xDSL.at

[sebaat]

Hallo Forum,

Ich habe an einer Außenstelle einen ADSL Anschluss (DSL Business silber) von Inode (bzw. UPC) von 2009. Als Modem und PPPoA Dialer fungiert ein Thomson 585 (LAN IP 10.0.0.138). Daran ist ein Zyxel Prestige 324 angeschlossen (IP 10.0.0.140), der eine PPTP Einwahl zum Thomson 585 macht. LAN-seitig vom Zyxel Router erhalte ich dann ein offizielles /30 Netz, woran ich meinen Cisco 1720 (IOS c1700-k9o3sy7-mz.123-13) angeschlossen habe. Dieser baut einen IPSec VPN Tunnel zu meiner Zentrale auf.

Dieses Setup hat bisher immer gut funktioniert, bis vor einigen Tagen Verbindungsprobleme (Packet Loss bis 100%) einsetzten. Diese treten sporadisch meistens nachmittags ab 14:00 – 15:00 Uhr bis abends 22:00 – 00:00 Uhr auf.

Ein Techniker von Inode war deswegen schon vor Ort und diagnostizierte einen Defekt am Zyxel Gerät. Daraufhin habe ich mir das Passwort zurücksetzen lassen, um mir dieses Gerät mal selber anzusehen. Ich war schon per Telnet und HTTP drauf, konnte aber keine Fehler finden, lediglich dieser Output machte mich etwas stutzig:

Code: Alles auswählen

zyxel> ip status
( 1)ipForwarding                 1     ( 2)ipDefaultTTL               255
( 3)ipInReceives          58664288     ( 4)ipInHdrErrors            56059
( 5)ipInAddrErrors               0     ( 6)ipForwDatagrams       37865731
( 7)ipInUnknownProtos            0     ( 8)ipInDiscards                 0
( 9)ipInDelivers          21069057     (10)ipOutRequests         21469996
(11)ipOutDiscards              255     (12)ipOutNoRoutes            10673
(13)ipReasmTimeout              30     (14)ipReasmReqds                 6
(15)ipReasmOKs                   3     (16)ipReasmFails                 0
(17)ipFragOKs               182912     (18)ipFragFails                  0
(19)ipFragCreates           365824
Routing lookups: 59116911, cache hits 56192853 (22%)

--> 56059 ipInHdrErrors!

Frage #1: Hat das was zu sagen? Könnt ihr mir irgendwelche Tips geben, wie / was ich auf dem Zyxel prüfen soll?
Frage #2: Sieht das nicht eher wie ein Leitungsproblem aus?

Inode kann uns aus irgendwelchen Gründen leider kein Ersatzgerät zur Verfügung stellen.
Weiterhin kam die Idee auf, die Funktion des Zyxel Geräts auf den Cisco zu verlagern, um ersteren als Fehlerquelle auszuschließen. Dies wurde hier schon mal im folgenden Topic andiskutiert:

http://wwww.xdsl.at/viewtopic.php?f=20&t=53383#p438259

Frage 2#: Hat nun jemand schon mal diese PPTP Einwahl auf einem Cisco Router realisiert? Wenn ja, könnt ihr mir die Config zur Verfügung stellen.

Ich habe an verschiedenen Stellen im Netz gesucht, und bisher nur folgende Links gefunden.

https://groups.google.com/forum/?fromgroups#!msg/comp.dcom.sys.cisco/7S1cR8Steek/i1WdRjGM1YEJ

http://rizzitech.blogspot.de/2008/09/configuring-cisco-adsl-router-acting-as.html

Es wäre allerdings schön, wenn hier jemand wäre, der mit dieser Sache auch schon praktische Erfahrungen hat.

Frage 3#: Gibt es irgendwelche anderen Optionen, wie ich den Cisco mit einer statischen offiziellen IP ans Netz kriege?

Vielen Dank für eure Hilfe!
seb

[jutta]

@ipInHdrErrors: ich habe leider keine ahnung, was das bedeutet. du koenntest es am ehesten bei zyxel selbst erfahren (support(at)zyxel.de)

bei 2 modems, auf die ich zugang habe, sieht es so aus:

Code: Alles auswählen

opyright (c) 1994 - 2004 ZyXEL Communications Corp.
P660> ip status
( 1)ipForwarding                 1     ( 2)ipDefaultTTL               255
( 3)ipInReceives          38075502     ( 4)ipInHdrErrors              771
( 5)ipInAddrErrors               0     ( 6)ipForwDatagrams       37848042
( 7)ipInUnknownProtos            0     ( 8)ipInDiscards                 0
( 9)ipInDelivers            581848     (10)ipOutRequests           587539
(11)ipOutDiscards                0     (12)ipOutNoRoutes             6571
(13)ipReasmTimeout              30     (14)ipReasmReqds                38
(15)ipReasmOKs                   9     (16)ipReasmFails                 0
(17)ipFragOKs                    9     (18)ipFragFails                  0
(19)ipFragCreates               21     
Routing lookups: 38083971, cache hits 28006141 (4294967258%)


Code: Alles auswählen

Copyright (c) 1994 - 2003 ZyXEL Communications Corp.
cid228057> ip status
( 1)ipForwarding                 1     ( 2)ipDefaultTTL               255
( 3)ipInReceives           1294060     ( 4)ipInHdrErrors                0
( 5)ipInAddrErrors               0     ( 6)ipForwDatagrams        1234502
( 7)ipInUnknownProtos            0     ( 8)ipInDiscards                 0
( 9)ipInDelivers            110434     (10)ipOutRequests             5440
(11)ipOutDiscards                0     (12)ipOutNoRoutes               47
(13)ipReasmTimeout              30     (14)ipReasmReqds                 5
(15)ipReasmOKs                   1     (16)ipReasmFails                 0
(17)ipFragOKs                    0     (18)ipFragFails                  0
(19)ipFragCreates                0     
Routing lookups: 1184481, cache hits 1051127 (89%)
cid228057>


stabil sind beide leitungen.

oooops - nehme alles zurueck, was ich unten geschrieben habe. ich hab uebersehen, dass der cisco das p324 ersetzen soll. nein, pptp-einwahl kann er - afaik - nach wie vor nicht.

alles, was ich da geschrieben habe, waere fuer den fall richtig, dass der c1720 als modem + router verwendet wird.

@config fuer den c1720: ich habe diese config (dh inode business "ispa"-adsl) mangels anschluss noch nie auf einem cisco probiert. aber ich werde ich meinen "schaetzen" graben, vielleicht finden wir was, aus dem du eine funktionierende config basteln kannst. verrat mir bitte per pn eine e-mail adresse, an die ich dir configs mailen kann.

grundsaetzlich ist es die "normale" adsl mit pptp-configuration, die hier im forum schon ein paarmal vorgestellt wurde, allerdings fuer c827, 837. aber ich glaub, dass wicked_one einmal auch eine fuer einen c1720 gepostet hat. es ist ja "normales" adsl, das upc von der ta/a1 bezieht.

deine unterscheidet sich nur dadurch, dass du das oeffentliche netz hast, das du nach wahl entweder am eth-interface oder am loopback-interface konfigurieren kannst.

nur zur sicherheit: ein adsl wic hast du eh fuer deinen c1720?

ich sende das jetzt einmal ab und schreib spaeter weiter, sobald ich gelegenheit hatte, noch einmal drueber nachzudenken

[jutta]

fuer den cisco hab ich noch keine loesung, aber in diesem thread hatte einer ein aehnliches problem wie du und hat es (provisorisch) geloest, indem der das speedtouch als router konfiguriert hat.

viewtopic.php?f=20&t=37223

ob das fuer deine anforderungen genuegt, kann ich nicht beurteilen, aber einer unserer speedtouch-gurus wird sich dazu sicher melden.

//ps: um leitungsprobleme zu pruefen, muesstest du im speedtouch nachschauen. das waere vielleicht eine gute idee. (leitungswerte aus dem web-if oder aus telnet-if)

[sebaat]

Danke für die Antworten. Ich habe das Problem, dass ich nicht vor Ort bin und das irgendwie aus der Ferne regeln muss.

Ich habe schon versucht, per Telnet auf den Thomson zuzugreifen, aber irgendwie passiert gar nichts, nachdem ich den Usernamen eingegeben und mit ENTER bestätigt habe.
Woran könnte das liegen??

Code: Alles auswählen

Copyright (c) 1994 - 2003 ZyXEL Communications Corp.
zyxel> ip telnet 10.0.0.138
Resolving 10.0.0.138... Connected to 10.0.0.138
Escape character is '^]'.
Willkommen am THOMSON 585 v7
   Plattform:CANT-P  Firmware:8.6.9.0  Seriennummer:CP1143SFLKC
Bitte identifizieren Sie sich mit Ihrem Benutzernamen und Kennwort
--------------------------------------------------------------------------------




Username : Administrator


[jutta]

ich koennte mir vorstellen, dass der telnet-client vom zyxel mit dem riesigen logo vom speedtouch ueberfordert ist und irgendwas abschneidet, habe das aber in der form noch nie probiert. (von einem zyxel-router aus per telnet an meinem uni-account einloggen hat aber vor jahren noch funktioniert)

was mir bisher an loesungsansaetzen eingefallen ist:

a) einen ersatz fuer das p324 suchen. in frage kommen gebrauchte p324 oder die nachfolgemodelle von zyxel, (ev. beim sales in deutschland anfrage) oder alle bintec/funkwerk router (gebraucht, wenn du kein grosszuegiges budget hast) und manche linksys und netgear router. pptp koennen die alle, das ausschluss-kriterium ist bei dir, ob sie auch mit dem /30 netz umgehen koennen oder reine soho-produkte mit nat-only sind.

b) eine integrierte loesung suchen, dh modem und router in einem. was da genau in frage kommt, haengt unter anderem davon ab, ob du an dem standort adsl oder adsl2+ hast. je nachdem reicht ein altes zyxel p650 oder p660, ein cisco 837 oder neuer, ein adsl-wic fuer den 1720, ein neuerer modularer cisco mit adsl2+-wic ... und natuerlich von anspruechen und budget.

c) upc auf die nerven gehen, bis sie irgendwo in ihren altbestaenden einen p324 oder einen kleinen alten bintec finden. (in wahrheit wuerde sogar ein p310 reichen)

[sebaat]

Übrigends vermute ich, dass die Verbindungsprobleme daran liegen, dass der Zyxel ständig seine PPTP Einwahl verliert. Hier die Routen (IP Adressen geändert):

Code: Alles auswählen

zyxel> ip route status
Dest            FF Len Device     Gateway         Metric stat Timer  Use
213.219.35.240  00 32  pns0       213.219.35.240    1    03a9 0      0
82.213.7.11     00 29  enet0      82.213.7.11       1    041b 0      17143569
10.0.0.0        00 24  enet1      10.0.0.140        1    041b 0      21623525
default         00 0   pns0       inode             1    00ab 0      20943311


Die 82.213.7.11 ist die LAN IP des Zyxel, d.h. das default Gateway meines Cisco. Die 213.219.35.240 kenne ich nicht. Was ist das für eine IP?

Wenn ich vom Cisco Router während der Verbindungsprobleme mehrere Traceroutes zu einer IP aus dem Internet laufen lasse, sehe ich zeitweise folgendes:

Code: Alles auswählen

Tracing the route to 8.8.8.8

  1 82.213.7.11 4 msec 0 msec 0 msec
  2 82.213.7.11  !H  !H  !H
  3 * * *

(!H bedeutet "Host unreachable")

Normalerweise sieht der Traceroute so aus:

Code: Alles auswählen

Tracing the route to 8.8.8.8

  1 82.213.7.11 4 msec 0 msec 0 msec
  2 213.219.35.240 20 msec 16 msec 12 msec
  3 ...und so weiter, ab ins Internet

Die Frage ist nur, warum?? Ist die Leitung vielleicht überbucht? Oder hat der Zyxel tatsächlich irgendeinen Knacks? Wie gesagt, normalerweise (z.B. vormittags) läuft eigentlich alles geschmeidig.

[jutta]

der 213.* duerfte die pptp-gegenstelle ("einwahlknoten") sein.

das traceroute sieht tatsaechlich nach einem verbindungsproblem aus. die frage ist nur, *wo* die verbindung gestoert ist. das kann grundsaetzlich beim zyxel selbst sein, beim kabel zwischen zyxel und thomson, beim thomson, beim telefonkabel vor ort, bei der leitung zum waehlamt, bei der hardware im waehlamt oder beim einwahlrouter.

einwahlrouter ist am unwahrscheinlichsten, da davon wohl mehr leute betroffen waeren und sich gemeldet haetten.

die kabel lassen sich am einfachsten austauschen, daher wuerde ich damit anfangen, bzw jemanden vor ort beauftragen, dass er/sie schaut, ob die kabel beschaedigt sind und ob sie an beiden enden gut angesteckt sind.

ausserdem koennte jemand vor ort beobachten, was die leds von thomson modem machen. (welche farbe leuchtet, blinkt usw)

[sebaat]

Auf ein Kabelproblem würde ich nicht tippen, sonst würde ich ja permanente Probleme haben.

Achja, ich hatte vergessen zu erwähnen, dass das Modem bereits getauscht wurde. Ein Problem mit dem Modem würde ich also auch ausschließen.

Habe eben noch mal beim Inode Support angerufen, die haben mir bestätigt, dass die PPTP Einwahl dauernd abbricht. Sie sind felsenfest davon überzeugt, dass es ein Problem des Zyxel Router ist, welches wohl häufiger auftritt.

Welches Zyxel Gerät könnte ich denn als Ersatz für den P324 nehmen?

[jutta]

rein theoretisch sollte jeder soho-router von zyxel ausreichen. aber ich hab dir per pn eine e-mail adresse von einer kontaktperson geschrieben, die mit den aktuellen zyxel-modellen viel besser vertraut ist als ich.

was sonst in frage kommt, hab ich eh schon weiter oben geschrieben.

am defekten p324 laesst mich allerdings zweifeln, dass die stoerungen taeglich zur gleichen zeit auftreten. mein heissgeliebter alter p324 tut leider auch nimmer richtig, aber der tut rund um die uhr nimmer richtig.

kann es sein, dass es da lokale stoerungen gibt? zb irgendwelche maschinen ein/ausgeschaltet werden? (gewerbebetriebe in der nachbarschaft? baustellen? oder werden um diese zeiten besonders grosse datenmengen transportiert?

fuer "normale" ueberlastung im upc-netz sind die uhrzeiten eher untypisch. (da staut es eher am spaeten nachmittag / fruehen abend)

die logfiles vom p324 waeren auch noch interessant. die kannst du dir, iirc auch auf einen syslog-server umleiten lassen, was den vorteil hat, dass sie dann einen reboot ueberstehen.

[jutta]

> Sie sind felsenfest davon überzeugt, dass es ein Problem des Zyxel Router ist, welches wohl häufiger auftritt.

es gab / gibt einige kombinationen von speedtouch modems und zyxel routern, die sehr schlecht funktioniert haben. siehe auch der thread, den ich ganz oben verlinkt habe. aber bei dir hat es ja bisher funktioniert.

natuerlich kann ein p324 defekt werden, und er hat ja schon einige jahre auf dem buckel. aber stundenweise defekt kommt mir halt sonderbar vor.

am einfachsten waere es wohl, wenn das thomson selbst einwaehlt und das /29 oder /30 ins lan routet.
ich hab einen der speedtouch-spezialisten des forums gebeten, dass er sich eine passende config fuers t585 ueberlegt. in die muesstest du dann nur die zugangsdaten einsetzen und irgendjemand vor ort darum bitten, dass er die config ins thomson hochlaedt. oder, wenn du dem nicht vertraust, ein zweites thomson beschaffen, das konfigurieren und hinschicken. dann ist das alte als reserve da. (viele tipps fuer thomson modems und fuer .at sicher geeignete modelle gibts bei http://www.dieschmids.at )

[zid]

na, da gehts richtig lustig zu, endlich mal was interessantes...

hallo sebaa,

>"...Als Modem und PPPoA Dialer fungiert ein Thomson 585 (LAN IP 10.0.0.138). Daran ist ein Zyxel Prestige 324 angeschlossen (IP 10.0.0.140), der eine PPTP Einwahl zum Thomson 585 macht..."
also das geht so sicher nicht. du kannst nicht ein und denselben carrier doppelt belegen. ist das tg im mu oder su mode? und wie groß ist das netz, das jetzt durchgeroutet wird? ein /30er kanns nicht sein, weil 82.213.7.11 der bcast von .8/30 ist.

ich nehm jetzt mal folgendes an:
- das tg ist im su mode, und es liegt kein "overlay" vor.
- du hast dich bei deiner verschleierungsaktion vertan, und es wird doch ein /30er netz durchgeroutet, und das auch noch dreckig- tip von jutta. ich nehm jetzt im folgenden der einfachheit halber 1.1.1.0/30 fürs geroutete netzerl.
- und im lan nehm ich den bereich 192.168.1.0/24.
- der dialer des tg heißt inet.
1.
du drehst das tg von su auf mu.
2.
da dreckig geroutet wird, ist der dialer des 585er im unnumbered mode zu betreiben:

Code: Alles auswählen

=>ppp ifdetach intf inet
=>ppp ifconfig intf inet unnumbered enabled

2.
jetzt kann man in aller gemütlichkeit z.b. die 1.1.1.1 ans "LocalNetwork" anschrauben (die .2 kriegt der cisc):

Code: Alles auswählen

=>ip ipadd intf LocalNetwork addr 1.1.1.1/30 addroute enabled

3.
nat vom dialer auf transparent und eine statische map samt acl setzen, sodaß der traffic des cisc (ipsec) nicht genattet wird:

Code: Alles auswählen

=>nat ifconfig intf inet translation transparent
=>nat mapadd intf inet outside_address 1.1.1.1  access_list 192.168.1.0/24

4.
default route als intf route formulieren, no prob bei p-t-p, da gibts nur 2 enden :

Code: Alles auswählen

=>ip rtadd dst 0.0.0.0/0 intf inet metric 1

diese prozedur gilt nur für die annahmen von oben. sollte ein overlay vorliegen- und damit meine ich, daß das tg eine grundverbindung aufbaut, über die dann ein pptp-tunnel für den eigentlichen traffic gelegt wird, dann inode ersuchen, dieses unnötige konstrukt zu beseitigen und direkt zu routen.
und wenn das routing nicht dreckig ist, dann kannst du dir den unnumbered mode natürlich ersparen.
im notfall könnt ich dir im austausch ein vorkonfiguriertes ding zukommen lassen. dann brauchte ich aber unverfälschte net parms

lg
zid

[zid]

aja, aktivieren sollt ma das zeugs auch noch:

Code: Alles auswählen

=>ppp ifattach intf inet

lg
zid

[jutta]

Welches Zyxel Gerät könnte ich denn als Ersatz für den P324 nehmen?

manchmal tut ein bissl bewegung gut ich war kaum von schreibtisch und computer weg, als der groschen gefallen ist.

die einfachste loesung waere, bei zyxel keinen router zu kaufen, sondern ein modem und zwar eines fuer adsl/adsl2+ annex a.
zb eins von den p660/p661 hier http://www.zyxel.com/de/de/products_ser ... .shtml?t=c
worauf du bestellung achten musst, ist die endziffer "1" in der modellbezeichnung. die steht bei zyxel fuer annex a und das brauchst du, wenn an dem anschluss derzeit ein thomson 585 (und nicht etwa ein 585i) laeuft. ich betone das deshalb, weil deutsche haendler vermutlich eher die in .de ueblichen ur-2 modems (endziffer 7 bei zyxel) haben werden.

config ist dann ganz einfach:

pppoa, vc-mux, vpi = 8, vci = 48
zugangsdaten,
always on = yes.
nat = none

am lan-interface traegst du dein /30 oder /29 mit der passenden subnetzmaske ein. dhcp abschalten, falls es per default ein sein sollte. daran schliesst du den cisco an. fertig.

als anhaltspunkt fuer den preis: http://geizhals.at/?cat=rdsl&xf=1461_ZyXEL#xf_top (vorsicht, in der liste sind adsl, shdsl, vdsl modems bunt gemischt und bei einigen zweifle ich an der lieferbarkeit)

diese konstruktion hat die angenehme nebenwirkung, dass du es in zukunft mit der fernwartung leichter hast, denn da hat das modem die oeffentliche ip. ich weiss nicht, ob du dir den thread von fadi durchgelesen hast, der hat damals bei genau so einem anschluss wie du ihn betreuen musst, wochenlang mit der kombination modem + router dahinter gekaempft, irgendwann hab ich ihm ein aelteres p650 geborgt und er war 10 min nach dem heimkommen online und hatte keine unterbrechung mehr.

und: du kannst das modem in ruhe besorgen, konfigurieren und in die aussenstelle schicken und dort brauchen sie es nur anstecken. falls wider erwarten irgendwas nicht funktionieren sollte, gibts immer noch die derzeitige original-hw.

noch ein tipp aus der praxis: falls das von dir gewaehlte modem-modell eine firewall haben sollte, verwende sie *nicht*. das zyxel wird es dir mit besserer stabilitaet danken.

//ps: wenn die ursache des problems in wirklichkeit eine ganz andere ist, wird sie durch ein neues modem wahrscheinlich nicht geloest. aber angesichts von hw-preisen zwischen 30 und 60 euro kann man das imo riskieren.

[wicked_one]

Was spricht dagegen, ein ADSL WIC in den 1720er zu packen?...

[jutta]

im prinzip gar nichts (hatte ich weiter oben auch schon vorgeschlagen)

allerdings weiss ich nicht, ob es ein adsl oder adsl2+ anschluss ist (t585 koennte theoretisch beides sein und solang er keinen remote-zugang zum t585 hat, wissen wir es nicht), fuer die 17xx gibt es nur adsl wics. der preis ist nicht mehr so schlimm wie noch vor 1-2 jahren, allerdings sah ich bei ebay jetzt fast nur angebote aus den usa, da wird der transport noch teuer. (hast du noch welche anzubieten?)

btw da hat einer den ambitionierten plan, informationen ueber alle modems zu sammeln. bei 2599 ist er schon ... http://www.adslgeek.com/