Konfiguration Cisco 886va mit ADSL oder VDSL Anschluss und IP-TV

Die Router Hardware

Der Cisco 886va ist ein sog. "Multi Service" Router mit einem integrierten Multimode DSL Modem für VDSL2 und ADSL2/2+ (Annex B (ADSL over ISDN)).
Zudem hat er 4 integrierte Ethernet LAN Ports die VLAN fähig sind.
Er supportet bis zu 20 VPN Verbindungen gleichzeitig und eignet sich damit für eine anspruchsvolle Heimanbindung, Telearbeiter oder eine Firmenvernetzung auf ADSL oder VDSL Basis.
Da er ein integriertes ADSL/VDSL fähiges Multimode Modem an Bord hat, eignet er sich insbesondere für solche DSL Installationen bei denen zukünftiger Bandbreitenbedarf eine spätere Migration auf VDSL einfach möglich macht ohne neue Hardtware beschaffen zu müssen.
Die hier vorgestellte universelle Grundkonfiguration des Routers ist für beide vorgestellten DSL Anbindungen gleich. Sie unterscheidet sich lediglich in der Konfiguration der DSL bzw. VDSL Modemeinstellung die in separaten Kapiteln unten vorgestellt wird.
Als Beispiel dient hier eine Standardkonfiguration mit 2 angeschlossenen LAN Netzen z.B. ein Firmennetz und ein Gastnetz, aktivem DHCP und statischen DHCP Reservierungen z.B. für einen Server, NAS o.ä. und einer optionalen VPN Konfiguration mit dem PPTP Protokoll.
Damit ist eine problemlose Einwahl von remote für mobile Mitarbeiter zum Datenaustausch oder für die Fernwartung gegeben.
Der Router supportet ebenso eine Standortvernetzung auf VPN IPsec Basis die aber nicht Thema dieses Tutorials ist sondern separat behandelt wird. (Siehe Linkliste unten)

Die ADSL Konfiguration

Die Standard oben beschriebene Basiskonfiguration des Routers ist in blau gehalten. Die Modem spezifischen Abschnitte die für eine DSL oder VDSL Konfiguration erforderlich sind, sind jeweils rot eingefärbt.
service timestamps log datetime localtime
!
hostname Cisco886va
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.7.170 192.168.7.254
!
ip dhcp pool Server
host 192.168.100.169 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
default-router 192.168.100.254
dns-server 192.168.100.254
client-name server
domain-name soho.intern
!
ip domain name soho.intern
ip inspect name myfw tcp
ip inspect name myfw udp
!
username admin password Admin
!
controller VDSL 0
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username 001234567890123456780001@provider.de password 1234567
ppp ipcp dns request
ppp ipcp mask request
(ppp ipcp route default). <-- Dafür kann die statische Route entfallen !
no cdp enable
!
no ip forward-protocol nd
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any (log)
dialer-list 1 protocol ip list 101
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Das "log" am Ende des letzten Filter Statements (ohne die "()" ) der Accessliste 111 zeigt alle unerlaubten externen Zugriffe im Router Log an und damit die, die versuchen den Router anzugreifen. Ist mal interessant das zu sehen wenn man show logg eingibt oder sich die Syslog Messages des Routers schicken lässt.
Wen es nervt und das Log zu groß wird (denn das gibt immer viele unerlaubte Zugriffe) und wer wichtigeres im Logging sehen willst kann es natürlich auch weglassen.

Die VDSL Konfiguration

VDSL Pakete müssen einen VLAN Tag mit der VLAN ID 7 aufweisen. Das VDSL Modem ist logisch an die Ethernet Schnittstelle eth 0 gebunden die damit eine tagged VLAN Konfiguration bekommt.
Das für die ADSL Kommunikation nötige ATM Interface wird nicht mehr benötigt und in den shutdown Status versetzt.
!
-- Standard Konfiguration wie oben --
!
controller VDSL 0
!
interface Ethernet0
no ip address
no shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
shutdown
!
interface FastEthernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!
-- Standard Konfiguration wie oben --

VPN (PPTP) und DynDNS aktivieren

Soll zu der obigen Standard Konfiguration noch eine VPN Einwahl mit dem PPTP Protokoll aktiviert werden ist die Konfiguration um die folgenden Zeilen zu erweitern:
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password test123
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered vlan 1
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 192.168.100.200 192.168.100.210
!

Für die dynamische Anpassung der IP Adresse bei wechselnden IP DSL Adressen (nächtliche Zwangstrennung) wird der DynDNS Dienst wie folgt aktiviert:
!
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
Wie ein kostenloses DynDNS Konto eingerichtet wird beschreibt dieser_Artikel.

Die Home IP-TV Konfiguration

Die genauen Einstellungen für die IP-TV Entertain Konfiguration beschreibt Schritt für Schritt dieses_PDF_Tutorial.
Damit ist die Konfigurationsanpassung zur Nutzung etwaiger IP-TV Entertain Optionen problemlos und schnell möglich.

Weiterführende Links:

VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco oder FritzBox VPN Router:
http://www.administrator.de/index.php?con ...

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
http://www.administrator.de/index.php?con ...

VPNs mit PPTP:
http://www.administrator.de/index.php?con ...

Letzte Aktualisierung: 04/2012