Jul 27, 2017

3716

Cisco DHCP vergibt komische Adressen

Hallo,
hab grad den 886VA bekommen und möchte den nun einrichte. Reset war erfolgreich. Hab VLAN1 und DHCP sowie die Ethernet Interfaces eingerichtet.
Das komische ist jedoch, dass der DHCP-Server falsche Adressen vergibt. Er soll eig. 10.0.0.90- 10.0.0.181 vergeben und nicht 10.10.1.106 auf meinen Rechner. Der Router ist unter 10.0.0.254 pingbar, der Rechner 10.10.1.106 jedoch vom Router aus nicht. Wenn ich manuelle IPs am PC setze ist das genauso.
Was ist an dieser Konfig jetzt schon wieder verbockt?

Die physikalische Verbindung zum DSL tut schonmal, jedoch leuchtet weder PPP noch Data. Das ist aber erstmal sekundär. Erstmal muss der Rechner pingbar ein vom Router aus und der DHCP die richtigen Adressen vergeben.
LG Marco

!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco886va
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 $1$/ZJg$8V0lw42rHQLG4ZEBSGJwy1
!
aaa new-model
!
!
aaa authentication login local_auth local
!
!
!
!
!
aaa session-id common
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!


!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.1 10.0.0.89
ip dhcp excluded-address 10.0.0.181 10.0.0.254
!
ip dhcp pool local
 network 10.0.0.0 255.0.0.0
 default-router 10.0.0.254
 dns-server 10.0.0.254
 domain-name joseph.stalin
!
!
!
ip inspect name myfw icmp router-traffic
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C886VA-K9 sn FCZ1831C17A
!
!
username admin privilege 15 password 0 stalin
!
!
!
!
!
controller VDSL 0
!
!
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 pvc 1/32
  pppoe-client dial-pool-number 1
 !
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
 shutdown
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface Vlan1
 description internal_LAN
 ip address 10.0.0.254 255.0.0.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description DSL-Dialup
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Nutzername password 0 Kennwort
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
interface Dialer1
 no ip address
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
dialer-list 1 protocol ip list 101
!
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 login authentication local_auth
 transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Please also mark the comments that contributed to the solution of the article

Content-Key: 344648

Url: https://administrator.de/contentid/344648

Printed on: April 25, 2024 at 15:04 o'clock

67 Comments

Latest comment

Moin,

was sagt denn
router# show dhcp server
show ip dhcp binding
show ip dhcp conflict
show ip dhcp server statics

Gruss

network 10.0.0.0 255.0.0.0

Naja, wenn du dem Router sagst, der soll Adressen von 10.0.0.1 bis 10.255.255.255 per DHCP vergeben, dann macht er das auch ... ;)

und wie macht mann dass er nur den o.g. Bereich vergibt? Warum ist der Rechner dann nicht pingbar? Was ist mit dem Rest der Config?
@sabines teste ich später

Zitat von @Windows10Gegner:

und wie macht mann dass er nur den o.g. Bereich vergibt? Warum ist der Rechner dann nicht pingbar? Was ist mit dem Rest der Config?

Oh je, lass das bloß aqui nicht lesen ;)

10.0.0.0 255.255.255.0

Edit: Und pass danach auch deine ACL an.

Hallo,

genauer gesagt du sagst dem Router das er per dhcp von vergeben soll, außer die IP Adressen du du per excluded aussschließt

ip dhcp excluded-address 10.0.0.1 10.0.0.89 
ip dhcp excluded-address 10.0.0.181 10.0.0.254

aber wozu benötigst du ein /8 Netzwerk?

Ändere dein Netzwerk auf eine Sinnvolle Maske /24

ip dhcp pool local 

no  network 10.0.0.0 255.0.0.0
network  10.0.0.0 255.255.255.0

brammer

ok. Ich werde alles anpassen und dann testen.

Du hast ja recht merkwürdige Domains...?!
Wie Kollege Brammer schon richtig schreibt ist das Thema Subnetze bei IP Adressen wohl nicht wirklich deins.
Unsinng einen ein /8 Prefix zu vergeben, denn du willst nicht wirklich 16.777.214 Endgeräte adressieren oder ?
Auch hier hilft es zu lesen und zu verstehen wie eine Subnetzmaske funktioniert:
https://de.wikipedia.org/wiki/Netzmaske

Vergiss also den Blödsinn mit dem /8 Prefix und ändere die DHCP Konfig so ab wenn du von .90 bis .181 vergeben willst:
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.1 10.0.0.89
ip dhcp excluded-address 10.0.0.182 10.0.0.254
!
ip dhcp pool local
network 10.0.0.0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name joseph.intern
!
interface Vlan1
description Lokales LAN
ip address 10.0.0.254 255.255.255.0

Wie immer kann ein Blick ins hiesige Cisco Tutorial nicht schaden:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dort ist das, wie immer, alles explizit beschrieben.

Nochwas:
Die Default Route ip route 0.0.0.0 ... ist überflüssiger Blödsinn (und auch kontraproduktiv !) wenn du im Dialer ppp ipcp route default konfiguriert hast der das dynamisch injiziert.
Lösche also die dann unsinnige Default Route !
Auch das steht, du ahnst es schon... aus führlich im o.a. Tutorial !!!
Lesen hilft wirklich !!
Konfig Leichen wie den verunglückten Dialer 1 oben solltest du immer mit no int dialer 1 entfernen.
Es fehlt noch die CBAC Accessliste 111 und das DSL Interface ist auf shutdown. Hast du sicher schon selber gesehen. Ohne das funktioniert die Konfig nicht...siehe Tutorial

DHCP und das INet funktionieren. Die Vergabe fester IP Adressen per DHCP geht jedoch noch nocht. Die Portweiterleitung für TCP 4662 auf 10.0.0.100 funktioniert, jetzt fehlt noch UDP 4672, was ich noch einrichten werde.

Für die IP-Vergabe habe ich folgendes eingerichtet, was aber noch nicht funktioniert

ip dhcp pool static-ip
host 10.0.0.100 255.255.255.0
client-identifier 0013.21ce.c270
default-router 10.0.0.254
dns-server 10.0.0.254
Was ist daran jetzt schon wieder verbockt?

Hallo,

Die Vergabe fester IP Adressen per DHCP geht jedoch noch nocht.

Was bitte ist die Vergabe fester IP Adressen per DHCP?

Bei DHCP steht das 'D' für dynamisch... = nicht fest!

brammer

schon klar, man kann jedoch per DHCP immer die gleiche IP an einen Rechner vergeben. Und genau das möchte ich tun und habe es mit o.g. Code ausprobiert. Nur es funktioniert nicht.

Er meint auf Basis der Mac Adresse !
Hier musst du auf das Mac Format achten, was du sicher falsch eingegeben hast !!
Cisco will es hier sehr genau wissen, denn es reicht nicht nur die nackte Mac anzugeben. Du musst im Least Significant Bit und dem folgenden Bit nach Standard definieren das es eine individual local administered address ist mit einem "01" davor.
https://de.wikipedia.org/wiki/MAC-Adresse#Besondere_Kennungen

So sähe es dann richtig aus:
ip dhcp pool WinSRV
host 192.168.1.222 255.255.255.0
client-identifier 01ab.7f3e.e7ce.1d
default-router 192.168.1.254
dns-server 192.168.1.254
client-name winserver
domain-name win10gegner.intern
!
Du kannst diese Macs auch sehen wenn du mal show ip dhcp bindings eingibst.
Aus der Liste kannst du die Macs direkt cut and pasten.
Dann klappt es auch mit dem festen IP Adressen

der Befehl heisst show ip dhcp binding

Ändert aber nichts daran, dass es immer noch nicht funktioniert.

Das ist die Konfig:
ip dhcp pool static-ip
host 10.0.0.100 255.255.255.0
client-identifier 0100.1321.cec2.70
default-router 10.0.0.254
dns-server 10.0.0.254
domain-name joseph.stalin
client-name compaqdc7100

die Konfig sieht für mich richtig aus

Dir ist hoffentlich auch klar das diese Mac basierten DHCP IPs NICHT im definierten Pool liegen dürfen !
Es müssen bei dir IP Adressen zwischen .1 bis .89 oder .181 bis .254 sein !!
Eigentlich fällt die .100 ja darunter.
Irgendwas rennt da falsch. Vermuten wir mal einen Tippfehler bei der Mac was anderes bleibt eigentlich nicht mehr.

Bekommt dieser Rechner denn so ohne statische Konfig eine IP aus dem Pool ??
Wenn ja dann sieh dir seine zur IP korrespondierende Mac an mit show ip dhcp binding und cut and paste die.
Dann löschts du die Leases komplett mit clear ip dhcp binding * und konfigurierst den statischen Eintrag nochmal.
Danach muss das gehen.
Wenn wider Erwarten nicht startest du einen Wireshark und siehst dir die DHCP IP Adressvergabe mal genau an.

dann fängt der Pool jetzt eben bei 110 an. Denn sonst muss ich die ganze Portweiterleitung antasten.

Der Rechner bekommt ne IP aus dem Pool. Jetzt wäre das die 10.0.0.111

jetzte habe ich die MAC aus der Liste benutzt, es funktioniert jedoch nicht.
ip dhcp pool static-ip
host 10.0.0.100 255.255.255.0
client-identifier 0013.21ce.c270
default-router 10.0.0.254
dns-server 10.0.0.254

und das hier verwundert mich
cisco886va#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
10.0.0.100 0013.21ce.c270 Infinite Manual
10.0.0.111 0013.21ce.c270 Jul 29 2017 10:36 AM Automatic

Da stimmt was nicht !! Das "00" vorne kann niemals stimmen !
Hier mal ein aktueller Output:

#sh ip dhcp bin
Bindings from all pools not associated with VRF:
IP address          Client-ID/	 	    Lease expiration        Type
		    Hardware address/
		    User name
172.16.11.205       0100.1b63.9c79.e1       Jul 29 2017 03:05 PM    Automatic 

oder

sh ip dhcp bin
Bindings from all pools not associated with VRF:
IP address          Client-ID/	 	    Lease expiration        Type
		    Hardware address/
		    User name
192.168.1.150       0128.e7cf.d726.c1       Infinite                Manual
192.168.1.151       014c.5e0c.7f77.e2       Infinite                Manual
192.168.1.152       0100.0c6c.0224.d2       Infinite                Manual
192.168.1.164       01bc.6778.bae2.b4       Jul 29 2017 04:05 AM    Automatic
192.168.1.170       01cc.c760.286d.79       Jul 29 2017 12:22 PM    Automatic
192.168.1.173       0178.4f43.a5e9.f6       Jul 29 2017 09:16 AM    Automatic
192.168.1.174       0178.a3e4.a273.53       Jul 29 2017 02:24 PM    Automatic 

Hier kannst du sehen das niemals vorne eine 00steht oder stehen darf !!
Im 2ten Beispiel sind die IPs .150 - .152 statische via Mac, der rest aus dem Pool.
Die dortigen Macs entsprechen exakt denen aus der Konfig.

laut ifconfig beginnt aber die MAC mit 00.
Und das ist die Ausgabe beim Cisco
10.0.0.100 0013.21ce.c270 Infinite Manual
10.0.0.111 0013.21ce.c270 Jul 29 2017 10:36 AM Automatic

ich kann das
jetzt in 10.0.0.100 0100.1321.cec2.70 ändern in der Pool Config. Rückmeldung kommt.

tut immer noch nicht
Die Ausgabe vom DHCP
10.0.0.100 0100.1321.cec2.70 Infinite Manual
10.0.0.111 0013.21ce.c270 Jul 29 2017 08:35 PM Automatic

und das die Config
ip dhcp pool static-ip
host 10.0.0.100 255.255.255.0
client-identifier 0100.1321.cec2.70
default-router 10.0.0.254
dns-server 10.0.0.254
Und was ist daran noch falsch?

laut ifconfig beginnt aber die MAC mit 00.

Das ist falsch. Du darfst NICHT das ifconfig Kommando dafür verwenden !!!
Lasse den Rechner eine IP aus dem Pool ziehen und sieh dir dann mit sh ip dhcp bin dessen im Cisco gecachte Mac Adresse an !!!
Das ist genau die Mac Adresse die in die Client Konfig auf dem Cisco muss. Dort wird ganz sicher eine "01.." am Anfang stehen !!
Also immer die Mac nehmen die der CISCO dir als show Output liefert und NICHT das was von ifconfig etc. kommt.
Damit sollte es ganz sicher klappen !

Sollte es das wider Erwarten nicht, dann schaltest du mal das DHCP Server Debugging an auf dem Cisco und siehst dir an was er auf den Requests dieses Clients ausgibt. Das geht mit:
debug dhcp server packet
debug dhcp server event
Denk dran wenn du mit Telnet oder SSH auf dem Cisco eingeloggt bist VORHER ein term mon einzugeben damit du den Debug Output siehst in der Session !
Wenn du das Debugging stoppen willst dann immer u all am Schluß eingeben.
Den Output dann hier posten.

Aber in der DHCP Liste steht ganz sicher keine 01 davor
10.0.0.100 0100.1321.cec2.70 Infinite Manual
10.0.0.111 0013.21ce.c270 Jul 30 2017 09:34 AM Automatic

Die Befehle lauten übrigens so:
cisco886va#debug ip dhcp server packet
DHCP server packet debugging is on.
cisco886va#debug ip dhcp server event
DHCP server event debugging is on.
cisco886va#

Log kommt gleich.
*Jul 29 10:01:29.293: DHCPD: client's VPN is .
*Jul 29 10:01:29.293: DHCPD: No option 125
*Jul 29 10:01:29.293: DHCPD: DHCPREQUEST received from client 0013.21ce.c270.
*Jul 29 10:01:29.293: DHCPD: Sending notification of ASSIGNMENT:
*Jul 29 10:01:29.293: DHCPD: address 10.0.0.111 mask 255.255.255.0
*Jul 29 10:01:29.293: DHCPD: htype 1 chaddr 0013.21ce.c270
*Jul 29 10:01:29.293: DHCPD: lease time remaining (secs) = 86400
*Jul 29 10:01:29.293: DHCPD: Appending default domain from pool
*Jul 29 10:01:29.293: DHCPD: Using hostname 'trump-HP-Compaq-dc7100-CMT-DX438AV.joseph.stalin.' for dynamic update (from hostname option)
*Jul 29 10:01:29.293: DHCPD: Sending DHCPACK to client 0013.21ce.c270 (10.0.0.111).DHCPD: Setting only requested parameters

*Jul 29 10:01:29.293: DHCPD: no option 125
*Jul 29 10:01:29.293: DHCPD: ARP entry exists (10.0.0.111, 0013.21ce.c270).
*Jul 29 10:01:29.293: DHCPD: unicasting BOOTREPLY to client 0013.21ce.c270 (10.0.0.111).

Entferne mal komplett den statischen Eintrag !! Der ist der dir das "Infinite Manual" in der Konfig beschert.
Normalerweise meckert der Cisco sofort wenn er für eine statische Mac auch eine aus dem Pool vergeben soll bzw. eine im Pool hat die du dann auch statisch konfigurierst das er das nicht macht.
Dadurf das diese fehlermeldung bei dir nicht kommt siehst du schon das du die Client Mac falsch eingegeben hast.
Auch die Tatsache das der rechner Trotz statischem Eintrag noch eine Pool IP bekommt zeigt das die Mac nicht richtig konfiguriert ist !
Wenn der statische Eintrag komplett weg ist, dann löschst du den DHCP lease cache mit clear ip dhcp bin * und lässt den Rechner nochmal eine IP nur aus dem Pool ziehen.
Dann gibst du ein sh ip dhcp bin ein und postest das mal hier.
Die Mac die dann dort in dem Output zu sehen ist muss hinter den Client Identifier. Normal müsste da sowas stehen wie 01ac.7f3e.e8be.3d also in deinem Falle dann 0100.1321.cec2.70

überzeug dich selbst, aber hier ist was definitiv falsch!
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
10.0.0.111 0013.21ce.c270 Jul 31 2017 09:16 AM Automatic
Man achte auf das fehlende 01 vor der MAC-Adresse.
Denn das ist so wie es mir jedes OS anzeigt: 00:13:21:CE:C2:70
kein 01 vornedran.

Wird diese Mac genau so auch im sh ip dhcp bin angezeigt ??
Das wäre sehr merkwürdig ?! Passiert das auch bei anderen statisch definierten Endgeräten oder ist das nur dieser eine einzige der aus dem Rahmen fällt ?
Ist das ein Linux Rechner ?? Wenn ja da gab es mal einen Bug in allen Debian basierten Distros zu dem Thema.
Ich habe noch nie einen Eintrag ohne die fehlende "01" in einer Cisco Konfig gesehen. Ist hier bei ca. 10 aktiven Routern aller Coleur ebenso.

der Rechner läuft mit Lubuntu, was auf Debian basiert. Da ist aber auch Windows installiert, mit dem ich das mal testen kann. Der Adapter ist ein Broadcom NetXtreme irgendwas, was aber damit wohl eher nichts zu tun haben darf.
die DC09 ist ein Android-Gerät, auch ohne 01 am anfang.
10.0.0.111 0013.21ce.c270 Jul 31 2017 09:16 AM Automatic
10.0.0.114 dc09.4c84.cd87 Jul 31 2017 10:42 AM Automatic

Aqui,

Zitat von @aqui:

Hier musst du auf das Mac Format achten, was du sicher falsch eingegeben hast !!
Cisco will es hier sehr genau wissen, denn es reicht nicht nur die nackte Mac anzugeben. Du musst im Least Significant Bit und dem folgenden Bit nach Standard definieren das es eine individual local administered address ist mit einem "01" davor.
https://de.wikipedia.org/wiki/MAC-Adresse#Besondere_Kennungen

Windows- und MAC-Clients senden in ihren DHCP-Requests einen Client-Identifier (DHCP option 61). Dieser wird über den Mediatype (für Ethernet 0x01) und die MAC-Adresse des Clients (z.B. 22-22-22-22-22-22) gebildet. Für statisches IP/MAC-Binding muss hier ein Pool angelegt und der client-identifier angeben werden.

ip dhcp pool Child-Pool-WIN
   host 192.168.1.201 /24
   client-identifier 0122.2222.2222.22

Für Clients die keinen Identifier senden (Linux, per default) wird der Eintrag hardware-adress, gefolgt von der MAC-Adresse des Clients (44-44-44-44-44-44) benutzt.

ip dhcp pool Child-Pool-LINUX
   host 192.168.1.200 /24
   hardware-address 4444.4444.4444

Weiterhin arbeitet Cisco IOS mit einer hierarchischen Pool-Struktur und einem Feature namens "attribute inheritance". Man kann Parent- und Child-Pools anlegen und dort definierte Attribute (außer lease-time) werden nach unten vererbt. In Child-Pools muss zum Beispiel der DNS-Server nicht nochmal angegeben werden, wenn dieser bereits im Parent-Pool definiert wurde.

ip dhcp pool Parent-Pool
   network 192.168.1.0 /24
   default-router 192.168.1.254 /24
   dns-server 192.168.1.254

Statische Host-IP-Adressen im LAN werden mit dem Befehl ip dhcp excluded-address (192.168.1.200 192.168.1.201) aus dem Parent-Pool für normale DHCP-Clients ausgeschlossen.

Lies mal diesen Link, dort ist es viel besser und genauer erklärt.

BB

mit hardware-address hats geklappt. Danke an alle.

Danke BitBurg für das Feedback. Wieder was gelernt. Mir war nicht bewusst das Linux per se keinen Identifier mitsendet. Zu faul mal den Wireshark anzuschmeissen.... Witzigerweise schicken embedded Devices auch auf Linux Basis diesen Identifier. Muss das mal mit dem RasPi checken...
Ich werde das gleich mal mit ins Tutorial aufnehmen.

kann man denn den Linux-Rechnern das senden der Identifier beibringen?

In der dhclinet.conf geht das mit option dhcp-client-identifier string;
https://linux.die.net/man/5/dhcp-options
https://serverfault.com/questions/667063/how-can-a-dhcp-client-in-linux- ...
Dr. Google hat zig Beispiele...

BTW: Wie kann ich mir die Sync-Raten des DSL-Modems anzeigen lassen?
sh int ATM0 zeigt nur BW. 766 an, was wohl der Upload-Bandbreite entspricht. Die Fritte syncte immer mit 765 Kbit/s.

Das macht das Kommando show controller vdsl 0 detail

Freu dich doch wenn der Cisco dir 1 kBit mehr Bandbreite bringt

folgende Zeile sagt was anderes, was aber unmöglich klingt:
Attainable Rate: 16280 kbits/s 1124 kbits/s
klingt nach erreichbar. Ist das nun das, was der DSLAM-max kann oder der wirkliche Sync? Der Upload kommt mir nämlich derzeit etwas langsam vor.
Denn laut der Fritte kann der DSLAM Max 768K bit/s UP und 15000 down!
Das widerspricht sich. Zudem kann der Cisco laut Beschreibung kein Annex J und synct deshalb mit Annex B, was auch im Log steht.

Das ist in der Tat die physisch mögliche Speed die der DSLAM kann.
Die ausgehandelte Geschwindigkeit steht unter "Speed (kbps)":

 		  DS Channel1	  DS Channel0	US Channel1	  US Channel0
Speed (kbps):	          0	       55504	         0	       10047
SRA Previous Speed:       0	           0	         0	           0 

DS=DownStream, US=UpStream
Es reicht auch das verkürzte Kommando: sh control vdsl 0

also laut dem Befehl synct der Cisco mit fast 15Mbit!, was laut der Fritte fast das Maximum des DSLAMs ist!. Aber es werden praktisch nur 1.5Mbytes/s übertragen.

1,5 x 8 = 12 Mbit/s. Wenn man den PPPoE Overhead abzieht stimmt es ja fast. Also durchaus realistisch.
Es ist ja nur das was der DSLAM physisch negotiated hat. Ob das Provider Backend das dann auch leifern kann ist eine ganz andere Frage.

Bei einem Gigabit Switch der mit einem 10Mbit Link an einem Internet Router hängt negotiated das Endgerät ja auch auf 1 Gbit/s aber physisch kann der Gig Link logischerweise nur 10 Mbit Durchsatz liefern....
Wenn du noch 10 aktive User auf dem Link hast dann nur 1 Mbit/s.
Gleiches Szenario wie an deinem DSLAM..... Die Geschwindigkeitsangaben bezeichnen lediglich was physisch direkt am Port möglich ist sagen aber nichts über den wahren Durchsatz aus.

Ich habe jetzt Dynamic DNS eingerichtet. DIe IP, die ein Ping mir mitteilt, passt auch zu meiner aktuelle IP. Der Webserver unter Port 9091 funktioniert auch von aussen (mit Tor getestet, aber nur mit direkter Eingabe der IP). Die Portweiterleitung tut also. Jetzt fehlt nur noch der Dynamische DNS, der noch nicht tut.

ip ddns update method myupdate
HTTP
add http://user:password@dynupdate.no-ip.com/nic/updatehostname=<h>&a ...;

ip ddns update hostname hostname.ddns.net
ip ddns update myupdate

Was ist daran jetzt noch falsch?

DIe IP, die ein Ping mir mitteilt, passt auch zu meiner aktuelle IP

Das ist jetzt etwas verwirrend und missverständlich... Du pingst den DynDNS Hostnamen und bekommst eine korrekte IP geliefert ??
Klasse, denn rennt ja alles wie es soll !
Oder pings du die direkt IP ?? Dann wäre die o.a. Aussage recht sinnfrei. Das ist also unverständlich.

Wenn der Update Hostname zu IP nicht klappt bzw. der Hostname keine IP zurückliefert, dann ist der Update URL falsch oder fehlerhaft.
Dazu solltest du nochmals ganz genau in die Anleitung deines DynDNS Providers sehen !!
Was sagt denn der Debugger ??

Bitte vergiss No-IP, in der freien Version nicht mehr benutzbar.

https://www.spdyn.de/ ist aktuell das beste DynDNS, was ich kenne.

Und den richtigen dazugehörigen Update URL findet man hier:
https://wiki.securepoint.de/SPDyn/FAQ#Wie_lautet_die_Update-URL_.3F

es tut jetzt, aber nicht wenn ich selbst direkt drauf zugreifen will, also von meiner eigenen IP aus. Von Tor aus ist der Zugriff mittels DNS-Namen jetzt möglich. Bei mir wird die Verbindung abgelehnt. Warum auch immer. Ist mir egal. Muss von aussen drauf.

Als Nächstes wäre eine Priorisierung der VoIP-Pakete von Nöten, denn bereits Torrent oder ed2k reichen aus, um das Telefon lahmzulegen. Entweder der Cisco kann VoIP-Pakete erkennen und automatisch priorisieren oder er muss alles, was von der Fritte kommt, die nur noch IP-Client ist, (10.0.0.20) priorisieren. Wie geht das?
Dazu fand ich leider in dem Tutorial nichts.

Hallo,

du kannst die entsprechenden Ports als Voice VLAN Ports konfigurieren:

switchport voice vlan xxx

brammer

mit Port ist der Port 5060 z.B. oder der physikalische Port Ethernet0 gemeint?
Du meinst, es wäre besser, die Fritte in ein eigenes VLAN zu tun und das vlan zu priorisieren?

Hallo,

der physikalische Port ....

Ja würde ich priorisieren....

brammer

wenn dann also Geräte an der Fritte per WLAN dran sind, sind die auch priorisiert. Ich werde das jetzt mal provisorisch einrichten, aber eine Erekknung der Daten würde mir besser gefallen.
Wie wäre denn die genaue Syntax für das Ganze?

Fritte ist an FastEthernet0
Wäre dann das fertige Kommando switchport voice vlan FastEthernet0

Nein, die Fritzbox kann mit dem Befehl nichts anfangen und den Voice-Befehl auch nicht umsetzen und auch nicht über WLAN weiterverteilen.

Die Telefone kommen an deinen 886VA-Router dran. Und da konfigurierst du die Voice-Option auf alle Access-Ports, an denen Telefone angeschlossen sind.

an der Fritte hängt aber ne ISDN-Analge. Daher muss dann der ganze Traffic der Fritte entweder IP-basiert oder Portbasiert (Ethernet) priorisiert werden. Es geht darum, dass nicht die Switche oder ähnliches das Problem sind, sondern die Internetverbindung. Wenn eMule den Upload ausreizt, dann ist incht genug platz für die 64k Pakete vom VoIP. UNd diese sollen priorisiert werden.

Hallo,

da ist aber ein Priorisierung nach außen die du willst ....
Das müsste dann dein Provider priorisieren... es sei denn er lässt dich seinen Router konfigurieren ....
Deine Fritte kann das eh nicht...
Das Voice VLAN ist nur für den internen traffic....

brammer

nein. Ich will, dass der Cisco den Trafic auf dem ATM Interface priorisiert. Alles, was VoIP ist, soll Vorrang bei der Übertragung zum DSLAM haben. Da muss schon der Cisco ran.

Halt, du schreibst ISDN-Anlage, dann hast du intern kein VOIP, sondern ISDN-Telefonie. Dann ist die VOIP-Diskussion komplett irrelevant, da die Telefonie in deiner Konstellation nicht mit der Netzwerkinfrastruktur in Berührung kommt.

Ich will, dass der Cisco den Trafic auf dem ATM Interface priorisiert. Alles, was VoIP ist, soll Vorrang bei der Übertragung zum DSLAM haben.

Und das geht schon zwei Mal nicht, da im Internet Best Efford herrscht. Solange du keine MPLS-Leitung als Internetleitung hast, gibt es WAN-/Providerseitig keine QoS-Priorisierung.

ihr versteht einfach noch nicht, was ich genau möchte. Die Fritzbox ist in diesem Falle der Ersatz für unser IP-Telefon. Alle Pakete, die dieses Gerät absendet, also die IP 10.0.0.20, sollen auf dem Weg zum Provider priorisiert werden. Also die Fritzbox konnte das, indem dann für andere Applikationen nicht so viel upstream verfügbar war.
WenneMule den kompletten Upstrem ausgelastet hat wird dieser einfach gedrosselt, sodass auf der DSL-Leitung noch genug Kapazität für VoIP verfügbar ist.
Und das muss ja auch beim Cisco gehen. Wenn da irgendwelche VoIP-Pakete kommen, sollen die eben priorisiert werden, was technisch kein Problem sei sollte. Der Cisco soll dann den Rest einfach drosseln, so wie es die Fritte auch gemacht hat.

Zitat von @Windows10Gegner:

Alle Pakete, die dieses Gerät absendet, also die IP 10.0.0.20, sollen auf dem Weg zum Provider priorisiert werden.

Das geht nicht, siehe mein Post oben dran.

Also die Fritzbox konnte das, indem dann für andere Applikationen nicht so viel upstream verfügbar war.

Dann musst du das richtig definieren, das ist keine Priorisierung, sondern Bandbreitenreservierung. Und das hat auch nichts mit dem Provider zu tun, das passiert lokal auf deinem Router.

und genau das meine ich. Wenn also VoIP genutzt wird, wird die reservierte Bandbreite genutzt. Und wie richte ich das lokal auf meinem Router ein?

ihr versteht einfach noch nicht, was ich genau möchte.

Und du verstehst nicht wie Provider agieren.
Sämtliche Priorisierungen auf Basis von DSCP werden vom Provider am Eingangs DSL Router abgestrippt und auf 0 gesetzt.
Ist auch klar, denn wenn er das nicht machen würde könnte man sich so als User Vorteil in dessen netzwerk verschaffen.
Das kannst du also vergessen....
Das einzige was du machen kannst ist also deinen Traffic lokal im Router zu priorisieren, das der immer VOR allen anderen Pakete rausgeht sofern der Router mal überlastet.
Priorisierung greift nur im Congestion Fall (Überlast) es sei denn du konfigurierst sog. Strict Priority was aber nicht sein muß.
Wie das geht wird hier besser erklärt:
http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-pa ...
Es ist rechjt einfach. Du klassifizierst deinen Voice Traffic über eine ACL und priorisierst den im Router am WAN Port.
Idealterweise setzen deine Voice Endgeräte die DSCP Bits schon von sich aus. Das ist immer besser als sie im Switch oder Router erst klassifizieren zu müssen.
Normalerweise machen alle Voice Geräte das (DSCP 46). Ob das bei dir der fall ist sagt dir immer der Wireshark.

diese DSCP Bits müsste dann die Fritte setzen. Wie finde ich das mit Wireshark raus?
Die VoIP Pakete sollen vor allen anderen Paketen an meinem Router gesendet werden.
Wie bringe ich das dem Cisco bei?

Wäre das dieser Teil?
bandwidth 5000
ip address 192.168.126.134 255.255.255.252
rate-limit output access-group 150 8000 1500 2000 conform-action
set-dscp-transmit 10 exceed-action set-dscp-transmit 20

Angepasst dann so?
int Dialer0
bandwidth 128 (Kbit)
ip address 10.0.0.20 (255.255.255.0?)
rate-limit output access-group 150 8000 1500 2000 conform-action
set-dscp-transmit 10 exceed-action set-dscp-transmit 20

diese DSCP Bits müsste dann die Fritte setzen

Ja, in der Regel tun sie das auch auf DSCP 46 (EF = Expedited Forwarding). So gut wie alle Telefone und VoIP Adapter machen das weil auch viele Billigswitches heute schon per dewfault DSCP markierte Frames priorisieren.
http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus1000/sw/4 ...
Du solltest mal mit dem Wireshark checken ob das so gemacht wird.
Das Rate Limiting ist falsch oder muss nicht sein. Es reicht eigentlich wenn man dem Router sagt das er die entsprechend DSCP gelabelten Voice Pakete immer in die höchste Queue priorisieren soll (Strict Prio). Dann schickt der Router VoIP Paket immer zuerst raus.
Das reicht in der Regel vollkommen bei Voice.
Das bandwith Kommando hat übrigens rein gar nix mit irgendwie geartetem QoS zu tun.
Das ist lediglich ein Parameter damit der Router die eigne % Auslastungsanzeige auf dem Interface richtig berechnen kann.
Er kann z.B. nicht wissen wenn der DSLAM dynamisch 16Mbit am Dialer aushandelt das das Interface dann 16 Mbit hat. Das kannst du ihm dann mit dem bandwith Kommando sagen. Ansonsten nimmt Cisco auf Dialer Interface m.W. immer 64kBit als Default.
Das hat mit QoS wie gesagt nicht das Geringste zu tun.

1.
Wie prüfe ich mit dem Wireshark das gnaze nach? Ich habe damit leider keinerlei Erfahrung.

2.
Wenn die Fritte dann die DSCP Parameter 46 mitsendet, wie teilt man dann dem Cisco mit, dass er die markeirten Pakete zuerst schicken soll?

Der Wireshark dröselt dir alle Bits in einem Ethernet Paket mundgerecht auf:

Hier siehst du ein Paket wo der DSCP Wert auf 48 (CS 6) gesetzt ist.
Du musst einfach nur ein paar Voice oder SIP Pakete deiner Telefonie Komponenten mitsniffern um zu checken ob die DSCP Werte entsprechend setzen und auf welchen Wert.

Die Konfigs findest du alle im Cisco QoS Configuration Guide:
http://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/Q ...

dann muss ich aber am Router mitsniffen, denn durch den gehen die Pakete durch. Wie mache ich das?

Wird das dann beim Cisco so eingerichtet?

access-list 100 permit udp any any range 16384 32000

access-list 100 permit tcp any any eq 1720

access-list 101 permit tcp any any eq 80

access-list 102 permit tcp any any eq 23

!

class-map voip 

 match access-group 100

class-map data1

 match protocol

class-map data2 

 match access-group 102

!

policy-map llq 

 class voip 

  priority 32 

 class data1 

  bandwidth 64 

 class data2 

  bandwidth 32 

 class class-default 

  fair-queue

oder so

access-list 100 permit udp any any range 16384 32000

access-list 100 permit tcp any any eq 1720

access-list 101 permit tcp any any eq 80

!

class-map voip 

 match access-group 100

class-map webtraffic 

 match access-group 101

!

policy-map dscp_marking 

 class voip 

  set ip dscp 46   #EF Class 

 class webtraffic 

  set ip dscp 26   #AF Class

!

interface Ethernet0/0 

 service-policy input dscp_marking

Du kannst dir auf dem Router einen Mirror Port generieren und dann dort messen.
Oder mit 2 NICs am Wireshark PC eine Bridge bauen, das geht auch.
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...

Was die Konfig angeht musst du KEIN Marking machen wenn die Pakete durch die Voice Endgeräte schon mit DSCP "gemarkt" sind.
Dann reicht einfaches Priority Queueing über die Policy Map.

Was das Mirroring angeht, ist dann das hier richtig: http://www.nwlab.net/tutorials/cisco/port-mirroring.html
Dann, wie finde ich mit dem Wireshark dir richtigen Pakete?

Wenn man das Marking weglassen kann, wie sieht dann die Config aus?
Leider ist die Beschreibung von Cisco zu komplex für meinen Wissensstand.

Jau, das ist richtig. Port Mirroring ist das richtige Stichwort.

Dann, wie finde ich mit dem Wireshark dir richtigen Pakete?

Das ist ganz einfach. Du hast mehrere Optionen:
Du kennst ja die IP Adressen deiner Voice Endgeräte oder der VoIP Anlage.
Diese IP gibst du im Capture Filter des Hais an, dann sniffert er nur Traffic für diese IP.
Anders kannst du ihn aber auch alles sniffern lassen und filterst nachher mit dem Display Filter das raus was dich interessiert.
Das ist kinderleicht...
Hier findest du ein gutes Anfänger Tutorial:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html

ich habe den Traffic der Fritte mitgesnifft, es wird aber nichts mit Traffic Class gezeigt. Es muss also manuell markiert werden.
WIe markeire ich den Traffic nun?
Und wie priorisiere ich den nun auf dem lokalen Router, sodass VoIP immer zuerst geschickt wird?

PS: Das VPN konnte ich jetzt mal alleine einrichten.
Update: Man kann die Pakete mit Tags versehen, muss dies aber explizit einrichten.

Das ist dumm. Was hast du denn da für Komponenten das die das nicht können ?? Normal macht das jedes Baumarkt VoIP Telefon oder Anlage....?!
OK, wenn es partout nicht geht, dann musst du natürlich selber klassifizieren.
Das geht über eine ACL mit denen du diese Komponenten selektierst und den entsprechenden IP Adressen der Komponenten. Oben hattest du das schon richtig gemacht mit der Policy Map.

Man kann die Pakete mit Tags versehen

Das wäre falsch. Tags sind ja VLAN Tags und damit meinst du vermutlich eine Layer 2 Priorisierung nach 802.1p.
Die ist für dich sinnlos, denn die wirkt nur im Layer 2. Dein Router arbeitet wie jeder Netzwerker weiss aber auf Layer 3.
802.1p könnte der Router gar nicht lesen und erkennen.

keine Angst. Ist schon das richitge, ich habe jedoch mich falsch ausgedrückt.

Da müsste dann 46 eingetragen werden.

2. Von aussen wird jeder Ping und die VPN-Verbindung abgewiesen. Muss nochmal die ACLs überprüfen.

Da hast du dann eine falsche oder fehlerhafte Firewall Konfig bzw. CBAC ACL konfiguriert ?! Richtig wäre bei IPsec VPNs:
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!
interface Dialer0
description xDSL Einwahl Interface Internet
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
(access-list 111 permit icmp any any echo-request) --> Lässt eingehende Pings zu *)
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any <-- VoIP (SIP)
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any
access-list 111 permit udp any any eq 500
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any

*) Eingehende Pings solltest du aber besser nur testweise mal zulassen. Generell ist es kontraproduktiv die Firewall dafür zu öffnen, denn bei zigtausend Angriffen pro Tag auf die WAN IP zeigt man so potentiellen Angreifern das hier was zu holen ist.
Besser also die Firewall antwortet eben nicht auf ICMP Echo Requests.

Die fettgedruckten Parameter lassen eingehende IPsec VPN Verbindungen zu.
Nutzt du L2TP VPNs mit ESP Tunneling musst du noch:
access-list 111 permit tcp any any eq 1701
hinzufügen zu obigen 3 Zeilen.

Nutzt du PPTP als VPN Protokoll dann musst du das ändern und die 3 Zeilen ersetzen mit:
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any **

Wie immer bitte ins Cisco Tutorial sehen und lesen, dort sind für alle VPNs explizit die ACLs und Ports beschrieben:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Falls du eine modernere ZFW Firewall Konfig betreibst findest du hier die richtigen Einstellungen dafür:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/98628-z ...

man wirds nicht glauben, aber das VPN habe ich selbst hinbekommen, indem ich einfach wieder alles wie im Tut beschrieben gemacht habe. Hatte es nicht gesichert und neugestartet. Dann war natürlich alles futsch.
Wie oben beschrieben habe ich nun die Einstellung für die Klassizifierung gefunden.
Ich habe jetzt bei beiden Feldern 46 eingetragen. Jetzt muss das nur noch geprüft werden. Wie lautet nun die Syntax zum Priorisieren?

Hatte es nicht gesichert und neugestartet. Dann war natürlich alles futsch.

Klassischer Anfängerfehler !

Das wr solltest du immer fest einprogrammieren in deine Finger

und wie macht man jetzt die Priorisierung? Die Cisco Website ist mir dafür leider etwas zu kompliziert, da zu viele Möglichkeiten genannt werden.

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments