magheinz
Goto Top

Routing Telekom VDSL mit cisco 896VA

Hallo,

ich versuche das routing einzustellen.
Die pppoe-Einwahl funktioniert.
Ich bekomme eine IP, ein GW und zwei Nameserver.
Die beiden übergebenen Nameserver kann ich anpingen, sonst aber nichts.

Hat jemand eine Idee?
gw-pastafarie01#sh run
Building configuration...

Current configuration : 6493 bytes
!
! Last configuration change at 17:50:38 UTC Fri Jun 1 2018
!
version 15.5
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname gw-pastafarie01
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXXXXXXXXX
enable password XXXXXXXXXXX
!
no aaa new-model
ethernet lmi ce
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.14.0 192.168.14.20
!
ip dhcp pool pool_lan
 import all
 network 192.168.14.0 255.255.255.0
 default-router 192.168.14.1
 dns-server 192.168.14.1
!
!
!
ip domain name pastafari.dhm.de
ip name-server 8.8.8.8
ip multicast-routing
ip inspect log drop-pkt
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall icmp
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw sip
ip inspect name myfw rtsp
ip cef
ipv6 unicast-routing
no ipv6 cef
ipv6 dhcp pool pool6_lan
 dns-server FE80::1
 information refresh 1
!
!
parameter-map type inspect global
 log dropped-packets enable
 max-incomplete low 18000
 max-incomplete high 20000
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C896VA-K9 sn XXXXXXX
!
!
username root privilege 15 secret 5 XXXXXXX
!
!
!
!
!
controller VDSL 0
 operating mode vdsl2
 firmware filename flash:VA_A_39m_B_38u_24h.bin
 sync mode itu
 sra
!
!
!
!
!
!
!
bridge irb
!
!
!
!
!
interface ATM0
 description DTAG-ADSL
 no ip address
 shutdown
 no atm ilmi-keepalive
 pvc 1/32
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
 isdn point-to-point-setup
!
interface Ethernet0
 no ip address
 no ip route-cache
!
interface Ethernet0.7
 description DTAG-VDSL
 encapsulation dot1Q 7
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet8.1
!
interface Vlan1
 no ip address
 no ip redirects
 no ip proxy-arp
 no autostate
 bridge-group 1
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1452
 load-interval 30
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no keepalive
 ppp authentication chap callin
 ppp chap hostname XXXXXX
 ppp chap password 0 XXXXXX
 ppp pap sent-username XXXXXX password 7 XXXXXX
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
interface BVI1
 ip address 192.168.14.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ipv6 address FE80::1 link-local
 ipv6 address pfx_di1 ::1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server pool6_lan
!
ip forward-protocol nd
no ip http server
ip http access-class 10
ip http authentication local
ip http secure-server
!
!
ip dns view-list dvl_secure-dns-proxy
 view default 1
  restrict authenticate
ip dns server
ip scp server enable
!
ip access-list extended NAT
 permit ip 192.168.14.0 0.0.0.255 any
ip access-list extended inside
 permit ip any any
ip access-list extended outside
 permit ip any any
!
!
route-map SDM_RMAP_1 permit 1
 match ip address NAT
!
access-list 101 permit ip any any
access-list 101 deny   ip any any log
access-list 103 permit ip 192.168.14.0 0.0.0.255 any
access-list 103 permit ip any any
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^CC
Pastafari DSL
^C
!
line con 0
 session-timeout 10
 privilege level 15
 logging synchronous
 no modem enable
 escape-character 27
line aux 0
line vty 0 4
 session-timeout 10
 access-class acl_access in
 privilege level 15
 password DHM-admin
 ipv6 access-class acl6_access in
 logging synchronous
 login
 transport input telnet
 escape-character 27
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 1.de.pool.ntp.org
!
end

gw-pastafarie01#

Content-ID: 375772

Url: https://administrator.de/contentid/375772

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

tikayevent
tikayevent 01.06.2018 um 22:09:02 Uhr
Goto Top
Die ACL 111 und die NAT-Definition fehlen.
aqui
aqui 02.06.2018 aktualisiert um 13:37:56 Uhr
Goto Top
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort steht wirklich ALLES was du zu dem Thema wissen musst !

Fehler in der o.a. Konfig:
  • In den DHCP exclude IPs (Ausschluss) gibt man IMMER Hostadressen an aber niemals IP Netze (Hostbits auf 0) wie bei dir.
  • Domain Name in der DHCP Konfig fehlt
  • Kommando bridge-group 1 fehlerhaft und tödlich in Interface gig 8 und dessen Subinterface !! Sollte mit no bridge-group 1 entfernt werden. Damit ist auch das BVI Interface völlig überflüssiger (Konfig) Ballast !
  • Google (8.8.8.8) als Nameserver anzugeben machen heutzutage nur noch Dummies. Jeder weiss mittlerweile das Google dann die privaten Surfdaten und Profile mit Dritten vermarket und verkauft. Unsinn sowas, denn den lokalen DNS Server bekommt man eh automatisch per PPPoE vom Provider. Fazit: besser entfernen !
  • Sommerzeit Umstellung fehlt vollständig: clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
  • Die Firewall Kommandos ip inspect name firewall tcp und ip inspect name firewall udp gehören logischerweise ans Ende der ip inspect Kommandos und niemals an den Anfang, denn dann werden die protokollspezifischen Inspect Kommandos der Firewall gar nicht ausgeführt. Logisch, denn alles ist TCP oder UDP.
  • 2 Firewall Definitionen firewall und myfw sind natürlich Blödsinn, da nur eine verwendet werden kann !
  • Die Firewall ist außerdem gar nicht aktiv, da das Kommando ip inspect myfw out auf dem Dialer Interface komplett fehlt ! Tödlich aus Sicherheits Sicht. Ein show ip inspect hätte das auch sofort gezeigt.
  • NAT overload Kommando fehlt, so das keinerlei Paket aud dem lokalen Netz ins Internet ge"NATet" werden kann und damit keinerlei Traffic rausgeht ! Auch hier hätte ein show ip nat trans das sofort gezeigt.
  • Der Konfig Zugriff aus dem Internet ist NICHT gesichert ! (ACL 23 im Tutorial) Hier fehlt die angegebene ACL acl_access auch für IPv6.
  • Telnet sollte man deaktivieren. SSH Zugriff mit transport input telnet ssh fehlt.

Fazit:
Viele und heftige Kinken in der Konfig die dringenst einer Korrektur bedürfen sollte es sicher sein und auch funktionieren !
Das o.a. Cisco Tutorial schreibt dir genau wie. Halte dich am besten genau daran !
magheinz
magheinz 02.06.2018 um 14:34:59 Uhr
Goto Top
unter anderem aus dem Link heraus habe ich die konfig gebaut.
Das chaos entstand nach der Umstellung von ADSL2+ nach VDSL. Ich habe von diesen Consumeranschlüssen nicht so die große Ahnung, es geht hier nur um unseren Test-Anschluss.

Die Firewall ist im Moment gewollt offen für alles. Läuft die Verbindung kommt wieder die Standard-ACL von uns drauf.

Ich glaube ich fang das Teil noch mal von vorne an. Das zweite Gerät hängt noch am ADSL-Anschluss und funktioniert. Die Config wollte ich einfach übernehmen und nur das Interface anpassen.

Zur bridge: Ich brauche das WAN-Interface mit im intranet da ich den SFP-Port brauche. Wie bringe ich das sonst mit rein?
aqui
aqui 02.06.2018 aktualisiert um 15:07:41 Uhr
Goto Top
unter anderem aus dem Link heraus habe ich die konfig gebaut.
Kann nicht sein ! Dann hättest du keine solchen gravierenden Fehler wie oben gemacht !
Bzw. sie hätten dir bei einem show run sofort ins Auge springen müssen auch ohne Thread hier. face-wink
Ich glaube ich fang das Teil noch mal von vorne an.
Vielleicht keine schlechte Idee... face-wink write erase oder erase startup und dann reload ist hier dein Freund.
Nimm einen stinknormalen Texteditor, cut and paste dir da die Tutorial Beispielkonfig abschnittsweise rein, passe sie auf deine (IP, Interfaces, Passwörter etc.) Belange an, prüfe sie dann genau und (erst dann !) cut and paste sie zurück in deinen Router...fertsch.
Das zweite Gerät hängt noch am ADSL-Anschluss und funktioniert.
Hoffentlich nicht mit so gravierenden Fehlern wie bei dem obigen ?! face-sad
Die Config wollte ich einfach übernehmen und nur das Interface anpassen.
Generell nicht falsch, nur genau hinsehen sollte man dann schon was man da dann neu eingibt !! Bzw. sollte dennoch mal was falsches reinkommen immer mit no wieder entfernen aus der Konfig.
Zur bridge: Ich brauche das WAN-Interface mit im intranet da ich den SFP-Port brauche.
Das kann eigentlich nur Unsinn sein...
Sorry, aber ein öffentliches Internet ungeschützt im Intranet ?? Meinst du nicht wirklich ernst, oder ?? Das wäre tödlich aus Sicherheits Sicht.
Oder hast du ein öffentliches Subnetz am Router ??
Dann sollte es eher so wie HIER aussehen wenn es richtig gemacht ist !
magheinz
magheinz 02.06.2018 um 19:03:44 Uhr
Goto Top
Ich will das WAN interface ja nicht im WAN haben sondern im intranet. Du hast mich da falsch verstanden.
gi8 ist das WAN-interface. Gi0-7 sind ein interner switch im 896VA

gi8 ist der Combo-port den cisco eigentlich als WAN-port vorgesehen hat, den ich aber nicht als WAN nutzen möchte.
Ich brauche halt den SFP-Port im Intranet.

Das andere Gerät hat eine andere ACL definiert. Mir geht es hier erst mal nur darum den Anschluss zum laufen zu bekommen. Die Sicherheit kann danach kommen, da außer dem router an diesem Anschluss nichts ist. Ab und An mal ein Notebook um unseren eigentlichen Internetzugang mal von aussen zu testen.

Das klingt jetzt etwas blöd, aber 90% der Zeit läuft über diesen Anschluss genau 0 Traffic.

Sonst habe ich Cisco ASR-Router. Das ist das erste mal das ich mich mit so einer xDSL-Geschichte rumärgern muss.
aqui
aqui 04.06.2018 um 10:31:52 Uhr
Goto Top
gi8 ist das WAN-interface. Gi0-7 sind ein interner switch im 896VA
Sorry, verstehe ich nicht face-sad
Was genau willst du da machen ??
Auf dem Router das WAN auf einen anderen Port durchreichen und an dem Port steckt dann eine 886va der das eigentliche Routing macht ?!
Was soll der Sinn davon sein...
Nur damit man dieses komische Konstrukt versteht ??!
Ggf. hilft eine kleine Skizze ?!
den ich aber nicht als WAN nutzen möchte. Ich brauche halt den SFP-Port im Intranet.
Ja und ? Wo ist das Problem, du bist ja völlig frei in der Gestalung deiner Ports !
Der Router hat ja einen internen Gigabit Switch. Davon knappst du dir dann deinen WAN Port ab. Das geht nur über ein VLAN und zwar so (Auszug):
!
interface GigabitEthernet0
switchport mode trunk
switchport trunk allowed vlan 7
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
usw...
!
int vlan 7
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
usw.

Damit erzeugst du das VLAN 7 sendest das tagged am GigPort 0 raus wo du natürlich noch ein xDSL Modem anschliessen musst und mappst das VLAN Inmterface auf den Dialer um PPPoE dort zu machen.
Wenn du ein Modem hast was selber tagged, dann musst du den Gig0 Port als Access Port definieren.

Die Frage ist warum du es nicht auf dem Combo Port belässt, dir das leben damit sehr einfach machst und für das Interne dann einen simplen Medienwandler Kupfer auf Glas beschaffst ?!
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-Gigabit-1000B ...
Oder mit SC
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-1000Base-T-10 ...
dann brauchst du nur ein simles SC auf LC Patchkabel.
magheinz
magheinz 04.06.2018 um 10:42:30 Uhr
Goto Top
Der Router hat ja ein eingebautes Modem, wieso sollte ich da ein extra Moden nutzen?
Medienwandler will ich vermeiden wenn es nur irgendwo geht. wir haben hier in jedes Büro Glasfasern liegen an deren Ende pro Raum ein SG300 hängt. (ca 300 Stück) Wir haben lange genug mit Medienwandlern gearbeitet um sagen zu können: Taugt auf Dauer nichts.
Die 8Gi-Port brauche ich gar nicht. die liegen brach. Ich benötige nur den VDSL-Port und den Glasfaserport. Am Glasfaserport hängt dann ein Switch.

Am ADSL-Port machte der Router genau das. Das Chaos entstand erst durch die Umstellung auf VDSL. Bei über 30° im Büro scheint die Konzentration doch etwas zu schwinden...

Das zweite Problem ist das nicht ganz klar ist ob die Telekom sauber umgestellt hat. Da gab es doch erhebliche Schwierigkeiten weil die in ihrer Datenbank einen veralteten APL hatten den es gar nicht mehr gibt und das nicht glauben wollten.
aqui
aqui 04.06.2018 aktualisiert um 10:49:11 Uhr
Goto Top
Der Router hat ja ein eingebautes Modem,
Das ist dann intern IMMER fest mit dem WAN Port verbunden. Da hast du keine Chance das losgelöst davon zu betreiben. Siehe auch Hardware Guide zum Router.
Anderer Port bedeutet dann immer gleich externes Modem.
mit Medienwandlern gearbeitet um sagen zu können: Taugt auf Dauer nichts.
Ist sicher richtig aber mit dem Router hast du dann keine Wahl.
Entweder du nutzt das interne Modem, bist dann auf den Combo Port verhaftet und Medienwandler für das lokale LAN. Oder... anderer WAN Port, dann aber externes Modem.
Eine andere Wahl hast du nicht bei dem Modell.
Der SG300 hat doch auch Kupferports ?! Warum also den LAN Port dann nicht mit Kupfer verbinden ?!
Oder hast du Längen über 100 Meter ?
gierig
gierig 04.06.2018 um 13:45:10 Uhr
Goto Top
Ich Denke also bin ich sagte der Mensch verstehen gehört aber nicht immer dazu .

896VA
1 * XDSL Port
1 * GE Port (als SPF / Kupder Router Port
8 * GE Switch Ports.

Mister ARS magheinz hat nun den Router Port über ne Bridge an Vlan 1 gekoppelt
und ihn damit als weiteren "Switch Port" fürs Lokale LAN abgestraft
Ergo er hat nun 9 Switch Ports im Vlan1 (einer dann halt mit Fiber Einschub)

Macht man so wenn man nur ARS Router kennt und die billigen kleinen Büchsen nur mit der Kneifzange anfasst.
oder weil man es im irgendeinem Forum mal gesehen hat das man es machen kann...

@magheintz
Neben den ganzen Fehlern die Aqui schon aufgezeigt hat und denen die Er noch nicht erwähnt hat.
(die offensichtlich mit "passt schon" von Dir ignoriert werden).
Wenn die Switch Ports eh nicht benötigst. Warum ne Bridge zum Vlan1 und nicht gleich NAT und eine IP auf
die den "WAN Port" und fertig (und Switch Ports abschalten) ?


Deine Ganze Konfiguration und das ganze drumherum liest sich eher wie ich bin schon mal an einem Karton eines
Cisco ARS Routers vorbeigegangen....bitte nicht persönlich nehmen ja ?
magheinz
magheinz 06.06.2018 um 14:28:07 Uhr
Goto Top
Das VLAN 1 mit der Bridge ist ein Überbleibsel weil der Router vorher an einer anderen Stelle eingesetzt wurde an der eben die Switchports+der SFP gebraucht wurden.
Der Tipp den Switch einfach abzuschalten und direkt mit gi8 zu arbeiten ist nicht blöd. Da der Router im Serverraum hängt fällt mir derzeit nix irgendwann mal an die Kupferport dran müsste. Andererseits muss es aber ja auch mit der bridge funktionieren. Ging ja vorher mit ADSL auch.

Ich fasse die Teile durchaus ohne Kneifzange an, habe aber nunmal nicht wirklich Erfahrung mit denen sondern sammel die gerade.
Alleine die Tatsache welches Interface jetzt aktiv ist und das sich das ändert wenn man von ADSL zu VDSL wechselt muss ich halt am lebenden Objekt lernen. Die Probleme habe ich sonst nicht da wir sonst direkt per Ethernet connected sind.
Firewall macht dann eine Firewall so dass der router nur routen muss und z.B. auch kein NAT macht.

Hier habe ich jetzt einen dialer, ein ethernet0, ein gi8 und gi0-7. Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Da wir hier von einem Testanschluss reden an dem derzeit nicht ein Endgerät hängt, ist es nunmal wirklich problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.

Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
aqui
aqui 06.06.2018 um 15:09:17 Uhr
Goto Top
ist ein Überbleibsel weil
Solche "Konfig Leichen" sollte man immer besser entfernen...
und das sich das ändert wenn man von ADSL zu VDSL wechselt
Ja, das liegt am internen Mapping des integrierten Hybrid Modems. ADSL ist fest auf die ATM Schnittstelle gemappt und VDSL fest auf Ethernet 0. Das kann man leider nicht "umbiegen".
Firewall macht dann eine Firewall so dass der router nur routen muss
Warum ? Das wäre Perlen vor die .... Die interne ZFW Firewall ist SPI basiert und so leistungsstark das sie das mit links macht. Warum also ein weiteres überflüssiges Gerät ?!
Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Na ja...das ist ja mehr oder minder bei jedem Router auf der Welt so !
problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.
Das ist perfekt !
Dann mache doch erstmal eine simple Standard Konfig für VDSL mit den dazugehörigen Interfaces.
Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Das ist der richtige Weg !
magheinz
magheinz 06.06.2018 um 15:20:31 Uhr
Goto Top
Zitat von @aqui:

ist ein Überbleibsel weil
Solche "Konfig Leichen" sollte man immer besser entfernen...

Es war zu heiss...

und das sich das ändert wenn man von ADSL zu VDSL wechselt
Ja, das liegt am internen Mapping des integrierten Hybrid Modems. ADSL ist fest auf die ATM Schnittstelle gemappt und VDSL fest auf Ethernet 0. Das kann man leider nicht "umbiegen".

Ist ja auch kein Problem, muss man nur wissen. Ich habs halt jetzt gelernt.

Firewall macht dann eine Firewall so dass der router nur routen muss
Warum ? Das wäre Perlen vor die .... Die interne ZFW Firewall ist SPI basiert und so leistungsstark das sie das mit links macht. Warum also ein weiteres überflüssiges Gerät ?!

dieser router soll dann ja auch alles machen. Unsere eigentliche produktive Anbindung ist eine andere Hausnummer. Da nutzen wir andere Geräte(ASR 1001HX ASA/Firepower etc). Das sind 10GE Anbindungen. Das ist nix für einen 800er Router, da kaufen wir die vom Netzbetreiber empfohlenen Geräte.

Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Na ja...das ist ja mehr oder minder bei jedem Router auf der Welt so !
problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.
Das ist perfekt !
Dann mache doch erstmal eine simple Standard Konfig für VDSL mit den dazugehörigen Interfaces.
Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Das ist der richtige Weg !

Ich hab halt leider nicht kontinuierlich mal einen Tag Zeit sondern muss das immer wieder dazwischen schieben. Dauert dann halt alles etwas länger.
aqui
aqui 06.06.2018 um 15:26:05 Uhr
Goto Top
Die Konfig macht man in 15 Minuten... face-monkey
magheinz
magheinz 06.06.2018 um 15:31:24 Uhr
Goto Top
Wenn ich die gerade mal hätte wäre ich froh drumm.
Die Antworten hier tippe ich zwischendurch am Handy...