g-ka
Goto Top

Konfiguration Cisco 1921 Router in Verbindung mit T-DSL Business (Flatrate mit dynamischer IP)

Verbindungsaufbau klappt nicht. Dem Router wird vom Internetprovider keine IP zugewiesen.

Hallo!

Wenn ich die Eingabewerte meines bisherigen Routers, mit dem die T-DSL-Einwahl problemlos funktioniert, auf einen Cisco-1921-Router übertrage, klappt die Einwahl bei TDSL-Business nicht. Woran kann das liegen?

Screenshots:

44fc43852c9745d479e34a13fef495ba

81f364b30b7a3ee8baab20bc6a864fa5

d5eb09b298c078419d8f230cdb7c9972

Als DSL-Modem wird ein Telekom Speedport 201 verwendet.

Vielen Dank vorab.

Content-Key: 177833

Url: https://administrator.de/contentid/177833

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: aqui
aqui 17.12.2011, aktualisiert am 08.01.2022 um 20:44:57 Uhr
Goto Top
Siehe auch: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Beachte das der Username bei TDSL Business zwingend in der folgenden Notation eingegeben werden muss:
Benutzername bei dynamischer IP: t-online-com/xxxxxxxxxxxx@t-online-com.de
Benutzername bei fester IP: feste-ip/xxxxxxxxxxxx@t-online-com.de


Ein lauffähige Internet Zugangs Konfiguration auf deinem 1921 Router mit dynamischer TDSL Business IP sähe dann so aus:
!
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname cisco1921
!
enable secret Geheim
!
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
ip dhcp excluded-address 172.16.10.1 172.16.10.100
ip dhcp excluded-address 172.16.10.150 172.16.10.254
!
ip dhcp pool c1921
network 172.1610.0 255.255.255.0
default-router 172.16.10.254
dns-server 172.16.10.254
domain-name gka.test
lease 3
!
ip inspect name myfw tcp
ip inspect name myfw udp
!
interface Ethernet0
description Lokales LAN
ip address 172.16.10.254 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
ip tcp adjust-mss 1452
!
interface Ethernet1
description DSL Modem SP 201
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin T-Online TDSL Business (dyn. IP)
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username t-online-com/xxxxxxxxxxxx@t-online-com.de password Geheim
ppp ipcp dns request
ppp ipcp mask request
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
ip http secure-server
!
ip dns server
ip nat inside source list 103 interface Dialer0 overload
!
access-list 23 permit 172.16.10.0 0.0.0.255
access-list 103 permit ip 172.16.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any --> (nur für PPTP Dialin erforderlich !)
access-list 111 permit tcp any any eq 1723 --> (nur für PPTP Dialin erforderlich !)
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 103
!
banner motd .

GKA sein Router !!
Fingergrabbing and pressing the cnoeppkes from the routers is
allowed for die experts only! So all the “lefthanders” stay away
and do not disturben the brainstorming von here working
intelligencies. Otherwise you will be out thrown and kicked
anderswhere! Also: please keep still and only watchen astaunished
the blinkenlights.
.
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end

Damit klappt deine TDSL Business verbindung dann auf Anhieb. "xxxxx" im Username String ist dann dein TDSL Business Username !

Willst du zusätzlich den Router über DynDNS erreichbar machen um z.B. mit einem PPTP VPN remote aufs lokale netzwerk zuzugreifen musst du noch folgende Einstellungen ergänzen:
DynDNS: (Global Kommando)
ip ddns update method dyndns
HTTP
add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!

PPTP VPN Dialin für remoten Zugriff:
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password geheim
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered Ethernet 0
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 172.16.10.240 172.16.10.250
!

Details zum PPTP VPN Dialin
VPNs einrichten mit PPTP

Ist eigentlich eine kinderleichte Standardkonfig die in 3 Minuten erledigt ist !!
Mitglied: G-KA
G-KA 17.12.2011 um 21:33:30 Uhr
Goto Top
Vielen Dank für die Rückmeldung.

Den Benutzernamen habe ich in der genannten Form eingegeben. Das ist ja auch aus dem ersten Screenshot ersichtlich.

Wie kann ich denn die obige Konfigurationsliste mit der Cisco Configuration Professional Software zum direkten Vergleich erzeugen bzw. abrufen?

Kann es eventuell sein, dass der Router erst längere Zeit prüft, ob alle Werte ok sind und dann erst nach einer gewissen Zeit die externe IP bezieht?
Mitglied: aqui
aqui 17.12.2011 um 22:05:12 Uhr
Goto Top
Nein, der Router ist sofort online wie alle anderen Router auch.
Deine aktuelle Konfig bekommst du raus indem du den Router einfach per Telnet (Putty) im loklaen LAN ansprichst oder mit Putty oder TeraTerm über den seriellen Konsol Anschluss. Terminal auf 9600 Baud, keine Parity, ein Stopbit, 8 Datenbit und keine Flow Control einstellen.
Einloggen mit deinem Passowort, dann enable eingeben und dann gibst du show run ein...et voila..da ist deine aktive config !
Es macht Sinn die hier mal anonymisiert zu posten um zu sehen wo dein Fehler ist.
Mitglied: G-KA
G-KA 17.12.2011 um 22:49:27 Uhr
Goto Top
ciscorouter#show run
Building configuration...

Current configuration : 2397 bytes
!
! Last configuration change at 21:17:23 UTC Sat Dec 17 2011 by xxxxxxx
! NVRAM config last updated at 21:17:24 UTC Sat Dec 17 2011 by xxxxxx
!
version 15.0
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret xxxxxx
enable password xxxxxx
!
no aaa new-model
!
no ipv6 cef
ip source-route
no ip routing
no ip cef
!
!
!
!
ip name-server 192.168.xx.xx
ip ddns update method ccp_ddns1
HTTP2
add http://xxxx:xxxx@members.dyndns.org/nic/update?system=dyndns&host
name=<h>&myip=<a>
remove http://xxxx:xxxx@members.dyndns.org/nic/update?system=dyndns&h
ostname=<h>&myip=<a>
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1921/K9 sn xxxxxxxx
!
!
username xxxxx privilege 15 secret xxxx
!
!
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$
ip address 192.168.xx.xx 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
ip tcp adjust-mss 1412
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/1
description $ETH-WAN$
no ip address
no ip route-cache
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer0
ip address dhcp
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 2147483
dialer-group 1
ppp authentication pap callin
ppp pap sent-username t-online-com/xxxxxxxx@t-online-com.de password 0 xxxx
xxxx
!
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
privilege level 15
password xxxx
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end
Mitglied: aqui
aqui 18.12.2011 um 01:19:39 Uhr
Goto Top
Die Fehler kannst du ja schon sehen wenn du beide Konfigs mal vergleichst !!
Der Kardinalsfehler ist dein abgeschaltetes Routing mit "no ip routing" !!
Damit routet der Router logischerweise gar nicht. Klar das dann alles tot ist.
DHCP auf dem Dialer Interface zu machen wo PPP aktiv ist, ist natürlich auch völliger Unsinn ! Dort muss "negotiated" stehen !
Außerdem fehlt deine Default Route ! Alles Dinge die in die Sackgasse führen, man mit etwas Nachdenken aber sofort erkennt...
Mit conf t und dann ip routing <ctrl z> und wr ist das Problem behoben und alles sollte klappen...
Mitglied: G-KA
G-KA 18.12.2011 um 01:59:55 Uhr
Goto Top
Vielen Dank für die Rückmeldung.

Wie genau ist dieser Teil des letzten Satzes zu verstehen: "Mit conf t und dann ip routing <ctrl z> und wr ....."?

Wie würde das Problem mittels der Software "Cisco Configration Professional" zu lösen sein?
Mitglied: aqui
aqui 18.12.2011 um 10:49:33 Uhr
Goto Top
Keine Ahnung wie das mit dem Klicki Bunti Mist geht. Das macht so oder so nicht alles korrekt. Richtige IT Männer nutzen das CLI und nicht so einen Mist für Weicheier der eh nie richtig funktioniert wie man an deinem Beispiel ja sieht !! face-wink
Also du gehst auf die Konsole oder machst ein Telnet und loggst dich ein. Am Kommando Prompt gibst du ein:
Router> enable
Passwort eingeben...
Router#conf t (In den Konfig Modus gehen)
Router#(config)ip routing (Kommando eingeben, übrigens so gibt man alle Kommandos aus der o.a. Konfig ein !)
Router#(config) <ctrl z> oder exit (Konfig Modus verlassen)
Router# wr (Konfig abspeichern)
Router# show run (Konfig ansehen und kontrollieren ob alle Kommandos richtig sind.
Router# exit (Login verlassen)

So einfach ist das mit dem CLI ...man muss nur wollen ! Basis Infos dazu findest du hier:
http://www.cisco.com/en/US/docs/wireless/mwam/user/guide/CLI.pdf
Mitglied: G-KA
G-KA 18.12.2011 um 13:31:32 Uhr
Goto Top
Ok, ich habe das entsprechend durchgeführt und der betreffende Abschnitt in der show-run-Auflistung lautet nun wie folgt:

!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!

Außerdem habe ich noch mittels der Cisco CP Software die Einstellungen bei "ip tcp adjust-mss" von 1412 auf 1452 erhöht.

Aber mit dem Beziehen der IP vom Internetprovider klappt es nach wie vor nicht. Was könnte sonst noch der Grund sein, dass es nicht klappt?


In der nachfolgend aufgeführten Zeile von Ihren Routereinstellungen dürfte übrigens wohl ein Punkt fehlen:
network 172.1610.0 255.255.255.0

Da ich übrigens nicht gerade der geborene Kryptiker bin, finde ich die "Klicki-Bunti-Overfläche" der Cisco CP Software schon angenehmer als CLI-Eingaben, wenngleich die Oberfläche der Cisco CP Software im Vergleich zu Webinterfaces, wie z. B. von Qnap-Netzwerkspeichern, meiner Meinung nach nicht gerade der absolute Hit ist.
Mitglied: dog
dog 18.12.2011 um 14:00:22 Uhr
Goto Top
Aber mit dem Beziehen der IP vom Internetprovider klappt es nach wie vor nicht.

Du:
ip address dhcp

aqui:
ip address negotiated
Mitglied: aqui
aqui 18.12.2011 um 14:11:15 Uhr
Goto Top
Kollege dog hat Recht, das ist der Fehler !! Deshalb oben ja auch der Hinweis die Konfigs zu vergleichen, denn das Beispiel ist eine aktiv funktionierende Konfig !! Bei einem PPPoE Zugang gibt es logischerweise kein DHCP !!
Änder das entsprechend und dann klappt das auch !
Für dich als "Nichtkryptiker":
Router> enable
Passwort eingeben...
Router#conf t (In den Konfig Modus gehen)
Router#(config)int dialer 0
Router#(config-int) ip address negotiated
Router#(config) <ctrl z> oder exit (2 mal um Konfig Modus verlassen)
Router# wr (Konfig abspeichern)
Router# show run (Konfig ansehen und kontrollieren ob alle Kommandos richtig sind.
Router# exit (Login verlassen)

Mit Kryptik hat das übrigens nix zu tun. Das CLI ist viel übersichtlicher und logischer und macht dann auch das was man ihm so sagt und nicht Mist die mit verkehrten Mausklicks in die Konfig kommen !
Aus Sicherheitsgründen solltest du auch besser noch sagen "no ip source-route" !
Zudem fehlt bei dir auch die Default Route "ip route 0.0.0.0 0.0.0.0 dialer 0" was ein Zugriff aus dem interen LAN ins Internet verhindert. (Soviel zum Thema Klicki Bunti...)

"show ip int" zeigt dir übrigens ob du eine gültige Provider IP per PPPoE auf dem dialer 0 Interface bekommen hast.

Noch ein Tip: Das Zulassen von HTTP und Deaktivieren von HTTPS und auch der globale unsichere Telnet Zugang ohne ACL Restriktion auf einem Internet Router ist ziemlich fahrlässig um das mal ganz vorsichtig auszudrüchen !
Mal ganz abgesehen vom Deaktivieren jeglicher Firewall Funktion auf dem Router was auch ein ziemliches sicherheitstechnisches no go ist. Damit gehst du ein erhebliches Risiko ein was die Kompromitierung des Routers anbetrifft.
Wenn also deine IP Adressvergabe funktioniert und du Internet Zugang hast solltest du das besser schnellstens noch aktivieren.
Die dazu relevanten Konfig Schritte zeigt dir ebenfalls die Beispielkonfig von oben Die du nach Anpassung auf deine IP Adressierung einfach 1 zu 1 abtippen kannst (für Winblows Klicki Bunti Knechte face-wink !)
Mitglied: G-KA
G-KA 18.12.2011 um 15:14:37 Uhr
Goto Top
Obige Änderungen habe ich durchgeführt, aber funktionierten tut´s noch immer nicht, wenngleich man einen Schritt weitergekommen ist, denn der Connectivity Test macht nun bei "Checking interface IP" address ein Häckchen, während er bei "Checking exit interface" als Ergebnis "failed" anzeigt.

Als Failure Reasons wird angegeben: To test connecitivity, Cisco CP tries to ping the configured DNS servers. However, there is no configured route to any of the DNS servers through the selected interface.


Ich würde eigentlich gerne einen Screenshot einfügen, aber die entsprechende Taste im Forum ist nun nicht mehr verfügbar.

Das Ändern der Einstellungen von "ip tcp adjust-mss" von 1412 auf 1452 mittels Cisco CP Software hat übrigens nicht geklappt.

Ist eigentlich der Befehl "wr" das gleiche wie der Befehl "copy running-config startup-config" ? Wie lautet denn der Cisco-Link zu einem pdf-Dokument, wo man beispielsweise die Shortcut-Befehle nachlesen kann?

Die aktuelle Konfiguration sieht damit wie folgt aus:

Building configuration...

Current configuration : 2351 bytes
!
! Last configuration change at 14:40:19 UTC Sun Dec 18 2011 by xxxxxx
! NVRAM config last updated at 14:40:03 UTC Sun Dec 18 2011 by xxxxxx
!
version 15.0
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxxxx
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxx
enable password xxxxxxxx
!
no aaa new-model
!
no ipv6 cef
no ip source-route
ip cef
!
!
!
!
ip name-server 192.168.0.xx
ip ddns update method ccp_ddns1
HTTP
add http://xxxxx:xxxxxx@members.dyndns.org/nic/update?system=dyndns&hos ...
name=<h>&myip=<a>
remove http://xxxxxx:xxxxxx@members.dyndns.org/nic/update?system=dyndns&h
ostname=<h>&myip=<a>
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1921/K9 sn xxxxxx
!
!
username xxxxxx privilege 15 secret 5 xxxxxxxx.
!
!
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$
ip address 192.168.0.xx 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/1
description $ETH-WAN$
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 2147483
dialer-group 1
ppp authentication pap callin
ppp pap sent-username t-online-com/xxxxxxxx@t-online-com.de password 0 xxxx
xxxx!
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
privilege level 15
password xxxxxxxx
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end
Mitglied: aqui
aqui 18.12.2011 um 19:45:10 Uhr
Goto Top
Scheinbar liest du dir die Feedbacks hier nicht richtig durch ! Dzzzz.... face-sad
Es fehlt immer noch die Default Route !!!
ip route 0.0.0.0 0.0.0.0 dialer 0
Ohne die können doch Endgeräte aus dem lokalen Netz gar NICHT ins Internet.... logisch !!
Ein Ping ins Internet geht dann logischerweise auch nur von der Konsole des Ciscos selber !
Sinnvoll wäre auch mal der Output von show ip int gewesen ob eine IP Adresse am dialer 0 Interface vergeben wirde, was dann die dynamische IP des Providers ist !
Die Angabe eine lokalen DNS servers ist auch völliger Unsinn, denn der Router benötigt ja einen DNS des Providers, nicht aber einen aus dem lokalen Netz.
Füge also folgende Kommandos dem Dialer 0 Interface hinzu:
ppp ipcp dns request
ppp ipcp mask request

und als Globales Kommando:
ip dns server

Damit ist der Router dann Proxy DNS und bekommt immer die aktuelle Provider DNS IP per PPPoE übermittelt. Wenn du einen lokalen DNS für die Clients hast dann konfigurierst du auf diesem eine DNS Weiterleitung an die lokale LAN IP des Cisco Routers (192.168.0.xx), denn der ist ja nun DNS Proxy wie es sich gehört !
Ist das geschehen sollte ein ping www.heise.de oder ping ping 8.8.8.8 (Google) von der Cisco Konsole ein paar Ausrufezeichen ergeben was dann eine erfolgreiche Internet verbindung anzeigt !
Zwingend musst du mit mit "no ip name-server 192.168.0.xx" deinen lokalen DNS entfernen !!
Also hier nochmal deine To Do's:
  • Default Route eintragen !
  • Lokalen DNS Server entfernen !
  • ppp ipcp dns request und ppp ipcp mask request unterm Dialer 0 Interface konfigurieren !
  • ip dns server global konfigurieren.
  • Ggf. "sh ip int" vom Dialer 0 Interface hier posten.
  • Pings wie oben angegeben von der Cisco CLI Konsole testen
Fertisch.
Die Kommando Syntax hast du auf der Reihe ??
Router> enable
Passwort eingeben...
Router #conf t (In den Konfig Modus gehen)
Router#(config ) ip route 0.0.0.0 0.0.0.0 dialer 0
Router#(config ) no ip name-server 192.168.0.xx
Router#(config )int dialer 0 (Kommando eingeben, übrigens so gibt man alle Kommandos aus der o.a. Konfig ein !)
Router#(config-if)ppp ipcp dns request
Router#(config-if)ppp ipcp mask request
Router#(config-if)exit
Router#(config ) ip dns server
Router#(config) <ctrl z> oder exit (Konfig Modus verlassen)
Router# wr (Konfig abspeichern)
Das wars
Danach Ping usw.
Und ja.... wr (die Kurzform von "write") ist das gleiche wie "copy running-config startup-config". Du kannst jedes Kommando abkürzen wenn es eindeutig ist.
Mit "?" kannst du immer die Syntax sehen und mit der <TAB> Taste komplettiert das CLI automatisch.
CLI Howtos gibt es zuhauf im Internet wenn man mal nach CLI Basics oder Grundlagen per Google sucht !
Mitglied: G-KA
G-KA 18.12.2011 um 22:09:35 Uhr
Goto Top
Mit den vorgenommenen Änderungen lässt sich nun mit dem Cisco-Router eine Internetverbindung herstellen.

Wenn man allerdings die Zeile no ip name-server 192.168.0.xx löscht, kommt es beim Connectivity-Test zu folgendem Fehler:
Checking for DNS-Settings: DNS configuration check has failed. Thre are no DNS servers configured on the router.
Insofern habe ich die Zeile wieder reingemacht, wobei die IP auf meinen Windows-Server verweist, der ja auch als DNS-Server fungiert. Der Windows-Server muss
aber nicht angeschlossen sein, damit der Connecitvity-Test erfolgreich verläuft.

Außerdem habe ich noch den Befehl ip http secure-server eingegeben. In der Konfigurationsliste wurde daraufhin unter anderem nun auch ein SSL-Certifikat abgelegt.
Allerdings klappt die Verbindung zum Server mittels Cisco CP Software noch nicht, wenn das Häckchen bei "secure" gesetzt ist. Muss ich eventuell das Zertifikat auf dem
Rechner installieren, auf dem die Cisco CP Software läuft? Wenn ja, wie?

Bei der Eingabe des Befehlts ip http secure-server wurde übrigens folgendes im CLI-Fenster angezeigt:

ciscorouter(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

ciscorouter(config)#
Dec 18 21:06:25.257: %SSH-5-ENABLED: SSH 1.99 has been enabled
Dec 18 21:06:25.357: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "writ
e memory" to save new certificate

Welche Bedeutung hat hierbei der letzte Satz?

Außerdem wundert mich, dass trotz funktionierender Verbinung in der Cisco CP Software anscheinend nirgends die externe IP angezeigt wird.

Desweiteren würde mich noch interessieren, was bezüglich des unsicheren Telnet-Zugangs ohne ACL Restricition (was auch immer das ist...) zu tun ist und wie man die Firewall-Funktionen aktiviert.
Mitglied: aqui
aqui 19.12.2011 um 11:36:13 Uhr
Goto Top
Vergiss doch endlich mal diesen Blödsinn mit dem Connectivity Test. Das ist doch Speilerei für Dummies auf der GUI die nicht wissen was sie tun. Die Fehlermeldung ist auch logisch, denn der Router bekommt den DNS Server ja erst dynamisch mit der PPP Verbindung mitgeteilt. In so fern schlägt der Connectivity Test fehl.
Für die Funktion ist das völlig unerheblich. Wenn dann müsste man den DNS Server fest auf einen aus dem T-Com Business DSL IP Netzwerk einstellen, das wäre dann sinnvoll. Folgende Server kannst du nehmen je nachdem welcher am nächsten dran ist bei dir:
Hannover: 194.25.0.60, Frankfurt: 194.25.0.68, Leipzig: 194.25.0.52
Aber egal wenn nun alles klappt ist ka gut !
Dec 18 21:06:25.357: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate
Weist dich darauf hin das der Router ein self signed Zertifikat erzeigt hat was er ja auch muss für eine HTTPS verbindung. Da die erstmal nur im RAM existiert weist er dich vorsorglich nochaml daraufhin das du auch ein "wr" ausführst um dieses Zertifikat auch fest im Konfigurations Flash Speicher absicherst, damit es nach dem ersten Reboot des Routers nicht im Nirwana verschwindet ! Im Gegensatz zu Billigsystemen "denkt" dieser Router also mit face-wink
Was die externe IP anbetrifft kannst du diese sehen mit dem Kommando "show interface dialer 0" oder "show ip int" wie oben schon mehrfach angemerkt.
Vergiss bitte diese unsägliche CP Software und benutze das CLI. Dort bekommst du verlässliche Informationen mit dem "show" Kommando. Eine "show ?" sagt dir welche Optionen du hast.
ACL = Access Liste = Zugriffs Liste !!
Zur Zeit ist dein Router über alle Zugänge erreichbar, was ihn angreifbar macht.
Wenn du 5 Minuten investierst und dir doch oben einmal die Konfiguration genauer ansiehst erkennst du die Sicherheitsmechanismen:
access-list 23 permit 172.16.10.0 0.0.0.255
(Übersetzt: Access Liste mit laufender Nummer 23 erlaube alles was als Absender IP die 172.16.10.x hat)
Limitiert den Zugang nur aus dem lokalen Netzwerk ! Zugriffe mit anderen Absender IPs blockiert der Router dann (Bei dir wäre das analog dann "access-list 23 permit 192.168.0.0 0.0.0.255")
Diese Access Liste (ACL) lässt man dann auf das Telnet und SSH Interface los:
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh

Damit ist dann schon mal ein Konfigurations Zugriff nur einzig aus dem lokalen Netzwerk möglich !
Die Firewall aktivierst du global mit:
ip inspect name meinefw tcp
ip inspect name meinefw udp

Dann bindest du die Firewall Funktion auf das Internet Interface:
interface Dialer0
description Dialin T-Online TDSL Business (dyn. IP)
ip address negotiated
ip access-group 111 in
-->> (aktiviert die Accessliste Nr. 111 auf diesem Interface die alles eingehende blockt was nicht erlaubt ist !)
ip inspect meinefw out

Sehr Wichtig ist dann noch die Einrichtung der Access Liste 111:
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
--> (nur für PPTP remote VPN Dialin auf den Router erforderlich !)
access-list 111 permit tcp any any eq 1723
--> (nur für PPTP remote VPN Dialin auf den Router erforderlich !)
access-list 111 deny ip any any log

Die bewirkt das ICMP und andere Dienstpakete die FW problemlos passieren können.
Das "log" Statement am letzten Kommando kannst du auch weglassen. Es loggt dir aber alle externen Angriffe auf den Router mit im Systemlog und bietet dir dann mal einen Überblick was der so aushalten muss. Da wirst du sicher überrascht sein wie schnell wieviel Angriffe auf das System stattfinden !
Mit "show logg" kannst du dir das Systemlog ansehen. (clear logg löscht das aktuelle Log) Ggf. solltest du noch die Uhrzeit setzen mit einem NTP Server damit der Router automatisch immer die richtige Zeit hat mit dem Kommando "ntp server ntp1.t-online.de". Zusätzlich die autom. Sommerzeit einstellen mit:
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

Wenn du das alles so übernimmst ist dein System wasserdicht !
Mitglied: G-KA
G-KA 19.12.2011 um 12:11:42 Uhr
Goto Top
Vielen Dank für die ausführliche Rückmeldung. Ich werde das Ganze kurzfristig umsetzen.

Die Cisco CP Software werde ich schon allein wegen der Monitoring-Funktionen sicherlich weiterhin einsetzen. Was dürfte der Grund gewesen sein, dass der Verbindungsaufbau zur Cisco CP Software bzw. das Discovery-Funktion in der Cisco CP Software im secure-Modus nicht geklappt hat?

Lautet der Acces-list23-Befehlt dann access-list 23 permit 192.168.0.0 0.0.0.255 oder lautet er access-list 23 permit 192.168.0.0 255.255.255.0,denn 255.255.255.0 wäre nämlich mein Subnetz ?

Muss ich alle Befehle im conf t-Modus bzw. (config)-Modus eingeben, oder gibt es irgend welche Befehle, deren Eingabe davon abweicht? Kann ich die Befehle einfach so wie angegeben der Reihe nach ins CLI eintippen, sodass die Befehle dann alle richtig zugeordnet werden?

Und nützen einem die im Internet verfügbaren CLI-Howtos in diesem Fall überhaupt etwas, da ich doch wohl zu Recht davon ausgehe, dass es sich bei diesen Befehlen um reine Cisco-Router-Befehle handelt, wenn nicht gar um
spezifische Befehle, die nur für die Cisco 1900 Router-Serie gültig sind.

Den Part mit der Limitierung habe ich zwischenzeitlich eingegeben. Der untere Teil der Show-Run-Auflistung sieht damit nun wie folgt aus:


ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
password xxxxxxxx
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end


Sind die obigen Angaben soweit korrekt?! Tatsächlich hinzugefügt wurden nämlich wohl nur zwei Zeilen, nämlich "access-list 23 permit 192.168.0.0 0.0.0.255"
und "access-class 23" in obwohl ich eigentlich sechs eingegeben habe, aber die anderen vier Zeilen waren ja bereits vorhanden.

Nicht funktioniert hat hingegen die Eingabe der Firewall-Funktionalität, denn dabei habe ich folgende Fehlermeldung erhalten:

ciscorouter(config)#ip inspect name meinefw tcp
^
% Invalid input detected at '^' marker.

Anmerkung: Das Häckchen sollte unter dem n von inspect stehen. K

Kommt die Fehlermeldung vielleicht daher, dass ich das Router-Modell Cisco 1921/K9 habe und nicht das Model Cisco1921-SEC/K9?
Mitglied: aqui
aqui 20.12.2011 um 11:36:40 Uhr
Goto Top
Das wird ja eine CLI Lehrstunde hier... Na ja damit du nicht als Klicki Bunti Knecht enden musst..... face-wink
Generell gibt es 2 Modi nachdem man "conf t" eingegeben hat. Den Global Mode, also das sind alle Befehle die du global einstellen kannst und dann den Interface Mode. Das sind Kommandos die Interface bezogen sind. Deshalb musst du daher bei diesen logischerweise immer vorher mit "int xy" das Interface anwählen. Der Prompt zeigt dir das dann auch an mit Prompt(config-if)#
Generell musst du IMMER vorher "conf t" (configure from terminal) eingeben um überhaupt in den Konfig Modus zu gelangen. Im Prompt steht dann auch Prompt(config)# was dir immer den Konfig Modus anzeigt. Nur am Eingabeprompt ohne Konfig Mode kannst du nichts konfigurieren sondern nur mit "show" Kommandos Systemparameter abfragen !
Nochwas zu den Befehlen da du ja generell nach im Internet verfügbaren Beispielen fragst:
Die Cisco IOS (IOS ist die Firmware auf allen Cisco Systemen) CLI Kommandosprache ist bei allen Cisco Komponenten immer gleich. Sie ist niemals abhängig von irgendwelcher HW. Deine Konfig rennt so also auch auf einem Cisco 800er Router oder einem uralten 2500 oder brandneuem System. Solltest du eigentlich wissen wenn du Cisco einsetzt ?! Es gibt also aus diesem Grunde nichts 1900er spezifisches im IOS Kommandoset. IOS ist überall gleich und deshalb kannst du im Internet gepostete Beispielkonfigs auch problemlos immer übernehmen. Das ist ja genau der tiefere Sinn einer gemeinsamen Firmware auf allen Produkten !
Das zum Grundsätzlichen im CLI....
Dein Access Listen Befehl lautet natürlich richtig access-list 23 permit 192.168.0.0 0.0.0.255 !
Bei Accesslisten wird die Subnetzmaske immer in invertierter Notation angegeben (XOR). Da du schon eine gleichlautende Accessliste hast (1) ist die Liste 23 eigentlich doppelt gemoppelt. Wenn du willst kannst du sie der Übersicht halber entfernen und für den Telnet / SSH Zugangskontrolle auch die ACL 1 nehmen, die ja identisch ist.
In der Terminaldefinition vty 0 4 steht dann
line vty 0 4
access-class 1 in

Die Liste 23 könntest du dann mit "no accees list 23..." entfernen.
Thema Firewall:
Das ist möglich das das nicht klappt. Dann hast du fahrlässigerweise die Billigversion dieses Routers ohne das Firewall Image beschafft. Damit ist dann keinerlei Firewall Funktion möglich. Mit "show flash" könntest du das Image hier mal posten (oder selber mal nachsehen) im IOS Image sind die Funktionen kodiert.
Ebenso hilft mal ein "ip i?" im conf t Modus, das zeigt dir dann alle verfügbaren Kommandos an die mit "ip i..." anfangen.
Ist dort kein "inspect" dabei ists aus mit der Firewall. Deshalb wäre dann die vty 0 4 so immens wichtig.
Nicht besonders toll aber dann musst du damit leben oder ein anderes Image mit FW Funktion auf deinen 1900er flashen. c1900-universalk9-mz.SPA.152-2.T.bin ist die aktuelle Version.
Mitglied: G-KA
G-KA 20.12.2011 um 12:04:57 Uhr
Goto Top
Der 1921 ist mein erster Cisco-Router. Bislang hatte ich nur Router in der unter-150,- €-Preisklasse von 3Com und Linksys im Einsatz.

Wenn ich geahnt hätte, dass die Konfiguration eines Cisco-Routers so aufwändig ist, hätte ich ihn vermutlich nicht gekauft.

Momentan spekuliere ich ein wenig darauf, dass das ganze transparenter bzw. intuitiver bedienbar wird, wenn die Version V3 der Cisco CP Software erscheint.

ip i? liefert als Antwort "icmp identd igmp".

show flash liefert als Antwort
-#- --length-- -----date/time------ path
1 45801276 Apr 02 2011 17:27:42 c1900-universalk9-mz.SPA.150-1.M4.bin

Was wäre denn die Cisco-Artikelnummer, um ein Geräteupgrade von 1921/K9 auf1921-SEC/K9 durchzuführen und wie bzw. über welches Medium würde das Upgrade eingespielt werden?

Und wie verhält es sich mit den Firewalleinstellungen, wenn man sich zu einem Geräteupgrade durchringen würde? Wenn man beispielsweise youtube-Videos von Watchguard anschaut, sieht man, dass es dort extrem viele Firewalleinstellungsmöglichkeiten gibt, die ich vermutlich nicht einmal ansatzweise benötige.

Wie ändere ich "access-class 23 in" in "access-class 1 in" ab? Ich vermute mal durch Eingabe von "no access-class 23 in" sowie durch Eingabe von "access-class 1 in"??!

Ist ansonsten zur Verschlankung der Konfiguration lediglich noch die Eingabe von "no access-list 23" erforderlich oder ist sonst noch etwas zu tun?
Mitglied: aqui
aqui 20.12.2011 um 12:38:52 Uhr
Goto Top
Oha, denei Firmware 15.0 ist auch nicht mehr die aktuellste. Ggf. solltest du auf die 15.2er updaten. Die kannst du dir runterladen vom CCO. Intuitiver bedinbar ist der Router über das CLI das steht außer Frage ist aber Ansichtssache sicherlich. Das ist genau der Pferdefuss dieser und ähnlicher GUI Tools, nämlich man bekommt ein simple Allerweltskonfig die das System niemals richtig ausnutzt und vor allen Dingen die nicht sicher ist.
Damit hat man als laienhafter User dann schnell ein Erfolgserlebnis bemerkt aber oft offene Scheunentore so nicht mit den bekannten Auswirkungen. Na ja diese Gradwanderung ist dir ja sicher selber bewusst...?!?
Und ja deine Vorgehensweise zum ändern der ACL ist so richtig. Du siehst selber ...in puncto CLI bist du lernfähig face-wink
Ansonsten musst du nichts verschlanken. Wie gesagt ein paar kosmetische Dinge noch mit NTP Server, Passwort Länge usw. sofern du das willst oder du solche Anforderungen hast.
Mitglied: G-KA
G-KA 20.12.2011 um 12:51:36 Uhr
Goto Top
Wäre die aktuelle Firmware dann beim nachfolgenden Link die obere von beiden?
http://www.cisco.com/cisco/software/release.html?mdfid=282977114&fl ...

Worin liegt der Unterschied zwischen beiden Versionen?

Und wie wird die Firmware eingespielt?

Wenn eine Konfiguration, die mit einem vom Hersteller angebotene GUI-Tool erstellt wurde, tatsächlich nicht sicher wäre, wäre das doch ein beträchtliches Haftungsrisiko für den Hersteller, oder nicht?!

Momentan streikt der Router übrigens wie nachfolgend ersichtlich. Was ist in solch einem Fall zu tun?

System Bootstrap, Version 15.0(
%Error opening tftp:255.255.255.255/network-confg (Timed out)
%Error opening tftp:
255.255.255.255/cisconet.cfg (Timed out)
%Error opening tftp:255.255.255.255/ciscorouter-confg (Timed out)
%Error opening tftp:
255.255.255.255/network-confg (Timed out)
%Error opening tftp:255.255.255.255/ciscorou.cfg (Timed out)


Press RETURN to get started!


*Mar 1 00:00:07.063: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module nam
e = c1900 Next reboot level = ipbasek9 and License = ipbasek9
*Dec 20 13:21:19.339: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed stat
e to up
*Dec 20 13:21:19.339: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed stat
e to down
*Dec 20 13:21:20.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEth
ernet0/0, changed state to up
*Dec 20 13:21:20.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEth
ernet0/1, changed state to down
*Dec 20 13:21:24.511: %USBFLASH-5-CHANGE: usbflash0 has been inserted!
*Dec 20 13:21:27.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, chan
ged state to up
*Dec 20 13:21:32.907: %SYS-5-CONFIG_I: Configured from memory by console
*Dec 20 13:22:16.299: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/network-confg) failed
*Dec 20 13:22:57.299: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/cisconet.cfg) failed
*Dec 20 13:23:38.335: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/ciscorouter-confg) failed
*Dec 20 13:24:08.299: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/network-confg) failed
*Dec 20 13:24:19.335: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/ciscorou.cfg) failed
*Dec 20 13:24:19.335: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.0(1)M4, REL
EASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Thu 28-Oct-10 16:26 by prod_rel_team
*Dec 20 13:24:19.519: %SNMP-5-COLDSTART: SNMP agent on host ciscorouter is under
going a cold start
*Dec 20 13:24:20.135: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Dec 20 13:24:20.187: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state t
o up
*Dec 20 13:24:20.199: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Ac
cess1, changed state to up[OK]
*Dec 20 13:24:40.183: %PKI-6-AUTOSAVE: Running configuration saved to NVRAM
%Error opening tftp:
255.255.255.255/cisconet.cfg (Timed out)
*Dec 20 13:24:49.331: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/cisconet.cfg) failed
%Error opening tftp://255.255.255.255/ciscorouter-confg (Timed out)
*Dec 20 13:25:31.131: %SYS-4-CONFIG_RESOLVE_FAILURE: System config parse from (t
ftp://255.255.255.255/ciscorouter-confg) failed

Die obigen Fehlermeldung beziehen sich auf die Hyper-Terminal-Verbindung von einem Windows XP Prof. PC mittels USB-Kabel (in Verbindung mit Cisco COM-Port-Treiber) an die Mini-USB-Schnittstelle des Routers.

Wenn ich hingegen die Cisco CP Software öffne, klappt der http-Verbindungsaufbau einwandfrei und wenn ich dann die in der Cisco CP Software enthaltene Terminal-Verbindung aufbauen will, klappt auch das!

Der https- bzw. secure-Verbindungsaubau klappt hingegen bei der Cisco CP Software auch weiterhin nicht. In diesem Fall erscheint nämlich ein Fenster, das mit "Security Certificate Alert" überschrieben ist, wobei der Inhalt des Fensters nicht richtig geladen wird, und das dann auch wieder verschwindet. Die Cisco CP Software bringt dann beim Discovery-Status die Meldung "Discovery failed".

Inzwischen funktioniert nun auch die HyperTerminal-Verbindung über USB-Kabel ohne eigenes Zutun wieder. Was könnte der Grund für den Ausfall gewesen sein?

Die entsprechenden Änderungen habe ich an der Konfigurationsdatei vorgenommen. Der untere Teil der Konfigurationsdatei sieht nun so aus:
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 1 remark INSIDE_IF=GigabitEthernet0/0
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
access-class 1 in
privilege level 15
password xxxxxxxxxx
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end

Sind die Parameter nun soweit korrekt?!


Bei der Cisco CP Software gibt es übrigens im Konfigurationsmenü im Verzeichnis "Security" bzw. im Verzeichnis "License Dashboard" zwei Registerkarten:
- Permanent Licenses
- Evaluation Licenses

Bei Permanent Licenses ist bereits eine Lizens vom Typ ipbasek9 aktiv.
Bei den Evaluation Licenses ist noch keine aktiv. Dort sind folgende Lizensen aufgelistet:
- drei SSL_VPN-Lizensen
- drei datak9-Lizensen
- drei ios-ips-update-Lizensen
- drei securityk9-Lizensen

Von diesen Lizensen würden sich eine datak9-Linzens und eine securityk9-Lizens durch Klick auf den "Enable License"-Button "enablen" lassen.
Bei den anderen sieben Lizensen bleibt hingegen der "Enable-License"-Button weiterhin grau hinterlegt, sodass sie sich nicht "enablen" lassen.
Soll ich insofern mal die zwei Lizensen, die enablebar sind, enablen? Diese beiden Lizensen haben derzeit jeweils den Status "Not in Use, EULA not accepted."
Laut EULA beträgt die Evaluierungsdauer 60 Tage.
Mitglied: aqui
aqui 21.12.2011 um 12:03:02 Uhr
Goto Top
OK, Cisco Kurs, 2ter Teil:
Das eine ist die SW mit IPsec Support. Wenn du also VPNs brauchst, dann nimmst du immer der Universalimage wie es sein soll. Das hat dann alle features.
Die genauen Unterschiede erklärt dir wie immer die Release Notes:
http://www.cisco.com/en/US/docs/ios/15_2m_and_t/release/notes/15_2m_and ...
Und ja...das ist die aktuelle Version !

Wie spielst du diese Version ein ? Nun das ist ganz einfach:
TFTP Server runterladen wie z.,B. den
Pumpkin: http://kin.klever.net/pumpkin#.TvG46PLD_KQ
oder TFTP32/64: http://tftpd32.jounin.net/
TFTP starten und im Setup auf das Verzeichnis einstellen wo du das Router Image gespeichert hast. "Ggf. "give all files" anklicken.
Dann auf dem Router (Achtung wieder CLI !) folgendes Kommando eingeben:
copy tftp flash

Der Rest wird Menü geführt abgefragt... Danach Router rebooten...fertisch !

Was deine Konsolmeldungen anbetrifft "streikt" der Router nicht, das ist Unsinn. Er sucht nach einer Autoboot Konfiguration und findet sie nicht.
Mit dem globalen Kommand (Achtung schon wieder CLI !)
no service config

hat der Spuk ein Ende
"wr" natürlich nicht vergessen um es im Konfig Flash zu sichern !!

Die Konsol Fehlermeldungen die du bekommst sind völlig normal.
Einmal ist dein Interface GiG 0/1 runtergefallen, vermutlich weil du ein Kabel abgezogen hast und der Rest sind die TFTP Autoconfig Meldungen. Der Router versucht das noch mehrere Male bevor er dann irgendwann aufgibt. "no service config" schaltet das ab.
Das das "virtual Int" up ist ist auch normal, das ist dein PPPoE Interface vom Provider Dialin !!
Das Log protokolliert alles sehr genau wie es das auch soll....
Was die Fehlermeldung im Broser anbetrifft bei einer HTTPS Verbindung ist das auch normal!
Du hast ja ein selbst zertifiziertes Zertifikat auf dem Router was der Router dann an den Browser schickt. Folglich meckert also jeglicher Browser rum, was ja logischerweise normal ist, da das ein selbstgebasteltes Zert. ist.
Bei jedem Browser kannst du dann aber den "Accept" Button oder "Fortfahren" Button klicken um das Zertifikat zwangsweise auf Vertrauenswürdig zu setzen..was ja normal ist. bei jedem Browser.

Was das Thema Hyperterminal anbetrifft vergiss diese Terminal Prog besser ganz schnell. Das hat ziemliche Macken außerdem kann man die Flow Control dort nicht abschalten was aber zwingend sein muss. Das bewirkt dann diese Hänger. Weg also damit.... !
Nimm Putty: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
oder TeraTerm: http://ttssh2.sourceforge.jp/
Schalte dort die Flow Control ab und dann gibts auch keinen Terminal Stress mehr !! Der Tip ist oben schon mehrfach genannt worden face-sad

Was deine Lizemzen anbetrifft sind das testlizenzen. Du kannst die aktivieren und kannst dan die eintsprechenden Tage diese Funktionen nutzen. Sinnvoll wenn man mal was ausprobieren will.
Um die Firewall aktiv zu schalten benötigst du die securityk9 Lizenz. könnte aber auch IPS (Intrusion Prevention Service) sein. Das müsste man mit einem Blick in die Release Notes bzw. Datenblatt zum Router mal klären.
Mitglied: G-KA
G-KA 21.12.2011 um 12:33:16 Uhr
Goto Top
Rückfrage zu den Firmware-Versionen:
Welche von beiden soll ich nehmen:
UNIVERSAL oder UNIVERSAL - NO PAYLOAD ENCRYPTION?
Welche ist die Variante mit IPSec Support?

Rückfrage zu den Lizenzen:
Warum sind das denn immerhin gleich ZWÖLF (!) Evaluierungslizenen, die auf dem Router hinterlegt sind? Hat das einfach nur etwas mit Geldmacherei und Beschäftigungstherapie zu tun oder steckt da ein tieferer Sinn dahinter?
Wo kann man sehen, was es mit den einzelnen Lizenzen auf sich hat?
Wo kann man sehen, was die Verlängerungslizenzen jeweils kosten würden?
Gibt es für den Router ein "günstiges" Lizenspaket, in dem alle Verlängerungslizenzen enthalten sind oder muss man diese einzeln erwerben?

Welchen Lizenzumfang hätte den die Gerätevariante 1921-SEC/K9 gehabt?

Es ist wohl mehr ein Fass ohne Boden, als ein Router, was ich da erworben habe....
Mitglied: aqui
aqui 21.12.2011 um 13:31:41 Uhr
Goto Top
Englisch Kurs 1ter Teil: "No" bedeutet meistens "Nicht" oder "ohne"...! Das Universal Image ist das was du nimmst !
Was die Lizenzen anbetrifft ist das vermutlich Geldmacherei. Das ist ein kleines Consumer System und da muss man dann jeden Goodie bezahlen, die andere Systeme von sich aus drinhaben. Das ist Modell abhängig.
Mit einem Cisco 886va wärst du da erheblich besser gefahren denn der hat alles von sich aus an Bord inkl. DSL/VDSL Modem !!
Ist nun mal so Policy vom Hersteller. Macht auch Sinn da nicht jeder alles braucht. Ist letztlich so wie die Ausstattungsmerkmale bei einem Neuwagen...also üblicher Branchen Usus, da muss man sich nicht ärgern.
Ob es dort irgendwelche Aktionen oder Bundles gibt fragst du am besten mal deinen Cisco Systempartner...die sollten das wissen !
Mitglied: G-KA
G-KA 21.12.2011 um 14:04:48 Uhr
Goto Top
Ok! Die Bedeutung von "No" war bzw. ist mir durchaus bekannt. Aber mit dem Begriff "Payload" kann und konnte ich nicht allzu viel anfangen. Klingt ein wenig nach Pay-TV.
Mitglied: aqui
aqui 21.12.2011 um 15:06:02 Uhr
Goto Top
Da hast du in der Tat Recht aber diesmal hat es mit "Bezahlen" in dem Sinne nix zu tun face-wink
Mitglied: G-KA
G-KA 21.12.2011 um 17:41:58 Uhr
Goto Top
Mit dem Firmware-Upgrade schaut es schon mal schlecht aus, denn beim Versuch, die Firmware downzuloaden erhalte ich folgende Meldung:

To Download this software, you must have a valid service contract associated to your Cisco.com user ID.

•If you do not have a service contract you can get one through:

•Your Cisco Account Team if you have a direct purchase agreement with Cisco

•Your Cisco Partner or Reseller

•Once you have the service contract you must associate your service contract to your Cisco.com user ID with Profile Manager

Dass man ein Firmware-Upgrade nur gegen Cash herunterladen kann, ist für mich auch eine ganz neue Erfahrung!

Was kostet denn solch ein Service-Contract?

Interessent ist übrigens auch, dass man anscheinend gar keine Ergebnisse erhält, wenn man auf der Cisco-Webseite nach einem Cisco-Partner in Deutschland sucht!! Jedenfalls bin ich nicht fündig geworden.
@aqui: Du betreibst nicht zufälligerweise haupt- oder nebenberuflich ein IT-Gewerbe und bist Cisco-Partner?

Was genau bewirkt denn der Befehl "no service config" und zu welchem Zweck ist er eigentlich gedacht?
Werden durch diesen Befehl irgendwelche Änderungen an der Konfigurationsdatei vorgenommen?
Und was ist der Grund, dass der Router keine Autoboot Konfiguration gefunden hatte?

Bei HyperTerminal lässt die die Flow Control bzw. Flusssteuerung durchaus abstellen (Auswahlmöglichkeit: Kein; Hardware; Xon / Xoff). Bisher hatte ich bei der Flusssteuerung allerdings die Einstellung Xon / Xoff gehabt. Die anderen Werte hatte ich wie angegeben (9600 Bits, 8 Datenbits, keine Parität, 1 Stoppbit). Ist HyperTerminal mit ausgeschalteter Flussteuerung auch nicht geeignet?

Putty oder genauer gesagt putty.exe funktioniert soweit, wenngleich ich hierbei die Auswahl der verfügbaren Com-Ports vermisse. Wenn ich also nicht wüsste, dass es COM9 ist, hätte ich mit Putty wohl ein Problem, oder?!

Und mit Terra-Term klappt soweit alles und es liefert auch gleich die richtigen Einstellungen und die Com-Port-Auswahl.

Muss ich eventuell, um die SSL-Verbindung zur Cisco-CP-Software herzustellen, bei meinen Browser-Einstellungen eine Änderung vornehmen, damit das Zertifikat-Warnungs-Fenster korrekt angezeigt wird? So sehe ich nämlich nur den Header des Fensters, während der Fensterinhalt nicht angezeigt wird.

Kann man die Testlizenzen eventuell auch nur tageweise aktivieren, also aktivieren und wieder deaktivieren oder läuft die 60-tägige Evaluierungszeit ab der Aktivierung in jedem Fall nach 60 Tagen ab dem Aktivierungstag ab?

Wenn ich übrigens die technischen Daten von meinem Cisco 1921/K9 und dem 250,- € teureren Cisco 1921-SEC/K9, die bei dem Onlineshop meines PC-Händlers hinterlegt sind, miteinander vergleiche, sind diese erstaunlicherweise zu 99% identisch. Ich habe lediglich den Unterschied gefunden, dass bei meinem Gerät bei Leistungsmerkmalen als erstes unter anderem Cisco IOS IP Base steht, während bei dem anderen Gerät als erstes unter anderem Cisco IOS Security steht, wobei es sich hierbei jeweils um das Betriebssystem handelt. Weitere Unterschiede konnte ich nicht entdecken.

Wie kommt es denn, dass der deutlich billigere Cisco 886VA Router allem Anschein nach deutlich mehr Leistungsmerkmale besitzt? Wenn jemand eine Mercedes E-Klasse kauft, ist diese in der Basisausstattung doch schließlich auch nicht schlechter ausgestattet als eine Mercedes A-Klasse in der Basisausstattung, sondern sicherlich deutlich besser.

Zum Vergleich:

Leistungsmerkmale Cisco 1921/K9: Cisco IOS IP Base , firewall, VPN-Support, MPLS-Unterstützung, VLAN-Unterstützung, Syslog-Unterstützung, IPv6-Unterstützung, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Quality of Service (QoS)

Leistungsmerkmale Cisco 1921-SEC/K9: Cisco IOS Security , firewall, VPN-Support, MPLS-Unterstützung, VLAN-Unterstützung, Syslog-Unterstützung, IPv6-Unterstützung, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Quality of Service (QoS)

Leistungsmerkmale Cisco 886VA: Cisco IOS Advanced IP services , firewall, DHCP Support, NAT Support, VLAN-Unterstützung, Auto-Uplink (Auto MDI/MDI-X), IGMP Snooping, Stateful Packet Inspection (SPI), Inhaltsfilterung, dynamischer DNS-Server, DiffServ-Unterstützung, MAC-Adressenfilter, Broadcast Storm Control, IPv6-Unterstützung, Intrusion Prevention System (IPS), URL-Filterung, Stateful Failover, Low-latency queuing (LLQ), Class-Based Weighted Fair Queuing (CBWFQ), Weighted Fair Queuing (WFQ), Unterstützung für Access Control List (ACL), Quality of Service (QoS), Link Fragmentation and Interleaving (LFI), Dynamic Multipoint VPN (DMVPN), DHCP-Server, DNS proxy
Mitglied: dog
dog 21.12.2011 um 21:16:14 Uhr
Goto Top
Dass man ein Firmware-Upgrade nur gegen Cash herunterladen kann, ist für mich auch eine ganz neue Erfahrung!

Stimmt, wenn man vom KMU-Sektor kommt ist das was ganz neues.
Aber alle Firmen die schon enorme Anschaffungskosten haben, wollen auch Geld für Updates.

Bei Cisco gibt es verschiedene SMARTnet Veträge.
Die kleinsten für die 800er Serie haben mal 30€/Jahr gekostet, für deinen also eher 70€/Jahr.
http://www.cisco.com/web/DE/pdfs/smb/SMARTNet_0712_all_v2.pdf

Was genau bewirkt denn der Befehl "no service config" und zu welchem Zweck ist er eigentlich gedacht?
Werden durch diesen Befehl irgendwelche Änderungen an der Konfigurationsdatei vorgenommen?
Und was ist der Grund, dass der Router keine Autoboot Konfiguration gefunden hatte?
http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_r ...

Wenn ich also nicht wüsste, dass es COM9 ist, hätte ich mit Putty wohl ein Problem, oder?!

Jo

Weitere Unterschiede konnte ich nicht entdecken.

SEC steht bei Cisco für IPSec VPN Funktionen.

Zum Vergleich:

Wenn du sie wirklich vergleichen willst musst du diese Funktion nehmen:
http://tools.cisco.com/ITDIT/CFN/jsp/compareImages.jsp
Mitglied: G-KA
G-KA 22.12.2011 um 12:41:44 Uhr
Goto Top
Wenn man QNAP als innovativen Gegenspieler von HP bei Netzwerkspeichern betrachten würde, welcher Hersteller wäre dann dementsprechend bei Routern eigentlich der innovative Gegenspieler von Cisco?

Und wie lautet eigentlich die ausgeschriebene Form des WR-Befehls?

Als Wartungsvertrag würde dann wohl die Cisco-Base-Variante ausreichend sein, um ein Firmware-Update erfolgreich herunterladen zu können, oder? Wenn ja, wie lautet die entsprechende Cisco-Artikel-Nummer zwecks Bestellung bei einem IT-Webshop?
Mitglied: aqui
aqui 22.12.2011 um 13:19:30 Uhr
Goto Top
"innovative Gegenspieler von Cisco?" In welchem Bereich denn ?? Bei den kleinen Konsumer Systemen oder bei den großen Carrier Backbone Systemen ??
Das wär so als wenn du du nach dem innovativen Gegenspieler von Daimer Benz oder BMW fragst... !
Ausgeschrieben lautet "wr" einfach "write" !!
Hättest du ganz einfach selber sehen können wenn du, wie oben bereits mehrfach gesagt und drauf hingewiesen !, mal nach dem wr ein "?" eingegeben hättest !!
Also ein "wr?" ! Dann zeigt dir der Kommando Zeilen Parser alle Befehle die mit "wr..." anfangen !
Mitglied: G-KA
G-KA 22.12.2011 um 13:25:20 Uhr
Goto Top
Innovativer Gegenspieler von Cisco im Bereich von Routern in der 300 bis 1000,- €-Preisklasse, wobei ich unter innovativ verstehen würde, dass die Bedienung ausschließlich über eine graphische Oberfläche erfolgt.

Bezüglich WR finde ich hier aber keinen write-Befehl ohne Zusatz: http://www.cisco.com/en/US/docs/ios/fundamentals/command/reference/cf_t ...
Mitglied: aqui
aqui 22.12.2011 um 15:18:38 Uhr
Goto Top
Mmmhhh...was du so als "innovativ" bezeichnest...aber das Thema hatten wir ja schon face-wink
Lancom, Bintec/Funkwerk, mit ziemlichen Abstrichen auch Draytek.

Der Write Befehl funktioniert auch ohne Zusatz ! (Sieht man am <cr>) Er ist ohne Parameter dann identisch zu "copy run start"
Mitglied: G-KA
G-KA 22.12.2011 um 21:04:30 Uhr
Goto Top
Ich habe jetzt mal versucht, die Firmware zu aktualisieren. Allerdings nicht mittels TFTP-Server, sondern über das "Flash File Management" der Cisco-CP-Software.

Als Ergebnis hat sich dann, als ich auf den upload-Button geklickt hatte, ein Fenster mit folgendem Inhalt geöffnet:

The selected file c1900-universal9-mz.SPA.152-2.T.bin is not compatibe with this router model. Do you want to continue copy operation?
Note: For more information, please see the Hardware/Software Matrix in Table 9 of the Cisco CP Release Notes.

Das ganze war wohl ohnehin nicht die Flash-Aktion, sondern nur eine Kopieraktion in einen Zwischenspeicher des Routers. Kann das sein?!

Ich wundere mich sowieso ein wenig über dieses "Flash File Management". Das Ganze sieht aus wie ein Explorer speziell für verschiedene Firmwareversionen.
Ist das zutreffend? Die Buttons back, up, refresh, go, Icons view, format, upload, new, cut, copy, paste und delete lassen dies jedenfalls vermuten.
Mit welchem Button erfolgt hierbei denn dann das eigentliche flashen der Firmware? Und wozu braucht man einen cut-Button?!
Und wozu braucht man überhaupt solch ein Flash File Management? Wechselt man bei so einem Router etwa ständig die Firmware rauf und runter? Bei anderen Geräten gibt man schließlich nur den Datei-Pfad an und klickt dann auf "Firmware aktualisieren".

@aqui: Was ist denn mit "Sieht man am <cr>." gemeint?

Bezüglich Routerherstellern: Die mittlere Baureihe von Bintec / Funkwerk schaut ja mal richtig gut aus. Und wie sieht es aus, wenn es ein Router aus Taiwan sein soll? So z. B. habe ich mit Hardware von ASUS, was ja auch ein taiwanesischer Hersteller ist, bislang nur gute Erfahrungen gemacht.
Mitglied: dog
dog 22.12.2011 um 21:40:00 Uhr
Goto Top
Wechselt man bei so einem Router etwa ständig die Firmware rauf und runter

Ja, z.B. wenn man in einer neuen Version einen Software-Bug gefunden hat oder wenn der Router mit der Version nicht mehr startet.

@aqui: Was ist denn mit "Sieht man am <cr>." gemeint?

http://www.cisco.com/warp/cpropub/45/tutorial.htm#Context%20Sensitive%2 ...
Mitglied: G-KA
G-KA 22.12.2011 um 21:51:41 Uhr
Goto Top
@dog: Danke für den IOS-Tutorial-Link. Ich verstehe trotzdem nicht, was mit der <cr>-Sache gemeint ist. Dass man nach jeder CLI-Befehltseingabe Enter drücken muss, ist natürlich schon klar.
Mitglied: dog
dog 22.12.2011 um 21:54:53 Uhr
Goto Top
Nein, das <cr> sagt dir in der Kontext-Hilfe, dass du Enter drücken darfst - wenn in der Hilfe kein <cr> aufgelistet ist, dann ist der Befehl noch nicht vollständig.
Du solltest dich mal intensiver mit dem ? befassen, das ist bei Cisco dein bester Freund.
Mitglied: G-KA
G-KA 22.12.2011 um 22:22:53 Uhr
Goto Top
Also ehrlich gesagt befasse ich mich anstatt mit den IOS-CLI-Befehlen momentan fast schon eher gedanklich damit, meinen Cisco 1921 bei Ebay einzustellen, weil sich dann nämlich das Thema IOS-CLI-Befehle für mich erledigt hätte....

Jedenfalls erschließt sich bei mir bislang die Logik nicht, warum man sich damit beschäftigen soll, wenn es offensichtlich auch anders geht, nämlich mit dem Kauf eines Routers von einem anderen Hersteller.

Aber ganz durch bin ich mit dieser Entscheidung noch nicht.
Mitglied: dog
dog 22.12.2011 um 22:40:45 Uhr
Goto Top
nämlich mit dem Kauf eines Routers von einem anderen Hersteller.

Für dich wird das sicher das Bessere sein.
Cisco-Produkte waren nie für Endanwender gedacht, sondern für erfahrene Netzwerkadministratoren, die möglichst viele Features brauchen.
Und selbst die machen üblicherweise erstmal ein Cisco-Zertifikat.

Man kann auch schon sehr gut am Preis erkennen, für welche Unternehmen sich Cisco interessiert.
Deren billigster Edge-Switch ist noch doppelt so teuer wie unsere üblichen HP-Switches - den würde ich niemals ins Budget bekommen.
Mitglied: G-KA
G-KA 23.12.2011 um 11:11:07 Uhr
Goto Top
Die Cisco-1921-Routerbaureihe hat übrigens jedoch gegenüber der mittleren Routerbaureihe von Bintec / Funkwerk den Vorteil, dass die Sache mit den DSL-Modems modular gelöst ist, da die 1921-Router an der Rückseite zwei Modulschächte haben.

Insofern würde es mich freuen, wenn die die Fragen, die im unteren Drittel dieser Seite noch offen sind, noch beantwortet werden könnten.
Mitglied: aqui
aqui 23.12.2011 um 12:18:43 Uhr
Goto Top
Na ja, der Cisco 886va hat das alles inkl. Firewall schon mit onboard und dürfte preislich in ähnlichen wenn nicht besseren Regionen liegen.
Welche Fragen sind denn noch offen...das "untere Drittel" ist recht groß und unübersichtlich.
Mitglied: G-KA
G-KA 23.12.2011 um 12:40:17 Uhr
Goto Top
Offen wären unter anderem noch:
- taiwanesische Routerhersteller im genannten Preissegment
- Welche Einstellungen beim IE vorgenommen werden müssen, damit die Secure-Verbindung mit der Cisco CP Software klappt.
- Was der Cisco-Wartungsvertrag kosten würde, welche Cisco-Artikelnummer dieser hat und ob die Base-Version ausreicht.
- Wie man sich über die Evaluierungslizenzen einen Überblick verschaffen kann und was es kosten würde, wenn man die zwölf Evaluierungslizenzen nach der 60-tägigen Probezeit weiterlaufen lassen würde. Und wo man diese dann beziehen kann und welche Cisco-Artikelnummern diese dann haben.
- Die Sache mit dem Flash File Management der Cisco CP Software, insbesondere wie dann damit das eigentliche flashen erfolgt.
- Liste deutscher Händler, die Cisco-Partner sind (wo also mindestens ein Beschäftigter ein Cisco-Certifikat hat und Fragen beantworten kann)


Und eine weitere, neue Frage habe ich auch noch:
Ist der Unterschied bei den Leistungsmerkmalen zwischen 1921/K9 und 1921-SEC/K9 im Bedarfsfall beim 1921/K9 nachrüstbar ist und wenn ja, welche Artikelnummer wäre das dann? Bzw. ist eventuell in einer der Evaluierungslizenzen diese Nachrüstung bereits enthalten?
Mitglied: aqui
aqui 23.12.2011 um 18:13:30 Uhr
Goto Top
- taiwanesische Routerhersteller im genannten Preissegment
Draytek, Mikrotik, ...
- Welche Einstellungen beim IE vorgenommen werden müssen, damit die Secure-Verbindung mit der Cisco CP Software klappt.
Was meinst du damit ? In der Regel muss da nichts gemacht werden, denn jeder Browser supportet auch HTTPS ?!
- Was der Cisco-Wartungsvertrag kosten würde, welche Cisco-Artikelnummer dieser hat und ob die Base-Version ausreicht.
Da musst du mal dein Cisco Systemhaus befragen bei denen du den Router gekauft hast. Die machen ein Angebot, denn das ist von sehr vielen Faktoren abhängig.
- Wie man sich über die Evaluierungslizenzen einen Überblick verschaffen kann und was es kosten würde, wenn man die zwölf Evaluierungslizenzen nach der 60-tägigen Probezeit weiterlaufen lassen würde. Und wo man diese dann beziehen kann und welche Cisco-Artikelnummern diese dann haben.
....auch das Systemhaus fragen. Wenn die zertifizierter Cisco Partner sind haben die eine fertige Artikel Liste !
- Die Sache mit dem Flash File Management der Cisco CP Software, insbesondere wie dann damit das eigentliche flashen erfolgt.
...mmmmhhh das ist wieder so ein Klicki Bunti Mist den die Welt nicht braucht...sorry ! Der "normale" User macht einshow runund kopiert sich per cut and paste die Konfig als simple ASCII Text Datei auf einen USB Stick oder sonst einen sicheren Ort...fertig. Der etwas "normalere" User nutzt dafür einen bestehenden TFTP Server im Netz, Linux, Winblows, NAS oder was man da sonst so hat und lässt es da automatisch sichern. Oder eben beides. Mehr benötigt man als Cisco Router Admin nicht ! Der Flash Chip wo diese ASCII Konfig Datei drin ist ist auf dem Router selber ein separater Chip...oder was bezweckte deine Frage genau ?
- Liste deutscher Händler, die Cisco-Partner sind (wo also mindestens ein Beschäftigter ein Cisco-Certifikat hat und Fragen beantworten kann)
Das bekommst du über diewww.cisco.deSeite oben unter der Rubrik "Partner" ! Außerdem kannst du die Cisco DE Hotline in Hallbergmoos direkt anrufen oder das lokale Cisco Office in deiner Nähe !
Und ja die Leistungsmerkmale sind wie immer bei Cisco mit einer simplen Lizenz oder SW nahchrüstbar. Artikelnummern dazu teilt dir auch dein Cisco Systemhaus bzw. Partner mit !
Mitglied: G-KA
G-KA 23.12.2011 um 21:35:17 Uhr
Goto Top
zu Punkt 1: Wie schaut es denn mit Zyxel aus? Da muss es doch noch weitere relativ bekannte Hersteller geben, oder?!
zu Punkt 2: Habe gerade festgestellt, dass das Problem nur bei einem XP-PC mit IE8 auftritt. Wenn ich einen Vista-PC mit IE9 nehme, funktioniert der Verbindungsaufbau mit der SSL-Verbindung einwandfrei.
zu Punkt 3: Ich habe den Router bei einem der ca. 40 Händler gekauft, die aufgelistet werden, wenn man bei geizhals.at/de nach Cisco 1921 sucht. Der Händler kann zwar so gut wie alles besorgen, aber aufgrund dessen, dass deren Produktsortiment wirklich riesig ist, sind die bei solche Sachen wie Cisco-Router nicht in der Lage zu beraten. Die sind auch sicherlich kein zertifizierter Cisco Partner. Was schätzt Du denn, wie viel Prozent der Händler, die bei Geizhals beim 1921/K9 gelistet sind, tatsächlich zertifizierte Cisco-Partner sind?
zu Punkt 4: Werde ich machen.
zu Punkt 5: Für jemanden, der CLI nicht gewohnt ist, ist so eine graphische Oberfläche schon das richtige. Da muss doch auf dem Router soetwas wie eine mini-SSD-Festplatte integriert sein, auf der man über das Flash-File-Management erstmal alle möglichen Firmwares ablegen kann, bevor man dann die eigentliche Firmwareaktualisierung durchführt, oder?!
zu Punkt 6: Oh Wunder, bei der Cisco-Partner-Suche kommen ja jetzt sogar Suchergebnisse! Vor ein paar Monaten kamen da nämlich gar keine Ergebnisse, selbst dann nicht, wenn man große Städte wie Stuttgart oder Frankfurt eingegeben hat. Wo ist denn eine Auflistung abrufbar, wo es im südwestdeutschen Raum lokale Cisco Offices gibt, also der gesamte Bereich Frankfurt und südlich von Frankfurt bzw. Ulm und östlich von Ulm.


Auf der Webseite von Zyxel ist ein Demozugang zum GUI eines Zyxel-Routers: http://www.zyxel.com/de/de/products_services/zywall_usg_2000_1000_300_2 ...
So habe ich mir das ganze eigentlich auch vorgestellt: Alles schön übersichtlich, gradlinig und transparent!
Allerdings sind die Xyxel-Gerätepreise extrem hoch, wie ich gerade festgestellt habe, z. B. 2.400,- € bis 3.000,- € für einen ZyXEL ZyWALL USG 1000! Dagegen ist der Cisco 1921/K9 ja ein Superschnäppchen!!!
Mitglied: aqui
aqui 26.12.2011 um 15:40:55 Uhr
Goto Top
zu Punkt 1: Nicht wirklich...ein Rat ist da schwer in der Regel ist Taiwan Ware mit Vorsicht zu geniessen im kommerziellen Umfeld. Dazu gehört auch Zyxel !
zu Punkt 2: Wer nutzt denn auch schon den IE ...igitt !
Mitglied: G-KA
G-KA 26.12.2011 um 16:37:05 Uhr
Goto Top
Warum ist Ware aus Taiwan im gewerblichen Bereich mit Vorsicht zu genießen? Mein bislang absolut einwandfrei funktionierender 19"-1-HE-Rackserver ist z. B. von Asus und somit aus Taiwan. Ebenso hatte ich auch bei meinen sonstigen ASUS-Produkten bisher eigentlich nie einen Ausfall. Die deutsche Sicherheitstechnik-Firma ABUS lässt beispielsweise Ihre Videokameras in Taiwan herstellen und ich denke mal, dass die Firma ABUS durchaus weiß, was sie tut.
Den IE nutze ich in diesem Fall wenn überhaupt nur indirekt, weil ich annehme, dass die browserartige Oberfläche der Cisco Configuration Professional Software auf vorhandene, installierte IE-Komponenten zurückgreift. Jedenfalls lässt die Kopfzeile des Cisco-Configuration Professional Fensters dies u. a. auch inhaltlich stark vermuten. Sogar das Emblem wechselt in der Kopfzeile nach dem Erscheinen des Fensters bem Laden vom IE-Logo zum Cisco-Software-Logo.
Mitglied: aqui
aqui 27.12.2011 um 19:02:16 Uhr
Goto Top
Das bezog sich nicht auf HW sondern auf Wartung und Support speziell SW und Bugfixes usw. Das ist dort meistens nicht oder nur schlecht gegeben.
Cisco setzt wie alle Netzwerk Hersteller auf weltweite Standards. Die würden niemals proprietäre MS Funktionen benutzen in HW oder SW Produkten.
Das Logo wechseln alle anderen Browser auch.
Mitglied: dog
dog 27.12.2011 um 19:10:05 Uhr
Goto Top
CCP ist wirklich ein IE-Fenster mit einem Flash-Plugin (das über Frames wiederum Java einbindet) und einem lokalen Tomcat-Server im Hintergrund - anders gesagt: Eine ziemlich gruselige Frankensteinsoftware.
Mitglied: G-KA
G-KA 27.12.2011 um 21:09:21 Uhr
Goto Top
Schlechter Support, insbesondere was Firmware-Aktualisierungen betrifft, kann einem aber auch bei deutschen Firmen passieren. Ich hatte beispielsweise mal bei einer deutschen Firma wegen eines Firmwareupdates angefragt
und dann als Antwort erhalten, dass man lediglich für aktuelle Produkte Firmwareupdates zur Verfügung stellen würde, nicht aber für Auslaufmodelle. Insofern ist das also sicherlich kein rein taiwanesisches Problem.

Ich würde mal sagen, dass CCP sowas wie ein IE-basiertes Spezialwebinterface ist, damit nicht jeder mit Netzwerkzugang einfach die im Netzwerk verfügbaren IPs in einen Standardbrowser eingeben kann, um dann so zur Anmeldemaske des Routers zu gelangen (wie bei Low-Budget-Routern).

Bezüglich Punkt 4 habe ich übrigens nun bei einem Cisco-Partner angefragt. Bislang liegt mir aber noch keine Rückmeldung vor.

Nur weil die Cisco-Leute offensichtlich keine Lust haben, ohne erkennbare Notwendigkeit das Rad jedes Mal neu zu erfinden, CCP als "gruselige Frankensteinsoftware" zu bezeichnen, dürfte wohl "leicht" übertrieben sein.
Mitglied: aqui
aqui 28.12.2011 um 13:12:22 Uhr
Goto Top
CCP in sich ist schon das Problem, da es in sich überflüssig ist wenn man mit dem CLI arbeitet benötigt man sowas gar nicht denn solche Krücken sind meist nur für Laien sinnvoll (oder auch nicht..) Aber damit sind wir ja wieder am Anfang der Diskussion... face-sad
Mitglied: G-KA
G-KA 28.12.2011 um 13:34:59 Uhr
Goto Top
Also ich würde mal behaupten, dass CLI zur Routerkonfiguration auf Sicht von 10 Jahren genauso verschwinden wird, wie MS-DOS verschwunden ist.
Mitglied: aqui
aqui 28.12.2011 um 14:23:02 Uhr
Goto Top
Da kann man ganz beruhigt dagegen setzen. Keines, nicht eines der Neuentwicklungen bei Cisco oder allen anderen Netzwerk Herstellern (denn die kopieren alle den Quasi Standard der Cisco CLI) verzichtet aufs CLI.
Das wäre auch nicht möglich, da sich viele der komplexeren Konfigs wie QoS usw. usw. gar nicht per Klicki Bunti Interface machen lassen. Das wird auch noch auf Jahre ein Standard bleiben. Lediglich die Sub-D Stecker oder auch ggf. die RJ-45 Stecker werden durch USB oder andere Schnittstellen ersetzt. Das CLI wird bleiben als Quasi Standard....auch in 10 Jahren. Allein die Abhängigkeit von Betriebssystemen und solchen kurzlebigen Funktionen wie Active-X, Flash und Java & Co. spricht schon dagegen. Denn ob das in 10 Jahren noch da ist, ist erheblich zweifelhafter als eine schlanke und zeitlose Kommandosprache die vollkommen losgelöst ist von sowas.
Mitglied: G-KA
G-KA 28.12.2011 um 16:02:49 Uhr
Goto Top
Mag sein, aber Du darfst nicht vergessen, dass sich ein Router, der komplett über GUI konfigurierbar ist, sich auf Dauer wohl wohl leichter und in größerer Stückzahl verkaufen lässt. Und das ist letztlich das, was für den Hersteller zählt. Oder würdest Du Dir einen neuen BMW kaufen wollen, wenn Du die Fahrzeug-Einstellungen beispielsweise über Can-Bus mittels Laptop konfigurieren müsstest? Ich vermute mal, dass Zyxel für seine Router nur deshalb so hohe Preise verlangen kann, weil man sich bei deren Routern nicht mit CLI beschäftigen muss.
Mitglied: aqui
aqui 28.12.2011 um 17:14:22 Uhr
Goto Top
OK lassen wir diese Diskussion, sie führt zu nix. Nur um dir deinen (Cisco) Horizont zu erweitern: Cisco (und auch alle anderen Premium Hersteller) verdient sein Geld nicht mit billigen kleinen Consumer Routern mit einer minimal Marge und Myriaden von Laien die im Post Sales unendlich Geld kosten würden. In so fern hinkt dein Vergleich mit BMW gewaltig. In dieser Klasse reden wir eher von einem Logan, Hyundai oder Tata.
Der Massenmarkt gehört NetGear und D-Link und Co. Das Geld wird mit größeren Enterprise, Data Center und Carrier Equipment verdient und darauf liegt auch der Fokus. Dort benutzt kein Mensch ein GUI oder eine Winblows Software um solche Systeme zu konfigurieren.
Nur um die Proportionen mal wieder etwas zurechtzurücken....

Und da ja nun alles gesagt und gelöst ist könnte der grüne Haken:
Wie kann ich einen Beitrag als gelöst markieren?
sicher nicht schaden ?!
Mitglied: G-KA
G-KA 31.12.2011 um 17:06:47 Uhr
Goto Top
Was ist denn eigentlich von den Routern der Firma Astaro, wie z. B. dem Astaro Security Gateway 220 zu halten?

http://www.astaro.com/de-de/produkte/hardware-appliance/astaro-security ...

Das auf der Internetseite abrufbare Webinterface-Demo sieht jedenfalls nach meiner Auffassung sehr überzeugend aus!

Das Setzen des grünen Hackens wird wohl noch ein wenig dauern, da ich unter anderem bislang noch keine Rückmeldung von den Cisco-Partnern zu den Lizenzfragen erhalten habe und insofern durchaus noch das eine oder andere in dieser Sache zu klären ist.