Routing Telekom VDSL mit cisco 896VA
Hallo,
ich versuche das routing einzustellen.
Die pppoe-Einwahl funktioniert.
Ich bekomme eine IP, ein GW und zwei Nameserver.
Die beiden übergebenen Nameserver kann ich anpingen, sonst aber nichts.
Hat jemand eine Idee?
ich versuche das routing einzustellen.
Die pppoe-Einwahl funktioniert.
Ich bekomme eine IP, ein GW und zwei Nameserver.
Die beiden übergebenen Nameserver kann ich anpingen, sonst aber nichts.
Hat jemand eine Idee?
gw-pastafarie01#sh run
Building configuration...
Current configuration : 6493 bytes
!
! Last configuration change at 17:50:38 UTC Fri Jun 1 2018
!
version 15.5
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname gw-pastafarie01
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXXXXXXXXX
enable password XXXXXXXXXXX
!
no aaa new-model
ethernet lmi ce
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.14.0 192.168.14.20
!
ip dhcp pool pool_lan
import all
network 192.168.14.0 255.255.255.0
default-router 192.168.14.1
dns-server 192.168.14.1
!
!
!
ip domain name pastafari.dhm.de
ip name-server 8.8.8.8
ip multicast-routing
ip inspect log drop-pkt
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall icmp
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw sip
ip inspect name myfw rtsp
ip cef
ipv6 unicast-routing
no ipv6 cef
ipv6 dhcp pool pool6_lan
dns-server FE80::1
information refresh 1
!
!
parameter-map type inspect global
log dropped-packets enable
max-incomplete low 18000
max-incomplete high 20000
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C896VA-K9 sn XXXXXXX
!
!
username root privilege 15 secret 5 XXXXXXX
!
!
!
!
!
controller VDSL 0
operating mode vdsl2
firmware filename flash:VA_A_39m_B_38u_24h.bin
sync mode itu
sra
!
!
!
!
!
!
!
bridge irb
!
!
!
!
!
interface ATM0
description DTAG-ADSL
no ip address
shutdown
no atm ilmi-keepalive
pvc 1/32
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
isdn point-to-point-setup
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description DTAG-VDSL
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
no ip address
duplex auto
speed auto
bridge-group 1
!
interface GigabitEthernet8.1
!
interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
no autostate
bridge-group 1
!
interface Dialer0
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer-group 1
no keepalive
ppp authentication chap callin
ppp chap hostname XXXXXX
ppp chap password 0 XXXXXX
ppp pap sent-username XXXXXX password 7 XXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
interface BVI1
ip address 192.168.14.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ipv6 address FE80::1 link-local
ipv6 address pfx_di1 ::1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server pool6_lan
!
ip forward-protocol nd
no ip http server
ip http access-class 10
ip http authentication local
ip http secure-server
!
!
ip dns view-list dvl_secure-dns-proxy
view default 1
restrict authenticate
ip dns server
ip scp server enable
!
ip access-list extended NAT
permit ip 192.168.14.0 0.0.0.255 any
ip access-list extended inside
permit ip any any
ip access-list extended outside
permit ip any any
!
!
route-map SDM_RMAP_1 permit 1
match ip address NAT
!
access-list 101 permit ip any any
access-list 101 deny ip any any log
access-list 103 permit ip 192.168.14.0 0.0.0.255 any
access-list 103 permit ip any any
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^CC
Pastafari DSL
^C
!
line con 0
session-timeout 10
privilege level 15
logging synchronous
no modem enable
escape-character 27
line aux 0
line vty 0 4
session-timeout 10
access-class acl_access in
privilege level 15
password DHM-admin
ipv6 access-class acl6_access in
logging synchronous
login
transport input telnet
escape-character 27
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 1.de.pool.ntp.org
!
end
gw-pastafarie01#
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375772
Url: https://administrator.de/contentid/375772
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
14 Kommentare
Neuester Kommentar
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort steht wirklich ALLES was du zu dem Thema wissen musst !
Fehler in der o.a. Konfig:
Fazit:
Viele und heftige Kinken in der Konfig die dringenst einer Korrektur bedürfen sollte es sicher sein und auch funktionieren !
Das o.a. Cisco Tutorial schreibt dir genau wie. Halte dich am besten genau daran !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort steht wirklich ALLES was du zu dem Thema wissen musst !
Fehler in der o.a. Konfig:
- In den DHCP exclude IPs (Ausschluss) gibt man IMMER Hostadressen an aber niemals IP Netze (Hostbits auf 0) wie bei dir.
- Domain Name in der DHCP Konfig fehlt
- Kommando bridge-group 1 fehlerhaft und tödlich in Interface gig 8 und dessen Subinterface !! Sollte mit no bridge-group 1 entfernt werden. Damit ist auch das BVI Interface völlig überflüssiger (Konfig) Ballast !
- Google (8.8.8.8) als Nameserver anzugeben machen heutzutage nur noch Dummies. Jeder weiss mittlerweile das Google dann die privaten Surfdaten und Profile mit Dritten vermarket und verkauft. Unsinn sowas, denn den lokalen DNS Server bekommt man eh automatisch per PPPoE vom Provider. Fazit: besser entfernen !
- Sommerzeit Umstellung fehlt vollständig: clock timezone CET 1 0 und clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
- Die Firewall Kommandos ip inspect name firewall tcp und ip inspect name firewall udp gehören logischerweise ans Ende der ip inspect Kommandos und niemals an den Anfang, denn dann werden die protokollspezifischen Inspect Kommandos der Firewall gar nicht ausgeführt. Logisch, denn alles ist TCP oder UDP.
- 2 Firewall Definitionen firewall und myfw sind natürlich Blödsinn, da nur eine verwendet werden kann !
- Die Firewall ist außerdem gar nicht aktiv, da das Kommando ip inspect myfw out auf dem Dialer Interface komplett fehlt ! Tödlich aus Sicherheits Sicht. Ein show ip inspect hätte das auch sofort gezeigt.
- NAT overload Kommando fehlt, so das keinerlei Paket aud dem lokalen Netz ins Internet ge"NATet" werden kann und damit keinerlei Traffic rausgeht ! Auch hier hätte ein show ip nat trans das sofort gezeigt.
- Der Konfig Zugriff aus dem Internet ist NICHT gesichert ! (ACL 23 im Tutorial) Hier fehlt die angegebene ACL acl_access auch für IPv6.
- Telnet sollte man deaktivieren. SSH Zugriff mit transport input telnet ssh fehlt.
Fazit:
Viele und heftige Kinken in der Konfig die dringenst einer Korrektur bedürfen sollte es sicher sein und auch funktionieren !
Das o.a. Cisco Tutorial schreibt dir genau wie. Halte dich am besten genau daran !
unter anderem aus dem Link heraus habe ich die konfig gebaut.
Kann nicht sein ! Dann hättest du keine solchen gravierenden Fehler wie oben gemacht !Bzw. sie hätten dir bei einem show run sofort ins Auge springen müssen auch ohne Thread hier.
Ich glaube ich fang das Teil noch mal von vorne an.
Vielleicht keine schlechte Idee... write erase oder erase startup und dann reload ist hier dein Freund.Nimm einen stinknormalen Texteditor, cut and paste dir da die Tutorial Beispielkonfig abschnittsweise rein, passe sie auf deine (IP, Interfaces, Passwörter etc.) Belange an, prüfe sie dann genau und (erst dann !) cut and paste sie zurück in deinen Router...fertsch.
Das zweite Gerät hängt noch am ADSL-Anschluss und funktioniert.
Hoffentlich nicht mit so gravierenden Fehlern wie bei dem obigen ?! Die Config wollte ich einfach übernehmen und nur das Interface anpassen.
Generell nicht falsch, nur genau hinsehen sollte man dann schon was man da dann neu eingibt !! Bzw. sollte dennoch mal was falsches reinkommen immer mit no wieder entfernen aus der Konfig.Zur bridge: Ich brauche das WAN-Interface mit im intranet da ich den SFP-Port brauche.
Das kann eigentlich nur Unsinn sein...Sorry, aber ein öffentliches Internet ungeschützt im Intranet ?? Meinst du nicht wirklich ernst, oder ?? Das wäre tödlich aus Sicherheits Sicht.
Oder hast du ein öffentliches Subnetz am Router ??
Dann sollte es eher so wie HIER aussehen wenn es richtig gemacht ist !
gi8 ist das WAN-interface. Gi0-7 sind ein interner switch im 896VA
Sorry, verstehe ich nicht Was genau willst du da machen ??
Auf dem Router das WAN auf einen anderen Port durchreichen und an dem Port steckt dann eine 886va der das eigentliche Routing macht ?!
Was soll der Sinn davon sein...
Nur damit man dieses komische Konstrukt versteht ??!
Ggf. hilft eine kleine Skizze ?!
den ich aber nicht als WAN nutzen möchte. Ich brauche halt den SFP-Port im Intranet.
Ja und ? Wo ist das Problem, du bist ja völlig frei in der Gestalung deiner Ports !Der Router hat ja einen internen Gigabit Switch. Davon knappst du dir dann deinen WAN Port ab. Das geht nur über ein VLAN und zwar so (Auszug):
!
interface GigabitEthernet0
switchport mode trunk
switchport trunk allowed vlan 7
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
usw...
!
int vlan 7
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
usw.
Damit erzeugst du das VLAN 7 sendest das tagged am GigPort 0 raus wo du natürlich noch ein xDSL Modem anschliessen musst und mappst das VLAN Inmterface auf den Dialer um PPPoE dort zu machen.
Wenn du ein Modem hast was selber tagged, dann musst du den Gig0 Port als Access Port definieren.
Die Frage ist warum du es nicht auf dem Combo Port belässt, dir das leben damit sehr einfach machst und für das Interne dann einen simplen Medienwandler Kupfer auf Glas beschaffst ?!
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-Gigabit-1000B ...
Oder mit SC
https://www.amazon.de/DIGITUS-Professional-Medienkonverter-1000Base-T-10 ...
dann brauchst du nur ein simles SC auf LC Patchkabel.
Der Router hat ja ein eingebautes Modem,
Das ist dann intern IMMER fest mit dem WAN Port verbunden. Da hast du keine Chance das losgelöst davon zu betreiben. Siehe auch Hardware Guide zum Router.Anderer Port bedeutet dann immer gleich externes Modem.
mit Medienwandlern gearbeitet um sagen zu können: Taugt auf Dauer nichts.
Ist sicher richtig aber mit dem Router hast du dann keine Wahl.Entweder du nutzt das interne Modem, bist dann auf den Combo Port verhaftet und Medienwandler für das lokale LAN. Oder... anderer WAN Port, dann aber externes Modem.
Eine andere Wahl hast du nicht bei dem Modell.
Der SG300 hat doch auch Kupferports ?! Warum also den LAN Port dann nicht mit Kupfer verbinden ?!
Oder hast du Längen über 100 Meter ?
Ich Denke also bin ich sagte der Mensch verstehen gehört aber nicht immer dazu .
896VA
1 * XDSL Port
1 * GE Port (als SPF / Kupder Router Port
8 * GE Switch Ports.
Mister ARS magheinz hat nun den Router Port über ne Bridge an Vlan 1 gekoppelt
und ihn damit als weiteren "Switch Port" fürs Lokale LAN abgestraft
Ergo er hat nun 9 Switch Ports im Vlan1 (einer dann halt mit Fiber Einschub)
Macht man so wenn man nur ARS Router kennt und die billigen kleinen Büchsen nur mit der Kneifzange anfasst.
oder weil man es im irgendeinem Forum mal gesehen hat das man es machen kann...
@magheintz
Neben den ganzen Fehlern die Aqui schon aufgezeigt hat und denen die Er noch nicht erwähnt hat.
(die offensichtlich mit "passt schon" von Dir ignoriert werden).
Wenn die Switch Ports eh nicht benötigst. Warum ne Bridge zum Vlan1 und nicht gleich NAT und eine IP auf
die den "WAN Port" und fertig (und Switch Ports abschalten) ?
Deine Ganze Konfiguration und das ganze drumherum liest sich eher wie ich bin schon mal an einem Karton eines
Cisco ARS Routers vorbeigegangen....bitte nicht persönlich nehmen ja ?
896VA
1 * XDSL Port
1 * GE Port (als SPF / Kupder Router Port
8 * GE Switch Ports.
Mister ARS magheinz hat nun den Router Port über ne Bridge an Vlan 1 gekoppelt
und ihn damit als weiteren "Switch Port" fürs Lokale LAN abgestraft
Ergo er hat nun 9 Switch Ports im Vlan1 (einer dann halt mit Fiber Einschub)
Macht man so wenn man nur ARS Router kennt und die billigen kleinen Büchsen nur mit der Kneifzange anfasst.
oder weil man es im irgendeinem Forum mal gesehen hat das man es machen kann...
@magheintz
Neben den ganzen Fehlern die Aqui schon aufgezeigt hat und denen die Er noch nicht erwähnt hat.
(die offensichtlich mit "passt schon" von Dir ignoriert werden).
Wenn die Switch Ports eh nicht benötigst. Warum ne Bridge zum Vlan1 und nicht gleich NAT und eine IP auf
die den "WAN Port" und fertig (und Switch Ports abschalten) ?
Deine Ganze Konfiguration und das ganze drumherum liest sich eher wie ich bin schon mal an einem Karton eines
Cisco ARS Routers vorbeigegangen....bitte nicht persönlich nehmen ja ?
ist ein Überbleibsel weil
Solche "Konfig Leichen" sollte man immer besser entfernen...und das sich das ändert wenn man von ADSL zu VDSL wechselt
Ja, das liegt am internen Mapping des integrierten Hybrid Modems. ADSL ist fest auf die ATM Schnittstelle gemappt und VDSL fest auf Ethernet 0. Das kann man leider nicht "umbiegen".Firewall macht dann eine Firewall so dass der router nur routen muss
Warum ? Das wäre Perlen vor die .... Die interne ZFW Firewall ist SPI basiert und so leistungsstark das sie das mit links macht. Warum also ein weiteres überflüssiges Gerät ?!Und jeder Port macht was anderes, Da muss man sich erst mal einarbeiten.
Na ja...das ist ja mehr oder minder bei jedem Router auf der Welt so !problemlos und ohne Sicherheitsprobleme möglich hier auszuprobieren und am lebenden Objekt zu lernen.
Das ist perfekt !Dann mache doch erstmal eine simple Standard Konfig für VDSL mit den dazugehörigen Interfaces.
Sobald wieder Zeit ist baue ich eine neue Konfig und setze den router einmal zurück.
Das ist der richtige Weg !