12
BIG PROBLEM mit CISCO 892W und TDSL Business sowie fixer IP
Hallo.
Wir haben hier seit heute einen CISCO 892-W Router, der unseren althergebrachten LANCOM ersetzen soll. Jetzt haben wir das Problem dass wir es nicht schaffen, den Router eine Verbindung ins Internet aufbauen zu lassen. Direkt per Modem (PC-Modem) ist das kein Thema, aber sobald der Router dazwischegeschalet wird geht nichts mehr.
Ich hänge die config dran, da ich so langsam nicht mehr weiß, woran ich noch drehen kann. Ich denke mal es ist ein einfaches Konfigurationsproblem, aber so langsam sehe ich vor lauter Bäumen keinen Wald mehr. Habe bis jetzt nur die grafische Oberfläche benutzt, aber das CLI ist doch um einiges übersichtlicher.
Freue mich über jde Hilfe.
Danke im Voraus
Boris
Noch ein paar Infos:
IP des Routers: 192.168.23.1 255.255.255.0
DNS: 192.168.23.30
T-DSL Business-Tarif mit fixer IP
***
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname RT001
!
boot-start-marker
boot config usbflash0:CVO-BOOT.CFG
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
clock timezone PCTime 1 0
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
service-module wlan-ap 0 bootimage autonomous
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-724683679
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-724683679
revocation-check none
!
!
crypto pki certificate chain TP-self-signed-724683679
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 37323436 38333637 39301E17 0D313230 36313131 33353932
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3732 34363833
36373930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
95A13DE3 648E896A 71AF3655 87524D55 FDF60CCD 8D3FB60C 72DD8BA4 E0E98293
5F07EE3E E3583F08 CD03323E 7DD0895C 499E9379 0BD49E15 66C569A4 4A1AF152
0D511F70 C63D47B8 F473687D A92C6D58 9DF8F1EE 41772EB2 052AC3B4 3F9FFA35
9DD63E20 0D990BE6 017E63CA 24D33FB0 CBCE6D24 4EE9B383 D5BBE15A 4212A869
02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801449 E14181DC DA0C3A61 794209B7 E5F871A3 115CFF30
1D060355 1D0E0416 041449E1 4181DCDA 0C3A6179 4209B7E5 F871A311 5CFF300D
06092A86 4886F70D 01010405 00038181 007E2C7C A4F9C067 C7696070 E3D4563E
74433B23 185101F7 DB22916B 56486426 C0216138 1E00CFC1 15198677 B0A71796
AB121634 A8DD593B 918404F1 2BD7F78B E7A79B18 692B331F FB81396B 3006C873
6ECF5800 C9EA73AF 69DB73BA ACB978A8 AA1B01C2 86DFFBB3 82831DFD 5E3FEFB4
2145EE68 9F948B0F 9AF58B55 7B775D9B 1F
quit
no ip source-route
!
!
!
!
!
ip cef
no ip bootp server
ip domain name REITER-WN.DE
ip name-server 192.168.23.30
no ipv6 cef
!
multilink bundle-name authenticated
license udi pid CISCO892W-AGN-E-K9 sn FCZ1605C4G0
!
!
username Administrator privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-any ccp-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all ccp-insp-traffic
match class-map ccp-cls-insp-traffic
class-map type inspect match-any ccp-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all ccp-invalid-src
match access-group 100
class-map type inspect match-all ccp-icmp-access
match class-map ccp-cls-icmp-access
class-map type inspect match-all ccp-protocol-http
match protocol http
!
!
policy-map type inspect ccp-permit-icmpreply
class type inspect ccp-icmp-access
inspect
class class-default
pass
policy-map type inspect ccp-inspect
class type inspect ccp-invalid-src
drop log
class type inspect ccp-protocol-http
inspect
class type inspect ccp-insp-traffic
inspect
class class-default
drop
policy-map type inspect ccp-permit
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security ccp-zp-self-out source self destination out-zone
service-policy type inspect ccp-permit-icmpreply
zone-pair security ccp-zp-in-out source in-zone destination out-zone
service-policy type inspect ccp-inspect
zone-pair security ccp-zp-out-self source out-zone destination self
service-policy type inspect ccp-permit
!
!
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
spanning-tree portfast
!
interface FastEthernet1
spanning-tree portfast
!
interface FastEthernet2
spanning-tree portfast
!
interface FastEthernet3
spanning-tree portfast
!
interface FastEthernet4
spanning-tree portfast
!
interface FastEthernet5
spanning-tree portfast
!
interface FastEthernet6
spanning-tree portfast
!
interface FastEthernet7
spanning-tree portfast
!
interface FastEthernet8
description $ETH-WAN$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
zone-member security out-zone
duplex auto
speed auto
pppoe-client dial-pool-number 2
!
interface GigabitEthernet0
description $ES_WAN$$FW_OUTSIDE$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip virtual-reassembly in
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.23.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
zone-member security in-zone
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname feste-ip11/xxxxxxxxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxxxxxx
no cdp enable
!
interface Dialer1
ip address negotiated
ip mtu 1452
encapsulation ppp
dialer pool 2
dialer-group 2
ppp authentication chap callin
ppp chap hostname feste-ip11/xxxxxxxxxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxxxxxxx
no cdp enable
!
ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface GigabitEthernet0 overload
ip nat inside source list 2 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
logging esm config
logging trap debugging
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 2 remark INSIDE_IF=Vlan1
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 192.168.23.0 0.0.0.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
no cdp run
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
Cisco Virtual Office (CVO) is installed on this device and it provides the
default username "cisco".
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you want to
use.
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin udptn ssh
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
end
Wir haben hier seit heute einen CISCO 892-W Router, der unseren althergebrachten LANCOM ersetzen soll. Jetzt haben wir das Problem dass wir es nicht schaffen, den Router eine Verbindung ins Internet aufbauen zu lassen. Direkt per Modem (PC-Modem) ist das kein Thema, aber sobald der Router dazwischegeschalet wird geht nichts mehr.
Ich hänge die config dran, da ich so langsam nicht mehr weiß, woran ich noch drehen kann. Ich denke mal es ist ein einfaches Konfigurationsproblem, aber so langsam sehe ich vor lauter Bäumen keinen Wald mehr. Habe bis jetzt nur die grafische Oberfläche benutzt, aber das CLI ist doch um einiges übersichtlicher.
Freue mich über jde Hilfe.
Danke im Voraus
Boris
Noch ein paar Infos:
IP des Routers: 192.168.23.1 255.255.255.0
DNS: 192.168.23.30
T-DSL Business-Tarif mit fixer IP
***
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname RT001
!
boot-start-marker
boot config usbflash0:CVO-BOOT.CFG
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
clock timezone PCTime 1 0
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
service-module wlan-ap 0 bootimage autonomous
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-724683679
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-724683679
revocation-check none
!
!
crypto pki certificate chain TP-self-signed-724683679
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 37323436 38333637 39301E17 0D313230 36313131 33353932
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3732 34363833
36373930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
95A13DE3 648E896A 71AF3655 87524D55 FDF60CCD 8D3FB60C 72DD8BA4 E0E98293
5F07EE3E E3583F08 CD03323E 7DD0895C 499E9379 0BD49E15 66C569A4 4A1AF152
0D511F70 C63D47B8 F473687D A92C6D58 9DF8F1EE 41772EB2 052AC3B4 3F9FFA35
9DD63E20 0D990BE6 017E63CA 24D33FB0 CBCE6D24 4EE9B383 D5BBE15A 4212A869
02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801449 E14181DC DA0C3A61 794209B7 E5F871A3 115CFF30
1D060355 1D0E0416 041449E1 4181DCDA 0C3A6179 4209B7E5 F871A311 5CFF300D
06092A86 4886F70D 01010405 00038181 007E2C7C A4F9C067 C7696070 E3D4563E
74433B23 185101F7 DB22916B 56486426 C0216138 1E00CFC1 15198677 B0A71796
AB121634 A8DD593B 918404F1 2BD7F78B E7A79B18 692B331F FB81396B 3006C873
6ECF5800 C9EA73AF 69DB73BA ACB978A8 AA1B01C2 86DFFBB3 82831DFD 5E3FEFB4
2145EE68 9F948B0F 9AF58B55 7B775D9B 1F
quit
no ip source-route
!
!
!
!
!
ip cef
no ip bootp server
ip domain name REITER-WN.DE
ip name-server 192.168.23.30
no ipv6 cef
!
multilink bundle-name authenticated
license udi pid CISCO892W-AGN-E-K9 sn FCZ1605C4G0
!
!
username Administrator privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-any ccp-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all ccp-insp-traffic
match class-map ccp-cls-insp-traffic
class-map type inspect match-any ccp-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all ccp-invalid-src
match access-group 100
class-map type inspect match-all ccp-icmp-access
match class-map ccp-cls-icmp-access
class-map type inspect match-all ccp-protocol-http
match protocol http
!
!
policy-map type inspect ccp-permit-icmpreply
class type inspect ccp-icmp-access
inspect
class class-default
pass
policy-map type inspect ccp-inspect
class type inspect ccp-invalid-src
drop log
class type inspect ccp-protocol-http
inspect
class type inspect ccp-insp-traffic
inspect
class class-default
drop
policy-map type inspect ccp-permit
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security ccp-zp-self-out source self destination out-zone
service-policy type inspect ccp-permit-icmpreply
zone-pair security ccp-zp-in-out source in-zone destination out-zone
service-policy type inspect ccp-inspect
zone-pair security ccp-zp-out-self source out-zone destination self
service-policy type inspect ccp-permit
!
!
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
spanning-tree portfast
!
interface FastEthernet1
spanning-tree portfast
!
interface FastEthernet2
spanning-tree portfast
!
interface FastEthernet3
spanning-tree portfast
!
interface FastEthernet4
spanning-tree portfast
!
interface FastEthernet5
spanning-tree portfast
!
interface FastEthernet6
spanning-tree portfast
!
interface FastEthernet7
spanning-tree portfast
!
interface FastEthernet8
description $ETH-WAN$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
zone-member security out-zone
duplex auto
speed auto
pppoe-client dial-pool-number 2
!
interface GigabitEthernet0
description $ES_WAN$$FW_OUTSIDE$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip virtual-reassembly in
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.23.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
zone-member security in-zone
ip tcp adjust-mss 1412
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname feste-ip11/xxxxxxxxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxxxxxx
no cdp enable
!
interface Dialer1
ip address negotiated
ip mtu 1452
encapsulation ppp
dialer pool 2
dialer-group 2
ppp authentication chap callin
ppp chap hostname feste-ip11/xxxxxxxxxxxxxx@t-online-com.de
ppp chap password 7 xxxxxxxxxxxxxxxxx
no cdp enable
!
ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface GigabitEthernet0 overload
ip nat inside source list 2 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
logging esm config
logging trap debugging
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 2 remark INSIDE_IF=Vlan1
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 192.168.23.0 0.0.0.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
no cdp run
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
Cisco Virtual Office (CVO) is installed on this device and it provides the
default username "cisco".
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you want to
use.
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin udptn ssh
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186286
Url: https://administrator.de/contentid/186286
Printed on: April 19, 2024 at 02:04 o'clock
12 Comments
Latest comment
Hier findest du dazu eine laufende Beispielkonfiguration:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
und auch hier:
Vernetzung zweier Standorte mit Cisco 876 Router
hier
Cisco 1700 ADSL konfigurieren
und diverse andere hier...
Damit sollte das Setup auf Anhieb funktionieren.
Benutz dazu auch mal die debug Funktionen wie Debug dialer packets und Debug pppoe usw.
Wenn du statt Konsole per Telnet drauf bist musst du ein "terminal monitor" eingeben und die Konsol Outputs zu sehen !
Deine Konfig ist auch ziemlich verworren.
Am besten du machst den Router mit "erase startup" erstmal wieder nackig und gehst mal strategisch vor.
IP am LAN einstellen
dann WAN und Dialer
dann die ACLs und das dazu gehörige NAT.
Allein deinen 2 NAT Statements sind schon ziemlich unsinnig und auch falsch wenns nur um eine einfache Internet Verbindung geht...
Eine auf Anhieb funktionierende Konfig für dich sähe so aus: (DSL Modem Port an Gig Ethernet 0, DHCP von .23.150 - 23.170
(rot, weglassen wenn ohne DHCP vom Router !))
!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.23.1 192.168.23.149
ip dhcp excluded-address 192.168.23.170 192.168.23.254
!
ip dhcp pool Router
network 192.168.23.1 255.255.255.0
default-router 192.168.23.1
dns-server 192.168.23.30
lease 3
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
!
!
interface VLAN 1
description Lokales LAN (Switchports FastEth 1-8)
ip address 192.168.23.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1202
!
interface GigEthernet0
description DSL Modem Port
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-DSL Business
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username t-online-com/345678912345@t-online-com.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
no ip forward-protocol nd
!
no ip http server
ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
logging trap debugging
!
access-list 103 permit ip 192.168.23.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 103
!
end
(Der Benutzername bzw. die Benutzerkennung bei Telekom BusinessOnline - Kunden sieht ein wenig anders aus. Der Benutzerkennung wird ein Präfix vorangestellt.
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 345678912345
Aufbau des Benutzernamens: PräfixBenutzerkennung@t-online-com.de
Beispiel des Benutzernamens: t-online-com/345678912345@t-online-com.de
T-Online Business
Aufbau des Benutzernamens: t-online-com/Anschlusskennung@t-online-com.de )
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
und auch hier:
Vernetzung zweier Standorte mit Cisco 876 Router
hier
Cisco 1700 ADSL konfigurieren
und diverse andere hier...
Damit sollte das Setup auf Anhieb funktionieren.
Benutz dazu auch mal die debug Funktionen wie Debug dialer packets und Debug pppoe usw.
Wenn du statt Konsole per Telnet drauf bist musst du ein "terminal monitor" eingeben und die Konsol Outputs zu sehen !
Deine Konfig ist auch ziemlich verworren.
Am besten du machst den Router mit "erase startup" erstmal wieder nackig und gehst mal strategisch vor.
IP am LAN einstellen
dann WAN und Dialer
dann die ACLs und das dazu gehörige NAT.
Allein deinen 2 NAT Statements sind schon ziemlich unsinnig und auch falsch wenns nur um eine einfache Internet Verbindung geht...
Eine auf Anhieb funktionierende Konfig für dich sähe so aus: (DSL Modem Port an Gig Ethernet 0, DHCP von .23.150 - 23.170
(rot, weglassen wenn ohne DHCP vom Router !))
!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Router
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.23.1 192.168.23.149
ip dhcp excluded-address 192.168.23.170 192.168.23.254
!
ip dhcp pool Router
network 192.168.23.1 255.255.255.0
default-router 192.168.23.1
dns-server 192.168.23.30
lease 3
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
!
!
interface VLAN 1
description Lokales LAN (Switchports FastEth 1-8)
ip address 192.168.23.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1202
!
interface GigEthernet0
description DSL Modem Port
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-DSL Business
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username t-online-com/345678912345@t-online-com.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
!
no ip forward-protocol nd
!
no ip http server
ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
logging trap debugging
!
access-list 103 permit ip 192.168.23.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 103
!
end
(Der Benutzername bzw. die Benutzerkennung bei Telekom BusinessOnline - Kunden sieht ein wenig anders aus. Der Benutzerkennung wird ein Präfix vorangestellt.
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 345678912345
Aufbau des Benutzernamens: PräfixBenutzerkennung@t-online-com.de
Beispiel des Benutzernamens: t-online-com/345678912345@t-online-com.de
T-Online Business
Aufbau des Benutzernamens: t-online-com/Anschlusskennung@t-online-com.de )
Ich kenn das nur von den 2800er Routern, aber da ist das DSL Modem am extrs FastEthernet0/0 angeschlossen.
Dieses ist dann so konfiguriert.
!
interface FastEthernet0/0
no ip address
ip access-group OUTSIDE in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
Das Dialer Interface ist doch glaube ich nur virtuell und wird dann über den physikalischen Port geleitet.
Wie gesagt: Ich kenn den Router nicht. Kann sein, dass es dort ganz anders ist.
Dieses ist dann so konfiguriert.
!
interface FastEthernet0/0
no ip address
ip access-group OUTSIDE in
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
Das Dialer Interface ist doch glaube ich nur virtuell und wird dann über den physikalischen Port geleitet.
Wie gesagt: Ich kenn den Router nicht. Kann sein, dass es dort ganz anders ist.
@mailer2010
Nein, ist es nicht ! Das ist ja das gute das die Cisco Command Line Syntax über alle Geräte vollkommen gleich ist. Kannst du ja auch an deinen Kommandos sehen die zu obigen vollkommen identisch sind !
An welchen Port man das Modem hängt (wenn man kein Eingebautes hat wie der oben zitierte 886va) ist kosmetisch und frei konfigurierbar (sofern man mehrere Ports hat..)
Nein, ist es nicht ! Das ist ja das gute das die Cisco Command Line Syntax über alle Geräte vollkommen gleich ist. Kannst du ja auch an deinen Kommandos sehen die zu obigen vollkommen identisch sind !
An welchen Port man das Modem hängt (wenn man kein Eingebautes hat wie der oben zitierte 886va) ist kosmetisch und frei konfigurierbar (sofern man mehrere Ports hat..)
@BorisD
Feedback wär mal spannend...
Ansonsten wenns das jetzt war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Feedback wär mal spannend...
Ansonsten wenns das jetzt war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Hallo Leute.
Erst einmal Danke für die Hilfe. Habe mir jetzt Tera Term runtergeladen und bin damit zugange. Systemhaus hier verweist mich an Cisco, Cisco zurück an's Systemhaus. Aber das haben wir heute Mittag abschließend geklärt.
Momentan bin ich etwas ausgebremst, da ich während des Tagesbetriebs den 08/15-Router nicht abklemmen kann, mit dem wir momentan am Netz hängen. Will heißen ich schalte am Freitag ab 16:00 hier alles ab und lege los.
Habe mich bei der Telekom nochmals versichert, dass unsere Zugangsdaten korrekt sind, Leitung wurde nochmals durchgemessen, Modem/Router sind auch i.O. Die Cisco ist soweit in Ordnung (hoffe ich), ich komme auf das LAN-IF und und auf das CLI (ist nur ewig her und damals waren es die 1600'er, 1200'er und kleinere, aber alles Frame Relay). Wie gesagt, ich denke es ist nur eine Kleinigkeit in der Konfig.
Aqui, Deine Konfig habe ich leicht angepasst und ausprobiert, danach ging das gute Stück erst mal gar nicht mehr. Aber das war Montag Abends nachdem hier alle bis auf mich schon lange weg waren, also wohl eher ein Layer8-Problem ^^ Werde das Ganze nochmal am FR probieren. Diesmal dann per TTerm hochladen und nicht mit dem Cisco-eigenen Tool.
Wie gesagt, Freitag ab 16:00 lege ich hier los, bis dahin bastel ich mal an der gesicherten Konfig per Editor rum (TTerm macht's möglich) und schiebe sie hoch. Erst mal Step by Step; Ethernet, dann PPPoE, dann das nächste und so fort. Ich melde mich dann spätestens Montag wieder. Vor allem wegen der Portweiterleitung, falls ich das bis dahin nicht selber irgendwo finde (Mailserver, Zeitkontenserver und sowas)
Bis dahin Danke Euch erstmal für die Hilfe.
Boris
Erst einmal Danke für die Hilfe. Habe mir jetzt Tera Term runtergeladen und bin damit zugange. Systemhaus hier verweist mich an Cisco, Cisco zurück an's Systemhaus. Aber das haben wir heute Mittag abschließend geklärt.
Momentan bin ich etwas ausgebremst, da ich während des Tagesbetriebs den 08/15-Router nicht abklemmen kann, mit dem wir momentan am Netz hängen. Will heißen ich schalte am Freitag ab 16:00 hier alles ab und lege los.
Habe mich bei der Telekom nochmals versichert, dass unsere Zugangsdaten korrekt sind, Leitung wurde nochmals durchgemessen, Modem/Router sind auch i.O. Die Cisco ist soweit in Ordnung (hoffe ich), ich komme auf das LAN-IF und und auf das CLI (ist nur ewig her und damals waren es die 1600'er, 1200'er und kleinere, aber alles Frame Relay). Wie gesagt, ich denke es ist nur eine Kleinigkeit in der Konfig.
Aqui, Deine Konfig habe ich leicht angepasst und ausprobiert, danach ging das gute Stück erst mal gar nicht mehr. Aber das war Montag Abends nachdem hier alle bis auf mich schon lange weg waren, also wohl eher ein Layer8-Problem ^^ Werde das Ganze nochmal am FR probieren. Diesmal dann per TTerm hochladen und nicht mit dem Cisco-eigenen Tool.
Wie gesagt, Freitag ab 16:00 lege ich hier los, bis dahin bastel ich mal an der gesicherten Konfig per Editor rum (TTerm macht's möglich) und schiebe sie hoch. Erst mal Step by Step; Ethernet, dann PPPoE, dann das nächste und so fort. Ich melde mich dann spätestens Montag wieder. Vor allem wegen der Portweiterleitung, falls ich das bis dahin nicht selber irgendwo finde (Mailserver, Zeitkontenserver und sowas)
Bis dahin Danke Euch erstmal für die Hilfe.
Boris
Ob der T-DSL Anschluss wirklich funktioniert kannst du ja ganz einfach vorab mal testweise mit einem simplen Laptop/PC ausprobieren indem du dort einmal einen PPPoE Zugang mit den Zugangsdaten einrichtest und aufs Modem klemmst. Hast du Internet Zugang ist da wirklich alles OK. Das schafft da wenigstens Gewissheit.
Verwunderlich das ein Systemhaus dir da nicht helfen kann, denn das ist einen simple Standardkonfig wie sie tausendfach und mehr im Einsatz ist. Solltest du mal überlegen ob du da noch gut aufgehoben bist.... ?!
Die Beispielkonfig benutzt ein paar Standard Interface Namen. Du musst bei dir also ggf. die o.a. Konfig auf die wirklichen Interface Namen bei dir kosmetisch anpassen.
Step by Step ist auf alle Fälle der richtige Weg ! Immer auch mal "show" Kommandos nutzen um den PPPoE Status anzusehen oder mit "debug PPPoE" mal checken was auf dem PPPoE Interface passiert !
Denk dran immer zum Schluss undebug all einzugeben wenn du mit debug Kommandos gearbeitet hast !!
Dann sind wir mal auf Montag gespannt
Verwunderlich das ein Systemhaus dir da nicht helfen kann, denn das ist einen simple Standardkonfig wie sie tausendfach und mehr im Einsatz ist. Solltest du mal überlegen ob du da noch gut aufgehoben bist.... ?!
Die Beispielkonfig benutzt ein paar Standard Interface Namen. Du musst bei dir also ggf. die o.a. Konfig auf die wirklichen Interface Namen bei dir kosmetisch anpassen.
Step by Step ist auf alle Fälle der richtige Weg ! Immer auch mal "show" Kommandos nutzen um den PPPoE Status anzusehen oder mit "debug PPPoE" mal checken was auf dem PPPoE Interface passiert !
Denk dran immer zum Schluss undebug all einzugeben wenn du mit debug Kommandos gearbeitet hast !!
Dann sind wir mal auf Montag gespannt
YES!
Einmal tief durchatmen, die komplette Firma an einem schönen Freitag Nachmittag um 16:00 abschalten, die Kaffeemaschine von der Kantine in den Serverraum stellen und die Konfig des nagelneuen Routers killen. Schließlich noch die Ratschläge und Tips der Community hier beherzigen und davor nicht zu vergessen VIIIIIIIIIIEL lesen! Und siehe da? ES GEHT!
Das Teilchen schnurrt wie eine Katze (OK, virtuell gesehen) und läuft.
Probleme:
Das Hauptproblem lag einerseits an der chaotischen Konfig des Routers und zum anderen an einer aktiven NAT-Einstellung auf dem Modem/Router der Telekom. Somit konnte der Speedport niemals in den Modem-Modus schalten und das war's dann. Kein Modem sondern nur ein Router ohne Login-Einstellungen vor einem Router mit fehlerhafter Konfig. Das konnte ja gar nicht gehen!
Danke Euch für Die Hilfe, vor allem Dir, aqui.
Den Rest muss ich jetzt sehen wie ich das hinbekomme, also NAT, Port-forwarding und solche Sachen. VLANs sind (noch) nicht eingerichtet hier in der Firma (10 Jahre nichts (!!) an der IT gemacht worden und dazu noch Null (!!!) Doku - macht Laune), aber so nach und nach wird das.
Euch da draußen ein feines Wochenende.
Bye. Und bis zum nächsten Mal ^^
Einmal tief durchatmen, die komplette Firma an einem schönen Freitag Nachmittag um 16:00 abschalten, die Kaffeemaschine von der Kantine in den Serverraum stellen und die Konfig des nagelneuen Routers killen. Schließlich noch die Ratschläge und Tips der Community hier beherzigen und davor nicht zu vergessen VIIIIIIIIIIEL lesen! Und siehe da? ES GEHT!
Das Teilchen schnurrt wie eine Katze (OK, virtuell gesehen) und läuft.
Probleme:
Das Hauptproblem lag einerseits an der chaotischen Konfig des Routers und zum anderen an einer aktiven NAT-Einstellung auf dem Modem/Router der Telekom. Somit konnte der Speedport niemals in den Modem-Modus schalten und das war's dann. Kein Modem sondern nur ein Router ohne Login-Einstellungen vor einem Router mit fehlerhafter Konfig. Das konnte ja gar nicht gehen!
Danke Euch für Die Hilfe, vor allem Dir, aqui.
Den Rest muss ich jetzt sehen wie ich das hinbekomme, also NAT, Port-forwarding und solche Sachen. VLANs sind (noch) nicht eingerichtet hier in der Firma (10 Jahre nichts (!!) an der IT gemacht worden und dazu noch Null (!!!) Doku - macht Laune), aber so nach und nach wird das.
Euch da draußen ein feines Wochenende.
Bye. Und bis zum nächsten Mal ^^
Für alle diese Fragen der korrekten NAT, Port-forwarding und VLAN Einrichtung darfst du dich natürlich gerne wieder hier an uns wenden hier. Dafür ist ein Forum ja da ! 
Danke, aqui.
Das Portforwarding funktioniert soweit, zumindest komme ich von meinem Homeoffice aus auf
- Webinterface des Mailservers
- Config-IF des Mailservers
- Zeiterfassung (per https)
Was ich noch nicht weiß ist ob die Mailweiterleitung auf die IPhones funktioniert. Habe es genauso eingerichtet, aber da ich kein Smartphone habe (und das als Admin ^^) kann ich das mom nicht prüfen.
Die Firewall hab ich eingerichtet, aber jetzt wird mir bei meiner Google-Startseite (www.google.de/ig) nur noch die Hälfte angezeigt, außerdem hab ich das Gefühl das ruckelt hier alles. Grummel.
Werde ich mich aber am MO drum kümmern, für heute hab ich hier genug zeit verbracht. Und wenn dann mach ich 'nen neuen Thread auf, das hat ja dann nix mehr mit der ersten Frage gemein.
Euch da draußen noch ein schönes Restwochenende. Ich starte jetzt noch einmal die Server durch, das langt dann für 'nen Sonntag.
Greetz
Boris
Das Portforwarding funktioniert soweit, zumindest komme ich von meinem Homeoffice aus auf
- Webinterface des Mailservers
- Config-IF des Mailservers
- Zeiterfassung (per https)
Was ich noch nicht weiß ist ob die Mailweiterleitung auf die IPhones funktioniert. Habe es genauso eingerichtet, aber da ich kein Smartphone habe (und das als Admin ^^) kann ich das mom nicht prüfen.
Die Firewall hab ich eingerichtet, aber jetzt wird mir bei meiner Google-Startseite (www.google.de/ig) nur noch die Hälfte angezeigt, außerdem hab ich das Gefühl das ruckelt hier alles. Grummel.
Werde ich mich aber am MO drum kümmern, für heute hab ich hier genug zeit verbracht. Und wenn dann mach ich 'nen neuen Thread auf, das hat ja dann nix mehr mit der ersten Frage gemein.
Euch da draußen noch ein schönes Restwochenende. Ich starte jetzt noch einmal die Server durch, das langt dann für 'nen Sonntag.
Greetz
Boris
Wenn bei Webseiten nur die Hälfte angezeigt wird dann hast du ein MTU bzw. MSS Problem auf dem Router !
Hast du das überprüft ??
Halte dich dabei an die Beispiel Konfig aus dem oben zitierten 886va Tutorial was das Dialer Interface und lokale LAN Interface anbetrifft !! ip tcp adjust-mss 1452 bzw. ip mtu 1492
Dort ist auch eine einfache PPTP VPN Konfiguration zusehen mit dem du ganz einfach ein PPTP VPN Dialin realisieren kannst für remote Clients.
Das hat jedes iPhone und jeder Rechner mit welchem OS auch immer gleich an Bord !!
Allemal besser als viele Löcher per Port Forwarding in deine Firewall zu bohren und die Sicherheit aufs Spiel zu setzen !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hast du das überprüft ??
Halte dich dabei an die Beispiel Konfig aus dem oben zitierten 886va Tutorial was das Dialer Interface und lokale LAN Interface anbetrifft !! ip tcp adjust-mss 1452 bzw. ip mtu 1492
Dort ist auch eine einfache PPTP VPN Konfiguration zusehen mit dem du ganz einfach ein PPTP VPN Dialin realisieren kannst für remote Clients.
Das hat jedes iPhone und jeder Rechner mit welchem OS auch immer gleich an Bord !!
Allemal besser als viele Löcher per Port Forwarding in deine Firewall zu bohren und die Sicherheit aufs Spiel zu setzen !
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Danke für die Hilfe.
Inzwischen kann ich den Router innerhalb weniger Minuten neu aufsetzen (wenigstens etwas). Port-Forwarding ist inzwischen piece of cake, jedoch kämpfe ich noch mit dem Site-to-Site VPN. Das geht schlichtweg nicht und warum? Keine Ahnung.
Aber dazu mach ich 'nen neuen Thread auf - NACHDEM ich mir Deinen Link angesehen habe.
Inzwischen kann ich den Router innerhalb weniger Minuten neu aufsetzen (wenigstens etwas). Port-Forwarding ist inzwischen piece of cake, jedoch kämpfe ich noch mit dem Site-to-Site VPN. Das geht schlichtweg nicht und warum? Keine Ahnung.
Aber dazu mach ich 'nen neuen Thread auf - NACHDEM ich mir Deinen Link angesehen habe.
OK, auch das mit dem Site to Site VPN ist ein Kinderspiel.
Wie das geht kannst du in diesem Thread nachlesen und musst es nur mit deinen Daten abtippen:
Vernetzung zweier Standorte mit Cisco 876 Router
Wie das geht kannst du in diesem Thread nachlesen und musst es nur mit deinen Daten abtippen:
Vernetzung zweier Standorte mit Cisco 876 Router
