Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Die Router Hardware

Der Cisco 886va(w) und auch sein Gigabit Pendant 896 oder die derzeit aktuellen Cisco C926-4P oder Cisco_1112-8P, Cisco 1116-4P sind sog. "Multi Service" ISR Router mit einem integrierten Multimode xDSL Hybrid Modem für VDSL2 und ADSL2/2+ (Annex B+J (ADSL2+ over ISDN)) sowie SDSL mit ITU G.993.2 (VDSL2) Super Vectoring, Profil 35b.
Anwender ohne xDSL Anschluss z.B. mit einem Kabel TV Modem Anschluss oder FTTH, wählen 880, 890, 900 oder 1100er Modelle mit Breitband WAN Port. Der WAN/Internet Port dieser Modelle ist ein reiner Ethernet Breitband (Ethernet) Port ohne ein integriertes Modem. Dieser kann dann direkt zum Anschluss an vorhandene Kabel TV Modems oder FTTH / FTTB (Fiber to the Home/Building, Glasfaser) Konverter genutzt werden.
Alle Modelle gibt es zusätzlich in einer Variante mit integriertem WLAN und/oder bei neueren Modellen auch mit 4G/5G Mobilfunk Modem sowie auch VoIP Anschlüssen.
Eine Übersicht der 880er Modelle sowie die Datenblätter der 890er Modelle und der aktuellen ISR 900er sowie 1100er Modelle findet man auf der Cisco Webseite.
ISR Router besitzen durchgängig mindestens 4 integrierte Ethernet RJ-45 LAN Ports die VLAN fähig sind. Die 890er Modelle haben durchgängig 8 LAN Ports ebenfalls voll VLAN fähig und flexibel auch für weitere WAN Anbindungen nutzbar. (Multi WAN-Port Feature).
Cisco 880er Modelle supporten bis zu 20 VPN Verbindungen gleichzeitig (890 supportet 50 Tunnel, 926 und 1112 bis zu 200 VPN Tunnel) und eignen sich damit für anspruchsvolle KMU Firmennetze, Telearbeiter, einer LAN zu LAN Firmenvernetzung auf ADSL/SDSL oder VDSL Basis oder dem eigenen privaten Heimnetzwerk.
ADSL/VDSL fähige Modelle haben allesamt ein Multimode Hybridmodem an Bord. Sie eignen sich insbesondere für solche xDSL Installationen bei denen zukünftiger Bandbreitenbedarf eine spätere Migration auf einen VDSL Anschluss erfordert. Dies ist dann sehr einfach mit einer simplen Konfig Änderung möglich, ohne neue Router Hardware beschaffen zu müssen. Das integrierte Modem ist zusätzlich SDSL fähig für Business Anschlüsse.
Mittlerweile bekommt man die Router auch recht preiswert auf Auktionsplattformen wie z.B. eBay usw. Neue Modelle sogar beim Discounter.

Die hier vorgestellte universelle Grundkonfiguration des Routers ist für beide vorgestellten xDSL Anbindungen (ADSL und VDSL) gleich. Sie unterscheidet sich lediglich in der Konfiguration der DSL bzw. VDSL Modemeinstellung die in separaten Kapiteln unten vorgestellt wird. Die Verbindung zum xDSL Anschluß (Telefondose TAE-F) erfolgt über einen handelsüblichen RJ-11 Port mit Mittelpin Belegung. Sofern der xDSL Anschluss also noch mit TAE-F Dose ausgerüstet ist, dann mit einem handelsüblichen TAE-F auf RJ-11 Standard Kabel.

Als Beispiel dient hier eine Standardkonfiguration mit 2 angeschlossenen LAN Segmenten z.B. ein lokales Firmennetz und ein Gastnetz, aktivem DHCP und statischen DHCP Reservierungen z.B. für einen Server, NAS o.ä. und einer optionalen VPN Konfiguration mit IPsec oder L2TP VPN Protokoll.
Die Cisco ISR Router sind aktive VPN Router und supporten damit die remote VPN Einwahl für Home Office und mobile Mitarbeiter zum Datenaustausch oder die sichere Fernwartung. Alles mit den üblichen onboard VPN Clients (L2TP) auf allen Endgeräten ohne zusätzliche VPN Software.
VPNs auf L2TP Protokoll Basis nutzen die jeweiligen onboard VPN Clients in jedem Betriebssystem und Smartphone und kommen ohne zusätzliche VPN Client Software aus.

Entfernte VPN Standorte bei Site-to-Site VPNs müssen dabei nicht zwingend mit Cisco Hardware ausgestattet sein. IPsec VPN Verbindungen sind problemlos zwischen allen VPN Routern/Firewalls die IPsec entweder mit IKEv1 oder IKEv2 beherrschen möglich.
Wichtig ist hierbei, das die eingesetzten Geräte (z.B. FritzBox, Lancom, NetGear, pfSense/OPNsense, Mikrotik, Microsoft, Linux, Apple Mac, StrongSwan usw.) der Gegenstelle diese VPN Protokolle ebenfalls beherrschen, was bei IPsec so gut wie immer der Fall ist.
Die weiterführenden Links am Ende weisen auf entsprechende VPN Tutorials hin die gemischte IPsec Standort und Client VPN Lösungen mit entsprechenden Beispielkonfigurationen beschreiben.
Für das Router Modell mit integriertem WLAN Accesspoint findet sich eine entsprechende WLAN Konfig im Abschnitt Wireless. Die Konfiguration ist zu denen dedizierter Cisco Accesspoints identisch.

Die initiale Konfiguration des Cisco Routers sollte immer über den seriellen Konsolen Port (Console) und dem mitgeliefertem seriellen, blauen Konsolen RS-232 Kabel mit RJ-45 Stecker und einem klassischen USB-Serial Adapter erfolgen. Alternative Terminalkabel haben den Adapter bereits im Kabel integriert.
Bei neueren Router Modellen ist die Konsole zusätzlich als USB Port verfügbar. Hier reicht ein normales Micro USB Kabel.

Als Terminal Programme nutzt man die bekannten Windows Klassiker PuTTY oder TeraTerm mit den Parametern 9600 Baud, N, 8, 1 (Keine Parity, 8 Bit, ein Stopbit) und schaltet alle Arten von Flow Control (Hardware, Software) AUS in den seriellen Port Settings der Terminalprogramme.
Bei den Terminalprogrammen ggf. die COM Ports durchprobieren (Windows) da sie nicht überall gleich sind.
Weiter hilft hier wie immer ein Blick in den Windows Geräte-Manager unter Serielle und LPT Ports.
Apple Mac Benutzer nehmen hier ZTerm (Shareware), ZOC oder das bordeigene screen Kommando und Linuxer haben mit minicom immer ein serielles Terminal gleich mit an Bord.
Wer keinen seriellen COM Port (DB-9 Stecker) mehr hat am Rechner, nutzt einen preiswerten Seriell-USB Adapter den es für wenig Geld in jedem PC Shop oder einschlägigem Versandhandel (Reichelt, Amazon usw.) gibt. Eine Auswahl findet man HIER.

Wer nicht ganz so sattelfest mit den Cisco IOS Kommandos ist findet HIER einen guten grundlegenden Überblick der das nötige KnowHow für das Kommando Interface gibt. Bei Konfig Postings hier im Forum sollte man auf die Anonymisierung der Kennwörter achten bzw. auf das Vorhandensein des Kommandos service password-encryption.
Los gehts...

Allgemeine Router Grundkonfiguration mit ADSL Anschluss

Für die erhöhte Passwortsicherheit sollte man ab Firmware Version 15.3.(3) unbedingt den Typ 9 der Passwortverschlüsselung verwenden. Das dazu benötigte Kommando zum Erstellen eines User-accounts mit Typ 9 Verschlüsselung und Level 15 Zugriff lautet:
username <user> privilege 15 algorithm-type scrypt secret <password>
und ist in den hier aufgeführten Konfigurationen entsprechend berücksichtigt.

Die folgende, immer gleiche, Standard Basiskonfiguration des Cisco Routers ist in blau gehalten. Die zusätzlichen oder zu ändernden xDSL Modem spezifischen Abschnitte die für eine ADSL, SDSL Konfiguration erforderlich sind, sind jeweils rot eingefärbt. (VDSL hat ein eigenes Kapitel)
Optionale Kommandos die nicht zwingend für den Betrieb bzw. Konfig erforderlich sind, sind immer in (...) Klammern dargestellt (Klammern bei Bedarf entfernen!) !
!
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco_Router
!
security authentication failure rate 3 log
security passwords min-length 7 <-- Bei mehr (oder weniger) Passwort Stellen anpassen!
logging buffered
enable algorithm-type scrypt secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
aaa local authentication attempts max-fail 3
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp relay information trust all
ip dhcp excluded-address 192.168.100.1 192.168.100.149 <-- Schliesst diesen Adressbereich vom DHCP Pool AUS
ip dhcp excluded-address 192.168.100.200 192.168.100.254 (LAN DHCP Pool reicht somit von .150 bis .199 )
!
ip dhcp excluded-address 172.16.100.1 172.16.100.149 <-- Adress Pool für das Gastnetz (.150 bis .199)
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254 <-- Weitere DNS Server werden durch Leerzeichen getrennt
(option 42 ip 130.149.7.7) <-- Optional: NTP Zeitserver IP, (Zeile kann entfallen wer NTP nicht nutzt, bzw. bei Redundanz weitere angeben)
domain-name meinedomain.home.arpa
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
domain-name gast.meinedomain.home.arpa
!
ip dhcp pool WinServer <-- Beispiel f. Zuweisung von fester IP auf MAC Adresse (IP zu Mac Binding)
host 192.168.100.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 <-- Hardware Mac Adresse des Clients (vorn ID "01" beachten !)
(hardware-address b00c.6c01.c4d2) <-- Bei Client Mac Adressen die keinen HW_Identifier senden (Linux !)
(client-name winserver) <-- Übergibt Hostnamen an den/die Clients (Optional)
!
ip domain name meinedomain.home.arpa
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip <-- Firewall Application Gateway f. VoIP
ip inspect name myfw rtsp <-- Firewall Application Gateway f. VoIP
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!
⚠️ (Alle o.a. "ip inspect..." Kommandos entfallen vollständig wenn die u.a moderne ZFW_Firewall_Konfig umgesetzt wird statt der hier klassischen CBAC Firewall mit ip inspect ! (Bei neueren ISR Modellen erfordert die Firewall Funktion ggf. eine Lizenz))
!
username admin privilege 15 algorithm-type scrypt secret Geheim123
!
controller VDSL 0
(firmware filename flash:VA_B_38V_d24m.bin) --> Optional bei Verwendung aktueller Vectoring Modem Firmware !
!
lldp run
no cdp run
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3 <-- LAN Port 4, hier Gastnetz anschliessen. (Kann entfallen wenn kein Gastnetz gewünscht.)
description Gastnetz
switchport access vlan 2 <-- (Gastnetz Interface VLAN 2)
no ip address
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448 <-- (Immer erforderlich bei xDSL Anschlüssen mit PPPoE! Sonst weglassen)
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip access-group GASTNETZ in <-- (Optional: Wenn keine Gäste Einschränkungen gewollt sind, dann weglassen !)
ip nat inside
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
ip access-group 111 in <-- Firewall CBAC Inbound Access Liste. (⚠️ Diese Zeile entfällt bei ZFW Firewall !)
no ip redirects
no ip unreachables
no ip proxy-arp
mtu 1488
ip nat outside
ip inspect myfw out <-- Firewall aktiv auf dem Internet Port. (⚠️ Diese Zeile entfällt bei ZFW Firewall !)
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
(dialer down-with-vInterface) <-- Nur relevant bei automatischer Dialer Steuerung, ansonsten weglassen
ppp authentication pap callin
ppp pap sent-username 001234567890123456780001@provider.de password 1234567
(Achtung: T-Business SDSL verwendet hier = t-online-com/<nutzer>@t-online-com.de )
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default <-- ⚠️ Dafür kann die statische Default Route entfallen !
!
ip dns server <-- Aktiviert den DNS Caching Server
!
ip nat inside source list 101 interface Dialer0 overload <-- NAT auf dem Dialer Interface für ACL 101 Traffic
!
ip access-list extended GASTNETZ <-- Diese Beispiel Gast ACL erlaubt nur DNS und Surfen (ggf. um weitere Dienste erweitern !)
3 remark Gastnetz Zugang
10 permit udp any eq bootpc any eq bootps
15 deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
20 permit tcp 172.16.100.0 0.0.0.255 any eq domain
25 permit udp 172.16.100.0 0.0.0.255 any eq domain
30 permit tcp 172.16.100.0 0.0.0.255 any eq www
35 permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
ip access-list extended CLI-ACCESS <-- ACL steuert Konfigurations Zugriffsrecht a. d. Router.
3 remark Konfig Zugang ACL
10 permit tcp 192.168.100.0 0.0.0.255 any eq 22 <-- Erlaubt SSH Zugriff
15 permit udp 192.168.100.0 0.0.0.255 any eq snmp 10161 <-- Erlaubt SNMP und Secure SNMP Zugriff
(20 deny ip any any log) <-- Optional! Nur wer verbotene SSH Login Versuche mitloggen will!
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any <-- ACL steuert den Aufbau der PPPoE Verbindung.
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
⚠️ Die folgende ACL 111 entfällt vollständig wenn die u.a modernere ZFW_Firewall_Konfig umgesetzt wird statt der CBAC Variante mit den ip inspect Kommandos !)
!
access-list 111 permit icmp any any administratively-prohibited <-- Lässt wichtige ICMP Steuerpakete durch die Firewall passieren.
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any <-- VoIP (SIP) Port 5060. (Entfällt ohne VoIP Anlage, Telefone etc.) im lokalen LAN
(access-list 111 permit udp any eq bootps any) <-- Nur wenn Internet Port per DHCP IP Addresse bezieht ! Sonst weglassen !
access-list 111 deny ip any any (log) <-- (*)"Log" Siehe u.a. Anmerkung: Parameter nur verwenden wenn man temporär Angriffe aus dem Internet protokollieren möchte. (ACL Logging kostet Performance !)
!
!
dialer-list 1 protocol ip list 101 <-- Startet die PPPoE Verbindung für ACL 101 definierten Traffic
!
ntp server ntps1-0.cs.tu-berlin.de source Dialer0 (*)
ntp server ntp0.fau.de source Dialer0
ntp update-calendar <-- Setzt auch die HW Uhr auf NTP Zeit
!
ip ssh version 2
ip ssh time-out 30
ip ssh authentication-retries 3
!
banner exec #
Sie sind verbunden mit VTY $(line) auf dem Router $(hostname)
#
!
line con 0
line aux 0
line vty 0 4
access-class CLI-ACCESS in <-- Telnet / SSH Zugriff nur aus lokalem LAN möglich (ACL "CLI-ACCESS")
login local
transport input telnet ssh <-- Telnet / SSH Zugriff. Ist zur Sicherheit nur SSH gewünscht "telnet" hier weglassen.
!
end
(*) ntps1-0.cs.tu-berlin.de (130.149.7.7) ist ein öffentlicher NTP Zeitserver der TU Berlin. Siehe NTP Zeitserver Liste.
(*) Der Parameter "log" am Ende des letzten Filter Statements der ACL 111 deny ip any any zeigt alle unerlaubten externen Zugriffe im Router Log an und damit diejenigen weltweit, die versuchen den Router anzugreifen.
Es ist sehr interessant (und auch erhellend) das hohe Ausmaß dieser Angriffsversuche einmal live zu sehen, wenn man show logg eingibt oder sich die Syslog Messages des Routers schicken_lässt.
Wen es "nervt" und das Log zu groß wird (denn es gibt sehr sehr viele dieser Angriffe im Sekundentakt !) und wer Wichtigeres im Logging sehen möchte, kann das "log" Statement natürlich auch weglassen aus der ACL Definition.
Letztlich macht das ACL Logging den Router langsamer (Performance !), deshalb ist es besser auf lange Sicht die Logging Statements in den ACLs immer zu deaktivieren!

Eine Anmerkung zur DNS Server Konfiguration des Routers:
Die o.a. Grundkonfiguration geht davon aus das PPPoE oder DHCP am WAN Port genutzt wird. Damit lernt der Cisco Router die DNS Server IP Adressen immer automatisch. Viele Admins nutzen aber auch eine statische IP Adressierung, was viele Tutorialfeedbacks hier belegen.
Im Falle einer statischer WAN IP Adressierung muss man natürlich dann auch die DNS Server IP statisch mit dem Kommando:
ip dns-name server <ip_addresse_dns> angeben! Bei dynamischen Zugängen mit PPPoE, DHCP usw. entfällt diese Angabe.

Jetzt ist der richtige Zeitpunkt für ein write mem Befehl um diese Konfig im Router Flash permanent zu sichern. Ohne Sicherung ins Flash wäre die Konfig nach einem Reboot verloren !

Infos zum WAN/Internet Interface:
Der Großteil aller Provider wie auch die Telekom (D) hat seit 2019 ihre Anschlüsse auf BNG umgestellt! Dies erfordert bei PPPoE ein VLAN 7 Tagging auf dem WAN/Internet Interface.
Daher muss die Konfiguration des Internet Interfaces bei einem BNG Anschluss entsprechend angepasst werden, so das der Router ein VLAN 7 Tag mitschickt:

interface ATM0
description DTAG-BNG ADSL2+
no ip address
no atm ilmi-keepalive
!
interface ATM0.7 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!

Das zusätzliche VLAN Tagging mit 4 Bytes Overhead hat auch Einfluss auf die MTU Werte bzw. das MSS Setting. Dieses muss entsprechend angepasst werden mit 1488 (MTU, Dialer) und 1448 (MSS f. LAN, VPN). Siehe zum Thema MTU auch hier.
Und noch ein weiterer Hinweis....
Man sollte sicherstellen das keines der Interfaces im sog. shutdown Status ist !! Shutdown bedeutet das das Interface deaktiviert ist.
Dies kann mit dem Kommando show ip interface brief geprüft werden.
Auch wenn man sich die aktuelle Konfig mit show run ansieht, dann sollte keines der Interfaces im "shutdown" Modus sein. Ausgenommen natürlich NICHT verwendete Interfaces wie das ATM Interface wenn man VDSL nutzt !
Wenn dennoch eins der aktiven Interfaces ein shutdown anzeigt, bekommt man das mit:
conf t
interface xyz
no shutdown
<ctrl z>
wr
...schnell wieder gefixt.
Man kann später, wenn alles rennt, alle nicht benutzten Interfaces natürlich in den Shutdown versetzen. Beim Aufsetzen der Konfig und Testen kann das aber fatale Fehler ergeben so das man darauf erstmal während der Konfiguration besser verzichtet !

VDSL Konfiguration

VDSL Pakete müssen in Richtung Provider, wie oben bei ADSL+ auch, mit einem VLAN Tag (802.1q) versehen werden ! Bei der Telekom (D) ist das die VLAN ID 7. (ggf. anders bei alternativen Providern)
Das VDSL Modem ist logisch an die interne Router Ethernet Schnittstelle Ethernet0 gebunden und muss damit eine tagged VLAN Konfiguration bekommen.
Dies bewirkt ein sog. Subinterface Ethernet 0.7 in der Konfig auf dem eigentlichen physischen Interface Ethernet0.
Intern ist im Cisco das integrierte xDSL Hybridmodem im ADSL2+ Modus auf das ATM0 Interface des Routers gemappt und bei VDSL Betrieb ist es das Ethernet0 Interface.
Wird der Router jetzt im VDSL Mode betrieben, kann damit das ATM0 Interface (ADSL) mit "Shutdown" per Konfig deaktiviert werden und das ATM Subinterface mit no interface ATM0.1 point-to-point entfernt werden !
Entsprechendes gilt im ADSL2+ Mode für das Ethernet0 Interface was VDSL bedient. Das steht dann analog im "Shutdown" Mode in der Konfig wenn man rein nur ADSL macht.
Da ADSL mehr und mehr ausstirbt ist also primär die VDSL Konfig hier relevant. Die im Folgenden rot markierten Kommandos müssen bei Einsatz eines VDSL Anschlusses hinzugefügt werden. Das ATM Interface (ADSL) wird dann abgeschaltet (shutdown).
!
-- Standard Grundkonfiguration wie oben --
!
controller VDSL 0
firmware filename flash:VA_B_38V_d24m.bin --> Optional ! Supportet aber Vectoring im VDSL !
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
shutdown
pvc 1/32
pppoe-client dial-pool-number 1
!
-- Restliche Konfiguration nach dem Interface ATM0 von der Standart Grundkonfiguration oben übernehmen. --
(Ein show ip interface brief zeigt die korrekte Internetverbindung zum jeweiligen Provider an.)

Aufpassen!... VDSL VLAN Tags bei alternativen VDSL Providern

Andere VDSL Provider nutzen statt der 7 bei der Telekom oft andere VLAN ID Tags ! Bei Vodafone z.B. ist das die VLAN ID 132.
Die korrekte Port Konfiguration für Vodafone VDSL (VLAN Tag 132) sieht dann z.B. entsprechend so aus:
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.132
description VDSL Internet Verbindung - Vodafone
encapsulation dot1Q 132
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1

Vodafone Besonderheiten

Genau hinsehen und gilt ggf. analog für andere Wiederverkäufer ohne Netz:
Vodafone ist auch ein Wiederverkäufer von Telekom VDSL Leitungen. In diesem Fall gilt dann weiterhin das VLAN 7 Tag !
Vodafone Usernamen sehen auf solchen Links dann so aus: vodafone-vdsl.komplett/ad123456789
Siehe dazu auch hier.
Bei M-Net in München ist die VLAN ID z.B. 40.
Der Provider Netcom Kassel verwendet ebenfalls das VLAN 132 für die PPPoE Einwahl wie Vodafone bei eigenen Leitungen.
Es kann also nicht schaden sich vorher über die VLAN ID des Providers zu informieren. In der Regel findet man alle diese Angaben auf deren Support Webseite.

Noch ein warnendes Wort zu Vodafone Anschlüssen !
Vodafone nutzt statt PAP eine CHAP Authentisierung auf dem PPPoE Interface (Dialer 0) ! Die Dialer 0 Konfiguration muss deshalb bei Vodafone Anschlüssen um die folgenden 3 Kommandos (fett) erweitert werden damit die PPPoE Einwahl auch bei Vodafone fehlerfrei klappt:
(PPP Standardkommandos der Übersicht halber weggelassen) :
!
interface Dialer0
description xDSL Einwahl Interface Vodafone
ip address negotiated
...
ppp authentication chap pap callin
ppp chap hostname vodafone-vdsl.komplett/vb123543
ppp chap password Geheim123
ppp pap sent-username vodafone-vdsl.komplett/vb123543 password Geheim123
...
!

Die Firewall (CBAC) richtig einstellen

⚠️ Tip zur CBAC Accessliste 111, um hier Problemen und Missverständnissen vorzubeugen!:
Die Internet Port Access Liste 111 oben in der Konfig funktioniert NUR im Zusammenhang mit der konfigurierten CBAC Router Firewall, also dem Aktivieren der FW mit dem Kommando "ip inspect myfw out" auf dem Dialer Interface !!
Sie darf nicht im Mischbetrieb mit der unten beschriebenen, moderneren ZoneBased Firewall verwendet werden. Auch nicht einzelne Zeilen!
Man muss sich also bei Konfiguration der Firewall für ein Konzept entscheiden. Entweder CBAC oder ZFW !

Übernimmt man die o.a. Konfig gänzlich OHNE diese aktivierten Firewallfunktionen auf dem Dialer muss man die Access List 111 ganz weglassen oder reduziert sie aufs Blocken von Ping, Traceroute und Redirect mit:
access-list 111 deny icmp any any echo <-- Weglassen wer den Router aus dem Internet pingen möchte (Sicherheit !)
access-list 111 deny icmp any any traceroute
access-list 111 deny icmp any any redirect
access-list 111 permit ip any any
Der Betrieb des Routers am Internet ohne aktive Firewall ist aus naheliegenden Gründen natürlich nicht ideal.
Nur mit der aktivierten CBAC Firewall Funktion wird diese ACL 111 dynamisch, sessionbasiert bei outgoing Sessions geöffnet. Siehe auch:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
Ohne aktivierte Firewall Funktion passiert diese Firewall Öffnung der ACL 111 nicht und Antwortpakete aus dem Internet werden dann blockiert !!

Wer z.B. einen internen FTP oder Web Server im lokalen LAN vom Internet erreichen will beim Einsatz der CBAC Firewall muss den Zugriff mit einer ACL 111 Regel explizit erlauben. Für FTP und HTTP sind das z.B. die folgenden zusätzlichen Statements in der ACL 111:
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq http
Erst dann kann man intern, im lokalen LAN, liegende eigene FTP oder HTTP Server (Web Server, NextCloud etc.) erreichen ! Einen entsprechenden statischen Eintrag für das Port Forwarding natürlich vorausgesetzt.

WAN Interface mit DHCP (Kabel TV, Glasfaser etc.)

Kabel TV oder FTTH (Glasfaser Nutzer) arbeiten je nach Provider am WAN Port als DHCP Client. Bei Glasfaser aber auch teils PPPoE. Hier entfällt ggf. das PPPoE/Dialer Interface.
Entsprechend muss dann auch DHCP durch die Firewall erlaubt werden, ansonsten scheitert die IP Adressvergabe per DHCP am WAN/Internet Port !
access-list 111 permit udp any eq bootps any
Sorgt dann in der ACL 111 dafür das auch DHCP klappt. Eine entsprechende Ethernet Port Konfig sieht dann so aus: (Beispiel Internet auf Port FastEthernet 0):
!
interface FastEthernet0
description Internet (DHCP Adressvergabe !)
switchport access vlan 99
no ip address
!
interface vlan 99
description Internet Interface
ip address dhcp
ip access-group 111 in <-- Firewall CBAC Inbound Access Liste
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out <-- Firewall aktiv auf Port
Die entsprechende Einstellung bei Verwendung der ZFW Firewall wird im ZFW Kapitel weiter unten beschrieben.
Router Modelle mit SFP Port supporten auch GPON SFPs sofern der Provider dies zulässt.

VoIP mit "All IP" Anschlüssen (Annex J)

Von Cisco ist das entsprechende Modell C886VA und 890er Modell in einer Annex-J-Variante erhältlich C886VA-J-K9.
Besitzer der nicht J Version müssen aber keinerlei Sorge haben !
Die reguläre Annex-B-Variante Cisco C886VA-K9 ist auch voll am Annex-J-fähigen Anschluß funktionsfähig, mit geringfügig reduziertem Upstream. Ebenso die Annex A Variante.
Da die aktuellste xDSL-Modem Firmware Vectoring supportet sollte, wenn immer möglich, diese auch verwendet werden. Ältere Modem Firmware, speziell die im IOS Firmware Image embeddete Modem Firmware, quittiert dies durch den fehlenden Vectoring Support oft mit deutlich geringeren Connect Raten am DSLAM !
Die embeddete Modem Firmware z.B. der 15.4.3.M7 Version hat bessere Connect Raten als z.B. der Patch davor.
Gleiches gilt für den Cisco C896VA sowie das Cisco EHWIC-VA-DSL-B Modul (WIC) in den 1800er und 1900er Modellen.
Best Practice ist also immer die aktuelle Modem Firmware zu verwenden und separat vom Flash zu laden.
Die aktuelleste Modem Firmware (derzeit VA_B_38V_d24m.bin ) lädt man von der Cisco Support Seite und lädt sie über einen TFTP Server (z.B. HIER beschrieben mit dem Komando copy tftp flash: in den Flash Speicher des Routers.
Alternativ besteht die Möglichkeit es einfach per USB Stick über die im Router integrierte USB Buchse zu laden: Die Modem Firmware Datei für die 880er Modelle und die des EHWIC-VA-DSL-B Modul (WIC) (1800er und 1900er Router Modell) sind vollkommen identisch und passen in allen Modellen mit dieser (Broadcom) Modem Hardware.
Dann passt man die Konfig des VDSL Controllers entsprechend an um die Firmware zu laden:
!
controller VDSL 0
firmware filename flash:VA_B_38V_d24m.bin
!
Mit dem Kommando show controllers vdsl 0 überprüft man das korrekte Laden der FW: Modem Firmware Download über diesen Link.
Bitte zum Thema "richtige Modem Firmware" den Thread von @dog unten in den Weiterführenden Links lesen !
Die aktuelle Modem Firmware VA_A_39m_B_38u_24h.bin ist eine von der Telekom zertifizierte Firmware für VDSL Anschlüsse in D und sollte bevorzugt verwendet werden ! (Siehe Modem Firmware Release Notes).

Auch wenn der Router kein integriertes VoIP Telefonie Gateway hat (Cisco hat dafür andere Modelle) kann man ihn dennoch problemlos mit den üblichen VoIP Adaptern von Cisco, Grandstream, Gigaset GoBox-100 usw. betreiben.
Der Adapter wird einfach ins lokale LAN gehängt, die bestehenden analogen Telefone und DECT Telefone bzw. Fax dort angeschlossen und schon ist man mit den gewohnten Telefonen wieder per VoIP online und erreichbar.
Noch vorteilhafter ist natürlich eine kleine VoIP Telefon Anlage im lokalen LAN wie z.B. die Auerswald_C3000 oder C4000 die erheblich mehr VoIP Telefonkomfort inklusive Fax und Voice Mailboxen mit Mail Forward usw. und die Integration vorhandener analoger oder ISDN Telefone ermöglicht.
Oder last but not least man nimmt die all Cisco Lösung und richtet sich auch die VoIP Telefonie mit preiswerten Cisco Telefonen ein wie z.B.:HIER beschrieben.

IPv6 Protokoll (Dual Stack) aktivieren

So gut wie alle Internet Provider supporten heutzutage das IPv6 Protokoll in einem Dual Stack. Dual Stack bedeutet das klassisches IPv4 und IPv6 auf dem Router parallel koexistieren. Moderne Betriebssysteme bevorzugen allesamt den IPv6 Betrieb. Bei vielen Providern ist es sogar Standard da diese aus Mangel an IPv4 Adressen keinen IPv4 Support mehr zum Endkunden machen sondern nur noch IPv6 (DS-Lite mit CGN).
Insbesondere die Telekom forciert die IPv6 Nutzung in ihrem Netz, so das es Sinn macht für das "modernere" Internet Protokoll gerüstet zu sein.
IPv6 hat den Vorteil das es dort kein NAT (Network Adress Translation) mehr gibt, ferner besteht keine Adressknappheit mehr wie bei IPv4.
Damit entfallen dann alle Problematiken mit Port Forwarding und auch die, die man in CGN Netzen (Provider NAT) mit DS-lite usw. kennt. Jeder bekommt automatisch vom Provider sein eigenes bzw. mehrere öffentliche IPv6 Netzwerke zugeteilt. Dadurch ist mit IPv6 immer eine direkte Verbindung aus dem Internet möglich.
Umso mehr ist deshalb natürlich die Firewall Funktion für IPv6 gefordert !
Wo vorher ein Großteil der Netzwerk Sicherheit bequem auf die NAT Funktion abgewälzt wurde, entfällt das nun bei IPv6 komplett und die Firewall muss allein für die Zugangssicherheit des lokalen IPv6 Netzes herhalten. Sie ist also ein sehr wichtiger und zentraler Punkt der IPv6 Konfiguration bzw. Sicherheit !
Genau aus diesem Grund sollte man das moderne, Zonen basierte ZFW Firewall Konzept verwenden. Alles was dort für IPv4 eingestellt ist gilt automatisch immer auch für IPv6 !
Deshalb die gute Nachricht: An der Firewall muss also für IPv6 nichts mehr extra eingestellt werden !
Die folgenden IPv6 Kommandos werden einfach der bestehenden globalen oder Interface spezifischen Konfiguration des Dialer 0 (Internet) und VLAN1 (lokales LAN) Interfaces hinzugefügt.
Los gehts mit IPv6...

Zuerst wird global IPv6 Routing aktiviert auf dem Router und der lokale DHCPv6 Server aktiviert der die per Prefix Delegation vom Provider vergebenen IPv6 Adressen an die Endgeräte im lokalen LAN verteilt:
!
ipv6 unicast-routing
ipv6 flowset
ipv6 cef
ipv6 dhcp pool DHCPv6
(prefix-delegation pool v6pdpool) -->Optional !! Nur wer Prefixes an eigene v6 Router o. Firewall weiterreichen will. Sonst weglassen !!
import dns-server
domain-name meinedomain.home.arpa
!
Weiter geht es mit der Interface Konfiguration vom lokalen LAN und vom Internet Interface:
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
( Hier /64 Maske ggf. nach Provider Prefix Vorgabe anpassen.)
(ipv6 address FE80:BADE:AFFE:CAFE::1 link-local) --> Optional wer eigene v6 Link Local Adressen FE80:: vergeben möchte !
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Dialer0
description xDSL Einwahl Interface Internet
ipv6 address autoconfig default
ipv6 enable
no ipv6 redirects
no ipv6 unreachables
ipv6 nd autoconfig default-route
ipv6 nd ra suppress
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix (rapid-commit)
Sollte der Provider mit DHCPv6 keine two-message exchange Option supporten, dann lässt man den Parameter "rapid-commit" weg.
!

⚠️ Je nachdem welches Firewall Konzept man benutzt muss man am WAN Port eingehend UDP 546 erlauben (DHCPv6 Protokoll). DHCPv6 muss die Firewall eingehend passieren können damit die IPv6 Prefix Delegation sauber funktioniert.
Das Kapitel "Zone Based Firewall" weiter unten im Tutorial beschreibt das richtige v6 Setup dafür !

IPv6 Prefixes im lokalen LAN weiterverteilen

Das zusätzliche Kommando ist optional und nur dann erforderlich, wenn Prefixes im lokalen LAN per DHCPv6 weitergreicht werden sollen an weitere IPv6 Router. Der Beispiel Prefix hier ist nur ein Beispiel und muss auf den eigenen angepasst werden!
ipv6 local pool v6pdpool 2003:BB:123:7B3A::/56 60
Dieses Kommando vergibt einen /60er Prefix aus dem vom Provider erhaltenen /56er Prefix per eigener Delegation weiter.

Damit ist die IPv6 Konfig abgeschlossen. Ggf. muss man das Dialer Interface einmal auf shut und danach wieder no shut setzen um eine neue PPPoE Negotiation und damit die Vergabe der IPv6 Adresse auszulösen. Ein einfacher Reboot des Router nach Sicherung der Konfig mit write tut es auch.

Mit show ipv6 interface kann man dann überprüfen ob es geklappt hat und der Router eine IPv6 Adresse bekommen hat:
cisco_router#show ipv6 interface
Dialer0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::CAFE:BADE:AFFE:123
No Virtual link-local address(es):
Description: xDSL Einwahl Interface Internet
Stateless address autoconfig enabled
Global unicast address(es):
2010:34:17BDF:2C5B:EAD6:F7FD:EF28:1F70, subnet is 2010:34:17BDF:2C5B::/64 [EUI/CAL/PRE]
valid lifetime 14259 preferred lifetime 1659
Joined group address(es):
Die korrekte v6 Prefix Delegation überprüft man mit show ipv6 dhcp int dialer0

Entsprechend klappt dann auch ein IPv6 Ping vom Router selber:
cisco_router#ping ipv6 www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms
Und dann natürlich auch vom lokalen Netzwerk auf einen IPv6 Server im Internet:
Wer möchte kann natürlich auch noch das VLAN 2 (Gastnetz) mit IPv6 ausstatten:
!
interface Vlan2
description Gastnetz (FastEthernet3)
ipv6 address provider-v6-prefix ::2:0:0:0:1/64
(ipv6 address FE80::2) link-local --> Optional wenn eigene Link Local Adresse. Sonst weglassen.
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!

WLAN Konfiguration bei integriertem AP

Der Cisco 886va ist auch in einer WLAN Version erhältlich als Cisco886vaw. Unterschied zum 886va ist lediglich nur ein integrierter 2,4Ghz WLAN Access Point wie man es von gewöhnlichen Consumer xDSL Routern auch kennt. Die 890er Modelle haben einen Dual Radio AP mit 2,4 und 5 Ghz. Die o.a. Grundkonfiguration bleibt immer identisch bzw. gilt auch für andere Router Modelle.
Der integrierte WLAN Accesspoint ist dabei, WLAN-Router üblich, mit einer Bridge an ein virtuelles Gigabit Interface angehängt, was man je nach Bedarf mit einer Single SSID oder mit Multi SSIDs in ein oder mehrere LAN oder VLAN Segmente per Konfig hängen kann.
Damit ist auch dieser Router in der Lage mit einem einzigen physischen WLAN Accesspoint mehrere unabhängige virtuelle WLANs aufzuspannen die man in unterschiedliche Netz Segmente legen kann. (z.B. Gast- und Privat oder Firmen WLAN)
Somit sind kostengünstig 2 und mehrere WLANs mit einer Hardware zu realisieren z.B. in einem Firmenumfeld mit einem gesicherten Mitarbeiter WLAN und einem abgeschotteten Gäste WLAN mit Hotspot.
Der in_diesem_Tutorial beschrieben ist und entspricht damit der klassischen Standard Cisco IOS Konfiguration auf allen High End Accesspoints der Aironet Serie die es mittlerweile ebenfalls recht preiswert über Auktionsplattformen gibt.
Natürlich hat der AP auch ein entsprechendes grafisches Web Interface welches die WLAN Konfiguration erheblich erleichtert für Admins die nicht IOS affin sind. Allerdings ist dieses WebGUI erst erreichbar mit einer entsprechenden IP Konfiguration des WLAN AccessPoint Interfaces.
Als ersten Schritt gibt man dem WLAN AP Interface eine IP. Da diese in der Regel im lokalen LAN (VLAN1) liegt kann dies unnumbered erfolgen.
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface wlan-ap0
description Management Interface des internen WLAN APs
ip unnumbered Vlan1
!
Alternativ mit einer statischen IP außerhalb des DHCP Adresspools
interface wlan-ap0
description Management Interface des internen WLAN APs
ip address 192.168.100.253 255.255.255.0
!
Jetzt kann man mit dem Kommando service-module wlan-ap 0 session sich auf den internen Accesspoint verbinden.
Da das Kommando recht kryptisch ist und sich das keiner lange merken kann, kann man einen Kommando Alias dafür anlegen mit
alias exec zumwlanap service-module wlan-ap 0 session
Nun reicht die Eingabe des Kommandos zumwlanap um auf das WLAN AP Kommandointerface zu gelangen: Damit ist man nun auf dem Konfigurationsinterface des internen Accesspoints !
Der Default Username ist cisco mit dem Default Password cisco bzw. Cisco (großes "C")!
⚠️ Mit der Eingabe von ctrl ^ und x (oder ctrl, shift 6 und x) und dann der Eingabe von disconnect
kommt man immer wieder auf den Router Kommando Prompt zurück.
Mit der nun folgenden IP Adressierung des internen APs ist diese Prozedur aber dann zukünftig nicht mehr nötig. Dann ist der interne Accesspoint bequem aus dem lokalen LAN direkt zu erreichen per Telnet (PuTTY oder TeraTerm) oder per Web Browser.

Eine funktionsfähige einfache WLAN Konfiguration mit WPA-2 Sicherung und WLAN SSID (Name) Bitschleuder lautet folgendermaßen:
Current configuration : 3242 bytes
!
service timestamps debug datetime localtime msec
service timestamps log datetime localtime
!
hostname ap
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name soho.intern
!
dot11 syslog
!
dot11 ssid Bitschleuder
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 Geheim123
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
station-role root
no dot11 extension aironet
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
description the embedded AP GigabitEthernet 0 is an internal interface connecting AP with the host router
no ip address
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.100.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
bridge 1 route ip
!
line con 0
privilege level 15
login local
line vty 0 4
login local
!
end

⚠️ Die interne IP Adresse des Accesspoints 192.168.100.1 muss immer außerhalb des DHCP Adresspools liegen damit es nicht zu IP Adresskonflikten kommt !
Im hiesigen Beispiel ist der DHCP Pool mit den IP Adressen von .100.150 bis .100.170 definiert so das wir mit der .100.1 im sicheren IP Bereich liegen !
Die Parameter dot11 ssid Cisco-887-WLAN und auch wpa-psk ascii 0 Geheim123 bestimmen den Namen des WLANs und das Zugangspasswort. Das muss entsprechend auf die eigenen Einstellungen angepasst werden !
Startet man nun einen Webbrowser im lokalen LAN und gibt dort als Ziel ein http://192.168.100.1 landet man direkt auf dem Web Interface des internen Accesspoints und kann diesen nun auch bequem per Web konfigurieren und diese Konfig Anpassungen vornehmen. (Siehe Screenshot)
Der direkte CLI Zugriff auf den AP mit seiner IP ist ebenfalls mit Telnet oder SSH so möglich.

WLANs mit MSSID, Radius etc.

Weitere, detailierte WLAN Konfigurationen wie MSSID, 802.1x Radius, dyn. VLANs usw. erläutert das hiesige Cisco Accesspoint Tutorial.

VLAN Segmentierung konfigurieren

Um die Sicherheit zu erhöhen, ist es immer vorteilhafter das eigene Netzwerk in mehrere Segmente zu teilen.
Zum Beispiel 2 getrennte Firmennetze an einem Router zu betreiben oder das Heimnetz in Gastnetz und Hausautomation zu segmentieren.
Der Cisco Router hat vollen 802.1q VLAN Support mit an Bord so das diese VLAN Segmentierung einfach umzusetzen ist.
An dieser Stelle sei auf das hiesige_VLAN-Tutorial verwiesen, welches zusätzlich VLAN Konfigurationen für Switches im Detail behandelt.
Als Konfig Beispiel dient hier ein einfaches Hausnetz mit Segmentierung in privates LAN, Hausautomation und ein Gäste Netz. Letzteres wurde oben schon in der Grundkonfiguration als VLAN 2 realisiert, ist der Vollständigkeit halber hier nochmal aufgeführt.
So sähe dieses einfache Design aus:
Als ersten Konfigurations Schritt legt man die beiden zusätzlichen VLANs an:
vlan 2
name Gastnetz
vlan 3
name Hausautomation
Damit erzeugt man automatisch auch 2 neue (virtuelle) Router IP Interfaces denen man entsprechende IP Adressen zuordnet:
interface Vlan20
description Gastnetz
ip address 172.16.100.254 255.255.255.0
ip access-group gastnetz in <-- (Optional: Wenn keine Gäste Einschränkungen gewollt sind, dann weglassen !)
ip nat inside
!
interface Vlan10
description Hausautomation
ip address 10.3.3.254 255.255.255.0
ip access-group hausautomation in <-- (Optional: Wenn keine Zugangs Beschränkung gewollt ist, dann weglassen !)
(ip nat inside) <-- (Optional: Wenn kein Internet Zugang gewollt ist, dann weglassen !)
!
Eine wichtige Rolle spielen hier die Access Listen sofern man den Zugang zu den VLAN Netzwerken restriktiv handhaben möchte. Die folgende Liste am Hausautomations Netzwerk lässt z.B. einzig nur die Kommunikation mit dem privaten lokalen LAN zu:
!
ip access-list extended hausautomation
permit udp any any eq bootpc
permit ip 10.3.3.0 0.0.0.255 192.168.100.0 0.0.0.255
deny ip any any
!
Alle Optionen der VLAN Zugangssicherung hier zu diskutieren sprengt den Rahmen dieses Router Tutorials, denn es ist auch ein Konfigurations Unterschied ob man die Access Listen basierte Sicherung benutzt oder mit der unten im Tutorial besprochenen ZFW Zonen Firewall arbeitet. In Verbindu g mit einem ZFW Firewall Setup wäre separate IP Access Listen natürlich überflüssig.

Zurück zur VLAN Konfig... !:
Die 3 VLAN Netze 1 (Privat), 2 (Gäste) und 3 (Hausautomation) sind nun auf dem Router eingerichtet und nun gilt es diese Netze auf einen VLAN Switch zu bringen. Das passiert wie bei VLANs generell üblich mittels eines VLAN Tagged Uplinks, den man auf das Router Interface Ethernet 3 legt.
!
interface FastEthernet3
description Tagged Uplink auf VLAN Switch
switchport mode trunk
switchport trunk allowed vlan all
no ip address
!
Hat man die entsprechenden VLANs 1, 2 und 3 auch auf der Switchseite eingerichtet und auch dort den Uplink Port zum Cisco Router Tagged für alle VLANs dort entsprechend konfiguriert, so kann man jetzt aus jedem VLAN das dazu korrespondierende Cisco IP Interface anpingen und so die Erreichbarkeit prüfen.
Ein show vlan-switch Befehl zeigt eine Übersicht über die erstellten VLAN‘s.
(Für Details zur Switchkonfiguration sei hier nochmals auf das bereits oben genannte VLAN-Tutorial verwiesen !)

Dynamisches DNS

Dynamisches DNS ist erforderlich für Benutzer die den Router bei wechselnden Provider xDSL IP Adressen unter einer festen Hostadresse von außen erreichen wollen oder müssen. Häufig ist das z.B. für den gesicherten VPN Zugang mobiler Clients aufs lokale Netzwerk oder für schlichtes Port Forwarding auf lokale Server (Mail, Exchange, NexctCloud usw.) zwingend erforderlich.
Für die dynamische Anpassung der IP Adresse bei wechselnden Provider xDSL Adressen (nächtliche Zwangstrennung) sollte man deshalb immer einen DynDNS Dienst einrichten. Damit kann der Router immer mit einem festen Hostnamen wie z.B. meinrouter.dnshome.de erreicht werden, egal welche Provider IP er aktuell hat.
Derzeit noch kostenfreie Anbieter wie dnsHome oder deSEC sowie diverse andere lokale DDNS Dienstleister bieten sich da an.
Der DynDNS Dienst wird wie folgt auf dem Cisco Routern aktiviert: (Update method "http" und "add url")
(Wenn ein "?" Bestandteil der DDNS URL ist und per CLI eingetragen werden soll, muß zuvor die Taste „STRG“ und „V“ zusammen gedrückt werden. Dann kann mit „Shift“ und ? das Fragezeichen in die CLI eingetragen werden, ohne das die sonst per "?" übliche Cisco CLI Hilfefunktion startet !)
!
ip ddns update method dnsHome
http
add
http://<Subdomain:password>@www.dnshome.de/nic/update?Subdomain=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Dialer0
ip ddns update hostname <hostname>.<dyndns.domain>
ip ddns update dnsHome
!
(Es sind nur die zur obigen Grundkonfiguration zusätzlichen Kommandos hier aufgeführt.)
Kostenfreie DynDNS Accounts gibt es z.B. bei deSEC und dnsHome die DSGVO konforme Server betreiben und kein kommerzielles Interesse haben. Hier reicht als Minimum eine einfache Subdomain.
Falls es hier dennoch einmal kneifen sollte, hilft immer ein debug ip ddns update um den DDNS Update Prozess zu überwachen und zu troubleshooten. ACHTUNG: Benutzt man eine Verbindung über Telnet oder SSH zum Router, muss vorher term mon eingegeben werden, damit man die Debug Meldungen im Telnet oder SSH Fenster sieht !
Abgesehen davon wird einem auch über das Kontaktformular der o.a. DynDNS Dienstleister geholfen.

Port Forwarding

Port Forwarding (Weiterleitung) nutzt man um z.B. einen lokalen Webserver oder Kameras usw. öffentlich von extern (Internet) erreichbar zu machen. So können Zugriffe von extern die lokale NAT Firewall überwinden.
Hier sollte man aber immer große Vorsicht walten lassen, denn man öffnet so das Internet ungeschützt auf lokale Resourcen! Wer also einen privaten NextCloud Server für die Familie oder ein öffentlich erreichbares NAS betreibt, sollte das tunlichst immer in einem geschützten und vom privaten IP Netz getrennten Segment (DMZ) machen !
Es sei an dieser Stelle noch einmal dringenst darauf hingewiesen, daß man solche Endgeräte niemals ins lokale, private LAN setzen sollte sondern besser ein separates DMZ VLAN dafür anlegt im Cisco. Dies trennt man mit einer Accessliste dann vom lokalen LAN ab um das private LAN abzusichern.
Der Grund liegt auf der Hand, denn für den Zugriff muss ein Loch in die Router Firewall gebohrt werden und da ist es immer besser das auf einem separaten DMZ IP Segment zu machen um das lokale LAN zu schützen.
Ist der Server ein lokaler, privater Server den man von außen erreichen möchte, sollte man generell aus Sicherheitsgründen vom Port Forwarding zumindestens unsicherer Ports absehen ! Ein VPN ist in dem Falle immer der bessere Weg.
Auch hier ist der Grund klar, denn diese Daten gehen immer ungeschützt, für jederman einsehbar über das öffentliche Internet. (Wie sowas dann endet zeigen z.B. ungeschützte Kameras im Internet)
Ein VPN sollte für jeden der Wert auf seine Datensicherheit und Schutz legt hier oberste Priorität haben!
Wie man ein sicheres VPN mit diesem Router einrichtet erklärt das Tutorial im weiteren Verlauf oder die weiterführenden Links am Ende.

Das Beispiel hier zeigt eine DMZ Variante mit Port Forwarding:
Zum Port Forwarding soll ein lokaler Webserver (Port TCP 80 und 443 = HTTP) wie z.B. NextCloud vom Internet aus erreichbar sein im neuen VLAN 3. (Standardkonfig von oben verkürzt wiedergegeben !)
interface Vlan3
description DMZ mit Webserver
ip address 172.16.200.1 255.255.255.0
ip nat inside
!
interface Dialer0
description xDSL Internet Interface
ip address negotiated
ip access-group 111 in
...
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 172.16.200.151 80 interface Dialer0 80
ip nat inside source static tcp 172.16.200.151 443 interface Dialer0 443
!
Nicht vergessen: Wer die CBAC oder ZFW Firewall betreibt muss am Internet Port die Accessliste anpassen die Traffic auf den Router passieren lässt!
access-list 111 permit tcp any any eq 80
access-list 111 permit tcp any any eq 443
Spricht man jetzt mit dem Web Browser von "außen" die WAN IP Adresse (Dialer0 IP) des Routers an, landet man auf dem lokalen Webserver in der DMZ der die lokale IP 172.16.200.151 hat.
Eine Port Verschleierung bzw. Port Translation erreicht man z.B. Mit dem Kommando:
ip nat inside source static tcp 172.16.200.151 80 interface Dialer0 50443
Um hier jetzt den lokalen Webserver zu erreichen gibt man im Browser http://<router_Internet_adresse>:50443 an.

Die Port Forwarding Konfiguration im Zusammenspiel mit der ZFW Firewall beschreibt ein separates Tutorial im Detail.

VPN Einwahl mit bordeigenen L2TP Windows, MacOS, Linux und Smartphone VPN Clients

⚠️ Bei Windows 21H2 unbedingt Patch HIER !)

Eine gesicherte Client VPN Verbindung dient dazu sicher und geschützt von extern auf Daten im lokalen LAN zugreifen zu können z.B. für Home Office Nutzer, Außendienst, remotes Management, u.a.
Als Client VPN kommt hier das bekannte L2TP Protokoll zum Einsatz (L2TP / IPsec mit vorinstalliertem Schlüssel).
L2TP VPN Clients sind generell in den Betriebssystemen aller oben genannten Endgeräte seit langem enthalten, sprich der im jeweiligen Betriebssystem immer vorhandene, bordeigene VPN Client.
Diesen zu nutzen hat den großen Vorteil das er das Installieren und Management von externer VPN Client Software fremder Hersteller erspart. Prinzipbedingt, bieten diese bordeigenen VPN Clients damit die beste und performanteste VPN Anbindung an das jeweilige Endgerät. Sie werden zudem über AD Directories und GPOs umfassend supportet, so das auch zentrales VPN Clientmanagement sehr leicht fällt.

Das zusätzliche Loopback Interface des Routers dient dazu den L2TP VPN Server ausfallstabil und in einer separaten IP Range zu betreiben. Würde man ihn an das lokale LAN Interface binden, bestünde die Gefahr bei einem LAN Link Verlust das damit auch das VPN nicht mehr funktioniert, was immer zu vermeiden ist.
Ein Loopback Interface kann technisch bedingt niemals einen Link Verlust erleiden bzw. ausfallen solange der Router mit Strom versorgt wird. Das sichert die VPN Erreichbarkeit von außen auch bei einer lokalen LAN Fehlfunktion.
(Die VPN Konfiguration der ZFW Firewall für den IPsec VPN Zugang wird unten im Kapitel zur Zone Based Firewall beschrieben !)
Die folgenden Kommandos sind der Cisco Router Konfig hinzuzufügen
!
aaa new-model
!
aaa authentication ppp L2TP_AUTH local
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
username vpnuser password geheim123 => (L2TP Benutzername u. Passwort)
!
crypto keyring vpn_keys
pre-shared-key address 0.0.0.0 key Geheim => (vorinstallierten Schlüssel ändern !)
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 14
!
crypto isakmp policy 2
encr aes 256
authentication pre-share
group 2
!
crypto isakmp keepalive 10
!
crypto isakmp profile dynip
description VPNs mit dyn. IP Adresse
keyring vpn_keys
match identity address 0.0.0.0
!
crypto ipsec transform-set L2TP-1 esp-aes 256 esp-sha-hmac => (Wichtig hier: Transport Mode!)
mode transport
crypto ipsec transform-set L2TP-2 esp-aes esp-sha-hmac
mode transport
!
crypto dynamic-map dynmap 10
set nat demux
set transform-set L2TP-1 L2TP-2
set isakmp-profile dynip
!
crypto map vpn_cisco 10 ipsec-isakmp dynamic dynmap
!
interface Loopback1
description Looback L2TP Pool
ip address 192.168.101.1 255.255.255.255
!
interface Virtual-Template1
description L2TP Dialin
ip unnumbered Loopback1
peer default ip address pool l2tp-pool
ppp authentication ms-chap-v2 L2TP_AUTH
!
ip local pool l2tp-pool 192.168.101.100 192.168.101.150
!
interface <WAN/Internet_Interface>
description Internet Port
ip address xyz
ip nat outside
crypto map vpn_cisco => (VPN ans WAN Internet Interface binden !)
! ...
⚠️ Die folgende ACL ist nur dann erforderlich wenn ein CBAC Firewall Konzept genutzt wird!!
Bei Nutzung der moderneren Zone based Firewall (siehe Folgekapitel) entfällt diese ACL und wird durch die "ALLOWv4" Accessliste im ZFW Firewall Setup ersetzt!!

access-list 111 permit udp any any eq 1701 --> L2TP darf die CBAC Firewall passieren (Zeile in ACL 111 hinzufügen)
access-list 111 permit udp any any eq 500 --> IPsec darf die CBAC Firewall passieren (Zeile in ACL 111 hinzufügen)
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any

Die einfache Einrichtung der VPN onboard Clients in den jeweiligen Betriebssystemen ist dann analog vorzunehmen wie bei anderen L2TP VPN Firewalls und Routern auch und wird hier der Übersicht halber nicht extra beschrieben.

Beispiele und detailierte Screenshots zum L2TP VPN Client Setup für Microsoft, Apple, Android usw. findet man in den zusätzlichen L2TP VPN Tutorials des Forums HIER und auch HIER.

VPN Client Einwahl in einer reinen Apple Umgebung

Apple hat von Haus aus einen Cisco VPN Client in alle Apple Betriebssysteme wie Mac OS und iOS integriert.
In einem reinen Apple Client VPN Umfeld bietet sich dann als Alternative zum obigen L2TP auch die Option den Apple bordeigenen Cisco VPN Client in einer alternativen Konfig mit nativem IPsec zu nutzen.
(Achtung: Ein Mix mit L2TP ist nicht zu empfehlen ! Wer ein gemischtes VPN Client Umfeld hat, sollte in dem Falle immer ausschliesslich das obige L2TP VPN Protokoll nutzen !)
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
username vpnuser1 privilege 0 algorithm-type scrypt secret Geheim123
username vpnuser2 privilege 0 algorithm-type scrypt secret Geheim321
username vpngroup privilege 0 algorithm-type scrypt secret test123
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp policy 15
encr aes 256
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key test123
dns 192.168.100.254 # => (oder, wenn vorhanden, lokale DNS Server IP)
domain vpn.test.intern
acl 107 => (Split VPN ACL, kann entfallen wenn gesamter VPN Traffic in den Tunnel soll)
save-password
max-users 10 => (Je nach Router Performance und Bandbreite einstellen)
banner # Willkommen im VPN von XYZ # (Optional !)
pool vpnpool
!
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
set isakmp-profile VPNclient
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
(ip nat inside) --> Nur erforderlich wenn der gesamte Client VPN Traffic in den Tunnel soll !
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
ip address 192.168.100.254 255.255.255.0
!
ip local pool vpnpool 192.168.100.240 192.168.100.250 (Anpassen auf eigenen Client IP Bereich im lokalen LAN außerhalb d. DHCP Range !)
!
end
⚠️ Auch hier ist die Erweiterung der ACL 111 nur dann erforderlich wenn ein CBAC Firewall Konzept genutzt wird!!
Bei Nutzung der moderneren Zone based Firewall (siehe Folgekapitel) entfällt diese ACL und wird durch die "ALLOWv4" Accessliste im ZFW Firewall Setup ersetzt!!
...
access-list 111 permit udp any any eq 1701
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp host any any eq non500-isakmp
access-list 111 permit esp any any
...
Die ACL 107 (nur CBAC Setup, nicht erforderlich bei ZFW!!) die den VPN Traffic für das lokale Netz klassifiziert, wird erweitert :
access-list 107 permit ip 192.168.100.0 0.0.0.255 any --> (Split VPN)
Wichtig: Diese ACL 107 kann entfallen wenn der gesamte Client Traffic in den VPN Tunnel soll. (Gateway Redirect)

Konfig des iPhone / iPad IPsec Clients...:
(Als Ziel IP Adresse die WAN (Dailer) Port IP Adresse oder eigene dynamische DNS Adresse eintragen !)


Screenshot des Mac OS-X onboard IPsec Clients:


Sollte es mit dem VPN Zugriff einmal klemmen, dann kann man sich mit folgenden Befehlen auf Fehlersuche machen:
debug crypto isakmp und debug crypto ipsec. Mit show crypto ipsec sa und show crypto engine connection active werden noch weitere Info’s angezeigt.
Mit Hilfe des Befehls show crypto isakmp sa kann man unter anderem sehen wieviele Pakete verschlüsselt (decrypted) und entschlüsselt (encrypted) wurden.
Der Befehl show crypto tech support zeigt zusätzlich einen kompletten Überblick über fast alle crypto Einstellungen.

VPN Site to Site (Standortkopplung) per IPsec Tunnel

⚠️ (Die Konfiguration der ZFW Firewall für die IPsec VPN Standort Kopplung wird unten im Kapitel zur Zone Based Firewall beschrieben !)

Eine Standort VPN LAN to LAN Kopplung zweier oder mehrerer Standorte mit IPsec Verschlüsselung, sei es mit Cisco oder zu anderen VPN Routern, lässt sich ebenso bequem erledigen um z.B. gemeinsame Resourcen wie Server, NAS etc. standortübergreifend zu nutzen.
IPsec ist ein weltweiter Standard so das auch VPN Tunnel zu anderen IPsec Routern oder Firewalls supportet ist. Weitere Cisco Praxiskonfigurationen dazu findet man unten in den weiterführenden Links dieses Tutorials.

Für die VPN Kopplung 2er Cisco Router mit festen WAN IP Adressen sind die folgenden Konfigurationsschritte auf beiden Seiten des VPN Tunnels erforderlich, die man der obigen Standardkonfiguration hinzufügt:
!
crypto keyring VPN_PSK
pre-shared-key address <feste_ip_peer> key GeheiM123 => (Preshared Key)
!
crypto isakmp policy 10
encryption aes 256
authentication pre-share
group 2
!
crypto isakmp keepalive 10
!
crypto isakmp profile Standort-B
description IPsec VPN Standort-B
keyring VPN_PSK
match identity address <feste_ip_standort-B>
!
crypto ipsec transform-set vpn-s2s esp-aes esp-sha-hmac
!
crypto ipsec profile Standort-B
set transform-set vpn-s2s
set isakmp-profile Standort-B
!
interface Tunnel1
description VPN Tunnel Standort-B
ip unnumbered Vlan1
ip verify unicast reverse-path
tunnel source <feste_ip_standort-A>
tunnel mode ipsec ipv4
tunnel destination <feste_ip_standort-B>
tunnel path-mtu-discovery
tunnel protection ipsec profile Standort-B
!
!
access-list 101 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 --> Kein NAT für den VPN Tunnel !
access-list 101 permit ip 192.168.100.0 0.0.0.255 any --> ...aber NAT ins Internet
!
ip route 192.168.200.0 255.255.255.0 Tunnel1 --> Route ins remote LAN Standort B
!
...
access-list 111 permit udp any any eq 1701
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!
(Die ACL 111 entfällt bzw. ändert sich wenn ein ZFW Firewall Konzept verwendet wird ! Alle Details im Kapitel "ZFW Firewall")
Die gleichen Konfigurationsschritte sind auf der gegenüberliegenden Standortseite, angepasst an die dortigen IP Adressen, auszuführen.
Das Beispiel oben geht davon aus das sich ein lokales LAN mit der IP Adresse 192.168.200. /24 dort befindet.
Diese IP Adressen sind entsprechend auch eigenen Belangen anzupassen. Ebenso natürlich das Platzhalter Passwort "test123" für die IPsec Verschlüsselung.
Der Parameter <remote_WAN_IP> muss in der Konfig durch die xDSL IP oder den Hostnamen / DynDNS ersetzt werden.
Ebenfalls kann man am obigen Beispiel sehen, daß das NAT etwas angepasst werden muss, denn IP Packete die lokal beide Netze über den IPsec Tunnel verbinden, dürfen natürlich nicht über den NAT (Adress Translation) Prozess laufen (ACL 101 nimmt diesen Traffic aus).
Die genauen VPN Konfigs für die Praxis liefert dieses Foren VPN Tutorial

VPN Site to Site (Standortkopplung) ohne feste IP (dynamische IP):

Befindet sich am remoten Standort ein IPsec VPN Router oder Firewall (FritzBox, Draytek, Mikrotik, Lancom, pfSense/OPNsense o.ä. hier mit lokalem Beispiel LAN 192.168.222.0 /24) der keine feste Internet IP hat, also eine wechselnde Provider IP, muss zusätzlich eine dynamische Crypto Map angelegt werden. Das gilt auch für solche Standorte mit einem DS-Lite Anschluss und CGNAT.
Dazu ist die Konfig wie folgt zu ergänzen:
!
crypto keyring vpn_keys
pre-shared-key address 0.0.0.0 key GeheiM123 => (Preshared Key)
!
crypto isakmp policy 10
encryption aes 256
authentication pre-share
group 2
!
crypto isakmp keepalive 10
!
crypto isakmp profile dynip
description VPNs mit dynam. IP
keyring vpn_keys
match identity address 0.0.0.0
!
crypto dynamic-map dynmap 10
description Tunnel dyn.IP Standort-B
set isakmp-profile dynip
set transform-set vpn
match address 107
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto map vpn_cisco 10 ipsec-isakmp dynamic dynmap
!
interface <Internet_Int>
description Internet Port
ip address xyz
ip nat outside
crypto map vpn_cisco => (VPN ans Internet Interface binden !)
!
Damit können remote IPsec VPN Router/Firewalls (z.B. FritzBox u.a.) auch mit wechselnden, dynamischen Provider IPs problemlos eine VPN Verbindung auf den Cisco Router herstellen.
Sind beide oder alle Standorte ohne feste IP konfiguriert, dann muss man wenigstens auf einem (zentralen) VPN Router mit DynDNS gem. der o.a. Konfig im Kapitel Dynamisches DNS arbeiten.

Firewall mit modernem, Zonen basiertem Firewall Konzept (ZFW) konfigurieren:

Die klassische, oben beschriebene, rein Interface bezogene Cisco stateful Inspection Firewall, auch als Context-Based Access Control, oder CBAC bekannt, wurde mit dem IOS Release 12.4.9T mit der verbesserten und flexibleren Zonen basierten Firewall (ZFW) ersetzt. Sie wird die alte CBAC Firewall auf Sicht vollständig im IOS ersetzen.
Beide Versionen koexistieren zur Zeit und man hat (noch) die Wahl welche Art der Firewall man nutzen möchte.
Es macht also Sinn bei einer Neuinstallation die Firewall Konfig ggf. gleich mit der moderneren und flexibleren ZFW Konfiguration zu realisieren. Zumal die ZFW Syntax auch weitgehend der der ASA Router entspricht.
Die ZFW Firewall bietet zudem eine Deep Packet Inspection bis auf URL und Content Basis (ALG) und hat verbesserte Reporting Mechanismen gegen DoS Attacken. Zusätzlich ermöglicht sie durch die Zonen Struktur eine deutlich bessere und erhöhte Sicherheit als anfällige, Interface basierte Access Listen wie in der alten CBAC Struktur.

Die Zonen basierte Konfig unterscheidet sich erwartungsgemäß erheblich von der klassischen CBAC Firewall Konfiguration mit ihren ip inspect Kommandos. Diese und die CBAC Accesslisten entfallen vollständig bei der moderneren ZFW Konfiguration ! In der o.a. Konfig Vorgabe wird darauf mehrfach hingewiesen und sollte unbedingt beachtet werden.
Ein Mischen der neuen ZFW Firewall mit dem alten CBAC Modell ist immer zu vermeiden und nur ein Firewall Konzept zu verwenden.
Also entweder rein CBAC oder rein das modernere ZFW Firewall Modell zu nutzen. Kein Mischbetrieb !
Die ZFW Grundregeln sind einfach:

• Traffic innerhalb von allen Interfaces einer Zone wird normal geforwardet
• Traffic zwischen unterschiedlichen Zonen wird ohne Policy Regeln generell geblockt.
• Gleiches gilt für Interfaces die keine Zonen Member sind. Deren Traffic mit Zonen Interfaces wird generell geblockt.

Die ZFW Firewall wird hier anhand eines klassischen Beispiels mit einem internen Netzwerk, einem Gast Netzwerk, das auch DMZ sein kann, und dem Internet konfiguriert. Von außen ist remoter Client Zugriff via IPsec VPN (Home Office, Management etc.) erlaubt.
Gäste sollen hier im Beispiel nur mit dem Browser ins Internet dürfen und aus dem lokalen LAN soll ein Management von Komponenten (z.B. WLAN) im Gastnetz per HTTP und SSH möglich sein, nicht aber darf das Gastnetz Zugriff auf das lokale LAN haben.
"Schotten dicht....!!" Los gehts...


(Die folgende Beispiel Konfig enthält der Übersicht halber nur die Firewall relevanten Konfigurations Parameter!)
Zuerst richtet man die entsprechenden Zonennamen ein. Hier im Beispiel somit also 3 Zonen (Gast, Lokales LAN und Internet).
Kosmetischer Tip: Es macht Sinn die Map und Zonen Namen immer GROß zu schreiben um sie von den Konfig Kommandos einfacher unterscheiden zu können. Die Namen sind frei wählbar.
⚠️ Die Reihenfolge in den class-map Definitionen zählt!!

Zuerst bestimmt man mit den Class Maps die Netzwerk Protokolle die man zulassen und überwachen möchte. TCP und UDP am Schluss macht eine Inspection über alle Protokolle die nicht explizit definiert wurden. Würde man dies global am Anfang definieren kommt es zu keiner protokollspezifischen Inspection mehr! Lässt man es weg passiert die Firewall nur was protokollspezifisch definiert wurde.
Es ist also wichtig diese globalen Definitionen wegzulassen wenn man z.B. nur Webtraffic mit HTTP und HTTPS zulassen möchte wie es im Folgenden in der Class Map GAST-ERLAUBT für das Gästenetz definiert wurde.
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
class-map type inspect match-all ALLOW_IN
match access-group name ALLOWv4
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp extended
(match protocol sip) --> (ggf. weglassen wenn interne VoIP Anlage oder Telefone Probleme machen)
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-any ROUTER-PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp
!
Dazu kommen nun die Policies was gemacht werden soll und darf zwischen den Zonen:
!
policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Routertraffic zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internettraffic zum Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
Dann werden die Zonen definiert (hier 3):
!
zone security LOKAL
zone security GAST
zone security INTERNET

Last but not least richtet man die Zonen Paare ein (wer mit wem) und aktiviert die dazu korrespondierende Security Policy. Danach weist man den Interfaces die Zonen zu:
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
interface Vlan1
description Lokales LAN
zone-member security LOKAL
!
interface Vlan10
description Gastnetz
zone-member security GAST
!
interface Virtual-Template1
description IPsec VPN Dialin
ip unnumbered Vlan1
zone-member security LOKAL
!
interface Dialer0
description DSL Internet Interface
zone-member security INTERNET
!
ip access-list extended ALLOWv4
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!

Das Show Kommando: show policy-map type inspect zone-pair <Zone_paar_name> (hier als Beispiel einmal "show policy-map type inspect zone-pair LOKAL-INTERNET) zeigt dann z.B. die Statistiken der inspizierten Protokolle aus dem lokalen LAN ins Internet.
sh policy-map type inspect zone-pair sessions zeigt alle aktiven Endgeräte Sessions an über alle Zonenpaare.

Die korrekte Einbindung von VPN Verbindungen in die ZFW Firewall zeigt ein separates Tutorial.
Port Forwarding Setups mit der ZFW Firewall behandelt ebenso ein ZFW Port Forwarding Tutorial.

Besonderheit: ZFW und DHCPv4 Client am WAN/Internet Port

⚠️ Der folgende Hinweis gilt ausschliesslich nur für Nutzer die mit der ZFW ein Router WAN Interface im DHCP Client Mode mit IPv4 nutzen, also ein WAN/Internet Interface was sich dynamisch per DHCPv4 IP Adressen holt. (Kein PPPoE mit xDSL!)

Im DHCPv4 Client Mode muss in diesem Falle in der ZBF statt inspect der pass Mode in der obigen Outbound Policy Beispiel Map: ROUTER-INTERNET-POLICY verwendet werden, damit ausgehend DHCPv4 Requests die Firewall überwinden können !
Zusätzlich muss die Inbound Acessliste (ALLOWv4) für DHCPv4 geöffnet werden die den externen Traffic auf den WAN/Internet Port (Zone "Internet") steuert:
class-map type inspect match-any DHCPv4
match access-group name DHCPv4
!
ip access-list extended ALLOWv4
remark Pass traffic fom DHCPv4 server
permit udp any eq bootps any eq bootpc --> (DHCP darf eingehend passieren)
remark Pass IPsec VPN traffic
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!
ip access-list extended DHCPv4 --> (DHCP Request Broadcasts dürfen ausgehend passieren)
remark Pass DHCPv4 client traffic
permit udp any eq bootpc any eq bootps
!
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Routertraffic u.DHCPv4 zum Internet
class type inspect DHCPv4
pass
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
Dazu bitte auch diesen Hinweis in den Nutzerkommentaren lesen !

ZFW Firewall für IPv6 anpassen

Die IPv6 Protokoll Steuerung und viele Features die bei v4 eigene Protokolle nutzen, basieren bei IPv6 zu einem sehr großen Teil auf dem ICMP Protokoll. ICMP darf also bei v6 nicht gefiltert werden bzw. nur in sehr geringem Maße (siehe hier Tabelle 5, Seite 6).
Deshalb muss die ZFW Firewall für den Dual Stack Betrieb IPv4 mit IPv6 etwas angepasst bzw. erweitert werden im Bereich ICMPv6.
Generell gilt das Regelwerk der ZFW Firewall aber immer für IPv4 und auch IPv6 gleichermaßen.
Man erstellt zuerst 3 Access Listen die die für IPv6 wichtigen ICMP Typen passieren lassen und die DHCPv6 Frames am WAN Port für die Adress Prefix Delegation erlaubt.
Die IPv4 ACL (gleiche wie oben) stellt sicher, das VPN Traffic remoter Nutzer den Router durch die Firewall am WAN/Internet Port erreichen kann.
!
ip access-list extended ALLOWv4
10 permit udp any any eq 1701
20 permit udp any any eq isakmp
30 permit udp any any eq non500-isakmp
40 permit esp any any
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546 --> (Erlaubt DHCPv6 Traffic zur v6 Prefix Delegation)
!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
Aus den beiden WAN Port ACLs und der v6 ICMP ACL definiert man dann 2 zusätzliche Class Maps der ZFW:
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6
!
Die dann wiederum in die entsprechenden Policy Maps für die Zonen münden:
!
policy-map type inspect ICMPv6
description Traffic ICMPv6 ins lokale LAN
class type inspect ICMPv6
inspect
class class-default
drop
!
policy-map type inspect INTERNET-ROUTER-POLICY
description Erlaubter Traffic Internet zu Router
class type inspect ALLOW_IN
pass
class class-default
drop
!
Daraus resultiert dann die angepasste Zonen Konfig:
!
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
!
zone-pair security InternetToRouter source INTERNET destination self
service-policy type inspect InternetToRouter
!
(Namen der Maps ggf. an eigene Konfig anpassen !)

Home IP-TV Konfiguration (Entertain, Magenta-TV):

⚠️ Seit Januar 2020 hat die Telekom die alten Entertain Multicast Streams abgeschaltet ! Siehe dazu auch HIER.
Wer also IP TV mit VLC oder KODI im heimischen Netz schaut muss auf die neuen Multicast Adressen umstellen. Magenta TV supportet nur noch SSM Multicast und erzwingt damit die Verwendung von IGMPv3.
Magenta TV funktioniert aber weiterhin fehlerlos mit den u.a. Einstellungen und kann so auch weiter mit dem Cisco problemlos mit Settopbox, VLC, Kodi, TV-Headend und anderen freien Tools gesehen werden.

Da der Router vollständigen Multicast Routing Support mit an Bord hat, ist die Aktivierung von IP TV auf dem Cisco Router kein großes Problem. In Ausnahmefällen ist hier ggf. eine zusätzliche Advanced IP Lizenz erforderlich. Mit show license all lässt sich das überprüfen und ggf. eine Multicast Lizenz nachinstallieren.
Mit der neuen BNG Umstellung der Telekom ist die Magenta IP-TV Konfiguration um einiges einfacher geworden. Das folgende Beispiel zeigt eine funktionsfähige Konfiguration. (Kommandos in rot kommen zur bestehenden Grundkonfiguration in blau dazu !)
Generell funktioniert diese Konfiguration auch für alle anderen Cisco IOS und IOS-XE Router Modelle am IP-TV Anschluss der Telekom bzw. Providern die Multicast für IP-TV nutzen.
!
ip multicast-routing
ip pim ssm default
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
!
interface Dialer0
description VDSL PPPoE Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1488
ip pim sparse-mode
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
ip igmp version 3
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username xxxxxxxx@t-online.de password 0 xxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip pim rp-address 62.155.243.102
!

Das Senden von Multicast Streams über das VLAN 8 (Tagging, Subinterface Ethernet0.8) ist nicht mehr supportet bei der Telekom bzw. Magenta TV. Der Vollständigkeit halber sei es aber hier noch erwähnt sofern alternative IP-TV Provider diese Option mit separatem Tagging noch nutzen.
!
ip multicast-routing
ip pim ssm default
!
interface Ethernet0.8
description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-mode
no ip mroute-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!
interface Vlan1
ip pim sparse-mode
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
ip pim rp-address 62.155.243.102

Die Prozedur der Rendezvous Point IP Adress Ermittlung ist mittlerweile einfacher als im unten angegebenen PDF beschrieben. Mit show ppp all kann man diese auf dem Router direkt ermitteln.
Die Multicast Rendezvous Point IP Adressen werden über DHCP mitgeteilt.
Ein show dhcp lease zeigt dann abhängig vom jeweiligen Ort z.B. so etwas an:
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254
(Dank an Forumsmitglied @cpt-haddock für diesen Hinweis im u.a. Tutorial Feedback Thread !)
Die IP-TV Multicast Adress Listen um Telekom Magenta TV auf PC, Laptop oder mobilem Tablet/Smartphone z.B. mit VLC, KODI und dvbviewer Clients zu sehen findet man HIER. (Achtung ! Multicast Adressänderung hier ab 09.01.2020)

Cisco IOS Funktionen

Neue Firmwaredatei vor der Installation auf dem Router verifizieren

Da mit Ausnahme des Cisco CCO Downloads nicht alle Quellen von Firmware Dateien immer zuverlässig oder fehlerfrei sind, sollte man vor der Übertragung einer neuen Firmware-Datei auf den Router per TFTP oder USB Stick immer einen Firmware Check VOR der Installation durchführen.
So vermeidet man proaktiv eine aufwendige Firmware Wiederherstellung des Routers über sein serielles Terminal Interface.
Nach der Übertragung der Firmware Datei in den Flash Speicher sollte folgender Befehl ausgeführt werden:
verify flash: c800-universal9-mz.SPA.159-3.M2.bin
(Hier statt des Beispiels immer den aktuellen Firmware Datei Name verwenden!!)
Dabei werden zwei SHA2 Hashes errechnet und ein MD5 Hash.
Der untenstehende MD5 Hash sollte mit dem Wert der entsprechenden Datei auf der Cisco Webseite verglichen werden. Stimmen beide SHA2 Werte und der MD5 Wert überein, kann man bedenkenlos die Firmware aktualisieren.

Cisco Embedded Event Manager

Der Cisco EEM ist ein flexibles Scripting System im IOS oder IOS-XE mit dem man Ereignisse und wiederkehrende Events automatisieren kann um so Funktionen nach eigenen Wünschen umzusetzen. Sämtliche Möglichkeiten inklusive TCL und Expect Scripting zu beschreiben würde den Rahmen dieses Kapitels sprengen so das hier nur 2 kurze Beispiele erwähnt werden. Details entnimmt man der EEM Command Reference und dem EEM Best Practise Guide.

Das Beispiel 1 pingt einen remoten VPN Router (oder Host) alle 5 Minuten und meldet einen VPN Fehler per Syslog:
Beispiel 2 sendet ein Email wenn sich ein Admin per SSH auf dem Cisco einloggt. Über Variablen kann man jeglichen show Output senden wie z.B. auch wechselnde IPs am WAN Port.

Zugang zum Kommando Interface und SNMP Management absichern

Oben in der Grundkonfiguration regelt die Accessliste "CLI-ACCESS" welche IP Adressen bzw. IP Netze Zugang zum Kommando Interface vty 0 4 des Routers haben und welche nicht. ("vty" steht hier für virtuelles SSH oder Telnet Terminal)
Der ACL Name ist dabei frei wählbar.
Diese Zugangsbeschränkung auf den Router lässt sich mit ein paar mehr Kommandos noch weiter sichern.

login block-for 120 attempts 3 within 15 <-- Blockt den Zugang bei 3 Fehlveruchen innerhalb von 15 Sek. für 120 Sek.
login delay 3 <-- Verzögert den Login Prompt für 3 Sek.
login quiet-mode access-class 23 <-- Während des o.a. Block Modes bei Fehlversuchen greift weiter ACL 23
login on-failure log <-- Login Fehlversuche werden mitgeloggt
login on-success log <-- Erfolgreiche Logins werden mitgeloggt
!
line vty 0 4
access-class CLI-ACCESS in <-- Telnet/SSH/SNMP Zugriff nur aus lokalem LAN möglich (ACL "CLI-ACCESS")
exec-timeout 15 0 <-- Inaktivitätstimer, loggt autm. aus nach <min> <sek> (Default 10 Min. exec-timeout 10 0)
login local
transport input telnet ssh <-- Telnet / SSH Zugriff. Ist zur Sicherheit nur SSH gewünscht "telnet" hier weglassen.
!
Der Zugang kann, wie bei Netzinfrastruktur Geräten üblich, zusätzlich über einen externen AAA Server wie Radius oder TACACS abgesichert werden.

Analog ist die Accessliste "CLI-ACCESS" auch für das SNMP v2c Management relevant, die damit nur SNMP Zugriff aus dem internen oder Management LAN erlaubt.
!
ip telnet source-interface Vlan1 <-- Absender IP für Telnet Traffic ist immer vlan1
ip tftp source-interface Vlan1 <-- dto. TFTP Traffic (Konfig und Image Sicherung übers Netz)
ip ssh source-interface Vlan1 <-- dto. SSH Traffic
!
snmp-server community public RO CLI-ACCESS
snmp-server community private RW CLI-ACCESS
snmp-server trap-source Vlan1
snmp-server source-interface informs Vlan1
snmp-server location Rechenzentrum, Schrank 1
snmp-server contact IT-Abteilung, Tel.:123
(snmp-server host <ip_snmp_server> version 2c private) <-- Optional. Nur wenn SNMP Server auch Traphost ist
!
Die SNMP v2c Community Strings public und private sind natürlich hier nur Beispiele und unbedingt mit individuellen zu ersetzen ! Ganz besonders der private String, denn der hat RW (Read, Write) Optionen, kann also per SNMP die Routerkonfiguration verändern.
Wer mehr Sicherheit möchte und den SNMP Zugang verschlüsseln will ersetzt immer SNMPv2c mit SNMPv3.
Gute kostenfreie Programme die ein grafisches SNMP Management ermöglichen sind z.B. PRTG, LibreNMS, Zabbix, Cacti, Nagios, Observium usw. Das hiesige Management Tutorial gibt eine kurze Übersicht.

SSH Hürden beim CLI Zugang überwinden

Generell gibt es keinerlei Hürden beim SSH Zugang auf das Kommando Interface mit bekannten Tools wie PuTTY or TeraTerm oder aus der Powershell. Mittlerweile bringen ausnahmslos alle Betriebssysteme immer auch einen SSH Client mit.
Auf die Verwendung von Telnet sollte man wegen der fehlenden Verschlüsselung aus Sicherheitsgründen verzichten oder zumindestens mit ACLs (Beispiel oben ACL "CLI-ACCESS") sicherstellen das Telnet nur aus lokalen Netzen erlaubt ist.

Mit der obigen Aktivierung von SSH Ver.2 auf dem Cisco muss ein entsprechender 1024 Bit (oder größer Key) erstellt werden. Das Kommando dafür lautet crypto key generate rsa. Einen ggf. vorhandenen alten Key kann (und sollte) man vorher mit crypto key zerosize löschen.
Mit aktuellen Linux oder Mac OS Versionen kommt es aber manchmal zu Fehlern aufgrund der dort erzwungenen starken Key Exchange Algorithmen in OpenSSH, die häufig kein diffie-hellman-group14-sha1 mehr supporten was in manchen Netzwerk Geräten vieler Hersteller enthalten ist. Mit ein paar kleinen Tricks lässt sich das aber sehr einfach umschiffen.

SSH Client Zugang auf Cisco

Wenn der Zugang auf den Cisco aufgrund eines nicht supporteten kex algorithm abgelehnt wird, kann man das SSH Kommando etwas erweitern:
ssh -oKexAlgorithms=+diffie-hellman-group14-sha1 admin@<ip_address>
Um das nicht immer manuell machen zu müssen legt man ganz einfach unter /home/user/.ssh/ eine Datei mit dem Namen config und dem folgenden Inhalt an: (Die IP Adresse 172.30.0.102 ist hierbei die LAN IP des Ciscos. Hier können mehrere IPs eingetragen werden sollte man mehrere Geräte haben.)

Vom Cisco auf andere SSH Hosts zugreifen

Der gleiche kex error kann auftreten wenn man schnell einmal vom Cisco CLI per SSH auf einen anderen SSH Host zugreifen will. Auch hier hilft wieder eine Konfig Text Datei im Verzeichnis /etc/ssh/sshd_config.d des Ziel SSH Servers z.B. mit dem Namen cisco.conf (alles was .conf als Dateierweiterung im Namen hat ist erlaubt) und mit folgendem Inhalt:
(Den SSH Server danach mit systemctl restart sshd neu starten.)
Damit sollten dann alle SSH Verbindungen in egal welche Richtung immer klappen.

Dateien kopieren mit SCP

Alle relevanten Einstellungen zum Kopieren mit SCP beschreibt dieser Forenthread.

Alias Funktion

Um sich die tägliche Arbeit zu erleichtern, können sogenannte Alias Kommandos eingesetzt werden. Hierbei kann man einen längeren Befehl stark verkürzen.
Damit kann ein Benutzer sich diesen leichter merken und schneller abrufen.
Als Beispiel sind hier 3 verschiedene show Befehle aufgeführt.
Es können aber auch alle anderen Befehle mit einem alias versehen werden.

alias exec cpu show processes cpu sorted | exclude 0.00%
alias exec brief show ip interface brief
alias exec vpn show crypto ipsec sa
alias exec run show running-config
Der oberste Befehl cpu zeigt dann die Ausgabe vom "show processes cpu sorted" ohne 0% Prozesse an. Mit brief wird dann "show ip interface brief" und mit vpn wird "show crypto ipsec sa" angezeigt. Schlußendlich wird mit run die aktuelle Konfiguration ausgegeben.

Grafisches Web Browser Interface (WebGUI) installieren und Management Zugang absichern:

Vorab: Mit modernen Browser Versionen ist das CCP Express Tool für die 800er Modelle ggf. nicht mehr nutzbar! Alle aktuellen ISR Modelle sind davon nicht betroffen, denn diese haben schon von sich aus ein GUI an Bord.

Die Kommandozeile ist sicher nicht immer jedermanns Freund und natürlich hat der Cisco mit dem Cisco Configuration Professional Express oder kurz CCP Express Admin View auch ein grafisches Browser Interface zum Konfigurieren.
Neue Router kommen damit ausgestattet zum Käufer aber viele gebraucht erworbene oder solche wo es vom Flash gelöscht wurde, haben es nicht. Ob es bereits installiert ist, sieht man mit dem Befehl show flash:
Die Installation oder ein Update auf die aktuelle Version ist aber im Handumdrehen erledigt. Ggf. vorhandene alte Versionen sollte man dazu, wie unten beschrieben, immer VORHER vollständig vom Flashspeicher des Routers löschen!
Los gehts...
Zuerst läd man dazu das Cisco CP Express Tool HIER herunter. Im Cisco Download ist es wegen EoS nicht mehr verfügbar. Aktuell ist derzeit das Release 3.5.2 (Stand 07.2018).
Dann entZIPt man das ZIP Archiv und kopiert die .tar und die .gz Datei in ein Verzeichnis.

Um die CCP Dateien auf das Router Flash zu bekommen nutzt man am besten und schnellsten einen USB Stick über die USB Frontbuchse. Alternativ ist ein TFTP Server erforderlich.
Ideal ist der Klassiker TFTP32 bzw. sein 64Bit Pendant oder der Pumpkin unter Windows. Apple Mac und Linux User haben TFTP von sich aus gleich an Bord.
Die Prozedur den TFTP aufzusetzen ist immer gleich und HIER am Beispiel der Cisco Telefone genau beschrieben.
Gleiches macht man ebenso für den Router. Auch z.B. wenn man die Router Firmware einmal updaten möchte oder auch die xDSL Modem Firmware wie oben beschrieben anpasst.
Router und TFTP Server sollten sich zum Vorabcheck pingen lassen untereinander. Bei Windows an die lokale Firewall denken das diese TFTP Traffic passieren lässt !
Der Rest ist schnell gemacht:
router> enable
Password: password
router# copy tftp: flash
Address or name of remote host ? <---Hier die TFTP Server IP Adresse angeben
Source filename ? ccpexpressAdmin_x_y_en.tar <--- Hier den CP Express .tar Dateinamen angeben. (x und y ist die Versionsnummer)
Destination file name ? ccpexpressAdmin_x_y_en.tar <--- Einfach Dateiname mit <Return> Taste bestätigen !

Damit wird dann die .tar Datei auf das Router Flash übertragen.
Wer es ganz einfach machen will nimmt einen USB Stick kopiert den Cisco Express Admin View Tar File ohne Unterverzeichnis einfach darauf und steckt den Stick in den Router USB Port.
Ein copy usbflash0:ccpexpressAdmin_x_y_en.tar flash: (Dateiname wie im Download, x.y = Versionsnummer)
kopiert dann die Datei in den Router Flash Speicher.

Im Anschluss muss diese .tar Archiv Datei noch mit dem folgenden Kommando extrahiert werden. (.tar ist unter Unix sowas wie .zip unter Windows)
router# archive tar /xtract flash:ccpexpressAdmin_x_y_en.tar flash:/ (x_y = Versionsnummer)
Nun muss nur noch der HTTP Server auf dem Router mit
router> conf t
router-conf#> ip http server
aktiviert werden. Wer es gerne sicher verschlüsselt hätte, der nimmt entsprechend:
router-conf#> ip http secure-server
Die Authentisierung sollte noch auf den lokalen Usernamen und Passwort eingestellt werden mit ip http authentication local und das das Web GUI ausschliesslich aus dem lokalen Netz erreichbar ist: ip http access-class 23
Jetzt ist das grafische Web GUI über die LAN IP des Routers mit dem Web Browser erreichbar.
Die HTTP Konfig sieht dann so aus:
!
aaa new-model
aaa authentication login default local
!
enable secret Geheim123
!
username admin password Geheim123
!
ip http server
ip http secure-server
ip http access-class 23 ---> Bindet das Web GUI an die Access Liste 23. Ggf. weglassen wer das WebGUI von überall erreichen will. (Nicht empfehlenswert, Sicherheit !!)
!
access-list 23 permit 192.168.100.0 0.0.0.255
!
line vty 0 4
access-class 23 in ---> Lässt den Management Zugang nur aus dem lokalen LAN zu !
password geheim1234
transport input all ---> Wer nur SSH zulassen will (kein Telnet) ändert all in ssh !
!

⚠️ Der Webserver erfordert als Login immer den Usernamen der mit "username xy password xyz" in der Konfig gesetzt wurde aber als Passwort das enable secret Passwort !!!
Dies bitte beachten wenn man keinen Frust beim Web Login erleben will.
Da hier in der Basiskonfig oben enable secret Geheim123 und auch im Usernamen admin im Beispiel Geheim123 gleiche Passwörter gesetzt wurden passt es hier im Beispiel zufälligerweise.
Wer aber aus gutem Grund unterschiedliche Passwörter für das enable secret und den Usernamen verwendet hat sollte das zwingend beachten:
Web GUI Login: Username=Username und das Passwort ist das enable-secret Passwort !

Zum Entfernen des GUIs vom Router Flash sind folgende 2 Konfig Schritte erforderlich.
router# delete /force /recursive home.shtml
router# delete /force /recursive flash:ccpexp
Die noch auf dem Flash befindliche .tar Archiv Datei kann man nach dem Installieren oder Update beruhigt löschen mit:
router# del flash:<Dateiname.tar>

Netzwerk Traffic mit Cisco NetFlow visualisieren

Dies beschreibt ein separates Forentutorial.

Cisco 880er Hardware

Mehr RAM Speicher für den Cisco 886va:

Vorbemerkung:
Die folgende Anleitung gilt nur für die älteren nicht K9 Modelle ! Wer also einen 88x K9 hat oder z.B. einen 886vaw (wireless) hat keinen internen RAM Slot mehr, sondern immer fest 512 MB onboard ohne Aufrüstmöglichkeit !
In der Regel erkennt man diese neueren Modelle daran das sie keinen Gehäuse Lüfter mehr haben.

Wer das 880er Model gebraucht erwirbt, sollte einen Blick auf die RAM Ausstattung des Routers werfen ! Die einfache Variante kommt mit 256 MB Onboard RAM daher. Für eine anspruchsvolle Konfiguration kann das schnell zu wenig sein, denn der Router braucht dann mehr RAM fürs Puffern von Daten, Firewall Prozesse, Routing Tabelle usw.
Der Router bietet einen freien SO-DIMM Steckplatz wie man ihn auch aus Laptops oder Notebooks her kennt. Diesen kann man max. mit einem Standard 512 MB SO-DIMM bestücken um dann in Summe auf 768 MB RAM Speicher zu kommen. Diese Aufrüstung ist in jedem Falle empfehlenswert, sollte der Router weniger RAM haben.

Auskunft über die aktuelle RAM Ausstattung bekommt man mit dem show version Kommando.
Dort sieht man u.a. eine Zeile mit folgendem Inhalt:
Cisco 886VA (MPC8300) processor (revision 1.0) with 708608K/77824K bytes of memory.
Wer diesen Output bekommt hat schon die Maximalausstattung.
Steht allerdings ein "...with 208608K/77824K bytes of memory" dort, läuft der Router nur mit dem schmalen 256 MB onboard Memory. (Leerer RAM Slot)
Der Cisco 886va verwendet Standard SO-DIMM Module mit 512MB wie man sie z.B. HIER recht preiswert neu bekommt.
Man erhält aber solche SO-DIMM Module mit der Spezifikation DDR2-533 PC2-4200S CL4 2Rx16 auch für noch weniger Geld wenn man bei den einschlägigen Auktionshäusern danach sucht. Sie sind sehr häufig auch in Laptops und Notebooks verwendet worden und bei einer RAM Aufrüstung dann übrig geblieben.

Die Aufrüstung des Cisco's ist schnell gemacht.
Man löst die 3 Gehäuseschrauben und klappt den Gehäusedeckel von hinten nach vorne in Richtung Frontpanel auf. Der SO-DIMM Slot befindet sich rechts. (Es gibt nur einen einzigen !)
Dort setzt man jetzt das SO-DIMM ein und arretiert es durch Runterdrücken wie bei einem Laptop oder Notebook.
Beim Booten sollte der Router dann die automatisch erkannten 768 MB melden oder eben mit dem o.a. show version Kommando.
Das 89x Modell kommt ab Werk mit 512MB onboard und kann auf max. 1Gig aufgerüstet werden. Auch hier sollte man mit dem show version Kommando vorher prüfen wieviel RAM verbaut ist.

PoE Nachrüstung:

Ab Werk ist kein 880er Router mit der nötigen PoE Erweiterungskarte ausgestattet. Ist man sich nicht sicher ob das Gerät bereits über eine PoE Erweiterungskarte verfügt, kann ein "show power inline" Befehl Aufschluss geben. Ohne PoE im Router quittiert dieser dies mit einer Fehlermeldung.
PoE LAN Ports können dann VoIP Telefone oder WLAN APs usw. bedienen.
Nach dem Öffnen des Routers, wie oben bei der RAM Nachrüstung, müssen beim 886 VAJ-K9 Model 5 Distanzstehbolzen in den dafür vorbereiteten Bohrungen handfest verschraubt sein bevor die Karte eingesetzt werden kann. Nun wird die Karte mit weißen Kontaktstecker korrekt eingeklipst und handfest mit den Schrauben verschraubt. Die Steckverbindung ist im Router absolut eindeutig da nur einmal vorhanden und ein Verwechseln damit sicher ausgeschlossen.
Je nach Variante muß noch intern ein Stromkabel montiert werden. Nach dem Anschluß des mitgelieferten, stärkeren Stecker Netzteils hat man nun auf den mit "PoE" beschrifteten LAN Ports eine Standard konforme PoE Stromversorgung anliegen.
Es können nur Geräte mit dem IEEE PoE Standard 802.3af angeschlossen werden. Zusätzliche Informationen zur PoE Aufrüstung findet man in einem YouTube Video.

Weiterführende Links:

Den seriellen Konsolen Port sicher meistern:
Serial Console Kabel - Rollover Console Kabel - Adapter
Keine serielle Verbindung zu Cisco 886W

Wie Anfängerprobleme bei der Cisco Konfig vermeiden ?:
VoIP hinter Cisco Router
Routing Telekom VDSL mit cisco 896VA
CISCO 926-4P SEC Lizenz ,CLM oder Installation Lizenz USB und Zone Based Firewall <== (ZFW Firewall für IPv4 und IPv6)

Cisco IOS und IOS XE Kommando Syntax Überblick:
http://www.coufal.info/cisco_ios/index.shtml
https://www.r33net.de/cisco-router-konfiguration-befehlecommands/
https://www.cisco.com/c/en/us/td/docs/routers/access/800/software/config ...
https://www.cisco.com/c/en/us/td/docs/routers/access/isr1100/software/co ...

880er Modelle, Annex-J Modem Software und VDSL Vectoring:
Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)
VDSL Controller bei C886VA und C896VA einmalig für acht Sekunden UP
PPPoE Konfig Tips für das Dialer Interface:
https://www.cisco.com/c/de_de/support/docs/wan/point-to-point-protocol-p ...
Externes xDSL Modem wie Dratek Vigor 165, Zyxel VMG3006 usw. verwenden:
Cisco 881, virtual-interface bleibt UP, auch wenn das Modem ausgeschaltet ist
Cisco ISR 1100 Router Modell Überblick:
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/BRKARC-20 ...

Infos zu SEC Lizenzen (Firewall + VPN) für neuere ISR Modelle z.B. 900 und 1100:
Cisco Router Lizenzen
Quelle: https://www.ethcon.de

Troubleshooting: Paket Capture im Wireshark Format auf Cisco:
https://www.youtube.com/watch?v=5ppEIzilUsc

Cisco Router Konfig an einem T-Com Business VDSL Anschluss:
Cisco 866vae vdsl t-business feste ip - ip wird nicht erhalten

Cisco Router Konfig an einem alternativen VDSL Provider (Wilhelm.Tel):
Cisco 886VAW mit vDSL2 an SAGA Wilhelm Tel Leitung verliert dauernd die Verbindung

IPv6 Konfiguration am Provider (Telekom u.a.) Anschluss:
DHCPv6 mit DNS unter Cisco IOS einrichten
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

IPv6 Konfiguration über Tunnel Broker (Hurricane Electric):
IPv6 Konfig mit Tunnel im Cisco 886

Port Forwarding vom Internet auf Rechner im lokalen LAN:
Cisco 886va VDSL Ports Weiterleiten ???

Port Forwarding mit ZFW Firewall absichern:
Cisco router with zone based firewall and port forwarding

Cisco VPN mit ZFW Firewall zu Mikrotik oder FritzBox:
Cisco IPsec VPN with Mikrotik or FritzBox

Richtiger Umgang mit IP Access Listen auf dem Router:
Cisco 866VAE-K9 ACL-Konfiguration

Management Zugriff auf dem Cisco wasserdicht absichern:
https://www.cisco.com/c/de_de/support/docs/ip/access-lists/13608-21.html

Cisco Router mit L3 VLAN Switch Cisco SG-Modellreihe sinnvoll koppeln:
Konfiguration Cisco 886VA-J und SG300

Cisco Router mit Layer 3 Switch und DMZ generell:
Konfiguration Cisco 886VA-J und SG300

L2TP Client VPN für Windows, Mac und Smartphones:
https://community.cisco.com/t5/security-documents/l2tp-over-ipsec-on-cis ...

L2TP Site to Site (Standort) Anbindung mit Mikrotik:
MikroTik Router als VPN Client

iPhone und iPad bzw. generelles Client VPN Dialin mit IPsec:
Anbindung eines iPhone an einen Cisco Router mit dynamischer ISP Adressse via IPSec VPN über den iPhone Cisco Client
und auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

IPsec VPN als Client oder Standort zu Standort mit Cisco, pfSense, Mikrotik, IP-Cop oder FritzBox:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
und auch:
Vernetzung zweier Standorte mit Cisco 876 Router

VPN Standort Kopplung mit VTI Tunnel Interface:
Cisco SVTI - Tunnel
2921 Kaskadierung mit Fritzbox für IPSEC-Tunnel

VPN IPsec Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. Routing (RPv2 / OSPF):
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Zwischen Miktrotik und PFSense GRE Tunnel mit IPSec Verschlüsslung

VPN IPsec IKEv2 Standort Kopplung Cisco mit pfSense oder Mikrotik:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Mobilfunk Modell des 880ers konfigurieren:
https://www.youtube.com/watch?v=lGmh1JVKu5U

Tips zum SIP Setup (VoIP/Telefonie) Setup des Cisco 886 Routers:
Cisco 886VA, Gigaset C610-IP: ausgehende Telefonate nicht möglich

Cisco 880 mit Voice Option konfigurieren:
Cisco 887VA Konfiguration für SIPGATE-Trunking

Cisco IOS Automation mit Ansible:
https://www.youtube.com/watch?v=wbVZkb8ocH4

Zusatzinfo zum IP-TV Entertain mit Cisco Multicasting via VDSL:
Cisco IOS Entertain IP-TV Konfig ?
Magenta TV und Cisco IOS
http://www.cisco-forum.net/topic_4350.0.html
(Non Cisco) Magenta TV mit Mikrotik:
Speedport W 724V + Routerboard 450G + VDSL (all IP) + Entertain
(Non Cisco) Magenta TV mit pfSense / OPNsense:
https://heise.de/-4698826

Beispiele zum VLAN Setup der Switchports und WLAN mit MSSID:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Filterliste bei DHCP statt PPPoE am WAN / Internet Port:
Cisco 2811 holt sich keine DCHP Adresse am FastEthernet interface

Tiefergehende Infos und HowTo's zur Cisco ZFW Firewall:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configura ...
http://brbccie.blogspot.com/2013/04/zone-based-firewall.html
https://www.cisco.com/en/US/prod/vpndevc/ps5708/ps5710/ps1018/prod_confi ...

Weitere Cisco Beispielkonfigurationen:
2921 sicher aufbauen für Internet
Cisco hat Internet - Computer nicht
Glasfaser Internetanschluss mit öffentlichen IP Adressen (Routing mit öffentlichem Subnetz)
CISCO 926-4P SEC Lizenz ,CLM oder Installation Lizenz USB und Zone Based Firewall (Cisco 926 mit Dual Stack und ZFW)

!
ipv6 access-list BLOCKv6
  deny ipv6 any any log-input
!
line vty 0 4
  ipv6 access-class BLOCKv6 in
! 

!
ipv6 access-list WAN_OUTSIDE_INv6
  permit icmp any any nd-na sequence 10
  permit icmp any any nd-ns sequence 11
  permit udp any any eq 546 sequence 12
  permit icmp any any sequence 20
  permit tcp any any established sequence 40
  deny ipv6 any any log-input sequence 100
!
ipv6 access-list WAN_INSIDE_OUTv6
  permit icmp any any sequence 10
  permit tcp any any sequence 20
  permit udp any any sequence 30
  deny ipv6 any any log-input sequence 100
! 

!
ipv6 inspect name FWv6 tcp
ipv6 inspect name FWv6 udp
ipv6 inspect name FWv6 icmp
! 

!
interface Dialer0
  no ipv6 redirects
  no ipv6 unreachables
  ipv6 verify unicast reverse-path
  ipv6 traffic-filter WAN_OUTSIDE_INv6 in
  ipv6 traffic-filter WAN_INSIDE_OUTv6 out
  ipv6 inspect FWv6 out
! 

!
ipv6 dhcp pool TELEKOMv6_POOL
  prefix-delegation pool TELEKOMv6_PREFIX
  import dns-server
  domain-name testdomain.local
!
interface Dialer0
  ipv6 address FE80::179:1 link-local
  ipv6 address autoconfig default
  ipv6 enable
  ipv6 dhcp client pd TELEKOMv6_PREFIX
!
interface Vlan1
  ipv6 address FE80::178:1 link-local
  ipv6 enable
  ipv6 address TELEKOMv6_PREFIX ::1/64
  ipv6 nd other-config-flag
  ipv6 dhcp server TELEKOMv6_POOL
! 

!
ipv6 unicast-routing
ipv6 cef
! 

C:\Users\Ciscoholic>ping -6 www.heise.de

Pinging www.heise.de [2a02:2e0:3fe:1001:7777:772e:2:85] with 32 bytes of data:
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=26ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=22ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms

Ping statistics for 2a02:2e0:3fe:1001:7777:772e:2:85:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 21ms, Maximum = 26ms, Average = 22ms

C:\Users\ Ciscoholic >

Cisco886va#show ipv6 dhcp interface
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:58:45
  Renew will be sent in 00:13:45
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::233:44FF:FE55:6677
    DUID: 0001000100010001000100010001
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x000F0001, T1 900, T2 1440
        Prefix: 2003:6F:1234:5600::/56
                preferred lifetime 1800, valid lifetime 14400
                expires at Aug 12 2015 08:30 PM (14326 seconds)
      DNS server: 2003:180:2:1000:0:1:0:53
      DNS server: 2003:180:2:5000:0:1:0:53
      Information refresh time: 0
  Prefix name: TELEKOMv6_PREFIX
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled
Vlan1 is in server mode
  Using pool: TELEKOMv6_POOL
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled

Cisco886va#show ipv6 interface dialer 0
Dialer0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::179:1
  No Virtual link-local address(es):
  Description: VDSL Internet Dial-Up Connection
  Stateless address autoconfig enabled
  Global unicast address(es):
    2003:6F:1234:ABCD::179:1, subnet is 2003:6F:1234:ABCD::/64 [EUI/CAL/PRE]
      valid lifetime 14307 preferred lifetime 1707
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF79:1
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are disabled
  ICMP unreachables are disabled
  …
  Inbound access list WAN_OUTSIDE_INv6
 IPv6 verify source reachable-via rx, allow default
   108 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule FWv6
  Outgoing access list WAN_INSIDE_OUTv6
  …
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.

Cisco886va#show ipv6 interface vlan 1
Vlan1 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::178:1
  No Virtual link-local address(es):
  Description: Internes LAN
  General-prefix in use for addressing
  Global unicast address(es):
    2003:6F:1234:5600::1, subnet is 2003:6F:1234:5600::/64 [CAL/PRE]
      valid lifetime 14235 preferred lifetime 1635
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF02::1:FF00:1
    FF02::1:FF78:1
    FF05::1:3
  MTU is 1500 bytes
  …
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.

Cisco886va#show ipv6 route
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       H - NHRP, D - EIGRP, EX - EIGRP external, ND - ND Default
       NDp - ND Prefix, DCE - Destination, NDr - Redirect, O - OSPF Intra
       OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
       ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
       ld - LISP dyn-eid, a - Application
ND  ::/0 [2/0]
     via FE80::233:44FF:FE55:6677, Dialer0
S   2003:6F:1234:5600::/56 [1/0]
     via Null0, directly connected
C   2003:6F:1234:5600::/64 [0/0]
     via Vlan1, directly connected
L   2003:6F:1234:5600::1/128 [0/0]
     via Vlan1, receive
NDp 2003:6F:1234:ABCD::/64 [2/0]
     via Dialer0, directly connected
L   2003:6F:1234:ABCD::179:1/128 [0/0]
     via Dialer0, receive
L   FF00::/8 [0/0]
     via Null0, receive
Cisco886va#

Vi2 PPP: Control packet rate limit 10 reached
Vi2 PPP: Entering block state for 30 seconds
Vi2 PPP: Packet throttled, Dropping packet

vor CSCuo88855:
der Default waren 10.000 Packets in 3.600 sec ohne Blocking (ppp packet throttle 10000 3600 0)

nach CSCuo88855:
der Default sind 10 Packets in 1 sec mit 30 sec Blocking (ppp packet throttle 10 1 30)

ppp packet throttle 50 5 30

interface dialer 0
  ppp authentication chap callin
  ppp chap hostname 00123456789012345678#0001@t-online.de
  ppp chap password 1234567

interface GigabitEthernet0
 no ip address
 no ip route-cache cef
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
 hold-queue 256 in
!
interface GigabitEthernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 no ip route-cache
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface GigabitEthernet0.8
 description VDSL Multicast Entertain - VLAN 8 tagged
 encapsulation dot1Q 8
 ip dhcp client broadcast-flag clear
 ip address dhcp
 ip pim sparse-mode
 no ip route-cache
 ip igmp helper-address 10.50.255.254
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp proxy-service
 no cdp enable
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.99.250 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip igmp helper-address 10.50.255.254
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp query-interval 15
 ip igmp proxy-service
!
interface Dialer0
 description DSL Einwahl Interface
 ip ddns update hostname fritz.heibox.com
 ip ddns update dyndns
 ip address negotiated
 ip access-group PUBLIC-VDSL in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip pim sparse-mode
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 ip igmp version 3
 ip igmp query-interval 15
 ip igmp proxy-service
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp chap hostname xxx#0001@t-online.de
 ppp chap password 7 xxx
 ppp pap sent-username xxx#0001@t-online.de password 7 xxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
!!!! some parts deleted
ip access-list extended PUBLIC-VDSL
 permit tcp any any established
 permit igmp host 10.50.255.254 any
 permit icmp host 10.50.255.254 any
 permit ip any 224.0.0.0 15.255.255.255
 permit udp any gt 40000 any
 permit icmp any any administratively-prohibited
 permit icmp any any echo-reply
 permit icmp any any packet-too-big
 permit icmp any any time-exceeded
 permit icmp any any unreachable
 permit udp any eq domain any
 permit tcp any eq domain any
 permit udp any eq ntp any
 permit gre any any
!
ip pim rp-address 10.50.255.254

sh controller vdsl 0
Controller VDSL 0 is UP
Daemon Status:           Up
                        XTU-R (DS)              XTU-C (US)
Chip Vendor ID:         'BDCM'                   'IFTN'  
Chip Vendor Specific:   0x0000                   0x82B9
Chip Vendor Country:    0xB500                   0xB500
Modem Vendor ID:        'CSCO'                   '    '  
Modem Vendor Specific:  0x4602                   0x0000
Modem Vendor Country:   0xB500                   0x0000
Serial Number Near:    FCZ19349253 C886VAJ- 15.4(3)M3
Serial Number Far:
Modem Version Near:    15.4(3)M3
Modem Version Far:     0x82b9
Modem Status:            TC Sync (Showtime!)
DSL Config Mode:         AUTO
Trained Mode:   G.992.5 (ADSL2+) Annex J


sh run int atm0.1
Building configuration...
Current configuration : 110 bytes
!
interface ATM0.1 point-to-point
 pvc 1/32
  bridge-dot1q encap 7
  pppoe-client dial-pool-number 1
 !
end

ipv6 dhcp pool TELEKOMv6_POOL
 prefix-delegation pool TELEKOMv6_PREFIX
 import dns-server
 domain-name homenet

ipv6 dhcp pool TELEKOMv6_GAST
 import dns-server
 domain-name guestnet

interface Vlan1
 ipv6 address TELEKOMv6_PREFIX ::1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server TELEKOMv6_POOL

interface Vlan2
 ipv6 address TELEKOMv6_PREFIX ::10:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server TELEKOMv6_GAST

interface Dialer0
 ipv6 address FE80::179:1 link-local
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 dhcp client pd TELEKOMv6_PREFIX

DHCPv6 pool: TELEKOMv6_POOL
  Prefix pool: TELEKOMv6_PREFIX
               preferred lifetime 604800, valid lifetime 2592000
  Imported DNS server: 2003:180:2:5000:0:1:0:53
  Imported DNS server: 2003:180:2:2000:0:1:0:53

DHCPv6 pool: TELEKOMv6_GAST
  Imported DNS server: 2003:180:2:5000:0:1:0:53
  Imported DNS server: 2003:180:2:2000:0:1:0:53

886VA(config)#ipv6 local pool TEST ?
  X:X:X:X::X/<0-128>  IPv6 pool prefix x:x::y/<z>

886VA(config)#ipv6 local pool TEST TELEKOMv6_PREFIX
                                   ^
% Invalid input detected at '^' marker.  

886VA(config)#ipv6 local pool TEST 2001:DB8:1200::/40 48

ip multicast-routing

ip pim sparse-mode
 ip igmp helper-address <IP der Fritte>
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp query-interval 15
 ip igmp proxy-service

Current configuration : 6115 bytes
!
! Last configuration change at 12:54:01 CEST Sat Sep 17 2016
version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CISCORT
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret xxxxxxxxxx
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local 
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
no ip bootp server
ip domain name homenet.local
ip name-server 192.168.201.185
ip name-server 8.8.8.8
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
license udi pid C886VAJ-K9 sn FCZ202693XK
license boot module c800 level advipservices
!
username xxxx RouterAdmin xxxx password xxxxxx
username xxxx vpnuser xxxx password xxxxx
username xxxx VPNGROUP xxxx password xxxxxx
!
controller VDSL 0
!
ip tcp synwait-time 10
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group xxxx GROUP xxxxe
 key xxxxxxxxxxx
 dns 192.168.201.185
 domain homenet.local
 pool vpnpool
 save-password
 max-users 2
 banner ^C === Welcome to HomeNet VPN === ^C
crypto isakmp profile VPNclient
   description VPN Client Profil
   match identity group HomeNetVPN
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac 
 mode tunnel
!
crypto ipsec profile vpn-vti2
 set transform-set myset 
!
interface Null0
 no ip unreachables
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 pvc 1/32 
  bridge-dot1q encap 7
  pppoe-client dial-pool-number 1
 !
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 shutdown
!
interface FastEthernet0
 no ip address
 shutdown
!
interface FastEthernet1
 description HomeNet Gateway
 switchport access vlan 101
 no ip address
!
interface FastEthernet2
 no ip address
 shutdown
!
interface FastEthernet3
 no ip address
 shutdown
 no cdp enable
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
 description VPN VLAN Interface
 ip address 192.168.100.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 shutdown
!
interface Vlan101
 description Internal (FastEthernet1)
 ip address 192.168.101.10 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description DSL Dialer
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username xxxxxxxxxxxxxxxxxx@t-online.de password xxxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip local pool vpnpool 192.168.100.240 192.168.100.250
no ip forward-protocol nd
ip http server
ip http access-class 1
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 192.168.0.0 255.255.0.0 192.168.101.254
!
dialer-list 1 protocol ip list 101
no cdp run
!         
access-list 1 remark HTTP Access-class list
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 1 permit 192.168.101.0 0.0.0.255
access-list 1 deny   any
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq non500-isakmp log
access-list 111 permit tcp 17.0.0.0 0.255.255.255 any log
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny   ip any any log
!         
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
line con 0
 no modem enable
 transport output telnet
line aux 0
 transport output telnet
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input telnet ssh
!
scheduler allocate 20000 1000
scheduler interval 500
ntp server 130.149.17.8 source Dialer0
!
end

Try this that should fix the problem: //
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp //

crypto map mymap 10 ipsec-isakmp
 ! Incomplete
 set peer cisco.web.com dynamic
 set transform-set myset
 match address 140
crypto map mymap 65535 ipsec-isakmp dynamic dyn

version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ciscoA
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret 5 passwort
!
aaa new-model
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local 
!
aaa session-id common
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.1.1 10.10.1.49
ip dhcp excluded-address 10.10.1.200 10.10.1.220
ip dhcp ping packets 3
ip dhcp ping timeout 100
!
ip dhcp pool HeimNetz
 network 10.10.1.0 255.255.255.0
 default-router 10.10.1.1 
 dns-server 10.10.1.1 
 domain-name ciscoA.intern
 lease 7
!
no ip bootp server
ip domain name ciscoA.intern
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
ip ddns update method noip.me
 HTTP
  add http://benutzer:passwort@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 1 0 0 0
!
no ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
username test privilege 15 password 7 paswort123
username test2 password 7 paswort123
username test3 password 7 paswort123
!
no cdp run
!
ip tcp synwait-time 10
! 
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
crypto isakmp key isakmpkey123 hostname ciscoB.noip.me
!
crypto isakmp client configuration group VPNdialin
 key isakmpkey123
 dns 10.10.1.1
 domain ciscoA.intern
 pool vpnpool
 save-password
 max-logins 3
crypto isakmp profile VPNclient
   description VPN Client Profil
   match identity group VPNdialin
   client authentication list clientauth
   isakmp authorization list groupauth
   client configuration address respond
   virtual-template 2
!
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac 
 mode tunnel
crypto ipsec transform-set vpn esp-aes esp-sha-hmac 
 mode tunnel
!
crypto ipsec profile vpn-vti2
 set transform-set myset 
!
crypto map vpnpeer 10 ipsec-isakmp 
 description VPN Verbindung zu Standort B
 set peer ciscoB.noip.me
 set transform-set vpn 
 match address 107
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface FastEthernet0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 no ip address
 no ip route-cache
 duplex auto
 speed auto
!
interface GigabitEthernet8.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 no ip route-cache
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Virtual-Template2 type tunnel
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
 description Lokales LAN
 ip address 10.10.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Async3
 no ip address
 encapsulation slip
!
interface Dialer0
 description DSL Einwahl Interface
 ip ddns update hostname ciscoA.noip.me
 ip ddns update noip.me
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username kennung@t-online.de password 7 12345567890
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
 crypto map vpnpeer
!
ip local pool vpnpool 10.10.1.201 10.10.1.220
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
!
route-map nonat permit 10
 match ip address 111
!
access-list 23 permit 10.10.1.0 0.0.0.255
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 107 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 deny   ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit ip 10.10.1.0 0.0.0.255 any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny   ip any any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
 no modem enable
line aux 0
line 3
 modem InOut
 speed 115200
 flowcontrol hardware
line vty 0 4
 access-class 23 in
 privilege level 15
 password 7 passwort123
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp master
ntp server 130.149.17.8 source Dialer0
!
end

dein_router#sh deb

Cryptographic Subsystem:
  Crypto ISAKMP debugging is on
  Crypto IPSEC debugging is on
dein_router#

130541512: Sep 30 11:15:38.372: ISAKMP:(16478): processing NONCE payload. message ID = 1954107565
130541513: Sep 30 11:15:38.372: ISAKMP:(16478): processing KE payload. message ID = 1954107565
130541514: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565
130541515: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565
130541516: Sep 30 11:15:38.380: ISAKMP:(16478): Creating IPSec SAs
130541517: Sep 30 11:15:38.380:         inbound SA from x.x.x.x to y.y.y.y (f/i)  0/ 0
        (proxy 0.0.0.0 to 0.0.0.0)
130541518: Sep 30 11:15:38.380:         has spi 0xD2C7A6A0 and conn_id 0
130541519: Sep 30 11:15:38.380:         lifetime of 3600 seconds
130541520: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes
130541521: Sep 30 11:15:38.380:         outbound SA from y.y.y.y to x.x.x.x (f/i) 0/0
        (proxy 0.0.0.0 to 0.0.0.0)
130541522: Sep 30 11:15:38.380:         has spi  0x1500AB27 and conn_id 0
130541523: Sep 30 11:15:38.380:         lifetime of 3600 seconds
130541524: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes
130541525: Sep 30 11:15:38.380: ISAKMP:(16478): sending packet to x.x.x.x my_port 500 peer_port 13798 (R) QM_IDLE      
130541526: Sep 30 11:15:38.380: ISAKMP:(16478):Sending an IKE IPv4 Packet.
130541527: Sep 30 11:15:38.380: ISAKMP:(16478):deleting node 1954107565 error FALSE reason "No Error"  
130541528: Sep 30 11:15:38.380: ISAKMP:(16478):Node 1954107565, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
130541529: Sep 30 11:15:38.380: ISAKMP:(16478):Old State = IKE_QM_I_QM1  New State = IKE_QM_PHASE2_COMPLETE
130541530: Sep 30 11:15:38.380: IPSEC(key_engine): got a queue event with 1 KMI message(s)
130541531: Sep 30 11:15:38.380: Crypto mapdb : proxy_match
	src addr     : 0.0.0.0
	dst addr     : 0.0.0.0
	protocol     : 0
	src port     : 0
	dst port     : 0
130541532: Sep 30 11:15:38.380: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer x.x.x.x
130541533: Sep 30 11:15:38.380: IPSEC(rte_mgr): VPN Route Event create SA based on crypto ACL in real time for x.x.x.x
130541534: Sep 30 11:15:38.380: IPSEC(create_sa): sa created,
  (sa) sa_dest= y.y.y.y, sa_proto= 50, 
    sa_spi= 0xD2C7A6A0(3536299680), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1569
    sa_lifetime(k/sec)= (4531007/3600)
vpn-ts-ntr001#
130541535: Sep 30 11:15:38.380: IPSEC(create_sa): sa created,
  (sa) sa_dest= x.x.x.x, sa_proto= 50, 
    sa_spi= 0x1500AB27(352365351), 
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1570
    sa_lifetime(k/sec)= (4531007/3600)
130541536: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): get enable SA peer x.x.x.x current outbound sa to SPI 1500AB27
130541537: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): updated peer x.x.x.x current outbound sa to SPI 1500AB27
130541538: Sep 30 11:15:38.400: ISAKMP:(15773):purging node -1004512891
130541539: Sep 30 11:15:38.444: ISAKMP:(13548):purging node -525138938
130541540: Sep 30 11:15:38.444: ISAKMP:(12408):purging node -205578356
130541541: Sep 30 11:15:38.540: ISAKMP (13799): received packet from x.x.x.x dport 500 sport 37019 Global (R) QM_IDLE      
130541542: Sep 30 11:15:38.540: ISAKMP: set new node -389124565 to QM_IDLE      
130541543: Sep 30 11:15:38.540: ISAKMP:(13799):processing transaction payload from x.x.x.x. message ID = -389124565
130541544: Sep 30 11:15:38.540: ISAKMP: Config payload SET
130541545: Sep 30 11:15:38.540: ISAKMP:(13799):checking SET:
130541546: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541547: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541548: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541549: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541550: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541551: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541552: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541553: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541554: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541555: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
130541556: Sep 30 11:15:38.540: ISAKMP:(13799):attributes sent in message:
130541557: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541558: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192
130541559: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192
130541560: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541561: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541562: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541563: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541564: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541565: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
130541566: Sep 30 11:15:38.540:         Client subnet: 0.0.0.0 0.0.0.0

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key isakmpkey123 address 0.0.0.0

crypto map vpnpeer 10 ipsec-isakmp
 description VPN Verbindung zu Standort B
 set peer ciscoB.noip.me dynamic
 set transform-set vpn
 match address 107
 reverse-route          <-----   falls ich die Einstellung weg lasse, kommt ebenfalls keine Verbindung zu stande.

ciscoA#ping 192.168.100.9 source 192.168.178.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.178.1

Oct 13 07:38:23.889 MET: IPSEC: Peer ciscoB.noip.me's addr (x.x.x.139) is stale, triggering DNS  
Oct 13 07:38:23.925 MET: IPSEC: Peer ciscoB.me has been DNS resolved to x.x.x.139, expires in 00:00:40.
Oct 13 07:38:25.890 MET: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= x.x.x.73:500, remote= x.x.x.139:500,
    local_proxy= 192.168.178.0/255.255.255.0/256/0,
    remote_proxy= 192.168.100.0/255.255.255.0/256/0,
    protocol= ESP, transform= esp-aes 256 esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Oct 13 07:38:25.890 MET: ISAKMP: set new node 0 to QM_IDLE
Oct 13 07:38:25.890 MET: SA has outstanding requests  (local x.x.x.73 port 500, remote x.x.x.139 port 500)
Oct 13 07:38:25.890 MET: ISAKMP:(2006): sitting IDLE. Starting QM immediately (QM_IDLE      )
Oct 13 07:38:25.890 MET: ISAKMP:(2006):beginning Quick Mode exchange, M-ID of 2036387119
Oct 13 07:38:25.890 MET: ISAKMP:(2006):QM Initiator gets spi
Oct 13 07:38:25.890 MET: ISAKMP:(2006): sending packet to x.x.x.139 my_port 500 peer_port 500 (R) QM_IDLE
Oct 13 07:38:25.890 MET: ISAKMP:(2006):Sending an IKE IPv4 Packet.
Oct 13 07:38:25.890 MET: ISAKMP:(2006):Node 2036387119, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Oct 13 07:38:25.890 MET: ISAKMP:(2006):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
Oct 13 07:38:26.126 MET: ISAKMP (2006): received packet from x.x.x.139 dport 500 sport 500 Global (R) QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP: set new node 623765356 to QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP:(2006): processing HASH payload. message ID = 623765356
Oct 13 07:38:26.126 MET: ISAKMP:(2006): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 290688999, message ID = 623765356, sa = 0x2373680
Oct 13 07:38:26.126 MET: ISAKMP:(2006): deleting spi 290688999 message ID = 2036387119
Oct 13 07:38:26.126 MET: ISAKMP:(2006):deleting node 2036387119 error TRUE reason "Delete Larval"  
Oct 13 07:38:26.126 MET: ISAKMP:(2006):deleting node 623765356 error FALSE reason "Informational (in) state 1"  
Oct 13 07:38:26.126 MET: ISAKMP:(2006):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Oct 13 07:38:26.126 MET: ISAKMP:(2006):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
....
Success rate is 0 percent (0/5)

dies bringt er einige male und hört danach auf. Er fängt nicht mit der 2.Phase an

ciscoA#show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
x.x.x.73   x.x.x.139   QM_IDLE           2006 ACTIVE
#show crypto ipsec sa

interface: Dialer0
    Crypto map tag: vpnpeer, local addr x.x.x.73

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.178.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
   current_peer x.x.x.x port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 28, #recv errors 0

     local crypto endpt.: x.x.x.73, remote crypto endpt.: x.x.x.139
     plaintext mtu 1492, path mtu 1492, ip mtu 1492, ip mtu idb Dialer0
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

ip nat inside source list 101 interface Dialer0 overload
!
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 101 deny   ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.178.0 0.0.0.255 any
access-list 107 permit ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 111 permit ip 192.168.178.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny   ip any any

#ping 192.168.178.9 source 192.168.100.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.178.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.254

000041: Oct 13 11:21:15.876 MET: IPSEC: Peer ciscoa.noip.me's addr (0.0.0.0) is stale, triggering DNS  
000042: Oct 13 11:21:16.136 MET: IPSEC: Peer ciscoa.noip.me has been DNS resolved to x.x.x.73, e      xpires in 00:00:40.
000043: Oct 13 11:21:17.876 MET: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= x.x.x.4:500, remote= x.x.x.73:500,
    local_proxy= 192.168.100.0/255.255.255.0/256/0,
    remote_proxy= 192.168.178.0/255.255.255.0/256/0,
    protocol= ESP, transform= esp-aes 256 esp-sha-hmac  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
000044: Oct 13 11:21:17.876 MET: ISAKMP:(0): SA request profile is (NULL)
000045: Oct 13 11:21:17.876 MET: ISAKMP: Created a peer struct for x.x.x.73, peer port 500
000046: Oct 13 11:21:17.876 MET: ISAKMP: New peer created peer = 0x3D70C84 peer_handle = 0x80000002
000047: Oct 13 11:21:17.876 MET: ISAKMP: Locking peer struct 0x3D70C84, refcount 1 for isakmp_initiator
000048: Oct 13 11:21:17.876 MET: ISAKMP: local port 500, remote port 500
000049: Oct 13 11:21:17.876 MET: ISAKMP: set new node 0 to QM_IDLE
000050: Oct 13 11:21:17.876 MET: ISAKMP:(0):insert sa successfully sa = 1019D08
000051: Oct 13 11:21:17.876 MET: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
000052: Oct 13 11:21:17.876 MET: ISAKMP:(0):No pre-shared key with x.x.x.73!
000053: Oct 13 11:21:17.876 MET: ISAKMP:(0):Looking for a matching key for ciscoa.noip.me in default
000054: Oct 13 11:21:17.876 MET: ISAKMP:(0): constructed NAT-T vendor-rfc3947 ID
000055: Oct 13 11:21:17.876 MET: ISAKMP:(0): constructed NAT-T vendor-07 ID
000056: Oct 13 11:21:17.876 MET: ISAKMP:(0): constructed NAT-T vendor-03 ID
000057: Oct 13 11:21:17.876 MET: ISAKMP:(0): constructed NAT-T vendor-02 ID
000058: Oct 13 11:21:17.876 MET: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
000059: Oct 13 11:21:17.876 MET: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

000060: Oct 13 11:21:17.876 MET: ISAKMP:(0): beginning Main Mode exchange
000061: Oct 13 11:21:17.876 MET: ISAKMP:(0): sending packet to x.x.x.73 my_port 500 peer_port 500 (      I) MM_NO_STATE
000062: Oct 13 11:21:17.876 MET: ISAKMP:(0):Sending an IKE IPv4 Packet.
000063: Oct 13 11:21:17.944 MET: ISAKMP (0): received packet from x.x.x.73 dport 500 sport 500 Glob      al (I) MM_NO_STATE
000064: Oct 13 11:21:17.944 MET: ISAKMP:(0):Notify has no hash. Rejected.
000065: Oct 13 11:21:17.944 MET: ISAKMP (0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state =       IKE_I_MM1
000066: Oct 13 11:21:17.944 MET: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
000067: Oct 13 11:21:17.944 MET: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM1

000068: Oct 13 11:21:17.944 MET: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed wi      th peer at x.x.x.73....
Success rate is 0 percent (0/5)

object-group service vpn-in
 description VPN inbound
 esp
 udp eq 443
 udp eq isakmp
 udp eq non500-isakmp
 tcp eq www
 tcp eq 443
 tcp eq 10000

version 15.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco_881
!
boot-start-marker
boot system flash c880data-universalk9-mz.154-3.M4.bin
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 4 XXX
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authentication login sslvpn local
aaa authorization network groupauth local
!
!
aaa session-id unique
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint Trustpoint_SSLVPN
 enrollment selfsigned
 serial-number
 subject-name CN=vpn.XXX.de
 revocation-check crl
 rsakeypair RSA_NXXX
!
!
crypto pki certificate chain Trustpoint_SSLVPN
 certificate self-signed 03
YYYYYY YYYYYY YYYYYY
        quit
!
!
no ip source-route
no ip gratuitous-arps
!
!
ip domain name nieder.XXX
ip name-server 194.25.0.60
ip name-server 194.25.0.52
ip name-server 8.8.8.8
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
ip inspect name myfw rtsp
!
ip cef
no ipv6 cef
!
!
cts logging verbose
license udi pid CISCO881-SEC-K9 sn FCZ112345678
license boot module c880-data level advsecurity
!
!
object-group network cameras
 description Netzwerk-Kameras
 host 192.168.178.220
 host 192.168.178.221
 host 192.168.178.222
 host 192.168.178.223
!
object-group service services-in
 description Netzwerkdienste
 tcp eq domain
 udp eq domain
 udp eq ntp
!
object-group service voip-in
 description voip inbound
 udp eq 5060
 udp eq 5070
 udp eq 5080
 udp range 30000 31000
 udp range 40000 41000
!
object-group network voip-servers
 description VoIP-Server Telekom und sipgate
 217.0.0.0 255.248.0.0
 217.10.64.0 255.255.240.0
 217.116.112.0 255.255.240.0
 212.9.32.0 255.255.224.0
!
object-group service vpn-in
 description VPN inbound
 esp
 udp eq 443
 udp eq isakmp
 udp eq non500-isakmp
 udq eq 3000
 tcp eq www
 tcp eq 443
 tcp eq 10000
 udp eq 3000
 !
username admin privilege 15 secret 4 XYZABC
!
crypto vpn anyconnect flash:/webvpn/anyconnect-win-4.4.00243-webdeploy-k9.pkg sequence 1
!
crypto vpn anyconnect flash:/webvpn/anyconnect-macos-4.4.00243-webdeploy-k9.pkg sequence 2
!
crypto vpn anyconnect profile VPN_PROFILE flash:/RDProfile.xsd
!
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 switchport mode trunk
 no ip address
!
interface FastEthernet4
 description $ETH-WAN$
 no ip address
 no ip proxy-arp
 ip flow ingress
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Virtual-Template1
 ip unnumbered Dialer1
!
interface Vlan1
 description LAN
 ip address 192.168.178.254 255.255.255.0
 ip access-group 102 in
 ip access-group 102 out
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan10
 description Voice-VLAN
 ip address 192.168.10.254 255.255.255.0
 ip access-group 103 in
 ip access-group 103 out
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan100
 description Guest-VLAN
 ip address 172.20.2.254 255.255.255.0
 ip access-group 104 in
 ip access-group 104 out
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer1
 description VDSL Einwahl-Interface
 ip ddns update hostname vpn.XXX.de
 ip ddns update Strato
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip flow ingress
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1452
 load-interval 30
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname 1234567890@t-online.de
 ppp chap password 0 12345678
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip local pool vpnpool 10.10.10.1 10.10.10.10
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
no ip ftp passive
ip dns server
ip nat inside source list 101 interface Dialer1 overload
ip ssh version 2
ip scp server enable
!
kron occurrence DSL-Reconnect at 4:00 recurring
 policy-list DSL-Reconnect
!
kron policy-list DSL-Reconnect
 cli clear interface Dialer1
!
dialer-list 1 protocol ip permit
!
access-list 101 permit ip 192.168.178.0 0.0.0.255 any
access-list 101 permit ip 172.20.2.0 0.0.0.255 any
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 102 deny   ip 172.20.2.0 0.0.0.255 192.168.178.0 0.0.0.255
access-list 102 deny   ip 192.168.178.0 0.0.0.255 172.20.2.0 0.0.0.255
access-list 102 permit ip any any
access-list 103 deny   ip 172.20.2.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 103 deny   ip 192.168.10.0 0.0.0.255 172.20.2.0 0.0.0.255
access-list 103 permit ip any any
access-list 104 deny   ip 172.20.2.0 0.0.0.255 192.168.178.0 0.0.0.255
access-list 104 deny   ip 192.168.178.0 0.0.0.255 172.20.2.0 0.0.0.255
access-list 104 deny   ip 172.20.2.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 deny   ip 192.168.10.0 0.0.0.255 172.20.2.0 0.0.0.255
access-list 104 permit ip any any
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 length 0
 transport input ssh
!
scheduler allocate 20000 1000
ntp master
ntp server de.pool.ntp.org minpoll 8
!
!
webvpn gateway SSLVPN_Gateway
 ip interface Dialer1 port 443
 ssl encryption aes256-sha1
 ssl trustpoint Trustpoint_SSLVPN
 inservice
 dtls port 3000
 !
webvpn context SSLVPN
 title "VPN"  
 color grey
 secondary-color black
 title-color #669999
 login-message "Please log in."  
 aaa authentication list sslvpn
 gateway SSLVPN_Gateway
 logging enable
 !
 ssl authenticate verify all
 inservice
 !
 policy group SSLVPN
   functions svc-enabled
   functions svc-required
   timeout idle 86400
   timeout session 1209600
   svc address-pool "vpnpool" netmask 255.255.255.255  
   svc keep-client-installed
   svc rekey method new-tunnel
   svc split include 192.168.178.0 255.255.255.0
   mask-urls
 default-group-policy SSLVPN
!
end

ip multicast-routing
ip pim ssm default
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
(ip igmp proxy-service)*
!
interface Dialer0
description VDSL PPPoE Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip pim sparse-mode
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
ip igmp version 3
ip igmp query-interval 15
(ip igmp proxy-service)*
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxx@t-online.de password 0 xxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip pim rp-address 62.155.243.102
!
(*) Das Interface Kommando ip igmp proxy-service kann mit der neuen Enterain 2.0 Version der Telekom auch entfallen. Es ist nicht mehr zwingend notwendig !

Da die Telekom aber noch beide Optionen aktiv hat auch über das bis dato erforderliche VLAN 8 Tagging der Vollständigkeit halber auch diese Konfig Variante:
!
ip multicast-routing
ip pim ssm default
!
interface Ethernet0.8
description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-mode
no ip mroute-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!
interface Vlan1
ip pim sparse-mode
ip igmp helper-address <Rendezvous Point IP>
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
ip pim rp-address <Rendezvous Point IP>

Damit ist die Konfigurationsanpassung zur Nutzung etwaiger IP-TV Entertain Optionen problemlos und schnell möglich.
Update:
Die Prozedur der Rendezvous Point IP Adress Ermittlung ist mittlerweile einfacher als oben im PDF beschrieben.
Die Multicast Rendezvous Point IP Adressen werden über DHCP mitgeteilt. Wenn das Sub Interface Ethernet0.8 (VLAN Tag 8) korrekt konfiguriert ist, kommt es mit einer 10.X.X.X IP Adresse hoch ("show ip int brief"), und es werden 2 Routen gelernt. Ein show dhcp lease zeigt dann abhängig vom jeweiligen Ort z.B. so etwas an:  
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254
(Dank an Forumsmitglied @cpt-haddock für seinen Hinweis im u.a. Thread !)

*Dec 30 22:42:54.775: Vi1 PPP: Missed 5 keepalives, taking LCP down
*Dec 30 22:42:54.775: Vi1 PPP DISC: Missed too many keepalives
*Dec 30 22:42:54.775: Vi1 PPP: Sending Acct Event[Down] id[54]
*Dec 30 22:42:54.775: PPP: NET STOP send to AAA.
*Dec 30 22:42:54.775: Vi1 IPCP: Event[DOWN] State[Open to Starting]
*Dec 30 22:42:54.775: Vi1 IPCP: Event[CLOSE] State[Starting to Initial]
*Dec 30 22:42:54.775: Vi1 LCP: O TERMREQ [Open] id 2 len 4
*Dec 30 22:42:54.775: Vi1 LCP: Event[CLOSE] State[Open to Closing]
*Dec 30 22:42:54.775: Vi1 PPP: Phase is TERMINATING
*Dec 30 22:42:54.775: Vi1 LCP: Event[DOWN] State[Closing to Initial]
*Dec 30 22:42:54.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down
*Dec 30 22:42:54.775: Vi1 PPP: Phase is DOWN
*Dec 30 22:42:54.783: Di1 Deleted neighbor route from AVL tree: topoid 0, address 87.186.225.87
*Dec 30 22:42:54.783: Di1 IPCP: Remove route to 87.186.225.87
*Dec 30 22:42:54.783: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Dec 30 22:42:54.787: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

zone security private 
zone security internet

class-map type inspect match-any internet-traffic-class
match protocol http
match protocol https
match protocol dns
match protocol icmp
match protocol pop3s
match protocol imaps
match protocol smtp extended
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp

class-map type inspect match-any router_protocols
match protocol icmp
match protocol udp




policy-map type inspect privatezuinternet 
description Traffic private zu internet
class type inspect internet-traffic-class
inspect
class class-default
drop

policy-map type inspect routerzuinternet
description Traffic router zum internet
class type inspect router_protocols
inspect
class

policy-map type inspect internetzurouter
description Traffic internet zu router
class type inspect router_protocols
inspect
class class-default
drop


zone-pair security privatezuinternet source private destination internet
service-policy type inspect privatezuinternet
zone-pair security routerzuinternet source self destination internet
service-policy type inspect routerzuinternet
zone-pair security internetzurouter source internet destination self
service-policy type inspect internetzurouter



int gi0/1 
zone-member security private
int gi0/0
zone-member security internet

int dialer0
zone-member security internet

show ppp all
Interface/ID OPEN+ Nego* Fail-     Stage    Peer Address    Peer Name
------------ --------------------- -------- --------------- --------------------
Vi3          LCP+ IPCP+            LocalT   62.155.246.164  JUNOS

sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
       T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
       U - URD, I - Received Source Specific Host Report,
       Z - Multicast Tunnel, z - MDT-data group sender,
       Y - Joined MDT-data group, y - Sending to MDT-data group,
       V - RD & Vector, v - Vector
Outgoing interface flags: H - Hardware switched, A - Assert winner
 Timers: Uptime/Expires
 Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 233.89.188.1), 02:46:19/00:02:49, RP 62.155.246.164, flags: SJC
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 02:46:19/00:02:49

(*, 239.255.255.250), 02:46:20/stopped, RP 62.155.246.164, flags: SJCF
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 02:46:20/00:02:50

(192.168.5.101, 239.255.255.250), 02:44:42/00:02:08, flags: PFT
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(192.168.5.156, 239.255.255.250), 02:45:21/00:01:38, flags: PFT
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(192.168.5.1, 239.255.255.250), 02:45:43/00:01:06, flags: PFT
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(87.141.215.251, 232.0.20.35), 00:27:04/00:02:50, flags: sTI
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 00:27:04/00:02:50

(*, 239.254.127.63), 02:46:19/00:02:51, RP 62.155.246.164, flags: SJC
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 02:46:19/00:02:51

(*, 224.0.1.60), 02:46:19/00:02:50, RP 62.155.246.164, flags: SJC
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 01:56:48/00:02:50

(*, 224.0.1.40), 02:46:21/00:01:37, RP 62.155.246.164, flags: SJCL
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
  Outgoing interface list:
    GigabitEthernet0/1, Forward/Sparse, 02:46:20/00:01:37

show ip pim interface

Address          Interface                Ver/   Nbr    Query  DR     DR
                                          Mode   Count  Intvl  Prior
192.168.5.2      GigabitEthernet0/1       v2/S   0      30     1      192.168.5.2
91.37.144.253    Dialer0                  v2/S   1      30     1      0.0.0.0
0.0.0.0          Virtual-Access3          v2/S   0      30     1      0.0.0.0