hallo manuel,
sry., mit "pptp-dialer" meine ich einen pptp-client im ios kontext, und ich werde diesen begriff im folgenden auch so verwenden.
>"...Aber hier konfiguriert man den C837 ja nur als Modem und braucht trotzdem einen PPTP Dialer..."
die cisc's haben kein pptp-2-pppoa relay, und deshalb kann man keinen pptp-dialer nachschalten. das ist aber auch gar nicht das ziel der übung. wenn man schon einen cisc kastriert, dann bitte mit stil...
der ansatz, auf den du dich mit deinem verweis beziehst, ist offensichtlich das szenario "Replacing a Bridge or Modem with a Cisco 827 Router", ich meinte aber keine ethoa bridge, die geht nur für einen externen pppoe-dialer, sondern das:
- Code: Alles auswählen
+------------------+
lan ---- vlan1 -| c877/pptp-dialer |- fa3/vlan2 ---- pptp/ppp ----+
+------------------+ |
+-----------------------------------------------------------------+
| +-----------------------+
+---------------| st/pptp-2-pppoa relay |- dsl ---- pppoa ---- bras
+-----------------------+
was hats mit dem pptp-2-pppoa relay auf sich?
diese konstruktion ist die antwort auf folgendes problem
1.
man möchte mit einem externen dialer einwählen, und das zugangsgerät soll sich wie ein modem verhalten.
2.
am dsl-port des modems soll pppoa und nicht pppoeoa rauskommen.
dieses szenario ließe sich ganz einfach realisieren, wenn die strecke externer dialer <-> modem über atm rennen würde. blöderweise hat sich atm im endkundenbereich nie richtig durchsetzen können, weil zu teuer, im lan wird meist ethernet als l2-protokoll verwendet- und genau da liegt das problem.
gsd. haben ein paar geniale entwickler von alcatel etwas tiefer in die tasten gegriffen und den sts einen modifizierten pptp-server verpaßt, der über eben das pptp-2-pppoa relay direkt mit der atm-schicht verbunden ist, sodaß folgendes abläuft:
- auf der ethernetstrecke externer dialer <-> modem wird ppp mit pptp getunnelt.
- am pptp-server wird die gre-kapselung entfernt, und die nackten ppp-packete gehen übers relay direkt zur atm-schicht, wo sie in zellen zerlegt und in atm gekapselt werden. unterm strich kommt dann tatsächlich pppoa raus.
nach außen verhält sich diese konstruktion wie eine l2 bridge, obwohl das ganze über l3 rennt.
aus usersicht ergeben sich damit folgende vorteile:
- die win user können wie gehabt mit dfü einwählen und müssen nicht umdenken, letzteres is schon viel wert...
- man kann bei bedarf einen eigenen router oder eine security appliance nachschalten, und dieses gerät hat keinen NAT vor der nase. einzige randbedingung: das nachgeschaltete gerät muß pptp können.
die industrie hat nachgezogen und im laufe der zeit entsprechende geräte auf den markt gebracht- mit einer prominenten ausnahme: cisco. bei den ciscos ist der pptp-dialer im besten fall als hidden feature vorhanden, man muß die weniger bekannten internal services aktivieren, weil sonst das "protocol pptp" beim vpdn gar nicht zur verfügung steht, und ich weiß jetzt nicht, welche ios versionen dieses feature überhaupt anbieten.
die motivation der jungs von cisco ist klar: wenn ich einen cisco schon habe, dann werd ich net so deppat sein und dem ding ein modem vorschalten, der cisco kommt direkt an den rand. der chris hat ja auch schon darauf hingewiesen. dieses argument ist theoretisch richtig, in den niederungen des alltags gibts jedoch eine situation, in der es durchaus sinn macht, ein st vorzuschalten: schwache bzw. grenzwertige leitungen. es ist bekannt, daß die modems der ciscos nie wirklich berauschend waren, man mußte bei schwachen leitungen im vergleich zu den sts doch ziemlich stark mit der bb nachlassen. 2 beispiele dazu gibts weiter unten.
>"...Leider kann man keine ACLs für den IPSec Tunnel konfigurieren..."
du meinst jetzt eine acl für ike (udp/500) oder doch die crypto acl für den getunnelten traffic?
- ike kannst du am pire mit der firewall einschränken. webgui > Security > Advanced Filtering.
- pire_ike_acl.jpg (13.3 KiB) 10544-mal betrachtet
- und wenn du den getunnelten traffic einschränken willst, dann mußt du halt beim near und remote net größere masken nehmen. wildcard masks gibts beim pire nicht.
welche fw. hast du jetzt genau? netstream oder swisscom?
chris,
>"...aber das werden wir wohl nicht mehr rausfinden
- alles andere bleibt spekulation.. hehe..."
no probs, die 3 leitungen stehen ja noch (2x entbündelt globespan, 1x nicht entbündelt asam iirc), und die tests könnten wiederholt werden.
durchschnittliche elektrische länge 50db, das st546v6 synct stabil mit 5 Mbps und einem snr von 3,5 - 4,5 db. mim c877er kannst von 5 Mbps auf dieser leitung nicht mal träumen, das ende der fahnenstange ist mit trickserei bei 3,irgendwas Mbps erreicht.
meine eigenen leitungen sind 37db lang und hängen an isams. ein c1841er rennt @ 6 Mbps mit 100% roc auf beiden leitungen, wenn ich 2 st546v6 mit der r5.3.9.2 anhänge, fällt die roc auf rd. 70%, und ich könnte mit diesen dingern mit ach und krach sogar auf 8 Mbps gehen. will ich aber nicht, weil ich auf zuverlässigkeit und net auf bb steh...
und der c1841er rennt samt aontv mit der zuverlässigkeit eines alten waffenrads.
lg
zid
)