Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 880 bzw. 890 Router Konfiguration am ADSL oder VDSL Anschluss inkl. VPN und IP-TV

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

23.01.2012, aktualisiert 08.05.2019, 115927 Aufrufe, 152 Kommentare, 10 Danke

Das folgende Tutorial ist ein kurzer Leitfaden wie ein preiswerter Cisco Router der Modellreihe 800 mit 2 internen xDSL Modems für den Einsatz am ADSL oder VDSL Anschluss konfiguriert wird.
Dieses Cisco Routermodell stellt mit seinen weitreichenden NAT und Firewall Sicherheitsfeatures, dem integrierten Dual Mode ADSL+/VDSL Modem und der VPN Fähigkeit eine universelle Lösung für eine skalierbare und zukunftsorientierte Firmenanbindung kleiner und mittlerer Standorte mit WAN Bandbreiten bis 100Mbit dar. Er ist ebenso gedacht für den anspruchsvollen Heimbenutzer der Wert auf Sicherheit und maximalen Funktionsumfang legt.
Die Grundkonfiguration dieses Routers ist durch die IOS Syntax universal und kann deshalb auch in Gänze oder Teilen auf alle anderen Cisco IOS Router- und Switchmodelle übernommen werden !


Die Router Hardware

Der Cisco 886va(w) und auch sein Gigabit Pendant 896 oder der noch modernere Cisco C926-4P ist ein sog. "Multi Service" ISR Router mit einem integrierten Multimode DSL Hybrid Modem für VDSL2 und ADSL2/2+ (Annex B+J (ADSL over ISDN)) sowie SDSL mit Vectoring.
Anwender ohne xDSL Anschluss z.B. mit einem Kabel TV Modem Anschluss oder FTTH, wählen das Cisco 881 Modell oder 891 (1Gig WAN Port). Der WAN/Internet Port dieser Modelle ist ein reiner Ethernet Breitband Port ohne ein integriertes Modem. Dieser kann dann direkt zum Anschluss an vorhandene Kabel TV Modems oder FTTH Konverter genutzt werden.
Alle 880er und 890er Modelle gibt es zusätzlich in einer Variante mit integriertem WLAN oder 3G UMTS Modem und auch VoIP Anschlüssen. Eine Übersicht der 880er Modelle findet man hier.
Die der 890er Modelle [http://www.cisco.com/c/en/us/products/collateral/routers/800-series-routers/data_sheet_c78-519930.html hier}.
Die 880er Modelle besitzen durchgängig 4 integrierte Ethernet RJ-45 LAN Ports die VLAN fähig sind. Die 890er Modell haben durchgängig 8 LAN Ports die voll VLAN fähig sind und flexibel auch für weitere WAN Anbindungen genutzt werden können (Multi WAN Port Feature).
Er supportet bis zu 20 VPN Verbindungen gleichzeitig (890 supportet 50 Tunnel) und eignet sich damit für anspruchsvolle KMU Firmennetze, Telearbeiter, einer LAN zu LAN Firmenvernetzung auf ADSL/SDSL oder VDSL Basis oder dem eigenen privaten Heimnetzwerk.
Da er ein integriertes ADSL/VDSL fähiges Multimode Modem an Bord hat, eignet er sich insbesondere für solche xDSL Installationen bei denen zukünftiger Bandbreitenbedarf eine spätere Migration auf einen VDSL Anschlüsse erfordert. Dies ist dann sehr einfach mit einer simplen Konfig Änderung möglich, ohne neue Router Hardware beschaffen zu müssen. Das integrierte Modem ist auch SDSL fähig für Business Anschlüsse.
Die hier vorgestellte universelle Grundkonfiguration des Routers ist für beide vorgestellten xDSL Anbindungen (ADSL und VDSL) gleich. Sie unterscheidet sich lediglich in der Konfiguration der DSL bzw. VDSL Modemeinstellung die in separaten Kapiteln unten vorgestellt wird. Die Verbindung zum xDSL Anschluß (Telefondose TAE-F) erfolgt über einen handelsüblichen RJ-11 Port mit Mittelpin Belegung. Sofern der xDSL Anschluss also noch mit TAE-F Dose ausgerüstet ist, dann mit einem handelsüblichen TAE-F auf RJ-11 Standard Kabel.
Mittlerweile bekommt man den Router auch recht preiswert auf Auktionsplattformen wie z.B. eBay usw.

Als Beispiel dient hier eine Standardkonfiguration mit 2 angeschlossenen LAN Netzen z.B. ein Firmennetz und ein Gastnetz, aktivem DHCP und statischen DHCP Reservierungen z.B. für einen Server, NAS o.ä. und einer optionalen VPN Konfiguration mit dem PPTP Protokoll.
Damit ist eine problemlose Einwahl von remote für mobile Mitarbeiter zum Datenaustausch oder für die Fernwartung gegeben.
Der Cisco Router ist ein aktiver VPN Router. Er supportet damit eine VPN Client- und VPN Standortvernetzung auf IPsec Basis die zusätzlich als Konfigurations Beispiel in den weiterführenden Links aufgeführt ist um das hiesige Basis Tutorial nicht aufzublähen.
VPNs auf PPTP Protokoll Basis sind ebenso möglich.
Entfernte VPN Standorte müssen dabei nicht zwingend mit Cisco Hardware ausgestattet sein. IPsec oder PPTP VPN Verbindungen sind problemlos zwischen allen VPN Komponenten die PPTP, L2TP oder IPsec beherrschen möglich. Wichtig ist hierbei, das die eingesetzten Geräte (z.B. FritzBox, Lancom, NetGear, pfSense/M0n0wall, Mikrotik, Microsoft, Linux, Apple Mac usw.) der Gegenstelle diese VPN Protokolle ebenfalls beherrschen
Die weiterführenden Links am Ende weisen auf entsprechende Tutorials hin die gemischte IPsec Standort und Client VPN Lösungen näher beschreiben.
Für das Router Modell mit integriertem WLAN Accesspoint findet sich eine entsprechende WLAN Konfig im Abschnitt Wireless.

Die initiale Konfiguration des Cisco Routers macht man über den seriellen Konsolen Port (Console) und dem mitgeliefertem seriellen, blauen Konsolen RS-232 Kabel mit RJ-45 Stecker. Fehlt dieses Kabel kann man es über die einschlägigen Versender preiwert beschaffen.
Als Terminal Programme nutzt man die bekannten Windows Klassiker PuTTY oder TeraTerm mit den Parametern 9600 Baud, N, 8, 1 (Keine Parity, 8 Bit, ein Stopbit) und schaltet alle Arten von Flow Control (Hardware, Software) AUS in den seriellen Port Settings der Terminalprogramme.
Bei den Terminalprogrammen ggf. die COM Ports durchprobieren (Windows) da sie nicht überall gleich sind.
Weiter hilft hier wie immer ein Blick in den Windows Geräte-Manager unter Serielle und LPT Ports.
Apple Mac Benutzer nehmen hier ZTerm (Shareware) oder das bordeigene screen Kommando und Linuxer haben mit minicom gleich ein serielles Terminal immer mit an Bord.
Wer keinen seriellen COM Port (DB-9 Stecker) mehr hat am Rechner, nutzt einen preiswerten Seriell-USB Adapter den es für wenig Geld in jedem PC Shop oder einschlägigem Versandhandel (Reichelt, Amazon usw.) gibt.
Gute Erfahrungen gibt es mit:
USB Seriell Adapter
Wer nicht ganz so sattelfest mit den Cisco IOS Kommandos ist findet HIER einen guten grundlegenden Überblick der ihm das nötige KnowHow fürs Kommando Interface gibt.
Los gehts...


Die ADSL Konfiguration:

Die folgende, immer gleiche Standard Basiskonfiguration des 800er Routers ist in blau gehalten. Die zusätzlichen oder zu ändernden xDSL Modem spezifischen Abschnitte die für eine ADSL, SDSL Konfiguration erforderlich sind, sind jeweils rot eingefärbt. (VDSL hat ein eigenes Kapitel später)
Optionale Kommandos die nicht zwingend für den Betrieb bzw. Konfig erforderlich sind, sind immer in (...) Klammern dargestellt (Klammern bei der Konfig entfernen!) !
!
service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco_Router
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered
enable secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.100.1 192.168.100.149
<-- Schliesst diesen Adressbereich vom DHCP Pool AUS
ip dhcp excluded-address 192.168.100.170 192.168.100.254
<-- DHCP Pool reicht somit von .150 bis .169
!
ip dhcp excluded-address 172.16.100.1 172.16.100.149
<-- IP DHCP Adress Pool für das Gastnetz (.150 bis .199)
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool lokal
network 192.168.100.0
default-router 192.168.100.254
dns-server 192.168.100.254
(option 42 ip 130.149.17.8)
<-- Optional: Zeitserver IP (NTP), (Zeile kann entfallen wer NTP nicht nutzt)
domain-name meinedomain.home.arpa
!
ip dhcp pool gastnetz
network 172.16.100.0
default-router 172.16.100.254
dns-server 172.16.100.254
(option 42 ip 130.149.17.8 )
domain-name gast.meinedomain.home.arpa
!
ip dhcp pool WinServer
<-- Beispiel f. Zuweisung von fester IP auf MAC Adress Basis (IP zu Mac Binding)
host 192.168.100.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2
<-- Hardware Mac Adresse dieses Clients (Schreibweise mit "01" beachten)
(hardware-address b00c.6c01.c4d2)
<-- Hardware Mac Adresse bei Clients die keinen HW_Identifier schicken (Linux !)
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name meinedomain.home.arpa
!
ip domain name meinedomain.home.arpa
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
<-- Firewall Application Gateway f. VoIP
ip inspect name myfw rtsp
<-- Firewall Application Gateway f. VoIP
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!
!
(Achtung: ip inspect... Kommandos entfallen vollständig wenn die u.a ZFW Firewall Konfig umgesetzt wird statt ip inspect !)
!
username admin password Geheim123
!
controller VDSL 0
(firmware filename flash:VA_B_38V_d24m.bin)
--> Optional bei Verwendung separater Modem Firmware !
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!

interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1

!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
<-- LAN Port 4, hier Gastnetz anschliessen. (Kann entfallen wenn kein Gastnetz gewünscht.)
description Gastnetz
switchport access vlan 2
<-- (Gastnetz Interface VLAN 2)
no ip address
no cdp enable
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip access-group gastnetz in
<-- (Optional: Wenn keine Gäste Einschränkungen gewollt sind, dann weglassen !)
ip nat inside
ip tcp adjust-mss 1452
!
interface Dialer0
description xDSL Einwahl Interface Internet
!
( band 10000)
<-- (Bandbreiten Definition Upload = Beispiel VDSL 50/10Mbit, dieses Kommando ist optional !)
(band receive 50000)
<-- (Bandbreiten Definition Download = Beispiel VDSL 50/10Mbit, dieses Kommando ist optional !)
(Diese Bandbreiten Kommandos sind nicht relevant für die xDSL Konfig und dienen nur der Berechnung der Interface Last, deshalb optional !)
!
ip address negotiated
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste. (Diese Zeile entfällt bei ZFW Firewall!)
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf dem Internet Port. (Diese Zeile entfällt bei ZFW Firewall!)
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username 001234567890123456780001@provider.de password 1234567

(Achtung: T-Business SDSL verwendet hier = t-online-com/nutzer@t-online-com.de )
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
<-- Dafür kann die statische Route entfallen !
no cdp enable
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
<-- Entfernen !, und besser oben im Dialer0 ausschließlich nur "ppp ipcp route default" verwenden !
!
ip access-list extended gastnetz
<-- Diese Beispiel Gast ACL erlaubt einzig nur Surfen (ggf. um weitere Dienste erweitern !)
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any

!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any

!
(Achtung: Die folgende ACL111 entfällt vollständig wenn die u.a ZFW Firewall Konfig umgesetzt wird statt ip inspect !)
!
access-list 111 permit icmp any any administratively-prohibited
<-- Lässt wichtige ICMP Steuerpakete durch die Firewall passieren.
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
<-- VoIP (SIP) Port 5060. (Entfällt ohne VoIP Anlage, Telefone etc.) im lokalen LAN
(access-list 111 permit udp any eq bootps any)
<-- Nur wenn Internet Port per DHCP IP Addresse bezieht ! Sonst weglassen !
access-list 111 deny ip any any (log*)
<-- Log Parameter nur wenn man temporär Angriffe protokollieren will (Performance !)
!
!
dialer-list 1 protocol ip list 101
!
ntp server 130.149.17.8 source Dialer0
!
ip ssh time-out 60
ip ssh authentication-retries 3
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
<-- Telnet / SSH Zugriff nur aus lokalem LAN möglich (ACL 23)
login local
transport input telnet ssh
<-- Telnet / SSH Zugriff. Ist zur Sicherheit nur SSH gewünscht "telnet" hier weglassen.
!
end

(130.149.17.8 ist ein öffentlicher NTP Zeitserver der TU Berlin)

Jetzt ist der richtige Zeitpunkt für ein write Befehl um diese Konfig zu sichern im Router ! Ohne Sicherung ist die Konfig nach einem Reboot verloren.

Hier noch ein wichtiger Hinweis für Nutzer die einen neuen ADSL2+ BNG Anschluss der Telekom haben, die ein VLAN 7 Tagging auf dem ADSL Interface erfordert.
Die Telekom (D) hat bereits 80 % aller Anschlüsse auf BNG ( Broadband Network Gateway) umgestellt hat. Bis Mitte 2019 sollen es 100% sein.
Es ist also davon auszugehen das neuere Anschlüsse allesamt BNG Anschlüsse sind.
Bei einem BNG Anschluss muss die Konfiguration des ATM Interfaces entsprechen angepasst werden das der Router genau wie bei VDSL ein VLAN 7 Tag mitschickt:

interface ATM0
description DTAG-BNG ADSL2plus
no ip address
no atm ilmi-keepalive
!
interface ATM0.7 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!


Und noch ein Hinweis....
Man sollte sicherstellen das keines der Interfaces im sog. shutdown Status ist !! Shutdown bedeutet das das Interface deaktiviert ist.
Dies kann mit dem Kommando show ip interface brief geprüft werden.
Auch wenn man die aktuelle Konfig mit show run ansieht, dann sollte keines der Interfaces im "shutdown" Modus sein. Ausgenommen natürlich NICHT verwendete Interfaces !
Wenn dennoch eins der aktiven Interfaces ein shutdown anzeigt, bekommt man das mit:
conf t
interface xyz
no shutdown
<ctrl z>
wr
...schnell wieder gefixt.
Man kann später, wenn alles rennt alle nicht benutzten Interfaces natürlich in Shutdown setzen. Beim Aufsetzen der Konfig und Testen kann das aber fatale Fehler ergeben so das man darauf erstmal während der Konfiguration besser verzichtet !

Firewall richtig einstellen:
Wichtiger Tip zur CBAC Accessliste 111, um hier Problemen und Missverständnissen vorzubeugen!:
Die Internet Port Access Liste 111 oben in der Konfig funktioniert NUR im Zusammenhang mit der konfigurierten CBAC Router Firewall, also dem Aktivieren der FW mit dem Kommando "ip inspect myfw out" auf dem Dialer Interface !!
Sie darf nicht im Mischbetrieb mit der unten beschriebenen ZoneBasedFirewall verwendet werden. Auch nicht einzelne Zeilen.
Man muss sich also bei Konfiguration der Firewall für ein Konzept entscheiden. Entweder CBAC oder ZFW !

Übernimmt man die o.a. Konfig OHNE diese aktivierte Firewallfunktion auf dem Dialer muss man die Access List 111 ganz weglassen oder reduziert sie aufs Blocken von Ping, Traceroute und Redirect mit:
access-list 111 deny icmp any any echo
<-- Weglassen wer den Router aus dem Internet pingen möchte (Sicherheit !)
access-list 111 deny icmp any any traceroute
access-list 111 deny icmp any any redirect
access-list 111 permit ip any any

Der Betrieb des Routers ohne aktive Firewall am Internet ist aus naheliegenden Gründen natürlich nicht zu empfehlen.
Nur mit der aktivierten CBAC Firewall Funktion wird diese ACL 111 dynamisch, sessionbasiert bei outgoing Sessions geöffnet (sog. CBAC FW Konfig) !:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
Ohne aktivierte Firewall Funktion passiert das nicht und Antwortpakete aus dem Internet werden so blockiert !!

Auch wer z.B. einen internen FTP oder Web Server im lokalen LAN vom Internet erreichen will muss den Zugriff mit einer ACL Regel explizit erlauben. Für FTP und HTTP sind das z.B. die folgenden zusätzlichen Statements in der ACL 111:
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq http

Erst dann kann man intern, im lokalen LAN, liegende eigene FTP oder HTTP Server (Web Server, NextCloud etc.) erreichen ! Einen entsprechenden statischen NAT Eintrag natürlich vorausgesetzt.

WAN Interface mit DHCP (Kabel TV, Glasfaser etc.):
Ganz wichtig ist hier auch DHCP für Nutzer die kein xDSL haben sondern den Router an einem Ethernet Glasfaser oder TV Kabelmodem betreiben müssen !
Wer das WAN Interface statt mit PPPoE wie bei xDSL in diesem Falle dann als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang usw., muss hier auch DHCP erlauben durch die Firewall, ansonsten scheitert natürlich die IP Adressvergabe am WAN/Internet Port !
access-list 111 permit udp any eq bootps any

...sorgt dann in der ACL 111 dafür das auch DHCP klappt. Eine entsprechende Ethernet Port Konfig sieht dann so aus: (Beispiel Internet auf Port FastEthernet 0):
!
interface FastEthernet0
description Internet (DHCP Adressvergabe !)
switchport access vlan 99
no ip address
no cdp enable
!
interface vlan 99
description Internet Interface
ip address dhcp
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Port
no cdp enable


(*) Der Parameter "log" am Ende des letzten Filter Statements deny ip any any zeigt alle unerlaubten externen Zugriffe im Router Log an und damit diejenigen weltweit, die versuchen den Router anzugreifen.
Es ist sehr interessant (und auch erhellend) das hohe Ausmaß dieser Angriffsversuche mal zu sehen, wenn man show logg eingibt oder sich die Syslog Messages des Routers schicken_lässt.
Wen es nervt und das Log zu groß wird (denn es gibt sehr sehr viele dieser Angriffe im Minutentakt !) und wer Wichtigeres im Logging sehen möchte, kann das "log" Statement natürlich auch weglassen aus der ACL Definition.
Letztlich macht es den Router langsam (Perfomance !), deshalb ist es besser auf lange Sicht die Logging Statements in den ACLs immer zu deaktivieren.



Die VDSL Konfiguration:

VDSL Pakete müssen bekanntlich in Richtung Provider mit einem VLAN Tag (802.1q) mit der VLAN ID 7 (Telekom, ggf. anders bei alternativen Providern) versehen werden !
Das VDSL Modem ist wie oben schon beschrieben, logisch an die Router Ethernet Schnittstelle Ethernet0 gebunden die damit eine tagged VLAN Konfiguration bekommen muss. Das bewirkt ein sog. Subinterface Ethernet 0.7 in der Konfig auf dem Interface Ethernet0.
Physisch ist bei dem im Cisco integrierten xDSL Hybridmodem der ADSL2+ Modus auf das ATM0 Interface des Routers gemappt und bei VDSL Betrieb ist es das Ethernet0 Interface. Wird der Router jetzt also im VDSL Mode betrieben, kann damit das ATM0 Interface mit "Shutdown" per Konfig deaktiviert werden !
Entsprechendes gilt oben im ADSL2+ Mode für das Ethernet0 Interface. Das steht dann analog im "Shutdown" Mode in der Konfig wenn man nur ADSL macht.
Im Folgenden kommt aber jetzt VDSL und damit wird das ATM Interface abgeschaltet.
!
-- Standard Konfiguration wie oben --
!
controller VDSL 0
!
interface Ethernet0
no ip address

no shutdown
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1

!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address

shutdown
pvc 1/32
pppoe-client dial-pool-number 1
!
-- Restliche Konfiguration nach dem Interface ATM0 von der oberen ADSL Standartkonfiguration übernehmen. --


Aufpassen: VLAN Tags bei alternativen VDSL Providern:
Andere VDSL Provider nutzen ggf. andere VLAN ID Tags statt der 7 bei der Telekom. Bei Vodafone z.B. ist das die VLAN ID 132.
Die korrekte Port Konfiguration für Vodafone VDSL sieht dann im Router entsprechend so aus:
interface ATM0
no ip address
pvc 1/32
(bridge-dot1q encap 132)
optiona l
pppoe-client dial-pool-number 1
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.132
description VDSL Internet Verbindung - Vodafone
encapsulation dot1Q 132
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1


Bei M-Net München ist die VLAN ID z.B. 40 : https://www.administrator.de/forum/cisco-1921-probleme-interneteinwahl-3 ...
Der Provider Netcom Kassel verwendet ebenfalls das VLAN 132 für die PPPoE Einwahl wie Vodafone.


VoIP mit neuen sog. "All IP" Anschlüssen (Annex J):
Von Cisco ist das entsprechende Modell C886VA und 890er Modell in einer Annex-J-Variante erhältlich C886VA-J-K9.
Besitzer der nicht J Version die man derzeit preiswert bei eBay usw. findet, müssen aber keinerlei Sorge haben !
Die reguläre Annex-B-Variante Cisco C886VA-K9 ist auch voll am Annex-J-fähigen Anschluß funktionsfähig mit geringfügig reduziertem Upstream.
Ob die aktuellste DSL-Modem Firmware verwendet werden sollte muss man individuell probieren. Die embeddete Modem Firmware der aktuellsten 15.4.3.M7 Version hat bessere Connect Raten als der letzte Patch.
Gleiches gilt für den Cisco C896VA sowie das Cisco EHWIC-VA-DSL-B Modul (WIC).
Wer es ausprobieren möchte: Die aktuelleste Modem Firmware lädt man von der Cisco Support Seite und lädt sie über einen TFTP Server wie HIER beschrieben mit dem Komando copy tftp flash: in den Flash Speicher des Routers.
Cisco886va#sh flash:
-#- --length-- -----date/time------ path
1     48369856 Aug 25 2018 12:13:40 +02:00 c880data-universalk9-mz.156-3.M5.bin
2      2310912 Sep 2 2017 10:09:20 +02:00 VA_B_38V_d24m.bin

71753728 bytes available (56532992 bytes used)
Dann passt man die Konfig des VDSL Controllers entsprechend an um die Firmware zu laden:
!
controller VDSL 0

firmware filename flash:VA_B_38V_d24m.bin

!

Mit dem Kommando show controllers vdsl 0 überprüft man das korrekte Laden der FW:
Cisco886va#sh controllers vdSL 0
Controller VDSL 0 is UP

Daemon Status:           Up
Modem Status:            TC Sync (Showtime!)

DSL Config Mode:         AUTO
Trained Mode:   G.993.2 (VDSL2) Profile 17a

Full inits:             2
Failed full inits:      0
Short inits:            0
Failed short inits:     1

Firmware        Source          File Name
--------        ------          ----------
VDSL            user config     flash:VA_B_38V_d24m.bin

Modem FW  Version:      170321_1253-4.02L.03.B2pvC038v.d24m
Modem PHY Version:      B2pvC038v.d24m 
Modem Firmware Download:
https://software.cisco.com/download/home/283122092/typ e/282821780/release/B2pvC038v

Bitte zum Thema "richtige Modem Firmware" unbedingt den Thread von @dog unten in den Weiterführenden Links lesen !
Die aktuelle Modem Firmware VA_A_39m_B_38u_24h.bin ist eine von der Telekom zertifizierte Firmware für VDSL Anschlüsse in D und sollte bevorzugt verwendet werden ! (Siehe Modem Firmware Release Notes).

Auch wenn der Router kein integriertes VoIP Telefonie Gateway hat (Cisco hat dafür andere Modelle) kann man ihn dennoch problemlos mit einem entsprechenden VoIP (SIP) zu Analog Adapter wie dem Cisco SPA 112 an den "All IP" Anschlüssen betreiben:
http://www.reichelt.de/CISCO-SPA112/3/index.html?&ACTION=3&LA=4 ...
Der Adapter wird einfach ins lokale LAN gehängt, die bestehenden analogen Telefone bzw. Fax dort angeschlossen und schon ist man mit den gewohnten Telefonen wieder per VoIP online und erreichbar.
Dieser Adapter funktioniert natürlich auch mit allen anderen xDSL und Kabel TV Routern, nicht nur mit dem hier beschriebenen.
Noch vorteilhafter ist natürlich eine kleine VoIP Telefon Anlage im lokalen LAN wie z.B. die Auerswald_C3000 oder C4000 die erheblich mehr VoIP Telefonkomfort inklusive Fax und Voice Mailboxen mit Mail Forward usw. und die Integration vorhandener analoger oder ISDN Telefone ermöglicht.
Oder last but not least man nimmt die all Cisco Lösung und richtet sich auch die VoIP Telefonie mit preiswerten Cisco Telefonen ein wie z.B.:HIER beschrieben.



Die WLAN Konfiguration:

Der Cisco 886va ist auch in einer WLAN Version erhältlich als Cisco886vaw. Unterschied zum 886va ist lediglich nur ein interner, integrierter WLAN Access Point. Die o.a. Grundkonfiguration bleibt also identisch.
Der integrierte WLAN Accesspoint ist dabei WLAN-Router üblich mit einer Bridge an ein virtuelles Gigabit Interface angehängt was man je nach Bedarf mit einer Single SSID oder mit Multi SSIDs in ein oder mehrere LAN oder VLAN Segmente per Konfig hängen kann.
Damit ist auch dieser Router in der Lage mit einem einzigen physischen WLAN Accesspoint mehrere unabhängige virtuelle APs zu betreiben die man in unterschiedlichen Netz Segmente legen kann.
Somit sind kostengünstig 2 und mehr WLANs mit einer Hardware zu realisieren z.B. in einem Firmenumfeld mit einem gesicherten Mitarbeiter WLAN und einem abgeschotteten Gäste WLAN mit Hotspot.
Der WLAN Accesspoint wird dabei genau so konfiguriert wie es z.B. in diesem_Tutorial beschrieben ist und entspricht damit der klassischen Standard Cisco IOS Konfiguration auf allen High End Accesspoints der Aironet Serie die es mittlerweile ebenfalls recht preiswert über Auktionsplattformen gibt.
Natürlich hat der AP auch ein entsprechendes grafisches Web Interface welches die WLAN Konfiguration erheblich erleichtert für Admins die nicht IOS affin sind. Allerdings ist dieses WebGUI erst erreichbar mit einer entsprechenden IP Konfiguration des WLAN AccessPoint Interfaces.
Als ersten Schritt gibt man dem WLAN AP Interface eine IP. Da diese in der Regel im lokalen LAN (VLAN1) liegt kann dies unnumbered erfolgen.
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!

interface wlan-ap0
description Internes Service Interface zum Management des internen WLAN APs
ip unnumbered Vlan1
!

Jetzt kann man mit dem Kommando service-module wlan-ap 0 session sich auf den internen Accesspoint verbinden.
Da das Kommando recht kryptisch ist und sich das keiner lange merken kann, kann man einen Kommando Alias dafür anlegen mit
alias exec zumwlanap service-module wlan-ap 0 session
Nun reicht die Eingabe des Kommandos zumwlanap um auf das WLAN AP Kommandointerface zu gelangen:
cisco887vaw#zumwlanap
Trying 192.168.100.254, 2002 ... Open

Connecting to AP console, enter Ctrl-^ followed by x,
then "disconnect" to return to router prompt
C
% Password change notice.
-----------------------------------------------------------------------

Default username/password setup on AP is cisco/cisco with privilege level 15.
It is strongly suggested that you create a new username with privilege level
15 using the following command for console security.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want to
use. After you change your username/password you can turn off this message
by configuring  "no banner login" and "no banner exec" in privileged mode.
-----------------------------------------------------------------------
User Access Verification
Username: 
Damit ist man nun auf dem Konfigurationsinterface des internen Accesspoints !
Der Default Username ist cisco mit dem Default Password cisco !
ACHTUNG: Mit der Eingabe von ctrl ^ und x (oder ctrl, shift 6 und x) und dann der Eingabe von disconnect
kommt man immer wieder auf den Router Kommando Prompt zurück.
Mit der nun folgenden IP Adressierung des internen APs ist diese Prozedur aber dann zukünftig nicht mehr nötig. Dann ist der interne Accesspoint bequem aus dem lokalen LAN direkt zu erreichen per Telnet (PuTTY oder TeraTerm) oder per Web Browser.

Eine funktionsfähige einfache WLAN Konfiguration mit WPA-2 Sicherung und WLAN SSID (Name) Bitschleuder lautet folgendermaßen:
Current configuration : 3242 bytes
!
service timestamps debug datetime localtime msec
service timestamps log datetime localtime
!
hostname ap
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name soho.intern
!
dot11 syslog
!
dot11 ssid Bitschleuder
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 Geheim123
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid Bitschleuder
!
station-role root
no dot11 extension aironet
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
description the embedded AP GigabitEthernet 0 is an internal interface connecting AP with the host router
no ip address
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.100.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
bridge 1 route ip
!
line con 0
privilege level 15
login local
line vty 0 4
login local
!
end


WICHTIG: Die interne IP Adresse des Accesspoints 192.168.100.1 muss immer außerhalb des DHCP Adresspools liegen damit es nicht zu IP Adresskonflikten kommt !
Im hiesigen Beispiel ist der DHCP Pool mit den IP Adressen von .100.150 bis .100.170 definiert so das wir mit der .100.1 im sicheren IP Bereich liegen !
Die Parameter dot11 ssid Cisco-887-WLAN und auch wpa-psk ascii 0 Geheim123 bestimmen den Namen des WLANs und das Zugangspasswort. Das muss entsprechend auf die eigenen Einstellungen angepasst werden !
Startet man nun einen Webbrowser im lokalen LAN und gibt dort als Ziel ein http://192.168.100.1 landet man direkt auf dem Web Interface des internen Accesspoints und kann diesen nun auch bequem per Web konfigurieren und diese Konfig Anpassungen vornehmen. (Siehe Screenshot)
Der direkte CLI Zugriff auf den AP mit seiner IP ist ebenfalls mit Telnet oder SSH so möglich

d7b151954d6e7b4df1e57eff41bf7fcb - Klicke auf das Bild, um es zu vergrößern
(Wird fortgesetzt mit einer Multi SSID und VLAN Konfiguration für Gastnetze)


IPv6 Protokoll aktivieren:

Viele Internet Provider Verbindungen supporten heute in der Mehrheit auch das neue IPv6 Protokoll in einem Dual Stack. Das bedeutet das klassisches IPv4 und IPv6 koexistieren auf dem Router.
Insbesondere die Telekom forciert die IPv6 Nutzung in ihrem Netz, so das es Sinn macht für das "neue" Internet Protokoll gerüstet zu dein. Die meisten der gängigen Betriebssysteme wie Windows, Mac OS oder Linux als auch die Smartphone Betriebssysteme supporten alle durch die Bank heute IPv6 im Dual Stack.
IPv6 hat den Vorteil das es dort keine NAT (IP Adress Translation) mehr gibt. Man kennt es durch die Bank von IPv4 aufgrund der aktuellen, weltweiten Adressen Knappheit bei IPv4.
Damit entfallen dann alle Problematiken mit Port Forwarding und auch die, die man in CGN Netzen (Provider NAT) mit DS-lite usw. kennt. Jeder bekommt also automatisch vom Provider sein eigenes bzw. mehrere öffentliche IPv6 Netzwerke für das eigene Netzwerk mit IPv6. Dadurch kann er mit IPv6 direkt angesprochen werden aus dem Internet.
Umso mehr ist deshalb natürlich die Firewall Funktion für IPv6 gefordert !
Wo vorher ein Großteil der Netzwerk Sicherheit bequem auf die NAT Funktion abgewälzt wurde, entfällt das nun bei IPv6 komplett und die Firewall muss allein für die Zugangssicherheit des lokalen IPv6 Netzes herhalten. Sie ist also ein sehr wichtiger zentraler Punkt der IPv6 Konfiguration bzw. Sicherheit !
Genau aus diesem Grund sollte man das moderne, Zonen basierte Firewall Konzept verwenden. Alles was dort für IPv4 eingestellt ist gilt automatisch auch für IPv6 ! Deshalb die gute Nachricht: An der Firewall muss also für IPv6 nichts mehr extra eingestellt werden !
Die folgenden IPv6 Kommandos werden einfach der bestehenden globalen oder Interface spezifischen Konfiguration des Dialer 0 und VLAN1 Interfaces hinzugefügt.
Los gehts mit IPv6...

Zuerst wird global IPv6 Routing aktiviert auf dem Router und der lokale DHCPv6 Server aktiviert der die per Prefix Delegation vom Provider vergebenen IPv6 Adressen an die lokalen Endgeräte verteilt:
!
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6
(prefix-delegation pool v6pdpool)
-->Optional !! Nur wer Prefixes an eigene v6 Router o. Firewall weiterreichen will. Sonst weglassen !!
dns-server 2003:180:2:3000::53
(T-Com IPv6 DNS Adressen !! Bei anderen Providern deren DNS v6 IPs anpassen !!)
dns-server 2003:180:2:4000::53
domain-name meinedomain.home.arpa
!

Weiter geht es mit der Interface Konfiguration vom lokalen LAN und vom Internet Interface:
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ipv6 address provider-v6-prefix ::1:0:0:0:1/64

( Hier /64 Maske ggf. nach Provider Vorgabe anpassen wenn keine 64 Bit Standard Maske (Telekom etc.) vergeben wird)
(ipv6 address FE80:BADE:AFFE:CAFE::1 link-local)
--> Optional wer eigene FE80: Local Link Adresse vergeben möchte !
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!
interface Dialer0
description xDSL Einwahl Interface Internet
ipv6 address autoconfig default
ipv6 enable
no ipv6 redirects
no ipv6 unreachables
ipv6 nd autoconfig default-route
ipv6 verify unicast reverse-path
ipv6 dhcp client pd provider-v6-prefix
(ipv6 dhcp client pd provider-v6-prefix rapid-commit)
--> Alternative wenn der Provider die two-message exchange Option supportet.
!
(ipv6 local pool v6pdpool 2003:BB:123:7B3A::/56 60)
-->Optional !! Nur wer Prefixes selber weiterreichen will. Sonst weglassen !! Prefix hier nur Beispiel, unbedingt auf eigenen ANPASSEN !!
Dieses Kommando vergibt einen /60er Prefix aus dem vom Provider erhaltenen /56er Prefix an eigene v6 Router oder Firewalls per eigener Delegation weiter. Das ist optional. Wer das nicht benötigt lässt diese Komandos ganz einfach weg !
!

(Bleibende IPv4 Interface Kommandos sind hier der Übersicht halber weggelassen !)

Damit ist die IPv6 Konfig fertig. Ggf. muss man das Dialer Interface einmal auf shut und danach wieder no shut setzen um eine neue PPPoE Negotiation und damit die Vergabe der IPv6 Adresse auszulösen. Ein einfacher Reboot des Router nach Sicherung der Konfig mit write tut es auch.

Mit show ipv6 interface kann man dann überprüfen ob es geklappt hat und der Router eine IPv6 Adresse bekommen hat:
cisco_router#show ipv6 interface
Dialer0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::CAFF:EBAD:EAFF:E123
No Virtual link-local address(es):
Description: xDSL Einwahl Interface Internet
Stateless address autoconfig enabled
Global unicast address(es):
2010:34:17BDF:2C5B:EAD6:F7FD:EF28:1F70, subnet is 2010:34:17BDF:2C5B::/64
[EUI/CAL/PRE]
valid lifetime 14259 preferred lifetime 1659
Joined group address(es):


Entsprechend klappt dann auch ein IPv6 Ping vom Router selber:
cisco_router#ping ipv6 www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms

Und dann natürlich auch vom lokalen Netzwerk auf einen IPv6 Server im Internet:
C:/Rechner/>  ping6 www.heise.de
PING6(56=40+8+8 bytes) 2010:34:17BDF:2C5C:EAD6:F7FD:EF28:1234 --> 2a02:2e0:3fe:1001:7777:772e:2:85
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=0 hlim=57 time=15.341 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=1 hlim=57 time=15.848 ms
16 bytes from 2a02:2e0:3fe:1001:7777:772e:2:85, icmp_seq=2 hlim=57 time=14.812 ms 
Wer möchte kann natürlich auch noch das VLAN 2 Gastnetz mit IPv6 ausstatten:
!
interface Vlan2
description Gastnetz (FastEthernet3)
ipv6 address provider-v6-prefix ::2:0:0:0:1/64
(ipv6 address FE80::2) link-local
--> Optional wenn eigene Link Local Adresse. Sonst weglassen.
ipv6 enable
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6
!



VLAN Segmentierung konfigurieren:

Um die Sicherheit zu erhöhen, ist es immer vorteilhafter das eigene Netzwerk in mehrere Segmente zu teilen.
Zum Beispiel 2 getrennte Firmennetze an einem Router zu betreiben oder das Heimnetz in Gastnetz und Hausautomation zu segmentieren.
Der Cisco Router hat vollen 802.1q VLAN Support mit an Bord so das diese VLAN Segmentierung einfach umzusetzen ist.
An dieser Stelle sei auf das hiesige_VLAN-Tutorial verwiesen, welches zusätzlich VLAN Konfigurationen für Switches im Detail behandelt.
Als Konfig Beispiel dient hier ein einfaches Hausnetz mit Segmentierung in privates LAN, Hausautomation und ein Gäste Netz. Letzteres wurde oben schon in der Grundkonfiguration als VLAN 2 realisiert, ist der Vollständigkeit halber hier nochmal aufgeführt.
So sähe dieses einfache Design aus:
ciscohausnetz - Klicke auf das Bild, um es zu vergrößern
Als ersten Konfigurations Schritt legt man die beiden zusätzlichen VLANs an:
vlan 2
name Gastnetz
vlan 3
name Hausautomation

Damit erzeugt man automatisch auch 2 neue (virtuelle) Router IP Interfaces denen man entsprechende IP Adressen zuordnet:
interface Vlan2
description Gastnetz
ip address 172.16.100.254 255.255.255.0
ip access-group gastnetz in
<-- (Optional: Wenn keine Gäste Einschränkungen gewollt sind, dann weglassen !)
ip nat inside
!
interface Vlan3
description Hausautomation
ip address 10.3.3.254 255.255.255.0
ip access-group hausautomation in
<-- (Optional: Wenn keine Zugangs Beschränkung gewollt ist, dann weglassen !)
ip nat inside
<-- (Optional: Wenn kein Internet Zugang gewollt ist, dann weglassen !)
!

Eine wichtige Rolle spielen hier die Access Listen sofern man den Zugang zu den VLAN Netzwerken restriktiv handhaben möchte. Die folgende Liste am Hausautomations Netzwerk lässt z.B. einzig nur die Kommunikation mit dem privaten lokalen LAN zu:
!
ip access-list extended hausautomation
permit udp any any eq bootpc
permit ip 10.3.3.0 0.0.0.255 192.168.100.0 0.0.0.255
deny ip any any
!

Alle Optionen der VLAN Zugangssicherung hier zu diskutieren sprengt den Rahmen dieses Router Tutorials, denn es ist auch ein Konfigurations Unterschied ob man die Access Listen basierte Sicherung benutzt oder mit der unten im Tutorial besprochenen ZFW Zonen Firewall arbeitet. Das wäre Thema für einen separaten Thread.
Zurück zur VLAN Konfig... !:
Die 3 VLAN Netze 1 (Privat), 2 (Gäste) und 3 (Hausautomation) sind nun auf dem Router eingerichtet und nun gilt es diese Netze auf einen VLAN Switch zu bringen. Das passiert wie bei VLANs generell üblich mittels eines VLAN Tagged Uplinks, den wir auf das Router Interface Ethernet 3 legen.
!
interface FastEthernet3
description Tagged Uplink auf VLAN Switch
switchport mode trunk
switchport trunk allowed vlan all
no ip address
!

Hat man die entsprechenden VLANs 1, 2 und 3 auch auf der Switchseite eingerichtet und auch dort den Uplink Port zum Cisco Router Tagged für alle VLANs dort entsprechend konfiguriert so kann man jetzt aus jedem VLAN das dazu korrespondierende Cisco IP Interface anpingen und so die Erreichbarkeit prüfen.
Für Details zur Switchkonfiguration sei hier nochmals auf das bereits oben genannte VLAN-Tutorial verwiesen !


Dynamisches DNS

Dynamisches DNS ist erforderlich für Benutzer die den Router bei wechselnden Provider xDSL IP Adressen unter einer festen Hostadresse von außen erreichen wollen oder müssen. Häufig ist das z.B. für den gesicherten VPN Zugang mobiler Clients aufs lokale Netzwerk oder für schlichtes Port Forwarding auf lokale Server (Mail, Exchange, NexctCloud usw.) zwingend erforderlich.
Für die dynamische Anpassung der IP Adresse bei wechselnden Provider xDSL Adressen (nächtliche Zwangstrennung) sollte man deshalb immer einen DynDNS Dienst einrichten. Damit kann der Router immer mit einem festen Hostnamen wie z.B. meinrouter.no-ip.com erreicht werden, egal welche Provider IP er aktuell hat.
Dyndns.org oder no-ip.com oder diverse andere lokale Dienstleister bieten sich da an. Zum Teil kostenlos.
Der DynDNS Dienst wird wie folgt auf dem Cisco 800er Routern aktiviert: (Update method "http" und "add url")
!
ip ddns update method dyndns
http
add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Dialer0
ip ddns update hostname <hostname>.<dyndns.domain>
ip ddns update dyndns

Wie ein kostenloses DynDNS Konto eingerichtet wird beschreibt z.B. dieser_Artikel.

( DynDNS Update: )
Da DynDNS nicht mehr kostenfrei ist macht es keinen Sinn mehr diesen Dienst zu benutzen wenn man mit einer kostenfreien Lösung arbeiten möchte. Hier hilft dann nur bezahlen.
Wer weiterhin kostenfrei arbeiten möchte nimmt z.B. NO-IP.com oder andere lokale Dienstleister als DynDNS Provider die diesen Dienst derzeit noch kostenfrei anbieten !
NO-IP hat z.B. ein eigenes HowTo Tutorial wie das auf dem Cisco einzurichten ist:
http://www.noip.com/support/knowledgebase/using-your-cisco-router-with- ...
oder
http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/811- ...
Die NO-IP Konfiguration für Dynamic DNS für dieses System hier sähe dann so aus (Update method "http" und "add url"):
!
ip ddns update method no-ip
http
add http://<username:password>@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Dialer0
ip ddns update hostname <hostname>
ip ddns update no-ip

<hostname> ist durch den bei NoIP gewählten eigenen Hostnamen zu ersetzen.
Falls es hier mal kneifen sollte dann hilft immer ein debug ip ddns update um den DDNS Update Prozess zu überwachen und zu troubleshooten. ACHTUNG: Benutzt man eine Verbindung über Telnet oder SSH zum Router, muss vorher term mon eingegeben werden, damit man die Meldungen im Telnet oder SSH Fenster sieht !


Port Forwarding

Der eine oder andere möchte z.B. einen lokalen Webserver oder Kameras usw. öffentlich von außen (Internet) erreichbar machen. Hier sollte man aber immer große Vorsicht walten lassen, denn man öffnet so das Internet ungeschützt auf lokale Resourcen. Wer also einen privaten NextCloud Server für die Familie oder ein öffentlich erreichbares NAS betreibt, sollte das tunlichst immer in einem geschützten und vom privaten IP Netz getrennten Segment machen !
Es sei also an dieser Stelle noch einmal dringenst darauf hingewiesen, daß man solche Endgeräte niemals ins lokale, private LAN setzen sollte sondern besser ein separates VLAN dafür anlegt im Cisco. Dies trennt man mit einer Accessliste dann vom lokalen LAN ab um das private LAN abzusichern.
Der Grund liegt auf der Hand, denn für den Zugriff muss man ein Loch in die Router Firewall bohren und da ist es besser das auf einem separaten DMZ IP Segment zu machen als im geschützten lokalen LAN.
Ist der Server ein lokaler privater Server sollte man generell aus Sicherheitsgründen vom Port Forwarding absehen !
Auch hier ist der Grund klar, denn diese Daten gehen ungeschützt und unauthorisiert über das öffentliche Internet und jeder kann mitlesen. Ein VPN sollte für jeden, der Wert auf seine Datensicherheit und Schutz legt, hier oberste Priorität haben !
Wie man ein sicheres VPN mit diesem Router einrichtet erklärt das Tutorial im weiteren Verlauf oder die weiterführenden Links am Ende.

Das Beispiel hier zeigt diese DMZ Variante mit Port Forwarding:
Zum Port Forwarding soll ein lokaler Webserver (Port TCP 80 und 443 = HTTP) wie z.B. NextCloud vom Internet aus erreichbar sein im neuen VLAN 3. (Standardkonfig von oben verkürzt wiedergegeben !)
interface Vlan3
description DMZ mit oeffentlichem Webserver
ip address 172.16.200.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer0
description DSL Einwahl Interface
ip address negotiated
ip access-group 111 in
...
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 172.16.200.151 80 interface Dialer0 80
ip nat inside source static tcp 172.16.200.151 443 interface Dialer0 443

!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 deny ip host 172.16.200.151 any
=> Da statisches NAT für Host .151 und kein PAT mit overload !
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit tcp any any eq www
=> Zugriff von außen für TCP 80 und 443 erlauben !
access-list 111 permit tcp any any eq 443
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 deny ip any any

Spricht man jetzt mit dem Browser von "außen" die WAN IP Adresse (Dialer0 IP) des Routers an, landet man auf dem lokalen Webserver in der DMZ der die lokale IP 172.16.200.151 hat.


VPN Einwahl mit PPTP für remote User aktivieren (CBAC Firewall):

Gleich vorweg: PPTP gilt als nicht mehr hinreichend sicher !! Siehe dazu auch hier. Da PPTP deshalb auch langsam, aus eben diesen Sicherheitsgründen, von mobilen Endgeräten verschwindet (Apple hat es seit längerem von den aktuellen iOS Geräten entfernt) wird der Support von PPTP als VPN Protokoll auf kurz oder lang auslaufen.

Erheblich besser ist also einen sichere Variante zu wählen und zukünftig auf IPsec als VPN Protokoll zu setzen. (Siehe Folgekapitel !)
Wer PPTP dennoch einsetzen will oder muss sollte das PPTP Passwort niemals kürzer als mindestens 12 Stellen wählen ! Die zusätzlichen Konfigurationskommandos lauten wie folgt:
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password test123
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered vlan 1
( ip nat inside )
<-- Kommando ist nur dann erforderlich wenn VPN Clients übers VPN auch ins Internet sollen !
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 192.168.100.200 192.168.100.210
!

Zum Schluss muss natürlich noch die CBAC Firewall ACL angepasst (erweitert) werden damit man von außen per PPTP zugreifen darf:
...
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
...

Beim moderneren ZFW Firewall Konzept sind ebenso diese beiden Protokollports in die Access Liste ISAKMP_IPSEC hinzuzufügen. Wegen der Endlichkeit von PPTP sollte sich aber jeder gut überlegen ob er dieses Protokoll überhaupt noch verwenden will.
Details für das PPTP_Client_Setup auf allen gängigen OS erklärt dieses_Forumstutorial.


VPN Einwahl mit IPsec für iPhone, Android und Mac OS-X User mit onboard Client aktivieren (CBAC Firewall):

(Die Konfiguration der ZFW Firewall für den IPsec VPN Zugang wird unten im Kapitel zur Zone Based Firewall beschrieben !)
Keine Angst... Auch Windows und Linux Nutzer kommen hier natürlich nicht zu kurz !
Windows selber hat bis zur Version 10 keinen nativen IPsec Client an Bord aber der Klassiker in diesem Metier, der bekannte, kostenlose Shrew_VPN_Client, funktioniert fehlerlos auf allen Windows Versionen für eine IPsec VPN Einwahl.
Wie es mit Windows 10 und dem dann bordeigenen IPsec Client geht erklärt ein separates_Tutorial hier im Forum.
Linux Nutzer verwenden wie immer den Strong Swan Client den es auch für Android gibt sofern die Android Version keinen eigenen IPsec Client an Bord hat.
Um also dem unsicheren_PPTP als VPN entgegenzuwirken, ist eine IPsec Konfiguration immer vorzuziehen wenn man wirklich sicher sein will vor Lauschern und Schlapphüten.
Die o.a. Router Grundkonfig muss dann nur um diese Kommandozeilen erweitert werden:
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
username vpntest password Geheim123
username vpngroup password test123
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
!
crypto isakmp client configuration group vpngroup
key test123
dns 192.168.100.254 #
(oder, wenn vorhanden, lokale DNS Server IP)
domain vpn.test.intern
acl 107
(Split VPN ACL, kann entfallen wenn gesamter VPN Traffic in den Tunnel soll)
save-password
max-users 10
banner # Willkommen im VPN von XYZ #
(Optional !)
pool vpnpool
!
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
(ip nat inside)
--> Nur erforderlich wenn der gesamte Client VPN Traffic in den Tunnel soll !
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
ip address 192.168.100.254 255.255.255.0
!
ip local pool vpnpool 192.168.100.240 192.168.100.250
(Anpassen auf eigenen Client IP Bereich im lokalen LAN)
!
end

Auch hier muss die Firewall ACL wieder angepasst bzw. erweitert werden damit man per IPsec von außen zugreifen darf.
Die folgenden Einträge müssen der ACL 111 von oben hinzugefügt werden:
...
access-list 107 permit ip 192.168.100.0 0.0.0.255 any
(Split VPN, kann entfallen wenn gesamter VPN Traffic in den Tunnel soll)
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp host any any eq non500-isakmp
access-list 111 permit esp any any
...


Hier die entsprechende Konfig des iPhone / iPad IPsec Clients...:
20681286d0d18fd2d6af43a68665ae83 - Klicke auf das Bild, um es zu vergrößern

...und hier des Mac OS-X onboard IPsec Clients:
ecb0fe1ad6449dbe8d22f523817762c0 - Klicke auf das Bild, um es zu vergrößern

Diese IPsec VPN Client Einwahl Konfiguration entspricht der Lösung mit einer pfSense_Firewall:
https://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-fir ...
Dort findet man auch das Setup für den Shrew VPN Client unter Windows.
Als VPN Client Alternative sei auch das Programm Cisco anyconnect genannt das per IPsec von jedem Endgerät ins eigene Netzwerk verbinden kann. Das Programm ist kostenfrei für Android im Play Store und für Apple im App Store erhältlich. Für Windows, findet man es hier: https://download.cnet.com/s/cisco-anyconnect/
Sinnvoll ist es aber immer statt externer VPN Software die Onboard Clients zu verwenden wenn immer möglich.
Eine Kombination mit den u.a. Standortvernetzung ist natürlich problemlos möglich !
Man erhält somit einen Router der feste IPsec Tunnel in die Standort Lokationen bedient plus einem VPN Dialin Server für remote Mitarbeiter alles auf einer kompakten Plattform.


VPN Site to Site Standortkopplung mit IPsec Tunnel (CBAC Firewall)

(Die Konfiguration der ZFW Firewall für die IPsec VPN Standort Kopplung wird unten im Kapitel zur Zone Based Firewall beschrieben !)
Natürlich kann man mit 2 Cisco 886va auch eine VPN LAN to LAN Kopplung zweier oder mehrerer Standorte mit IPsec Verschlüsselung bequem erledigen um z.B. gemeinsame Resourcen wie Server, NAS etc. standortübergreifend zu nutzen. IPsec ist ein weltweiter Standard so das auch VPN Tunnel zu anderen IPsec Produkten supportet ist. Praxiskonfigurationen dazu findet man hier im Forum.
Für die VPN Kopplung 2er Cisco Router sind die folgenden Konfigurationsschritte auf beiden Seiten des VPN Tunnels erforderlich, die man der obigen ADSL oder VDSL Standardkonfiguration hinzufügt:
!
crypto isakmp policy 10
encryption aes
authentication pre-share
crypto isakmp key test123 address <remote_feste_IP_Adr.>
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto map vpntunnel 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer <remote_feste_IP_Adr.>
set transform-set vpn
match address 107
!
interface Dialer0
description DSL Einwahl Interface
crypto map vpntunnel
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
--> Kein NAT für den VPN Tunnel !
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
--> NAT ins Internet
!
access-list 107 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
--> Diese Pakete (Lokales LAN ins remote LAN) in den VPN Tunnel !
!
...
access-list 111 permit udp any any eq 500
--> IPsec darf die Firewall passieren (3 Zeilen wie oben hinzufügen)
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!

Die gleichen Konfigurationsschritte sind auf der gegenüberliegenden Standortseite, angepasst an die dortigen IP Adressen, auszuführen.
Das Beispiel oben geht davon aus das sich ein lokales LAN mit der IP Adresse 192.168.200. /24 dort befindet.
Diese IP Adressen sind entsprechend auch eigenen Belangen anzupassen. Ebenso natürlich das Platzhalter Passwort "test123" für die IPsec Verschlüsselung.
Der Parameter <remote_WAN_IP> muss in der Konfig durch die xDSL IP oder den Hostnamen / DynDNS ersetzt werden.
Ebenfalls kann man am obigen Beispiel sehen, daß das NAT etwas angepasst werden muss, denn IP Packete die lokal beide Netze über den IPsec Tunnel verbinden, dürfen natürlich nicht über den NAT (Adress Translation) Prozess laufen (ACL 101 nimmt diesen Traffic aus).
Die genauen Konfigs für die Praxis liefert dieses_Forums_Tutorial

Anbindung remoter VPN Standort Router/Firewall ohne feste IP:
Befindet sich am remoten Standort ein IPsec VPN Router oder Firewall (FritzBox, Draytek, Mikrotik, Lancom, pfSense/M0n0wall o.ä. hier mit lokalem Beispiel LAN 192.168.222.0 /24) der keine feste DSL IP hat, also eine wechselnde Provider IP, muss zusätzlich eine dynamische Crypto Map angelegt werden.
Dazu ist die Konfig wie folgt zu ergänzen:
!
crypto isakmp policy 10
encryption aes
authentication pre-share
!
crypto isakmp key test123 address <remote_feste_IP_Adr.>
crypto isakmp key dyntest123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer <remote_feste_IP_Adr.>
set transform-set vpn
match address 107
!
crypto dynamic-map dynvpn 20
description Dynamic VPN Dialin
set transform-set vpn
match address 108
!
crypto map vpnpeer 30 ipsec-isakmp dynamic dynvpn
!
access-list 108 permit ip 192.168.100.0 0.0.0.255 192.168.222.0 0.0.0.255


Damit können dann auch remote VPN Router/Firewalls wechselnden Provider IPs problemlos eine VPN Verbindung auf diesen Router herstellen.
Sind beide oder alle Standorte ohne feste IP konfiguriert, dann muss man wenigstens auf einem (zentraler) VPN Router mit DynDNS arbeiten.
Eine Cisco DynDNS Konfig sieht z.B. mit NO-IP.com so aus:
01.
ip ddns update method no-ip
02.
HTTP
03.
add http://user@meine-domain.no-ip.info:password@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
04.
interval maximum 0 0 5 0
05.
!
06.
interface Dialer0 
07.
ip ddns update hostname meine-domain.no-ip.info
08.
ip ddns update no-ip 
Bei DynDNS dann entsprechend:
01.
ip ddns update method dyndns
02.
HTTP
03.
add http://username:password@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
04.
interval maximum 1 0 0 0
05.
!
06.
interface Dialer0 
07.
ip ddns update hostname meine-domain.dyndns.info
08.
ip ddns update dyndns

Home IP-TV Konfiguration (Entertain, Magenta-TV)

Da der Router vollständigen Multicast Routing Support mit an Bord hat ist die Aktivierung von IP TV natürlich kein großes Problem auf einem Cisco Router...
Mit der neuen BNG Umstellung der Telekom ist die Entertain IP-TV Konfiguration um einiges einfacher geworden. Das folgende Beispiel zeigt eine funktionsfähige Konfiguration.
Generell funktioniert diese Konfiguration auch für alle anderen Cisco Router Modelle am IP-TV Anschluss der Telekom, da die IOS Syntax universell ist.
!
ip multicast-routing

ip pim ssm default
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0

ip pim sparse-mode

ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452

ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
(ip igmp proxy-service)*

!
interface Dialer0
description VDSL PPPoE Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492

ip pim sparse-mode

ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp

ip igmp version 3
ip igmp query-interval 15
(ip igmp proxy-service)*

dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxx@t-online.de password 0 xxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!

ip pim rp-address 62.155.243.102
!

(*) Das Interface Kommando ip igmp proxy-service kann mit der neuen Enterain 2.0 Version der Telekom auch entfallen. Es ist nicht mehr zwingend notwendig !

Da die Telekom aber noch beide Optionen aktiv hat auch über das bis dato erforderliche VLAN 8 Tagging der Vollständigkeit halber auch diese Konfig Variante:
!
ip multicast-routing
ip pim ssm default
!

interface Ethernet0.8

description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-mode
no ip mroute-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!

interface Vlan1

ip pim sparse-mode
ip igmp helper-address 62.155.243.102
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
ip pim rp-address 62.155.243.102


Damit ist die Konfigurationsanpassung zur Nutzung etwaiger IP-TV Entertain Optionen problemlos und schnell möglich.
Update:
Die Prozedur der Rendezvous Point IP Adress Ermittlung ist mittlerweile einfacher als oben im PDF beschrieben.
Die Multicast Rendezvous Point IP Adressen werden über DHCP mitgeteilt. Wenn das Sub Interface Ethernet0.8 (VLAN Tag 8) korrekt konfiguriert ist, kommt es mit einer 10.X.X.X IP Adresse hoch ("show ip int brief"), und es werden 2 Routen gelernt. Ein show dhcp lease zeigt dann abhängig vom jeweiligen Ort z.B. so etwas an:
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254

(Dank an Forumsmitglied @cpt-haddock für seinen Hinweis im u.a. Thread !)

Weitere Grundlagen und Tips zur IP-TV Konfiguration wie u.a. die Multicast Rendevous Point IP Adress Ermittlung beschreibt zusätzlich dieses_PDF_Tutorial.


Grafisches Web Browser Interface (GUI) installieren:

Die Kommandozeile ist sicher nicht immer jedermanns Freund und natürlich hat der Cisco auch ein grafisches Browser Interface zum Konfigurieren. Es nennt sich Cisco Configuration Professional Express kurz CP Express Admin View.
Neue Router kommen damit ausgestattet zum Käufer aber viele gebraucht erworbene oder solche wo es vom Flash gelöscht wurde, haben es nicht. Ob es bereits installiert ist, sieht man mit dem Befehl show flash:
Die Installation oder ein Update auf die aktuelle Version ist aber im Handumdrehen erledigt. Ggf. vorhandene alte Versionen sollte man dazu, wie unten beschrieben, immer VORHER vollständig löschen vom Flashspeicher des Routers !
Los gehts...
Zuerst läd man dazu das Cisco CP Express Tool von HIER herunter, was als Endanwender auch mit einem normalen Gastkonto funktioniert, das man vorher einrichten muß. Aktuell ist derzeit das Release 3.5.2 (Stand 07.2018)
Dann entZIPt man das ZIP Archiv und kopiert die .tar und die .gz Datei in ein Verzeichnis.

Um die Dateien auf das Router Flash zu bekommen ist ein TFTP Server erforderlich. Ideal hier der Klassiker TFTP32 oder der Pumpkin unter Windows. Apple und Linux User haben TFTP von sich aus gleich an Bord.
Die Prozedur den TFTP aufzusetzen ist immer gleich und HIER am Beispiel der Cisco Telefone genau beschrieben.
Gleiches macht man ebenso für den Router hier. Auch z.B. wenn man die Router Firmware einmal updaten möchte oder auch die Modem Firmware wie oben beschrieben anpasst.
Router und TFTP Server sollten sich zum Vorabcheck pingen lassen untereinander. Bei Windows an die lokale Firewall denken das diese TFTP Traffic passieren lässt !
Der Rest ist schnell gemacht:
router> enable
Password: password
router# copy tftp: flash
Address or name of remote host []?
<---Hier die TFTP Server IP Adresse angeben
Source filename []? ccpexpressAdmin_x_y_en.tar
<--- Hier den CP Express .tar Dateinamen angeben. (x und y ist die Versionsnummer)
Destination file name []? ccpexpressAdmin_x_y_en.tar
<--- Einfach Dateiname mit <Return> Taste bestätigen !

Damit wird dann die .tar Datei auf das Router Flash übertragen.
Wer es ganz einfach machen will nimmt einen USB Stick kopiert den Cisco Express Admin View Tar File ohne Unterverzeichnis einfach darauf und steckt den Stick in den Router USB Port.
Ein copy usbflash0:ccpexpressAdmin_x_y_en.tar flash: (Dateiname wie im Download, x.y = Versionsnummer)
kopiert dann die Datei in den Router Flash Speicher.

Im Anschluss muss diese .tar Archiv Datei noch mit dem folgenden Kommando extrahiert werden. (.tar ist unter Unix sowas wie .zip unter Windows)
router# archive tar /xtract flash:ccpexpressAdmin_x_y_en.tar flash:/ (x_y = Versionsnummer)
Nun muss nur noch der HTTP Server auf dem Router mit
router> conf t
router-conf#> ip http server

aktiviert werden. Wer es gerne sicher verschlüsselt hätte, der nimmt entsprechend:
router-conf#> ip https server

Die Authentisierung sollte noch auf den lokalen Usernamen und Passwort eingestellt werden mit ip http authentication local und das das Web GUI ausschliesslich aus dem lokalen Netz erreichbar ist: ip http access-class 23
Jetzt ist das grafische Web GUI über die LAN IP des Routers mit dem Web Browser erreichbar.
Die HTTP Konfig sieht dann so aus:
!
aaa new-model
aaa authentication login default local
!
enable secret Geheim123
!
username admin password Geheim123
!
ip http server
(ip http secure-server)
---> WebGUI verschlüsselt. Durch die ACL 23 und damit nur lokalem Zugriff ist das nicht zwingend.
ip http access-class 23
---> Ggf. weglassen wer das GUI von überall erreichen will. (Nicht empfehlenswert, Sicherheit !)
!

ACHTUNG: Der Webserver erfordert als Login immer den Usernamen der username xy password xyz Konfig aber als Passwort das enable secret Passwort !!!
Dies beachten wenn man keinen Frust beim Web Login erleben will.
Da hier in der Beispiel Grundkonfig oben enable secret Geheim123 und auch im Usernamen admin im Beispiel Geheim123 als Passwort gesetzt ist passt das hier im Beispiel zufälligerweise.
Wer aber aus gutem Grund hier unterschiedliche Passwörter für das enable secret und dem Usernamen verwendet hat sollte das zwingend beachten:
Web GUI Login Username=Username und das Passwort ist das enable-secret Passwort !

Zum Entfernen des GUIs vom Router Flash sind folgende 2 Schritte erforderlich.
router# delete /force /recursive home.shtml
router# delete /force /recursive flash:ccpexp

Die noch auf dem Flash befindliche .tar Archiv Datei kann man nach dem Installieren oder Update beruhigt löschen mit:
router# del flash:<Dateiname.tar>



Ein moderneres, Zonen basiertes Firewall Konzept benutzen (ZFW):

Die klassische, oben beschriebene, rein Interface bezogene Cisco stateful Inspection Firewall, auch als Context-Based Access Control, oder CBAC bekannt, wurde mit dem IOS Release 12.4.9T mit der flexibleren Zonen basierten Firewall (ZFW) ersetzt und wird die alte CBAC Firewall auf Sicht vollständig im IOS ersetzen. Beide Versionen koexistieren zur Zeit und mal hat (noch) die Wahl welche Art der Firewall man nutzen möchte.
Es macht also Sinn bei einer Neuinstallation die Firewall Konfig ggf. gleich durch eine modernere und flexiblere ZFW Konfiguration zu ersetzen. Zumal die ZFW Syntax weitgehend der der ASA Router entspricht.
Die ZFW Firewall bietet zudem eine Deep Packet Inspection bis auf URL und Content Basis und hat verbesserte Reporting Mechanismen gegen DoS Attacken. Zusätzlich ermöglicht sie durch die Zonen Struktur eine erheblich bessere und erhöhte Sicherheit als anfällige, Interface basierte Access Listen in der alten CBAC Struktur.

Die Zonen basierte Konfig unterscheidet sich erheblich von der klassischen Firewall Konfiguration mit ihren inspect Kommandos. Diese und die CBAC Accesslisten entfallen vollständig bei der moderneren ZFW Konfiguration ! In der o.a. Konfig Vorgabe ist das entsprechend markiert und sollte unbedingt beachtet werden.
Ein Mischen der neuen ZFW Firewall mit dem alten CBAC Modell sollte man besser immer vermeiden wenn möglich und sich fest für ein Firewall Konzept entscheiden:
Also entweder rein CBAC oder rein das modernere ZFW Firewall Modell zu nutzen. Kein Mischbetrieb !
Die Regeln sind einfach:
  • Traffic innerhalb von Interfaces einer Zone wird normal geforwardet
  • Traffic zwischen unterschiedlichen Zonen wird ohne Policy Regeln generell geblockt.
  • Gleiches gilt für Interfaces die kein Zone Member sind mit entsprechend zugewiesenen Zonen Interfaces
Die ZFW Firewall wird hier anhand eines klassischen Beispiels mit einem internen Netzwerk, einem Gast Netzwerk, das auch DMZ sein kann, und dem Internet konfiguriert. Von außen ist remoter Zugriff via IPsec VPN erlaubt.
Gäste sollen hier im Beispiel nur mit dem Browser ins Internet dürfen und aus dem lokalen LAN soll ein Management von Komponenten (z.B. WLAN) im Gastnetz möglich sein, nicht aber darf das Gastnetz Zugriff auf das lokale LAN haben.

ciscozfw - Klicke auf das Bild, um es zu vergrößern
Bevor es los geht nochmal die Erinnerung:
Die oben im alten CBAC Firewall Modell enthaltene Interface Accessliste 111 und ip inspect name ... Kommandos entfallen bei einer Zonen ZFW Firewall Konfig vollständig !!
Man sollte, wie bereits betont, nur ein Firewall Konzept nutzen und NICHT zu mischen !
Etwaige CBAC ip inspect Kommandos müssen vollständig aus einer neuen ZFW Firewall Konfig entfernt werden.

Schotten dicht....!! (Die Beispiel Konfig enthält der Übersicht halber nur die Firewall relevanten Konfigurations Parameter!)
Zuerst richtet man die entsprechenden Zonennamen ein. Die Anzahl der Zonennamen richtet sich natürlich nach der Anzahl der konfigurierten Interfaces. Wir haben hier im Beispiel 3 davon (Gast, Lokales LAN und Internet) also somit 3 Zonen.
Zuerst bestimmt die Protokolle zu die man zulassen und überwachen möchte:
!
class-map type inspect match-any Gast_erlaubt
match protocol http
match protocol https
match protocol dns
match protocol ntp
class-map type inspect match-all IPsec_VPN
match access-group name ISAKMP_IPSEC
class-map type inspect match-any Lokal_erlaubt
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp extended
(match protocol sip)
--> (ggf. weglassen wenn interne VoIP Anlage oder Telefone Probleme machen)
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-any Router_Protocols
match class-map IPsec_VPN
match protocol tcp
match protocol udp
match protocol icmp
!

Dazu kommen nun die Policies was gemacht werden soll:
!
policy-map type inspect GastZuInternet
description Traffic Gast zum Internet
class type inspect Gast_erlaubt
inspect
class class-default
drop
policy-map type inspect RouterZuInternet
description Traffic Router zum Internet
class type inspect Router_Protocols
inspect
class class-default
drop
policy-map type inspect LokalZuInternet
description Traffic Lokales LAN zum Internet
class type inspect Lokal_erlaubt
inspect
class class-default
drop
policy-map type inspect InternetZuRouter
description Traffic Internet zum Router
class type inspect IPsec_VPN
pass
class class-default
drop
!

Dann werden die Zonen definiert (hier 3):
!
zone security Lokal
zone security Gast
zone security Internet


Last but not least richtet man die Zonen Paare ein und aktiviert die dazu korrespondierende Security Policy und weist den Interfaces die Zonen zu:
!
zone-pair security LokalZuInternet source Lokal destination Internet
service-policy type inspect LokalZuInternet
zone-pair security GastZuInternet source Gast destination Internet
service-policy type inspect GastZuInternet
zone-pair security InternetZuRouter source Internet destination self
service-policy type inspect InternetZuRouter
zone-pair security RouterZuInternet source self destination Internet
service-policy type inspect RouterZuInternet
!
interface Vlan1
description Lokales LAN
zone-member security Lokal
!
interface Vlan10
description Gastnetz
zone-member security Gast
!
interface Virtual-Template1
description IPsec VPN Dialin
ip unnumbered Vlan1
zone-member security Lokal
!
interface Dialer0
description DSL Internet Interface
zone-member security Internet
!
ip access-list extended ISAKMP_IPSEC
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
!

ACHTUNG !:
Die oben im alten CBAC Firewall Modell enthaltene Interface Accessliste 111 und ip inspect name ... Kommandos entfallen bei einer Zonen ZFW Firewall Konfig vollständig !!

Kein Mischen der beiden Firewall Konzepte !


Das Show Kommando: show policy-map type inspect zone-pair LokalZuInternet zeigt dann z.B. die Statistiken der inspizierten Protokolle aus dem lokalen LAN ins Internet.
sh policy-map type inspect zone-pair sessions zeigt alle Sessions an über alle Zonenpaare.


Hardware: Mehr RAM Speicher für den Cisco 886va:

Vorbemerkung:
Die folgende Anleitung gilt nur für die älteren @@++ +nicht@@ K9 Modelle ! Wer also einen 88x K9 hat oder z.B. einen 886vaw (wireless) hat keinen internen RAM Slot mehr, sondern immer fest 512 MB onboard ohne Aufrüstmöglichkeit !
In der Regel erkennt man diese neueren Modelle daran das sie keinen Gehäuse Lüfter mehr haben.

Wer das 880er Model gebraucht erwirbt, sollte einen Blick auf die RAM Ausstattung des Routers werfen ! Die einfache Variante kommt mit 256 MB Onboard RAM daher. Für eine anspruchsvolle Konfiguration kann das schnell zu wenig sein, denn der Router braucht dann mehr RAM fürs Puffern von Daten, Firewall Prozess, Routing Tabelle usw.
Der Router bietet einen freien SO-DIMM Steckplatz wie man ihn auch aus Laptops oder Notebooks her kennt. Diesen kann man max. mit einem Standard 512 MB SO-DIMM bestücken um dann in Summe auf 768 MB RAM Speicher zu kommen. Diese Aufrüstung ist in jedem Falle empfehlenswert sollte der Router weniger RAM haben.

Auskunft über die aktuelle RAM Ausstattung bekommt man mit dem show version Kommando.
Dort sieht man u.a. eine Zeile mit folgendem Inhalt:
Cisco 886VA (MPC8300) processor (revision 1.0) with 708608K/77824K bytes of memory.

Wer diesen Output bekommt hat schon die Maximalausstattung.
Steht allerdings ein "...with 208608K/77824K bytes of memory" dort, läuft der Router nur mit dem schmalen 256 MB onboard Memory. (Leerer RAM Slot)
Der Cisco 886va verwendet Standard SO-DIMM Module mit 512MB wie man sie z.B. HIER recht preiswert neu bekommt.
Man erhält aber solche SO-DIMM Module mit der Spezifikation DDR2-533 PC2-4200S CL4 2Rx16 auch für noch weniger Geld wenn man bei den einschlägigen Auktionshäusern danach sucht. Sie sind sehr häufig auch in Laptops und Notebooks verwendet worden und bei einer RAM Aufrüstung dann übrig geblieben.

Die Aufrüstung des Ciscos ist schnell gemacht.
Man löst die 3 Gehäuseschrauben und klappt den Gehäusedeckel von hinten nach vorne in Richtung Frontpanel auf. Der SO-DIMM Slot befindet sich rechts. (Es gibt nur einen einzigen !)
886ram - Klicke auf das Bild, um es zu vergrößern
Dort setzt man jetzt das SO-DIMM ein und arretiert es durch Runterdrücken wie bei einem Laptop oder Notebook.
Beim Booten sollte der Router dann die automatisch erkannten 768 MB melden oder eben mit dem o.a. show version Kommando.
Das 89x Modell kommt ab Werk mit 512MB onboard und kann auf max. 1Gig aufgerüstet werden. Auch hier sollte man mit dem show version Kommando vorher prüfen wieviel RAM verbaut ist.


Weiterführende Links:

Wie Anfängerprobleme bei der Cisco Konfig vermeiden ?:
https://www.administrator.de/content/detail.php?id=318708&token=385
https://www.administrator.de/content/detail.php?id=342545&token=867
https://www.administrator.de/forum/routing-telekom-vdsl-cisco-896va-3757 ...

Überblick grundlegende Cisco IOS Kommando Syntax:
http://www.coufal.info/cisco_ios/index.shtml

880er Modelle, Annex-J Modem Software und VDSL Vectoring:
https://www.administrator.de/content/detail.php?id=307041&token=55

Die IPsec VPN Praxis: Real Life mit Cisco, pfSense, FritzBox, IP-Cop & Co.:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
und auch:
https://www.administrator.de/contentid/113776

886va Konfig an einem T-Com Business VDSL Anschluss:
https://www.administrator.de/contentid/194411

886va Konfig an einem alternativen VDSL Provider (Wilhelm.Tel):
https://www.administrator.de/contentid/214857

IPv6 Konfiguration am Provider (Telekom u.a.) Anschluss:
https://www.administrator.de/wissen/cisco-880-890-router-konfiguration-a ...

IPv6 Konfiguration über Tunnel Broker (Hurricane Electric):
https://administrator.de/content/detail.php?id=448181&token=81

Port Forwarding vom Internet auf Rechner im lokalen LAN:
https://www.administrator.de/content/detail.php?id=239150

Cisco 880/890 mit L3 VLAN Switch Cisco SG-Modellreihe sinnvoll koppeln:
https://www.administrator.de/content/detail.php?id=324168&token=62

880er Router mit Layer 3 Switch und DMZ generell:
https://www.administrator.de/content/detail.php?id=324168&token=716

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
https://www.administrator.de/index.php?content=117644

iPhone und iPad bzw. generelles Client VPN Dialin mit IPsec:
https://www.administrator.de/contentid/197412
und auch:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...

IPsec VPN als Client oder Standort zu Standort mit Cisco, pfSense/M0n0wall, Mikrotik oder FritzBox:
https://www.administrator.de/index.php?content=115798

VPN Standort Kopplung mit VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

VPN IPsec Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. Routing (RPv2 / OSPF):
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

Tips zum SIP Setup (VoIP/Telefonie) Setup des Cisco 886 Routers:
https://www.administrator.de/contentid/225187

Cisco 880 mit Voice Option konfigurieren:
https://www.administrator.de/content/detail.php?id=294088&token=847

Richtiger Umgang mit IP Access Listen auf dem Router:
https://www.administrator.de/contentid/227641

Zusatzinfo zum IP-TV Entertain mit Cisco Multicasting via VDSL:
https://www.administrator.de/contentid/356506
http://www.cisco-forum.net/topic_4350.0.html

VPNs mit PPTP:
https://www.administrator.de/index.php?content=117700

(Non Cisco) Mikrotik Multicast Routing für TCom Entertain IP-TV:
https://www.administrator.de/content/detail.php?id=262139&token=173

Beispiele zum VLAN Setup der Switchports und WLAN mit MSSID:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Filterliste bei DHCP statt PPPoE am WAN / Internet Port:
https://www.administrator.de/forum/cisco-2811-holt-dchp-adresse-fastethe ...

Tiefergehende Info und HowTo ZFW Firewall:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configura ...
http://brbccie.blogspot.com/2013/04/zone-based-firewall.html

Weitere Cisco Beispielkonfigurationen:
https://www.administrator.de/content/detail.php?id=326292&token=424
https://www.administrator.de/forum/cisco-internet-computer-329497.html
https://www.administrator.de/content/detail.php?id=374729&token=94 (Routing mit öffentlichem Subnetz)
152 Kommentare
Mitglied: brammer
23.01.2012 um 12:58 Uhr
Hallo,

so, wer jetzt noch ein Problem mit der Konfiguration hat, dem ist nicht mehr zu helfen..

Das einzige Problem ist das finden dieses super Tutorials.

Danke aqui

brammer
Bitte warten ..
Mitglied: Frank
24.01.2012 um 13:19 Uhr
Hi,

na dann gibt doch mal "Konfiguration Cisco 886va" in die Google Suche ein!



Gruß
Frank
Webmaster
Bitte warten ..
Mitglied: brammer
24.01.2012 um 13:43 Uhr
Hallo,

Frank
Dass deine Suche Funktioniert wissen wir doch

Nur ein paar resistente User ignorieren das vorhanden sein dieser sehr Sinnvolle Funktion...

btw.:
Könntest du bitte unter FAQ > Fragen und Antworten noch Sarkasmus Tags zur Verfügung stellen?

brammer
Bitte warten ..
Mitglied: Dani
24.01.2012 um 19:44 Uhr
Hallo aqui,
sehr schön... an Weihnachten hätte deine Anleitung brauchen können.
Ansonsten sagt die Anleitung alles. Davon könnten sich einige Autoren eine Scheibe abschneiden.


Grüße,
Dani
Bitte warten ..
Mitglied: Chrispe
16.08.2012, aktualisiert 17.08.2012
Hi,

dazu muss ich sagen, dass es echt eine sehr schöne Anleitung ist! Hatte bei dem selbst konfigurieren doch so das ein oder andere Prob... ;)


Änderung 17.08.2012: Es funktioniert! Alles prima und super - nochmal danke für die Anleitung! ;)
Bitte warten ..
Mitglied: vlink78
17.12.2013 um 20:57 Uhr
Hallo,

weiß jemand wie ich an das PDF Tutorial zur Einrichtung von IP-TV komme??

Bzw hat es jemand schonmal geschaut Telekom Entertain mit einer Fortinet Firewall zum laufen zu bringen?
Bin über jeden Hinweis dankbar.

Vielen Dank!
Bitte warten ..
Mitglied: brammer
17.12.2013 um 22:17 Uhr
Hallo,

Der blaue schriftteil im Tutorial von @aqui ist ein link.

Und für deine frage zur Fortinet machst du besser einen neuen Beitrag.

Brammer
Bitte warten ..
Mitglied: vlink78
17.12.2013 um 22:43 Uhr
Danke Dir. Aber hast Du Dir mal den Link angeschaut? Da komme ich auf eine komische Seite und müsste mir eine exe installieren...
Bitte warten ..
Mitglied: aqui
18.12.2013, aktualisiert um 11:28 Uhr
Das ist natürlich Blödsinn mit der .exe zum Installieren.
Klicke den Link der "Click here to start download from sendspace" beschriftet ist und dann kommst du direkt zu dem gewünschten PDF !!

Auch mit der Fortinet ist das kein Thema wenn du dort Multicast Forwarding aktivierst wie es im o.a. Cisco TV PDF beschrieben ist. Es ist die identische Prozedur nur eben mit Fortinet Syntax.
Bitte warten ..
Mitglied: vlink78
18.12.2013 um 13:20 Uhr
Vielen lieben Dank! Da stand ich wohl auf dem Schlauch.

Dann denkst Du sollte IPTV bei mir auch mit der Fortinet problemlos funktionieren? Habe ja dazu noch ein Zyxkel Modem an WAN1 hängen welches im Bridge Mode läuft. Habe bei mir 'nur' das Problem, dass das Bild nach ca 10 Sekunden einfriert.Sprich wenn er auf Multicast umschaltet. Gibt es hier vielleicht noch Fortinet Spezialisten? Komme nicht ganz zurecht mit der Umsetzung der Cisco Befehle auf Fortinet. Hauptsächlich wie ich die IP Adresse des Multicast Routers der Telekom herausfinde

Vielen Dank!
Bitte warten ..
Mitglied: aqui
18.12.2013 um 13:31 Uhr
Es kommt auf die Fortinet an ?! Wenn sie diese Multicast Features supportet ist das kein Ding. Das solltest du aber wasserdicht im Datenblatt oder Manual klären.
Um die Multicast IP des T-Com Routers rauszubekommen müsste die Fortinet auch so eine Debugging Möglichkeit haben, da hast du Recht. Das brauchst du zwingend damit das stabil rennt. In der Regel gibt es aber auch bei bessen Firewalls (zu denen man Fortinet ja zählen kann) sowas.
Bitte warten ..
Mitglied: vlink78
18.12.2013 um 13:44 Uhr
Ja Multicast kann meine Fortinet. Habe auch schon Multicast Policies angelegt. Mir fehlt scheinbar nur noch die Möglichkeit wie ich die IP Adresse des Multicast Routers der Telekom herausfinden kann.
Bitte warten ..
Mitglied: cpt-haddock
28.12.2014 um 10:44 Uhr
Vieleicht hilft es jemand im Home-IP TV Konfiguration. Der Link zum PDF ist schon etwas alt, und der Rendez Vous Point IP kann einfacher ermittelt werden. Die Routen zu rp-address wird über DHCP mitgeteilt. Wenn das interface Ethernet0.8 korrekt konfiguriert ist, kommt es mit einer 10.X.X.X hoch, und es werden 2 Routen gelernt. show dhcp lease zeigt dann etwas wie (abhängig vom Ort):
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254
In meinen Fall ist der RP die 87.141.128.0.
Bitte warten ..
Mitglied: aqui
29.12.2014 um 10:03 Uhr
Hallo Captain !
Danke für den hilfreichen Tip ! Ich werde das Tutorial entsprechend anpassen !
Bitte warten ..
Mitglied: cpt-haddock
27.07.2015 um 16:25 Uhr
Hi, ich bekomme demnächst einen Dual-Stack Anschluss. Hat jemand den IPv6 Teil der Config für den SLAAC (WAN) und DHCP PD (LAN) Teil?
Bitte warten ..
Mitglied: Ciscoholic
12.08.2015, aktualisiert 13.08.2015
Nachdem die Telekom vor einigen Wochen meinen ISDN-Anschluss zwangsweise migriert hat, habe ich zu Testzwecken eine IPv6 Konfiguration gebaut, die keinen Anspruch auf Vollständigkeit und Fehlerfreiheit erhebt, aber sicher als Startpunkt für eigene Gehversuche dienen kann.
Da auch im internen Netz öffentliche IPv6-Adressen zum Einsatz kommen, sind alle Klienten End-to-End ohne NAT aus dem Internet erreichbar, so dass als erstes ein wichtiger Hinweis folgt…

HINWEIS: Als erstes sind zwingend die ACLs und die Firewall zu konfigurieren!!!

Entsprechend gibt es zunächst ein paar Vorarbeiten:
Der Router wird weiterhin aus dem internen Netz ausschließlich über IPv4 administriert und somit alle Remote-Zugänge über IPv6 gesperrt. Leider ändert die Telekom nicht nur die externe IPv6-Adresse täglich, sondern auch das /56 Präfix für die internen Netze. Wer also intern via IPv6 auf den Router zugreifen will, müsste die ACL somit täglich anpassen, was man aber über EEM automatisieren könnte, oder zusätzlich mit Unique Local Adressen (FC00::/7) arbeiten.
!
ipv6 access-list BLOCKv6
  deny ipv6 any any log-input
!
line vty 0 4
  ipv6 access-class BLOCKv6 in
! 
Dann folgt die ACL für die externe WAN-Schnittstelle. Die ersten beiden Zeilen stehen zwar als Default implizit vor dem erwarteten impliziten „deny ipv6 any any“, aber da ich am Ende mit einem expliziten Deny arbeite, sind sie zwingend notwendig, damit die Neighbor Discovery funktioniert.
Danach wird UDP Port 546 geöffnet, der DHCP Client Port für IPv6. Die weiteren Einträge dienen vor allem dazu, über die Matches zu sehen, was an Traffic über die Schnittstelle läuft.
!
ipv6 access-list WAN_OUTSIDE_INv6
  permit icmp any any nd-na sequence 10
  permit icmp any any nd-ns sequence 11
  permit udp any any eq 546 sequence 12
  permit icmp any any sequence 20
  permit tcp any any established sequence 40
  deny ipv6 any any log-input sequence 100
!
ipv6 access-list WAN_INSIDE_OUTv6
  permit icmp any any sequence 10
  permit tcp any any sequence 20
  permit udp any any sequence 30
  deny ipv6 any any log-input sequence 100
! 
Nun die Firewall-Regeln:
!
ipv6 inspect name FWv6 tcp
ipv6 inspect name FWv6 udp
ipv6 inspect name FWv6 icmp
! 
Neben dem Binden der ACL und Firewall-Regeln auf die WAN-Schnittstelle, setzen wir auch gleich ein paar weitere Einstellungen:
!
interface Dialer0
  no ipv6 redirects
  no ipv6 unreachables
  ipv6 verify unicast reverse-path
  ipv6 traffic-filter WAN_OUTSIDE_INv6 in
  ipv6 traffic-filter WAN_INSIDE_OUTv6 out
  ipv6 inspect FWv6 out
! 
Jetzt kommen wir endlich zur Konfiguration der IPv6-Adressen und des Pools für die internen Klienten. Die Telekom weist uns nicht nur eine IPv6-Adresse für die WAN-Schnittstelle zu, sondern auch ein /56 Präfix für unsere internen Netze, dass sich aber leider ebenfalls täglich ändert. Dieses Präfix wird einem DHCPv6-Pool zugewiesen, so dass der Router intern als DHCPv6-Server agieren kann. Man kann hier stattdessen auch nur SLAAC verwenden, aber DHCPv6 bietet natürlich mehr Optionen und Kontrolle.
!
ipv6 dhcp pool TELEKOMv6_POOL
  prefix-delegation pool TELEKOMv6_PREFIX
  import dns-server
  domain-name testdomain.local
!
interface Dialer0
  ipv6 address FE80::179:1 link-local
  ipv6 address autoconfig default
  ipv6 enable
  ipv6 dhcp client pd TELEKOMv6_PREFIX
!
interface Vlan1
  ipv6 address FE80::178:1 link-local
  ipv6 enable
  ipv6 address TELEKOMv6_PREFIX ::1/64
  ipv6 nd other-config-flag
  ipv6 dhcp server TELEKOMv6_POOL
! 
Zum Abschluss müssen nun noch das IPv6-Routing und CEF aktiviert werden.
!
ipv6 unicast-routing
ipv6 cef
! 
Mit einem "clear interface dialer 0" können wir uns dann die ersten IPv6-Adressen vom Provider holen.
Auf internen Windows-Clients reicht jetzt ein “ipconfig /renew”, um sich eine öffentliche IPv6-Adresse zu holen und testweise mal einen IPv6-Ping abzusetzen:
C:\Users\Ciscoholic>ping -6 www.heise.de

Pinging www.heise.de [2a02:2e0:3fe:1001:7777:772e:2:85] with 32 bytes of data:
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=26ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=22ms
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms

Ping statistics for 2a02:2e0:3fe:1001:7777:772e:2:85:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 21ms, Maximum = 26ms, Average = 22ms

C:\Users\ Ciscoholic >
…und noch ein paar nützliche SHOW-Befehle, aus Platzgründen mit leicht gekürztem Output und natürlich geänderten Adressen:
Cisco886va#show ipv6 dhcp interface
Dialer0 is in client mode
  Prefix State is OPEN (0)
  Information refresh timer expires in 23:58:45
  Renew will be sent in 00:13:45
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::233:44FF:FE55:6677
    DUID: 0001000100010001000100010001
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x000F0001, T1 900, T2 1440
        Prefix: 2003:6F:1234:5600::/56
                preferred lifetime 1800, valid lifetime 14400
                expires at Aug 12 2015 08:30 PM (14326 seconds)
      DNS server: 2003:180:2:1000:0:1:0:53
      DNS server: 2003:180:2:5000:0:1:0:53
      Information refresh time: 0
  Prefix name: TELEKOMv6_PREFIX
  Prefix Rapid-Commit: disabled
  Address Rapid-Commit: disabled
Vlan1 is in server mode
  Using pool: TELEKOMv6_POOL
  Preference value: 0
  Hint from client: ignored
  Rapid-Commit: disabled

Cisco886va#show ipv6 interface dialer 0
Dialer0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::179:1
  No Virtual link-local address(es):
  Description: VDSL Internet Dial-Up Connection
  Stateless address autoconfig enabled
  Global unicast address(es):
    2003:6F:1234:ABCD::179:1, subnet is 2003:6F:1234:ABCD::/64 [EUI/CAL/PRE]
      valid lifetime 14307 preferred lifetime 1707
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF79:1
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are disabled
  ICMP unreachables are disabled
  Inbound access list WAN_OUTSIDE_INv6
 IPv6 verify source reachable-via rx, allow default
   108 verification drop(s) (process), 0 (CEF)
   0 suppressed verification drop(s) (process), 0 (CEF)
  Outbound Inspection Rule FWv6
  Outgoing access list WAN_INSIDE_OUTv6
  ND RAs are suppressed (periodic)
  Hosts use stateless autoconfig for addresses.

Cisco886va#show ipv6 interface vlan 1
Vlan1 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::178:1
  No Virtual link-local address(es):
  Description: Internes LAN
  General-prefix in use for addressing
  Global unicast address(es):
    2003:6F:1234:5600::1, subnet is 2003:6F:1234:5600::/64 [CAL/PRE]
      valid lifetime 14235 preferred lifetime 1635
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF02::1:FF00:1
    FF02::1:FF78:1
    FF05::1:3
  MTU is 1500 bytes
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
  Hosts use DHCP to obtain other configuration.

Cisco886va#show ipv6 route
IPv6 Routing Table - default - 7 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
       H - NHRP, D - EIGRP, EX - EIGRP external, ND - ND Default
       NDp - ND Prefix, DCE - Destination, NDr - Redirect, O - OSPF Intra
       OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1
       ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations
       ld - LISP dyn-eid, a - Application
ND  ::/0 [2/0]
     via FE80::233:44FF:FE55:6677, Dialer0
S   2003:6F:1234:5600::/56 [1/0]
     via Null0, directly connected
C   2003:6F:1234:5600::/64 [0/0]
     via Vlan1, directly connected
L   2003:6F:1234:5600::1/128 [0/0]
     via Vlan1, receive
NDp 2003:6F:1234:ABCD::/64 [2/0]
     via Dialer0, directly connected
L   2003:6F:1234:ABCD::179:1/128 [0/0]
     via Dialer0, receive
L   FF00::/8 [0/0]
     via Null0, receive
Cisco886va#
Bitte warten ..
Mitglied: Ciscoholic
13.08.2015 um 00:02 Uhr
Bei neueren IOS-Versionen hat Cisco den Default-Wert für das PPP Throttling drastisch verschärft, so dass der Router nach einem IOS-Update plötzlich keine IP-Adresse mehr bekommt.

Mit einem „debug ppp negotiation“ sieht man dann folgende Zeilen:
Vi2 PPP: Control packet rate limit 10 reached
Vi2 PPP: Entering block state for 30 seconds
Vi2 PPP: Packet throttled, Dropping packet
Ursache ist ein (aktuell nicht öffentlich zugänglicher) Bug, bei dessen Behebung Cisco das PPP Throttling von offen wie ein Scheunentor auf extrem aggressive Werte geändert hat:
vor CSCuo88855:
der Default waren 10.000 Packets in 3.600 sec ohne Blocking (ppp packet throttle 10000 3600 0)

nach CSCuo88855:
der Default sind 10 Packets in 1 sec mit 30 sec Blocking (ppp packet throttle 10 1 30)
Bei mir sind die Verbindungsprobleme nach einem Update auf die aktuelle IOS-Version 15.4(3)M3 aufgetreten.
Die Lösung liegt in der Anpassung auf etwas moderatere Werte:
ppp packet throttle 50 5 30
Mit diesen Werten funktioniert es wieder reibungslos.

…und dann stellt sich mir noch die Frage, wieso ihr noch die Authentifizierung mit PAP verwendet, obwohl die Telekom doch schon seit vielen Jahren CHAP unterstützt.
Also am besten die PAP-Zeilen ganz schnell löschen und durch die entsprechende CHAP-Authentifizierung ersetzen:
interface dialer 0
  ppp authentication chap callin
  ppp chap hostname 00123456789012345678#0001@t-online.de
  ppp chap password 1234567
Bitte warten ..
Mitglied: aqui
22.08.2015 um 18:49 Uhr
Danke für den Hinweis !
Hier allerdings mit einer Version 15.4(3)M2 an einem T-Com Anschluss keinerlei Probleme und eine Anpassung ist nicht erforderlich. Der Unterschied von M2 zu M3 sollte dabei marginal sein wenn man die release Notes dazu liest.
Bitte warten ..
Mitglied: gierig
13.11.2015 um 10:24 Uhr
Bin umgestiegen auf einen C887VA-W-E-K9 (vorher 876W, Umstieg wegen Vorbereitung auf VDSL)

mit Version 15.4(3)M2 kann ich das PPP Throttling Problem nachvollziehen.

(ADSL2+ Verbindung)

ppp packet throttle 50 5 30 hat es sofort gelöst.
Danke für den Hinweis.
Bitte warten ..
Mitglied: Noiseless
24.11.2015, aktualisiert um 18:03 Uhr
Hat schon jemand einen Cisco Router an einem Telekom BNG ADSL Anschluss laufen ? Bei BNG Anschlüssen muss man das VLAN Tag 7 selber setzen, allerdings habe ich bisher kein Erfolg.
Bitte warten ..
Mitglied: aqui
27.11.2015, aktualisiert um 13:20 Uhr
Ist ja oben im Tutorial ganz genau erklärt wie man es macht. Klar, dazu muss man das Tutorial natürlich lesen !!!
nterface FastEthernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7

no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!

Damit funktioniert es mit allen IOS basierten Cisco Routern fehlerlos !
Genau das encapsulation... Kommando bedeutet das der Frame am WAN Port ein 802.1q tagged Frame mit der VLAN ID 7 sein soll.
Wer lesen kann....
Bitte warten ..
Mitglied: Wuppi68
27.11.2015, aktualisiert 28.11.2015
moin moin,

erst einmal ein ganz großes DANKE für die Informationen

Nun habe ich noch ein "kleines" Problem.

1. Router Cisco 866 mit VDSL Modem --> Funktion OK
2. Router Cisco 892 mit Speedport 300HS Modem --> Funktion OK

Problem:
bei beiden Routern bekomme ich kein gescheites Bild (Artefakte/kein Ton) an einem VDSL 50 Anschluß.
In den ersten 10 Sekunden ist es perfekt, dann bei der Umschaltung auf VLAN 8 treten die Artefakte ganz extrem auf.

Was kann ich da noch tun? Meine Fritzbox schafft es problemlos .... und der Cisco sollte es dann auch schaffen

Hier noch Teile meiner Config:

01.
interface GigabitEthernet0
02.
 no ip address
03.
 no ip route-cache cef
04.
 no ip route-cache
05.
 duplex auto
06.
 speed auto
07.
 no cdp enable
08.
 hold-queue 256 in
09.
!
10.
interface GigabitEthernet0.7
11.
 description VDSL Internet Verbindung - VLAN 7 tagged
12.
 encapsulation dot1Q 7
13.
 no ip route-cache
14.
 pppoe-client dial-pool-number 1
15.
 no cdp enable
16.
!
17.
interface GigabitEthernet0.8
18.
 description VDSL Multicast Entertain - VLAN 8 tagged
19.
 encapsulation dot1Q 8
20.
 ip dhcp client broadcast-flag clear
21.
 ip address dhcp
22.
 ip pim sparse-mode
23.
 no ip route-cache
24.
 ip igmp helper-address 10.50.255.254
25.
 ip igmp version 3
26.
 ip igmp explicit-tracking
27.
 ip igmp proxy-service
28.
 no cdp enable
29.
!
30.
interface Vlan1
31.
 description Lokales LAN
32.
 ip address 192.168.99.250 255.255.255.0
33.
 no ip redirects
34.
 no ip unreachables
35.
 no ip proxy-arp
36.
 ip pim sparse-mode
37.
 ip nat inside
38.
 ip virtual-reassembly in
39.
 ip tcp adjust-mss 1452
40.
 ip igmp helper-address 10.50.255.254
41.
 ip igmp version 3
42.
 ip igmp explicit-tracking
43.
 ip igmp query-interval 15
44.
 ip igmp proxy-service
45.
!
46.
interface Dialer0
47.
 description DSL Einwahl Interface
48.
 ip ddns update hostname fritz.heibox.com
49.
 ip ddns update dyndns
50.
 ip address negotiated
51.
 ip access-group PUBLIC-VDSL in
52.
 no ip redirects
53.
 no ip unreachables
54.
 no ip proxy-arp
55.
 ip mtu 1492
56.
 ip pim sparse-mode
57.
 ip nat outside
58.
 ip inspect myfw out
59.
 ip virtual-reassembly in
60.
 encapsulation ppp
61.
 ip igmp version 3
62.
 ip igmp query-interval 15
63.
 ip igmp proxy-service
64.
 dialer pool 1
65.
 dialer-group 1
66.
 no keepalive
67.
 ppp authentication pap callin
68.
 ppp chap hostname xxx#0001@t-online.de
69.
 ppp chap password 7 xxx
70.
 ppp pap sent-username xxx#0001@t-online.de password 7 xxx
71.
 ppp ipcp dns request
72.
 ppp ipcp mask request
73.
 ppp ipcp route default
74.
 no cdp enable
75.
!
76.
no ip forward-protocol nd
77.
!!!! some parts deleted
78.
ip access-list extended PUBLIC-VDSL
79.
 permit tcp any any established
80.
 permit igmp host 10.50.255.254 any
81.
 permit icmp host 10.50.255.254 any
82.
 permit ip any 224.0.0.0 15.255.255.255
83.
 permit udp any gt 40000 any
84.
 permit icmp any any administratively-prohibited
85.
 permit icmp any any echo-reply
86.
 permit icmp any any packet-too-big
87.
 permit icmp any any time-exceeded
88.
 permit icmp any any unreachable
89.
 permit udp any eq domain any
90.
 permit tcp any eq domain any
91.
 permit udp any eq ntp any
92.
 permit gre any any
93.
!
94.
ip pim rp-address 10.50.255.254


jemand noch einen Tip?

Gruß und Dank

Ralf
Bitte warten ..
Mitglied: aqui
28.11.2015 um 15:10 Uhr
Zeigt ja eigentlich das es Durchsatz oder Performance Probeme gibt
Hast du mal ein show proc cpu oder nur show cpu gemacht um zu sehen wie die Last auf dem Router ist ?
Hast du testweise mal das oben empfohlene ppp packet throttle 50 5 30 auf dem PPP Interface probiert.
Bitte warten ..
Mitglied: Wuppi68
28.11.2015 um 21:40 Uhr
Hallo aqui,

CPU ist maximal bei ca. 15%

den ppp Test werde ich erst morgen machen können.

Habe noch ein paar Configs im Bridgemode gefunden. Werde die dann auch noch entsprechend testen.

Infos gibt es aber erst nächste Woche.

Dank

Ralf
Bitte warten ..
Mitglied: aqui
28.11.2015 um 21:57 Uhr
Die CPU Last ist normal..daran liegt es nicht.
Bridge Mode sagt mir jetzt nix aber dann warten wir mal die kommende Woche ab...
Bitte warten ..
Mitglied: Wuppi68
29.11.2015 um 00:48 Uhr
kleine Zwischeninfo:

ppp hat nichts gebracht

noch einmal alle Routing Optionen durchgetestet - dann kam Klitschko und ich musste wieder auf die FB umschalten ...

mein nächster Versuch wird sein, meine Entertainbox in Vlan 7 zu hängen um dann entsprechend "nur" noch zu bridgen.

Schon wir mal was draus wird
Bitte warten ..
Mitglied: aqui
30.11.2015 um 10:40 Uhr
dann kam Klitschko und ich musste wieder auf die FB umschalten ...
Hätt'st du besser bleiben gelassen um dir das Elend nicht mit ansehen zu müssen
Bitte warten ..
Mitglied: Noiseless
03.12.2015, aktualisiert um 12:24 Uhr
Hallo Aqui,

ich ignoriere lieber deine Vorwürfe, dass ich den Thread nicht gelesen habe.

Die von Dir genannte Konfiguration zählt nur für DSL Anschlüsse die im PTM Modus laufen. (VDSL)

Mein Anschluss läuft allerdings im ATM Modus. (ADSL2+)

Betreibe den Anschluss nun im Bridge Modus.

interface ATM0/0/0.1
pvc 1/32
bridge-dot1q encap 7

Ob das wirklich korrekt ist, kann ich aktuell noch nicht sagen.
Bitte warten ..
Mitglied: Vampi1977
03.12.2015 um 19:14 Uhr
Hallo Noiseless,

deine Einstellung ist richtig!!! Im Rahmen der Technischen Richtlinie 112 (1TR112) wird in Zukunft jegliche Einwahl ohne Vlan Tag auch bei ADSL zurückgewiesen.

Wer das noch nicht umgesetzt hat sollte es bei seinem Annex J Anschluss baldmöglichst umsetzten. Wir wurden schon angeschrieben das die Telekom jederzeit die Umstellung vollziehen kann.

Hinweis des Providers MK-Netzdienste (Erstklassiger Service BTW):

Laut Telekom gibt es vermehrt Hinweise darauf, dass sich einzelne von Kunden eingesetzte Endgeräte nicht gemäß der technischen Richtlinie verhalten. Endgeräte, die nicht der 1TR112 entsprechen, bewirken, dass die von der Telekom bereitgestellten Access-Teilleistungen eventuell nicht wie vertraglich vorgesehen nutzbar sind.

An dieser Stelle möchten wir insbesondere erwähnen, dass für alle Endgeräte gemäß 1TR112, Ziffer 9.3.1 eine Einwahl über VLAN7, single tagged, erfolgen muss, da die Endgeräte beim Online-User ansonsten gegebenenfalls keine PPPoE-Session aufbauen.

Wir weisen hier daraufhin, dass es sich hier nur um die Einwahl von ADSL SA Annex J und VDSL SA handelt !!!

Bislang konnten die ADSL SA Annex-J Leitungen auch ohne VLAN 7 genutzt werden, diese Möglichkeit wird im Rahmen der BNG-Migration bei der Telekom wegfallen. Es sollten daher schon jetzt alle ADSL SA Annex-J auf VLAN7 konfiguriert werden!
Bitte warten ..
Mitglied: aqui
08.12.2015, aktualisiert um 09:18 Uhr
ich ignoriere lieber deine Vorwürfe, dass ich den Thread nicht gelesen habe.
Die von Dir genannte Konfiguration zählt nur für DSL Anschlüsse die im PTM Modus laufen. (VDSL)
Mein Anschluss läuft allerdings im ATM Modus. (ADSL2+)
Sorry aber nun muss man dir scheinbar zu Recht den Vorwurf machen das du das Tutorial nicht gelesen hast !
Oben ist doch ganz klar auch eine ADSL2+ Konfig angegeben:
nterface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!

Diese Konfig funktioniert hier wenigstens mehrfach an einem T-Com ADSL2+ Anschluss fehlerlos. Sollte ja auch, denn der o.a. Router hat ein Hybridmodem das im Autodetection Mode arbeitet. Den ADSL2+ Negotiation Prozess kannst du auch live mitsehen wenn du den Debugger einmal aktivierst auf dem CLI.
Da ist nix mit Bridge Modus usw....
Bitte warten ..
Mitglied: Vampi1977
08.12.2015 um 20:20 Uhr
Hallo Aqui,

die von dir aufgeführte Config funktioniert aktuell perfekt für alle ANNEX B und ANNEX J Anschlüsse bis die Telekom ernst macht. Ab Tag X (Wann das ist weiß vermutlich noch nicht mal die Telekom) wird ohne Vorwarnung die Einwahl ohne VLAN Tag am Annex J ADSL zurückgewiesen... Wer dann nicht mit den Bridge Modus beim ADSL 2+ Anschluss (ADSL SA Annex-J) arbeitet oder arbeiten kann hat Pech.

Noiseless hat die Config die auch sicher nach der Umstellung geht. Wir dürfen das auf mehreren hundert Geräten nachbessern.

So sollte es aussehen wenn der Anschluss auch wirklich ein Annex J ist (Cisco 886VAJ, IOS 15.4M3, siehe Trained Mode).

sh controller vdsl 0
Controller VDSL 0 is UP
Daemon Status: Up
XTU-R (DS) XTU-C (US)
Chip Vendor ID: 'BDCM' 'IFTN'
Chip Vendor Specific: 0x0000 0x82B9
Chip Vendor Country: 0xB500 0xB500
Modem Vendor ID: 'CSCO' ' '
Modem Vendor Specific: 0x4602 0x0000
Modem Vendor Country: 0xB500 0x0000
Serial Number Near: FCZ19349253 C886VAJ- 15.4(3)M3
Serial Number Far:
Modem Version Near: 15.4(3)M3
Modem Version Far: 0x82b9
Modem Status: TC Sync (Showtime!)
DSL Config Mode: AUTO
Trained Mode: G.992.5 (ADSL2+) Annex J


sh run int atm0.1
Building configuration...
Current configuration : 110 bytes
!
interface ATM0.1 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
end


Ich kann nur nochmals auf den Hinweis vom Provider verweisen:

Bislang konnten die ADSL SA Annex-J Leitungen auch ohne VLAN 7 genutzt werden, diese Möglichkeit wird im Rahmen der BNG-Migration bei der Telekom wegfallen. Es sollten daher schon jetzt alle ADSL SA Annex-J auf VLAN7 konfiguriert werden!

Falls du einen Annex J Anschluss hat probiere es einfach aus. Einwahl geht aktuell mit oder ohne Bridge Mode.

Gruß,

Vampi
Bitte warten ..
Mitglied: aqui
09.12.2015 um 09:41 Uhr
Das ist vermutlich genau der Punkt weil es hier auch mit der "alten" Konfig fehlerlos an einem Annex J Anschluss rennt.
Aber danke für den wichtigen Tip mit dem Tagging !
Dann weiss man wenigstens wenn es eines tages mal nicht gehen sollte das die Telekom umgestellt hat auf VLAN 7 Tagging.
Bitte warten ..
Mitglied: Paveway
20.02.2016 um 02:01 Uhr
Hallo Zusammen,

ich bin relativ neu auf dem Gebiet der Cisco Router welche über einen normalen Endkundenbereich hinausgehen und habe die letzten 2 Wochen damit verbracht mir etliche Dokumentationen und Tutrorials durchzuarbeiten.

Folgende Situation habe ich:
Ein Cisco 866VAE-W-K9 ist an einen VDSL ALL IP der Telekom angeschlossen.
Die Konfiguration habe
ich nach reichlicher Durchforstung dieses Tutorials und Docs von Cisco ohne Probleme hinbekommen, kann aber aus dem LAN nicht ins I-NET pingen.

Soll heißen:
Cisco 866VAE Router direkt am ALL IP Anschluß der Telekom, IP Addresse wurde zugewiesen, ein ping oder tracert direkt vom CLI an z.B. www.t-online.de ist ohne weiteres möglich.

Alle Clients im LAN können sich ebenfalls anpingen, aber:
ein Ping von einem Client aus dem LAN an z.B. www.t-online.de scheitert an einem "Host unreachable".
Die DNS Auflösung klappt ohne Probleme, aber selbst das anpingen der IP endet in der gleichen Sackgasse.
Ich denke es ist einfach nur ein simples Routing Problem welches ich übersehen habe, da ich mich aber an diesem Turorial orientiert habe, weiß ich aktuell nicht wirklich warum dieses Problem auftritt.
Ein tracert endet im Übrigen immer an der IP des Routers.

Es hat also nichts mit dem VDSL Anschluss zu tun, sondern eher mit der Grund Konfig des Routers.

Hat jemand einen Tip für mich?
Bitte warten ..
Mitglied: aqui
22.02.2016, aktualisiert um 12:07 Uhr
welche über einen normalen Endkundenbereich hinausgehen
Kommt wie immer darauf an was du für dich als "Endkunden" definierst...?!
und habe die letzten 2 Wochen damit verbracht mir etliche Dokumentationen und Tutrorials durchzuarbeiten.
Mmmhhh... Eine einzige, nämlich diese hier, hätte dich sofort zum Ziel geführt in 10 Minuten
ich nach reichlicher Durchforstung dieses Tutorials und Docs von Cisco ohne Probleme hinbekommen,
Klasse...Glückwunsch. Ist aber auch nicht schwer wenn man nur abtippen muss
kann aber aus dem LAN nicht ins I-NET pingen.
Ooops...eben hast du aber gesagt du hast alles hinbekommen ?? Was denn nun ?
ein ping oder tracert direkt vom CLI an z.B. www.t-online.de ist ohne weiteres möglich.
Sehr gut ! Das zeigt aber ganz klar das alles sauber klappt mit deiner Routerkonfig und der böse Buhmann, wie zu erwarten war, NICHT der Router ist sondern dein Endgerät !!
ch denke es ist einfach nur ein simples Routing Problem
Nein, das ist es in der Regel nie !! Wie auch ?? Der Router hat eine default Route und schickt alles an den Provider ? Dein Client ebenso, der hat (sollte haben) eine default Route auf deinen Router...da ist also nicht groß mit Routing !
Es hat also nichts mit dem VDSL Anschluss zu tun, sondern eher mit der Grund Konfig des Routers.
Nein ! Ganz und gar nicht, denn sonst könntest du vom CLI des Routers nicht ins Internet pingen.

OK, fangen wir mal strategisch an:
  • Pingen, nslookup und traceroute vom Router CLI auf www.heise.de z.B. klappen ! Das zeigt mit dem Router und seiner ist alles in Ordnung !
  • Was sagt ein show hosts auf deinem CLI ?? Sieht du dort aufgelöste DNS Namen deiner angepingten Ziele ? Wenn ja würde das bedeuten das auch dein DNS Proxy auf dem Cisco sauber rennt.
  • Was sagt ein ipconfig -all in der Eingabeaufforderung eines Windows Clients am Router ??
  • Bekommt der Client eine korrekte IP Adressierung per DHCP vom Router ? Zeigt der die Router LAN IP als Gateway IP und auch als DNS IP ?
  • Wenn ja, kannst du den Router bzw. seine LAN IP anpingen ?
  • Wenn ja kannst du auch die 8.8.8.8 anpingen ?
Am Router selber liegt das Problem de facto nicht !
Bitte warten ..
Mitglied: Paveway
22.02.2016 um 13:58 Uhr
Moin aqui,

danke für die Antwort, ich hab's inzwischen aber hinbekommen.
Ich hatte den Wald vor lauter Bäumen in dem Falle nicht gesehen und seid dem ersten Versuch an stumpf und einfach das NAT vom internen LAN ins WAN Interface versaut...
Das war auch schon alles.

Mit Endkundenbereich meine ich so Krempel wie den Speedport W7xx von der Telekom, welcher jetzt ausgemustert wurde.

Wie immer saß der Fehler in dem Falle also vor dem Bildschrim ;)

Und ich schrieb doch: ich habe mich "orientiert", da der 866er doch leicht anders Aufgebaut ist, zumindest in den vordefinierten Interfaces ect. im Werkszustand.
Bitte warten ..
Mitglied: aqui
23.02.2016 um 09:31 Uhr
so Krempel wie den Speedport W7xx von der Telekom, welcher jetzt ausgemustert wurde.
Eine gute Tat !

Gut wenn nun alles rennt wie es soll !
Bitte warten ..
Mitglied: cpt-haddock
24.04.2016 um 11:29 Uhr
Ciscoholic, all,
Erst mal danke für all die Infos. Echt Klasse!
Ich will jetzt auch IPv6 auf dem Gastnetz (Vlan2) haben.
Das IPv6 PD prefix ist ein /56, im Beispiel: 2003:6F:1234:5600::/56, Prefix name: TELEKOMv6_PREFIX
Im Vlan1 ist dann 2003:6F:1234:5600::/64, interface kommt aus ipv6 address TELEKOMv6_PREFIX ::1/64
Wie bekomme ich auf Vlan2 einen 2003:6F:1234:5601::/64?
Wie lege ich einen zweiten ipv6 dhcp pool für ein domain-name Gastnetz an?
Was muss in eine ipv6 access-list damit kein Forwarding zwischen Vlan1 und Vlan2 stattfindet?
Bitte warten ..
Mitglied: aqui
25.04.2016, aktualisiert 10.02.2018
Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/ip/ip-version-6-ipv6/113141-D ...
<Edit>
Tutorial wurde oben aktuell um eine IPv6 Konfig erweitert !
</Edit>
Bitte warten ..
Mitglied: cpt-haddock
30.04.2016 um 11:23 Uhr
Erst mal danke.
Es ist aber noch nicht so richtig was ich wollte. Ich will den Prefix den ich von der Telekom bekomme (TELEKOMv6_PREFIX) mittels dhcp in Vlan1 und Vlan2 verteilen. Meine config:
Dies sind die Pools:
01.
ipv6 dhcp pool TELEKOMv6_POOL
02.
 prefix-delegation pool TELEKOMv6_PREFIX
03.
 import dns-server
04.
 domain-name homenet
01.
ipv6 dhcp pool TELEKOMv6_GAST
02.
 import dns-server
03.
 domain-name guestnet
und die interfaces:
01.
interface Vlan1
02.
 ipv6 address TELEKOMv6_PREFIX ::1/64
03.
 ipv6 enable
04.
 ipv6 nd other-config-flag
05.
 ipv6 dhcp server TELEKOMv6_POOL
01.
interface Vlan2
02.
 ipv6 address TELEKOMv6_PREFIX ::10:0:0:0:1/64
03.
 ipv6 enable
04.
 ipv6 nd other-config-flag
05.
 ipv6 dhcp server TELEKOMv6_GAST
01.
interface Dialer0
02.
 ipv6 address FE80::179:1 link-local
03.
 ipv6 address autoconfig default
04.
 ipv6 enable
05.
 ipv6 dhcp client pd TELEKOMv6_PREFIX
und
show ipv6 dhcp pool:
01.
DHCPv6 pool: TELEKOMv6_POOL
02.
  Prefix pool: TELEKOMv6_PREFIX
03.
               preferred lifetime 604800, valid lifetime 2592000
04.
  Imported DNS server: 2003:180:2:5000:0:1:0:53
05.
  Imported DNS server: 2003:180:2:2000:0:1:0:53
06.

07.
DHCPv6 pool: TELEKOMv6_GAST
08.
  Imported DNS server: 2003:180:2:5000:0:1:0:53
09.
  Imported DNS server: 2003:180:2:2000:0:1:0:53
der dhcp pool TELEKOMv6_POOL hat den /56 Prefix, ich will aber nicht den selben /56 Prefix im dhcp pool TELEKOMv6_GAST verwenden. Ich will im TELEKOMv6_POOL ein /60 Prefix und im TELEKOMv6_GAST ein anderes /60 Prefix.
Bitte warten ..
Mitglied: aqui
30.04.2016, aktualisiert um 13:29 Uhr
Deine IPv6 DHCP Konfiuration ist unvollständig bzw. fehlt vollkommen, deshalb geht das nicht.
Dir fehlt der entsprechende v6 Pool (exclude etc.) und die Gateway, DNS Definition den der Router dem /64 Interface zuordnen kann.
Das ist identisch zu v4.
Bitte warten ..
Mitglied: cpt-haddock
16.05.2016 um 20:54 Uhr
@aqui, danke.
Aber wie lege ich den v6 pool an? wenn ich ein IPv6 local pool anlege will, muss ich ein Prefix eingeben, den ich aber erst im Dialer interface mit ipv6 dhcp client pd TELEKOMv6_PREFIX lernen werde. Siehe
01.
886VA(config)#ipv6 local pool TEST ?
02.
  X:X:X:X::X/<0-128>  IPv6 pool prefix x:x::y/<z>
03.

04.
886VA(config)#ipv6 local pool TEST TELEKOMv6_PREFIX
05.
                                   ^
06.
% Invalid input detected at '^' marker.
Alle Beispiele die ich gefunden habe, erzeugen ein Pool wie:
01.
886VA(config)#ipv6 local pool TEST 2001:DB8:1200::/40 48
Bitte warten ..
Mitglied: aqui
09.08.2016, aktualisiert um 13:07 Uhr
Hier findest du eine laufende Dual Stack Konfig die das macht:
https://www.administrator.de/forum/cisco-1921-voip-telefonanlage-isp-mne ...
Die Mnet Konfig da kannst du identsch übernehmen !
Das o.a. Tutorial wird in Kürze auf die IPv6 Dual Stack Version upgedatet.
Bitte warten ..
Mitglied: Wuppi68
11.09.2016 um 22:11 Uhr
si, nach langer Zeit und vielen vielen Versuchen habe ich erst einmal eine Zwischenlösung gefunden

Die Dropouts lagen an einen falschen RP Servereintrag

Jetzt macht meine Fritte zwar noch den Internetzugang aber die Multicast Geschichte habe ich erst einmal in den Griff bekommen

wichtig:

Global:

01.
ip multicast-routing
pro Interface:

01.
ip pim sparse-mode
02.
 ip igmp helper-address <IP der Fritte>
03.
 ip igmp version 3
04.
 ip igmp explicit-tracking
05.
 ip igmp query-interval 15
06.
 ip igmp proxy-service
Jetzt kann ich als nächstes auch das Interface wieder direkt an das VDSL Modem dängeln
Bitte warten ..
Mitglied: murphster
18.09.2016 um 12:52 Uhr
Hi Aqui,

Vielen Dank für deine geniale Tutorial.

Ich habe seit 2 Monate meine Cisco 886VAJ (mit Hilfe deine Tutorial) erfolgreich im Einsatz. Die einzigste Funktion aus dem Tutorial was nicht ginge war den DDNS über DynDNS. Sonst alles Perfekt und entlang die Konfiguration hab ich vieles neu dazugelernt.

Ich hab die letzten Zwei Woche versucht eine noch offene Problem selbst zu lösen, leider bisher ohne erfolg.

Wir haben viele Apple Geräte hier zu Hause, davon 6 iPads, 5 iPhones und 3 MacBooks.
Alle haben keine Verbindung mit den Mailserver (IMAP SSL Port 993) herstellen können, Apples Push Notification Service (APNs) und weitere iCloud features gehen auch nicht. Meine T-Online IMAP mail geht, aber Apple und Live.de nicht.

Komisch ist dass alle unser Windows 10 & 7 clients können ohne Probleme mit OneDrive verbinden...

Ich habe mich mit meine Konfig mehrmals auseinander gesetzt, probiert alle empfohlen APNs Ports zu öffnen und bleib trotzdem ratlos. Ich habe bei support.apple über eine Konflikt mit packet inspection gelesen, bin aber nicht sicher ob den CBAC hier Einfluss nimmt.

Ich wäre für deine Rat sehr dankbar. Falls meine Deutsch etwas Verbesserungsbedürftig erscheint liegt es daran dass ich eine Englander bin und parallel zu CISCO IOS versuche auch den Vaterlands Sprache besser zu Verstehen

Anbei meine Running-Config:

Current configuration : 6115 bytes
!
! Last configuration change at 12:54:01 CEST Sat Sep 17 2016
version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CISCORT
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret xxxxxxxxxx
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
no ip bootp server
ip domain name homenet.local
ip name-server 192.168.201.185
ip name-server 8.8.8.8
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
license udi pid C886VAJ-K9 sn FCZ202693XK
license boot module c800 level advipservices
!
username xxxx RouterAdmin xxxx password xxxxxx
username xxxx vpnuser xxxx password xxxxx
username xxxx VPNGROUP xxxx password xxxxxx
!
controller VDSL 0
!
ip tcp synwait-time 10
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group xxxx GROUP xxxxe
key xxxxxxxxxxx
dns 192.168.201.185
domain homenet.local
pool vpnpool
save-password
max-users 2
banner ^C === Welcome to HomeNet VPN === ^C
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group HomeNetVPN
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
interface Null0
no ip unreachables
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
!
interface FastEthernet0
no ip address
shutdown
!
interface FastEthernet1
description HomeNet Gateway
switchport access vlan 101
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
description VPN VLAN Interface
ip address 192.168.100.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
!
interface Vlan101
description Internal (FastEthernet1)
ip address 192.168.101.10 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Dialer
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxxxxxxxx@t-online.de password xxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool vpnpool 192.168.100.240 192.168.100.250
no ip forward-protocol nd
ip http server
ip http access-class 1
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 192.168.0.0 255.255.0.0 192.168.101.254
!
dialer-list 1 protocol ip list 101
no cdp run
!
access-list 1 remark HTTP Access-class list
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 1 permit 192.168.101.0 0.0.0.255
access-list 1 deny any
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq non500-isakmp log
access-list 111 permit tcp 17.0.0.0 0.255.255.255 any log
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
scheduler interval 500
ntp server 130.149.17.8 source Dialer0
!
end

Noch eine Lob, Ich bin der CSO eine Industrielle Digitale Firma hier in Deutschland und versuche mit meine kleine HomeLab mich tiefe mit IT zu beschäftigen (Self Learning). Unsere Security team (die auch Beratung und Penetration testing am Markt liefern) haben versucht meine Home domain zu knacken OHNE ERFOLG. Sie haben nur eine kleine "potenzielle" Lücke gefunden mit den IPSec port aber ohne erheblichen aufwand bleibt dieses auch dicht. Klasse Konfig ))
Bitte warten ..
Mitglied: aqui
18.09.2016, aktualisiert um 13:34 Uhr
Hi murphster ! We can continue the communication in English if you prefer...no problem
Alle haben keine Verbindung mit den Mailserver (IMAP SSL Port 993) herstellen können, Apples Push Notification Service (APNs)
Hier sind zwar nicht ganz so viele im Einsatz aber alle MacBook, Macminis, iPads und Phones können die geforderten Dienste ohne irgendwelche Probleme nutzen. Folglich hast du in deiner Konfig irgendwas anders gemacht ?!
Was bei dir und deiner Firewall ACL komisch ist:
  • Du erlaubst von außen Zugriff von ISAKMP aber es fehlt das ESP Protokoll ?? Wozu dann ISAKMP ?? Das wäre dann völliger Quatsch wenn du kein IPsec VPN Dialin mit den iPads und MacBooks machen willst. Dann kannst du das auch entfernen. "Sie haben nur eine kleine "potenzielle" Lücke gefunden mit den IPSec port" See !! Thats whay !
  • Exakt das gleiche mit PPTP. Du erlaubst GRE von außen aber das dafür erforderliche TCP 1723 fehlt. Damit ist dann kein PPTP möglich und du hast sinnfreie Löcher in der FW. Kann also auch weg. Wenn dann so oder so only one single VPN Protocoll !!
  • Sinnvolle IPsec Dialin Konfig für den Zugriff aufs Heimnetz mit Apple Geräten findest du hier: https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ... Dort ist auch die korrekte ACL 111 für IPsec zu sehen.
  • Gerade weil du andere Security testen lässt ist das ein fataler Fehler in der ACL 111 !! Besser also korrigieren
Du solltest auf alle Fälle für IMAP das Application gateway aktivieren:
Try this that should fix the problem:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp

  • For what is the ACL 1 ?? Looks like its not being in use anymore. Better is to always erase all those dead config parts for less confusion.
  • If you need internal VoIP support its also better do open the ACL for inbound SIP calls: access-list 111 permit udp any eq 5060 any too.
  • Correct also your ACL 111 for your used VPN protocoll. This should only be IPsec. PPTP is unsecure.
Bitte warten ..
Mitglied: murphster
18.09.2016 um 15:20 Uhr
Hey Aqui,

Thanks for the lightning fast response!

I will definitely remove the GRE acl as I have no need for PPTP, overlooked removing it when I was playing around with VPN solutions... oops

I do use IPSec for our iOS devices and my MacBook VPN. In order to get the IPSec authentication running inbound I opened:

port 500 with: #access-list 111 permit udp any any eq isakmp log
and port 4500 with: #access-list 111 permit udp any any eq non500-isakmp log

It works fine but taking a look at the link to your "IPsec VPN Praxis mit Standout Kopplung" I think I may need to read up a little more on configuration options and optimise further.

Your right, the security team found port 500 open, probed it and then criticised the use of DH Group 2 which they said was outdated and the support of IKE Aggressive mode which may leave key material exposed, to be honest I was quite happy that was all they could find

I will setup the application gateway for IMAP as you have suggested and give it a whirl.

Once again, many thanks for your help, I have endeavoured to get back into IT after a 15 year break so this all started when I built a home lab with a an old HP G6 server, then added a cisco layer 3 switch and now the cisco router, it's a little challenging as a lot has changed from Novell & Win NT times but its fun.

I'll report back with my findings, all the best!
Bitte warten ..
Mitglied: murphster
18.09.2016 um 15:25 Uhr
P.S. ACL 1 if for access to the HTTP server, I tried out Cisco Configuration Professional and use it for monitoring now and then.
Bitte warten ..
Mitglied: aqui
18.09.2016, aktualisiert um 18:38 Uhr
Ahhh...ok with ACL 1. Please keep in mind that all traffic with the "log" statement in the ACL gets process switched on the router, which means switch by the CPU ! This can have very bad effects on the system performance. If the whole amount of such traffic is low its not an issue but if it gets higher values you should keep an eye on it !
The command show proc cpu is your best friend here. Or you can use a little tool called STG grapher to take a longer graphical look on it:
http://leonidvm.chat.ru
Of course SNMP hast to be enabled for that on the Cisco. Make sure to tie SNMP to ACL 23 so that this data can only be retrieved from the internal LAN !
5 sec. SNMP OID value is 1.3.6.1.4.1.9.9.109.1.1.1.1.3 and data format is Gauge32.

Yeah, and the discussion with DH 2 may make sense in a philosophical way. It needs 3000 years to crack it on supercomputers or so...
UDP 500 and 4500 (NAT Traversal) needs to be open for remote VPN access. Thats more or less normal so wonder your testing guys did'nt know that ?!
I think the NAT traversal port 4500 only might work as well but that nailed you down on having it always activated on accessing VPN devices. OK more or less standard today with all the NAT Firewall on the link. I can make some further tests on that.
IPsec uses ESP (IP protocoll number 50) for the tunnel encapsulation. That must be opened as well in the CBAC accesslist for outside access. Would make me wonder if it worked at your site without it
Bitte warten ..
Mitglied: oOHiggsOo
29.09.2016 um 22:18 Uhr
Hallo,

ich habe null Ahnung von Cisco, doch dank deiner Anleitung konnte ich meinen Cisco 891 so weit konfigurieren, dass ich Online komme, noip funktioniert und ich mich mit meinem Handy per VPN einwählen kann.
Nun versuche ich 2 Cisco Router (auf beidem läuft noip, also beide Router Dynamische IP) per VPN miteinander zu verbinden.
Bin nach dieser Anleitung vorgegangen.
1
Ich bekomme jedoch bei sh run diese Angabe:

crypto map mymap 10 ipsec-isakmp
! Incomplete
set peer cisco.web.com dynamic
set transform-set myset
match address 140
crypto map mymap 65535 ipsec-isakmp dynamic dyn

Wieso wird mir Incomplete ausgegeben?

Grüße
Higgs
Bitte warten ..
Mitglied: oOHiggsOo
29.09.2016 um 22:33 Uhr
Aaahh, vermutlich weil ich keine acl mit 140 angelegt habe....
Bitte warten ..
Mitglied: aqui
30.09.2016, aktualisiert um 09:09 Uhr
Yepp, das ist es.
Sieh dir dieses Tutorial nochmal an, dort findest du eine lauffähige IPsec VPN Konfig für die Praxis !:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016, aktualisiert 04.10.2016
Hi aqui,

Danke für deine schnelle Antwort. Diese Anleitung habe ich mir ebenfalls durchgelesen, jedoch fehlt mir eine Beispielkonfig eines cisco mit dynip für die Gegenseite.
Für mein Verständnis.
Der Hauptrouter hat noip, diesen sage

pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123

crypto isakmp policy 15 => Erlaubt 3DES und SHA
encr 3des
authentication pre-share
group 2

crypto isakmp profile DynDialin => Tunnel Profil für IPsec Tunnel von Geräten mit dynamischer Provider IP
description VPNs mit dyn. IP
keyring Labtest
match identity address 0.0.0.0

crypto ipsec transform-set testset2 esp-3des esp-sha-hmac
mode tunnel
!
crypto ipsec profile test-vti2
set transform-set testset
!
crypto dynamic-map dynmap 10 => Weist Tunneln mit dyn.IP Profil zu und erlaubt 3DES
description Tunnel dyn.IP Cisco 800
set transform-set testset2
set isakmp-profile DynDialin
match address vpndyn1

crypto map vpntest 20 ipsec-isakmp dynamic dynmap => Weist das dynamische Profil zu

crypto map vpntest => VPN Profil aktiv auf dem Internet Interface

ip access-list extended vpndyn1 => Bestimmt zu verschlüsselnden Traffic für VPN mit Cisco 800
permit ip 172.16.7.0 0.0.0.255 10.100.200.0 0.0.0.255

Folglich wartet er auf eine Anfrage von der dynip Gegenstelle.
Welche konfig muss ich jetzt meiner Gegenstelle mitgeben?
Bitte warten ..
Mitglied: aqui
30.09.2016 um 15:42 Uhr
jedoch fehlt mir eine Beispielkonfig eines cisco mit dynip für die Gegenseite.
Dann hast du das Tutorial nicht richtig gelesen ! Sorry, aber genau das ist in der kommentierten Cisco Konfig genau zu sehen.
Du musst das nur auf beiden Seiten dann machen.
Welche konfig muss ich jetzt meiner Gegenstelle mitgeben?
Exakt die gleiche wie auf der anderen Seite
OK, natürlich angepasst an die entsprechende IP Adressierung...
Bitte warten ..
Mitglied: murphster
30.09.2016 um 17:23 Uhr
Hey Aqui,

back again from a business trip, amongst visiting a few customers I had a trip to San Hose, Cisco HQ!!
They have a very impressive innovation centre and lots of gadgets laying around to play with Unfortunately I only got a CISCO pen as a gift and not a few CISCO boxes to take with me!

So after activating the application gateway as you suggested I managed to get the IMAP SSL mail services running but only momentarily, in other words after a first successful synchronisation the connection kept dropping.

So I dug a little deeper in all areas including DNS & the GPO on my domain server and found a "web email" DNS block configured, which I put in to stop my son from signing up to every webmail service on the planet. I guess I put this in around the same time as the first configuration of the 886 router.

At first I didn't think that this would effect the use of LOCAL mail applications like Outlook or Mail but after removing the DNS block all of our mail applications could maintain SSL connections!

Not sure how to block all the other webmail trash sites but thats another story

Thanks to your help and a little detective work everything is working as it should do!

Alles Gute!

Matt

P.S. I do not have the ESP port (50) opened in the outside access list but DNS still works with only UDP 500 & 4500.
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016 um 19:03 Uhr
Hmmm......

sorry, ich sehe es leider nicht. oder ich habe wieder ein Verständnissproblem.
Ich sehe in den ganzen konfigs keinen verweis auf einen dynip host.
Bitte warten ..
Mitglied: aqui
30.09.2016, aktualisiert um 19:24 Uhr
@murphster
Sounds great ! Thanks for the feedback Matt and congrats that all is running now as it should. Sometimes its only the little screws who needed to be turned
With ESP is interesting. I am going to check that here in the lab setup to verify if it can be removed. I guess you might be right here cause with NAT Traversal on UDP 4500 its not needed anymore like in the old days without traversal.
I'll keep you posted.
P.S. San Hose is funny. In German it sounds like holy pants So maybe thats the reason why you only got a ball pen at Tasman Drive. Next time better go to Great America park or watch a game at Levis Stadium its more fun.

@o0Higgs0o
Nein, da hast du recht, sorry das war ggf. etwas missverständlich. Mit einer DynIP Konfig musst du ja auch keine Konfig für eine unbekannte (dynamische) IP mehr machen. Du kannst ja dann immer als Referens den FQDN Hostname nehmen, denn der bleibt ja immer konstant.
Ändere also die Konfig so das statt der IP immer der Hostname dort steht. Dann kommt das auch zum Fliegen. Die Konfig im Tutorial geht davon aus das man mit rein dynmaischen IPs arbeitet ohne DynDNS. Mit DynDNS hast du ja aber feste Hostnamen die du dann dediziert verwenden kannst.
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016, aktualisiert um 20:10 Uhr
Ahhhhh.
Danke, werde ich nächste Woche mal ausprobieren.
Bitte warten ..
Mitglied: oOHiggsOo
01.10.2016, aktualisiert 04.10.2016
Hi,
ich muss dich nochmal belästigen. Ich bekomme keine Verbindung zwischen den 2 ciscos hin.
Konfig sieht wie folgt aus.

version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ciscoA
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret 5 passwort
!
aaa new-model
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
aaa session-id common
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.1.1 10.10.1.49
ip dhcp excluded-address 10.10.1.200 10.10.1.220
ip dhcp ping packets 3
ip dhcp ping timeout 100
!
ip dhcp pool HeimNetz
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
dns-server 10.10.1.1
domain-name ciscoA.intern
lease 7
!
no ip bootp server
ip domain name ciscoA.intern
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
ip ddns update method noip.me
HTTP
add http://benutzer:passwort@dynupdate.no-ip.com/nic/update?hostname=<h& ...;
interval maximum 1 0 0 0
!
no ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
username test privilege 15 password 7 paswort123
username test2 password 7 paswort123
username test3 password 7 paswort123
!
no cdp run
!
ip tcp synwait-time 10
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes
authentication pre-share
crypto isakmp key isakmpkey123 hostname ciscoB.noip.me
!
crypto isakmp client configuration group VPNdialin
key isakmpkey123
dns 10.10.1.1
domain ciscoA.intern
pool vpnpool
save-password
max-logins 3
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac
mode tunnel
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer ciscoB.noip.me
set transform-set vpn
match address 107
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet8.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
description Lokales LAN
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Async3
no ip address
encapsulation slip
!
interface Dialer0
description DSL Einwahl Interface
ip ddns update hostname ciscoA.noip.me
ip ddns update noip.me
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username kennung@t-online.de password 7 12345567890
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
crypto map vpnpeer
!
ip local pool vpnpool 10.10.1.201 10.10.1.220
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
!
route-map nonat permit 10
match ip address 111
!
access-list 23 permit 10.10.1.0 0.0.0.255
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 107 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit ip 10.10.1.0 0.0.0.255 any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class 23 in
privilege level 15
password 7 passwort123
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp master
ntp server 130.149.17.8 source Dialer0
!
end

ich möchte eine dauerhafte Verbindung und ich möchte vom 10.10.1.0 auf 10.10.2.0 Netz zugreifen und umgekehrt.
Siehst du Fehler?

Grüße
Higgs
Bitte warten ..
Mitglied: aqui
02.10.2016, aktualisiert um 12:46 Uhr
Was sagt denn ein
debug crypto ipsec
debug crypto isakmp

Wenn du mal ein Ping auf die remote IP machst um den IPsec VPN Tunnelaufbau zu triggern ???
Nach dem Debuggen immer ein //u all/ eingeben !!

Im Debug kannst du doch direkt ablesen woran es hapert !
Bitte warten ..
Mitglied: oOHiggsOo
02.10.2016 um 17:23 Uhr
debug zeigt mir nichts an
und der Ping ist zu 0% erfoglreich.
Bitte warten ..
Mitglied: brammer
04.10.2016 um 08:26 Uhr
Hallo,

der debug zeigt nichts an?

je nachdem mit welchen Console Tool du arbeitest, leg bitte mal ein Session Logging an und zeichne alles auf....
Und dann mach nach dem debug Befehlen mal ein "Term mon"
nach 10 Minuten soltest du eine vollen Logfile haben...
Dann wieder mit "term no mon" die Bildschirm ausgabe beenden....

und zum Schluss das debug beenden (mit "u all")

brammer
Bitte warten ..
Mitglied: aqui
04.10.2016 um 14:00 Uhr
debug zeigt mir nichts an
Das ist technisch vollkommen unmöglich !! Es sei denn du machst gar kein IPsec !!
Bist du via Telnet oder SSH auf dem Router ? Dann musst du logischerweise ein term mon eingeben damit dir die Debug Messages angezeigt werden !!!
Direkt auf der Konsole ist das natürlich nicht erforderlich !
Ansonsten gilt das was Kollege brammer oben schon gesagt hat !
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 15:01 Uhr
Ich bin per SSH drauf. Habe auch term mon eingegeben. Ich bekomme keine Anzeige, sobald ich es per client versuche, sehe ich wie die Verbindung aufgebaut wird. Ich sehe nur bei der site to site Verbindung kein debug. Ich vermute das ich einen Fehler in der konfig habe.
Bitte warten ..
Mitglied: brammer
04.10.2016 um 15:38 Uhr
Hallo,

was wird dir den bei einem "sh debug" angezeigt?

das sollte so aussehen:
01.
dein_router#sh deb
02.

03.
Cryptographic Subsystem:
04.
  Crypto ISAKMP debugging is on
05.
  Crypto IPSEC debugging is on
06.
dein_router#
brammer
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 15:49 Uhr
genau das wird mir angezeigt.
Aber ich sehe nichts. Sobald ich mich mit meinem Handy eine VPN-Verbindung aufbaue sehe ich
wie die Verbindung aufgebaut wird. Aber sonst nichts.
Bitte warten ..
Mitglied: brammer
04.10.2016, aktualisiert um 16:05 Uhr
Hallo,

wenn dir der logfile den Aufbau der VPN Verbindung nicht anzeigt, baust du die Verbindung irgendwo hin auf (oder versuchst das zumindest) aber nicht zu deinem Router.

Mit den beiden Debug Befehlen sollte der Logfile voll von Meldung sein....

Das sollte so ähnlich aussehen:

01.
130541512: Sep 30 11:15:38.372: ISAKMP:(16478): processing NONCE payload. message ID = 1954107565
02.
130541513: Sep 30 11:15:38.372: ISAKMP:(16478): processing KE payload. message ID = 1954107565
03.
130541514: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565
04.
130541515: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565
05.
130541516: Sep 30 11:15:38.380: ISAKMP:(16478): Creating IPSec SAs
06.
130541517: Sep 30 11:15:38.380:         inbound SA from x.x.x.x to y.y.y.y (f/i)  0/ 0
07.
        (proxy 0.0.0.0 to 0.0.0.0)
08.
130541518: Sep 30 11:15:38.380:         has spi 0xD2C7A6A0 and conn_id 0
09.
130541519: Sep 30 11:15:38.380:         lifetime of 3600 seconds
10.
130541520: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes
11.
130541521: Sep 30 11:15:38.380:         outbound SA from y.y.y.y to x.x.x.x (f/i) 0/0
12.
        (proxy 0.0.0.0 to 0.0.0.0)
13.
130541522: Sep 30 11:15:38.380:         has spi  0x1500AB27 and conn_id 0
14.
130541523: Sep 30 11:15:38.380:         lifetime of 3600 seconds
15.
130541524: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes
16.
130541525: Sep 30 11:15:38.380: ISAKMP:(16478): sending packet to x.x.x.x my_port 500 peer_port 13798 (R) QM_IDLE      
17.
130541526: Sep 30 11:15:38.380: ISAKMP:(16478):Sending an IKE IPv4 Packet.
18.
130541527: Sep 30 11:15:38.380: ISAKMP:(16478):deleting node 1954107565 error FALSE reason "No Error"
19.
130541528: Sep 30 11:15:38.380: ISAKMP:(16478):Node 1954107565, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
20.
130541529: Sep 30 11:15:38.380: ISAKMP:(16478):Old State = IKE_QM_I_QM1  New State = IKE_QM_PHASE2_COMPLETE
21.
130541530: Sep 30 11:15:38.380: IPSEC(key_engine): got a queue event with 1 KMI message(s)
22.
130541531: Sep 30 11:15:38.380: Crypto mapdb : proxy_match
23.
	src addr     : 0.0.0.0
24.
	dst addr     : 0.0.0.0
25.
	protocol     : 0
26.
	src port     : 0
27.
	dst port     : 0
28.
130541532: Sep 30 11:15:38.380: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer x.x.x.x
29.
130541533: Sep 30 11:15:38.380: IPSEC(rte_mgr): VPN Route Event create SA based on crypto ACL in real time for x.x.x.x
30.
130541534: Sep 30 11:15:38.380: IPSEC(create_sa): sa created,
31.
  (sa) sa_dest= y.y.y.y, sa_proto= 50, 
32.
    sa_spi= 0xD2C7A6A0(3536299680), 
33.
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1569
34.
    sa_lifetime(k/sec)= (4531007/3600)
35.
vpn-ts-ntr001#
36.
130541535: Sep 30 11:15:38.380: IPSEC(create_sa): sa created,
37.
  (sa) sa_dest= x.x.x.x, sa_proto= 50, 
38.
    sa_spi= 0x1500AB27(352365351), 
39.
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1570
40.
    sa_lifetime(k/sec)= (4531007/3600)
41.
130541536: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): get enable SA peer x.x.x.x current outbound sa to SPI 1500AB27
42.
130541537: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): updated peer x.x.x.x current outbound sa to SPI 1500AB27
43.
130541538: Sep 30 11:15:38.400: ISAKMP:(15773):purging node -1004512891
44.
130541539: Sep 30 11:15:38.444: ISAKMP:(13548):purging node -525138938
45.
130541540: Sep 30 11:15:38.444: ISAKMP:(12408):purging node -205578356
46.
130541541: Sep 30 11:15:38.540: ISAKMP (13799): received packet from x.x.x.x dport 500 sport 37019 Global (R) QM_IDLE      
47.
130541542: Sep 30 11:15:38.540: ISAKMP: set new node -389124565 to QM_IDLE      
48.
130541543: Sep 30 11:15:38.540: ISAKMP:(13799):processing transaction payload from x.x.x.x. message ID = -389124565
49.
130541544: Sep 30 11:15:38.540: ISAKMP: Config payload SET
50.
130541545: Sep 30 11:15:38.540: ISAKMP:(13799):checking SET:
51.
130541546: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
52.
130541547: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
53.
130541548: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
54.
130541549: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
55.
130541550: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
56.
130541551: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
57.
130541552: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
58.
130541553: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
59.
130541554: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
60.
130541555: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE
61.
130541556: Sep 30 11:15:38.540: ISAKMP:(13799):attributes sent in message:
62.
130541557: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
63.
130541558: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192
64.
130541559: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192
65.
130541560: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
66.
130541561: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
67.
130541562: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
68.
130541563: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
69.
130541564: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
70.
130541565: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255
71.
130541566: Sep 30 11:15:38.540:         Client subnet: 0.0.0.0 0.0.0.0
Und das sind 168 msec Logfile!

brammer
Bitte warten ..
Mitglied: aqui
04.10.2016 um 16:48 Uhr
Aber ich sehe nichts. Sobald ich mich mit meinem Handy eine VPN-Verbindung aufbaue sehe ich
wie die Verbindung aufgebaut wird. Aber sonst nichts.
Sorry aber das ist wirr. Du widersprichst dich selber !! Einmal siehst du was...dann wieder nix
Was denn nun, bitte ?
So wie Kollege brammer es gepostet hat sollte es aussehen !
Du siehst den gesamten Vorgang der Phase 1 und Phase 2 Negotiation bei IPsec !
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 19:33 Uhr
Ich wollte damit nur sagen, dass ich den Verbindungsaufbau von einem Client sehe.
Aber vom Verbindungsaufbau vom site2site ist nichts zu sehen.....
Bitte warten ..
Mitglied: aqui
05.10.2016 um 16:54 Uhr
Dann hast du noch einen grundlegenden Fehler in deiner Konfig !
Zu 98% ist das die ACL die den Site to Site Traffic klassifiziert der in den Tunnel muss. Der triggert dann den IPsec Prozess zum Tunnelaufbau.
Wenn da nichts passiert, dann stimmt da mit der ACL was nicht !
Kannst du den Tunnelaufbau von der anderen Seite triggern ?
Bitte warten ..
Mitglied: oOHiggsOo
10.10.2016 um 18:15 Uhr
ich bekomme folgende Meldung:
IPSEC:Expand action denied, discard or forwar packet
IPSEC:Expand action denied, notify RP -.-
Bitte warten ..
Mitglied: aqui
11.10.2016, aktualisiert um 23:06 Uhr
Wie vermutet ist deine Crypto ACL falsch !
https://supportforums.cisco.com/discussion/11780956/isakmp-throw-some-li ...

Das ist deine ACL 107. Vermutlich ist die syntaktisch richtig, denn sie sendet IP Pakete mit der lokalen LAN IP 10.10.1.x und der Destination IP (vermutlich lokales LAN der Gegenseite ?!) in den Tunnel ! Per se also richtig.
Aaaaber...
Mit der ACL 111 tötest du das gleich wieder im ersten Statement auf dem WAN Port:
access-list 111 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255

Grund ist ein Fehler im Tutorial das du vermutlich übernommen hast. Sorry. Ist jetzt korrigiert.
Eine syntaktisch korrekte Konfig findest du hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Diese erste Regel in der ACL 111 ist ehlerhaft ! Das ist die Firewall CBAC ACL und da hat lokaler Traffic nichts zu suchen.
Diese Kombination 107 mit 111 ist natürlich fatal und triggert den Fehler !
Fazit: Raus mit dieser ersten Regel in der ACL 111 und die ACL so ändern: !!!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 107 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit ip 10.10.1.0 0.0.0.255 any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any

Die Route Map nonat mit no route-map nonat komplett löschen !
Das sollte dein Problem sofort lösen !
Bitte warten ..
Mitglied: oOHiggsOo
12.10.2016 um 16:17 Uhr
hi aqui,

vielen Dank, dass du dir die Zeit genommen hast und dir meine Konfig durchgeschaut hast.
leider kommt keine Verbindung mit der oben geposteten Konfig zu stande. Aushandlung wurde bei "SA" unterbrochen bzw.
konnten sich nicht einigen.
ich musste die konfig leicht abändern.

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key isakmpkey123 address 0.0.0.0

crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer ciscoB.noip.me dynamic
set transform-set vpn
match address 107
reverse-route <----- falls ich die Einstellung weg lasse, kommt ebenfalls keine Verbindung zu stande.

so kommt nun die Verbindung zu stande und ich kann auf beiden Seiten hin und her pingen.
Was ich leider noch nicht kann, ist per Windowsexplorer auf entfernte Server/Geräte oder per Webpage auf Geräte zugreifen.
Eine Ahnung woran das noch liegen kann?
Ich vermute an eine ACL?!?!
Bitte warten ..
Mitglied: aqui
12.10.2016, aktualisiert um 16:48 Uhr
Da hast du dann aber irgendwo noch einen Fehler in der VPN Konfig. Hier kommt ein Tunnel sofort fehlerlos zustande. Im IPsec Praxistutorial kannst du das ja auch klar an der dort geposteten aktuelle laufenden Konfig sehen wie es geht.
Auch das du eine Reverse Route angeben musst ist nicht normal !
Ausnahme ist das du eine alte und nicht mehr ganz aktuelle Firmware auf dem Cisco benutzt ?!
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_vpnav/configu ...

OK, wenn aber die Verbindung jetut irgendwie zustande kommt ist ja gut und das ist die Hauptsache.
Das du nicht auf remote Geräte zugreifen kannst hat wie immer jetzt nichts mehr mit dem VPN als solchem zu tun sondern mit den loaklen Firewalls der Geräte.
Du hast ja nun einen andere Absender IP die die Firewall dann generell am LAN Port blocken. Sie lassen nur lokale IP Adressen zu.
Hier musst du die Firewall anpassen. Bei ICMP Ping ist das z.B.:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Datei Sharing Dienste die auf Broadcasts beruhen wie bei SMB/CIFS kannst du so oder so remote nicht sehen, dort musst du immer die remote IP direkt ansprechen. Klar, denn Broadcasts werden nicht über geroutete IP Verbindungen übertragen.
Webseiten oder Server Shares die man direkt mit der IP oder FQDN anspricht sind aber natürlich erreichbar.
Ein guter test ist immer ob die mit einem extended Ping vom Cisco das jeweils remote LAN Interface pingen kannst.
Das geht immer und ist dann auch ein Indiz das das VPN selber fehlerfrei ist !
Extenden Pings auf dem Cisco machst du indem du ping eingibst ohne IP und die Eingabetaste drückst.
Den Abfrage Dialog dann tickerst du durch bis du nach extended Commands gefragt wird was du mit Yes beantwortet.
Hier kannst du dann als Source IP die IP des lokalen LANs angeben und als Destination IP die des remoten lokalen LANs.
Ein Ping sollte dann fehlerfrei durchgehen, was dir dann zeigt das die Pakete der Netze 10.10.1.0 /24 und 10.10.2.0 /24 in den VPN Tunnel gehen, wie dann auch alle Endgeräte in diesen beiden Netzen.
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016, aktualisiert um 08:08 Uhr
ich benutze folgende IOS c800-universalk9-mz.SPA.154-3.M6a.bin. Muss ich keine Route anlegen?
Bei show ip route, zeigt er mir das andere Netz nicht an.
Mit der eigentlichen Konfig gibt er mir bei debug folgendes aus.

ciscoA#ping 192.168.100.9 source 192.168.178.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.178.1

Oct 13 07:38:23.889 MET: IPSEC: Peer ciscoB.noip.me's addr (x.x.x.139) is stale, triggering DNS
Oct 13 07:38:23.925 MET: IPSEC: Peer ciscoB.me has been DNS resolved to x.x.x.139, expires in 00:00:40.
Oct 13 07:38:25.890 MET: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= x.x.x.73:500, remote= x.x.x.139:500,
local_proxy= 192.168.178.0/255.255.255.0/256/0,
remote_proxy= 192.168.100.0/255.255.255.0/256/0,
protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Oct 13 07:38:25.890 MET: ISAKMP: set new node 0 to QM_IDLE
Oct 13 07:38:25.890 MET: SA has outstanding requests (local x.x.x.73 port 500, remote x.x.x.139 port 500)
Oct 13 07:38:25.890 MET: ISAKMP2006): sitting IDLE. Starting QM immediately (QM_IDLE )
Oct 13 07:38:25.890 MET: ISAKMP2006):beginning Quick Mode exchange, M-ID of 2036387119
Oct 13 07:38:25.890 MET: ISAKMP2006):QM Initiator gets spi
Oct 13 07:38:25.890 MET: ISAKMP2006): sending packet to x.x.x.139 my_port 500 peer_port 500 (R) QM_IDLE
Oct 13 07:38:25.890 MET: ISAKMP2006):Sending an IKE IPv4 Packet.
Oct 13 07:38:25.890 MET: ISAKMP2006):Node 2036387119, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Oct 13 07:38:25.890 MET: ISAKMP2006):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
Oct 13 07:38:26.126 MET: ISAKMP (2006): received packet from x.x.x.139 dport 500 sport 500 Global (R) QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP: set new node 623765356 to QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP2006): processing HASH payload. message ID = 623765356
Oct 13 07:38:26.126 MET: ISAKMP2006): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 290688999, message ID = 623765356, sa = 0x2373680
Oct 13 07:38:26.126 MET: ISAKMP2006): deleting spi 290688999 message ID = 2036387119
Oct 13 07:38:26.126 MET: ISAKMP2006):deleting node 2036387119 error TRUE reason "Delete Larval"
Oct 13 07:38:26.126 MET: ISAKMP2006):deleting node 623765356 error FALSE reason "Informational (in) state 1"
Oct 13 07:38:26.126 MET: ISAKMP2006):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Oct 13 07:38:26.126 MET: ISAKMP2006):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
....
Success rate is 0 percent (0/5)

dies bringt er einige male und hört danach auf. Er fängt nicht mit der 2.Phase an

ciscoA#show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst src state conn-id status
x.x.x.73 x.x.x.139 QM_IDLE 2006 ACTIVE
#show crypto ipsec sa

interface: Dialer0
Crypto map tag: vpnpeer, local addr x.x.x.73

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.178.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer x.x.x.x port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 28, #recv errors 0

local crypto endpt.: x.x.x.73, remote crypto endpt.: x.x.x.139
plaintext mtu 1492, path mtu 1492, ip mtu 1492, ip mtu idb Dialer0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:


ACL sieht wie folgt aus:

ip nat inside source list 101 interface Dialer0 overload
!
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 101 deny ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.178.0 0.0.0.255 any
access-list 107 permit ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 111 permit ip 192.168.178.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any

Ich versuche nachher das gleich von der Gegenseite und Poste diese.

Btw du hattest mit der Erreichbarkeit einiger Geräte recht. Ich habe in der Einstellung, dass sie nur aus dem eigenem Netz erreicht werden können.
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016 um 11:26 Uhr
ciscoB debug zeigt folgendes

#ping 192.168.178.9 source 192.168.100.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.178.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.254

000041: Oct 13 11:21:15.876 MET: IPSEC: Peer ciscoa.noip.me's addr (0.0.0.0) is stale, triggering DNS
000042: Oct 13 11:21:16.136 MET: IPSEC: Peer ciscoa.noip.me has been DNS resolved to x.x.x.73, e xpires in 00:00:40.
000043: Oct 13 11:21:17.876 MET: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= x.x.x.4:500, remote= x.x.x.73:500,
local_proxy= 192.168.100.0/255.255.255.0/256/0,
remote_proxy= 192.168.178.0/255.255.255.0/256/0,
protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
000044: Oct 13 11:21:17.876 MET: ISAKMP0): SA request profile is (NULL)
000045: Oct 13 11:21:17.876 MET: ISAKMP: Created a peer struct for x.x.x.73, peer port 500
000046: Oct 13 11:21:17.876 MET: ISAKMP: New peer created peer = 0x3D70C84 peer_handle = 0x80000002
000047: Oct 13 11:21:17.876 MET: ISAKMP: Locking peer struct 0x3D70C84, refcount 1 for isakmp_initiator
000048: Oct 13 11:21:17.876 MET: ISAKMP: local port 500, remote port 500
000049: Oct 13 11:21:17.876 MET: ISAKMP: set new node 0 to QM_IDLE
000050: Oct 13 11:21:17.876 MET: ISAKMP0):insert sa successfully sa = 1019D08
000051: Oct 13 11:21:17.876 MET: ISAKMP0):Can not start Aggressive mode, trying Main mode.
000052: Oct 13 11:21:17.876 MET: ISAKMP0):No pre-shared key with x.x.x.73!
000053: Oct 13 11:21:17.876 MET: ISAKMP0):Looking for a matching key for ciscoa.noip.me in default
000054: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-rfc3947 ID
000055: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-07 ID
000056: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-03 ID
000057: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-02 ID
000058: Oct 13 11:21:17.876 MET: ISAKMP0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
000059: Oct 13 11:21:17.876 MET: ISAKMP0):Old State = IKE_READY New State = IKE_I_MM1

000060: Oct 13 11:21:17.876 MET: ISAKMP0): beginning Main Mode exchange
000061: Oct 13 11:21:17.876 MET: ISAKMP0): sending packet to x.x.x.73 my_port 500 peer_port 500 ( I) MM_NO_STATE
000062: Oct 13 11:21:17.876 MET: ISAKMP0):Sending an IKE IPv4 Packet.
000063: Oct 13 11:21:17.944 MET: ISAKMP (0): received packet from x.x.x.73 dport 500 sport 500 Glob al (I) MM_NO_STATE
000064: Oct 13 11:21:17.944 MET: ISAKMP0):Notify has no hash. Rejected.
000065: Oct 13 11:21:17.944 MET: ISAKMP (0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY: state = IKE_I_MM1
000066: Oct 13 11:21:17.944 MET: ISAKMP0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
000067: Oct 13 11:21:17.944 MET: ISAKMP0):Old State = IKE_I_MM1 New State = IKE_I_MM1

000068: Oct 13 11:21:17.944 MET: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed wi th peer at x.x.x.73....
Success rate is 0 percent (0/5)
Bitte warten ..
Mitglied: aqui
13.10.2016 um 14:02 Uhr
Das ist normal das du es in der Routing Tabelle nicht siehst, denn das IPsec Routing rennt in einer separaten VRF.
Wenn du show crypto ipsec sa eingibst kannst du zu jedem VPN Netz auch das Forwarding in den SAs sehen.

Du hast desweiteren immer noch einen Fehler in deiner ACL 111 !!!
access-list 111 permit ip 192.168.178.0 0.0.0.255 any hat dort nichts zu suchen !
Die ACL ist eine inbound ACL !! Wie soll dort jemeals ein IP Paket mit einer Source IP aus einem privaten RFC 1918 Netzwerk auftauchen ?!
Das ist natürlich falsch !!
Man kann nur immer wieder an dich appellieren dir die Cisco Konfigs im Praxistutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
mal wirklich genau anzusehen und nachzuvollziehen und zwar für beide Seiten !!
Dann passieren solche Dinge wie bei dir auch nicht !
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016, aktualisiert 14.10.2016
Ah ok.
Es tut mir leid, aber in deiner Antwort mit den korrigierten ACLs hattest du es genauso drin und
in der obrigen Anleitung hast du es ebenfalls noch drin.
Bitte warten ..
Mitglied: aqui
15.10.2016, aktualisiert um 12:06 Uhr
Sorry, aber nein, das ist falsch. Im korrigierten Beispiel (11.10.2016, aktualisiert um 23:06 Uhr) oben ist das NICHT drin und auch nicht mehr im Tutorial:
Weder hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
noch hier:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

Wo bitte hast du das gesehen ???

Nur nochmal um es klarzustellen: Es geht um das Statement access-list 111 permit ip 192.168.178.0 0.0.0.255 any in der ACL 111 !
Das ist eine Inbound (eingehend) ACL am WAN / Internet Port.
Diese Regel besagt das dort Pakete die mit einer Absender IP von 192.168.178.x ankommen und eine beliebige IP Adresse als Ziel haben passieren dürfen.
Das ist aus technischer Sicht Quatsch, denn aus dem Internet können niemals IP Adressen mit einer privaten RFC 1918 IP Absender Adresse kommen. Solche IP Adressen gibt es im Internet schlicht und einfach nicht.
Folglich gehört das Statement entfernt ! Mach das bitte mal und checke die Connectivity dann nochmals.
Bitte warten ..
Mitglied: Tenere
01.02.2017 um 15:13 Uhr
Hallo aqui,

zuallererst möchte ich Dir für das Erstellen diese tollen Tutorials danken! Well done!!

Nun habe ich allerdings ein Problem mit der CBAC, welches ich mir nicht erklären kann. Ich nutze einen 881 mit Advanced Security Feature Set.

ip inspect name... wurde gesetzt, im Dialer "ip inspect myfw out" eingefügt, die "access-list 111" gesetzt und im Anschluss im Dialer die "ip access-group 111 in" Regel gesetzt. Um WebVPN (AnyConnect) und ggf. IPSEC zu gewähren, ist eine Object-Group

01.
object-group service vpn-in
02.
 description VPN inbound
03.
 esp
04.
 udp eq 443
05.
 udp eq isakmp
06.
 udp eq non500-isakmp
07.
 tcp eq www
08.
 tcp eq 443
09.
 tcp eq 10000
definiert (access-list 111 permit object-group vpn-in any any).

Wenn ich "ip access-group 111 in" setze, ist der Router nicht mehr per Ping erreichbar, der Anyconnect-Tunnel bricht zusammen und ein Reboot bringt mich wieder ins Netz.

Irgendeine Idee, wo ich den Wald vor lauter Bäumen nicht sehe?

Gruss aus EU,

Jörg

P.S.: ip inspect myfw out, nicht ip inspect myfw in (ip inspect MyFW in)?
Bitte warten ..
Mitglied: aqui
01.02.2017 um 16:08 Uhr
Verglichen mit der "normalen" ACL Logik müsste es aber heissen access-list 111 permit any any object-group vpn-in
Müsste man mal checken ob das einen Unterschied in der Logik macht.
Vermutlich "verbiegt" dort ggf. falsche Syntax die Logik der ACL 111.
Du kannst ja mal spaßeshalber die Einzelkomponenten direkt in die ACL 111 eingeben. Das sollte in jedem klappen.
Nur mal so als Test.
Bitte warten ..
Mitglied: Tenere
01.02.2017, aktualisiert 02.02.2017
Die Syntax ist korrekt.

Aber auch mit der Eingabe der Einzelkomponenten knallt es...

Schon nach der Eingabe von "access-list 111 permit icmp any any administratively-prohibited"...

Interessant ist auch, dass die DNS Auflösung nicht mehr funktioniert. Der Router agiert als DNS-Server fürs LAN. Ein Ping nach aussen auf eine IP funktioniert.

Da mir die Ideen ausgehen, bitte ich, einmal über die Config zu schauen. Vielleicht sieht ja jemand den Fehler, den ich offensichtlich übersehe...

DANKE im voraus...

01.
version 15.4
02.
no service pad
03.
service tcp-keepalives-in
04.
service tcp-keepalives-out
05.
service timestamps debug datetime msec
06.
service timestamps log datetime msec
07.
no service password-encryption
08.
!
09.
hostname Cisco_881
10.
!
11.
boot-start-marker
12.
boot system flash c880data-universalk9-mz.154-3.M4.bin
13.
boot-end-marker
14.
!
15.
!
16.
security authentication failure rate 3 log
17.
security passwords min-length 6
18.
enable secret 4 XXX
19.
!
20.
aaa new-model
21.
!
22.
!
23.
aaa authentication login default local
24.
aaa authentication login clientauth local
25.
aaa authentication login sslvpn local
26.
aaa authorization network groupauth local
27.
!
28.
!
29.
aaa session-id unique
30.
memory-size iomem 10
31.
clock timezone CET 1 0
32.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
33.
!
34.
crypto pki trustpoint Trustpoint_SSLVPN
35.
 enrollment selfsigned
36.
 serial-number
37.
 subject-name CN=vpn.XXX.de
38.
 revocation-check crl
39.
 rsakeypair RSA_NXXX
40.
!
41.
!
42.
crypto pki certificate chain Trustpoint_SSLVPN
43.
 certificate self-signed 03
44.
YYYYYY YYYYYY YYYYYY
45.
        quit
46.
!
47.
!
48.
no ip source-route
49.
no ip gratuitous-arps
50.
!
51.
!
52.
ip domain name nieder.XXX
53.
ip name-server 194.25.0.60
54.
ip name-server 194.25.0.52
55.
ip name-server 8.8.8.8
56.
ip inspect name myfw tcp
57.
ip inspect name myfw udp
58.
ip inspect name myfw sip
59.
ip inspect name myfw rtsp
60.
!
61.
ip cef
62.
no ipv6 cef
63.
!
64.
!
65.
cts logging verbose
66.
license udi pid CISCO881-SEC-K9 sn FCZ112345678
67.
license boot module c880-data level advsecurity
68.
!
69.
!
70.
object-group network cameras
71.
 description Netzwerk-Kameras
72.
 host 192.168.178.220
73.
 host 192.168.178.221
74.
 host 192.168.178.222
75.
 host 192.168.178.223
76.
!
77.
object-group service services-in
78.
 description Netzwerkdienste
79.
 tcp eq domain
80.
 udp eq domain
81.
 udp eq ntp
82.
!
83.
object-group service voip-in
84.
 description voip inbound
85.
 udp eq 5060
86.
 udp eq 5070
87.
 udp eq 5080
88.
 udp range 30000 31000
89.
 udp range 40000 41000
90.
!
91.
object-group network voip-servers
92.
 description VoIP-Server Telekom und sipgate
93.
 217.0.0.0 255.248.0.0
94.
 217.10.64.0 255.255.240.0
95.
 217.116.112.0 255.255.240.0
96.
 212.9.32.0 255.255.224.0
97.
!
98.
object-group service vpn-in
99.
 description VPN inbound
100.
 esp
101.
 udp eq 443
102.
 udp eq isakmp
103.
 udp eq non500-isakmp
104.
 udq eq 3000
105.
 tcp eq www
106.
 tcp eq 443
107.
 tcp eq 10000
108.
 udp eq 3000
109.
 !
110.
username admin privilege 15 secret 4 XYZABC
111.
!
112.
crypto vpn anyconnect flash:/webvpn/anyconnect-win-4.4.00243-webdeploy-k9.pkg sequence 1
113.
!
114.
crypto vpn anyconnect flash:/webvpn/anyconnect-macos-4.4.00243-webdeploy-k9.pkg sequence 2
115.
!
116.
crypto vpn anyconnect profile VPN_PROFILE flash:/RDProfile.xsd
117.
!
118.
!
119.
interface FastEthernet0
120.
 no ip address
121.
!
122.
interface FastEthernet1
123.
 no ip address
124.
!
125.
interface FastEthernet2
126.
 no ip address
127.
!
128.
interface FastEthernet3
129.
 switchport mode trunk
130.
 no ip address
131.
!
132.
interface FastEthernet4
133.
 description $ETH-WAN$
134.
 no ip address
135.
 no ip proxy-arp
136.
 ip flow ingress
137.
 duplex auto
138.
 speed auto
139.
 pppoe enable group global
140.
 pppoe-client dial-pool-number 1
141.
!
142.
interface Virtual-Template1
143.
 ip unnumbered Dialer1
144.
!
145.
interface Vlan1
146.
 description LAN
147.
 ip address 192.168.178.254 255.255.255.0
148.
 ip access-group 102 in
149.
 ip access-group 102 out
150.
 no ip proxy-arp
151.
 ip nat inside
152.
 ip virtual-reassembly in
153.
 ip tcp adjust-mss 1452
154.
!
155.
interface Vlan10
156.
 description Voice-VLAN
157.
 ip address 192.168.10.254 255.255.255.0
158.
 ip access-group 103 in
159.
 ip access-group 103 out
160.
 no ip proxy-arp
161.
 ip nat inside
162.
 ip virtual-reassembly in
163.
 ip tcp adjust-mss 1452
164.
!
165.
interface Vlan100
166.
 description Guest-VLAN
167.
 ip address 172.20.2.254 255.255.255.0
168.
 ip access-group 104 in
169.
 ip access-group 104 out
170.
 no ip proxy-arp
171.
 ip nat inside
172.
 ip virtual-reassembly in
173.
 ip tcp adjust-mss 1452
174.
!
175.
interface Dialer1
176.
 description VDSL Einwahl-Interface
177.
 ip ddns update hostname vpn.XXX.de
178.
 ip ddns update Strato
179.
 ip address negotiated
180.
 ip access-group 111 in
181.
 no ip redirects
182.
 no ip unreachables
183.
 no ip proxy-arp
184.
 ip mtu 1452
185.
 ip flow ingress
186.
 ip nat outside
187.
 ip inspect myfw out
188.
 ip virtual-reassembly in
189.
 encapsulation ppp
190.
 ip tcp adjust-mss 1452
191.
 load-interval 30
192.
 dialer pool 1
193.
 dialer idle-timeout 0
194.
 dialer-group 1
195.
 ppp authentication chap callin
196.
 ppp chap hostname 1234567890@t-online.de
197.
 ppp chap password 0 12345678
198.
 ppp ipcp dns request
199.
 ppp ipcp mask request
200.
 ppp ipcp route default
201.
 no cdp enable
202.
!
203.
ip local pool vpnpool 10.10.10.1 10.10.10.10
204.
ip forward-protocol nd
205.
no ip http server
206.
ip http authentication local
207.
ip http secure-server
208.
!
209.
no ip ftp passive
210.
ip dns server
211.
ip nat inside source list 101 interface Dialer1 overload
212.
ip ssh version 2
213.
ip scp server enable
214.
!
215.
kron occurrence DSL-Reconnect at 4:00 recurring
216.
 policy-list DSL-Reconnect
217.
!
218.
kron policy-list DSL-Reconnect
219.
 cli clear interface Dialer1
220.
!
221.
dialer-list 1 protocol ip permit
222.
!
223.
access-list 101 permit ip 192.168.178.0 0.0.0.255 any
224.
access-list 101 permit ip 172.20.2.0 0.0.0.255 any
225.
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
226.
access-list 102 deny   ip 172.20.2.0 0.0.0.255 192.168.178.0 0.0.0.255
227.
access-list 102 deny   ip 192.168.178.0 0.0.0.255 172.20.2.0 0.0.0.255
228.
access-list 102 permit ip any any
229.
access-list 103 deny   ip 172.20.2.0 0.0.0.255 192.168.10.0 0.0.0.255
230.
access-list 103 deny   ip 192.168.10.0 0.0.0.255 172.20.2.0 0.0.0.255
231.
access-list 103 permit ip any any
232.
access-list 104 deny   ip 172.20.2.0 0.0.0.255 192.168.178.0 0.0.0.255
233.
access-list 104 deny   ip 192.168.178.0 0.0.0.255 172.20.2.0 0.0.0.255
234.
access-list 104 deny   ip 172.20.2.0 0.0.0.255 192.168.10.0 0.0.0.255
235.
access-list 104 deny   ip 192.168.10.0 0.0.0.255 172.20.2.0 0.0.0.255
236.
access-list 104 permit ip any any
237.
!
238.
!
239.
line con 0
240.
 no modem enable
241.
line aux 0
242.
line vty 0 4
243.
 length 0
244.
 transport input ssh
245.
!
246.
scheduler allocate 20000 1000
247.
ntp master
248.
ntp server de.pool.ntp.org minpoll 8
249.
!
250.
!
251.
webvpn gateway SSLVPN_Gateway
252.
 ip interface Dialer1 port 443
253.
 ssl encryption aes256-sha1
254.
 ssl trustpoint Trustpoint_SSLVPN
255.
 inservice
256.
 dtls port 3000
257.
 !
258.
webvpn context SSLVPN
259.
 title "VPN"
260.
 color grey
261.
 secondary-color black
262.
 title-color #669999
263.
 login-message "Please log in."
264.
 aaa authentication list sslvpn
265.
 gateway SSLVPN_Gateway
266.
 logging enable
267.
 !
268.
 ssl authenticate verify all
269.
 inservice
270.
 !
271.
 policy group SSLVPN
272.
   functions svc-enabled
273.
   functions svc-required
274.
   timeout idle 86400
275.
   timeout session 1209600
276.
   svc address-pool "vpnpool" netmask 255.255.255.255
277.
   svc keep-client-installed
278.
   svc rekey method new-tunnel
279.
   svc split include 192.168.178.0 255.255.255.0
280.
   mask-urls
281.
 default-group-policy SSLVPN
282.
!
283.
end
Bitte warten ..
Mitglied: aqui
02.02.2017 um 09:25 Uhr
Aber auch mit der Eingabe der Einzelkomponenten knallt es...
Oha...dann hast du aber einen generellen Konfig Kinken in deinem Setup. Hab es eben hier mal an einem Laborrouter getestet und da rennt es einwandfrei wie es soll !
Bitte warten ..
Mitglied: Tenere
02.02.2017 um 09:46 Uhr
Guten Morgen,

danke für die Antwort.

Eben, ich befürchte auch, dass da was im Argen ist, aber ich finde den verd*** Fehler nicht...!

Daher habe ich meine Konfig (ohne dhcp pools etc.) geposted... Vielleicht fällt einem Anderen ja der Fehler auf, den ich als mittlerweile betriebsblinder User, nicht sehe.

Gruss,

Jörg
Bitte warten ..
Mitglied: aqui
02.02.2017, aktualisiert um 17:33 Uhr
Da warst du aber ziemlich betriebsblind !!!
Du hast auf dem Dialer Interface immer noch die CBAC ACL 111 definiert aaaaber....
Keinerlei ACL 111 konfiguriert unten.
Damit gilt dann als Default ACL Entry DENY any any !
Sprich also es wird ausnahmslos ALLES geblockt was inbound am Dialer 0 von außen reinkommt.
Damit geht dann natürlich nix mehr inbound...logisch.
Works as designed
Bitte warten ..
Mitglied: Tenere
03.02.2017 um 13:26 Uhr
Au contraire...!

Ja, auf dem Interface ist die CBAC ACL 111 definiert.
Ja, es ist KEINE ACL 111 konfiguriert.
Nein, mit exakt dieser Konfiguration geht jeder Traffic durch (es existiert ja keine Deny any any).

Sobald ich die erste ACL (z.Bsp. access-list 111 permit icmp any any administratively-prohibited) eingebe, bricht jeglicher Traffic ab (kein Ping von aussen, kein http von innen nach aussen, ...). Nur ein Ping auf eine IP (z. Bsp. 8.8.8.8) geht durch.

Auch wenn ich den gesamt ACL Block (mit access-list 111 deny ip any any am Ende) einfüge, habe ich keinerlei Verbindung (ausser, wie gesagt, Ping auf eine IP von innen nach aussen).

Das ist es ja, was ich nicht verstehe.

Meinem Verständnis nach werden die ACLs von oben nach unten abgearbeitet und wenn ein Match da ist, wird ausgestiegen.wenn aber noch kein deny any any da ist, kann ja auch nicht geblockt werden...
Bitte warten ..
Mitglied: aqui
03.02.2017, aktualisiert um 17:05 Uhr
es existiert ja keine Deny any any).
Eigentlich doch, denn wenn du keine ACL passend zur Index Nummer definiert hast gilt per Default immer ein Deny any any. Letzteres ist ja auch immer der Default eintrag in einer ACL.
Deshalb sollte eigentlich so eine leere ACL alles blocken.
Sobald ich die erste ACL (z.Bsp. access-list 111 permit icmp any any administratively-prohibited) eingebe, bricht jeglicher Traffic ab
Auch das ist vollkommen klar !
Passiert ja genau das gleiche wie oben. ICMP wird erlaubt alles andere aber geblockt, da ja deny any any gilt. Lässt sich auch wunderbar an einem Labor Cisco verifizieren hier.
Ohne ACL 111 kannst du die Dialer0 IP (Provider) von außen pingen ??
Wenn das der Fall ist kannst du mal eine 11er mit
access-list 111 permit icmp any any

definieren. Dann sollte weiterhin alles geblockt sein außer Ping von außen. Hast du das mal probiert ?
Meinem Verständnis nach werden die ACLs von oben nach unten abgearbeitet und wenn ein Match da ist, wird ausgestiegen
Das ist auch genau richtig
aber noch kein deny any any da ist,
Wie gesagt das ist immer Default...
Bitte warten ..
Mitglied: Tenere
03.02.2017, aktualisiert 04.02.2017
Oooook... Ich muss definitiv Abbitte leisten.

Die Komminkation von innen nach aussen klappt einwandfrei.
Wenn ein icmp echo noch hinzugefügt wird, klappt auch der Ping von aussen...

Ich schulde Dir mindestens eine grosse Kanne Kaffee...

Aber eine Frage habe ich noch: heute morgen nach einem "clear int Dialer1" funktioniert ip ddns update nicht mehr
Eine Regel in der ACL blockiert diesen. aber ich finde nicht, welche...
Bitte warten ..
Mitglied: aqui
04.02.2017, aktualisiert um 20:17 Uhr
Ich schulde Dir mindestens eine grosse Kanne Kaffee...
Gerne...ich bevorzuge einen Guatemala Grande
Hier ist übrigens das Ding mit dem ich mal getestet hatte:
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit udp any host 10.1.1.88 eq isakmp
access-list 111 permit udp any host 10.1.1.88 eq non500-isakmp
access-list 111 permit esp any host 10.1.1.88
access-list 111 permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.88
access-list 111 permit icmp 192.168.1.0 0.0.0.255 host 10.1.1.88 echo

access-list 111 permit icmp 10.1.1.0 0.0.0.255 host 10.1.1.88 echo
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 permit ospf any any

access-list 111 deny ip any any

Die fett gedruckten Regeln lassen Ping von außen und jegliche TCP basierten Connections (Telnet, SSH, HTTP(S) usw.) aus dem 192.168.1.0er Netz sowie OSPF Routing Updates zu auf das Router WAN Interface (hier 10.1.1.88)

Was dein DDNS Problem anbetrifft muss du mal checken WIE das Update gesendet wird. In der regel machen die Teile ja einen TCP 80 Request an den DDNS Hoster.
Dann müsstest du die ACL aufmachen das der WAN Port TCP 80 senden kann. Halte dich als Beispiel immer an den DNS Dienst oben wenn der Router DNS Proxy ist. Oder auch NTP. Die Einträge sind identisch.
access-list 111 permit tcp any eq http host <ip_adr_oder_netz_ddns_server>
Bitte warten ..
Mitglied: oOHiggsOo
09.10.2017 um 14:22 Uhr
Hi aqui,

ich habe diese Anleitung für meinen IPTV-Anschluss an einem 896va als Vorlage genutzt.
Doch ich bekomme mit dem Receiver kein Bild, bzw es kommt keine Verbindung zu stande, er bleibt bei 23% stehen.

01.
ip multicast-routing
02.
ip pim ssm default
03.
!
04.
interface Vlan1
05.
description Lokales LAN
06.
ip address 192.168.100.254 255.255.255.0
07.
ip pim sparse-mode
08.
ip nat inside
09.
ip virtual-reassembly in
10.
ip tcp adjust-mss 1452
11.
ip igmp helper-address 62.155.243.102
12.
ip igmp version 3
13.
ip igmp explicit-tracking
14.
ip igmp query-interval 15
15.
(ip igmp proxy-service)*
16.
!
17.
interface Dialer0
18.
description VDSL PPPoE Einwahl Interface
19.
ip address negotiated
20.
ip access-group 111 in
21.
no ip redirects
22.
no ip unreachables
23.
no ip proxy-arp
24.
ip mtu 1492
25.
ip pim sparse-mode
26.
ip nat outside
27.
ip inspect myfw out
28.
ip virtual-reassembly in
29.
encapsulation ppp
30.
ip igmp version 3
31.
ip igmp query-interval 15
32.
(ip igmp proxy-service)*
33.
dialer pool 1
34.
dialer-group 1
35.
no keepalive
36.
ppp authentication pap callin
37.
ppp pap sent-username xxxxxxxx@t-online.de password 0 xxxxxxx
38.
ppp ipcp dns request
39.
ppp ipcp mask request
40.
ppp ipcp route default
41.
no cdp enable
42.
!
43.
ip pim rp-address 62.155.243.102
44.
!
45.
(*) Das Interface Kommando ip igmp proxy-service kann mit der neuen Enterain 2.0 Version der Telekom auch entfallen. Es ist nicht mehr zwingend notwendig !
46.

47.
Da die Telekom aber noch beide Optionen aktiv hat auch über das bis dato erforderliche VLAN 8 Tagging der Vollständigkeit halber auch diese Konfig Variante:
48.
!
49.
ip multicast-routing
50.
ip pim ssm default
51.
!
52.
interface Ethernet0.8
53.
description VDSL Multicast Entertain
54.
encapsulation dot1Q 8
55.
ip dhcp client broadcast-flag clear
56.
ip address dhcp
57.
ip pim sparse-mode
58.
no ip mroute-cache
59.
ip igmp version 3
60.
ip igmp query-interval 15
61.
ip igmp proxy-service
62.
!
63.
interface Vlan1
64.
ip pim sparse-mode
65.
ip igmp helper-address <Rendezvous Point IP>
66.
ip igmp version 3
67.
ip igmp explicit-tracking
68.
ip igmp query-interval 15
69.
ip igmp proxy-service
70.
!
71.
ip pim rp-address <Rendezvous Point IP>
72.

73.
Damit ist die Konfigurationsanpassung zur Nutzung etwaiger IP-TV Entertain Optionen problemlos und schnell möglich.
74.
Update:
75.
Die Prozedur der Rendezvous Point IP Adress Ermittlung ist mittlerweile einfacher als oben im PDF beschrieben.
76.
Die Multicast Rendezvous Point IP Adressen werden über DHCP mitgeteilt. Wenn das Sub Interface Ethernet0.8 (VLAN Tag 8) korrekt konfiguriert ist, kommt es mit einer 10.X.X.X IP Adresse hoch ("show ip int brief"), und es werden 2 Routen gelernt. Ein show dhcp lease zeigt dann abhängig vom jeweiligen Ort z.B. so etwas an:
77.
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
78.
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254
79.
(Dank an Forumsmitglied @cpt-haddock für seinen Hinweis im u.a. Thread !)
ich habe beide Konfigurationen eingetippt.
bei "show ip int brief" sehe ich: Ethernet0.8 unassigned YES DHCP up up
folglich bekommt mein Interface keine IP

und bei show dhcp lease:
Temp IP addr: 0.0.0.0 for peer on Interface: Ethernet0.8
Temp sub net mask: 0.0.0.0
DHCP Lease server: 0.0.0.0, state: 3 Selecting
DHCP transaction id: A75
Lease: 0 secs, Renewal: 0 secs, Rebind: 0 secs
Next timer fires after: 00:00:01
Retry count: 3 Client-ID: xyz

Ich nutze die ZFW als Firewall und nicht CBAC.
Müsste ich da noch eine Einstellung einfügen?
Die Konfiguration für die ZFW ist auch aus dieser Anleitung!

Grüße
oOHiggsOo
Bitte warten ..
Mitglied: aqui
09.10.2017, aktualisiert um 18:48 Uhr
Hier ist eine laufende Konfig:
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip multicast-routing
!
interface GigabitEthernet0/0.8
description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-mode
no ip route-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!
interface GigabitEthernet0/1
description internal network
ip address 192.168.5.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip igmp helper-address 10.246.63.254
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
duplex auto
speed auto
!
interface Dialer0
description VDSL Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip pim sparse-mode
ip nat outside
ip inspect myfw1 out
ip virtual-reassembly in
encapsulation ppp
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
!
ip dns server
ip pim rp-address 10.246.63.254
ip nat inside source list 101 interface Dialer0 overload
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 permit igmp host 10.246.63.254 any
access-list 111 permit icmp host 10.246.63.254 any
access-list 111 permit igmp any 224.0.0.0 15.255.255.255

access-list 111 permit udp any gt 40000 any


Allerdings in einer CBAC Konfig nicht in einer ZFW Konfig. (Ist in den Thrwad Antworten)
Du kannst aber sehen das die ACL 111 auch Traffic von den Rendezvous Point IPs usw. passieren lassen muss.
Entsprechendes musst du natürlich für deine RP und IGMP Adresse auch einrichten in der ZFW.
Hilfreich wäre auch mal einen Wireshark Trace zu sehen vom Multicast Endgerät. Du kannst dir die IP TV Stationen auch mit einem PC oder laptop und VLC ansehen und den MC Aufbau da mitsnioffern.
https://iptv.blog/artikel/multicastadressliste/
Bitte warten ..
Mitglied: oOHiggsOo
10.10.2017 um 13:39 Uhr
mit deiner 10er IP funktioniert es momentan.
Danke!!
Bitte warten ..
Mitglied: aqui
10.10.2017, aktualisiert um 15:23 Uhr
Die Telekom hat da mal was geändert als sie auf RFC 1918 IPs im IP-TV Multicasting umgestellt haben !
An der Konfig ändert sich in diesem Beispiel nicht viel.
"ip pim rp-address 93.234.255.254" ändert sich damit in -> "ip pim rp-address 10.41.127.254 "
"ip igmp helper-address 93.234.255.254" ändert sich damit in -> "ip igmp helper-address 10.41.127.254"
http://www.cisco-forum.net/topic_4350.msg38180.html#msg38180
Die ZFW Firewall musst du dann natürlich auch auf diese IPs umstellen.
Möglich das die Rendzvous Point Adressen regional unterschiedlich sind. Damit könnte man das Antwort Verhalten noch verbessern wenn man eine in seiner regionalen Nähe nimmt. Deshalb vermutlich der Unterschied in den 10er IPs.
Vermutlich kann man die auch irgendwo ergoogeln...oder bekommt es über das Debuggen der ACL raus, denn die RP IP wird dynamisch übertragen.
Bitte warten ..
Mitglied: Paveway
31.12.2017 um 01:57 Uhr
Hallo Zusammen,

unser 866VAE läuft aktuell noch mit der 15.3.x Software und ich kam die Tage mal auf den Trichter, diese vielleicht mal zu aktualisieren.
Soweit so gut klappt das auch wunderbar, bis auf den VDSL Anschluss der Telekom...
Sobald ich eine Version >= 15.4.x verwende, bekomme ich folgendes Verhalten:

Die VDSL Leitung wird aufgebaut und funktioniert danach ein paar Minuten, bricht aber dann mit folgener debug Meldung beim ppp negotiation zusammen:
*Dec 30 22:42:54.775: Vi1 PPP: Missed 5 keepalives, taking LCP down
*Dec 30 22:42:54.775: Vi1 PPP DISC: Missed too many keepalives
*Dec 30 22:42:54.775: Vi1 PPP: Sending Acct Event[Down] id[54]
*Dec 30 22:42:54.775: PPP: NET STOP send to AAA.
*Dec 30 22:42:54.775: Vi1 IPCP: Event[DOWN] State[Open to Starting]
*Dec 30 22:42:54.775: Vi1 IPCP: Event[CLOSE] State[Starting to Initial]
*Dec 30 22:42:54.775: Vi1 LCP: O TERMREQ [Open] id 2 len 4
*Dec 30 22:42:54.775: Vi1 LCP: Event[CLOSE] State[Open to Closing]
*Dec 30 22:42:54.775: Vi1 PPP: Phase is TERMINATING
*Dec 30 22:42:54.775: Vi1 LCP: Event[DOWN] State[Closing to Initial]
*Dec 30 22:42:54.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down
*Dec 30 22:42:54.775: Vi1 PPP: Phase is DOWN
*Dec 30 22:42:54.783: Di1 Deleted neighbor route from AVL tree: topoid 0, address 87.186.225.87
*Dec 30 22:42:54.783: Di1 IPCP: Remove route to 87.186.225.87
*Dec 30 22:42:54.783: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1
*Dec 30 22:42:54.787: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down

Das ppp packet throttle hat es leider nicht behoben.
Sobald ich im Dialer interface das "no keepalive" setze kommen die Meldungen nicht mehr, das VDSL Interface geht trotzdem ebenso nach kurzer Zeit down.

Wie kann ich dem Problem auf die Schliche kommen?

Vielen Dank im Voraus für alle Antworten.
Mfg
Bitte warten ..
Mitglied: aqui
01.01.2018 um 16:29 Uhr
Welche IOS Version nutzt du denn ? Und was viel wichtiger ist: Nutzt du die embeddete Modem Firmware oder eine externe ?
Die Modem Firmware scheint es aber nicht sein, denn wie du an den Debugger Meldungen siehst ist es ja das PPP Protokoll was die Leitung runternimmt.
no keepalive ist auf Dialer Interfaces übrigens Pflicht !
Ohne die aktuelle Interface konfig von dir zu kennen ist das aber Raterei...

Besser ist auch das in einem separaten Thread hier zu behandeln um das obige Tutorial hier nicht unnötig aufzublähen !
Bitte warten ..
Mitglied: Cyberurmel
23.04.2018 um 16:21 Uhr
Hi Aqui ,

ich habe jetzt auch mal auf ZBF umgestellt. Internet geht aber (immer) noch kein Multicast IPTV Entertain TV und auch Telefon eingehend geht nicht - abgehend ja.
Ich habe die config ZFB umgebaut, da ich erstmal kein Gastnetz habe und zweitens kein VPN . Soll erstmal laufen.

Fehlt mir jetzt eine Internet zu private?

01.
zone security private 
02.
zone security internet
03.

04.
class-map type inspect match-any internet-traffic-class
05.
match protocol http
06.
match protocol https
07.
match protocol dns
08.
match protocol icmp
09.
match protocol pop3s
10.
match protocol imaps
11.
match protocol smtp extended
12.
match protocol sip
13.
match protocol sip-tls
14.
match protocol rtsp
15.
match protocol ftp
16.
match protocol ftps
17.
match protocol ssh
18.
match protocol ntp
19.
match protocol tftp
20.
match protocol tcp
21.
match protocol udp
22.

23.
class-map type inspect match-any router_protocols
24.
match protocol icmp
25.
match protocol udp
26.

27.

28.

29.

30.
policy-map type inspect privatezuinternet 
31.
description Traffic private zu internet
32.
class type inspect internet-traffic-class
33.
inspect
34.
class class-default
35.
drop
36.

37.
policy-map type inspect routerzuinternet
38.
description Traffic router zum internet
39.
class type inspect router_protocols
40.
inspect
41.
class
42.

43.
policy-map type inspect internetzurouter
44.
description Traffic internet zu router
45.
class type inspect router_protocols
46.
inspect
47.
class class-default
48.
drop
49.

50.

51.
zone-pair security privatezuinternet source private destination internet
52.
service-policy type inspect privatezuinternet
53.
zone-pair security routerzuinternet source self destination internet
54.
service-policy type inspect routerzuinternet
55.
zone-pair security internetzurouter source internet destination self
56.
service-policy type inspect internetzurouter
57.

58.

59.

60.
int gi0/1 
61.
zone-member security private
62.
int gi0/0
63.
zone-member security internet
64.

65.
int dialer0
66.
zone-member security internet
greets
Cyb
Bitte warten ..
Mitglied: aqui
23.04.2018 um 18:30 Uhr
Die Firewall ist falsch konfiguriert !
  • policy-map type inspect routerzuinternet dem fehlt das "drop".
  • Eine Policy Map policy-map type inspect internetzurouter ist bei dir überflüssig und kann ganz entfallen (kein VPN)
  • Das Träger Interface auf das der Dialer gemappt ist wird niemals mit einer Zone definiert !! Logisch gesehen ist ausschliesslich nur das Dialer Interface und das lokale LAN relevant für die FW Zonen !
Wenn du das anpasst sollte es klappen.

Falls Voice nicht gehen sollte lasse mal sip und sip-tls in der Class Map weg.
Bei Voice solltest du immer STUN aktivieren bzw. einen STUN Server nutzen auf den Endgeräten !

Thema Multicast.
Poste mal die Outputs:
show ppp all
show ip mroute
show ip pim interface

Ist vermutlich die Fortzetzung von HIER, oder ? Sorry hatte da im Eifer des Gefechts vergessen drauf zu antworten.
Testest du das mit VLC ?
Bitte warten ..
Mitglied: Cyberurmel
23.04.2018 um 19:00 Uhr
Hi Aqui,

thx erstmal..

das drop war copy Fehler ..Argh... die Zone habe ich angepasst für Dialer und internetzurouter erstmal entfernt.

Ausgehend hat Telefonie geklappt. Aber nicht eingehender call.. Kommt der nicht initial von "outside" ? Das versteh ich nicht

Ich habe als SIP Gateway ja die FB .:Dort ist auch STUN aktiviert bei Server.

Öhm ja auf den Post aufbauend geht neuerdings nichts mehr. Weder in alt CBAC noch jetzt mit ZBFW .
Mit VLC test ich ja.. ging mal aber jetzt auch nicht mehr.
01.
show ppp all
02.
Interface/ID OPEN+ Nego* Fail-     Stage    Peer Address    Peer Name
03.
------------ --------------------- -------- --------------- --------------------
04.
Vi3          LCP+ IPCP+            LocalT   62.155.246.164  JUNOS
01.
sh ip mroute
02.
IP Multicast Routing Table
03.
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
04.
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
05.
       T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,
06.
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
07.
       U - URD, I - Received Source Specific Host Report,
08.
       Z - Multicast Tunnel, z - MDT-data group sender,
09.
       Y - Joined MDT-data group, y - Sending to MDT-data group,
10.
       V - RD & Vector, v - Vector
11.
Outgoing interface flags: H - Hardware switched, A - Assert winner
12.
 Timers: Uptime/Expires
13.
 Interface state: Interface, Next-Hop or VCD, State/Mode
14.

15.
(*, 233.89.188.1), 02:46:19/00:02:49, RP 62.155.246.164, flags: SJC
16.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
17.
  Outgoing interface list:
18.
    GigabitEthernet0/1, Forward/Sparse, 02:46:19/00:02:49
19.

20.
(*, 239.255.255.250), 02:46:20/stopped, RP 62.155.246.164, flags: SJCF
21.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
22.
  Outgoing interface list:
23.
    GigabitEthernet0/1, Forward/Sparse, 02:46:20/00:02:50
24.

25.
(192.168.5.101, 239.255.255.250), 02:44:42/00:02:08, flags: PFT
26.
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
27.
  Outgoing interface list: Null
28.

29.
(192.168.5.156, 239.255.255.250), 02:45:21/00:01:38, flags: PFT
30.
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
31.
  Outgoing interface list: Null
32.

33.
(192.168.5.1, 239.255.255.250), 02:45:43/00:01:06, flags: PFT
34.
  Incoming interface: GigabitEthernet0/1, RPF nbr 0.0.0.0, Registering
35.
  Outgoing interface list: Null
36.

37.
(87.141.215.251, 232.0.20.35), 00:27:04/00:02:50, flags: sTI
38.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
39.
  Outgoing interface list:
40.
    GigabitEthernet0/1, Forward/Sparse, 00:27:04/00:02:50
41.

42.
(*, 239.254.127.63), 02:46:19/00:02:51, RP 62.155.246.164, flags: SJC
43.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
44.
  Outgoing interface list:
45.
    GigabitEthernet0/1, Forward/Sparse, 02:46:19/00:02:51
46.

47.
(*, 224.0.1.60), 02:46:19/00:02:50, RP 62.155.246.164, flags: SJC
48.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
49.
  Outgoing interface list:
50.
    GigabitEthernet0/1, Forward/Sparse, 01:56:48/00:02:50
51.

52.
(*, 224.0.1.40), 02:46:21/00:01:37, RP 62.155.246.164, flags: SJCL
53.
  Incoming interface: Dialer0, RPF nbr 62.155.246.164
54.
  Outgoing interface list:
55.
    GigabitEthernet0/1, Forward/Sparse, 02:46:20/00:01:37
01.
show ip pim interface
02.

03.
Address          Interface                Ver/   Nbr    Query  DR     DR
04.
                                          Mode   Count  Intvl  Prior
05.
192.168.5.2      GigabitEthernet0/1       v2/S   0      30     1      192.168.5.2
06.
91.37.144.253    Dialer0                  v2/S   1      30     1      0.0.0.0
07.
0.0.0.0          Virtual-Access3          v2/S   0      30     1      0.0.0.0
Danke vorab

greets
Cyb
Bitte warten ..
Mitglied: aqui
23.04.2018 um 20:50 Uhr
Aber nicht eingehender call..
Nimm die ZFW Konfig testweise mal weg von den Interfaces und teste das mal ganz ohne Firewall.
Klappt das dann ? Nur um mal sicherzugehen das du nicht noch einen anderen grundlegenden Fehler begangen hast ?!
In der Regel klappt SIP bzw. VoIP problemlos.
Thema Entertain...
Hast du den Rendezvous Point auf die 62.155.246.164 eingestellt ? Wenn nicht nutze diese IP mal dafür.
Hast du mit VLC beide Optionen mal getestet Entertain und Entertain TV. Die Multicast URL sind unterscxhiedlich.
Soweit sieht das gut aus. Die Multicast Router "sehen" sich.
Stimmt die MC Konfig mit der des Tutorials genau überein ?!
Bitte warten ..
Mitglied: Cyberurmel
23.04.2018 um 22:16 Uhr
Konnte noch kurz testen.

Irgendwie habe ich Mainzelmännchen...wie es scheint... Oder die Telekomiker haben was gemacht.
Hab die config von vor ZFW ja gesichert gehabt. Und da ging auch kein Entertain mehr.
Zurückgesichert nach Test von ZFW und eben mal getestet , Entertain läuft. Aber nicht über VNC auch nicht alt.
Ja RP ist so eingestellt. War er ja jetzt schon die ganze Zeit vorher auch.

Das mit ZFW teste ich morgen ob es ohne mit Telefon geht.

Komische Dinge die passieren

greets
Cyb
Bitte warten ..
Mitglied: aqui
24.04.2018 um 18:17 Uhr
Du meinstest sicher "VLC" oder ? Mit VNC kannst du lange auf bewegte Bilder warten
Bitte warten ..
Mitglied: Cyberurmel
30.04.2018 um 10:01 Uhr
Ja klar meinte ich VLC .. Lol ..

hatte leider mal wieder keine Zeit zum testen. (Mein Mikrotik hat auch schon Staub angesetzt )
Dubioserweise läuft es jetzt wieder absolut ruckelfrei seit Tagen.
Verstehs wer will... argh... Vielleicht klappt es ja morgen zum Testen.

greets
Cyb
Bitte warten ..
Mitglied: aqui
30.04.2018, aktualisiert um 11:09 Uhr
Wie schon im anderen Post geschrieben Konfig bereinigen und das Query Intervall auf default.
Folgendes sollte reichen auf den Interfaces und so immer ruckelfrei laufen:
!
interface VLAN1
decription Lokales LAN
ip igmp helper-address 62.155.x.y
ip igmp version 3
ip igmp explicit-tracking
ip igmp proxy-service
!
Interface Dialer 0
description Telekom xDSL Interface
ip pim sparse-mode
ip igmp version 3
ip igmp proxy-service
!
ip pim rp-address 62.155.x.y
ip pim ssm default
Bitte warten ..
Mitglied: gierig
09.05.2018 um 15:27 Uhr
Ein paar Flüchtigkeitsfehler die mir so aufgefallen sind.

ip dhcp excluded-address 172.16.100.1 172.16.100.149 <-- IP Adressbereich DHCP Pool Gastnetz
ip dhcp excluded-address 172.16.100.100 172.16.100.254
Das Gast Netz bekommt so keine IP per DHCP mehr.(Beide Zeilen blocken das Gesamte Netz)

ip inspect name myfw sip <-- Firewall Application Gateway f. VoIP
ip inspect name myfw rtsp <-- Firewall Application Gateway f. VoIP
bzw. weiter unten beim Zonen Firewall Teil
(match protocol sip) --> (ggf. weglassen wenn interne VoIP Anlage oder Telefone Probleme machen)
Das Entfernen oder Hinzufügen macht keinen Unterschied. Es wird so oder so auf die gleiche Art und Weise funktionieren oder auch nicht.
Einziger Unterschied ist das der Traffic über den Port nicht extra in den Reporten auftaucht (show xxx) sondern mit untergeht in
den „catch all" UDP/TCP/ICMP Statement am Schluss der CBAC / ZBF Match Liste.

Das wird wohl mit Gedanken auf ASA / PIX Setup so übernommen worden sein. IOS Tickt aber ein wenig anders.
Hier Handelt es sich in der Konstellation ausschließlich um Layer 3 u. 4 Filter = Statefuel Port Filter.
Von dem was transportiert wird hat der Bursche keine Ahnung.
(ip port-map zum erweitere bzw. sh ip port-map ? zeigt an welche Ports den zugewiesen sind zum Namen)

Unter IOS würde „no ip nat service sip udp port 5060” ggf. helfen um das SIP ALG Stillzulegen.


class-map type inspect match-any Router_Protocols
match class-map IPsec_VPN
match protocol icmp
match protocol udp

Hier würde ggf. http bzw. TCP fehlen sonst ist es essig mit DDNS Updates via http.
Wobei mich hier eines interessieren würde, unter welche IOS hast du das getestet ?

Da du die VPN Ports in eine ACL ausgelagert hast gehe ich davon aus das dein IOS auch ein lustiges
%Protocol configured in class-map XXX cannot be configured for the self zone with inspect action. Please remove the protocol and retry.
bekommst. (Cisco bug CSCsq44101 scheint noch aktuell zu sein)

ABER: unter 154-3.M9 wird ein match protocol udp / tcp zwar genom men wird aber es wird ignoriert bzw. Es findet kein Inspect statt
(getestet mit DDNS update, Telnet Out und DNS Query) die regeln werden einfach ignoriert.

01.
 permit udp any any eq domain
02.
 permit tcp any any eq domain
03.
 permit udp any any eq ntp
04.
 permit tcp any any eq www
05.
 permit tcp any any eq telnet
06.
 permit icmp any any
07.
 deny   ip any any
Als ACL match tut hingegen was es soll.


Gruß
Gierig
Bitte warten ..
Mitglied: aqui
09.05.2018 um 16:09 Uhr
Das Gast Netz bekommt so keine IP per DHCP mehr.
Du hast Recht ! Ein Typo, sorry. Ist korrigiert.
Das Entfernen oder Hinzufügen macht keinen Unterschied.
Das ist schlicht falsch. Das kannst du auch sehen wenn du dir die Sessions mit aktivem SIP mal etwas genauer ansiehst.
Die ZFW trackt dann sehr genau Sessions und das SIP Protokoll an sich inkl. Protokoll Header mit.
Ohne die SIP Spezifikation untersucht die Firewall nur schlicht den Standard TCP oder UDP Header OHNE spezifische SIP Protokoll Analyse.
Wäre deine Theorie richtig müsste man ja keinerlei weitere Protokoll Spezifikation machen müssen und es würde nur rein TCP oder UDP reichen, was natürlich komplett falsch wäre.
Es ist aber generell ein Unterschied CBAC zu verwenden oder eben ZFW. Diese Details alle zu berücksichtigen würde den Rahmen des Tutorial sprengen. Da CBAC quasi tot ist sollte man eh nur noch ZFW nutzen.
unter welche IOS hast du das getestet ?
Version 15.6(3)M4
Danke fürs Korrektur Feedback
Bitte warten ..
Mitglied: gierig
10.05.2018 um 00:02 Uhr
Das Entfernen oder Hinzufügen macht keinen Unterschied.
Das ist schlicht falsch. Das kannst du auch sehen wenn du dir die Sessions mit aktivem SIP mal etwas genauer ansiehst.

Nun werde ich ganz kleinlaut und trete verlegen auf der Stelle. Du hast natürlich recht !
Grade ein
01.
class-map type inspect match-all test
02.
 match protocol sip
als Inspect meiner Policy Map hinzugefügt (natürlich vor den generellen kram)
ein
01.
debug policy-firewall protocol sip
Hat mich dann mit seiner Ausgabe erleuchtet.


Da CBAC quasi tot ist sollte man eh nur noch ZFW nutzen.
Zustimmung CBAC ist tot.


Danke fürs Korrektur Feedback
Gerne
Bitte warten ..
Mitglied: gierig
10.05.2018 um 02:09 Uhr
Nachtrag für ein wenig Rettung der eignen Ehre

SIP -> Da wird einiges geprüft
FTP -> Port Tracking um z.b den Daten Kanal zu öffnen

So Far so good

HTTP, POP3, IMAP, SMTP, SSH,Telnet... -> Nix nur Normale Stateful Inspection.
Diese könnten also auch mit einem "match protocol TCP" zusammengefast werden.
(solange halt nicht eine L7 Map hinzugefügt wird)
Bitte warten ..
Mitglied: aqui
10.05.2018 um 14:09 Uhr
Alles gut ! Feedback ist immer hilfreich !
Bei SMTP sollte man immer noch den Parameter extended (undokumentiert) hinzufügen das auch Secure SMTP mit inspiziert wird
Das HTTP so durchrennt...mmmhhh. Du kannst ja mit der ZFW ein URL Filtering machen (und noch viel mehr) bei HTTP. Damit muss die FW dann tiefer ins Paket reinsehen. Es kann also nicht nur normale TCP Inspection sein. Aber gut möglich das dies nur passiert wenn die Konfig dazu auch entsprechend ist.
Bitte warten ..
Mitglied: gierig
10.05.2018 um 22:47 Uhr
Bei SMTP sollte man immer noch den Parameter extended (undokumentiert) hinzufügen das auch Secure SMTP mit inspiziert wird

der Parameter extended ist/war IMHO für ESMTP nicht für Secure SMTP.
Anyways der parameter is hidden weil mittlerweile SMTP und ESMTP beide erkannt und behandelt werden.
Er sollte auch bei dir nicht mehr im ConfigFile zu sehen sein.
Verkehrt ist er aber nicht für ältere IOS die das noch getrennt haben
Kann Leider grade nicht finden ab wann das geändert wurde aber ich glaube mit 15.1 (bei 12.4x noch getrennt)

Aber wie auch bei HTTP findet ohne L7 Map aber keine weitere Inspektion statt.
(erst mit der L7 Map ala class-map type inspect smtp match-any class-map-name)


Das HTTP so durchrennt...mmmhhh. Du kannst ja mit der ZFW ein URL Filtering machen (und noch viel mehr) bei HTTP. Damit muss die FW dann tiefer ins Paket reinsehen. Es kann also nicht nur normale TCP Inspection sein. Aber gut möglich das dies nur passiert wenn die Konfig dazu auch entsprechend ist.

Ack, bei einer zusätzlichen L7 Map (+Service Policy auf der L3L4 Policy Map) kommt die Deep Packet Inspektion dazu. Dann ist klar das hier Tiefer reingeschaut wird. Das gilt für HTTP genauso für SMTP und auch SIP (und andere). Deswegen wundert es mich eigentlich das eine L3/L4 Map mit match protocol SIP hier bereits so aktive die session trackt.

Aber es is wie es ist
Bitte warten ..
Mitglied: aqui
11.05.2018 um 11:17 Uhr
der Parameter extended ist/war IMHO für ESMTP nicht für Secure SMTP.
Richtig ! Sorry, freudscher Fehler...
Bitte warten ..
Mitglied: crashone
18.05.2018 um 12:17 Uhr
Hallo, kann mir jemand bitte sagen ob ich auch einen Modem brauche - fritzbox uzw. Oder isdn Kabel nur mit C886VA verbinden ?Und dann brauche ich auch einen Switch oder direkt nur 4 pcs mit dem C886Va verbinden ? Schuldigung für die Frage aber ich kenne mich nicht aus mit Cisco, ich lerne es ab paar Tagen.
Danke
Bitte warten ..
Mitglied: aqui
19.05.2018, aktualisiert um 21:20 Uhr
Einfach mal das Tutorial oben wirklich lesen !
Sorry, aber dort steht doch alles haarklein beschrieben zu deinen Fragen. Aber weil du es bist gerne nochmal:
Der 886va hat ein integriertes Hybridmodem für ADSL2 und auch VDSL. Also egal ob du ADSL oder VDSL hast brauchst du ihn wie eine FritzBox nur in die Wanddose stecken vom Provider und gut iss.
Ein externes Modem ist NICHT erforderlich für xDSL.
Der Router hat einen integrierten 4 Port LAN Switch. Wenn du also nur 4 Endgeräte hast kannst du die direkt an dem Router betreiben.
Nur wenn du mehr als 4 Endgeräte im lokalen Netz hast benötigst du einen externen Switch.
Alles also genau so wie bei jedem Feld- Wald- Und Wiesenrouter für DSL nur das es eben ein Cisco ist mit dem mächtigen IOS Featureset !
Steht alles oben im Tutorial wie gesagt... Lesen hilft hier wirklich !
Bitte warten ..
Mitglied: crashone
19.05.2018 um 21:30 Uhr
DAnke dir , ich bin wirtklich noob mit Netzwerke, und wollte fürs lernen etwas einrichten. Ich möchte dich no fragen wenn du dagegen nichts hast ...
Ich habe den Router gekauft und dein config copiert benutzername fürs Telekom eingegeben aber es hat nicht funktioniert... Dann habe ich rausgefunden dass mein Firmware alt ist , und kann nichts vom Cisco Webseite runterladen. Wo kann ich es bekommen? , hast du eine Webseite dafür ? Ich habe schon googelt aber nichts gefunden.
Oder könntest du mir es via Teamwiever velleicht probieren zu einrichten. Ich bezahle dir dafür auch.
Danke nochmals
Bitte warten ..
Mitglied: aqui
19.05.2018, aktualisiert um 21:48 Uhr
fragen wenn du dagegen nichts hast ...
Locker bleiben...dafür ist ein Forum ja da. Aber User sollten auch mal etwas lesen....und verstehen
dein config copiert benutzername fürs Telekom eingegeben aber es hat nicht funktioniert...
Dann hast du sicher etwas falsch gemacht !!
  • Hast du mal ins Router Logg mit show logg geshen ?? Stehen dort irgendwelche Fehlermeldungen ??
  • Machst du ADSL oder VDSL ? Wichtig, da anderes Interface am Router !
  • Interfaces alle auf no shut gesetzt ?
  • xDSL Kabel korrekt angeschlossen RJ-11 ?
  • Welche Firmware nutzt du ? Generell rennt die Konfig auch mit älteren Releases ?
  • Synchronsiert das Modem ?? Was sagt ein show controller vdsl 0 ?
  • Denke dran das du natürlich die PPPoE Provider User Credentials anpassen musst auf deine eigenen.
Es ist vermutlich nur ein ganz banaler Fehler.
Versuche erstmal diese Schritte.
Hilfreich fürs Troubleshooting ist in jedem Falle ein show run deiner Konfig ! Sonst können wir auch nur raten hier.
Bitte denke dran deine Zugangsdaten zu anonymisieren sofern du die Konfig hier postest !

Wenn alle Stricke reissen setze den Router auf die Factory Defaults mit write erase und einem Reload und fange erstmal mit einer ganz einfachen Konfig rein nur des WAN/DSL Ports an. Am besten erstmal OHNE irgendwelche Firewall Konfig um nicht nochmehr Fehlerquellen zu haben.
Wenn der dann funktioniert machst du Schritt für Schritt den Rest.

P.S.: In case you are a native English speaker we can continue in English if this is easier for you to understand ?!
Bitte warten ..
Mitglied: crashone
19.05.2018 um 22:05 Uhr
Ich mache das alles jetz nochmal wie du geschrieben hast.
Ich möchte aber, über das Kabel noch fragen . Ich habe VDSL2 17a (laut zyxel router) und Ich habe dieses Kabel : https://www.amazon.de/gp/product/B00TGYVY8I/ref=oh_aui_detailpage_o04_s0 ...
Dieses stecke ich ins ISDN Port. Gibts dort noch ein VDSL over ISDN port aber das ist kleiner, und mein Kabel geht nicht rein..MAche ich das gut mit dem Kabel oder kanz falsch?

PS: Deutsch ist ok ich muss es üben ABer danke du bist sehr hilfsbereit.
Bitte warten ..
Mitglied: aqui
19.05.2018, aktualisiert 20.05.2018
und Ich habe dieses Kabel :
Das ist technisch gesehen richtig aber dürfte eigentlich NICHT passen, denn der Cisco hat hinten für seinen ADSL/VDSL Port eine RJ-11 Buchse ! (Siehe Foto !)
Dort passt das Kabel was du hast mechanisch gar nicht rein, weil das ja einen breiteren RJ-45 Stecker hat !!!
Der xDSL Port erzwingt aber einen kleineren RJ-11 Stecker so das du vermutlich gar keinen Kontakt hast also sprich der DSL Port physisch nicht verbunden ist !
Jedenfalls ist das so wenn du ein Cisco 886va oder vaw Modell hast ?!
Du brauchst also einen RJ-11 zu TAE Adapter:
https://www.amazon.de/Wentronic-Adapter-Stecker-Kupplung-schwarz/dp/B000 ...
und dann dazu ein ganz normales RJ-11 Kabel:
https://www.amazon.de/Goobay-50317-Modular-Kabel-Stecker-4-polig-Schwarz ...
Dieses stecke ich ins ISDN Port.
Totally wrong !!!
ISDN is the BRI phone port and its not anymore used at all !
Dieser Port muss es sein:
xdslcsco - Klicke auf das Bild, um es zu vergrößern
Hier kannst du deutlich den Größenunterschied der Stecker sehen ! RJ-11 zu RJ-45.
Gibts dort noch ein VDSL over ISDN port aber das ist kleiner, und mein Kabel
Yepp, THAT one is the right port ! Use the right cable (RJ-11) and the right port and everything will be instantly up and running.
Problem solved and case closed !
Bitte warten ..
Mitglied: Cyberurmel
24.07.2018, aktualisiert um 19:15 Uhr
Hi all ,

nachdem ich nun auch auf ZBF umgestellt habe scheint es so, als ob ein Großteil der eingehenden Telefonate nicht durch geht. Manchmal geht es beim zweiten Anruf ..oder auch wenn ich mich selbst Anrufe und zurückrufe gleich. Habe schon SIP-TLS aus der inspect genommen. Immer noch. Kann man da noch was machen bzw . wie debuge ich das oder kann man das bypassen ? Macht das Sinn?

debug policy firewall sip hat bei Anrufen nichts angezeigt.

Thx
Cyb
Bitte warten ..
Mitglied: aqui
26.07.2018 um 16:04 Uhr
Das liegt dann an deinem STUN bzw. dessen Konfig.
Um das erstmal zu fixen solltest du SIP komplett aus der Inspection nehmen und das rein dann über TCP UDP mit abfackeln. Das klappt dann sicher.
Bitte warten ..
Mitglied: Cyberurmel
27.07.2018 um 12:52 Uhr
HI Aqui,

danke . öhm.. Alles was in der ZBF nicht inspect wird wird doch gedroppt oder ?Cisco ZBF

Dort Applying an ACL as Match Criteria denke ich . Verstehe aber nicht ganz wie das gemeint ist.

Und noch was ist mir aufgefallen - wollte ein VPN aufbauen ..Dazu Dyndns wie oben beschrieben von no-ip.com gemacht.
Aber ich bekomme nur failed auf Grund timeouts.(debug) Das heißt doch Verbindung kommt erst gar nicht an bzw. raus oder?

Danke

Greets
Cyb
Bitte warten ..
Mitglied: aqui
27.07.2018, aktualisiert um 17:29 Uhr
Alles was in der ZBF nicht inspect wird wird doch gedroppt
Absolut richtig !!
Siehst du dir aber die Beispielkonfig von oben mal ganz genau an findest du dort ganz am Ende 2 wichtige Konfig Zeilen:
match protocol tcp
match protocol udp

Das heisst alles was nicht Protokoll spezifisch inspiziert und behandelt wird rennt dann über die globale TCP bzw. UDP Inspection. Die fackelt dann SIP und RTP auch mit ab, da ja TCP und UDP aber eben nicht so hart wie die Protokoll spezifische Inspection.
Wie gesagt essentiell wichtig ist das diese beiden Statements am Ende der Inspection Liste stehen. Niemals am Anfang. Hier gilt wieder: First match wins...!
Das bewirkt dann das SIP und RTP fehlerlos durchgehen.
Wenn du SIP und RTP Inspection machst sollte man STUN deaktivieren, denn das führt zu Fehlermeldungen der Firewall bzw. Application Gateway.
Hier mal das Setting einer Auerswald Anlage dazu:
awsip - Klicke auf das Bild, um es zu vergrößern
Es ist nicht trivial was dann dort unter STUN konfiguriert ist wenn man SIP und RTP Instection macht auf der ZFW.
Mit STUN sollte man die ZFW nur mit TCP und UDP dafür laufen lassen.
Bitte warten ..
Mitglied: Cyberurmel
29.07.2018, aktualisiert um 15:48 Uhr
Hi Aqui,

danke erstmal.

Leider funktioniert es nicht wirklich. Ich habe die Firewall rausgenommen und es geht sofort. Mach ich Sie wieder an geht es nicht mehr bzw. so : Reinruf geht nicht. Ruf ich mich auf Handy an geht es und wenn ich dann zurückrufe geht auch rein. Aber nur gewisse Zeit ca .1-2 min. Dann wieder nix.
matches wie unten - hatte auch mal rtsp rausgenommen. Aber selbe Spiel. Fritzbox ist im Standard Einstellungen:. STUN Server ist hinterlegt.

Und weil es ZBFW betrifft: Muss ich für DDNS Update im Router zu internet match http dazumachen? Im Moment habe ich nur icmp und udp .


EDIT:

Habe mal die drop log eingschaltet und bekomme dann das bei einem Anruf von extern (5.1 ist die FB) :
01.
%FW-6-DROP_PKT: Dropping udp session 217.0.29.33:5060 192.168.5.1:5060  due to  policy match failure with ip ident 0


01.
class-map type inspect match-any internet-traffic-class
02.
 match protocol http
03.
 match protocol https
04.
 match protocol dns
05.
 match protocol icmp
06.
 match protocol pop3s
07.
 match protocol imaps
08.
 match protocol smtp
09.
 match protocol ftp
10.
 match protocol ftps
11.
 match protocol ssh
12.
 match protocol ntp
13.
 match protocol tftp
14.
 match protocol rtsp
15.
 match protocol tcp
16.
 match protocol udp
Danke vorab
Bitte warten ..
Mitglied: aqui
30.07.2018, aktualisiert um 09:47 Uhr
Wie gesagt hier in mehrfachen ! Netzen mit Auerswald Anlage und Cisco Telefonen sowie Soft Clients wie Phoner und Zoiper vollkommen fehlerlos und unauffällig.
STUN in den Endgeräten deaktiviert und dafür dann aktiv SIP und RTSP in der Inspection aktiviert.
Hast du mal ins Log gesehen wenn du die SIP Inspection an hast ob da was mitgelogt wird beim SIP Polling ?
Sonst mal den Wireshark anschmeissen und nachsehen was da los ist.
Bitte warten ..
Mitglied: oOHiggsOo
01.08.2018 um 08:56 Uhr
aqui hat recht, ich hatte das selbe problem.
Nachem ich "match protocol sip" rausgenommen habe, lief das ganze.
Habe den Router mit Entertain, no-ip DDNS Update, VoIP (FritzBox) und VPN am laufen gehabt.

class-map type inspect match-any Lokal_erlaubt
match protocol http
match protocol https
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol dns
match protocol icmp
match protocol tcp
match protocol udp

Grüße
Bitte warten ..
Mitglied: Cyberurmel
02.08.2018 um 10:21 Uhr
Hi Aqui,

hm.. irgendwie ist meine Antwort gestern wohl nicht angekommen..
Ich glaube schon, dass es normal gehen sollte und das auch bei Euch tut..aber bei mir halt nicht wirklich.
Hatte gestern mit sip und debug geschaut . Da kommen immer violence error in der ZBFW. Ich habe nur reine ISDN und Dect Geräte an der FB. Sobald die an den Telekom Server will um die Nummern zu registrieren ..scheint es Fehler zu geben.
Muss ich nochmal machen dann und poste die Meldung. Eventuell kann man sehen warum. Ggfs liegt es ja auch am ios ? Mit ähnlichem Problem habe ich einen Bug schon gefunden gehabt mit meiner Version bzgl. SIP und Packets Drop.

greets
Cyb
Bitte warten ..
Mitglied: aqui
02.08.2018, aktualisiert 05.08.2018
das auch bei Euch tut..aber bei mir halt nicht wirklich.
Dann hast du vermutlich noch einen Bock in deiner Konfig. Vermtlich auf dem VoIP Endgerät ?!
Da kommen immer violence error in der ZBFW.
Klares Indiz das du weiterhin SIP Inspection machst obwohl dir hier mehrfach ! geraten wurde das mal zu deaktivieren und SIP über die normale TCP/UDP Instaction renne zu lassen !!! Siehe Post vom Kollegen @oOHiggsOo oben !
Ich habe nur reine ISDN und Dect Geräte an der FB.
Das spielt logischerweise für die FW keinerlei Rolle. Diese "sieht" ja einzig nur die VoIP Pakete von der FB !!
Muss ich nochmal machen dann und poste die Meldung.
Wir bitten drum ! SIP Inspection deaktivieren. Da wird es auch klappen !! Siehe Kollege @oOHiggsOo
Bitte warten ..
Mitglied: Cyberurmel
03.08.2018 um 09:35 Uhr
Hi Aqui ,


Zitat von aqui:
Klares Indiz das du weiterhin SIP Inspection machst obwohl dir hier mehrfach ! geraten wurde das mal zu deaktivieren und SIP über die normale TCP/UDP Instaction renne zu lassen !!! Siehe Post vom Kollegen @oOHiggsOo oben !

Ich habe schon wie hier von Euch vorgeschlagen ohne SIP / SIP-TLS und sogar RTSP ausgeschaltet gehabt. Mit dem Debug hatte ich es nur wieder rein gemacht weil : ....
Zitat von aqui:
Hast du mal ins Log gesehen wenn du die SIP Inspection an hast ob da was mitgelogt wird beim SIP Polling ?
Habe sogar dann genau die Reihenfolge noch so eingestellt wie hier und schön TCP und UDP am Ende.

Ich stell es später nochmal um und poste.
Bitte warten ..
Mitglied: brammer
03.08.2018 um 10:48 Uhr
Hallo,

kannst du bitte das die gesamte Konfig posten?

ich vermute so langsam das durch das ständige probieren die Reihenfolge eben nicht so ist wie du das vermutest.

vergleiche auch mal ein

01.
sh run
mit einem
01.
sh conf
brammer
Bitte warten ..
Mitglied: Cyberurmel
07.08.2018, aktualisiert um 13:18 Uhr
Hi brammer,

sorry war leider verhindert.

Hier die sh run : (ohne SIP)
Telefonate nach intern nicht möglich - extern geht.


01.
class-map type inspect match-any internet-traffic-class
02.
 match protocol http
03.
 match protocol https
04.
 match protocol pop3s
05.
 match protocol imaps
06.
 match protocol smtp
07.
 match protocol sip-tls
08.
 match protocol rtsp
09.
 match protocol ftp
10.
 match protocol ftps
11.
 match protocol ssh
12.
 match protocol ntp
13.
 match protocol dns
14.
 match protocol icmp
15.
 match protocol tftp
16.
 match protocol tcp
17.
 match protocol udp
18.
class-map type inspect match-any router_protocols
19.
 match protocol icmp
20.
 match protocol udp
21.
!
22.
!
23.
policy-map type inspect routerzuinternet
24.
 description Traffic router zum internet
25.
 class type inspect router_protocols
26.
  inspect
27.
 class class-default
28.
  drop
29.
policy-map type inspect privatezuinternet
30.
 description Traffic private zu internet
31.
 class type inspect internet-traffic-class
32.
  inspect
33.
 class class-default
34.
  drop


Ausgehend Telefonat: mit debug policy-firewall protocol udp

01.
Aug  7 11:11:30.388: FIREWALL sis 470861E0: pak 4610725C SIS_OPEN UDP packet (192.168.5.1:5060) <= (217.0.28.160:5060) datalen 600
02.
Aug  7 11:11:33.348: FIREWALL sis 470861E0: pak 4776B4C4 SIS_OPEN UDP packet (192.168.5.1:5060) => (217.0.28.160:5060) datalen 747
03.
Aug  7 11:11:33.364: FIREWALL sis 470861E0: pak 461047C0 SIS_OPEN UDP packet (192.168.5.1:5060) <= (217.0.28.160:5060) datalen 396
04.
Aug  7 11:11:33.428: FIREWALL sis 470861E0: pak 4610398C SIS_OPEN UDP packet (192.168.5.1:5060) <= (217.0.28.160:5060) datalen 456
05.
Aug  7 11:11:33.432: FIREWALL sis 470861E0: pak 46106DA0 SIS_OPEN UDP packet (192.168.5.1:5060) => (217.0.28.160:5060) datalen 426
Eingehend sehe ich aber irgendwie nix ..müsste doch auch über port 5060 was kommen oder?
Bitte warten ..
Mitglied: aqui
07.08.2018, aktualisiert um 13:21 Uhr
Du hast entgegen aller Empfehlungen wieder die SIP und RTSP Inspection drin !
match protocol sip-tls
match protocol rtsp

Beides rausnehmen, rebooten und nochmal versuchen !
Bitte warten ..
Mitglied: Cyberurmel
07.08.2018 um 15:28 Uhr
Hi Aqui ,

Ich dachte nur sip raus nehmen ?
Bin eventuell ein Schritt weiter : in der FB kann man eine Einstellung machen, das die Verbindung der Telefone über Router gehalten wird ..siehe Punkt 9
Titel
Seitdem scheint es zu gehen
Zumindest paar Testanrufe gingen..

Danke vorab
Greets
Bitte warten ..
Mitglied: aqui
08.08.2018, aktualisiert um 12:58 Uhr
Ja, das ist auch sehr wichtig das das aktiviert wird !!!
Das ist ein SIP Keepalive. Damit schickt der VoIP Client (Anlage bzw. dein Router) SIP Pakete zyklisch an den SIP Server des Providers und hält so die outbound Firewall Verbindung offen.
Würde er das nicht machen timed die SIP Session nach einer Zeit aus und die Firewall schliesst den Port und inbound SIP Verbindungen (eingehende Calls) kommen da dann nicht mehr durch.
Wenn du das aktiv hast (Keepalive am Router) wirds vermutlich auch wieder mit SIP und RTP Inspection in der ZFW klappen
Bitte warten ..
Mitglied: Cyberurmel
04.09.2018 um 13:05 Uhr
Hi Aqui,

danke nochmal .. ohne SIP Inspection geht es nun. Ist das problematisch /Sicherheit? Sollte doch eh verschlüsselt sein oder?

Btw.
Ich wollt den nächstenStep vor VPN machen... Dyndns .. aber irgendwie kriege ich da einen timeout

01.
 HTTPDNSUPD: Call returned Connection time out, update of name.ddns.net <=> 87.144.2.87 failed
Muss ich da bei der ZBFW für router zu internet traffic - http freischalten? Debug zeigt nur timeout s.o.

Danke

Greets
Cyb
Bitte warten ..
Mitglied: gierig
04.09.2018, aktualisiert um 16:14 Uhr
Muss ich da bei der ZBFW für router zu internet traffic - http freischalten? Debug zeigt nur timeout s.o.

JA.

ggf über ne Access liste ej nach IOS gibt es hier und da noch den CSCsq44101
bug (match Protocol funktioniert hier nicht)

also z.B (anpassen an deine Situation, Namens Schema)
class-map type inspect match-any SelfToWan
match access-group name ZBF-SelfToWan

ip access-list extended ZBF-SelfToWan
remark --> ACL for ZBF Selfzone that need INSPECT as match protocol will not work (CSCsq44101)
remark --> DNS, NTP, WWW (DDNS) & ICMP allow to out
permit udp any any eq domain
permit tcp any any eq domain
permit udp any any eq ntp
permit tcp any any eq www
permit icmp any any
deny ip any any


ach ja management-interface in der controll plane kann auch Probleme bereiten
da ggf der return traffic darüber geblockt wird. (hab dazu case laufen bei Cisco
Bitte warten ..
Mitglied: aqui
04.09.2018 um 16:44 Uhr
Ist das problematisch /Sicherheit? Sollte doch eh verschlüsselt sein oder?
Nein, ist es nicht, denn das rennt dann über die normale UDP bzw. TCP Inspection.
SIP ist übrigens NICHT verschlüsselt !
Muss ich da bei der ZBFW für router zu internet traffic - http freischalten?
Ja, das musst du. Du musst HTTP Traffic TCP 80 von Local (Selfzone) nach extern erlauben. Kollege @gierig hats ja schon gesagt.
Bitte warten ..
Mitglied: Cyberurmel
05.09.2018 um 09:02 Uhr
Hey gierig,

thx danke. War genau das problem mit dem bug. Nimmt kein http.
ACC List - und es ward success

ok..dann kann ich mich ja an VPN dran machen.

greets

Cyb
Bitte warten ..
Mitglied: Cyberurmel
05.09.2018, aktualisiert um 09:08 Uhr
Hi Aqui,

super.Danke. Mit der ACC List ging es dann.
Zumindest kam mal
01.
HTTPDNSUPD: Call returned SUCCESS, update of name.ddns.net <=> ip  succeeded
Greets
Cyb

btw.. hab grad nen Synthax Fehler gesehen beim VPN IP Sec:

01.
username vpngoup password test123
muss wohl vpngroup heißen.
Bitte warten ..
Mitglied: Cyberurmel
05.09.2018 um 12:01 Uhr
So VPN mal aufgesetzt aber hatte folgende Probleme:

01.
interface Virtual-Template2 type tunnel
Kam Meldung mit ist schon mit Serial belegt kann nicht geändert werden
Meine Lösung :
Habe dann alles von template 2 auf 3 gemacht

Group kann ich nirgends bei VPN eingeben.. getestet mit dem org. VPN von android und strong swan
(in dem log vom swan kann ich sehen, dass er die IP von mir hat- dyndns geht also).

- Eistellung ZBFW laut Anleitung steht da das Virtual Template 1 ?

- Hab das auch auf 3 angepasst. Müsste das dann nicht 2 sein ??


Imo sieht mein ip int brief so aus :
01.
NVI0                       192.168.5.2     YES unset  up                    up
02.
Tunnel0                    192.168.5.2     YES unset  up                    up
03.
Virtual-Access1            unassigned      YES unset  down                  down
04.
Virtual-Access2            unassigned      YES unset  up                    up
05.
Virtual-Access3            unassigned      YES unset  up                    up
06.
Virtual-Template2          unassigned      YES unset  down                  down
07.
Virtual-Template3          192.168.5.2     YES unset  up                    down


greets
Cyb
Bitte warten ..
Mitglied: aqui
05.09.2018, aktualisiert um 17:23 Uhr
muss wohl vpngroup heißen.
Ooops...shame on me. Ist korrigiert ! Danke für den Hinweis !

StrongSwan Beispiele findest du hier:
https://www.cisco.com/c/en/us/support/docs/network-management/remote-acc ...
und hier:
https://wiki.strongswan.org/projects/strongswan/wiki/IKEv1Examples
IKEv1 und Xauth ist die Suchoption
Bitte warten ..
Mitglied: Cyberurmel
06.09.2018 um 15:09 Uhr
Hi und danke ,

ich nehme auch gerne Cisco.,. aber bei dem Cisco Anyconnect den ich habe für Android habe ich die o.g. Einstellungen nicht eingeben können mit Group und Namen.
..
Bitte warten ..
Mitglied: Cyberurmel
06.09.2018 um 16:41 Uhr
ok..mit dem native vpn von Android hab ich es hinbekommen.
Bei Cisco und dem swan finde ich nichts was ipsec psk hat und mit Group und user ist.

thx
Bitte warten ..
Mitglied: Cyberurmel
07.09.2018 um 12:45 Uhr
Hi Aqui,

also wie geschrieben..mit dem Native VPN von Android klappt die Verbindung. Konnte auch auf PCs im Network bei mir bzw. anrufen. Aber http / https scheint nicht zu gehen.Hat das was mit der ACL von Self Zone zu tun?

greets
Cyb
Bitte warten ..
Mitglied: aqui
07.09.2018, aktualisiert um 16:35 Uhr
Nein ! HTTP und HTTPS ins lokale Netz sollten problemlos laufen.
Das Tunnel Interface hat die gleiche Zone wie das lokale LAN:
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
zone-member security Home
ip tcp adjust-mss 1452
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2

ACHTUNG:
Auf dem Tunnel Interface und auch auf dem VLAN 1 Interface darf proxy-arp nicht ausgeschaltet sein !
Wenn dort no ip proxy-arp steht dann funktioniert das VPN nicht ins lokale LAN !
Bitte warten ..
Mitglied: Cyberurmel
07.09.2018 um 17:02 Uhr
Hi Aqui,

ok..danke erstmal..werde ich zu Hause checken.
VPN geht ja an für sich. Komme auf Rechner etc. .. aber da ich ja kein vlan 1 habe sondern Gi0/1 und was mit dem Virtual Template nicht klappte muss ich nochmal schauen ob alles identisch ist. Mein VT ist VT 3 .
Bitte warten ..
Mitglied: aqui
07.09.2018 um 17:05 Uhr
Ist egal ob vlan 1 oder Gi0/1 oder welche Tunnel Nummer solange die Refereinzierung ok ist.
Aber wenn alles geht mit dem VPN und du interne IPs erreichen kannst, dann kann es eigentlich nur die lokale Firewall der HTTP Endgeräte sein !
Bitte warten ..
Mitglied: gammelobst
17.09.2018, aktualisiert um 21:38 Uhr
Hallo,
ich hab ein wenig mit ipv6 gekämpft und nun die hier:
01.
ipv6 unicast-routing
02.
ipv6 cef
03.
ipv6 cef accounting per-prefix
04.
ipv6 dhcp pool DHCPv6
05.
 prefix-delegation pool dhcp-ipv6
06.
 dns-server "ipv6 von PROVIDER DNS 1"
07.
 dns-server "ipv6 von PROVIDER DNS 2"
08.
 domain-name xxx.dyndns.org
09.

10.
interface FastEthernet8
11.
 description PrimaryWAN
12.
 ip address x.x.x.x 255.255.255.0
13.
 ip nat outside
14.
 ip virtual-reassembly in
15.
 zone-member security WAN
16.
 duplex auto
17.
 speed auto
18.
 ipv6 address dhcp
19.
 ipv6 address autoconfig default
20.
 ipv6 enable
21.
 ipv6 nd autoconfig default-route
22.
 ipv6 verify unicast reverse-path
23.
 ipv6 dhcp client pd hint ::/60
24.
 ipv6 dhcp client pd dhcp-ipv6
25.
 service-policy output WAN-EDGE-12-CLASS
26.

27.
interface GigabitEthernet0
28.
 description LAN
29.
 ip address x.x.x.x 255.255.255.0
30.
 ip nat inside
31.
 ip virtual-reassembly in
32.
 zone-member security LAN
33.
 duplex auto
34.
 speed auto
35.
 ipv6 address dhcp-ipv6 ::/64 eui-64
36.
 ipv6 address autoconfig
37.
 ipv6 enable
38.
 ipv6 nd other-config-flag
39.
 ipv6 dhcp server DHCPv6
damit läufts jetzt bei mir endlich...

cya
Bitte warten ..
Mitglied: aqui
18.09.2018, aktualisiert um 14:29 Uhr
Glückwunsch !
Und danke für das Feedback zum Thread hier !

IPv6 DNS IPs der Telekom v6 DNS Server für den Cisco DHCP Server findet man z.B. hier nach Regionen sortiert:
https://www.daniel-weber.eu/2013/06/how-to-ipv6-adressen-der-telekom-dns ...

Auf dem WAN / Internet Port sollte man zwingend noch das Redirect abschalten zur Sicherheit:
no ipv6 redirects
M.E. Ist das Kommando ipv6 address autoconfig auf dem (oder den) lokalen LAN Interfaces falsch !
Das konfiguriert diesen Port in den SLAAC Mode um sich also selber Adressen zu ziehen von einem vorhandenen Router.
Da der Port aber ja eine auch durch den Provider Prefix vorgegebene IP Adresse hat kann das nicht richtig sein.
Dieses Kommando sollte man von den lokalen Interfaces entfernen !

Kosmetik:
Wenn man den "eui-64" Parameter weglässt der eine IPv6 Adresse auf Basis der Mac Adresse erzwingt kann man in die statische Interface IP auch z.B. Das VLAN reinbringen um diese Adressen dann z.B. an Clients einfacher zuordnen zu können:
ipv6 address provider-v6-prefix ::10:0:0:0:1/64
Bewirkt dann das man eine IP z.B. 2007:AC:81A:4710::1 z.B. am VLAN 10 Interface bekommt und im Netzwerk Teil analog zu IPv4 das "Netz sehen" kann.
Für den der's mag...
Bitte warten ..
Mitglied: oOHiggsOo
23.04.2019 um 13:03 Uhr
Hi aqui,

ich bin nach deiner Anleitung vorgegangen, allerdings habe ich folgendes Problem:
Sofern der Anbieter die Zwangstrennung durchführt oder die DSL-Leitung weg ist und ich eine neue IP beziehen sollte, habe ich keine Verbindung ins Internet. -----> da hilft nur ein Reboot, danach läuft alles prima!
Unter "sh ip int brief" konnte ich auch sehen, dass das Dialer Interface die IP-Adresse mit der neuen nicht überschreibt.
Ich vermute den Fehler in meiner ZFW, ich habe die policy-map RouterZuInternet nicht konfiguriert, da ich keine VPN-Einwahl an diesem Anschluss betreibe. Du hast aber in der class-map type inspect match-any Router_Protocols ---> macht protocol icmp.
Sollte ich meine ZFW um die Konfiguration erweitern und er würde dann die IP-Adresse am Dialer-Interface überschreiben?

Oder ist das nicht der Fehler?

Grüße
higgs
Bitte warten ..
Mitglied: aqui
23.04.2019, aktualisiert um 13:30 Uhr
Kannst du das reproduzieren indem du die DSL Leitung mal abziehst und wieder aufsteckst ?
Was passiert wenn du mal statt eines langwierigen Reboots einfach ein shut und no shut auf dem Dialer machst oder ein clear controller vdsl0 ?? Kommt der Link dann selber wieder hoch ?
Es könnte auch daran liegen das der DSLAM des Providers ein Problem hat und das Handshaking nicht sauber durchführt.
Die Modem Firmware ist auf dem aktuellen Stand ??
Wenn du es so nicht fixen kannst, kannst du über ein IOS Script jede Nacht oder alle 2 Tage den Dialer retriggern lassen. Ist zwar umstanändlich fixt aber das Problem.
Bitte warten ..
Mitglied: oOHiggsOo
25.04.2019 um 07:21 Uhr
Ja, ich kann das ganze reproduzieren. Passiert das selbe....keine Internet Verbindung, da das Dialer Interface 0 seine neu zugewiesene IP-Adresse am Interface nicht übernimmt.
ein clear controller vdsl 0 bringt leider nichts, nur ein shut und no shut auf dem Dialer.
Ich glaube nicht das es am DSLAM des Providers liegt, habe das Problem an 3 Ciscos die an verschiedene Lokationen im Einsatz sind.
Modem Firware ist auf dem aktuellen Stand.
hier ein Auszug aus der Konfiguration:
!
controller VDSL 0
operating mode vdsl2
firmware filename flash:VA_B_38V_d24m.bin
modem disableV43
description * VDSL Controller *
!
interface Ethernet0
no ip address
no keepalive
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
description DSL Einwahl Interface
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
no keepalive
ppp authentication chap callin
ppp pap sent-username username@t-online.de password password
ppp ipcp mask request
ppp ipcp route default
Bitte warten ..
Mitglied: aqui
25.04.2019, aktualisiert um 14:22 Uhr
Konfig ist hier identisch, allerdings ohne operating mode vdsl2 und modem disableV43. Das ist auch nicht erforderlich, da der Autonegotiation Prozess des Modems das automatisch discovered.
Damit keinerlei Probleme bei der Zwangstrennung.
Wenn auch das partout nicht hilft, dann kannst du deinen Dialer täglich automatisiert resetten mit:
!
kron occurrence shut at 5:00 recurring
policy-list restart_pppoe
!
kron policy-list restart_pppoe
cli clear int dialer0
!

Das sollte das Problem dann final lösen.
Bitte warten ..
Mitglied: ThePcSwagTogether
27.04.2019 um 13:13 Uhr
Hey @aqui,

Zitat von aqui:

Hier findest du eine laufende Dual Stack Konfig die das macht:
https://www.administrator.de/forum/cisco-1921-voip-telefonanlage-isp-mne ...
Die Mnet Konfig da kannst du identsch übernehmen !
Das o.a. Tutorial wird in Kürze auf die IPv6 Dual Stack Version upgedatet.

in dem von dir verlinkten Beitrag zum 1921er wurde von dir folgender Link geteilt: pfSense: IPv6 Delegation hinter Fritz!Box

Dort wird ja ein per DHCPv6-PD delegierter Prefix weitergereicht.

Ich hatte den Eindruck das die 1921er Konfig das auch machen soll, jedoch wurde ich in dem Thread nicht fündig wie das gehen soll.
Auch in anderen Foren wie hier: How to break apart an IPv6 /56 6rd delegated prefix from ISP into multiple /64 VLANs for use with SLAAC EUI-64? [Cisco]
wurde solch eine Frage gestellt, leider aber keine Antwort gegeben.

Scheinbar ist eine FritzBox ja in der Lage einen Prefix weiter zu spliten und weiter zu delegieren.
Bei IOS scheitert es aber irgendwie immer daran das ja ein "ipv6 local pool" benötigt wird und dort kein "general-prefix" eingetragen werden kann.

Weißt du wie ein solches Szenario unter IOS realisierbar ist?
Ein solches wie in den beiden obigen Links.

Dankö sehr!
Bitte warten ..
Mitglied: aqui
27.04.2019, aktualisiert um 21:10 Uhr
Hi The...
Das kann der Cisco natürlich auch. Über den v6 Pool vergibt er das per PD auch weiter. Siehe:
https://administrator.de/content/detail.php?id=179345&nid=743297#toc ...
Eins habe ich allerdings noch nicht hinbekommen und auch keinerlei Doku dazu in den Handbüchern und Best Practise v6 Guides gefunden:
Wenn man vom Provider den PD Pool bekommen hat kann man den entsprechend einrichten und so eigene PDs weiterreichen.
Der Pool ist aber rein statisch. Passiert eine Zwangstrennung und bekommt man vom Provider per PD einen neuen Prefix zugeteilt, ändert das leider nicht dynamisch den Pool den der Cisco dann von sich aus per PD weitergibt. Man muss diesen erst wieder manuell anpassen, was natürlich langfristig so nicht managebar ist.
Vermutlich sieht Cisco hier keine zyklische dynamische PD Änderung vor wie es bei den einfachen Consumer Accounts seitens der Provider üblich ist.
Deshalb laufen auch Antworten in den o.a. Foren vermutlich ins Leere weil es derzeit wohl schlicht und einfach im IOS Image nicht supportet ist. Eigentlich recht ungewöhnlich, liegt aber vermutlich daran das Cisco eher Business orientierter ist als Consumer Massenmarkt. Firmen mit statischer eigener v6 Adressierung haben logischerweise auch keine dynamischen Prefixe wenn sie mit PD arbeiten.
Ob das ggf. ein Feature aktueller Firmware Trains ist kann ich nicht sagen. Müsste man checken oder mal einen Case im Cisco TAC eröffnen. Mit der 15.6.3 (und dadrunter) scheint es nur statische Pools zu geben.
Falls jemand hier im Forum nähere Infos oder ggf. eine Lösung dafür hat wäre das interessant zu wissen !
Bitte warten ..
Mitglied: ThePcSwagTogether
27.04.2019 um 15:25 Uhr
Hey @aqui,

ja, genau das wollte ich wissen.
Oben in deinem verlinkten Part zur v6 Aktivierung hast du das ja eben statisch gemacht, was mich gewundert hat, eben weil ja die dynamik nicht enthalten ist. ;)

Danke dir und ein schönes Wochenende!
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle

IPv6 Konfiguration von Site-Site-VPN ohne feste IP

Anleitung von lcer00Netzwerkprotokolle2 Kommentare

Hallo zusammen, vor einiger Zeit hatte ich hier eine Frage zu dem Thema gepostet: Da war noch etwas offen. ...

Voice over IP

Cisco Telefon für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen

Anleitung von aquiVoice over IP53 Kommentare

Allgemeine Einleitung Seit längerem werden ältere Cisco Business Telefone in großem Maße erneuert und man kann diese Telefone zu ...

DSL, VDSL

Kann der Cisco 866VAE VDSL-Vectoring? (und ein Blick in die DSL-Firmware)

Tipp von dogDSL, VDSL18 Kommentare

TL;DR Version Antwort: Nein¹ (ausgenommen die WLAN-Modelle), und er wird es wohl auch nie können. Original-Ton des Cisco Supports: ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aquiLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 10 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS19 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server16 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...