! Dann hättest du keine solchen gravierenden Fehler wie oben gemacht !
Bzw. sie hätten dir bei einem show run sofort ins Auge springen müssen auch ohne Thread hier.
Ich glaube ich fang das Teil noch mal von vorne an.
Vielleicht keine schlechte Idee... write erase oder erase startup und dann reload ist hier dein Freund.
Nimm einen stinknormalen Texteditor, cut and paste dir da die Tutorial Beispielkonfig abschnittsweise rein, passe sie auf deine (IP, Interfaces, Passwörter etc.) Belange an, prüfe sie dann genau und (erst dann !) cut and paste sie zurück in deinen Router...fertsch.
Das zweite Gerät hängt noch am ADSL-Anschluss und funktioniert.
Hoffentlich nicht mit so gravierenden Fehlern wie bei dem obigen ?!
Die Config wollte ich einfach übernehmen und nur das Interface anpassen.
Generell nicht falsch, nur genau hinsehen sollte man dann schon was man da dann neu eingibt !! Bzw. sollte dennoch mal was falsches reinkommen immer mit no wieder entfernen aus der Konfig.
Zur bridge: Ich brauche das WAN-Interface mit im intranet da ich den SFP-Port brauche.
Das kann eigentlich nur Unsinn sein...
Sorry, aber ein öffentliches Internet ungeschützt im Intranet ?? Meinst du nicht wirklich ernst, oder ?? Das wäre tödlich aus Sicherheits Sicht.
Oder hast du ein öffentliches Subnetz am Router ??
Dann sollte es eher so wie HIER aussehen wenn es richtig gemacht ist !
Bitte warten ..
Mitglied: magheinz
02.06.2018 um 19:03 Uhr
Ich will das WAN interface ja nicht im WAN haben sondern im intranet. Du hast mich da falsch verstanden.
gi8 ist das WAN-interface. Gi0-7 sind ein interner switch im 896VA

gi8 ist der Combo-port den cisco eigentlich als WAN-port vorgesehen hat, den ich aber nicht als WAN nutzen möchte.
Ich brauche halt den SFP-Port im Intranet.

Das andere Gerät hat eine andere ACL definiert. Mir geht es hier erst mal nur darum den Anschluss zum laufen zu bekommen. Die Sicherheit kann danach kommen, da außer dem router an diesem Anschluss nichts ist. Ab und An mal ein Notebook um unseren eigentlichen Internetzugang mal von aussen zu testen.

Das klingt jetzt etwas blöd, aber 90% der Zeit läuft über diesen Anschluss genau 0 Traffic.

Sonst habe ich Cisco ASR-Router. Das ist das erste mal das ich mich mit so einer xDSL-Geschichte rumärgern muss.
Bitte warten ..
Mitglied: aqui
04.06.2018 um 10:31 Uhr
gi8 ist das WAN-interface. Gi0-7 sind ein interner switch im 896VA
Sorry, verstehe ich nicht
Was genau willst du da machen ??
Auf dem Router das WAN auf einen anderen Port durchreichen und an dem Port steckt dann eine 886va der das eigentliche Routing macht ?!
Was soll der Sinn davon sein...
Nur damit man dieses komische Konstrukt versteht ??!
Ggf. hilft eine kleine Skizze ?!
den ich aber nicht als WAN nutzen möchte. Ich brauche halt den SFP-Port im Intranet.
Ja und ? Wo ist das Problem, du bist ja völlig frei in der Gestalung deiner Ports !
Der Router hat ja einen internen Gigabit Switch. Davon knappst du dir dann deinen WAN Port ab. Das geht nur über ein VLAN und zwar so (Auszug):
!
interface GigabitEthernet0
switchport mode trunk
switchport trunk allowed vlan 7
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
usw...
!
int vlan 7
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
usw.

Damit erzeugst du das VLAN 7 sendest das tagged am GigPort 0 raus wo du natürlich noch ein xDSL Modem anschliessen musst und mappst das VLAN Inmterface auf den Dialer um PPPoE dort zu machen.
Wenn du ein Modem hast was selber tagged, dann musst du den Gig0 Port als Access Port definieren.

Die Frage ist warum du es nicht auf dem Combo Port belässt, dir das leben damit sehr einfach machst und für das Interne dann einen simplen Medienwandler Kupfer auf Glas beschaffst ?!
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-Gigabit-1000B ...
Oder mit SC
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-1000Base-T-10 ...
dann brauchst du nur ein simles SC auf LC Patchkabel.
Bitte warten ..
Mitglied: magheinz
04.06.2018 um 10:42 Uhr
Der Router hat ja ein eingebautes Modem, wieso sollte ich da ein extra Moden nutzen?
Medienwandler will ich vermeiden wenn es nur irgendwo geht. wir haben hier in jedes Büro Glasfasern liegen an deren Ende pro Raum ein SG300 hängt. (ca 300 Stück) Wir haben lange genug mit Medienwandlern gearbeitet um sagen zu können: Taugt auf Dauer nichts.
Die 8Gi-Port brauche ich gar nicht. die liegen brach. Ich benötige nur den VDSL-Port und den Glasfaserport. Am Glasfaserport hängt dann ein Switch.

Am ADSL-Port machte der Router genau das. Das Chaos entstand erst durch die Umstellung auf VDSL. Bei über 30° im Büro scheint die Konzentration doch etwas zu schwinden...

Das zweite Problem ist das nicht ganz klar ist ob die Telekom sauber umgestellt hat. Da gab es doch erhebliche Schwierigkeiten weil die in ihrer Datenbank einen veralteten APL hatten den es gar nicht mehr gibt und das nicht glauben wollten.
Bitte warten ..
Mitglied: aqui
04.06.2018, aktualisiert um 10:49 Uhr
Der Router hat ja ein eingebautes Modem,
Das ist dann intern IMMER fest mit dem WAN Port verbunden. Da hast du keine Chance das losgelöst davon zu betreiben. Siehe auch Hardware Guide zum Router.
Anderer Port bedeutet dann immer gleich externes Modem.
mit Medienwandlern gearbeitet um sagen zu können: Taugt auf Dauer nichts.
Ist sicher richtig aber mit dem Router hast du dann keine Wahl.
Entweder du nutzt das interne Modem, bist dann auf den Combo Port verhaftet und Medienwandler für das lokale LAN. Oder... anderer WAN Port, dann aber externes Modem.
Eine andere Wahl hast du nicht bei dem Modell.
Der SG300 hat doch auch Kupferports ?! Warum also den LAN Port dann nicht mit Kupfer verbinden ?!
Oder hast du Längen über 100 Meter ?
Bitte warten ..
Mitglied: gierig
04.06.2018 um 13:45 Uhr
Ich Denke also bin ich sagte der Mensch verstehen gehört aber nicht immer dazu .

896VA
1 * XDSL Port
1 * GE Port (als SPF / Kupder Router Port
8 * GE Switch Ports.

Mister ARS magheinz hat nun den Router Port über ne Bridge an Vlan 1 gekoppelt
und ihn damit als weiteren "Switch Port" fürs Lokale LAN abgestraft
Ergo er hat nun 9 Switch Ports im Vlan1 (einer dann halt mit Fiber Einschub)

Macht man so wenn man nur ARS Router kennt und die billigen kleinen Büchsen nur mit der Kneifzange anfasst.
oder weil man es im irgendeinem Forum mal gesehen hat das man es machen kann...

@MagHeintz
Neben den ganzen Fehlern die Aqui schon aufgezeigt hat und denen die Er noch nicht erwähnt hat.
(die offensichtlich mit "passt schon" von Dir ignoriert werden).
Wenn die Switch Ports eh nicht benötigst. Warum ne Bridge zum Vlan1 und nicht gleich NAT und eine IP auf
die den "WAN Port" und fertig (und Switch Ports abschalten) ?


Deine Ganze Konfiguration und das ganze drumherum liest sich eher wie ich bin schon mal an einem Karton eines
Cisco ARS Routers vorbeigegangen....bitte nicht persönlich nehmen ja ?
Bitte warten ..
Mitglied: magheinz
06.06.2018 um 14:28 Uhr
Das VLAN 1 mit der Bridge ist ein Überbleibsel weil der Router vorher an einer anderen Stelle eingesetzt wurde an der eben die Switchports+der SFP gebraucht wurden.
Der Tipp den Switch einfach abzuschalten und direkt mit gi8 zu arbeiten ist nicht blöd. Da der Router im Serverraum hängt fällt mir derzeit nix irgendwann mal an die Kupferport dran müsste. Andererseits muss es aber ja auch mit der bridge funktionieren. Ging ja vorher mit ADSL auch.

Ich fasse die Teile durchaus ohne Kneifzange an, habe aber nunmal nicht wirklich Erfahrung mit denen sondern sammel die gerade.
Alleine die Tatsache welches Interface jetzt aktiv ist und das sich das ändert wenn man von ADSL zu VDSL wechselt muss ich halt am lebenden Objekt lernen. Die Probleme habe ich sonst nicht da wir sonst direkt per Ethernet connected sind.
Firewall macht dann eine Firewall so dass der router nur routen muss und z.B. auch kein NAT macht.

Hier habe ich jetzt einen dialer, ein ethernet0, ein gi8 und gi0-7. Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Da wir hier von einem Testanschluss reden an dem derzeit nicht ein Endgerät hängt, ist es nunmal wirklich problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.

Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Bitte warten ..
Mitglied: aqui
06.06.2018 um 15:09 Uhr
ist ein Überbleibsel weil
Solche "Konfig Leichen" sollte man immer besser entfernen...
und das sich das ändert wenn man von ADSL zu VDSL wechselt
Ja, das liegt am internen Mapping des integrierten Hybrid Modems. ADSL ist fest auf die ATM Schnittstelle gemappt und VDSL fest auf Ethernet 0. Das kann man leider nicht "umbiegen".
Firewall macht dann eine Firewall so dass der router nur routen muss
Warum ? Das wäre Perlen vor die .... Die interne ZFW Firewall ist SPI basiert und so leistungsstark das sie das mit links macht. Warum also ein weiteres überflüssiges Gerät ?!
Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Na ja...das ist ja mehr oder minder bei jedem Router auf der Welt so !
problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.
Das ist perfekt !
Dann mache doch erstmal eine simple Standard Konfig für VDSL mit den dazugehörigen Interfaces.
Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Das ist der richtige Weg !
Bitte warten ..
Mitglied: magheinz
06.06.2018 um 15:20 Uhr
Zitat von aqui:

ist ein Überbleibsel weil
Solche "Konfig Leichen" sollte man immer besser entfernen...

Es war zu heiss...

und das sich das ändert wenn man von ADSL zu VDSL wechselt
Ja, das liegt am internen Mapping des integrierten Hybrid Modems. ADSL ist fest auf die ATM Schnittstelle gemappt und VDSL fest auf Ethernet 0. Das kann man leider nicht "umbiegen".

Ist ja auch kein Problem, muss man nur wissen. Ich habs halt jetzt gelernt.

Firewall macht dann eine Firewall so dass der router nur routen muss
Warum ? Das wäre Perlen vor die .... Die interne ZFW Firewall ist SPI basiert und so leistungsstark das sie das mit links macht. Warum also ein weiteres überflüssiges Gerät ?!

dieser router soll dann ja auch alles machen. Unsere eigentliche produktive Anbindung ist eine andere Hausnummer. Da nutzen wir andere Geräte(ASR 1001HX ASA/Firepower etc). Das sind 10GE Anbindungen. Das ist nix für einen 800er Router, da kaufen wir die vom Netzbetreiber empfohlenen Geräte.

Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Na ja...das ist ja mehr oder minder bei jedem Router auf der Welt so !
problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.
Das ist perfekt !
Dann mache doch erstmal eine simple Standard Konfig für VDSL mit den dazugehörigen Interfaces.
Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Das ist der richtige Weg !

Ich hab halt leider nicht kontinuierlich mal einen Tag Zeit sondern muss das immer wieder dazwischen schieben. Dauert dann halt alles etwas länger.
Bitte warten ..
Mitglied: aqui
06.06.2018 um 15:26 Uhr
Die Konfig macht man in 15 Minuten...
Bitte warten ..
Mitglied: magheinz
06.06.2018 um 15:31 Uhr
Wenn ich die gerade mal hätte wäre ich froh drumm.
Die Antworten hier tippe ich zwischendurch am Handy...
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco SG300 und VDSL der Telekom?
Frage von Maik20Switche und Hubs21 Kommentare

Hallo, wir wollen im Januar unseren ISDN+DSL Anschluss ablösen und bei der Telekom auf VDSL mit VOIP umsteigen. Es ...

DSL, VDSL
PFsense 2x VDSL Telekom
Frage von daMopsiDSL, VDSL4 Kommentare

Hallo Zusammen, vor ein paar Wochen haben wir einen unserer Internetanschlüsse bereits auf VDSL von der Telekom umgestellt. Die ...

Router & Routing

Cisco 800 Series und VPN over Fritzbox und Telekom VDSL

Frage von Ra1976Router & Routing4 Kommentare

Hallöchen zusammen, ich benötige Hilfe zu einem Cisco 800 VPN Router. Ich betreue einen Kunden der mittels Cisco 800 ...

Router & Routing

Cisco 896va und cisco Switch 2960x über SFP verbinden

gelöst Frage von oOHiggsOoRouter & Routing28 Kommentare

Hallo miteinander, ich habe folgendes Problem: Am 896va habe ich dem SFP8 (WAN)Port ein SFP-Modul spendiert und das SFP-Gegenstück ...

Neue Wissensbeiträge
Exchange Server

ACHTUNG: Ungepatchte Exchange Server aktuell im Visier von Angreifern!

Tipp von vibrations vor 21 MinutenExchange Server

Wer es noch nicht mitbekommen haben sollte: Exchange-Server Systeme werden gerade vermehrt auf eine Sicherheitslücke mit der sich das ...

Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 3 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 5 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 5 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen41 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
gelöst Frage von TallerBiskusVisual Studio23 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

DSL, VDSL
Gigabit Leitung - niedrige Geschwindigkeit
Frage von Ghost108DSL, VDSL22 Kommentare

Hallo zusammen, ich bin vor kurzem auf den Tarif Vodafone Cable Max 1000 umgestiegen. Techniker war vor Ort und ...

Hardware
Stromausfalllogger
Frage von certifiedit.netHardware21 Kommentare

Guten Nachmittag, welche Geräte könnt Ihr empfehlen um Stromausfälle, optimalerweise auch Frequenzstörungen zu loggen? Geht hier um keinen konkreten ...