krustytsc
Goto Top

Troubleshooting Cisco 896vag Internet config

Hallo zusammen,

hier jetzt nochmal der separate Thread.
Ich habe ein Problemchen mit meinem 896vag.
Ich habe das Gerät laut deinem Tutorial konfiguriert aber bekomme keine Verbindung ins Internet hin.
Ich sehe zwar auf dem vdsl Controller die verfügbare Geschwindigkeit und bekomme auch eine Internet IP über sh ip int brief angezeigt aber kann z.b. Google nicht anpingen. (intern funktioniert Ping) Ebenso bekomme ich auch eine IP vom DHCP zugewiesen. Der Anschluss ist 1und1 DSL Anschluss an einem Telekom DSLAM. Nachfolgend meine Running-Config.

no ip source-route
no ip gratuitous-arps
!
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 192.168.0.1 192.168.0.20
ip dhcp excluded-address 192.168.0.200 192.168.0.254
!
ip dhcp pool cvo-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
ip dhcp pool Lokal
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name meinedomain.home.arpa
!
no ip domain lookup
ip domain name meinedomain.home.arpa
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip cef
ipv6 flowset
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6
import dns-server
domain-name meinedomain.home.arpa
!
multilink bundle-name authenticated
!
license udi pid C896VAG-LTE-GA-K9 sn FCZ2130901V
!
vtp mode transparent
vtp version 2
username cisco privilege 15 secret x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username xxxxx privilege 15 secret x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
redundancy
!
controller VDSL 0
!
controller Cellular 0
lte gps enable
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
no atm ilmi-keepalive
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
interface ATM0.1 point-to-point
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
!
interface Cellular0
no ip address
encapsulation slip
!
interface Cellular1
no ip address
encapsulation slip
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
description Homenetzwerk
switchport mode trunk
no ip address
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1
no ip address
spanning-tree portfast
!
interface GigabitEthernet2
no ip address
spanning-tree portfast
!
interface GigabitEthernet3
no ip address
spanning-tree portfast
!
interface GigabitEthernet4
no ip address
spanning-tree portfast
!
interface GigabitEthernet5
no ip address
spanning-tree portfast
!
interface GigabitEthernet6
no ip address
spanning-tree portfast
!
interface GigabitEthernet7
no ip address
spanning-tree portfast
!
interface GigabitEthernet8
description $ES_WAN$$FW_OUTSIDE$
no ip dhcp client request tftp-server-address
ip address dhcp
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly in
duplex auto
speed auto
media-type rj45
!
interface Vlan1
description Lokales LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix 2001::1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Dialer0
description xDSL Einwahl Interface Internet
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-mode
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip igmp version 3
dialer pool 1
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
no ipv6 unreachables
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
no keepalive
ppp authentication pap callin
ppp pap sent-username H1und1/xxxxxxxxx@online.de password x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface GigabitEthernet8 overload
ip nat inside source list 101 interface Dialer0 overload
ip ssh time-out 30
ip ssh version 2
!
dialer-list 1 protocol ip list 101
ipv6 ioam timestamp
!
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 0.0.0.0 255.255.255.0
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip any any
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default

Content-ID: 5725066207

Url: https://administrator.de/contentid/5725066207

Ausgedruckt am: 23.11.2024 um 23:11 Uhr

KrustyTSC
KrustyTSC 29.01.2023 um 22:27:39 Uhr
Goto Top
Hier noch ein paar Testergebnisse.

ciscorouter#sh ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
ATM0                       unassigned      YES NVRAM  administratively down down
ATM0.1                     unassigned      YES unset  administratively down down
Cellular0                  unassigned      YES unset  down                  down
Cellular1                  unassigned      YES unset  down                  down
Dialer0                    79.192.221.83   YES IPCP   up                    up
Ethernet0                  unassigned      YES NVRAM  up                    up
Ethernet0.7                unassigned      YES unset  up                    up
GigabitEthernet0           unassigned      YES unset  up                    up
GigabitEthernet1           unassigned      YES unset  down                  down
GigabitEthernet2           unassigned      YES unset  down                  down
GigabitEthernet3           unassigned      YES unset  down                  down
GigabitEthernet4           unassigned      YES unset  down                  down
GigabitEthernet5           unassigned      YES unset  down                  down
GigabitEthernet6           unassigned      YES unset  down                  down
GigabitEthernet7           unassigned      YES unset  down                  down
GigabitEthernet8           unassigned      YES NVRAM  down                  down
NVI0                       21.21.21.1      YES unset  up                    up
Virtual-Access1            unassigned      YES unset  up                    up
Virtual-Access2            unassigned      YES unset  up                    up
Vlan1                      192.168.0.1     YES NVRAM  up                    up


ciscorouter#sh ipv6 int brief
ATM0                   [administratively down/down]
    unassigned
ATM0.1                 [administratively down/down]
    unassigned
Cellular0              [down/down]
    unassigned
Cellular1              [down/down]
    unassigned
Dialer0                [up/up]
    FE80::4201:7AFF:FE9F:EF20
    2003:F1:77FF:35FD:4201:7AFF:FE9F:EF20
Ethernet0              [up/up]
    unassigned
Ethernet0.7            [up/up]
    unassigned
GigabitEthernet0       [up/up]
    unassigned
GigabitEthernet1       [down/down]
    unassigned
GigabitEthernet2       [down/down]
    unassigned
GigabitEthernet3       [down/down]
    unassigned
GigabitEthernet4       [down/down]
    unassigned
GigabitEthernet5       [down/down]
    unassigned
GigabitEthernet6       [down/down]
    unassigned
GigabitEthernet7       [down/down]
    unassigned
GigabitEthernet8       [down/down]
    unassigned
NVI0                   [up/up]
    unassigned
Virtual-Access1        [up/up]
    unassigned
Virtual-Access2        [up/up]
    FE80::4201:7AFF:FE9F:EF20
Vlan1                  [up/up]
    FE80::4201:7AFF:FE9F:EF1C
    2003:F1:7735:DA00::
    2003:F1:7735:DA00::1

ciscorouter#ping 172.217.30.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.217.30.9, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
KrustyTSC
KrustyTSC 29.01.2023 um 22:31:51 Uhr
Goto Top
@aqui
Kannst du mir das genauer erklären bzw. zeigen was du damit meinst?

„Dein Kardinalsfehler ist aber das du die Dialer Listen für das NAT verwechselt hast. 101 ist eine Liste für ein Ethernet Interface (Bootp, DHCP usw. gibt es alles bei einem PPPoE Dialer Interface NICHT!) liegt aber auf dem Dialer und 1 ist eine Liste für ein Dialer Interface, liegt bei dir aber auf dem Ethernet Interface.“

Danke.
tikayevent
tikayevent 29.01.2023 aktualisiert um 22:37:07 Uhr
Goto Top
ciscorouter#ping 172.217.30.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.217.30.9, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Tjoa, selbst von meinem funktionierenden Internetanschluss ist die Adresse nicht anpingbar.

Hast du noch eine IPv4-Routingtabelle?

Erst wollte ich auf den möglichen DS-Lite-Einsatz bei 1&1 hinweisen, aber du erhältst ja scheinbar eine IPv4-Adresse, also ist dieses hinfällig.

ip nat inside source list 1 interface GigabitEthernet8 overload
ip nat inside source list 101 interface Dialer0 overload
In Verbindung mit deinen ACLs kann das nicht klappen. Du musst ja über den Dialer rausgehen, für diesen wird aber der ganze Spaß verboten und die ACL 1 zeigt auf ein "totes" Interface.

Korrekt wäre (die ACL-Nummer ist egal)

access-list 111 permit ip 192.168.0.0 0.0.0.255 any
ip nat inside source list 111 interface Dialer0 overload

Die anderen beiden ip nat-Zeilen müssen raus.
KrustyTSC
KrustyTSC 29.01.2023 um 23:02:16 Uhr
Goto Top
Ok, vielen Dank erstmal für die Antwort. Werde es morgen gleich mal testen.
aqui
aqui 30.01.2023, aktualisiert am 17.07.2023 um 12:47:52 Uhr
Goto Top
Du hast mehrere gravierende Konfig Fehler begangen. Zeigt das du das hiesige [ Cisco Tutorial] leider nicht gelesen oder nicht verstanden hast. face-sad
Fangen wir mit den schlimmsten Fehlern an. Kollege @tikayevent hat es oben schon richtig gesagt.

  • die Access List 101 ist eine CBAC Firewall ACL die nichts mit dem NAT Dialer zu tun hat. Diese ACL kannst du nicht gleichzeitig als Firewall ACL und als NAT Dialer verwenden, da eine völlig andere Logik. Das o.a. Tutorial weist eindeutig darauf hin! Zudem ist die ACL auch logisch falsch und Statements dadrin haben eine völlig falsche Reihenfolge bzw. sind überflüssig. Ein deny any any am Ende ist bei einer ACL immer Default und muss man NICHT explizit definieren. Dieser dialer-list 1 protocol ip list 101 Fehler ist der Hauptgrund warum deine Konfig scheitert, weil die zugewiesene ACL völlig falsch ist.
  • Erklärung: Hier muss du eine andere ACL wählen, denn die Dialer ACL bestimmt immer welcher IP Traffic übers NAT (Address Translation) geht und was nicht. Hier gibst du oben, entgegen der Tutorial Vorgabe, fälschlicherweise eine Firewall Liste an was leider völlig sinnfrei ist. Richtig wäre:
!
ip nat inside source list 110 interface Dialer0 overload
!
dialer-list 1 protocol ip list 110
!
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
!

  • Deine IPv6 Konfig am lokalen VLAN1 Interface ist grundfalsch und kann so niemals funktionieren. Richtig ist:
interface Vlan1
description Lokales LAN
ip address 192.168.0.1 255.255.255.0
ipv6 address provider-v6-prefix ::1:0:0:0:1/64


Weitere gravierende kosmetische Fehler die aber fürs erste nicht betriebsrelevant sind aber korrigiert werden sollten:
  • Du hast eine rudimentäre CBAC Firewall Konfig erstellt die aber einzig nur am Gig8 Interface aktiv ist. Sowas ist Unsinn und schafft Funktionsprobleme. Entscheide dich: Entweder Firewall an allen Outbound Interfaces oder keine!! Nicht nur "ein bisschen" Firewall und dann noch falsch. Das geht in die Hose. Eine Firewall konfiguriert man auch strategisch logischerweise immer zuletzt wenn die Grundfunktionen sauber rennen.
  • Wenn das ATM (ADSL) Intzerface ungenutzt ist muss man auch kein Subinterface konfigurieren. Mit no interface ATM0.1 point-to-point entfernst du diesen Unsinn wieder.
  • Welchen tieferen Sinn hat der DHCP Server (ip dhcp pool cvo-pool) für das 10er Netz? Dieses IP Netz gibt es auf deinem ganzen Router nicht. Wenn du das nicht für DHCP Forwarding verwendest ist es funktionslos und solltest du entfernen!
  • Welchen Sinn hat das Interface Gig8?? Hast du 2 Internet Anschlüsse und machst Load Balancing?
  • ip http server aktiv zu lassen ist fahrlässig aus Security Sicht. Solltest du zwingend mit no ip http server deaktivieren!
  • Es fehlen: Zugangs ACL liste für den Management Zugang (Security!) und NTP Server.

Fazit:
Bitte das Tutorial nochmals genau lesen und verstehen und dabei die Erklärungen an den Kommandos beachten!!

Deine ToDos im Einzelnen:
  • Unbedingt die ACLs (Accesslisten) richtig konfigurieren und zuordnen. Beachte dabei die korrekte Reihenfolge und Logik in den ACLs.
  • ACL für den Management Zugang setzen (Security!), NTP Server setzen für die Uhrzeit (Logs, Zertifikate etc.)
  • Konfig "Leichen" löschen und Konfig entsprechend bereinigen.

Am besten fängst du mit einem write erase und Reboot (Autokonfig Menü danach abbrechen!!) nochmal ganz neu an indem du die Konfig löschst.
Eine saubere Grundkonfig erstmal ohne Firewall für deinen Router sähe so aus und diese (nur diese!) ist immer das Grundgerüst auf dem der Rest was noch kommen soll aufbaut!!:
!
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco_Router
!
security authentication failure rate 3 log
enable algorithm-type scrypt secret Geheim123
!
username admin privilege 15 algorithm-type scrypt secret Geheim123!
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
aaa local authentication attempts max-fail 3
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp relay information trust all
ip dhcp excluded-address 192.168.0.1 192.168.0.10 
ip dhcp excluded-address 192.168.0.250 192.168.0.254 
!
ip dhcp pool Lokal LAN
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1 
domain-name krusty.home.arpa
!
ip domain name krusty.home.arpa
! 
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
description Homenetzwerk, Upling VLAN Switch
switchport mode trunk
no ip address
!
interface GigabitEthernet1 (bis7)
no ip address
spanning-tree portfast
!
lldp run
no cdp run
!
interface GigabitEthernet8
description 2ter Internet Anschluss??
shutdown
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
duplex auto
speed auto
media-type rj45
!
interface Vlan1
description Lokales LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Dialer0
description PPPoE Einwahl Internet
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
(ip pim sparse-mode) ==> Weglassen wenn du KEIN Magenta TV gebucht hast!
ip nat outside
encapsulation ppp
(ip igmp version 3) ==> Weglassen wenn du KEIN Magenta TV gebucht hast!
dialer pool 1
dialer-group 1
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
no ipv6 unreachables
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ppp authentication pap callin
ppp pap sent-username H1und1/xxxxx@online.de password xyz
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
ip dns server
ip nat inside source list 110 interface GigabitEthernet8 overload
ip nat inside source list 110 interface Dialer0 overload
ip ssh time-out 30
ip ssh version 2
ip ssh authentication-retries 3
!
dialer-list 1 protocol ip list 110
!
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
!
banner exec #
Sie sind verbunden mit VTY $(line) auf dem Router $(hostname)
#
!
ntp server ntps1-0.cs.tu-berlin.de source Dialer0
ntp server ntp0.fau.de source Dialer0
ntp update-calendar
!
line con 0
line aux 0
line vty 0 4
access-class 23 in 
login local
transport input telnet ssh
!
end 
@tikayevent
selbst von meinem funktionierenden Internetanschluss ist die Adresse nicht anpingbar.
Ist auch klar, denn deine gepingte IP ist ja völlig falsch. Seine aktuelle Internet IP ist ja 79.192.221.83 wie der IP Int. Output oben zeigt!!
https://www.ip-tracker.org/lookup.php?ip=79.192.221.83
Ist eine Telekom VDSL Adresse. Zumindestens der VDSL Zugang klappt fehlerlos.
KrustyTSC
KrustyTSC 30.01.2023 um 09:14:00 Uhr
Goto Top
Vielen Dank für die sehr ausführliche Beschreibung und die Config. Werde diese heute so umsetzen.
aqui
aqui 30.01.2023 um 09:30:32 Uhr
Goto Top
Wir sind gespannt... 😉
KrustyTSC
KrustyTSC 30.01.2023 um 16:37:51 Uhr
Goto Top
Ich habe die Config nun so übernommen und da wo nötig angepasst.
Ich kann vom Router aus die 8.8.8.8 und auch vom cmd aus anpingen.
Die Windows Büchse ist der Meinung das sie im Internet ist. Aber sobald ich eine Seite aufrufen will bekomme ich nur einen Fehler.

Daraufhin habe ich die Fehlerbehebung gestartet und diese hat folgendes ausgespuckt.

2023-01-30 16_31_37-windows-netzwerkdiagnose
aqui
aqui 30.01.2023, aktualisiert am 17.07.2023 um 12:49:10 Uhr
Goto Top
Auf deinem Rechner ist ein DNS Proxy in den Netzwerk Einstellugen konfiguriert der aber (scheinbar) nicht existiert. Dann geht der Internet Zugang zumindestens von diesem Rechner natürlich in die Hose.
Entferne das Proxy Setup oder nimm einen "normalen" Rechner ohne Proxy Einstellung zum Checken der Router Verbindung.
KrustyTSC
KrustyTSC 30.01.2023 um 19:04:33 Uhr
Goto Top
Das hatte ich auch schon versucht ebenso auf meinem iPhone. Nichts geht.
aqui
aqui 30.01.2023 um 20:54:29 Uhr
Goto Top
Du kannst die Erreichbarkeit ja auch ohne PC auf dem CLI testen:
ping 8.8.8.8 source vlan 1
oder mit DNS
ping www.heise.de source vlan 1
KrustyTSC
KrustyTSC 31.01.2023 um 07:47:45 Uhr
Goto Top
Also der Ping von vlan1 auf die 8.8.8.8 funktioniert jedoch nicht mit www.heise.de aus vlan1.
aqui
aqui 31.01.2023 aktualisiert um 10:01:25 Uhr
Goto Top
Da du ja ein ppp ipcp dns request auf dem Dialer konfiguriert hast sollte der Router normalerweise den DNS Server des Providers dynamisch per PPPoE lernen! (Was er sicher auch tut!)
Was sagt dir ein show hosts??
Der Output sollte dir dann die gelernten oder konfigurierten DNS Server anzeigen:
Cisco_Router>sh hosts
Default domain is krusty.home.arpa
=> Name servers are: 217.237.150.205, 217.237.149.142, 2003:180:2:3000::53, 2003:180:2:4000::53
NAME                   TTL  CLASS   TYPE      DATA/ADDRESS
----------------------------------------------------------
ntp1.t-online.de       6896   IN      A       194.25.134.196 
Allerdings hast du selber in deiner o.a. Konfiguration dem Cisco Router mit no ip domain lookup ein DNS Lookup ja strikt verboten!
Was soll der arme Junge also machen wenn du ihm sagst das er keinerlei DNS Lookups ausführen darf?! Er kann sich ja nicht eigenhändig über deine Befehle hinwegsetzen, dann hätte er ja Intelligenz!! Er führt einfach nur brav aus was DU ihm sagst. 😉
Seine eigene Konfig sollte man aber schon kennen, oder?!
KrustyTSC
KrustyTSC 31.01.2023 um 12:33:10 Uhr
Goto Top
Habe den Eintrag für den DNS Lookup eingefügt und nun geht alles. Danke für eure Hilfe.
aqui
aqui 03.03.2023 um 12:50:22 Uhr
Goto Top
Bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!