11
Stichwort "Routerfreiheit": Cisco 881 bzw. 891 hinter Zwangsrouter
HINWEIS: Dieser Beitrag befindet sich aktuell noch im Aufbau!!!
Jaja die Routerfreiheit.. Die Frage die ich mir immer wieder stelle: Wo ist sie eigentlich? Man hört es doch ständig in den Medien.. Ich kann nur folgendes dazu berichten: Ich selber arbeite sehr viel im TK-Bereich und habe auch einen Freundeskreis der aus Telekom-Technikern besteht. Wenn man sich da nur mal die ein oder andere Geschichte von den Kunden anhört stellt man sich wieder die Frage: Wie war das nochmal mit der Routerfreiheit? Ich würde jetzt einfach mal frech behaupten das 80% der Carrier ihre Kunden dazu "nötigen" trotz Routerfreiheit die Provider-Router zu verwenden. Das passiert i. d. R. auf unterschiedliche Arten:
- Kein Provider-Router? Sorry, dann können wir Ihnen leider nicht weiterhelfen. Bitte holen Sie sich eine EasyBox/Speedport/o2Box.. und rufen Sie dann erneut die Hotline an. Vielen Dank!
- Kein Provider-Router? Oh, mit ihrem Router-Modell kenne ich mich leider gar nicht aus, da müsste ich Sie mit einem Kollegen verbinden um die Leitung durchmessen zu können, der ist leider erst nächste Woche wieder da, ich kann da leider im Moment überhaupt nichts für Sie tun.
- Kein Provider-Router? Welches Modell haben Sie denn? Einen xxxxxx? Der funktioniert leider an ihrem Anschluss nicht, ich kann Ihnen aber gerne einen kompatiblen Router zu Ihrem Vertrag hinzubuchen!
- usw. ..
Wer sich ein bisschen mit der Materie auskennt, weiß, alles Mumpitz. Beispielsweise muss bis zur 1. TAE der Carrier immer die Leitung auf Fehler prüfen können und wenn zu dem o2/Vodafone/Telekom..-Kunde jetzt noch ein Telekom-Techniker kommt der eigentlich nur den Auftrag hat die Leitung bis zur 1. TAE zu messen und sagt die Leitung ist in Ordnung und dem Kunden dann noch erklären muss, dass er nicht den Router vom Kunden einrichten kann/muss/will, brennt die Lunte.
Aber mal zum eigentlichen Problem selbst: Klar, das kleine Bauunternehmen von nebenan oder Oma Gertrudes Blumenladen benötigt nicht unbedingt einen LANCOM/CISCO..-Router um mit den Enkeln skypen zu können o. ä., aber ich erlebe diese Wunschvorstellung Routerfreiheit auch immer mal wieder im Enterprise-Bereich und eben genau da tut es einfach nicht die Easybox 803 o.ä. in einem 1000-Mann-Unternehmen. Wer hier im Forum schon ein paar Tage länger dabei ist, weiß was ich meine wenn man sich mal durch den ein oder anderen Beitrag duchklickt.
Abhilfe schafft da ein Router aus dem Enterprise-Bereich, welcher hinter den Zwangsrouter geklemmt wird. Auf dem Markt gibt es dazu ja genügend Hersteller die so etwas anbieten.
Um mal ein paar Beispiele zu nennen:
- LANCOM
- CISCO
- Viprinet
- Alcatel-Lucent
- und noch viele weitere..
So könnt ihr den Zwangsrouter weiterverwenden damit euer Provider Ruhe gibt und habt dennoch die Möglichkeit Enterprise-Funktionen zu verwenden. Einer der bekanntesten Hersteller hier ist natürlich Cisco. Das Unternehmen hat einfach eine langjährige Erfahrung in diesem Bereich gesammelt und lässt sich das i. d. R. auch gut bezahlen. Abhilfe schafft hier beispielsweise ein Cisco 881 oder ein Cisco C891F. Die technischen Daten/Unterschiede zwischen den beiden Modellen können dem entsprechenden Data Sheet entnommen werden:
Ein wesentlicher Unterschied ist, dass die 890-Serie Gigabit statt FastEthernet-Ports hat, wie es bei der 880-Serie ist. Gerade wenn wir von WAN-Bandbreiten 50 MBit/s aufwärts sprechen, führt an der 890-Serie kein Weg vorbei. Das Problem ist, die 890-Serie ist noch sehr teuer in der Anschaffung, da sie noch sehr frisch auf dem Markt ist und immer mehr große Unternehmen vom Cisco 880 zum 890 upgraden. Der Vorteil für uns dabei? Auf ebay werden die 880er für kleines Geld angeboten (ca. 60€). Man bekommt also für 60€ einen Router aus dem Enterprise-Bereich der vielleicht ein bisschen in die Jahre gekommen ist, für die meisten Fälle aber immer noch ausreichend ist. Wer mehr will, muss halt tiefer in die Tasche greifen und zum Gigabit-Pendant 890 greifen oder gar zum großem Bruder dem Cisco ISR4331, welchen die Deutsche Telekom unter anderem auch selbst anbietet wie auch den 886 ( ein 881 mit ADSL-/VDSL-Modem): Übersicht Telekom Cisco Router
Um euch nun das Leben zu erleichtern, Stelle ich euch hier eine Cisco-IOS-Config zur Verfügung, um einen Cisco-Router hinter einem Zwangsrouter zu betreiben. In meinem Fall ist dies ein Speedport W724V mit einem dahinter geschaltetem Cisco 881.
Vorab: Diese Konfiguration/dieses Wissen stammt von unserem Netzwerk-Guru @aqui welche größtenteils aus folgendem Beitrag übernommen wurde:
Konfiguration Cisco 886
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco881
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 3
enable secret cisco
!
no aaa new-model
memory-size iomem 10
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.100.170 192.168.100.254
!
ip dhcp pool local
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name soho.intern
!
ip domain name soho.intern
ip name-server 192.168.2.1
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip cef
no ipv6 cef
!
username cisco password cisco
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
description Link to Speedport
ip address 192.168.2.254 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 192.168.2.1
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
ntp server 130.149.17.8 source FastEthernet4
!
endDer Speedport/Zwangsrouter hat in diesem Fall die IP 192.168.2.1 (Speedport-Default-IP).
Der Cisco bekomt die 192.168.100.254.
Als Username und Passwort dient das Wort "cisco".
Außerdem vergibt der DHCP-Server des Ciscos keine IPs in der Range von 192.168.100.170 bis 192.168.100.254, um noch einen Puffer für später hinzukommende statische IPs freizuhalten.
Diese Angaben je nach Bedarf bitte anpassen.
Anonsten könnt ihr die Config einfach 1:1 abtippen und in euren Router übernehmen und schon habt ihr einen Enterprise-Router hinter einer Zwangsrouter-Gurke für kleines Geld. Alle weiteren technischen Details findet ihr hier.
Gruß
Kümmel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334736
Url: https://administrator.de/contentid/334736
Printed on: April 24, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hallo,
@Kuemmel,
schöner Beitrag....
Gerade für die User die den Zwangsrouter gegen einen privaten Router tauschen wollen, tritt immer wieder das Problem auf das die WLAN benötigen...
Und das WLAN der meisten Zwangsrouter ist Grottenschlecht.... .
Erweitere doch deine Konfiguration des Cisco um eine WLAN Konfiguration...
Einfach die hier zu recht biegen und dran hängen....
brammer
@Kuemmel,
schöner Beitrag....
Gerade für die User die den Zwangsrouter gegen einen privaten Router tauschen wollen, tritt immer wieder das Problem auf das die WLAN benötigen...
Und das WLAN der meisten Zwangsrouter ist Grottenschlecht.... .
Erweitere doch deine Konfiguration des Cisco um eine WLAN Konfiguration...
Einfach die hier zu recht biegen und dran hängen....
brammer
@brammer
Danke für die Blumen! Befindet sich aber wie oben beschrieben alles noch im Aufbau und da folgt noch was mach dir da mal keine Sorgen!
Bzgl. WLAN: Steht doch alles hier im oben verlinktem Beitrag von aqui
:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Danke für die Blumen! Befindet sich aber wie oben beschrieben alles noch im Aufbau und da folgt noch was mach dir da mal keine Sorgen!
Bzgl. WLAN: Steht doch alles hier im oben verlinktem Beitrag von aqui
:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Moin,
zumindest bei (V)DSL-Anschlüssen, zieht diese Ausrede nicht, wenn man dem Techniker deutlich macht, daß man Ahnung von der Materie hat und sie nur mit Ausreden kommen. Zumindest wissen meine Kunden, daß sie einfach den Techniker an michverweisen sollen, wenn es Probleme gibt.
lks
zumindest bei (V)DSL-Anschlüssen, zieht diese Ausrede nicht, wenn man dem Techniker deutlich macht, daß man Ahnung von der Materie hat und sie nur mit Ausreden kommen. Zumindest wissen meine Kunden, daß sie einfach den Techniker an michverweisen sollen, wenn es Probleme gibt.
lks
Hallo,
spätestens wenn ich nach dem Vorgesetzten Frage und mir den Namen des Technikers noch mal sagen lasse...
dann funktioniert das fast immer
brammer
Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein!
spätestens wenn ich nach dem Vorgesetzten Frage und mir den Namen des Technikers noch mal sagen lasse...
dann funktioniert das fast immer
brammer
Zitat von @Kuemmel:
@Lochkartenstanzer:
Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein!
@Lochkartenstanzer:
Vertrau mir wenn ich dir sage, nicht immer lässt sich der Support darauf ein!
Das haben bei mir schon viele versucht. Aber wenn man denen deutlich macht, daß man mehr Ahnung von der Materie hat als sie, geben sie einen ganz schnell an den kompetenteren Kollegen weiter.
lks
PS. Ich wollte nciht Deien Leistung schmälern, sondern nur darauf hinweisen, daß die bessere Läösung immer noch die ist, dem Support klarzumachen, daß sie Ihre Arbeit machen sollen.
@lks
Keine Frage! Aber einige in meinem Bekanntenkreis können/wollen sich bei sowas einfach nicht durchsetzen und ich kann leider nicht überall sein!
Zum PS: Hab ich auch nicht so verstanden. Alles Gut
Keine Frage!
Aber einige in meinem Bekanntenkreis können/wollen sich bei sowas einfach nicht durchsetzen und ich kann leider nicht überall sein! Zum PS: Hab ich auch nicht so verstanden. Alles Gut
Moin,
ich weiss nicht was ihr habt - zumindest der Teil mit "ich kenne den Router nicht und kann nicht weiterhelfen" ist für mich völlig legitim. Warum sollte der Anbieter der Leitung jedem Kunden helfen der sich irgendeinen Router dahin stellt? Ist doch ganz einfach: Nimm das vom Hersteller - bekommst auch Support... Nimm was eigenes und zumindest den Teil musst dann halt auch selbst machen.
Was anderes ist die Frage ob es immer Sinn macht einen teuren Router so zu nutzen. Dann kann ich mir lieber einen (guten) Accesspoint kaufen ODER ich muss eben den Zwangsrouter von meiner Seite aus Ersetzen können (d.h. Zugangsdaten falls noch benötigt rein und was auch immer dafür eintragen). Welchen Vorteil bringt es mir einen teuren Router zu verwenden wenn dahinter die Kiste nix taugt? Port-Forwardings usw. dann durch zwei NAT-Systeme zu machen ist ebenfalls nich immer angenehm.
Es mag sein das es dafür Anwendungen gibt - aber zumindest bei mir wäre das einfach: Entweder Provider-Router ODER eigener, dann aber den Provider ganz rauskicken...
ich weiss nicht was ihr habt - zumindest der Teil mit "ich kenne den Router nicht und kann nicht weiterhelfen" ist für mich völlig legitim. Warum sollte der Anbieter der Leitung jedem Kunden helfen der sich irgendeinen Router dahin stellt? Ist doch ganz einfach: Nimm das vom Hersteller - bekommst auch Support... Nimm was eigenes und zumindest den Teil musst dann halt auch selbst machen.
Was anderes ist die Frage ob es immer Sinn macht einen teuren Router so zu nutzen. Dann kann ich mir lieber einen (guten) Accesspoint kaufen ODER ich muss eben den Zwangsrouter von meiner Seite aus Ersetzen können (d.h. Zugangsdaten falls noch benötigt rein und was auch immer dafür eintragen). Welchen Vorteil bringt es mir einen teuren Router zu verwenden wenn dahinter die Kiste nix taugt? Port-Forwardings usw. dann durch zwei NAT-Systeme zu machen ist ebenfalls nich immer angenehm.
Es mag sein das es dafür Anwendungen gibt - aber zumindest bei mir wäre das einfach: Entweder Provider-Router ODER eigener, dann aber den Provider ganz rauskicken...
Moin,
Der Sinn ist ganz einfach: Auch wenn man freie Routerwahl hätte, gibt es doch situationen, in denen der Router vom Anbieter vorgegeben ist. Damit der aber nciht volle Kontrall über das LAn hat, muß man halt zwagnsweise einen eigenen Router, bzw Firewaal zwischen sein LAn und dem Anbiter-Router höngen. Da führt i.d.R. kein weg dran vorbei.
lks
Der Sinn ist ganz einfach: Auch wenn man freie Routerwahl hätte, gibt es doch situationen, in denen der Router vom Anbieter vorgegeben ist. Damit der aber nciht volle Kontrall über das LAn hat, muß man halt zwagnsweise einen eigenen Router, bzw Firewaal zwischen sein LAn und dem Anbiter-Router höngen. Da führt i.d.R. kein weg dran vorbei.
lks
Hallo,
mit der Vertrauenssituation das der Provider volle Kontrolle über mein Netz hätte, damit umzugehen hätte ich keine Lust.
Das der Anbieter sich aber oft rausredet das er nicht supporten kann wenn kein Provider Router am Anschluss hängt führt leider oft dazu das Supportfälle unnötig verzögert werden. Gerade bei Leitungsstörungen wird oft darauf hingewiesen das sie die Leitung nicht testen können weil ja kein Provider Router dranhängt. Technisch gesehen ist das absoluter Blödsinn.
Einen weiteren Router an den Anschluss zu hängen, ob jetzt Alternativ anstelle des Provider Router oder als Kaskade dahinter...da gibt es viel Gründe dafür und dagegen.
brammer
mit der Vertrauenssituation das der Provider volle Kontrolle über mein Netz hätte, damit umzugehen hätte ich keine Lust.
Das der Anbieter sich aber oft rausredet das er nicht supporten kann wenn kein Provider Router am Anschluss hängt führt leider oft dazu das Supportfälle unnötig verzögert werden. Gerade bei Leitungsstörungen wird oft darauf hingewiesen das sie die Leitung nicht testen können weil ja kein Provider Router dranhängt. Technisch gesehen ist das absoluter Blödsinn.
Einen weiteren Router an den Anschluss zu hängen, ob jetzt Alternativ anstelle des Provider Router oder als Kaskade dahinter...da gibt es viel Gründe dafür und dagegen.
brammer
