xDSL.at

[Nooto]

Hello!


Irgend wie beisse ich mir die Zähne an dem Thema aus.


kurz mal zusammengefasst was ich mir wünschen würde.

Cisco 877 mit ADSLoPOTS an einem UPC Business Silber Anschluss wobei ich auf Fe0 und Fe1 gerne Access für mein LAN Hätte (NAT, 192.168.x.y, DHCP)

Fe2 und Fe3 sollen direkt access auf meine Public IPs bieten (/27er Netz)

Ich bekomme beides für sich gesehen hin

NAT mit DHCP

Code: Alles auswählen


sh runn
Building configuration...

Current configuration : 2958 bytes
!
! Last configuration change at 02:46:07 cet Sun Feb 5 2012 by Nooto
! NVRAM config last updated at 02:46:08 cet Sun Feb 5 2012 by Nooto
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname C877
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
!
no aaa new-model
clock timezone cet 1
!
!
no ip source-route
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
!
ip dhcp pool LAN
   import all
   network 192.168.1.0 255.255.255.0
   domain-name supercarrier.at
   dns-server 8.8.8.8 208.67.222.222
   default-router 192.168.1.1
   lease 0 2
!
!
ip cef
ip domain name supercarrier.at
ip name-server 195.58.160.194
ip name-server 195.58.161.122
ip name-server 8.8.8.8
ip name-server 208.67.222.222
no ipv6 cef
!
!
!
!
username Nooto privilege 15 secret 5 mypw
!
!
!
archive
log config
  hidekeys
!
!
!
bridge irb
!
!
interface ATM0
no ip address
ip virtual-reassembly
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
  encapsulation aal5snap
  pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
spanning-tree portfast
!
interface FastEthernet1
spanning-tree portfast
!
interface FastEthernet2
spanning-tree portfast
!
interface FastEthernet3
spanning-tree portfast
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiate
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name UPC
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username user password 0 pw
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp address accept
hold-queue 224 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
!
ip nat translation tcp-timeout 180
ip nat inside source list acl_nat interface Dialer0 overload
!
ip access-list extended acl_nat
deny   ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.127.255
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner motd ^
************************************************************************
*                                                                           *
*       THIS SYSTEM IS FOR THE USE OF AUTHORISED USER NOOTO ONLY!      *
*                                                                      *
*  For unauthorized users all access is prohibited and protected by    *
*  the use of Baseball Bat force.                                                  *
*                                                                      *
*  Individuals using this system are subject to having all of their    *
*  activities on this system monitored, logged and checked by Nooto.  *
*                                                        *
*                                                                      *
*  When you login to this host you automatically agree with the above  *
*  mentioned terms! And now, move along nothing to see here             *
*                                                                      *
************************************************************************
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input ssh
!
scheduler max-task-time 5000
ntp server 129.69.1.153
end

so das funktioniert auch wunderbar. NAT, Einwahl und DHCP funktionieren bestens.

Dann habe ich versucht eine simple @work config mit Public IPs hin zu bekommen

das schaute in ungeführ so aus:

Code: Alles auswählen


conf t

username Nooto privilege 15 secret pw
hostname C877

service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption

logging buffered 15000
no ip domain lookup

banner motd ^
************************************************************************
*                                                                           *
*       THIS SYSTEM IS FOR THE USE OF AUTHORISED USER NOOTO ONLY!      *
*                                                                      *
*  For unauthorized users all access is prohibited and protected by    *
*  the use of Baseball Bat force.                                                  *
*                                                                      *
*  Individuals using this system are subject to having all of their    *
*  activities on this system monitored, logged and checked by Nooto.  *
*                                                        *
*                                                                      *
*  When you login to this host you automatically agree with the above  *
*  mentioned terms! And now, move along nothing to see here             *
*                                                                      *
************************************************************************
^C

clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
ntp server 129.69.1.153

ip cef

interface ATM0
no shut
exit

interface ATM0.835 point-to-point
description ***PPPoE***
mtu 1492
pvc 8/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
exit
exit


interface Dialer0
description WAN_PPPoE
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname user
ppp chap password pw

interface Vlan1
description LAN
ip address meine pub ip 255.255.255.224
ip tcp adjust-mss 1452
exit

ip route 0.0.0.0 0.0.0.0 Dialer0
dialer-list 1 protocol ip permit

line con 0
logging synchronous
login local
exit

line vty 0 4
logging synchronous
exec-timeout 0
login local
exit



funktioniert an sich auch. Router ist von extern erreichbar. ich kann vom Router weg pingen jedoch kann ich von keinem Angeschlossenen Host aus ins Internet (selbstverst. pub ip am Network Interface vergeben. Gateway kann ich jedoch pingen)

Die frage ist nun. Wo steckt der Fehler in meiner Pub IP cfg, Kann ich die beiden "verheiraten" und auf unterschiedliche Interfaces anwenden.

Bzgl. des Verheiratens habe ich bisher folgendes versucht

Code: Alles auswählen

interface Dialer0
ip unnumbered vlan2
no ip redirects
ip mtu 1492
ip nat outside
no ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name UPC
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username user password 0 pw
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp address accept
hold-queue 224 in

interface Vlan2
description Pub IPs
ip address my public IP GW 255.255.255.224
ip virtual-reassembly
ip tcp adjust-mss 1452
no shut


Das hat aber nur dazu geführt dass dann gar nichts mehr ging


last but not least bereitet mir der DHCP Server noch Kopfschmerzen.
Trotz definitv erfolgter IP Zuweisung durch den DHCP Server schauen die sh einträge so aus

Code: Alles auswählen

C877#sh dhcp lease

C877#sh dhcp server
   DHCP server: ANY (255.255.255.255)
    Leases:   0
    Offers:   0      Requests: 0     Acks : 0     Naks: 0
    Declines: 0      Releases: 0     Query: 0     Bad: 0

C877#

kann mir das einer erklären?


Danke


Nooto

[zid]

hallo nooto,

- fe2/3 auf l2 vom vlan1 trennen:

Code: Alles auswählen

!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2

- danach das intf vlan1 wie im 1. und das intf vlan2 wie im 3. code-abschnitt konfigurieren.

lg
zid

[Nooto]

danke für deinen input. switchport war natürlich im vlan2. somit war meine überlegung eh richtig


ich hab den fehler auch gefunden. er fiel mir bei einem ping/traceroute auf...

anstatt 1msec im lan hatte ich 56msec rtt. beim traceroute kam ich drauf das der host im upc netz ist und da schwante mir böses

ich hab vor kurzer zeit mein produkt von business silber auf compact voice umgestellt und hab dadurch nur noch eine pub ip...

somit kann ich mich mit meinem "alten" /27er netz natürlich brausen gehen

[steger]

so hab meinen vorschlag wieder geloescht *g*

[zid]

>"...hab dadurch nur noch eine pub ip..."
ja, da wirds tatsächlich eng...

>"...so hab meinen vorschlag wieder geloescht *g*..."
löschen is feig. wenn schon, dann durchstreichen, schließlich wollen wir was lernen.

lg
zid

[Nooto]

danke euch beiden auf jeden fall tolle sache das man hier so schnell hilfe für doch eine etwas ausgefallene sache findet


ich versuch jetzt erst mal den upc vertrieb zu erreichen

[jutta]

ich bin grad am ueberlegen, ob ich mir das mit oeffentlichen und privaten ip adressen mit dem c1721 antun soll. ich hab zwar kein /27 sondern nur /29, aber da aendert sich ja nur die subnetzmaske. also: immer nur her mit den tipps

wobei, noch ein wichtiger disclaimer: ich hab auf dem ding keinen switch eingebaut, nur einen einzelnen fe port.

[zid]

>"...nur einen einzelnen fe port..."
das is mir grad noch bekannt...
wie wird das /29er geroutet? "dreckig" oder "sauber"?
und du kommst über einen trunk zum fe des 1721? ich denk an 2 subinterfaces mit jeweils "encapsulation dot1q...", router-on-a-stick also.

>"...eine etwas ausgefallene sache findet..."
naja, das sind ja grad die lustigen und interessanten themen. so nach dem motto:"endlich amoi wos aondas...".

lg
zid

[jutta]

"dreckig"

was beim c zunaechst zu der meldung:

c1700-ju(config-if)#ip address 83.xx.xx.89 255.255.255.248
% 83.xx.xx.88 overlaps with Dialer0

fuehrte.
aber wenn man das fe einrichtet, waehrend atm 0 down ist, frisst er es und geht auch wieder up.

[steger]

"dreckig"

was beim c zunaechst zu der meldung:

c1700-ju(config-if)#ip address 83.xx.xx.89 255.255.255.248
% 83.xx.xx.88 overlaps with Dialer0

fuehrte.
aber wenn man das fe einrichtet, waehrend atm 0 down ist, frisst er es und geht auch wieder up.

naja.. wieso ned "ip address negotiated" ?
das unnumbering braucht kein mensch und verursacht nur probleme..

@zid:
von mir kann ma nix lernen.. hehe

christian

[jutta]

negotiated hatte ich vorher. dann passiert das:

> c1700-ju(config-if)#ip address 83.65.119.89 255.255.255.248
> % 83.65.119.88 overlaps with Dialer0

es hilft, wenn man das atm-if down nimmt, dann erst das fastethernet einrichtet und dann das atm wieder up. schoen ist es nicht:
> C 83.65.119.89/32 is directly connected, Dialer0
> C 83.65.119.88/29 is directly connected, FastEthernet0

funktioniert aber erfahrungsgemaess, ich hatte den c877 und einen soho 77(?) monatelang so konfiguriert.

ich hab gestern abend schon ueberlegt, ob der c1700 zwei dialer gleichzeitig schaffen wuerde und wie ich die einrichten kann. (@work mit /29 und den oeffentlichen ip adressen ins lan geroutet und @home mit nat - ich hab ja noch einen vpn-mehrplatz, da sind solche spiele moeglich ) da man solche bloedheiten besser per konsole als remote betreibt, kann ich es erst am naechsten wochenende ausprobieren.

ps:
> von mir kann ma nix lernen.. hehe

das halte ich fuer ein geruecht

[zid]

hallo christian,

>"...das unnumbering braucht kein mensch und verursacht nur probleme..."
ich würde mal sagen:"man sollte darauf nicht angewiesen sein". blöderweise neigen die provider heutzutage immer mehr zu "dreckigem" routing, i.e. sie routen dir ein z.b. /29er netz durch, verwenden aber eine ip für den dialer. ich werd mich jetzt nicht dazu äußern, was ich persönlich von einer derartigen kostruktion halt, weil ich dann ausfallend werd und jutta mich raushaut. faktum ist, daß man in diesem fall mit einer pseudo bridge konfrontiert ist, und da hilft der unnumbered mode am dialer schon.
der stefan war so nett und hat mir im zusammenhang mit diesem prob:
viewtopic.php?f=46&t=53314
ein dreckig geroutetes netz eingerichtet. er wird sich dabei in seinem perfektionismus ziemlich sicher die finger gebrochen haben, und ich hoffe, daß sich seine schadensersatzforderungen in grenzen halten. und ich bin auch auch sehr froh, daß er sich die frage verkniffen hat, ob ich völlig durchgeknallt bin...
und mit diesem dreckigen netzerl hab ich mit einem c1841er sowohl das szenario vom fretful (dual homed) als auch das von nooto (2 vlans) durchgespielt. geht im unnumbered mode sauber durch, mit "ip address nego..." hingegen net ganz so, s. die ausführungen von jutta.

>"... von mir kann ma nix lernen.. hehe..."
aja du kannst davon ausgehen, daß ich mir dazu meine eigenen gedanken mache...

lg
zid