kuemmel
Goto Top

Stichwort "Routerfreiheit": Cisco 881 bzw. 891 hinter Zwangsrouter

back-to-topHINWEIS: Dieser Beitrag befindet sich aktuell noch im Aufbau!!!



Jaja die Routerfreiheit.. Die Frage die ich mir immer wieder stelle: Wo ist sie eigentlich? Man hört es doch ständig in den Medien.. Ich kann nur folgendes dazu berichten: Ich selber arbeite sehr viel im TK-Bereich und habe auch einen Freundeskreis der aus Telekom-Technikern besteht. Wenn man sich da nur mal die ein oder andere Geschichte von den Kunden anhört stellt man sich wieder die Frage: Wie war das nochmal mit der Routerfreiheit? Ich würde jetzt einfach mal frech behaupten das 80% der Carrier ihre Kunden dazu "nötigen" trotz Routerfreiheit die Provider-Router zu verwenden. Das passiert i. d. R. auf unterschiedliche Arten:

  • Kein Provider-Router? Sorry, dann können wir Ihnen leider nicht weiterhelfen. Bitte holen Sie sich eine EasyBox/Speedport/o2Box.. und rufen Sie dann erneut die Hotline an. Vielen Dank!
  • Kein Provider-Router? Oh, mit ihrem Router-Modell kenne ich mich leider gar nicht aus, da müsste ich Sie mit einem Kollegen verbinden um die Leitung durchmessen zu können, der ist leider erst nächste Woche wieder da, ich kann da leider im Moment überhaupt nichts für Sie tun.
  • Kein Provider-Router? Welches Modell haben Sie denn? Einen xxxxxx? Der funktioniert leider an ihrem Anschluss nicht, ich kann Ihnen aber gerne einen kompatiblen Router zu Ihrem Vertrag hinzubuchen!
  • usw. ..

Wer sich ein bisschen mit der Materie auskennt, weiß, alles Mumpitz. Beispielsweise muss bis zur 1. TAE der Carrier immer die Leitung auf Fehler prüfen können und wenn zu dem o2/Vodafone/Telekom..-Kunde jetzt noch ein Telekom-Techniker kommt der eigentlich nur den Auftrag hat die Leitung bis zur 1. TAE zu messen und sagt die Leitung ist in Ordnung und dem Kunden dann noch erklären muss, dass er nicht den Router vom Kunden einrichten kann/muss/will, brennt die Lunte.


Aber mal zum eigentlichen Problem selbst: Klar, das kleine Bauunternehmen von nebenan oder Oma Gertrudes Blumenladen benötigt nicht unbedingt einen LANCOM/CISCO..-Router um mit den Enkeln skypen zu können o. ä., aber ich erlebe diese Wunschvorstellung Routerfreiheit auch immer mal wieder im Enterprise-Bereich und eben genau da tut es einfach nicht die Easybox 803 o.ä. in einem 1000-Mann-Unternehmen. Wer hier im Forum schon ein paar Tage länger dabei ist, weiß was ich meine wenn man sich mal durch den ein oder anderen Beitrag duchklickt.

Abhilfe schafft da ein Router aus dem Enterprise-Bereich, welcher hinter den Zwangsrouter geklemmt wird. Auf dem Markt gibt es dazu ja genügend Hersteller die so etwas anbieten.
Um mal ein paar Beispiele zu nennen:

  • LANCOM
  • CISCO
  • Viprinet
  • Alcatel-Lucent
  • und noch viele weitere..

So könnt ihr den Zwangsrouter weiterverwenden damit euer Provider Ruhe gibt und habt dennoch die Möglichkeit Enterprise-Funktionen zu verwenden. Einer der bekanntesten Hersteller hier ist natürlich Cisco. Das Unternehmen hat einfach eine langjährige Erfahrung in diesem Bereich gesammelt und lässt sich das i. d. R. auch gut bezahlen. Abhilfe schafft hier beispielsweise ein Cisco 881 oder ein Cisco C891F. Die technischen Daten/Unterschiede zwischen den beiden Modellen können dem entsprechenden Data Sheet entnommen werden:


Ein wesentlicher Unterschied ist, dass die 890-Serie Gigabit statt FastEthernet-Ports hat, wie es bei der 880-Serie ist. Gerade wenn wir von WAN-Bandbreiten 50 MBit/s aufwärts sprechen, führt an der 890-Serie kein Weg vorbei. Das Problem ist, die 890-Serie ist noch sehr teuer in der Anschaffung, da sie noch sehr frisch auf dem Markt ist und immer mehr große Unternehmen vom Cisco 880 zum 890 upgraden. Der Vorteil für uns dabei? Auf ebay werden die 880er für kleines Geld angeboten (ca. 60€). Man bekommt also für 60€ einen Router aus dem Enterprise-Bereich der vielleicht ein bisschen in die Jahre gekommen ist, für die meisten Fälle aber immer noch ausreichend ist. Wer mehr will, muss halt tiefer in die Tasche greifen und zum Gigabit-Pendant 890 greifen oder gar zum großem Bruder dem Cisco ISR4331, welchen die Deutsche Telekom unter anderem auch selbst anbietet wie auch den 886 ( ein 881 mit ADSL-/VDSL-Modem): Übersicht Telekom Cisco Router

Um euch nun das Leben zu erleichtern, Stelle ich euch hier eine Cisco-IOS-Config zur Verfügung, um einen Cisco-Router hinter einem Zwangsrouter zu betreiben. In meinem Fall ist dies ein Speedport W724V mit einem dahinter geschaltetem Cisco 881.

Vorab: Diese Konfiguration/dieses Wissen stammt von unserem Netzwerk-Guru @aqui welche größtenteils aus folgendem Beitrag übernommen wurde:
Konfiguration Cisco 886

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco881
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 3
enable secret cisco
!
no aaa new-model
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.100.170 192.168.100.254
!
ip dhcp pool local
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254 
dns-server 192.168.100.254 
domain-name soho.intern
!
ip domain name soho.intern
ip name-server 192.168.2.1
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp

ip cef
no ipv6 cef
!
username cisco password cisco
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
description Link to Speedport
ip address 192.168.2.254 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 192.168.2.1
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any 
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
ntp server 130.149.17.8 source FastEthernet4
!
end

Der Speedport/Zwangsrouter hat in diesem Fall die IP 192.168.2.1 (Speedport-Default-IP).
Der Cisco bekomt die 192.168.100.254.
Als Username und Passwort dient das Wort "cisco".
Außerdem vergibt der DHCP-Server des Ciscos keine IPs in der Range von 192.168.100.170 bis 192.168.100.254, um noch einen Puffer für später hinzukommende statische IPs freizuhalten.
Diese Angaben je nach Bedarf bitte anpassen.

Anonsten könnt ihr die Config einfach 1:1 abtippen und in euren Router übernehmen und schon habt ihr einen Enterprise-Router hinter einer Zwangsrouter-Gurke für kleines Geld. Alle weiteren technischen Details findet ihr hier.
Gruß
Kümmel

Content-ID: 334736

Url: https://administrator.de/tutorial/stichwort-routerfreiheit-cisco-881-bzw-891-hinter-zwangsrouter-334736.html

Ausgedruckt am: 21.12.2024 um 15:12 Uhr

brammer
brammer 10.04.2017 um 10:59:00 Uhr
Goto Top
Hallo,

@Kuemmel,

face-smile
schöner Beitrag....

Gerade für die User die den Zwangsrouter gegen einen privaten Router tauschen wollen, tritt immer wieder das Problem auf das die WLAN benötigen...
Und das WLAN der meisten Zwangsrouter ist Grottenschlecht.... .
Erweitere doch deine Konfiguration des Cisco um eine WLAN Konfiguration...
Einfach die hier zu recht biegen und dran hängen....

brammer
Kuemmel
Kuemmel 10.04.2017 um 11:01:32 Uhr
Goto Top
@brammer
Danke für die Blumen! Befindet sich aber wie oben beschrieben alles noch im Aufbau und da folgt noch was mach dir da mal keine Sorgen! face-smile
Bzgl. WLAN: Steht doch alles hier im oben verlinktem Beitrag von aqui face-wink:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
brammer
brammer 10.04.2017 um 11:05:24 Uhr
Goto Top
Hallo,

@Kuemmel
dann passt das ja....

brammer
Lochkartenstanzer
Lochkartenstanzer 10.04.2017 um 11:08:48 Uhr
Goto Top
Moin,

zumindest bei (V)DSL-Anschlüssen, zieht diese Ausrede nicht, wenn man dem Techniker deutlich macht, daß man Ahnung von der Materie hat und sie nur mit Ausreden kommen. Zumindest wissen meine Kunden, daß sie einfach den Techniker an michverweisen sollen, wenn es Probleme gibt.

lks
Kuemmel
Kuemmel 10.04.2017 aktualisiert um 11:11:52 Uhr
Goto Top
@Lochkartenstanzer:
Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein! face-wink
brammer
brammer 10.04.2017 um 11:16:36 Uhr
Goto Top
Hallo,

Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein! face-wink

spätestens wenn ich nach dem Vorgesetzten Frage und mir den Namen des Technikers noch mal sagen lasse...
dann funktioniert das fast immer face-smile

brammer
Lochkartenstanzer
Lochkartenstanzer 10.04.2017 aktualisiert um 11:21:29 Uhr
Goto Top
Zitat von @Kuemmel:

@Lochkartenstanzer:
Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein! face-wink

Das haben bei mir schon viele versucht. Aber wenn man denen deutlich macht, daß man mehr Ahnung von der Materie hat als sie, geben sie einen ganz schnell an den kompetenteren Kollegen weiter.

lks

PS. Ich wollte nciht Deien Leistung schmälern, sondern nur darauf hinweisen, daß die bessere Läösung immer noch die ist, dem Support klarzumachen, daß sie Ihre Arbeit machen sollen.
Kuemmel
Kuemmel 10.04.2017 um 18:16:20 Uhr
Goto Top
@lks
Keine Frage! face-smile Aber einige in meinem Bekanntenkreis können/wollen sich bei sowas einfach nicht durchsetzen und ich kann leider nicht überall sein! face-smile

Zum PS: Hab ich auch nicht so verstanden. Alles Gut face-smile
maretz
maretz 22.04.2017 um 15:37:01 Uhr
Goto Top
Moin,

ich weiss nicht was ihr habt - zumindest der Teil mit "ich kenne den Router nicht und kann nicht weiterhelfen" ist für mich völlig legitim. Warum sollte der Anbieter der Leitung jedem Kunden helfen der sich irgendeinen Router dahin stellt? Ist doch ganz einfach: Nimm das vom Hersteller - bekommst auch Support... Nimm was eigenes und zumindest den Teil musst dann halt auch selbst machen.

Was anderes ist die Frage ob es immer Sinn macht einen teuren Router so zu nutzen. Dann kann ich mir lieber einen (guten) Accesspoint kaufen ODER ich muss eben den Zwangsrouter von meiner Seite aus Ersetzen können (d.h. Zugangsdaten falls noch benötigt rein und was auch immer dafür eintragen). Welchen Vorteil bringt es mir einen teuren Router zu verwenden wenn dahinter die Kiste nix taugt? Port-Forwardings usw. dann durch zwei NAT-Systeme zu machen ist ebenfalls nich immer angenehm.

Es mag sein das es dafür Anwendungen gibt - aber zumindest bei mir wäre das einfach: Entweder Provider-Router ODER eigener, dann aber den Provider ganz rauskicken...
Lochkartenstanzer
Lochkartenstanzer 22.04.2017 um 15:49:03 Uhr
Goto Top
Moin,

Der Sinn ist ganz einfach: Auch wenn man freie Routerwahl hätte, gibt es doch situationen, in denen der Router vom Anbieter vorgegeben ist. Damit der aber nciht volle Kontrall über das LAn hat, muß man halt zwagnsweise einen eigenen Router, bzw Firewaal zwischen sein LAn und dem Anbiter-Router höngen. Da führt i.d.R. kein weg dran vorbei.

lks
brammer
brammer 24.04.2017 um 08:57:17 Uhr
Goto Top
Hallo,

mit der Vertrauenssituation das der Provider volle Kontrolle über mein Netz hätte, damit umzugehen hätte ich keine Lust.

Das der Anbieter sich aber oft rausredet das er nicht supporten kann wenn kein Provider Router am Anschluss hängt führt leider oft dazu das Supportfälle unnötig verzögert werden. Gerade bei Leitungsstörungen wird oft darauf hingewiesen das sie die Leitung nicht testen können weil ja kein Provider Router dranhängt. Technisch gesehen ist das absoluter Blödsinn.

Einen weiteren Router an den Anschluss zu hängen, ob jetzt Alternativ anstelle des Provider Router oder als Kaskade dahinter...da gibt es viel Gründe dafür und dagegen.

brammer