Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 880 bzw. 890 Router Konfiguration am ADSL oder VDSL Anschluss inkl. VPN und IP-TV

Anleitung Netzwerke Router & Routing

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

23.01.2012, aktualisiert 23.10.2016, 73729 Aufrufe, 78 Kommentare, 8 Danke

Das folgende Tutorial ist ein kurzer Leitfaden wie ein preiswerter Cisco Router 886va oder 886vaw (integr. WLAN) mit 2 internen xDSL Modems für den Einsatz am ADSL oder VDSL konfiguriert wird.
Dieses Cisco Routermodell stellt mit seinen weitreichenden NAT und Firewall Sicherheitsfeatures, dem integrierten Dual Mode ADSL+/VDSL Modem und der VPN Fähigkeit eine universelle Lösung für eine skalierbare und zukunftsorientierte Firmenanbindung kleiner und mittlerer Standorte mit WAN Bandbreiten bis 100Mbit dar. Er ist ebenso gedacht für den anspruchsvollen Heimbenutzer der Wert auf Sicherheit und maximalen Funktionsumfang legt.
Die Grundkonfiguration dieses Routers ist durch die IOS Syntax universal und kann deshalb auch auf alle anderen Cisco IOS Router- und Switchmodelle übernommen werden !


Die Router Hardware

Der Cisco 886va und auch sein Gigabit Pendant 896 ist ein sog. "Multi Service" Router mit einem integrierten Multimode DSL Hybrid Modem für VDSL2 und ADSL2/2+ (Annex B+J (ADSL over ISDN)) sowie SDSL.
Anwender ohne xDSL z.B. mit einem Kabel TV Modem Anschluss, wählen das Cisco 881 Modell oder 891 (1Gig WAN Port) dessen 5ter WAN/Internet Port ein reiner Ethernet Breitband Port ohne integriertes Modem ist zum Anschluss an Kabel TV Modems.
Alle 880er und 890er Modelle gibt es zusätzlich in einer Variante mit integriertem WLAN oder 3G UMTS Modem und auch VoIP Anschlüssen. Eine Übersicht der 880er Modelle findet man hier.
Die der 890er Modelle [http://www.cisco.com/c/en/us/products/collateral/routers/800-series-routers/data_sheet_c78-519930.html hier}.
Die 880er Modelle besitzen durchgängig 4 integrierte Ethernet LAN Ports die VLAN fähig sind. Die 890er Modell haben durchgängig 8 LAN Ports die voll VLAN fähig sind und felxibel auch für weitere WAN Anbindungen genutzt werden können (Multi WAN Port Feature).
Er supportet bis zu 20 VPN Verbindungen gleichzeitig (890 supportet 50 Tunnel) und eignet sich damit für anspruchsvolle KMU Firmennetze, Heimanbindung, Telearbeiter oder einer LAN zu LAN Firmenvernetzung auf ADSL/SDSL oder VDSL Basis.
Da er ein integriertes ADSL/VDSL fähiges Multimode Modem an Bord hat, eignet er sich insbesondere für solche DSL Installationen bei denen zukünftiger Bandbreitenbedarf eine spätere Migration auf VDSL sehr einfach möglich macht, ohne neue Hardtware beschaffen zu müssen.
Die hier vorgestellte universelle Grundkonfiguration des Routers ist für beide vorgestellten xDSL Anbindungen gleich. Sie unterscheidet sich lediglich in der Konfiguration der DSL bzw. VDSL Modemeinstellung die in separaten Kapiteln unten vorgestellt wird.

Als Beispiel dient hier eine Standardkonfiguration mit 2 angeschlossenen LAN Netzen z.B. ein Firmennetz und ein Gastnetz, aktivem DHCP und statischen DHCP Reservierungen z.B. für einen Server, NAS o.ä. und einer optionalen VPN Konfiguration mit dem PPTP Protokoll.
Damit ist eine problemlose Einwahl von remote für mobile Mitarbeiter zum Datenaustausch oder für die Fernwartung gegeben.
Der Router supportet ebenso eine Standortvernetzung auf VPN IPsec Basis die zusätzlich als Beispiel in den weiterführenden Links angeführt ist.
Remote VPN Standorte müssen dabei nicht mit Cisco Hardware ausgestattet sein. VPN Verbindungen sind problemlos möglich auf alle VPN Komponenten die IPsec beherrschen als VPN Prtokoll (z.B. FritzBox, Lancom, NetGear, pfSense/M0n0wall, Mikrotik usw.)
Die Linksammlung am Schluss weist auf ein entsprechendes Tutorial hin für heterogene IPsec VPNs.
Für das Router Modell mit integriertem WLAN AP findet sich eine entsprechende WLAN Konfig im Abschnitt Wireless.

Die initiale Konfiguration des Cisco macht man über den seriellen Konsol Port (Console) und dem mitgeliefertem blauen Konsol Kabel.
Als Terminal Programme nutzt man die bekannten Windows Klassiker PuTTY oder TeraTerm mit den Parametern 9600 Baud, N, 8, 1 (Keine Parity, 8 Bit, ein Stopbit) und schaltet alle Arten von Flow Control (Hardware, Software) AUS in den seriellen Port Settings der Terminalprogramme.
Apple Mac benutzer nehmen ZTerm (Shareware) und Linuxer haben minicom als Terminal gleich an Bord.
Wer keinen seriellen COM Port (DB-9 Stecker) mehr hat am Rechner, nutzt einen preiswerten Seriell-USB Adapter den es für wenig Geld in jedem PC Shop oder einschlägigem Versandhandel (Reichelt, Amazon usw.) gibt.
Gute Erfahrungen habe ich hiermit gemacht:
USB Seriell Adapter
Wer nicht ganz so sattelfest mit den Cisco IOS Kommandos ist findet hier einen guten grundlegenden Überblick.
Los gehts...


Die ADSL Konfiguration:

Die oben beschriebene Standard Basiskonfiguration des 880er Routers ist in blau gehalten. Die zusätzlichen oder zu ändernden xDSL Modem spezifischen Abschnitte die für eine DSL, SDSL oder VDSL Konfiguration erforderlich sind, sind jeweils rot eingefärbt.
service timestamps log datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Cisco886va
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret Geheim
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.100.1 192.168.100.149
<-- IP Adressen entfernen aus dem DHCP Pool
ip dhcp excluded-address 192.168.100.170 192.168.100.254
!
ip dhcp pool local
network 192.168.100.0
default-router 192.168.100.254
dns-server 192.168.100.254
domain-name soho.intern
!
ip dhcp pool Static-IP
<-- Beispiel f. Zuweisung von fester IP auf MAC Adress Basis
host 192.168.100.170 255.255.255.0
client-identifier 0ab0.0c6c.01c4.d2
default-router 192.168.100.254
dns-server 192.168.100.254
client-name winserver
domain-name soho.intern
!
ip domain name soho.intern
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw sip
<-- Firewall App Gateway f. VoIP
ip inspect name myfw rtsp
<-- Firewall App Gateway f. VoIP
!
!
username admin password Admin
!
controller VDSL 0
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
shutdown
!

interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1

!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface Vlan1
description Lokales LAN (FastEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface Dialer0
description xDSL Einwahl Interface
ip address negotiated
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Port
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username 001234567890123456780001@provider.de password 1234567

(Achtung: T-Business SDSL verwendet her = t-online-com/nutzer@t-online-com.de )
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
<-- Dafür kann die statische Route entfallen !
no cdp enable
!
no ip forward-protocol nd
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
<-- Entfernen !, und besser oben im Dialer0 ausschließlich nur "ppp ipcp route default" verwenden !
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
<-- Lässt wichtige ICMP Steuerpakete durch die Firewall passieren
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
<-- Lässt DNS Port 53 durch die Firewall passieren
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq 5060 any
<-- Lässt VoIP (SIP) Port 5060 durch die Firewall passieren
access-list 111 permit udp any eq ntp any
<-- Lässt NTP durch die Firewall passieren
(access-list 111 permit udp any eq bootps any)
<-- Nur wenn Internet Port per DHCP IP Addresse bezieht ! Sonst weglassen !
access-list 111 deny ip any any (log*)
<-- Log Parameter nur wenn man temporär Angriffe protokollieren will (Performance !)
dialer-list 1 protocol ip list 101
!
ntp server 130.149.17.8 source Dialer0
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
<-- Telnet Zugriff nur aus lokalem LAN möglich (ACL 23)
privilege level 15
login local
transport input telnet ssh
!
end

(130.149.17.8 ist ein öffentlicher NTP Timeserver der TU Berlin)

Firewall richtig einstellen:
Wichtiger Tip zur CBAC Accessliste 111, um hier Problemen und Missverständnissen vorzubeugen!:
Die Internet Port Access Liste 111 oben in der Konfig funktioniert NUR im Zusammenhang mit der integrierten Router Firewall, also dem Aktivieren der FW mit dem Kommando "ip inspect myfw out" auf dem Dialer Interface !!

Übernimmt man die o.a. Konfig OHNE diese aktivierte Firewallfunktion auf dem Dialer muss man die Access List 111 ganz weglassen oder reduziert sie aufs Blocken von Ping, Traceroute und Redirect mit:
access-list 111 deny icmp any any echo
<-- Weglassen wer den Router aus dem Internet pingen möchte (Sicherheit !)
access-list 111 deny icmp any any traceroute
access-list 111 deny icmp any any redirect
access-list 111 permit ip any any

Nur mit der aktivierten Firewall Funktion wird diese ACL 111 dynamisch, sessionbasiert bei outgoing Sessions geöffnet (sog. CBAC) !:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
Ohne aktivierte Firewall Funktion passiert das nicht und Antwortpakete aus dem Internet werden so blockiert !!

Auch wer z.B. einen internen FTP oder Web Server im lokalen LAN von außen erreichen will muss den Zugriff mit einer ACL Regel explizit erlauben. Für FTP und HTTP sind das z.B. die folgenden zusätzlichen Statements in der ACL 111:
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq http

Erst dann kann man intern im lokalen LAN liuegende FTP oder HTTP Server erreichen !

Ganz wichtig ist hier auch DHCP für Nutzer die kein xDSL haben sondern den Router an einem Ethernet Glasfaser oder Kabelmodem betreiben müssen !
Wer das WAN Interface statt mit PPPoE wie bei xDSL in diesem Falle als DHCP Client definiert z.B an Kabel TV Modems oder direkter Provider Zugang, usw. muss hier auch DHCP erlauben durch die Firewall, ansonsten scheitert die IP Adressevergabe am WAN Internet Port !
access-list 111 permit udp any eq bootps any

sorgt dann dafür das auch DHCP klappt. Eine entsprechende Ethernet Port Konfig sieht dann so aus: (Beispiel Internet auf Port FastEthernet 0):
!
interface FastEthernet0
description Internet (DHCP)
switchport access vlan 99
no ip address
no cdp enable
!
interface vlan 99
description Internet Interface
ip address dhcp
ip access-group 111 in
<-- Firewall CBAC Inbound Access Liste
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
<-- Firewall aktiv auf Port
no cdp enable


(*) Der "log" Konfig Befehl am Ende des letzten Filter Statements (ohne die "()" ) in der Accessliste 111 zeigt alle unerlaubten externen Zugriffe im Router Log an und damit die, die versuchen den Router anzugreifen.
Es ist sehr interessant (und auch erhellend) das Ausmaß dieser Angriffsversuche mal zu sehen, wenn man show logg eingibt oder sich die Syslog Messages des Routers schicken_lässt.
Wen es nervt und das Log zu groß wird (denn es gibt sehr viele dieser Angriffe im Minutentakt !) und wer Wichtigeres im Logging sehen möchte, kann das "log" Statement natürlich auch weglassen aus der ACL Definition.
Letztlich macht es den Router langsam Perfomance), deshalb ist es besser auf lange Sicht die Logging Statements in den ACLs zu deaktivieren.

VoIP mit neuen sog. "All IP" Anschlüssen (Annex J):
Von Cisco ist das entsprechende Modell C886VA in einer Annex-J-Variante erhältlich C886VA-J-K9. An diesen "splitterlosen" xDSL Anschlüssen bei Neukauf immer diese Variante verwenden.
Keine Sorge müssen Besitzer der nicht J Version haben: Die reguläre Annex-B-Variante Cisco C886VA-K9 ist auch eingeschränkt Annex-J-fähig mit geringfügig reduziertem Upstream.
Hier muss zwingend die aktuellste DSL-Modem Firmware verwendet werden. Gleiches gilt für den Cisco C896VA sowie das Cisco EHWIC-VA-DSL-B Modul (WIC).
Die aktuelleste Modem Firmware lädt man von der Cisco Support Seite und lädt sie über einen TFTP Server mit dem Komando copy tftp flash: ins Flash des Routers.
Cisco886va#sh flash 
-#- --length-- -----date/time------ path 
1     40347976 Oct 5 2014 18:22:50 +02:00 c880data-universalk9-mz.153-3.M4.bin 
2          660 Sep 22 2013 15:51:06 +02:00 vlan.dat 
3      2817246 Sep 7 2014 12:11:50 +02:00 VA_A_39h_B_38h3_24h_j.bin 
 
85110784 bytes available (43175936 bytes used) 
Dann passt man die Konfig des VDSL Controllers entsprechend an um die Firmware zu laden:
!
controller VDSL 0

firmware filename flash:VA_A_39h_B_38h3_24h_j.bin

!

Mit dem Kommando show controllers vdsl 0 überprüft man das korrekte Laden der FW:
Cisco886va#sh controllers vdSL 0 
Controller VDSL 0 is UP 
 
Daemon Status:           Up 
Modem Status:            TC Sync (Showtime!) 
DSL Config Mode:         AUTO 
 
Firmware        Source          File Name (version) 
--------        ------          ------------------- 
VDSL            user config     flash:VA_A_39h_B_38h3_24h_j.bin (10) 
 
Modem FW  Version:      131219_1904-4.02L.03.B2pvC039r1.d24j 
Modem PHY Version:      B2pvC039r1.d24j 
Vendor Version:         Bpv39r1.24j 68 
Damit sind dann auch ältere 886va Modelle Annex J fähig !
http://www.cisco.com/c/en/us/td/docs/routers/access/800/firmware/releas ...
Modem FW Download:
https://software.cisco.com/download/release.html?mdfid=283122092&flo ...

Bitte zum Thema richtige Modem Firmware unbedingt den Thread von @dog unten in den Weiterführenden Links lesen !

Auch wenn der Router kein integriertes VoIP Telefonie Gateway hat (hier andere Modelle verwenden) kann man ihn mit einem entsprechenden VoIP (SIP) zu Analog Adapter wie dem Cisco SPA 112 problemlos an den "All IP" Anschlüssen betrieben werden:
http://www.reichelt.de/CISCO-SPA112/3/index.html?&ACTION=3&LA=4 ...
Der Adapter wird einfach ins lokale LAN gehängt, die bestehenden analogen Telefone bzw. Fax dort angeschlossen und schon ist man mit den gewohnten Telefonen wieder online und erreichbar.
Dieser Adapter funktioniert natürlich auch mit allen anderen xDSL und Kabel TV Routern, nicht nur mit dem hier beschriebenen.


Die VDSL Konfiguration:

VDSL Pakete müssen zum Provider hin einen VLAN Tag (802.1q) mit der VLAN ID 7 aufweisen ! Das VDSL Modem ist logisch an die Router Ethernet Schnittstelle Ethernet0 gebunden die damit eine tagged VLAN Konfiguration bekommen muss. Das bewirkt ein sog. Subinterface 0.7 in der Konfig.
Das für die ADSL Kommunikation nötige ATM Interface wird nicht mehr benötigt und in den shutdown Status versetzt.
!
-- Standard Konfiguration wie oben --
!
controller VDSL 0
operating mode vdsl2
<-- Optional, kann auch entfallen da "Auto" Mode Default ist
!
interface Ethernet0
no ip address

no shutdown
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
pvc 1/32
pppoe-client dial-pool-number 1
!

interface FastEthernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1

!
-- Rest der Konfiguration ist die Standard Konfiguration wie oben --


Aufpassen !: VLAN Tag bei alternativen VDSL Providern:
Andere VDSL Provider nutzen ggf. andere VLAN ID Tags statt der 7 bei der Telekom. Bei Vodafone z.B. ist das die VLAN ID 132.
Die korrekte Port Konfiguration für Vodafone VDSL sieht dann im Router entsprechend so aus:
interface ATM0
no ip address
pvc 1/32
(bridge-dot1q encap 132)
optiona l
pppoe-client dial-pool-number 1
!
interface Ethernet0
no ip address
no shutdown
!
interface Ethernet0.132
description VDSL Internet Verbindung - Vodafone
encapsulation dot1Q 132
no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1


Bei M-Net München ist die VLAN ID z.B. 40 : https://www.administrator.de/frage/cisco-1921-probleme-interneteinwahl-3 ...

Die WLAN Konfiguration:

Der Cisco 886va ist auch in einer WLAN Version erhältlich als Cisco886vaw. Unterschied zum 886va ist lediglich nur ein interner, integrierter WLAN Access Point. Die o.a. Grundkonfiguration bleibt also identisch.
Der integrierte WLAN Accesspoint ist dabei WLAN-Router üblich mit einer Bridge an ein virtuelles Gigabit Interface angehängt was man je nach Bedarf mit einer Single SSID oder mit Multi SSIDs in ein oder mehrere LAN oder VLAN Segmente per Konfig hängen kann.
Damit ist auch dieser Router in der Lage mit einem einzigen physischen WLAN Accesspoint mehrere unabhängige virtuelle APs zu betreiben die man in unterschiedlichen Netz Segmente legen kann.
Somit sind kostengünstig 2 und mehr WLANs mit einer Hardware zu realisieren z.B. in einem Firmenumfeld mit einem gesicherten Mitarbeiter WLAN und einem abgeschotteten Gäste WLAN mit Hotspot.
Der WLAN Accesspoint wird dabei genau so konfiguriert wie es z.B. in diesem_Tutorial beschrieben ist und entspricht damit der klassischen Standard Cisco IOS Konfiguration auf allen High End Accesspoints der Aironet Serie.
Natürlich hat der AP auch ein entsprechendes grafisches Web Interface was die WLAN Konfiguration erheblich erleichtert für Admins die nicht IOS affin sind. Alleridngs ist dieses WebGUI erst erreichbar mit einer entsprechenden IP Konfiguration des AP Interfaces.
Als ersten Schritt gibt man dem WLAN AP Interface eine IP. Da diese in der Regel im lokalen LAN (VLAN1) liegt kann dies unnumbered erfolgen.
interface Vlan1
description Lokales LAN
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!

interface wlan-ap0
description Internes Service Interface zum Management des internen WLAN APs
ip unnumbered Vlan1
!

Jetzt kann man mit dem Kommando service-module wlan-ap 0 session sich auf den internen Accesspoint verbinden.
Da das Kommando recht kryptisch ist und sich das keiner lange merken kann, kann man einen Kommando Alias dafür anlegen mit
alias exec zumwlanap service-module wlan-ap 0 session
Nun reicht die Eingabe des Kommandos zumwlanap um auf das WLAN AP Kommandointerface zu gelangen:
cisco887vaw#zumwlanap 
Trying 192.168.100.254, 2002 ... Open 
 
Connecting to AP console, enter Ctrl-^ followed by x, 
then "disconnect" to return to router prompt 
% Password change notice. 
----------------------------------------------------------------------- 
 
Default username/password setup on AP is cisco/cisco with privilege level 15. 
It is strongly suggested that you create a new username with privilege level 
15 using the following command for console security. 
 
username <myuser> privilege 15 secret 0 <mypassword> 
no username cisco 
 
Replace <myuser> and <mypassword> with the username and password you want to 
use. After you change your username/password you can turn off this message 
by configuring  "no banner login" and "no banner exec" in privileged mode. 
----------------------------------------------------------------------- 
User Access Verification 
Username: 
Damit ist man nun auf dem Konfigurationsinterface des internen Accesspoints !
Der Default Username ist cisco mit dem Default Password cisco !
ACHTUNG: Mit der Eingabe von ctrl ^ und x (oder ctrl, shift 6 und x) und dann der Eingabe von disconnect
kommt man immer wieder auf den Router Kommando Prompt zurück.
Mit der nun folgenden IP Adressierung des internen APs ist diese Prozedur aber dann zukünftig nicht mehr nötig. Dann ist der interne Accesspoint bequem aus dem lokalen LAN direkt zu erreichen per Telnet (PuTTY oder TeraTerm) oder per Web Browser.

Eine funktionsfähige einfache WLAN Konfiguration mit WPA-2 Sicherung lautet folgendermaßen:
Current configuration : 3242 bytes
!
service timestamps debug datetime msec
service timestamps log datetime localtime
!
hostname ap
!
no aaa new-model
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip domain name soho.intern
!
dot11 syslog
!
dot11 ssid Cisco-887-WLAN
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 Geheim123
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid Cisco-887-WLAN
!
station-role root
no dot11 extension aironet
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
description the embedded AP GigabitEthernet 0 is an internal interface connecting AP with the host router
no ip address
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.100.1 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
bridge 1 route ip
!
line con 0
privilege level 15
login local
line vty 0 4
login local
!
end


WICHTIG: Die interne IP Adresse des Accesspoints 192.168.100.1 muss immer außerhalb des DHCP Adresspools liegen damit es nicht zu IP Adresskonflikten kommt !
Im hiesigen Beispiel ist der DHCP Pool mit den IP Adressen von .100.150 bis .100.170 definiert so das wir mit der .100.1 im sicheren IP Bereich liegen !
Die Parameter dot11 ssid Cisco-887-WLAN und auch wpa-psk ascii 0 Geheim123 bestimmen den Namen des WLANs und das Zugangspasswort. Das muss entsprechend auf die eigenen Einstellungen angepasst werden !
Startet man nun einen Webbrowser im lokalen LAN und gibt dort als Ziel ein http://192.168.100.1 landet man direkt auf dem Web Interface des internen Accesspoints und kann diesen nun auch bequem per Web konfigurieren und diese Konfig Anpassungen vornehmen. (Siehe Screenshot)
Der direkte CLI Zugriff auf den AP mit seiner IP ist ebenfalls mit Telnet oder SSH so möglich

d7b151954d6e7b4df1e57eff41bf7fcb - Klicke auf das Bild, um es zu vergrößern
(Wird fortgesetzt mit einer Multi SSID und VLAN Konfiguration für Gastnetze)


Dynamisches DNS

Dynamisches DNS ist erforderlich für Benutzer die den Router bei wechselnden Provider xDSL IP Adressen unter einer festen Hostadresse von außen erreichen wollen, sei es für den gesicherten VPN Zugang aufs lokale Netzwerk oder für schlichtes Port Forwarding.
Für die dynamische Anpassung der IP Adresse bei wechselnden IP Provider DSL Adressen (nächtliche Zwangstrennung) sollte man deshalb immer einen DynDNS Dienst einrichten, damit der Router immer mit einem festen Hostnamen wie z.B. meinrouter.no-ip.com erreichbar ist egal welche Provider IP er aktuell hat.
Dyndns.org oder no-ip.com oder diverse andere lokale Dienstleister bieten sich da an. Zum Teil kostenlos.
Der DynDNS Dienst wird wie folgt auf dem Cisco 880 Routern aktiviert: (Update method "http" und "add url")
!
ip ddns update method dyndns
HTTP add http://<username>:<pw>:@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Dialer0
ip ddns update hostname <hostname>.<dyndns.domain>
ip ddns update dyndns

Wie ein kostenloses DynDNS Konto eingerichtet wird beschreibt z.B. dieser_Artikel.

( DynDNS Update: )
Da DynDNS nicht mehr kostenfrei ist macht es keinen Sinn mehr diesen Dienst zu benutzen wenn man mit einer kostenfreien Lösung arbeiten möchte. Hier hilft nur bezahlen.
Wer weiterhin kostenfrei arbeiten möchte nimmt NO-IP oder andere lokale Dienstleister als DynDNS Provider die diesen Dienst derzeit noch kostenfrei anbieten !
NO-IP hat z.B. ein eigenes HowTo Tutorial wie das auf dem Cisco einzurichten ist:
http://www.noip.com/support/knowledgebase/using-your-cisco-router-with- ...
oder
http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/811- ...
Die NO-IP Konfiguration für Dynamic DNS für dieses System hier sähe dann so aus (Update method "http" und "add url"):
!
ip ddns update method no-ip
HTTP add http://<email:password>@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 1 0 0 0
!
interface Dialer0
ip ddns update hostname <hostname>.no-ip.info
ip ddns update no-ip

Falls es hier mal kneifen sollte dann hilft immer ein debug ip ddns update um den DDNS Update Prozess zu überwachen und zu troubleshooten. ("term mon" bei Telnet oder SSH Sessions nicht vergessen !)


Port Forwarding

Der eine oder andere möchte z.B. einen lokalen Webserver oder Kameras usw. von außen (Internet) erreichbar machen. Auch das ist schnell eingerichtet.
Es sei an dieser Stelle noch einmal dringenst darauf hingewiesen das man solche Endgeräte niemals ins lokale LAN setzen sollte sondern besser ein separates VLAN dafür anlegt im Cisco. Dies trennt man mit einer Accessliste vom lokalen LAN.
Der Grund liegt auf der Hand, denn für den Zugriff muss man ein Loch in die Router Firewall bohren und da ist es besser das auf einem separaten DMZ IP Segment zu machen als im geschützten lokalen LAN.
Ist der Server ein lokaler privater Server sollte man generell aus Sicherheitsgründen vom Port Forwarding absehen !
Auch hier ist der Grund klar, denn diese Daten gehen ungeschützt und unauthorisiert über das öffentliche Internet und jeder kann mitlesen. Ein VPN sollte für jeden der Wert auf seine Datensicherheit und Schutz legt hier oberste Priorität haben !
Wie man ein sicheres VPN mit diesem Router einrichtet erklärt das Tutorial im weiteren Verlauf oder die weiterführenden Links am Ende.
Das Beispiel hier zeigt diese DMZ Variante.
Zum Port Forwirading soll ein lokaler Webserver (Port TCP 80 = HTTP) vom Internet aus erreichbar sein im neuen VLAN 3. (Standardkonfig von oben verkürzt wiedergegeben !)
interface Vlan3
description DMZ mit oeffentlichem Webserver
ip address 172.16.200.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Dialer0
description DSL Einwahl Interface
ip address negotiated
ip access-group 111 in
...
!
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 172.16.200.151 80 interface Dialer0 80
ip nat inside source static tcp 172.16.200.151 443 interface Dialer 443

!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 deny ip host 172.16.200.151 any
=> Da statisches NAT für Host .151 kein PAT mit overload !
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit tcp any any eq www
=> Zugriff von außen für TCP 80 und 443 erlauben !
access-list 111 permit tcp any any eq 443
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 deny ip any any

Spricht man jetzt mit dem Browser von "außen" die WAN IP des Routers an landet man auf dem Webserver in der DMZ 172.16.200.151.


VPN (PPTP) Server für remote User und DynDNS aktivieren:

Soll zu der obigen Standard Konfiguration noch eine VPN Einwahl von remoten Usern via Smartphone oder Laptop mit dem PPTP Protokoll aktiviert werden, ist die Konfiguration um die folgenden Zeilen zu erweitern:
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username vpnbenutzer password test123
!
interface Virtual-Template1
description PPTP Einwahl Interface fuer VPN Zugang
ip unnumbered vlan 1
( ip nat inside )
<-- Kommando ist nur dann erforderlich wenn VPN Clients übers VPN auch ins Internet sollen !
no keepalive
no cdp enable
peer default ip address pool pptp_dialin
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
!
ip local pool pptp_dialin 192.168.100.200 192.168.100.210
!

Details für das PPTP_Client_Setup auf allen gängigen OS erklärt dieses_Forumstutorial.


VPN (IPsec) Server für iPhone, Android und Mac OS-X User mit onboard Client aktivieren:

Keine Angst... Auch Windows Nutzer kommen hier natürlich nicht zu kurz !
Windows selber hat keinen nativen IPsec Client an Bord aber der Klassiker in diesem Metier, der bekannte, kostenlose Shrew_VPN_Client, funktioniert fehlerlos auf allen Windows Versionen für eine IPsec VPN Einwahl.
Um also dem unsicheren_PPTP als VPN entgegenzuwirken, ist eine IPsec Konfiguration immer vorzuziehen wenn man wirklich sicher sein will vor Lauschern und Schlapphüten.
Die o.a. Router Grundkonfig muss dann nur um diese Kommandozeilen erweitert werden:
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
username vpntest password Geheim123
username vpngoup password test123
!
crypto isakmp policy 10
encr aes
(Kann auch AES 256 sein)
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key test123
dns 192.168.100.100
domain vpn.test.intern
save-password
max-users 10
banner # Willkommen im VPN von XYZ #
(Optional !)
pool vpnpool
!
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group vpngroup
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set hbcset
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
(ip nat inside)
--> Nur erforderlich wenn der gesamte Client Traffic in den Tunnel soll !
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
ip address 192.168.100.254 255.255.255.0
!
ip local pool vpnpool 192.168.100.240 192.168.100.250
(Anpassen auf eigenen Client IP Bereich im lokalen LAN)
!
end


Hier die entsprechende Konfig des iPhone / iPad IPsec Clients...:
20681286d0d18fd2d6af43a68665ae83 - Klicke auf das Bild, um es zu vergrößern

...und hier des Mac OS-X onboard IPsec Clients:
ecb0fe1ad6449dbe8d22f523817762c0 - Klicke auf das Bild, um es zu vergrößern

Diese IPsec VPN Client Einwahl Konfiguration entspricht der Lösung mit einer pfSense_Firewall:
http://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-fir ...
Dort findet man auch das Setup für den Shrew VPN Client unter Windows.
Eine Kombination mit den u.a. Standortvernetzung ist natürlich problemlos möglich !
Man erhält somit einen Router der feste IPsec Tunnel in die Standort Lokationen bedient plus einem VPN Dialin Server für remote Mitarbeiter alles auf einer kompakten Plattform.


VPN Site to Site Standortkopplung mit IPsec Tunnel

Natürlich kann man mit 2 Cisco 886va auch eine VPN LAN to LAN Kopplung zweier oder mehrerer Standorte mit IPsec Verschlüsselung bequem erledigen um z.B. gemeinsame Resourcen wie Server, NAS etc. standortübergreifend zu nutzen. IPsec ist ein weltweiter Standard so das auch VPN Tunnel zu anderen IPsec Produkten supportet ist. Praxiskonfigurationen dazu findet man hier im Forum.
Für die VPN Kopplung 2er Cisco Router sind die folgenden Konfigurationsschritte auf beiden Seiten des VPN Tunnels erforderlich, die man der obigen ADSL oder VDSL Standardkonfiguration hinzufügt:
!
crypto isakmp policy 10
encryption aes
authentication pre-share
crypto isakmp key test123 address <remote_feste_IP_Adr.>
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto map vpntunnel 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer <remote_feste_IP_Adr.>
set transform-set vpn
match address 107
!
interface Dialer0
description DSL Einwahl Interface
crypto map vpntunnel
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
--> Kein NAT für den VPN Tunnel !
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
--> NAT ins Internet
!
access-list 107 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
--> Diese Pakete (Lokales LAN ins remote LAN) in den VPN Tunnel !
!
access-list 111 permit udp any any eq 500
--> IPsec darf am Internet Port die Firewall passieren
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
!

Die gleichen Konfigurationsschritte sind auf der gegenüberliegenden Standortseite, angepasst an die dortigen IP Adressen, auszuführen.
Das Beispiel oben geht davon aus das sich ein lokales LAN mit der IP Adresse 192.168.200. /24 dort befindet.
Diese IP Adressen sind entsprechend auch eigenen Belangen anzupassen. Ebenso natürlich das Platzhalter Passwort "test123" für die IPsec Verschlüsselung.
Der Parameter <remote_WAN_IP> muss in der Konfig durch die xDSL IP oder den Hostnamen / DynDNS ersetzt werden.
Ebenfalls kann man am obigen Beispiel sehen, daß das NAT etwas angepasst werden muss, denn IP Packete die lokal beide Netze über den IPsec Tunnel verbinden, dürfen natürlich nicht über den NAT (Adress Translation) Prozess laufen (ACL 101 nimmt diesen Traffic aus).
Die genauen Konfigs für die Praxis liefert dieses_Forums_Tutorial

Anbindung remoter VPN Standort Router/Firewall ohne feste IP:
Befindet sich am remoten Standort ein IPsec VPN Router oder Firewall (FritzBox, Draytek, Mikrotik, Lancom, pfSense/M0n0wall o.ä. hier mit lokalem Beispiel LAN 192.168.222.0 /24) der keine feste DSL IP hat, also eine wechselnde Provider IP, muss zusätzlich eine dynamische Crypto Map angelegt werden.
Dazu ist die Konfig wie folgt zu ergänzen:
!
crypto isakmp policy 10
encryption aes
authentication pre-share
!
crypto isakmp key test123 address <remote_feste_IP_Adr.>
crypto isakmp key dyntest123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer <remote_feste_IP_Adr.>
set transform-set vpn
match address 107
!
crypto dynamic-map dynvpn 20
description Dynamic VPN Dialin
set transform-set vpn
match address 108
!
crypto map vpnpeer 30 ipsec-isakmp dynamic dynvpn
!
access-list 108 permit ip 192.168.100.0 0.0.0.255 192.168.222.0 0.0.0.255


Damit können dann auch remote VPN Router/Firewalls wechselnden Provider IPs problemlos eine VPN Verbindung auf diesen Router herstellen.
Sind beide oder alle Standorte ohne feste IP konfiguriert, dann muss man wenigstens auf einem (zentraler) VPN Router mit DynDNS arbeiten.
Eine Cisco DynDNS Konfig sieht z.B. mit NO-IP.com so aus:
01.
ip ddns update method no-ip 
02.
HTTP 
03.
add http://user@meine-domain.no-ip.info:password@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a> 
04.
interval maximum 0 0 5 0 
05.
06.
interface Dialer0  
07.
ip ddns update hostname meine-domain.no-ip.info 
08.
ip ddns update no-ip 
Bei DynDNS dann entsprechend:
01.
ip ddns update method dyndns 
02.
HTTP 
03.
add http://username:password@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a> 
04.
interval maximum 1 0 0 0 
05.
06.
interface Dialer0  
07.
ip ddns update hostname meine-domain.dyndns.info 
08.
ip ddns update dyndns

Die Home IP-TV Konfiguration

Die genauen Einstellungen für die IP-TV Entertain Konfiguration beschreibt Schritt für Schritt dieses_PDF_Tutorial.
Wichtig ist hier die Multicast Rendevous Point IP Adresse zu ermitteln.
Danach erweitert man die Konfiguration um die folgenden globalen und Port spezifischen Kommandos:
ip multicast-routing
!
interface Ethernet0.8
description VDSL Multicast Entertain
encapsulation dot1Q 8
ip dhcp client broadcast-flag clear
ip address dhcp
ip pim sparse-mode
no ip mroute-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
!

interface Vlan1

ip pim sparse-mode
ip igmp helper-address <Rendezvous Point IP>
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
!
ip pim rp-address <Rendezvous Point IP>


Damit ist die Konfigurationsanpassung zur Nutzung etwaiger IP-TV Entertain Optionen problemlos und schnell möglich.
Update:
Die Prozedur der Redezvous Point IP Adress Ermittlung ist mittlerweile einfacher als oben im PDF beschrieben.
Die Multicast Rendezvous Point IP Adressen werden über DHCP mitgeteilt. Wenn das Sub Interface Ethernet0.8 (VLAN Tag 8) korrekt konfiguriert ist, kommt es mit einer 10.X.X.X IP Adresse hoch ("show ip int brief"), und es werden 2 Routen gelernt. Ein show dhcp lease zeigt dann abhängig vom jeweiligen Ort z.B. so etwas an:
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254

(Dank an Forumsmitglied @cpt-haddock für seinen Hinweis im u.a. Thread !)


Weiterführende Links:

Anfängerprobleme bei der Cisco Konfig vermeiden:
https://www.administrator.de/content/detail.php?id=318708&token=385

880er Modelle, Modem Software und VDSL Vectoring:
https://www.administrator.de/content/detail.php?id=307041&token=55

Die IPsec VPN Praxis: Real Life mit Cisco, pfSense, FritzBox, IP-Cop & Co.
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...

886va Konfig an einem T-Com Business VDSL Anschluss:
http://www.administrator.de/contentid/194411

886va Konfig an einem alternativen VDSL Provider (Wilhelm.Tel):
http://www.administrator.de/contentid/214857

IPsec VPN als Client oder Standort zu Standort mit Cisco, pfSense/M0n0wall, Mikrotik oder FritzBox:
http://www.administrator.de/index.php?content=115798

Port Forwarding vom Internet auf Rechner im lokalen LAN:
http://www.administrator.de/content/detail.php?id=239150

VPN Vernetzung 2er Standorte mit IPsec:
http://www.administrator.de/contentid/113776
und auch
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
http://www.administrator.de/index.php?content=117644

iPhone und iPad bzw. generelles Client VPN Dialin mit IPsec:
http://www.administrator.de/contentid/197412

VPNs mit PPTP:
http://www.administrator.de/index.php?content=117700

Tips zum SIP Setup (VoIP/Telefonie) Setup des Cisco 886 Routers:
http://www.administrator.de/contentid/225187

Cisco 880 mit Voice Option konfigurieren:
https://www.administrator.de/content/detail.php?id=294088&token=847

Richtiger Umgang mit IP Access Listen auf dem Router:
http://www.administrator.de/contentid/227641

Zusatzinfo zum IP-TV Entertain mit Cisco Multicasting via VDSL:
http://www.cisco-forum.net/topic_4350.0.html

(Non Cisco) Mikrotik Multicast Routing für TCom Entertain IP-TV:
http://www.administrator.de/content/detail.php?id=262139&token=173

Beispiele zum VLAN Setup der Switchports und WLAN mit MSSID:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Filterliste bei DHCP statt PPPoE am WAN / Internet Port:
http://www.administrator.de/frage/cisco-2811-holt-dchp-adresse-fastethe ...

Überblick grundlegende Cisco IOS Kommando Syntax:
http://www.coufal.info/cisco_ios/index.shtml
78 Kommentare
Mitglied: brammer
23.01.2012 um 12:58 Uhr
Hallo,

so, wer jetzt noch ein Problem mit der Konfiguration hat, dem ist nicht mehr zu helfen..

Das einzige Problem ist das finden dieses super Tutorials.

Danke aqui

brammer
Bitte warten ..
Mitglied: Frank
24.01.2012 um 13:19 Uhr
Hi,

na dann gibt doch mal "Konfiguration Cisco 886va" in die Google Suche ein!



Gruß
Frank
Webmaster
Bitte warten ..
Mitglied: brammer
24.01.2012 um 13:43 Uhr
Hallo,

Frank
Dass deine Suche Funktioniert wissen wir doch

Nur ein paar resistente User ignorieren das vorhanden sein dieser sehr Sinnvolle Funktion...

btw.:
Könntest du bitte unter FAQ > Fragen und Antworten noch Sarkasmus Tags zur Verfügung stellen?

brammer
Bitte warten ..
Mitglied: Dani
24.01.2012 um 19:44 Uhr
Hallo aqui,
sehr schön... an Weihnachten hätte deine Anleitung brauchen können.
Ansonsten sagt die Anleitung alles. Davon könnten sich einige Autoren eine Scheibe abschneiden.


Grüße,
Dani
Bitte warten ..
Mitglied: Chrispe
16.08.2012, aktualisiert 17.08.2012
Hi,

dazu muss ich sagen, dass es echt eine sehr schöne Anleitung ist! Hatte bei dem selbst konfigurieren doch so das ein oder andere Prob... ;)


Änderung 17.08.2012: Es funktioniert! Alles prima und super - nochmal danke für die Anleitung! ;)
Bitte warten ..
Mitglied: vlink78
17.12.2013 um 20:57 Uhr
Hallo,

weiß jemand wie ich an das PDF Tutorial zur Einrichtung von IP-TV komme??

Bzw hat es jemand schonmal geschaut Telekom Entertain mit einer Fortinet Firewall zum laufen zu bringen?
Bin über jeden Hinweis dankbar.

Vielen Dank!
Bitte warten ..
Mitglied: brammer
17.12.2013 um 22:17 Uhr
Hallo,

Der blaue schriftteil im Tutorial von @aqui ist ein link.

Und für deine frage zur Fortinet machst du besser einen neuen Beitrag.

Brammer
Bitte warten ..
Mitglied: vlink78
17.12.2013 um 22:43 Uhr
Danke Dir. Aber hast Du Dir mal den Link angeschaut? Da komme ich auf eine komische Seite und müsste mir eine exe installieren...
Bitte warten ..
Mitglied: aqui
18.12.2013, aktualisiert um 11:28 Uhr
Das ist natürlich Blödsinn mit der .exe zum Installieren.
Klicke den Link der "Click here to start download from sendspace" beschriftet ist und dann kommst du direkt zu dem gewünschten PDF !!

Auch mit der Fortinet ist das kein Thema wenn du dort Multicast Forwarding aktivierst wie es im o.a. Cisco TV PDF beschrieben ist. Es ist die identische Prozedur nur eben mit Fortinet Syntax.
Bitte warten ..
Mitglied: vlink78
18.12.2013 um 13:20 Uhr
Vielen lieben Dank! Da stand ich wohl auf dem Schlauch.

Dann denkst Du sollte IPTV bei mir auch mit der Fortinet problemlos funktionieren? Habe ja dazu noch ein Zyxkel Modem an WAN1 hängen welches im Bridge Mode läuft. Habe bei mir 'nur' das Problem, dass das Bild nach ca 10 Sekunden einfriert.Sprich wenn er auf Multicast umschaltet. Gibt es hier vielleicht noch Fortinet Spezialisten? Komme nicht ganz zurecht mit der Umsetzung der Cisco Befehle auf Fortinet. Hauptsächlich wie ich die IP Adresse des Multicast Routers der Telekom herausfinde

Vielen Dank!
Bitte warten ..
Mitglied: aqui
18.12.2013 um 13:31 Uhr
Es kommt auf die Fortinet an ?! Wenn sie diese Multicast Features supportet ist das kein Ding. Das solltest du aber wasserdicht im Datenblatt oder Manual klären.
Um die Multicast IP des T-Com Routers rauszubekommen müsste die Fortinet auch so eine Debugging Möglichkeit haben, da hast du Recht. Das brauchst du zwingend damit das stabil rennt. In der Regel gibt es aber auch bei bessen Firewalls (zu denen man Fortinet ja zählen kann) sowas.
Bitte warten ..
Mitglied: vlink78
18.12.2013 um 13:44 Uhr
Ja Multicast kann meine Fortinet. Habe auch schon Multicast Policies angelegt. Mir fehlt scheinbar nur noch die Möglichkeit wie ich die IP Adresse des Multicast Routers der Telekom herausfinden kann.
Bitte warten ..
Mitglied: cpt-haddock
28.12.2014 um 10:44 Uhr
Vieleicht hilft es jemand im Home-IP TV Konfiguration. Der Link zum PDF ist schon etwas alt, und der Rendez Vous Point IP kann einfacher ermittelt werden. Die Routen zu rp-address wird über DHCP mitgeteilt. Wenn das interface Ethernet0.8 korrekt konfiguriert ist, kommt es mit einer 10.X.X.X hoch, und es werden 2 Routen gelernt. show dhcp lease zeigt dann etwas wie (abhängig vom Ort):
Temp ip static route0: dest 193.158.132.189 router 10.34.63.254
Temp ip static route0: dest 87.141.128.0 router 10.34.63.254
In meinen Fall ist der RP die 87.141.128.0.
Bitte warten ..
Mitglied: aqui
29.12.2014 um 10:03 Uhr
Hallo Captain !
Danke für den hilfreichen Tip ! Ich werde das Tutorial entsprechend anpassen !
Bitte warten ..
Mitglied: cpt-haddock
27.07.2015 um 16:25 Uhr
Hi, ich bekomme demnächst einen Dual-Stack Anschluss. Hat jemand den IPv6 Teil der Config für den SLAAC (WAN) und DHCP PD (LAN) Teil?
Bitte warten ..
Mitglied: Ciscoholic
12.08.2015, aktualisiert 13.08.2015
Nachdem die Telekom vor einigen Wochen meinen ISDN-Anschluss zwangsweise migriert hat, habe ich zu Testzwecken eine IPv6 Konfiguration gebaut, die keinen Anspruch auf Vollständigkeit und Fehlerfreiheit erhebt, aber sicher als Startpunkt für eigene Gehversuche dienen kann.
Da auch im internen Netz öffentliche IPv6-Adressen zum Einsatz kommen, sind alle Klienten End-to-End ohne NAT aus dem Internet erreichbar, so dass als erstes ein wichtiger Hinweis folgt…

HINWEIS: Als erstes sind zwingend die ACLs und die Firewall zu konfigurieren!!!

Entsprechend gibt es zunächst ein paar Vorarbeiten:
Der Router wird weiterhin aus dem internen Netz ausschließlich über IPv4 administriert und somit alle Remote-Zugänge über IPv6 gesperrt. Leider ändert die Telekom nicht nur die externe IPv6-Adresse täglich, sondern auch das /56 Präfix für die internen Netze. Wer also intern via IPv6 auf den Router zugreifen will, müsste die ACL somit täglich anpassen, was man aber über EEM automatisieren könnte, oder zusätzlich mit Unique Local Adressen (FC00::/7) arbeiten.
ipv6 access-list BLOCKv6 
  deny ipv6 any any log-input 
line vty 0 4 
  ipv6 access-class BLOCKv6 in 
! 
Dann folgt die ACL für die externe WAN-Schnittstelle. Die ersten beiden Zeilen stehen zwar als Default implizit vor dem erwarteten impliziten „deny ipv6 any any“, aber da ich am Ende mit einem expliziten Deny arbeite, sind sie zwingend notwendig, damit die Neighbor Discovery funktioniert.
Danach wird UDP Port 546 geöffnet, der DHCP Client Port für IPv6. Die weiteren Einträge dienen vor allem dazu, über die Matches zu sehen, was an Traffic über die Schnittstelle läuft.
ipv6 access-list WAN_OUTSIDE_INv6 
  permit icmp any any nd-na sequence 10 
  permit icmp any any nd-ns sequence 11 
  permit udp any any eq 546 sequence 12 
  permit icmp any any sequence 20 
  permit tcp any any established sequence 40 
  deny ipv6 any any log-input sequence 100 
ipv6 access-list WAN_INSIDE_OUTv6 
  permit icmp any any sequence 10 
  permit tcp any any sequence 20 
  permit udp any any sequence 30 
  deny ipv6 any any log-input sequence 100 
! 
Nun die Firewall-Regeln:
ipv6 inspect name FWv6 tcp 
ipv6 inspect name FWv6 udp 
ipv6 inspect name FWv6 icmp 
! 
Neben dem Binden der ACL und Firewall-Regeln auf die WAN-Schnittstelle, setzen wir auch gleich ein paar weitere Einstellungen:
interface Dialer0 
  no ipv6 redirects 
  no ipv6 unreachables 
  ipv6 verify unicast reverse-path 
  ipv6 traffic-filter WAN_OUTSIDE_INv6 in 
  ipv6 traffic-filter WAN_INSIDE_OUTv6 out 
  ipv6 inspect FWv6 out 
! 
Jetzt kommen wir endlich zur Konfiguration der IPv6-Adressen und des Pools für die internen Klienten. Die Telekom weist uns nicht nur eine IPv6-Adresse für die WAN-Schnittstelle zu, sondern auch ein /56 Präfix für unsere internen Netze, dass sich aber leider ebenfalls täglich ändert. Dieses Präfix wird einem DHCPv6-Pool zugewiesen, so dass der Router intern als DHCPv6-Server agieren kann. Man kann hier stattdessen auch nur SLAAC verwenden, aber DHCPv6 bietet natürlich mehr Optionen und Kontrolle.
ipv6 dhcp pool TELEKOMv6_POOL 
  prefix-delegation pool TELEKOMv6_PREFIX 
  import dns-server 
  domain-name testdomain.local 
interface Dialer0 
  ipv6 address FE80::179:1 link-local 
  ipv6 address autoconfig default 
  ipv6 enable 
  ipv6 dhcp client pd TELEKOMv6_PREFIX 
interface Vlan1 
  ipv6 address FE80::178:1 link-local 
  ipv6 enable 
  ipv6 address TELEKOMv6_PREFIX ::1/64 
  ipv6 nd other-config-flag 
  ipv6 dhcp server TELEKOMv6_POOL 
! 
Zum Abschluss müssen nun noch das IPv6-Routing und CEF aktiviert werden.
ipv6 unicast-routing 
ipv6 cef 
! 
Mit einem "clear interface dialer 0" können wir uns dann die ersten IPv6-Adressen vom Provider holen.
Auf internen Windows-Clients reicht jetzt ein “ipconfig /renew”, um sich eine öffentliche IPv6-Adresse zu holen und testweise mal einen IPv6-Ping abzusetzen:
C:\Users\Ciscoholic>ping -6 www.heise.de 
 
Pinging www.heise.de [2a02:2e0:3fe:1001:7777:772e:2:85] with 32 bytes of data: 
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=26ms 
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms 
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=22ms 
Reply from 2a02:2e0:3fe:1001:7777:772e:2:85: time=21ms 
 
Ping statistics for 2a02:2e0:3fe:1001:7777:772e:2:85: 
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 
    Minimum = 21ms, Maximum = 26ms, Average = 22ms 
 
C:\Users\ Ciscoholic >
…und noch ein paar nützliche SHOW-Befehle, aus Platzgründen mit leicht gekürztem Output und natürlich geänderten Adressen:
Cisco886va#show ipv6 dhcp interface 
Dialer0 is in client mode 
  Prefix State is OPEN (0) 
  Information refresh timer expires in 23:58:45 
  Renew will be sent in 00:13:45 
  Address State is IDLE 
  List of known servers: 
    Reachable via address: FE80::233:44FF:FE55:6677 
    DUID: 0001000100010001000100010001 
    Preference: 0 
    Configuration parameters: 
      IA PD: IA ID 0x000F0001, T1 900, T2 1440 
        Prefix: 2003:6F:1234:5600::/56 
                preferred lifetime 1800, valid lifetime 14400 
                expires at Aug 12 2015 08:30 PM (14326 seconds) 
      DNS server: 2003:180:2:1000:0:1:0:53 
      DNS server: 2003:180:2:5000:0:1:0:53 
      Information refresh time: 0 
  Prefix name: TELEKOMv6_PREFIX 
  Prefix Rapid-Commit: disabled 
  Address Rapid-Commit: disabled 
Vlan1 is in server mode 
  Using pool: TELEKOMv6_POOL 
  Preference value: 0 
  Hint from client: ignored 
  Rapid-Commit: disabled 
 
Cisco886va#show ipv6 interface dialer 0 
Dialer0 is up, line protocol is up 
  IPv6 is enabled, link-local address is FE80::179:1 
  No Virtual link-local address(es): 
  Description: VDSL Internet Dial-Up Connection 
  Stateless address autoconfig enabled 
  Global unicast address(es): 
    2003:6F:1234:ABCD::179:1, subnet is 2003:6F:1234:ABCD::/64 [EUI/CAL/PRE] 
      valid lifetime 14307 preferred lifetime 1707 
  Joined group address(es): 
    FF02::1 
    FF02::2 
    FF02::1:FF79:1 
  MTU is 1500 bytes 
  ICMP error messages limited to one every 100 milliseconds 
  ICMP redirects are disabled 
  ICMP unreachables are disabled 
  … 
  Inbound access list WAN_OUTSIDE_INv6 
 IPv6 verify source reachable-via rx, allow default 
   108 verification drop(s) (process), 0 (CEF) 
   0 suppressed verification drop(s) (process), 0 (CEF) 
  Outbound Inspection Rule FWv6 
  Outgoing access list WAN_INSIDE_OUTv6 
  … 
  ND RAs are suppressed (periodic) 
  Hosts use stateless autoconfig for addresses. 
 
Cisco886va#show ipv6 interface vlan 1 
Vlan1 is up, line protocol is up 
  IPv6 is enabled, link-local address is FE80::178:1 
  No Virtual link-local address(es): 
  Description: Internes LAN 
  General-prefix in use for addressing 
  Global unicast address(es): 
    2003:6F:1234:5600::1, subnet is 2003:6F:1234:5600::/64 [CAL/PRE] 
      valid lifetime 14235 preferred lifetime 1635 
  Joined group address(es): 
    FF02::1 
    FF02::2 
    FF02::1:2 
    FF02::1:FF00:1 
    FF02::1:FF78:1 
    FF05::1:3 
  MTU is 1500 bytes 
  … 
  ND router advertisements are sent every 200 seconds 
  ND router advertisements live for 1800 seconds 
  ND advertised default router preference is Medium 
  Hosts use stateless autoconfig for addresses. 
  Hosts use DHCP to obtain other configuration. 
 
Cisco886va#show ipv6 route 
IPv6 Routing Table - default - 7 entries 
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route 
       B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP 
       H - NHRP, D - EIGRP, EX - EIGRP external, ND - ND Default 
       NDp - ND Prefix, DCE - Destination, NDr - Redirect, O - OSPF Intra 
       OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1 
       ON2 - OSPF NSSA ext 2, la - LISP alt, lr - LISP site-registrations 
       ld - LISP dyn-eid, a - Application 
ND  ::/0 [2/0] 
     via FE80::233:44FF:FE55:6677, Dialer0 
S   2003:6F:1234:5600::/56 [1/0] 
     via Null0, directly connected 
C   2003:6F:1234:5600::/64 [0/0] 
     via Vlan1, directly connected 
L   2003:6F:1234:5600::1/128 [0/0] 
     via Vlan1, receive 
NDp 2003:6F:1234:ABCD::/64 [2/0] 
     via Dialer0, directly connected 
L   2003:6F:1234:ABCD::179:1/128 [0/0] 
     via Dialer0, receive 
L   FF00::/8 [0/0] 
     via Null0, receive 
Cisco886va#
Bitte warten ..
Mitglied: Ciscoholic
13.08.2015 um 00:02 Uhr
Bei neueren IOS-Versionen hat Cisco den Default-Wert für das PPP Throttling drastisch verschärft, so dass der Router nach einem IOS-Update plötzlich keine IP-Adresse mehr bekommt.

Mit einem „debug ppp negotiation“ sieht man dann folgende Zeilen:
Vi2 PPP: Control packet rate limit 10 reached 
Vi2 PPP: Entering block state for 30 seconds 
Vi2 PPP: Packet throttled, Dropping packet
Ursache ist ein (aktuell nicht öffentlich zugänglicher) Bug, bei dessen Behebung Cisco das PPP Throttling von offen wie ein Scheunentor auf extrem aggressive Werte geändert hat:
vor CSCuo88855: 
der Default waren 10.000 Packets in 3.600 sec ohne Blocking (ppp packet throttle 10000 3600 0) 
 
nach CSCuo88855: 
der Default sind 10 Packets in 1 sec mit 30 sec Blocking (ppp packet throttle 10 1 30)
Bei mir sind die Verbindungsprobleme nach einem Update auf die aktuelle IOS-Version 15.4(3)M3 aufgetreten.
Die Lösung liegt in der Anpassung auf etwas moderatere Werte:
ppp packet throttle 50 5 30
Mit diesen Werten funktioniert es wieder reibungslos.

…und dann stellt sich mir noch die Frage, wieso ihr noch die Authentifizierung mit PAP verwendet, obwohl die Telekom doch schon seit vielen Jahren CHAP unterstützt.
Also am besten die PAP-Zeilen ganz schnell löschen und durch die entsprechende CHAP-Authentifizierung ersetzen:
interface dialer 0 
  ppp authentication chap callin 
  ppp chap hostname 00123456789012345678#0001@t-online.de 
  ppp chap password 1234567
Bitte warten ..
Mitglied: aqui
22.08.2015 um 18:49 Uhr
Danke für den Hinweis !
Hier allerdings mit einer Version 15.4(3)M2 an einem T-Com Anschluss keinerlei Probleme und eine Anpassung ist nicht erforderlich. Der Unterschied von M2 zu M3 sollte dabei marginal sein wenn man die release Notes dazu liest.
Bitte warten ..
Mitglied: gierig
13.11.2015 um 10:24 Uhr
Bin umgestiegen auf einen C887VA-W-E-K9 (vorher 876W, Umstieg wegen Vorbereitung auf VDSL)

mit Version 15.4(3)M2 kann ich das PPP Throttling Problem nachvollziehen.

(ADSL2+ Verbindung)

ppp packet throttle 50 5 30 hat es sofort gelöst.
Danke für den Hinweis.
Bitte warten ..
Mitglied: Noiseless
24.11.2015, aktualisiert um 18:03 Uhr
Hat schon jemand einen Cisco Router an einem Telekom BNG ADSL Anschluss laufen ? Bei BNG Anschlüssen muss man das VLAN Tag 7 selber setzen, allerdings habe ich bisher kein Erfolg.
Bitte warten ..
Mitglied: aqui
27.11.2015, aktualisiert um 13:20 Uhr
Ist ja oben im Tutorial ganz genau erklärt wie man es macht. Klar, dazu muss man das Tutorial natürlich lesen !!!
nterface FastEthernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7

no ip route-cache
pppoe enable
pppoe-client dial-pool-number 1
!

Damit funktioniert es mit allen IOS basierten Cisco Routern fehlerlos !
Genau das encapsulation... Kommando bedeutet das der Frame am WAN Port ein 802.1q tagged Frame mit der VLAN ID 7 sein soll.
Wer lesen kann....
Bitte warten ..
Mitglied: Wuppi68
27.11.2015, aktualisiert 28.11.2015
moin moin,

erst einmal ein ganz großes DANKE für die Informationen

Nun habe ich noch ein "kleines" Problem.

1. Router Cisco 866 mit VDSL Modem --> Funktion OK
2. Router Cisco 892 mit Speedport 300HS Modem --> Funktion OK

Problem:
bei beiden Routern bekomme ich kein gescheites Bild (Artefakte/kein Ton) an einem VDSL 50 Anschluß.
In den ersten 10 Sekunden ist es perfekt, dann bei der Umschaltung auf VLAN 8 treten die Artefakte ganz extrem auf.

Was kann ich da noch tun? Meine Fritzbox schafft es problemlos .... und der Cisco sollte es dann auch schaffen

Hier noch Teile meiner Config:

01.
interface GigabitEthernet0 
02.
 no ip address 
03.
 no ip route-cache cef 
04.
 no ip route-cache 
05.
 duplex auto 
06.
 speed auto 
07.
 no cdp enable 
08.
 hold-queue 256 in 
09.
10.
interface GigabitEthernet0.7 
11.
 description VDSL Internet Verbindung - VLAN 7 tagged 
12.
 encapsulation dot1Q 7 
13.
 no ip route-cache 
14.
 pppoe-client dial-pool-number 1 
15.
 no cdp enable 
16.
17.
interface GigabitEthernet0.8 
18.
 description VDSL Multicast Entertain - VLAN 8 tagged 
19.
 encapsulation dot1Q 8 
20.
 ip dhcp client broadcast-flag clear 
21.
 ip address dhcp 
22.
 ip pim sparse-mode 
23.
 no ip route-cache 
24.
 ip igmp helper-address 10.50.255.254 
25.
 ip igmp version 3 
26.
 ip igmp explicit-tracking 
27.
 ip igmp proxy-service 
28.
 no cdp enable 
29.
30.
interface Vlan1 
31.
 description Lokales LAN 
32.
 ip address 192.168.99.250 255.255.255.0 
33.
 no ip redirects 
34.
 no ip unreachables 
35.
 no ip proxy-arp 
36.
 ip pim sparse-mode 
37.
 ip nat inside 
38.
 ip virtual-reassembly in 
39.
 ip tcp adjust-mss 1452 
40.
 ip igmp helper-address 10.50.255.254 
41.
 ip igmp version 3 
42.
 ip igmp explicit-tracking 
43.
 ip igmp query-interval 15 
44.
 ip igmp proxy-service 
45.
46.
interface Dialer0 
47.
 description DSL Einwahl Interface 
48.
 ip ddns update hostname fritz.heibox.com 
49.
 ip ddns update dyndns 
50.
 ip address negotiated 
51.
 ip access-group PUBLIC-VDSL in 
52.
 no ip redirects 
53.
 no ip unreachables 
54.
 no ip proxy-arp 
55.
 ip mtu 1492 
56.
 ip pim sparse-mode 
57.
 ip nat outside 
58.
 ip inspect myfw out 
59.
 ip virtual-reassembly in 
60.
 encapsulation ppp 
61.
 ip igmp version 3 
62.
 ip igmp query-interval 15 
63.
 ip igmp proxy-service 
64.
 dialer pool 1 
65.
 dialer-group 1 
66.
 no keepalive 
67.
 ppp authentication pap callin 
68.
 ppp chap hostname xxx#0001@t-online.de 
69.
 ppp chap password 7 xxx 
70.
 ppp pap sent-username xxx#0001@t-online.de password 7 xxx 
71.
 ppp ipcp dns request 
72.
 ppp ipcp mask request 
73.
 ppp ipcp route default 
74.
 no cdp enable 
75.
76.
no ip forward-protocol nd 
77.
!!!! some parts deleted 
78.
ip access-list extended PUBLIC-VDSL 
79.
 permit tcp any any established 
80.
 permit igmp host 10.50.255.254 any 
81.
 permit icmp host 10.50.255.254 any 
82.
 permit ip any 224.0.0.0 15.255.255.255 
83.
 permit udp any gt 40000 any 
84.
 permit icmp any any administratively-prohibited 
85.
 permit icmp any any echo-reply 
86.
 permit icmp any any packet-too-big 
87.
 permit icmp any any time-exceeded 
88.
 permit icmp any any unreachable 
89.
 permit udp any eq domain any 
90.
 permit tcp any eq domain any 
91.
 permit udp any eq ntp any 
92.
 permit gre any any 
93.
94.
ip pim rp-address 10.50.255.254


jemand noch einen Tip?

Gruß und Dank

Ralf
Bitte warten ..
Mitglied: aqui
28.11.2015 um 15:10 Uhr
Zeigt ja eigentlich das es Durchsatz oder Performance Probeme gibt
Hast du mal ein show proc cpu oder nur show cpu gemacht um zu sehen wie die Last auf dem Router ist ?
Hast du testweise mal das oben empfohlene ppp packet throttle 50 5 30 auf dem PPP Interface probiert.
Bitte warten ..
Mitglied: Wuppi68
28.11.2015 um 21:40 Uhr
Hallo aqui,

CPU ist maximal bei ca. 15%

den ppp Test werde ich erst morgen machen können.

Habe noch ein paar Configs im Bridgemode gefunden. Werde die dann auch noch entsprechend testen.

Infos gibt es aber erst nächste Woche.

Dank

Ralf
Bitte warten ..
Mitglied: aqui
28.11.2015 um 21:57 Uhr
Die CPU Last ist normal..daran liegt es nicht.
Bridge Mode sagt mir jetzt nix aber dann warten wir mal die kommende Woche ab...
Bitte warten ..
Mitglied: Wuppi68
29.11.2015 um 00:48 Uhr
kleine Zwischeninfo:

ppp hat nichts gebracht

noch einmal alle Routing Optionen durchgetestet - dann kam Klitschko und ich musste wieder auf die FB umschalten ...

mein nächster Versuch wird sein, meine Entertainbox in Vlan 7 zu hängen um dann entsprechend "nur" noch zu bridgen.

Schon wir mal was draus wird
Bitte warten ..
Mitglied: aqui
30.11.2015 um 10:40 Uhr
dann kam Klitschko und ich musste wieder auf die FB umschalten ...
Hätt'st du besser bleiben gelassen um dir das Elend nicht mit ansehen zu müssen
Bitte warten ..
Mitglied: Noiseless
03.12.2015, aktualisiert um 12:24 Uhr
Hallo Aqui,

ich ignoriere lieber deine Vorwürfe, dass ich den Thread nicht gelesen habe.

Die von Dir genannte Konfiguration zählt nur für DSL Anschlüsse die im PTM Modus laufen. (VDSL)

Mein Anschluss läuft allerdings im ATM Modus. (ADSL2+)

Betreibe den Anschluss nun im Bridge Modus.

interface ATM0/0/0.1
pvc 1/32
bridge-dot1q encap 7

Ob das wirklich korrekt ist, kann ich aktuell noch nicht sagen.
Bitte warten ..
Mitglied: Vampi1977
03.12.2015 um 19:14 Uhr
Hallo Noiseless,

deine Einstellung ist richtig!!! Im Rahmen der Technischen Richtlinie 112 (1TR112) wird in Zukunft jegliche Einwahl ohne Vlan Tag auch bei ADSL zurückgewiesen.

Wer das noch nicht umgesetzt hat sollte es bei seinem Annex J Anschluss baldmöglichst umsetzten. Wir wurden schon angeschrieben das die Telekom jederzeit die Umstellung vollziehen kann.

Hinweis des Providers MK-Netzdienste (Erstklassiger Service BTW):

Laut Telekom gibt es vermehrt Hinweise darauf, dass sich einzelne von Kunden eingesetzte Endgeräte nicht gemäß der technischen Richtlinie verhalten. Endgeräte, die nicht der 1TR112 entsprechen, bewirken, dass die von der Telekom bereitgestellten Access-Teilleistungen eventuell nicht wie vertraglich vorgesehen nutzbar sind.

An dieser Stelle möchten wir insbesondere erwähnen, dass für alle Endgeräte gemäß 1TR112, Ziffer 9.3.1 eine Einwahl über VLAN7, single tagged, erfolgen muss, da die Endgeräte beim Online-User ansonsten gegebenenfalls keine PPPoE-Session aufbauen.

Wir weisen hier daraufhin, dass es sich hier nur um die Einwahl von ADSL SA Annex J und VDSL SA handelt !!!

Bislang konnten die ADSL SA Annex-J Leitungen auch ohne VLAN 7 genutzt werden, diese Möglichkeit wird im Rahmen der BNG-Migration bei der Telekom wegfallen. Es sollten daher schon jetzt alle ADSL SA Annex-J auf VLAN7 konfiguriert werden!
Bitte warten ..
Mitglied: aqui
08.12.2015, aktualisiert um 09:18 Uhr
ich ignoriere lieber deine Vorwürfe, dass ich den Thread nicht gelesen habe.
Die von Dir genannte Konfiguration zählt nur für DSL Anschlüsse die im PTM Modus laufen. (VDSL)
Mein Anschluss läuft allerdings im ATM Modus. (ADSL2+)
Sorry aber nun muss man dir scheinbar zu Recht den Vorwurf machen das du das Tutorial nicht gelesen hast !
Oben ist doch ganz klar auch eine ADSL2+ Konfig angegeben:
nterface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!

Diese Konfig funktioniert hier wenigstens mehrfach an einem T-Com ADSL2+ Anschluss fehlerlos. Sollte ja auch, denn der o.a. Router hat ein Hybridmodem das im Autodetection Mode arbeitet. Den ADSL2+ Negotiation Prozess kannst du auch live mitsehen wenn du den Debugger einmal aktivierst auf dem CLI.
Da ist nix mit Bridge Modus usw....
Bitte warten ..
Mitglied: Vampi1977
08.12.2015 um 20:20 Uhr
Hallo Aqui,

die von dir aufgeführte Config funktioniert aktuell perfekt für alle ANNEX B und ANNEX J Anschlüsse bis die Telekom ernst macht. Ab Tag X (Wann das ist weiß vermutlich noch nicht mal die Telekom) wird ohne Vorwarnung die Einwahl ohne VLAN Tag am Annex J ADSL zurückgewiesen... Wer dann nicht mit den Bridge Modus beim ADSL 2+ Anschluss (ADSL SA Annex-J) arbeitet oder arbeiten kann hat Pech.

Noiseless hat die Config die auch sicher nach der Umstellung geht. Wir dürfen das auf mehreren hundert Geräten nachbessern.

So sollte es aussehen wenn der Anschluss auch wirklich ein Annex J ist (Cisco 886VAJ, IOS 15.4M3, siehe Trained Mode).

sh controller vdsl 0
Controller VDSL 0 is UP
Daemon Status: Up
XTU-R (DS) XTU-C (US)
Chip Vendor ID: 'BDCM' 'IFTN'
Chip Vendor Specific: 0x0000 0x82B9
Chip Vendor Country: 0xB500 0xB500
Modem Vendor ID: 'CSCO' ' '
Modem Vendor Specific: 0x4602 0x0000
Modem Vendor Country: 0xB500 0x0000
Serial Number Near: FCZ19349253 C886VAJ- 15.4(3)M3
Serial Number Far:
Modem Version Near: 15.4(3)M3
Modem Version Far: 0x82b9
Modem Status: TC Sync (Showtime!)
DSL Config Mode: AUTO
Trained Mode: G.992.5 (ADSL2+) Annex J


sh run int atm0.1
Building configuration...
Current configuration : 110 bytes
!
interface ATM0.1 point-to-point
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
end


Ich kann nur nochmals auf den Hinweis vom Provider verweisen:

Bislang konnten die ADSL SA Annex-J Leitungen auch ohne VLAN 7 genutzt werden, diese Möglichkeit wird im Rahmen der BNG-Migration bei der Telekom wegfallen. Es sollten daher schon jetzt alle ADSL SA Annex-J auf VLAN7 konfiguriert werden!

Falls du einen Annex J Anschluss hat probiere es einfach aus. Einwahl geht aktuell mit oder ohne Bridge Mode.

Gruß,

Vampi
Bitte warten ..
Mitglied: aqui
09.12.2015 um 09:41 Uhr
Das ist vermutlich genau der Punkt weil es hier auch mit der "alten" Konfig fehlerlos an einem Annex J Anschluss rennt.
Aber danke für den wichtigen Tip mit dem Tagging !
Dann weiss man wenigstens wenn es eines tages mal nicht gehen sollte das die Telekom umgestellt hat auf VLAN 7 Tagging.
Bitte warten ..
Mitglied: Paveway
20.02.2016 um 02:01 Uhr
Hallo Zusammen,

ich bin relativ neu auf dem Gebiet der Cisco Router welche über einen normalen Endkundenbereich hinausgehen und habe die letzten 2 Wochen damit verbracht mir etliche Dokumentationen und Tutrorials durchzuarbeiten.

Folgende Situation habe ich:
Ein Cisco 866VAE-W-K9 ist an einen VDSL ALL IP der Telekom angeschlossen.
Die Konfiguration habe
ich nach reichlicher Durchforstung dieses Tutorials und Docs von Cisco ohne Probleme hinbekommen, kann aber aus dem LAN nicht ins I-NET pingen.

Soll heißen:
Cisco 866VAE Router direkt am ALL IP Anschluß der Telekom, IP Addresse wurde zugewiesen, ein ping oder tracert direkt vom CLI an z.B. www.t-online.de ist ohne weiteres möglich.

Alle Clients im LAN können sich ebenfalls anpingen, aber:
ein Ping von einem Client aus dem LAN an z.B. www.t-online.de scheitert an einem "Host unreachable".
Die DNS Auflösung klappt ohne Probleme, aber selbst das anpingen der IP endet in der gleichen Sackgasse.
Ich denke es ist einfach nur ein simples Routing Problem welches ich übersehen habe, da ich mich aber an diesem Turorial orientiert habe, weiß ich aktuell nicht wirklich warum dieses Problem auftritt.
Ein tracert endet im Übrigen immer an der IP des Routers.

Es hat also nichts mit dem VDSL Anschluss zu tun, sondern eher mit der Grund Konfig des Routers.

Hat jemand einen Tip für mich?
Bitte warten ..
Mitglied: aqui
22.02.2016, aktualisiert um 12:07 Uhr
welche über einen normalen Endkundenbereich hinausgehen
Kommt wie immer darauf an was du für dich als "Endkunden" definierst...?!
und habe die letzten 2 Wochen damit verbracht mir etliche Dokumentationen und Tutrorials durchzuarbeiten.
Mmmhhh... Eine einzige, nämlich diese hier, hätte dich sofort zum Ziel geführt in 10 Minuten
ich nach reichlicher Durchforstung dieses Tutorials und Docs von Cisco ohne Probleme hinbekommen,
Klasse...Glückwunsch. Ist aber auch nicht schwer wenn man nur abtippen muss
kann aber aus dem LAN nicht ins I-NET pingen.
Ooops...eben hast du aber gesagt du hast alles hinbekommen ?? Was denn nun ?
ein ping oder tracert direkt vom CLI an z.B. www.t-online.de ist ohne weiteres möglich.
Sehr gut ! Das zeigt aber ganz klar das alles sauber klappt mit deiner Routerkonfig und der böse Buhmann, wie zu erwarten war, NICHT der Router ist sondern dein Endgerät !!
ch denke es ist einfach nur ein simples Routing Problem
Nein, das ist es in der Regel nie !! Wie auch ?? Der Router hat eine default Route und schickt alles an den Provider ? Dein Client ebenso, der hat (sollte haben) eine default Route auf deinen Router...da ist also nicht groß mit Routing !
Es hat also nichts mit dem VDSL Anschluss zu tun, sondern eher mit der Grund Konfig des Routers.
Nein ! Ganz und gar nicht, denn sonst könntest du vom CLI des Routers nicht ins Internet pingen.

OK, fangen wir mal strategisch an:
  • Pingen, nslookup und traceroute vom Router CLI auf www.heise.de z.B. klappen ! Das zeigt mit dem Router und seiner ist alles in Ordnung !
  • Was sagt ein show hosts auf deinem CLI ?? Sieht du dort aufgelöste DNS Namen deiner angepingten Ziele ? Wenn ja würde das bedeuten das auch dein DNS Proxy auf dem Cisco sauber rennt.
  • Was sagt ein ipconfig -all in der Eingabeaufforderung eines Windows Clients am Router ??
  • Bekommt der Client eine korrekte IP Adressierung per DHCP vom Router ? Zeigt der die Router LAN IP als Gateway IP und auch als DNS IP ?
  • Wenn ja, kannst du den Router bzw. seine LAN IP anpingen ?
  • Wenn ja kannst du auch die 8.8.8.8 anpingen ?
Am Router selber liegt das Problem de facto nicht !
Bitte warten ..
Mitglied: Paveway
22.02.2016 um 13:58 Uhr
Moin aqui,

danke für die Antwort, ich hab's inzwischen aber hinbekommen.
Ich hatte den Wald vor lauter Bäumen in dem Falle nicht gesehen und seid dem ersten Versuch an stumpf und einfach das NAT vom internen LAN ins WAN Interface versaut...
Das war auch schon alles.

Mit Endkundenbereich meine ich so Krempel wie den Speedport W7xx von der Telekom, welcher jetzt ausgemustert wurde.

Wie immer saß der Fehler in dem Falle also vor dem Bildschrim ;)

Und ich schrieb doch: ich habe mich "orientiert", da der 866er doch leicht anders Aufgebaut ist, zumindest in den vordefinierten Interfaces ect. im Werkszustand.
Bitte warten ..
Mitglied: aqui
23.02.2016 um 09:31 Uhr
so Krempel wie den Speedport W7xx von der Telekom, welcher jetzt ausgemustert wurde.
Eine gute Tat !

Gut wenn nun alles rennt wie es soll !
Bitte warten ..
Mitglied: cpt-haddock
24.04.2016 um 11:29 Uhr
Ciscoholic, all,
Erst mal danke für all die Infos. Echt Klasse!
Ich will jetzt auch IPv6 auf dem Gastnetz (Vlan2) haben.
Das IPv6 PD prefix ist ein /56, im Beispiel: 2003:6F:1234:5600::/56, Prefix name: TELEKOMv6_PREFIX
Im Vlan1 ist dann 2003:6F:1234:5600::/64, interface kommt aus ipv6 address TELEKOMv6_PREFIX ::1/64
Wie bekomme ich auf Vlan2 einen 2003:6F:1234:5601::/64?
Wie lege ich einen zweiten ipv6 dhcp pool für ein domain-name Gastnetz an?
Was muss in eine ipv6 access-list damit kein Forwarding zwischen Vlan1 und Vlan2 stattfindet?
Bitte warten ..
Mitglied: cpt-haddock
30.04.2016 um 11:23 Uhr
Erst mal danke.
Es ist aber noch nicht so richtig was ich wollte. Ich will den Prefix den ich von der Telekom bekomme (TELEKOMv6_PREFIX) mittels dhcp in Vlan1 und Vlan2 verteilen. Meine config:
Dies sind die Pools:
01.
ipv6 dhcp pool TELEKOMv6_POOL 
02.
 prefix-delegation pool TELEKOMv6_PREFIX 
03.
 import dns-server 
04.
 domain-name homenet
01.
ipv6 dhcp pool TELEKOMv6_GAST 
02.
 import dns-server 
03.
 domain-name guestnet
und die interfaces:
01.
interface Vlan1 
02.
 ipv6 address TELEKOMv6_PREFIX ::1/64 
03.
 ipv6 enable 
04.
 ipv6 nd other-config-flag 
05.
 ipv6 dhcp server TELEKOMv6_POOL
01.
interface Vlan2 
02.
 ipv6 address TELEKOMv6_PREFIX ::10:0:0:0:1/64 
03.
 ipv6 enable 
04.
 ipv6 nd other-config-flag 
05.
 ipv6 dhcp server TELEKOMv6_GAST
01.
interface Dialer0 
02.
 ipv6 address FE80::179:1 link-local 
03.
 ipv6 address autoconfig default 
04.
 ipv6 enable 
05.
 ipv6 dhcp client pd TELEKOMv6_PREFIX
und
show ipv6 dhcp pool:
01.
DHCPv6 pool: TELEKOMv6_POOL 
02.
  Prefix pool: TELEKOMv6_PREFIX 
03.
               preferred lifetime 604800, valid lifetime 2592000 
04.
  Imported DNS server: 2003:180:2:5000:0:1:0:53 
05.
  Imported DNS server: 2003:180:2:2000:0:1:0:53 
06.
 
07.
DHCPv6 pool: TELEKOMv6_GAST 
08.
  Imported DNS server: 2003:180:2:5000:0:1:0:53 
09.
  Imported DNS server: 2003:180:2:2000:0:1:0:53
der dhcp pool TELEKOMv6_POOL hat den /56 Prefix, ich will aber nicht den selben /56 Prefix im dhcp pool TELEKOMv6_GAST verwenden. Ich will im TELEKOMv6_POOL ein /60 Prefix und im TELEKOMv6_GAST ein anderes /60 Prefix.
Bitte warten ..
Mitglied: aqui
30.04.2016, aktualisiert um 13:29 Uhr
Deine IPv6 DHCP Konfiuration ist unvollständig bzw. fehlt vollkommen, deshalb geht das nicht.
Dir fehlt der entsprechende v6 Pool (exclude etc.) und die Gateway, DNS Definition den der Router dem /64 Interface zuordnen kann.
Das ist identisch zu v4.
Bitte warten ..
Mitglied: cpt-haddock
16.05.2016 um 20:54 Uhr
@aqui, danke.
Aber wie lege ich den v6 pool an? wenn ich ein IPv6 local pool anlege will, muss ich ein Prefix eingeben, den ich aber erst im Dialer interface mit ipv6 dhcp client pd TELEKOMv6_PREFIX lernen werde. Siehe
01.
886VA(config)#ipv6 local pool TEST ? 
02.
  X:X:X:X::X/<0-128>  IPv6 pool prefix x:x::y/<z> 
03.
 
04.
886VA(config)#ipv6 local pool TEST TELEKOMv6_PREFIX 
05.
06.
% Invalid input detected at '^' marker.
Alle Beispiele die ich gefunden habe, erzeugen ein Pool wie:
01.
886VA(config)#ipv6 local pool TEST 2001:DB8:1200::/40 48
Bitte warten ..
Mitglied: aqui
09.08.2016, aktualisiert um 13:07 Uhr
Hier findest du eine laufende Dual Stack Konfig die das macht:
https://www.administrator.de/frage/cisco-1921-voip-telefonanlage-isp-mne ...
Die Mnet Konfig da kannst du identsch übernehmen !
Das o.a. Tutorial wird in Kürze auf die IPv6 Dual Stack Version upgedatet.
Bitte warten ..
Mitglied: Wuppi68
11.09.2016 um 22:11 Uhr
si, nach langer Zeit und vielen vielen Versuchen habe ich erst einmal eine Zwischenlösung gefunden

Die Dropouts lagen an einen falschen RP Servereintrag

Jetzt macht meine Fritte zwar noch den Internetzugang aber die Multicast Geschichte habe ich erst einmal in den Griff bekommen

wichtig:

Global:

01.
ip multicast-routing
pro Interface:

01.
ip pim sparse-mode 
02.
 ip igmp helper-address <IP der Fritte> 
03.
 ip igmp version 3 
04.
 ip igmp explicit-tracking 
05.
 ip igmp query-interval 15 
06.
 ip igmp proxy-service
Jetzt kann ich als nächstes auch das Interface wieder direkt an das VDSL Modem dängeln
Bitte warten ..
Mitglied: murphster
18.09.2016 um 12:52 Uhr
Hi Aqui,

Vielen Dank für deine geniale Tutorial.

Ich habe seit 2 Monate meine Cisco 886VAJ (mit Hilfe deine Tutorial) erfolgreich im Einsatz. Die einzigste Funktion aus dem Tutorial was nicht ginge war den DDNS über DynDNS. Sonst alles Perfekt und entlang die Konfiguration hab ich vieles neu dazugelernt.

Ich hab die letzten Zwei Woche versucht eine noch offene Problem selbst zu lösen, leider bisher ohne erfolg.

Wir haben viele Apple Geräte hier zu Hause, davon 6 iPads, 5 iPhones und 3 MacBooks.
Alle haben keine Verbindung mit den Mailserver (IMAP SSL Port 993) herstellen können, Apples Push Notification Service (APNs) und weitere iCloud features gehen auch nicht. Meine T-Online IMAP mail geht, aber Apple und Live.de nicht.

Komisch ist dass alle unser Windows 10 & 7 clients können ohne Probleme mit OneDrive verbinden...

Ich habe mich mit meine Konfig mehrmals auseinander gesetzt, probiert alle empfohlen APNs Ports zu öffnen und bleib trotzdem ratlos. Ich habe bei support.apple über eine Konflikt mit packet inspection gelesen, bin aber nicht sicher ob den CBAC hier Einfluss nimmt.

Ich wäre für deine Rat sehr dankbar. Falls meine Deutsch etwas Verbesserungsbedürftig erscheint liegt es daran dass ich eine Englander bin und parallel zu CISCO IOS versuche auch den Vaterlands Sprache besser zu Verstehen

Anbei meine Running-Config:

Current configuration : 6115 bytes
!
! Last configuration change at 12:54:01 CEST Sat Sep 17 2016
version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CISCORT
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret xxxxxxxxxx
!
aaa new-model
!
aaa authentication login clientauth local
aaa authorization network groupauth local
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
no ip bootp server
ip domain name homenet.local
ip name-server 192.168.201.185
ip name-server 8.8.8.8
ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
license udi pid C886VAJ-K9 sn FCZ202693XK
license boot module c800 level advipservices
!
username xxxx RouterAdmin xxxx password xxxxxx
username xxxx vpnuser xxxx password xxxxx
username xxxx VPNGROUP xxxx password xxxxxx
!
controller VDSL 0
!
ip tcp synwait-time 10
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group xxxx GROUP xxxxe
key xxxxxxxxxxx
dns 192.168.201.185
domain homenet.local
pool vpnpool
save-password
max-users 2
banner ^C === Welcome to HomeNet VPN === ^C
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group HomeNetVPN
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
interface Null0
no ip unreachables
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
pvc 1/32
bridge-dot1q encap 7
pppoe-client dial-pool-number 1
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
!
interface FastEthernet0
no ip address
shutdown
!
interface FastEthernet1
description HomeNet Gateway
switchport access vlan 101
no ip address
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
description VPN VLAN Interface
ip address 192.168.100.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
!
interface Vlan101
description Internal (FastEthernet1)
ip address 192.168.101.10 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Dialer
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxxxxxxxx@t-online.de password xxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool vpnpool 192.168.100.240 192.168.100.250
no ip forward-protocol nd
ip http server
ip http access-class 1
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip route 192.168.0.0 255.255.0.0 192.168.101.254
!
dialer-list 1 protocol ip list 101
no cdp run
!
access-list 1 remark HTTP Access-class list
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 1 permit 192.168.101.0 0.0.0.255
access-list 1 deny any
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq non500-isakmp log
access-list 111 permit tcp 17.0.0.0 0.255.255.255 any log
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
scheduler interval 500
ntp server 130.149.17.8 source Dialer0
!
end

Noch eine Lob, Ich bin der CSO eine Industrielle Digitale Firma hier in Deutschland und versuche mit meine kleine HomeLab mich tiefe mit IT zu beschäftigen (Self Learning). Unsere Security team (die auch Beratung und Penetration testing am Markt liefern) haben versucht meine Home domain zu knacken OHNE ERFOLG. Sie haben nur eine kleine "potenzielle" Lücke gefunden mit den IPSec port aber ohne erheblichen aufwand bleibt dieses auch dicht. Klasse Konfig ))
Bitte warten ..
Mitglied: aqui
18.09.2016, aktualisiert um 13:34 Uhr
Hi murphster ! We can continue the communication in English if you prefer...no problem
Alle haben keine Verbindung mit den Mailserver (IMAP SSL Port 993) herstellen können, Apples Push Notification Service (APNs)
Hier sind zwar nicht ganz so viele im Einsatz aber alle MacBook, Macminis, iPads und Phones können die geforderten Dienste ohne irgendwelche Probleme nutzen. Folglich hast du in deiner Konfig irgendwas anders gemacht ?!
Was bei dir und deiner Firewall ACL komisch ist:
  • Du erlaubst von außen Zugriff von ISAKMP aber es fehlt das ESP Protokoll ?? Wozu dann ISAKMP ?? Das wäre dann völliger Quatsch wenn du kein IPsec VPN Dialin mit den iPads und MacBooks machen willst. Dann kannst du das auch entfernen. "Sie haben nur eine kleine "potenzielle" Lücke gefunden mit den IPSec port" See !! Thats whay !
  • Exakt das gleiche mit PPTP. Du erlaubst GRE von außen aber das dafür erforderliche TCP 1723 fehlt. Damit ist dann kein PPTP möglich und du hast sinnfreie Löcher in der FW. Kann also auch weg. Wenn dann so oder so only one single VPN Protocoll !!
  • Sinnvolle IPsec Dialin Konfig für den Zugriff aufs Heimnetz mit Apple Geräten findest du hier: https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ... Dort ist auch die korrekte ACL 111 für IPsec zu sehen.
  • Gerade weil du andere Security testen lässt ist das ein fataler Fehler in der ACL 111 !! Besser also korrigieren
Du solltest auf alle Fälle für IMAP das Application gateway aktivieren:
Try this that should fix the problem:
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp

  • For what is the ACL 1 ?? Looks like its not being in use anymore. Better is to always erase all those dead config parts for less confusion.
  • If you need internal VoIP support its also better do open the ACL for inbound SIP calls: access-list 111 permit udp any eq 5060 any too.
  • Correct also your ACL 111 for your used VPN protocoll. This should only be IPsec. PPTP is unsecure.
Bitte warten ..
Mitglied: murphster
18.09.2016 um 15:20 Uhr
Hey Aqui,

Thanks for the lightning fast response!

I will definitely remove the GRE acl as I have no need for PPTP, overlooked removing it when I was playing around with VPN solutions... oops

I do use IPSec for our iOS devices and my MacBook VPN. In order to get the IPSec authentication running inbound I opened:

port 500 with: #access-list 111 permit udp any any eq isakmp log
and port 4500 with: #access-list 111 permit udp any any eq non500-isakmp log

It works fine but taking a look at the link to your "IPsec VPN Praxis mit Standout Kopplung" I think I may need to read up a little more on configuration options and optimise further.

Your right, the security team found port 500 open, probed it and then criticised the use of DH Group 2 which they said was outdated and the support of IKE Aggressive mode which may leave key material exposed, to be honest I was quite happy that was all they could find

I will setup the application gateway for IMAP as you have suggested and give it a whirl.

Once again, many thanks for your help, I have endeavoured to get back into IT after a 15 year break so this all started when I built a home lab with a an old HP G6 server, then added a cisco layer 3 switch and now the cisco router, it's a little challenging as a lot has changed from Novell & Win NT times but its fun.

I'll report back with my findings, all the best!
Bitte warten ..
Mitglied: murphster
18.09.2016 um 15:25 Uhr
P.S. ACL 1 if for access to the HTTP server, I tried out Cisco Configuration Professional and use it for monitoring now and then.
Bitte warten ..
Mitglied: aqui
18.09.2016, aktualisiert um 18:38 Uhr
Ahhh...ok with ACL 1. Please keep in mind that all traffic with the "log" statement in the ACL gets process switched on the router, which means switch by the CPU ! This can have very bad effects on the system performance. If the whole amount of such traffic is low its not an issue but if it gets higher values you should keep an eye on it !
The command show proc cpu is your best friend here. Or you can use a little tool called STG grapher to take a longer graphical look on it:
http://leonidvm.chat.ru
Of course SNMP hast to be enabled for that on the Cisco. Make sure to tie SNMP to ACL 23 so that this data can only be retrieved from the internal LAN !
5 sec. SNMP OID value is 1.3.6.1.4.1.9.9.109.1.1.1.1.3 and data format is Gauge32.

Yeah, and the discussion with DH 2 may make sense in a philosophical way. It needs 3000 years to crack it on supercomputers or so...
UDP 500 and 4500 (NAT Traversal) needs to be open for remote VPN access. Thats more or less normal so wonder your testing guys did'nt know that ?!
I think the NAT traversal port 4500 only might work as well but that nailed you down on having it always activated on accessing VPN devices. OK more or less standard today with all the NAT Firewall on the link. I can make some further tests on that.
IPsec uses ESP (IP protocoll number 50) for the tunnel encapsulation. That must be opened as well in the CBAC accesslist for outside access. Would make me wonder if it worked at your site without it
Bitte warten ..
Mitglied: oOHiggsOo
29.09.2016 um 22:18 Uhr
Hallo,

ich habe null Ahnung von Cisco, doch dank deiner Anleitung konnte ich meinen Cisco 891 so weit konfigurieren, dass ich Online komme, noip funktioniert und ich mich mit meinem Handy per VPN einwählen kann.
Nun versuche ich 2 Cisco Router (auf beidem läuft noip, also beide Router Dynamische IP) per VPN miteinander zu verbinden.
Bin nach dieser Anleitung vorgegangen.
1
Ich bekomme jedoch bei sh run diese Angabe:

crypto map mymap 10 ipsec-isakmp
! Incomplete
set peer cisco.web.com dynamic
set transform-set myset
match address 140
crypto map mymap 65535 ipsec-isakmp dynamic dyn

Wieso wird mir Incomplete ausgegeben?

Grüße
Higgs
Bitte warten ..
Mitglied: oOHiggsOo
29.09.2016 um 22:33 Uhr
Aaahh, vermutlich weil ich keine acl mit 140 angelegt habe....
Bitte warten ..
Mitglied: aqui
30.09.2016, aktualisiert um 09:09 Uhr
Yepp, das ist es.
Sieh dir dieses Tutorial nochmal an, dort findest du eine lauffähige IPsec VPN Konfig für die Praxis !:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016, aktualisiert 04.10.2016
Hi aqui,

Danke für deine schnelle Antwort. Diese Anleitung habe ich mir ebenfalls durchgelesen, jedoch fehlt mir eine Beispielkonfig eines cisco mit dynip für die Gegenseite.
Für mein Verständnis.
Der Hauptrouter hat noip, diesen sage

pre-shared-key address 0.0.0.0 0.0.0.0 key geheim123

crypto isakmp policy 15 => Erlaubt 3DES und SHA
encr 3des
authentication pre-share
group 2

crypto isakmp profile DynDialin => Tunnel Profil für IPsec Tunnel von Geräten mit dynamischer Provider IP
description VPNs mit dyn. IP
keyring Labtest
match identity address 0.0.0.0

crypto ipsec transform-set testset2 esp-3des esp-sha-hmac
mode tunnel
!
crypto ipsec profile test-vti2
set transform-set testset
!
crypto dynamic-map dynmap 10 => Weist Tunneln mit dyn.IP Profil zu und erlaubt 3DES
description Tunnel dyn.IP Cisco 800
set transform-set testset2
set isakmp-profile DynDialin
match address vpndyn1

crypto map vpntest 20 ipsec-isakmp dynamic dynmap => Weist das dynamische Profil zu

crypto map vpntest => VPN Profil aktiv auf dem Internet Interface

ip access-list extended vpndyn1 => Bestimmt zu verschlüsselnden Traffic für VPN mit Cisco 800
permit ip 172.16.7.0 0.0.0.255 10.100.200.0 0.0.0.255

Folglich wartet er auf eine Anfrage von der dynip Gegenstelle.
Welche konfig muss ich jetzt meiner Gegenstelle mitgeben?
Bitte warten ..
Mitglied: aqui
30.09.2016 um 15:42 Uhr
jedoch fehlt mir eine Beispielkonfig eines cisco mit dynip für die Gegenseite.
Dann hast du das Tutorial nicht richtig gelesen ! Sorry, aber genau das ist in der kommentierten Cisco Konfig genau zu sehen.
Du musst das nur auf beiden Seiten dann machen.
Welche konfig muss ich jetzt meiner Gegenstelle mitgeben?
Exakt die gleiche wie auf der anderen Seite
OK, natürlich angepasst an die entsprechende IP Adressierung...
Bitte warten ..
Mitglied: murphster
30.09.2016 um 17:23 Uhr
Hey Aqui,

back again from a business trip, amongst visiting a few customers I had a trip to San Hose, Cisco HQ!!
They have a very impressive innovation centre and lots of gadgets laying around to play with Unfortunately I only got a CISCO pen as a gift and not a few CISCO boxes to take with me!

So after activating the application gateway as you suggested I managed to get the IMAP SSL mail services running but only momentarily, in other words after a first successful synchronisation the connection kept dropping.

So I dug a little deeper in all areas including DNS & the GPO on my domain server and found a "web email" DNS block configured, which I put in to stop my son from signing up to every webmail service on the planet. I guess I put this in around the same time as the first configuration of the 886 router.

At first I didn't think that this would effect the use of LOCAL mail applications like Outlook or Mail but after removing the DNS block all of our mail applications could maintain SSL connections!

Not sure how to block all the other webmail trash sites but thats another story

Thanks to your help and a little detective work everything is working as it should do!

Alles Gute!

Matt

P.S. I do not have the ESP port (50) opened in the outside access list but DNS still works with only UDP 500 & 4500.
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016 um 19:03 Uhr
Hmmm......

sorry, ich sehe es leider nicht. oder ich habe wieder ein Verständnissproblem.
Ich sehe in den ganzen konfigs keinen verweis auf einen dynip host.
Bitte warten ..
Mitglied: aqui
30.09.2016, aktualisiert um 19:24 Uhr
@murphster
Sounds great ! Thanks for the feedback Matt and congrats that all is running now as it should. Sometimes its only the little screws who needed to be turned
With ESP is interesting. I am going to check that here in the lab setup to verify if it can be removed. I guess you might be right here cause with NAT Traversal on UDP 4500 its not needed anymore like in the old days without traversal.
I'll keep you posted.
P.S. San Hose is funny. In German it sounds like holy pants So maybe thats the reason why you only got a ball pen at Tasman Drive. Next time better go to Great America park or watch a game at Levis Stadium its more fun.

@o0Higgs0o
Nein, da hast du recht, sorry das war ggf. etwas missverständlich. Mit einer DynIP Konfig musst du ja auch keine Konfig für eine unbekannte (dynamische) IP mehr machen. Du kannst ja dann immer als Referens den FQDN Hostname nehmen, denn der bleibt ja immer konstant.
Ändere also die Konfig so das statt der IP immer der Hostname dort steht. Dann kommt das auch zum Fliegen. Die Konfig im Tutorial geht davon aus das man mit rein dynmaischen IPs arbeitet ohne DynDNS. Mit DynDNS hast du ja aber feste Hostnamen die du dann dediziert verwenden kannst.
Bitte warten ..
Mitglied: oOHiggsOo
30.09.2016, aktualisiert um 20:10 Uhr
Ahhhhh.
Danke, werde ich nächste Woche mal ausprobieren.
Bitte warten ..
Mitglied: oOHiggsOo
01.10.2016, aktualisiert 04.10.2016
Hi,
ich muss dich nochmal belästigen. Ich bekomme keine Verbindung zwischen den 2 ciscos hin.
Konfig sieht wie folgt aus.

version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ciscoA
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret 5 passwort
!
aaa new-model
!
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauth local
!
aaa session-id common
clock timezone MET 1 0
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.10.1.1 10.10.1.49
ip dhcp excluded-address 10.10.1.200 10.10.1.220
ip dhcp ping packets 3
ip dhcp ping timeout 100
!
ip dhcp pool HeimNetz
network 10.10.1.0 255.255.255.0
default-router 10.10.1.1
dns-server 10.10.1.1
domain-name ciscoA.intern
lease 7
!
no ip bootp server
ip domain name ciscoA.intern
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw sip
ip inspect name myfw imaps
ip inspect name myfw rtsp
ip ddns update method noip.me
HTTP
add http://benutzer:passwort@dynupdate.no-ip.com/nic/update?hostname=<h& ...;
interval maximum 1 0 0 0
!
no ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
cts logging verbose
!
username test privilege 15 password 7 paswort123
username test2 password 7 paswort123
username test3 password 7 paswort123
!
no cdp run
!
ip tcp synwait-time 10
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes
authentication pre-share
crypto isakmp key isakmpkey123 hostname ciscoB.noip.me
!
crypto isakmp client configuration group VPNdialin
key isakmpkey123
dns 10.10.1.1
domain ciscoA.intern
pool vpnpool
save-password
max-logins 3
crypto isakmp profile VPNclient
description VPN Client Profil
match identity group VPNdialin
client authentication list clientauth
isakmp authorization list groupauth
client configuration address respond
virtual-template 2
!
crypto ipsec transform-set myset esp-aes 256 esp-sha-hmac
mode tunnel
crypto ipsec transform-set vpn esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile vpn-vti2
set transform-set myset
!
crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer ciscoB.noip.me
set transform-set vpn
match address 107
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
no ip address
!
interface GigabitEthernet8
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet8.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template2 type tunnel
description IPsec VPN Dialin
ip unnumbered Vlan1
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile vpn-vti2
!
interface Vlan1
description Lokales LAN
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Async3
no ip address
encapsulation slip
!
interface Dialer0
description DSL Einwahl Interface
ip ddns update hostname ciscoA.noip.me
ip ddns update noip.me
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username kennung@t-online.de password 7 12345567890
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
crypto map vpnpeer
!
ip local pool vpnpool 10.10.1.201 10.10.1.220
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source route-map nonat interface Dialer0 overload
!
dialer-list 1 protocol ip list 101
!
route-map nonat permit 10
match ip address 111
!
access-list 23 permit 10.10.1.0 0.0.0.255
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 107 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit ip 10.10.1.0 0.0.0.255 any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class 23 in
privilege level 15
password 7 passwort123
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp master
ntp server 130.149.17.8 source Dialer0
!
end

ich möchte eine dauerhafte Verbindung und ich möchte vom 10.10.1.0 auf 10.10.2.0 Netz zugreifen und umgekehrt.
Siehst du Fehler?

Grüße
Higgs
Bitte warten ..
Mitglied: aqui
02.10.2016, aktualisiert um 12:46 Uhr
Was sagt denn ein
debug crypto ipsec
debug crypto isakmp

Wenn du mal ein Ping auf die remote IP machst um den IPsec VPN Tunnelaufbau zu triggern ???
Nach dem Debuggen immer ein //u all/ eingeben !!

Im Debug kannst du doch direkt ablesen woran es hapert !
Bitte warten ..
Mitglied: oOHiggsOo
02.10.2016 um 17:23 Uhr
debug zeigt mir nichts an
und der Ping ist zu 0% erfoglreich.
Bitte warten ..
Mitglied: brammer
04.10.2016 um 08:26 Uhr
Hallo,

der debug zeigt nichts an?

je nachdem mit welchen Console Tool du arbeitest, leg bitte mal ein Session Logging an und zeichne alles auf....
Und dann mach nach dem debug Befehlen mal ein "Term mon"
nach 10 Minuten soltest du eine vollen Logfile haben...
Dann wieder mit "term no mon" die Bildschirm ausgabe beenden....

und zum Schluss das debug beenden (mit "u all")

brammer
Bitte warten ..
Mitglied: aqui
04.10.2016 um 14:00 Uhr
debug zeigt mir nichts an
Das ist technisch vollkommen unmöglich !! Es sei denn du machst gar kein IPsec !!
Bist du via Telnet oder SSH auf dem Router ? Dann musst du logischerweise ein term mon eingeben damit dir die Debug Messages angezeigt werden !!!
Direkt auf der Konsole ist das natürlich nicht erforderlich !
Ansonsten gilt das was Kollege brammer oben schon gesagt hat !
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 15:01 Uhr
Ich bin per SSH drauf. Habe auch term mon eingegeben. Ich bekomme keine Anzeige, sobald ich es per client versuche, sehe ich wie die Verbindung aufgebaut wird. Ich sehe nur bei der site to site Verbindung kein debug. Ich vermute das ich einen Fehler in der konfig habe.
Bitte warten ..
Mitglied: brammer
04.10.2016 um 15:38 Uhr
Hallo,

was wird dir den bei einem "sh debug" angezeigt?

das sollte so aussehen:
01.
dein_router#sh deb 
02.
 
03.
Cryptographic Subsystem: 
04.
  Crypto ISAKMP debugging is on 
05.
  Crypto IPSEC debugging is on 
06.
dein_router#
brammer
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 15:49 Uhr
genau das wird mir angezeigt.
Aber ich sehe nichts. Sobald ich mich mit meinem Handy eine VPN-Verbindung aufbaue sehe ich
wie die Verbindung aufgebaut wird. Aber sonst nichts.
Bitte warten ..
Mitglied: brammer
04.10.2016, aktualisiert um 16:05 Uhr
Hallo,

wenn dir der logfile den Aufbau der VPN Verbindung nicht anzeigt, baust du die Verbindung irgendwo hin auf (oder versuchst das zumindest) aber nicht zu deinem Router.

Mit den beiden Debug Befehlen sollte der Logfile voll von Meldung sein....

Das sollte so ähnlich aussehen:

01.
130541512: Sep 30 11:15:38.372: ISAKMP:(16478): processing NONCE payload. message ID = 1954107565 
02.
130541513: Sep 30 11:15:38.372: ISAKMP:(16478): processing KE payload. message ID = 1954107565 
03.
130541514: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565 
04.
130541515: Sep 30 11:15:38.380: ISAKMP:(16478): processing ID payload. message ID = 1954107565 
05.
130541516: Sep 30 11:15:38.380: ISAKMP:(16478): Creating IPSec SAs 
06.
130541517: Sep 30 11:15:38.380:         inbound SA from x.x.x.x to y.y.y.y (f/i)  0/ 0 
07.
        (proxy 0.0.0.0 to 0.0.0.0) 
08.
130541518: Sep 30 11:15:38.380:         has spi 0xD2C7A6A0 and conn_id 0 
09.
130541519: Sep 30 11:15:38.380:         lifetime of 3600 seconds 
10.
130541520: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes 
11.
130541521: Sep 30 11:15:38.380:         outbound SA from y.y.y.y to x.x.x.x (f/i) 0/0 
12.
        (proxy 0.0.0.0 to 0.0.0.0) 
13.
130541522: Sep 30 11:15:38.380:         has spi  0x1500AB27 and conn_id 0 
14.
130541523: Sep 30 11:15:38.380:         lifetime of 3600 seconds 
15.
130541524: Sep 30 11:15:38.380:         lifetime of 4608000 kilobytes 
16.
130541525: Sep 30 11:15:38.380: ISAKMP:(16478): sending packet to x.x.x.x my_port 500 peer_port 13798 (R) QM_IDLE       
17.
130541526: Sep 30 11:15:38.380: ISAKMP:(16478):Sending an IKE IPv4 Packet. 
18.
130541527: Sep 30 11:15:38.380: ISAKMP:(16478):deleting node 1954107565 error FALSE reason "No Error" 
19.
130541528: Sep 30 11:15:38.380: ISAKMP:(16478):Node 1954107565, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH 
20.
130541529: Sep 30 11:15:38.380: ISAKMP:(16478):Old State = IKE_QM_I_QM1  New State = IKE_QM_PHASE2_COMPLETE 
21.
130541530: Sep 30 11:15:38.380: IPSEC(key_engine): got a queue event with 1 KMI message(s) 
22.
130541531: Sep 30 11:15:38.380: Crypto mapdb : proxy_match 
23.
	src addr     : 0.0.0.0 
24.
	dst addr     : 0.0.0.0 
25.
	protocol     : 0 
26.
	src port     : 0 
27.
	dst port     : 0 
28.
130541532: Sep 30 11:15:38.380: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer x.x.x.x 
29.
130541533: Sep 30 11:15:38.380: IPSEC(rte_mgr): VPN Route Event create SA based on crypto ACL in real time for x.x.x.x 
30.
130541534: Sep 30 11:15:38.380: IPSEC(create_sa): sa created, 
31.
  (sa) sa_dest= y.y.y.y, sa_proto= 50,  
32.
    sa_spi= 0xD2C7A6A0(3536299680),  
33.
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1569 
34.
    sa_lifetime(k/sec)= (4531007/3600) 
35.
vpn-ts-ntr001# 
36.
130541535: Sep 30 11:15:38.380: IPSEC(create_sa): sa created, 
37.
  (sa) sa_dest= x.x.x.x, sa_proto= 50,  
38.
    sa_spi= 0x1500AB27(352365351),  
39.
    sa_trans= esp-aes 256 esp-sha-hmac , sa_conn_id= 1570 
40.
    sa_lifetime(k/sec)= (4531007/3600) 
41.
130541536: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): get enable SA peer x.x.x.x current outbound sa to SPI 1500AB27 
42.
130541537: Sep 30 11:15:38.380: IPSEC(update_current_outbound_sa): updated peer x.x.x.x current outbound sa to SPI 1500AB27 
43.
130541538: Sep 30 11:15:38.400: ISAKMP:(15773):purging node -1004512891 
44.
130541539: Sep 30 11:15:38.444: ISAKMP:(13548):purging node -525138938 
45.
130541540: Sep 30 11:15:38.444: ISAKMP:(12408):purging node -205578356 
46.
130541541: Sep 30 11:15:38.540: ISAKMP (13799): received packet from x.x.x.x dport 500 sport 37019 Global (R) QM_IDLE       
47.
130541542: Sep 30 11:15:38.540: ISAKMP: set new node -389124565 to QM_IDLE       
48.
130541543: Sep 30 11:15:38.540: ISAKMP:(13799):processing transaction payload from x.x.x.x. message ID = -389124565 
49.
130541544: Sep 30 11:15:38.540: ISAKMP: Config payload SET 
50.
130541545: Sep 30 11:15:38.540: ISAKMP:(13799):checking SET: 
51.
130541546: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
52.
130541547: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
53.
130541548: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
54.
130541549: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
55.
130541550: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
56.
130541551: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
57.
130541552: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
58.
130541553: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
59.
130541554: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
60.
130541555: Sep 30 11:15:38.540: ISAKMP:    MODECFG_IP4_ROUTE 
61.
130541556: Sep 30 11:15:38.540: ISAKMP:(13799):attributes sent in message: 
62.
130541557: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
63.
130541558: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192 
64.
130541559: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.192 
65.
130541560: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
66.
130541561: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
67.
130541562: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
68.
130541563: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
69.
130541564: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
70.
130541565: Sep 30 11:15:38.540:         Client subnet: x.x.x.x 255.255.255.255 
71.
130541566: Sep 30 11:15:38.540:         Client subnet: 0.0.0.0 0.0.0.0
Und das sind 168 msec Logfile!

brammer
Bitte warten ..
Mitglied: aqui
04.10.2016 um 16:48 Uhr
Aber ich sehe nichts. Sobald ich mich mit meinem Handy eine VPN-Verbindung aufbaue sehe ich
wie die Verbindung aufgebaut wird. Aber sonst nichts.
Sorry aber das ist wirr. Du widersprichst dich selber !! Einmal siehst du was...dann wieder nix
Was denn nun, bitte ?
So wie Kollege brammer es gepostet hat sollte es aussehen !
Du siehst den gesamten Vorgang der Phase 1 und Phase 2 Negotiation bei IPsec !
Bitte warten ..
Mitglied: oOHiggsOo
04.10.2016 um 19:33 Uhr
Ich wollte damit nur sagen, dass ich den Verbindungsaufbau von einem Client sehe.
Aber vom Verbindungsaufbau vom site2site ist nichts zu sehen.....
Bitte warten ..
Mitglied: aqui
05.10.2016 um 16:54 Uhr
Dann hast du noch einen grundlegenden Fehler in deiner Konfig !
Zu 98% ist das die ACL die den Site to Site Traffic klassifiziert der in den Tunnel muss. Der triggert dann den IPsec Prozess zum Tunnelaufbau.
Wenn da nichts passiert, dann stimmt da mit der ACL was nicht !
Kannst du den Tunnelaufbau von der anderen Seite triggern ?
Bitte warten ..
Mitglied: oOHiggsOo
10.10.2016 um 18:15 Uhr
ich bekomme folgende Meldung:
IPSEC:Expand action denied, discard or forwar packet
IPSEC:Expand action denied, notify RP -.-
Bitte warten ..
Mitglied: aqui
11.10.2016, aktualisiert um 23:06 Uhr
Wie vermutet ist deine Crypto ACL falsch !
https://supportforums.cisco.com/discussion/11780956/isakmp-throw-some-li ...

Das ist deine ACL 107. Vermutlich ist die syntaktisch richtig, denn sie sendet IP Pakete mit der lokalen LAN IP 10.10.1.x und der Destination IP (vermutlich lokales LAN der Gegenseite ?!) in den Tunnel ! Per se also richtig.
Aaaaber...
Mit der ACL 111 tötest du das gleich wieder im ersten Statement auf dem WAN Port:
access-list 111 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255

Grund ist ein Fehler im Tutorial das du vermutlich übernommen hast. Sorry. Ist jetzt korrigiert.
Eine syntaktisch korrekte Konfig findest du hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Diese erste Regel in der ACL 111 ist ehlerhaft ! Das ist die Firewall CBAC ACL und da hat lokaler Traffic nichts zu suchen.
Diese Kombination 107 mit 111 ist natürlich fatal und triggert den Fehler !
Fazit: Raus mit dieser ersten Regel in der ACL 111 und die ACL so ändern: !!!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 101 permit ip 10.10.1.0 0.0.0.255 any
access-list 107 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit ip 10.10.1.0 0.0.0.255 any
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any

Die Route Map nonat mit no route-map nonat komplett löschen !
Das sollte dein Problem sofort lösen !
Bitte warten ..
Mitglied: oOHiggsOo
12.10.2016 um 16:17 Uhr
hi aqui,

vielen Dank, dass du dir die Zeit genommen hast und dir meine Konfig durchgeschaut hast.
leider kommt keine Verbindung mit der oben geposteten Konfig zu stande. Aushandlung wurde bei "SA" unterbrochen bzw.
konnten sich nicht einigen.
ich musste die konfig leicht abändern.

crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key isakmpkey123 address 0.0.0.0

crypto map vpnpeer 10 ipsec-isakmp
description VPN Verbindung zu Standort B
set peer ciscoB.noip.me dynamic
set transform-set vpn
match address 107
reverse-route <----- falls ich die Einstellung weg lasse, kommt ebenfalls keine Verbindung zu stande.

so kommt nun die Verbindung zu stande und ich kann auf beiden Seiten hin und her pingen.
Was ich leider noch nicht kann, ist per Windowsexplorer auf entfernte Server/Geräte oder per Webpage auf Geräte zugreifen.
Eine Ahnung woran das noch liegen kann?
Ich vermute an eine ACL?!?!
Bitte warten ..
Mitglied: aqui
12.10.2016, aktualisiert um 16:48 Uhr
Da hast du dann aber irgendwo noch einen Fehler in der VPN Konfig. Hier kommt ein Tunnel sofort fehlerlos zustande. Im IPsec Praxistutorial kannst du das ja auch klar an der dort geposteten aktuelle laufenden Konfig sehen wie es geht.
Auch das du eine Reverse Route angeben musst ist nicht normal !
Ausnahme ist das du eine alte und nicht mehr ganz aktuelle Firmware auf dem Cisco benutzt ?!
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_vpnav/configu ...

OK, wenn aber die Verbindung jetut irgendwie zustande kommt ist ja gut und das ist die Hauptsache.
Das du nicht auf remote Geräte zugreifen kannst hat wie immer jetzt nichts mehr mit dem VPN als solchem zu tun sondern mit den loaklen Firewalls der Geräte.
Du hast ja nun einen andere Absender IP die die Firewall dann generell am LAN Port blocken. Sie lassen nur lokale IP Adressen zu.
Hier musst du die Firewall anpassen. Bei ICMP Ping ist das z.B.:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Datei Sharing Dienste die auf Broadcasts beruhen wie bei SMB/CIFS kannst du so oder so remote nicht sehen, dort musst du immer die remote IP direkt ansprechen. Klar, denn Broadcasts werden nicht über geroutete IP Verbindungen übertragen.
Webseiten oder Server Shares die man direkt mit der IP oder FQDN anspricht sind aber natürlich erreichbar.
Ein guter test ist immer ob die mit einem extended Ping vom Cisco das jeweils remote LAN Interface pingen kannst.
Das geht immer und ist dann auch ein Indiz das das VPN selber fehlerfrei ist !
Extenden Pings auf dem Cisco machst du indem du ping eingibst ohne IP und die Eingabetaste drückst.
Den Abfrage Dialog dann tickerst du durch bis du nach extended Commands gefragt wird was du mit Yes beantwortet.
Hier kannst du dann als Source IP die IP des lokalen LANs angeben und als Destination IP die des remoten lokalen LANs.
Ein Ping sollte dann fehlerfrei durchgehen, was dir dann zeigt das die Pakete der Netze 10.10.1.0 /24 und 10.10.2.0 /24 in den VPN Tunnel gehen, wie dann auch alle Endgeräte in diesen beiden Netzen.
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016, aktualisiert um 08:08 Uhr
ich benutze folgende IOS c800-universalk9-mz.SPA.154-3.M6a.bin. Muss ich keine Route anlegen?
Bei show ip route, zeigt er mir das andere Netz nicht an.
Mit der eigentlichen Konfig gibt er mir bei debug folgendes aus.

ciscoA#ping 192.168.100.9 source 192.168.178.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.178.1

Oct 13 07:38:23.889 MET: IPSEC: Peer ciscoB.noip.me's addr (x.x.x.139) is stale, triggering DNS
Oct 13 07:38:23.925 MET: IPSEC: Peer ciscoB.me has been DNS resolved to x.x.x.139, expires in 00:00:40.
Oct 13 07:38:25.890 MET: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= x.x.x.73:500, remote= x.x.x.139:500,
local_proxy= 192.168.178.0/255.255.255.0/256/0,
remote_proxy= 192.168.100.0/255.255.255.0/256/0,
protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Oct 13 07:38:25.890 MET: ISAKMP: set new node 0 to QM_IDLE
Oct 13 07:38:25.890 MET: SA has outstanding requests (local x.x.x.73 port 500, remote x.x.x.139 port 500)
Oct 13 07:38:25.890 MET: ISAKMP2006): sitting IDLE. Starting QM immediately (QM_IDLE )
Oct 13 07:38:25.890 MET: ISAKMP2006):beginning Quick Mode exchange, M-ID of 2036387119
Oct 13 07:38:25.890 MET: ISAKMP2006):QM Initiator gets spi
Oct 13 07:38:25.890 MET: ISAKMP2006): sending packet to x.x.x.139 my_port 500 peer_port 500 (R) QM_IDLE
Oct 13 07:38:25.890 MET: ISAKMP2006):Sending an IKE IPv4 Packet.
Oct 13 07:38:25.890 MET: ISAKMP2006):Node 2036387119, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Oct 13 07:38:25.890 MET: ISAKMP2006):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
Oct 13 07:38:26.126 MET: ISAKMP (2006): received packet from x.x.x.139 dport 500 sport 500 Global (R) QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP: set new node 623765356 to QM_IDLE
Oct 13 07:38:26.126 MET: ISAKMP2006): processing HASH payload. message ID = 623765356
Oct 13 07:38:26.126 MET: ISAKMP2006): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
spi 290688999, message ID = 623765356, sa = 0x2373680
Oct 13 07:38:26.126 MET: ISAKMP2006): deleting spi 290688999 message ID = 2036387119
Oct 13 07:38:26.126 MET: ISAKMP2006):deleting node 2036387119 error TRUE reason "Delete Larval"
Oct 13 07:38:26.126 MET: ISAKMP2006):deleting node 623765356 error FALSE reason "Informational (in) state 1"
Oct 13 07:38:26.126 MET: ISAKMP2006):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Oct 13 07:38:26.126 MET: ISAKMP2006):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
....
Success rate is 0 percent (0/5)

dies bringt er einige male und hört danach auf. Er fängt nicht mit der 2.Phase an

ciscoA#show crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst src state conn-id status
x.x.x.73 x.x.x.139 QM_IDLE 2006 ACTIVE
#show crypto ipsec sa

interface: Dialer0
Crypto map tag: vpnpeer, local addr x.x.x.73

protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.178.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer x.x.x.x port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 28, #recv errors 0

local crypto endpt.: x.x.x.73, remote crypto endpt.: x.x.x.139
plaintext mtu 1492, path mtu 1492, ip mtu 1492, ip mtu idb Dialer0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:


ACL sieht wie folgt aus:

ip nat inside source list 101 interface Dialer0 overload
!
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.178.0 0.0.0.255
access-list 101 deny ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.178.0 0.0.0.255 any
access-list 107 permit ip 192.168.178.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 111 permit ip 192.168.178.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq non500-isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any eq www any
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq ntp any
access-list 111 deny ip any any

Ich versuche nachher das gleich von der Gegenseite und Poste diese.

Btw du hattest mit der Erreichbarkeit einiger Geräte recht. Ich habe in der Einstellung, dass sie nur aus dem eigenem Netz erreicht werden können.
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016 um 11:26 Uhr
ciscoB debug zeigt folgendes

#ping 192.168.178.9 source 192.168.100.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.178.9, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.254

000041: Oct 13 11:21:15.876 MET: IPSEC: Peer ciscoa.noip.me's addr (0.0.0.0) is stale, triggering DNS
000042: Oct 13 11:21:16.136 MET: IPSEC: Peer ciscoa.noip.me has been DNS resolved to x.x.x.73, e xpires in 00:00:40.
000043: Oct 13 11:21:17.876 MET: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= x.x.x.4:500, remote= x.x.x.73:500,
local_proxy= 192.168.100.0/255.255.255.0/256/0,
remote_proxy= 192.168.178.0/255.255.255.0/256/0,
protocol= ESP, transform= esp-aes 256 esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
000044: Oct 13 11:21:17.876 MET: ISAKMP0): SA request profile is (NULL)
000045: Oct 13 11:21:17.876 MET: ISAKMP: Created a peer struct for x.x.x.73, peer port 500
000046: Oct 13 11:21:17.876 MET: ISAKMP: New peer created peer = 0x3D70C84 peer_handle = 0x80000002
000047: Oct 13 11:21:17.876 MET: ISAKMP: Locking peer struct 0x3D70C84, refcount 1 for isakmp_initiator
000048: Oct 13 11:21:17.876 MET: ISAKMP: local port 500, remote port 500
000049: Oct 13 11:21:17.876 MET: ISAKMP: set new node 0 to QM_IDLE
000050: Oct 13 11:21:17.876 MET: ISAKMP0):insert sa successfully sa = 1019D08
000051: Oct 13 11:21:17.876 MET: ISAKMP0):Can not start Aggressive mode, trying Main mode.
000052: Oct 13 11:21:17.876 MET: ISAKMP0):No pre-shared key with x.x.x.73!
000053: Oct 13 11:21:17.876 MET: ISAKMP0):Looking for a matching key for ciscoa.noip.me in default
000054: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-rfc3947 ID
000055: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-07 ID
000056: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-03 ID
000057: Oct 13 11:21:17.876 MET: ISAKMP0): constructed NAT-T vendor-02 ID
000058: Oct 13 11:21:17.876 MET: ISAKMP0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
000059: Oct 13 11:21:17.876 MET: ISAKMP0):Old State = IKE_READY New State = IKE_I_MM1

000060: Oct 13 11:21:17.876 MET: ISAKMP0): beginning Main Mode exchange
000061: Oct 13 11:21:17.876 MET: ISAKMP0): sending packet to x.x.x.73 my_port 500 peer_port 500 ( I) MM_NO_STATE
000062: Oct 13 11:21:17.876 MET: ISAKMP0):Sending an IKE IPv4 Packet.
000063: Oct 13 11:21:17.944 MET: ISAKMP (0): received packet from x.x.x.73 dport 500 sport 500 Glob al (I) MM_NO_STATE
000064: Oct 13 11:21:17.944 MET: ISAKMP0):Notify has no hash. Rejected.
000065: Oct 13 11:21:17.944 MET: ISAKMP (0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY: state = IKE_I_MM1
000066: Oct 13 11:21:17.944 MET: ISAKMP0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
000067: Oct 13 11:21:17.944 MET: ISAKMP0):Old State = IKE_I_MM1 New State = IKE_I_MM1

000068: Oct 13 11:21:17.944 MET: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed wi th peer at x.x.x.73....
Success rate is 0 percent (0/5)
Bitte warten ..
Mitglied: aqui
13.10.2016 um 14:02 Uhr
Das ist normal das du es in der Routing Tabelle nicht siehst, denn das IPsec Routing rennt in einer separaten VRF.
Wenn du show crypto ipsec sa eingibst kannst du zu jedem VPN Netz auch das Forwarding in den SAs sehen.

Du hast desweiteren immer noch einen Fehler in deiner ACL 111 !!!
access-list 111 permit ip 192.168.178.0 0.0.0.255 any hat dort nichts zu suchen !
Die ACL ist eine inbound ACL !! Wie soll dort jemeals ein IP Paket mit einer Source IP aus einem privaten RFC 1918 Netzwerk auftauchen ?!
Das ist natürlich falsch !!
Man kann nur immer wieder an dich appellieren dir die Cisco Konfigs im Praxistutorial:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
mal wirklich genau anzusehen und nachzuvollziehen und zwar für beide Seiten !!
Dann passieren solche Dinge wie bei dir auch nicht !
Bitte warten ..
Mitglied: oOHiggsOo
13.10.2016, aktualisiert 14.10.2016
Ah ok.
Es tut mir leid, aber in deiner Antwort mit den korrigierten ACLs hattest du es genauso drin und
in der obrigen Anleitung hast du es ebenfalls noch drin.
Bitte warten ..
Mitglied: aqui
15.10.2016, aktualisiert um 12:06 Uhr
Sorry, aber nein, das ist falsch. Im korrigierten Beispiel (11.10.2016, aktualisiert um 23:06 Uhr) oben ist das NICHT drin und auch nicht mehr im Tutorial:
Weder hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
noch hier:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...

Wo bitte hast du das gesehen ???

Nur nochmal um es klarzustellen: Es geht um das Statement access-list 111 permit ip 192.168.178.0 0.0.0.255 any in der ACL 111 !
Das ist eine Inbound (eingehend) ACL am WAN / Internet Port.
Diese Regel besagt das dort Pakete die mit einer Absender IP von 192.168.178.x ankommen und eine beliebige IP Adresse als Ziel haben passieren dürfen.
Das ist aus technischer Sicht Quatsch, denn aus dem Internet können niemals IP Adressen mit einer privaten RFC 1918 IP Absender Adresse kommen. Solche IP Adressen gibt es im Internet schlicht und einfach nicht.
Folglich gehört das Statement entfernt ! Mach das bitte mal und checke die Connectivity dann nochmals.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Übungen zu Cisco Router Konfiguration (3)

Frage von M.Marz zum Thema Router & Routing ...

Router & Routing
Exotische Router-Konfiguration zu Testzwecken (3)

Frage von Vancouverona zum Thema Router & Routing ...

Router & Routing
Unbekannter sichert sich TP-Link-Domains zur Router-Konfiguration (2)

Link von kaiand1 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...