inquisition
Goto Top

Configuration Cisco 1921

An Cisco Spezialisten ,wer möchte mir den Cisco Router mit VDSL /ADSL EHWIC Configurieren ,es soll eine verbindung mit Vodafone VDSL2 100er hergestellt werden und es sollten noch 10 Portweiterleitungen configuriet werden (DYDNS ) ,die arbeit wird natürlich entsprechend entlohnt. Zugang über Telenet oder Teamviewer

Content-Key: 483903

Url: https://administrator.de/contentid/483903

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 10.08.2019 aktualisiert um 16:28:22 Uhr
Goto Top
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Konfig ist völlig unabhängig vom Modell, da die IOS Kommandos ja immer gleich gleich sind. Lediglich andere Interface Nummerierung die man anpassen muss.
Einfach abtippen und geht.... Das kann auch ein völliger Laie, oder ?! Einfacher gehts nicht.
Bei Vodafone musst du lediglich das geänderte VLAN Tagging im VDSL beachten !
Mitglied: inquisition
inquisition 10.08.2019 um 16:50:01 Uhr
Goto Top
Danke aqui , ich werde es versuchen ,mit Cisco IOS kann man warnsehnig werden ,ich wollte schon mal mein Hilti TE76 auspacken.
Mitglied: aqui
aqui 10.08.2019, aktualisiert am 13.08.2019 um 12:34:38 Uhr
Goto Top
mit Cisco IOS kann man warnsehnig werden
Nein, nicht wenn man weiss was man tut !! Im Blindflug geht das wie immer schief, weiss jeder.
Also bitte cool bleiben, Käffchen bereitstellen und immer strategisch der Reihe nach rangehen !!

Bringe erstmal die Grundfunktionen zum Laufen als da sind:
  • IP Adressierund LAN, ggf. mit DHCP (kannst du aus dem Tutorial abtippen). Dann kannst du schonmal per Telnet und SSH zugreifen und bekommst eine IP vom Router.
  • Dann die WAN/VDSL Konfig. VLAN Tag sollte stimmen und die User Credentials. Anhand des Router Logs kannst du sehen ob er sich erfolgreich verbindet. Ein show logg und show contr vdsl 0 sagen dir alles.
  • Dann konfigurierst du das NAT Overload und checkst ob LAN Clients ins Internet kommen z.B. mit dem Konsolen Kommando ping 9.9.9.9 !
  • Klappt das auch dann mal DNS checken mit nslookup auf der Konsole und ein ping www.heise.de auf der Konsole versuchen. Klappt das hast du schon 90% erledigt !
  • Erst ganz am Schluss machst du den Router dicht und die Firewall aktiv ! Keine Fallen vorher stellen in die man tappen kann.
IOS Kommando Crashkurs gibt es hier: https://www.coufal.info/cisco_ios/
Durch den Rest führen wir dich schon durch. Sonst sendest du eben dein TV Zugang per PM wenn alle Stricke reissen....was sie aber sicher nicht tun.
GGf. deine Konfig hie rmal posten damit wir korrigierend eingreifen können wenn es Fehler gibt. Mit show run bekommst du die (Einfache ASCII Text Datei) und kannst sie hier mit anonymisierten Zugangsdaten posten.

So sähe eine einfache Grundkonfiguration für Vodafone VDSL aus ohne Firewall (die kommt später):
(Achtung: die PPPoE Benutzerkennung "<pppoe-userid>" und "<passwort>" (fett) in der Konfig unter dem Dialer 0 Interface musst du auf Vodafone Format anpassen !! Siehe Vertragsunterlagen.)
!
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco-Router
!
ipv6 cef
no ip source-route
ip cef
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered
enable secret test123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
!
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.70.1 192.168.70.100
ip dhcp excluded-address 192.168.70.200 192.168.70.254
!
ip dhcp pool Lokal
network 192.168.70.0 255.255.255.0
default-router 192.168.70.1
dns-server 192.168.70.1
domain-name inquisition.home.arpa
!
username admin password test123
!
interface GigabitEthernet0/0
no shutdown
description Lokales LAN
ip address 192.168.70.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface GigabitEthernet0/1
no ip address
shutdown
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0/1/0
no ip address
no shutdown
!
interface Ethernet0/1/0.132
no shutdown
description VDSL Internet Vodafone - VLAN 132 tagged
encapsulation dot1Q 132
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
no shutdown
description xDSL Einwahl Interface Internet
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username <pppoe-userid> password <passwort>
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.70.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
ntp server ntp0.one.vodafone-ip.de
access-list 23 permit 192.168.70.0 0.0.0.255
!
access-list 101 permit ip 192.168.70.0 0.0.0.255 any
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet ssh
!
end


Falls es eine Wiederverkäufer Leitung der Telekom ist dann nutzt Vodafone einen VLAN 7 Tag.
Die Konfig sähe dann so aus (Änderungen fett hervorgerhoben):
!
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco-Router
!
ipv6 cef
no ip source-route
ip cef
!
logging buffered
enable secret test123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
!
no ip gratuitous-arps
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.70.1 192.168.70.100
ip dhcp excluded-address 192.168.70.200 192.168.70.254
!
ip dhcp pool Lokal
network 192.168.70.0 255.255.255.0
default-router 192.168.70.1
dns-server 192.168.70.1
domain-name inquisition.home.arpa
!
username admin password test123
!
interface GigabitEthernet0/0
no shutdown
description Lokales LAN
ip address 192.168.70.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0/1/0
no ip address
no shutdown
!
interface Ethernet0/1/0.7
no shutdown
description VDSL Internet Vodafone - VLAN 7 tagged
encapsulation dot1Q 7

pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
no shutdown
description xDSL Einwahl Interface Internet
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username <pppoe-userid> password <passwort>
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
!
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.70.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
ntp server ntp0.one.vodafone-ip.de
access-list 23 permit 192.168.70.0 0.0.0.255
!
access-list 101 permit ip 192.168.70.0 0.0.0.255 any
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
login local
transport input telnet ssh
!
end


Nochmals die Info das die PPPoE Zugangsdaten "<pppoe-userid>" und "<passwort>" in der Konfig unter dem Dialer 0 Interface ans Vodafone Format angepasst werden müssen.
Das sollten die gleichen wie bei einer FritzBox sein: https://www.youtube.com/watch?v=nfuRM3XNa9k (Ab 1:00)
Stehen in deinen Vodafone Vertrags Unterlagen !
Mitglied: inquisition
inquisition 13.08.2019 um 13:33:25 Uhr
Goto Top
Habe ich alles versucht aqui ,das hier lässt sich nicht mehr umschreiben ,vielleicht das Gäret zurücksetzen ! das sind irgendwie zwei Interface
!
interface Ethernet0/1/0.7
description VDSL Internet Vodafone - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Ethernet0/1/0.132
description VDSL Internet Vodafone - VLAN 7 tagged
encapsulation dot1Q 132
pppoe enable group global
pppoe-client dial-pool-number 1
!
Mitglied: aqui
aqui 13.08.2019 aktualisiert um 13:51:46 Uhr
Goto Top
vielleicht das Gerät zurücksetzen !
Nein !
Es geht viel einfacher... face-wink

Mit no interface Ethernet0/1/0.132 entfernst du das gesamte Interface. Das ist nur virtuell ! ("conf t" vorher nicht vergessen !)
Der Router löscht es dann komplett und du kannst es neu anlegen. face-wink
Mitglied: aqui
Lösung aqui 17.08.2019 aktualisiert um 12:27:21 Uhr
Goto Top
Der Paket Capture Quercheck mit der FritzBox zeigt eindeutig durch deren Paket Sniffer Funktion das das ein VLAN 7 Tagging ist:
ws1

Hier kannst du ganz eindeutig das VLAN 7 Tagging sehen und auch das die PADO, PADR und PADS Frames sauber ankommen und auch beantwortet werden. Nebenbei sieht man das Vodafone Juniper Hardware einsetzt face-wink
OK, damit ist dann wasserdicht geklärt das der Cisco ein VLAN 7 Tagging haben muss und kein Vodafone eigenes 132er Tagging !

Die PPP Authentication dann analog dazu:
ws2

Hier kannst du ganz deutlich sehen in welchem Format die FritzBox den Usernamen sendet und das Passwort.
Alles natürlich auch VLAN 7 getaggt.
Username ist dann: vodafone-vdsl.komplett/vb581234567
Passwort: nt1234abc
Damit ist dann auch das Username Passwort Format klar.
Die Konfig muss dann mit den VDSL relevanten Teilen im Cisco so aussehen:
!
interface Ethernet0/1/0
no ip address
no shutdown
!
interface Ethernet0/1/0.7
description Vodafone Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer0
description PPPoE Interface Internet
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username vodafone-vdsl.komplett/vb581234567 password nt1234abc
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!

Damit MUSS es funktionieren ! Das ist dann komplett analog zur FB.
Achte darauf das kein Subinterface mehr mit 132 Tagging in der Konfig steht !
(Wenn du deine Capture Datei in xyz.pcap umbenennst kannst du sie mit dem Wireshark Sniffer selber lesen und dir alles auch nochmal im Detail ansehen !)
Mitglied: inquisition
inquisition 24.08.2019 um 10:21:30 Uhr
Goto Top
Dank aqui ist der Router Online! vielen dank nochmal aqui ! nur noch ein par Einstellungen an VDSL Interface die DSL Speed ist stark gedrosselt aber das kommt noch hier die Configs :
Router#show run
Building configuration...

Current configuration : 4469 bytes
!
! Last configuration change at 07:50:19 UTC Sat Aug 24 2019 by admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$QKM8$ix0I09Km/jlHgqtWkQTJ7.
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.70.1 192.168.70.149
ip dhcp excluded-address 192.168.70.200 192.168.70.254
!
ip dhcp pool Lokal
network 192.168.70.0 255.255.255.0
default-router 192.168.70.1
dns-server 192.168.70.1
domain-name inquisition.home.arpa
!
!
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1072535057
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1072535057
revocation-check none
rsakeypair TP-self-signed-1072535057
!
!
crypto pki certificate chain TP-self-signed-1072535057
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31303732 35333530 3537301E 170D3139 30383138 31303436
32325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 30373235
33353035 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BD7E E655D7E1 7F805C31 C6F06A40 5F991987 6B55505A 8E8E6540 1AD30868
5DEAB40C 5BFEC023 149FB2EE F0B836B0 5AB3B2A4 A36085C6 E3EBF770 E2AE1D34
0B28F51B 78982318 81C913B4 99052B70 159D1E64 0056E928 B3B20AF5 97C06E59
A1F4AD5F 3E4D273D 9E8FE6F7 714A5A51 EA343002 752169D0 907A39BA 9A1ED96D
C1910203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 140ACB37 3738053F D3679904 CBAB174B D2724FA1 68301D06
03551D0E 04160414 0ACB3737 38053FD3 679904CB AB174BD2 724FA168 300D0609
2A864886 F70D0101 05050003 8181003F 6180AF29 AEBDE13E B530776E E4C5AA04
32DE4E8C 36459FA6 7FE0D673 4BF753B4 64C2CEA4 230D97CB 855D8CDE C218B35D
846E5F4A 15EB73EF 89C3E0CF E9FC4D47 86274F12 77E94AE8 9CF720B6 C790760C
5B7D915D 3F5B53C9 4B9487D7 1809197D 8DBC0B5A 910971DD DB55E0AF DB25C497
32FF930D FE65DC76 BCEF2107 735623
quit
license udi pid CISCO1921/K9 sn FCZ1549C4ZY
license boot module c1900 technology-package securityk9
!
!
username admin privilege 15 password 0 Geheim123
!
redundancy
!
!
!
!
controller VDSL 0/1/0
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Lokales LAN
ip address 192.168.70.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface GigabitEthernet0/1
description Lokales LAN
no ip address
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0/1/0
no ip address
!
interface Ethernet0/1/0.7
description Vodafone Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
description vdsl
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname vodafone-vdsl.komplett/vb58
ppp chap password 0
ppp pap sent-username vodafone-vdsl.komplett/vb585 password 0
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
access-list 23 permit 192.168.70.0 0.0.0.255
access-list 101 permit ip 192.168.70.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
transport input telnet ssh
!
no scheduler allocate
ntp server ntp0.one.vodafone-ip.de
end

Router#
Mitglied: aqui
aqui 30.08.2019 um 10:48:18 Uhr
Goto Top
Interessant ist das die Vodafone Heinis im Gegensatz zu allen anderen eine CHAP Authentisierung machen. OK, dank der guten Debug Funktion des Ciscos war das schnell klar. Ein wichtiger Punkt was im hiesigen Tutorial noch eingefügt wird.
Die Inbound Flow Control (ip flow ingress) solltest du noch mit "no..." vom Dialer Interface entfernen. Das ist so ein Kommando was den LAN Port verlangsamt. Mal ganz abgesehen davon das die Provider kein Flow Controll machen zu xDSL Kundeninterfaces.