Cisco 1941 DHCPv6 mit Sixxs Tunnel

Abend,

ich habe einen IPv6 Tunnel von Sixxs bekommen,

Nun muss der Cisco 1941 nur doch lernen die Adressen intern zu Routen und zu verteilen,
es ist ein /64 Subnetz ist.

Und genau da liegt das Problem ich finde keine Anleitung die einen DHCPv6 Server auf dem Cisco erklärt und alle eignenden versuche haben leider nicht zum Erfolg geführt..

Hier meine Aktuelle Config :

sh run
Building configuration...

Current configuration : 7938 bytes
!
! No configuration change since last restart
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname Firewall386
!
boot-start-marker
boot-end-marker
!
!
no logging buffered
enable secret 5 XXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXXXXXXXXXX

!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login USER local
aaa authorization exec default local
aaa authorization network GROUP local
!
!
!
!
!
aaa session-id common
memory-size iomem 15
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
!
!
!


!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.17.50.1 10.17.50.99
ip dhcp excluded-address 10.17.50.151 10.17.50.254
!
ip dhcp pool 1941-dhcp
 network 10.17.50.0 255.255.255.0
 default-router 10.17.50.1
 domain-name Network297.secure.intern
 dns-server 208.67.222.222 208.67.220.220
 netbios-name-server 10.17.50.1
 lease 7
!
!
!
ip domain name Network297.secure.intern
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip inspect name meinefw udp
ip inspect name meinefw tcp
ip inspect name meinefw http
ip ddns update method dyndns
!
ip cef
login block-for 300 attempts 3 within 30
login on-failure log
login on-success log
ipv6 unicast-routing
ipv6 dhcp pool ipv6-pool
 address prefix 2001:XXXX:FF00:14D6::/64 lifetime infinite infinite
 dns-server 2001:XXXX:4860::8888
 dns-server 2001:XXXX:4860::8844
 domain-name Network297.intern
!
ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
!
crypto pki trustpoint TP-self-signed-3888022059
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3888022059
 revocation-check none
 rsakeypair TP-self-signed-3888022059
!
crypto pki trustpoint TP-self-signed-2189981532
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2189981532
 revocation-check none
 rsakeypair TP-self-signed-2189981532
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
 subject-name e=sdmtest@sdmtest.com
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3888022059
 certificate self-signed 01
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

        quit
crypto pki certificate chain TP-self-signed-2189981532
crypto pki certificate chain test_trustpoint_config_created_for_sdm
license udi pid CISCO1941/K9 sn FCZ162420P3
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
!
username ADMIN privilege 15 password 0 XXXXXXXXXXXXXXXXXXXXXXXXXX
username XXXXXXXXXXXXXXXXXXXXXXXXXX password 0 XXXXXXXXXXXXXXXXXXXXXXXXXX
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
 lifetime 7200
crypto isakmp key Cisco address 0.0.0.0
crypto isakmp client configuration address-pool local EZVPN_POOL
!
crypto isakmp client configuration group EZVPN
 key Cisco123456
 dns 10.17.50.1
 wins 10.17.50.1
 pool EZVPN_POOL
 netmask 255.255.255.0
crypto isakmp profile EZVPN_PROFILE
   match identity group EZVPN
   client authentication list USER
   isakmp authorization list GROUP
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set EZVPN_SET esp-aes esp-sha-hmac
 mode tunnel
!
crypto ipsec profile EZVPN_PROFILE
 set transform-set EZVPN_SET
 set isakmp-profile EZVPN_PROFILE
!
!
!
!
!
!
!
interface Tunnel61
 description 6in4 tunnel to SixXS
 no ip address
 ip tcp adjust-mss 1420
 ipv6 address 2001:XXXX:FF00:14D6::2/64
 ipv6 enable
 tunnel source GigabitEthernet0/1
 tunnel mode ipv6ip
 tunnel destination 78.35.24.124
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description Lokales Ethernet LAN $ES_LAN$
 ip address 10.17.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 description Internet Verbindung Kabel TV $ETH-WAN$
 ip address dhcp client-id GigabitEthernet0/1 hostname router_eng297
 ip access-group 111 in
 ip nat outside
 ip inspect meinefw out
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!
interface FastEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0
 duplex auto
 speed auto
 no mop enabled
!
interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/1
 tunnel mode ipsec ipv4
 tunnel path-mtu-discovery
 tunnel protection ipsec profile EZVPN_PROFILE
!
ip local pool EZVPN_POOL 10.0.0.10 10.0.0.50
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 dhcp
!
!
ipv6 route ::/0 Tunnel61
!
!
snmp-server community public RO
snmp-server community read_me RO
snmp-server community write_me RW
access-list 1 remark INSIDE_IF=GigabitEthernet0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.53.53.0 0.0.0.255
access-list 1 permit 10.17.50.0 0.0.0.255
access-list 111 remark CCP_ACL Category=17
access-list 111 remark Auto generated by CCP for NTP (123) 134.130.4.17
access-list 111 permit udp host 134.130.4.17 eq ntp any eq ntp
access-list 111 remark tftp
access-list 111 permit udp any any log
access-list 111 permit udp any any eq bootpc
access-list 111 permit udp any any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit gre any any
access-list 111 deny   ip any any log
!
!
!
control-plane
!
!
banner login ^C
##########################################################################
#                               WARNING!                                 #
# Access to this device is restricted to those individuals with specific #
#    Permissions. If you are not an authorized user, disconnect now.     #
#    Any attempts to gain unauthorized access will be prosecuted to      #
#                 the fullest extent of the law                          #
##########################################################################
^C
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password XXXXXXXXXXXXXXXXXXXXXXXXXX
 transport input all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 134.130.4.17 source GigabitEthernet0/0
ntp server 0.de.pool.ntp.org
!
end

Please also mark the comments that contributed to the solution of the article

Content-Key: 215825

Url: https://administrator.de/contentid/215825

Printed on: April 19, 2024 at 09:04 o'clock

3 Comments

Latest comment

Hallo,

ich habe auch mal eine keine Frage dazu, ich hoffe Du verzeihst mir das, aber müssen denn nicht bei IPv6 alle Geräte im LAN
und auch im WAN Bereich IPv6 "sprechen"? Und vor allem auch die VPN Tunnel Gegenstelle?

Gruß
Dobby

DHCP ist überflüssig bei v6 du machst das mit dem Router Advertisement Protokoll, was auch der Cisco supportert:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/rele ...
Außerdem ist ein Kardinalsfehler in deiner Konfig ! Der /64 Prefix ist dein lokales LAN nicht aber die IP für das Tunnelinterface, die ist immer separat, denn das ist ja logischerweise einen P2P Verbindung auf SixXS. Die darf also nicht identisch sein zu deinem lokalen LAN sonst wäre ein Routing unmöglich !
Siehe: http://www.sixxs.net/wiki/Cisco
Über SixXS requestetest du ja noch ein lokales Prefix und das ist dein lokales, eigenes v6 LAN was du überhaupt noch nicht konfiguriert hast auf dem Router ?!
Wenn du auf die SixXS Homepage gehst dann siehst du deinen Tunnel und automatisch dadrunter dein dir mit dem Tunnel zugeteiltest /64 Prefix !
DAS ist dein lokales LAN was du am lokalen Cisco Routerport zusätzlich zu v4 konfigurierst. Bei dir Gig 0/0
Übrigens auch dein Vitual Template mit unnumbered GiG 0/1 ist unsinn, denn du kannst ja wohl kaum aufs Kabel TV Netz zugreicfen um dort IP Adressen zu benutzen.
Das solltest du dringenst korrigieren !
Eine entsprechende Beispielfonfig die du übernehmen kannst findest du hier fertig zum Abtippen:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

.@Dobby
Ja, das ist richtig aber der Cisco oder ein Raspberry Pi etc. als SixXS Tunnel Router baut ein IPv4 Tunnel (o.a. Tunnel Interface) auf zu SixXS in dem IPv6 getunnelt wird.
http://www.sixxs.net/faq/connectivity/?faq=ossetup&os=linuxdebian
Der v6 Tunnel ist eine P2P Connection und von Sixxs bekommst du einen /64 Prefix zugeteilt als lokales LAN mit dem du dann fröhlich experimentieren kannst im IPv6 Internet.
Dieses Buch erklärt die Detais dazu:
http://www.amazon.de/IPv6-Workshop-praktische-Einführung-Internet- ...

@aqui
Danke für die Erklärung und den Link zu dem Buch das werde ich mir mal bestellen.

Gruß
Dobby

German Question Routers, Routing Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

Check of ZFW Firewallgleixnerd - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment