Servidge

ja, das 7 bedeutet es ist "verschlüsselt" (eher ein Sichtschutz) das liegt aber an dem konfigurierten "service password-encryption". konfiguriert wird es in klartext und der Router setzt es dann um. Wenn der Router sich dann einwählt überträgt er die Klartextdaten. Das "password 7" erschwert im Gegensatz zu "password 0" das überprüfen des Passwort nur etwas. Gibt genugtools die das umsetzen. Der Fehler sollte im debug ppp authentication genauer eingrenzbar sein.

Ohne ins debuging zu sehen, ist noch nicht freigeschaltet würde ich sagen liegt der Fehler an der Dialerkonfig. ändere mal folgendes. alt: ip address dhcp neu: ip address negotiated allerdings wenn du den User wieder von T-Online freischalten lassen musst stimmt was mit den Daten nicht. Edit: Wenn das debugging nur ein "Deb pppoe env/err" ist wird darin auch nicht der Fehler zu finden sein denn die Authetisierung wird mit dem ppp gemacht und findet nicht im pppoe statt.

Bei dem 24h Disconnect wird eigentlich nur die pppoe Session zurückgesetzt. Das Modem muß sich dafür nicht neu synchronisieren. Der Cronjob mit dem "cli clear pppoe all" wäre wohl die beste Wahl. Konfigänderungen bleiben bestehen und die Verbindung ist recht schnell wieder da. Damit der Kron ordentlich funktioniert muß der Router nur die richtige Uhrzeit haben. Die sollte deshalb von einem NTP Server bezogen werden. kron... hat zwar einen begrenzten Funktionsumfang aber für eine zeitgesteuerte Zwangstrennung reicht das. Ist Xhundertfach so in Betrieb

Als NTP Client, der sich irgendwo her die Zeit holt ist mir auch noch kein Problem bekannt geworden. Ich hatte das NTP als NTP Server (Master) verstanden. Und da kann es schonmal etwas haken, bzw kann es Probleme geben mit unterschiedlichen Clients.

Hi, wenn es um die Stabilität geht und die Features reichen würde ich die 124-15Ter einsetzen. Wenn die Features nicht reichen dann die 124-24T NTP ist ja nicht die wichtigste Funktion die der Router übernehmen muß, aber ja da gibts kleinere Mängel. c870-advipservicesk9-mz.124-15.T9.bin Router Checksum: 0xefa5 MD5: 07e6b5d3d5f2a23779961a62cacf1dd5 c870-advipservicesk9-mz.124-24.T1.bin Router Checksum: 0x2c2a MD5: b002409f9c6a71dc08b38037cfb238bb der Vollständigkeit halber brauch beides: Minimum Memory DRAM:128 MB Flash:28 MB

Was verstehst du unter DSL Reconnect? Soll sich das Modem neu synchronisieren oder soll nur die Zwangstrennung in den Morgenstunden stattfinden? Als erstes nehme ich mal die Zwangstrennung an. wie immer gibt es da mehrere Wege ;) Es ist egal welchen Befehlt du nimmst. Entweder "clear interface dialer1" oder "clear pppoe all". Funktioniert beides. Das muß dann entweder per kron oder per eem verwurstet werden. Per Kron: kron occurrence Zwangstrennung at 4:00 recurring policy-list clear-DSL-dialer ! kron policy-list clear-DSL-dialer cli clear interface dialer1 oder cli clear pppoe all per EEM Embedded Event Manager event manager applet EEM-Zwangstrennung event timer cron name EEM-Zwangstrennung cron-entry "0 4 * * *" action 1.0 cli command "enable" action 1.2 cli command "cli clear interface dialer1" oder action 1.2 cli command "clear pppoe all" Für den Fall das sich das Modem neu synchronisieren soll würde mir auf Anhieb nur der Lösuungsweg mit dem EEM einfallen. in etwa sowas: event manager applet EEM-DSL-Reconnect event timer cron name EEM-DSL-Reconnect cron-entry "0 4 * * *" action 1.0 cli command "enable" action 1.2 cli command "configure terminal" action 1.4 cli command "interface ATM0" action 1.6 cli command "shutdown" action 1.8 cli command "no shutdown" Ob allerdings dein IOS das Feature EEM unterstützt kann ich dir nicht sagen. Kron kann es aber.

In deiner Config des Dialer1 ist authentication pap configuriert. Die Plattform will aber nach dem Debug chap. Ändere das mal ab oder füge den chap teil hinzu.

ja kann weggelassen und fest konfiguriert werden. Fest konfiguriert habe ich es auch. ist nur für den Fall der Fälle und das wins kann in der tat raus ;)

Ohne es ausprobiert zu haben würde es so machen: interface FastEthernet0 description zum VDSL-Modem-mgmt ip address x.x.x.x duplex auto speed auto interface FastEthernet0.7 description zum Daten Internet encapsulation dot1Q 7 pppoe enable group 1 pppoe-client dial-pool-number 1 interface Dialer1 description PPPoE Dialer Daten Internet ip address negotiated encapsulation ppp load-interval 30 dialer pool 1 dialer-group 1 ppp authentication pap callin ppp chap refuse ppp pap sent-username ... password ... ppp ipcp dns request ppp ipcp wins request !ohne den ganzen ip igmp Teil interface FastEthernet0.8 description zum VDSL-Modem - IPTV encapsulation dot1Q 8 ip address dhcp ip pim sparse-mode ip igmp version 3 ip igmp query-intervall 15 ip igmp proxy-service no ip mroute-cahce !LAN interface vlan 1 description "internal net" ip address 192.168.0.1 255.255.255.0 ip virtual-reassembly ip igmp helper-address ( die IP des ermittelten RP ) ip igmp version 3 ip igmp explicit-tracking ip igmp query-intervall 15 ip igmp proxy-service Das FastEthernet0 hat ne IP um das Modem überwachen zu können

Hab mir das noch mal durch den Kopf gehen lassen. Ist derzeit nur der Denkansatz. Der eigentliche Teil fürs Daten Internet mit Vlan7 bleibt gleich. Sprich in dem Vlan7 wird die PPPoE Verbindung aufgebaut. Für den IP TV Teil muß zusätzlich ein VLAN 8 auf dem Wan Interface Richtung Modem Konfiguriert werden. Sprich ein weiteres Interface das per dhcp eine IP Adresse zugewiesen bekommt. Über'n Daumen wäre das der Anfang: interface FastEthernet0 description zum VDSL-Modem interface FastEthernet0.7 description zum Daten Internet interface FastEthernet0.8 description zum VDSL-Modem - IPTV encapsulation dot1Q 8 ip address dhcp Damit sollte zumindest eine IP Adresse zugewiesen werden. Beim Multicast wird dann anstelle des Dialer1 das FastEthernet0.8 genommen.

Hi, auf meinem 1802 hatte ich das mit dem VDSL so gelöst. interface FastEthernet0 ip address x.x.x.x duplex auto speed auto interface FastEthernet0.7 description zum VDSL-Modem encapsulation dot1Q 7 pppoe enable group 1 pppoe-client dial-pool-number 1 interface Dialer1 ... dialer pool 1 ... Für das Entertain musste kein weiteres vlan konfiguriert werden. Die Kommunikation lief durch die pppoe session des Dialer1. Es musste halt nur noch das Multicast zum laufen gebracht werden. Die Konfig habe ich aber nicht greifbar und auch nicht mehr im Kopf. Bin heute Abend erst wieder vor der Büchse. Edit: Na super, die Info ist alt! Seit Umstellung auf die neue "Zielarchitektur" hat sich das erledigt. Da ich es nicht nutze ist es mir nicht aufgefallen. Dann habe ich aber heute Abend was zu basteln.

Klar kann es passieren das durch einen Blitzschlag ein BRI oder ATM/DSL Interface zerstört wird. Ohne ein Medium am Router kannst du wenig mit debug oder show Befehlen ausrichten. Wenn bei einem show Interface, show diag oder show controllers das Betreffende Interface schon gar nicht mehr auftaucht ist in der Tat von einen Hardwaredefekt auszugehen. Ansonsten den Router wieder an die Leitung anschließen, nachsehen was funktioniert und was nicht. Einen DSLAM Port kann die Hotline des Netzanbieters immer prüfen/resetten. Dafür muss sich kein Aussendienstmitarbeiter bemühen. Wenn allerdings der DSL Port die Telefonie beeinträchtigt stimmt mit dem Splitter was nicht. Was hat denn der Techniker gemacht?

So im Kopf habe ich für den Fall jetzt auch keine passende oid. Und zum ausprobieren habe ich gerade auch keinen Switch greifbar. Bisher habe ich aber wenn mibs/oids fehlten die bei Cisco auf dem FTP gefunden. ftp.cisco.com/pub/mibs/ Ansonsten mit nem snmpwalk einmal den kompletten tree des Gerätes abfragen und dann nach nem Eintag suchen. [Edit:] Wenn ich mir das Ergebnis der Abfrage aber durch den Kopf gehen lasse gibt es wars***einlich dafür kein eigene OID.

eigentlich wird bei der Authentisierung gegenseitig geprüft ob einander vertraut wird. du wählst zwar raus (callout) aber die Authentisierung ist in Richtung callin. Kurz: Das callin unterdrück die Überprüfung des Einwahlknoten auf dem Router. Länger: Der Router wählt sich mit Benutzername und Passwort ein. Dies Prüft der Einwahlknoten. Lt Chap wird der Einwählende (Router) auch die Gegenseite prüfen. Der Username müsste mit "dialer remote-name <NAME>" auf dem Dialer konfiguriert sein. Das macht aber bei Interneteinwahl üblicherweise wenig Sinn da dies oft in Einwahlplattformen nicht Identisch konfiguriert ist. Bei einer Punkt zu Punktverbindung zwischen Router und Router oder zur Fernwartung ist dies ein "Sicherheitsfeature"

Das mit der Freude ist so eine Sache ;) Für eine wichtige Verbindung, die keine Aussetzer haben darf sind zwei dynamische Endpunkte sicher nicht die richtige Wahl. Im Unternehmen würde ich soetwas niemals dauerhaft produktiv einsetzen. Als kurzfrisige Notlösung aber machbar. Das einzigste wo es zu Problemen kommen wird ist halt bei Zugangsproblemen, Zwangstrennung etc der beiden Router. Sobald eine neue IP zugewiesen wird kann es nen moment länger dauern als bei festen IPs. Dieser Zeitraum lässt sich aber durch keepalive und kurze lifetime auch klein halten.

Von der Theorie und aus Sicherheitsgesichtspunkten her stimmt das vielleicht. Es ist aber auch möglich das auf beiden Seiten eine Dynamische IP eingetragen ist. Einfach bei "crypto isakmp key KEY address" keine IP sondern "0.0.0.0 0.0.0.0" eintragen. Bei der cryprto map muß dann anstelle der peer IP adresse ein "set peer DNSNAME(Bsp. Dyndns) dynamic" rein. Wichtig ist nur das Real-time Resolution for IPSec Tunnel Peer vom IOS unterstützt wird. Der Rest der Konfig bleibt eigentlich gleich wenn ich nichts übersehen habe. Gruß

Das Featureset ist zu ermitteln über den Dateinamen (c870-advipservicesk9-mz.124-22.T.bin") oder über im Show Version: Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(22)T, RELEASE SOFTWARE (fc1)

Der Tunnel sollte auf dem Router abgeschlossen werden. Das erspart mögliche Probleme mit dem Portforwarding und NAT. Die Leistung des 876 reicht für ein bis zwei VPN Verbindungen dicke aus.

entweder den scrollback buffer des Terminalprogramms erhöhen oder einfach die Ausgabe in eine Datei umleiten. Je nach Terminalprogramm gestaltet sich dies einfacher oder schwieriger. Und hinterher kann die Datei im Notepad oder sonst einem Editor geöffnet werden.

wie gesagt. mit nem Useraccount sollte üblicherweise auch ein "show tech-support" bzw. "show tech-support unprivileged" funktioieren. Das beinhaltet je nach Routertyp und Konfiguration unterschiedliche Infos. Die running Konfig ohne Passwörter etc, show Version, show interface, show diag, und nen ganzen haufen an weiteren Infos. Für nen Überblick steht schon ne Menge darin. Das einzigste was nicht dabei ist ist das Logfile (show logging). zu den DHCP Helpern: die werden unter dem jeweiligen Interface konfiguriert. ip helper-address x.x.x.x

Ähm, mal so zum Verständnis. Unter Dump verstehst du die Konfiguration der Büchse? So um einen Überblick über das Gerät zu bekommen ist ein Sh run, sh ver, sh diag interessat. An das sh run wirst du nur ohne ein Privilege 15 account nicht kommen. Mit nem Useraccount gibt es üblicherweise nur eine Konfigversion ohne Passwörter etc. Reicht aber für nen Überblick. Gesammelte infos mit noch einigen infos mehr sind im sh tech zu finden. Um an die Infos zu kommen reicht ssh/telnet/console/... Zugriff. TFTP FTP Syslog ist nur interessant wenn es um Logfiledumps oder Ähnliches geht. Wenn Netzwerktraffic mitgeschnitten werden soll muß es nen mirrorport sein. Gruß Servidge

Wobei passiert denn der Crash? Angenommen beim Scan (wobei auch sonst) Welcher Router gibt den Geist auf? Wenn es der W700v ist mag es daran liegen das der nicht so viel Leistung hat wie der 2621. Der Speedport ist für Heimanwender. Der Cisco ist eher professionelles Equipment. Der Cisco wird wohl mit den vielen Sessions besser umgehen. So fürs erste ;) Gruß Servidge

Die Zeit für die Zwangstrennung beginnt aber mit der Einwahl an zu zählen. Sprich ein Neustart des Routers würde eine Neueinwahl starten und die 24 Stunden fangen an zu zählen. Das sind aber auch nicht immer exakt 24 Stunden. Der Router müsste anstelle des "Neustart" aber auch nur die Verbindung trennen können. Habe gerade keinen greifbar. Kann aber mal morgen nachsehen. Wird aber unter dem "Event Scheduler" konfiguriert.

er versucht es offensichtlich doch noch mit chap. (Zeitstempel *Mar 2 18:26:23.081) Wenn die Konfiguration schon auf "ppp authentication pap callin" geändert wurde dann füge noch mal ein "ppp chap refuse" unter dem dialer ein. Und dann der nächste Versuch ;)

Deine Logausgabe sieht nach einem kurzen Verbindungsaufbau aus. Das könnten falschen Kennungsdaten sein. Das sollte aber mit dem von Wordo genannten debugs genau ermittelbar sein. ggf änder auch mal unter dem dialer1 das "ppp authentication pap chap callin" in "ppp authentication pap callin" Chap funktioniert bei TDSL eigentlich nicht.