yoghourt

Die Auflösung: Das Problem ist, dass das Feature "PPPOE-Client im Sub-Interface" erst ab 12.4(20)T verfügbar ist, mein 2651XM aber maximal 12.4(15) frisst....

 

Badumm! :(

 

Danke für die Tips

Das Modem ist ein Allnet ALL500VDSL-2 welches das Tagging nicht macht.

 

Das Problem was ich hab ist, dass ich für das Sub-If nicht die option 

"pppoe-client" aufrufen kann.

 

Alles was er mir anbietet ist pppoe enable.

 

Tach zusammen, 

 

folgende Situation:

 

2651XM, 12.4(3)

VDSL-Modem (T-Com) an FE0/1

 

Da T-Com muss ich den Dialer an ein VLAN-taggendes Interface binden.

 

Das Problem:

Ich kann in einem Sub-If (FE0/1.1) die option pppoe enable aufrufen, pppoe-client jedoch nicht.

An FE0/1 gehts.

 

Stelle ich mich zu doof an?

Brauchts dafür an anderer Stelle ne Option?

 

Beste Grüße und vielen Dank im Voraus

Anton

Des Rätsels Lösung:

 

In der Tat Option 67 aktvieren für das jeweilige Interface und mit dem String: bootwiz.sys versehen.

 

Leider lässt sich so der PXE-Server nicht mehr via Acronis Console deaktivieren.

hmmm...ich hab aber für das Erste nix konfiguriert....die haben alle die selben Optionen eingetragen...

 

Es ist ja auch nicht so, dass ich das nicht auch schon probiert hätte. Ich hab das eingetragen, was die aus dem funktionierenden Netz anzeigen gefunden zu haben. Das hat dann dazu geführt, dass der Client seine erhaltenen Parameter wie IP, Netzmaske, DHCP-Server und Gateway anzeigt und dann nichts mehr macht - also auch nicht den PXE-Boot abbrechen. Es scheint als ob er auf irgendwas wartet...

Tach zusammen,

 

wir haben einen 2003 Server mit 3 NICs. An diesen hängt jeweils ein separates Subnet welche von einem DHCP-Server problemlos bedient werden.

 

Außerdem läuft auf dem Rechner Acronis Snap Deploy Server sowie der dazugehörige PXE-Server. Der PXE funktioniert auch reibungslos, allerdings nur auf dem ersten Interface.

 

Startet man einen Client aus den anderen Subnetzen bricht der PXE-Bootvorgang mit Fehler "pxe-e53: No boot filename received" ab.

 

Was mache ich falsch bzw. wo liegt der Trick?

 

1000Dank im Voraus

@Otaku19

Ja da ist ein Switch. Da ich aber aus dem öffentlichen Netz kommend von dem FTP hinter dem 2651er volle Bandbreite bekomme und auch aus dem Internet kommend auf den FTP im öffentlichen Netz volle Bandbreite bekomme, scheinen doch alle beteiligten Ports OK zu sein. Aber ich werds sicherhalts halber mal tauschen...

 

@Wordo

Ich meinte, wenn ich aus dem Internet auf den FTP im öffentlichen Netz zugreife, sinds 4MBit...

 

 

Komisch, oder?

Hallo Zusammen,

 

folgendes Setup:

 

An einem kleinen Cisco vom Provider hängt ein öffentliches /26er Netzt in dem es einen FTP-Server und einen 2651er gibt. Dieser 2651er hat hinter sich mehrere private Netze die per vrf separiert werden und via nat pool eine öffentliche Adresse aus dem /26er Netz bekommen.

 

Folgendes Problem:

Wenn ich aus dem /26er-Netz in ein privates Netz hinter dem 2651er auf einen FTP-Server zugreife bekomme ich problemlos die volle mögliche Bandbreite von knapp 10Mbit/s.

 

Wenn ich das gleiche aus dem Internet, also mit dem Provider-Router dazwischen versuche komme ich nicht über 1MBit/s.

 

Bei Zugriffen auf den eingangs erwähnten FTP-Server im /26er-Netz wird die volle mögliche Bandbreite von 4MBit/s geliefert.

 

Woran kann das liegen? Jemand ne Idee?

 

Danke im Voraus

Anton

...wäre es eventuell einfacher, auf vrf zu verzichten und die Netze per ACL von einander zu trennen? Das sollte doch gehen oder?

hat keiner ne idee?

ginge es vielleicht wenn man ein loopback-interface einrichtet?

 

wenn ja, wie müsste das aussehen?

 

danke im voraus

!

!

!

!

!

!

!

!

!

!

interface FastEthernet0/0

description zum LAN

ip address 10.10.10.10 255.255.255.0

no ip mroute-cache

duplex auto

speed auto

!

interface FastEthernet0/0.1

description Raum-A

encapsulation dot1Q 100

ip vrf forwarding Raum-A

ip address 192.168.1.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.2

description Raum-B1

encapsulation dot1Q 101

ip vrf forwarding Raum-B1

ip address 192.168.2.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.3

description Raum-B2

encapsulation dot1Q 102

ip vrf forwarding Raum-B2

ip address 192.168.3.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.4

description Raum-B3

encapsulation dot1Q 103

ip vrf forwarding Raum-B3

ip address 192.168.4.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.5

description Raum-B4

encapsulation dot1Q 104

ip vrf forwarding Raum-B4

ip address 192.168.5.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.6

description Raum-C

encapsulation dot1Q 105

ip vrf forwarding Raum-C

ip address 192.168.6.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.7

description Raum-D

encapsulation dot1Q 106

ip vrf forwarding Raum-D

ip address 192.168.7.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.8

description Raum-F

encapsulation dot1Q 107

ip vrf forwarding Raum-F

ip address 192.168.8.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.9

description Raum-G

encapsulation dot1Q 108

ip vrf forwarding Raum-G

ip address 192.168.9.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.10

description Sekretariat

encapsulation dot1Q 109

ip vrf forwarding Sekretariat

ip address 192.168.10.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface FastEthernet0/0.11

description Raum-E

encapsulation dot1Q 110

ip vrf forwarding Raum-E

ip address 192.168.11.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

no snmp trap link-status

!

interface Serial0/0

no ip address

shutdown

!

interface FastEthernet0/1

description zum internet

no ip address

no ip mroute-cache

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

!

interface Serial0/1

no ip address

shutdown

!

interface Dialer1

description zu T-Online

ip ddns update hostname

ip ddns update dyndns

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer-group 2

ppp authentication chap pap callin

ppp chap hostname

ppp chap password 0

ppp pap sent-username

password 0

Hmmm,

 

leider hilfts nich so richtig.

Ich muss ja irgendwo angeben welcher externe Port auf welchen internen Port gemapt werden soll.

 

Anbei mal die Config.

 

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Internetgate

!

boot-start-marker

boot-end-marker

!

enable secret

enable password

!

no aaa new-model

!

resource policy

!

no network-clock-participate slot 1

no network-clock-participate wic 0

ip subnet-zero

ip cef

!

!

ip dhcp use vrf connected

!

ip dhcp pool Raum-A

vrf Raum-A

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-B1

vrf Raum-B1

network 192.168.2.0 255.255.255.0

default-router 192.168.2.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-B2

vrf Raum-B2

network 192.168.3.0 255.255.255.0

default-router 192.168.3.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-B3

vrf Raum-B3

network 192.168.4.0 255.255.255.0

default-router 192.168.4.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-B4

vrf Raum-B4

network 192.168.5.0 255.255.255.0

default-router 192.168.5.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-C

vrf Raum-C

network 192.168.6.0 255.255.255.0

default-router 192.168.6.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-D

vrf Raum-D

network 192.168.7.0 255.255.255.0

default-router 192.168.7.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-F

vrf Raum-F

network 192.168.8.0 255.255.255.0

default-router 192.168.8.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-G

vrf Raum-G

network 192.168.9.0 255.255.255.0

default-router 192.168.9.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Sekretariat

vrf Sekretariat

network 192.168.10.0 255.255.255.0

default-router 192.168.10.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

ip dhcp pool Raum-E

vrf Raum-E

network 192.168.11.0 255.255.255.0

default-router 192.168.11.1 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

!

ip vrf Raum-A

rd 192.168.1.0:2

!

ip vrf Raum-B1

rd 192.168.2.0:2

!

ip vrf Raum-B2

rd 192.168.3.0:2

!

ip vrf Raum-B3

rd 192.168.4.0:2

!

ip vrf Raum-B4

rd 192.168.5.0:2

!

ip vrf Raum-C

rd 192.168.6.0:2

!

ip vrf Raum-D

rd 192.168.7.0:2

!

ip vrf Raum-E

rd 192.168.11.0:2

!

ip vrf Raum-F

rd 192.168.8.0:2

!

ip vrf Raum-G

rd 192.168.9.0:2

!

ip vrf Sekretariat

rd 192.168.10.0:2

!

ip ddns update method dyndns

HTTP

add http://@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>

interval maximum 1 0 0 0

du könntest da nich zufällig n kleines bespiel hier reintippern um den Route-Map-Vorschlag etwas zu veranschaulichen? :)

Ahja, sorry:

 

2651 mit 12.2(13)T8

Hallo Zusammen,

 

ich habe einen Kunden mit mehreren Büros welche sich einen DSL-Anschluss teilen.

 

Via VRF habe ich jedem sein eigenes LAN eingerichtet.

Jetzt möchte ich via "ip nat inside" Portforwardings einrichten.

 

Allerdings bietet mir die CLI die VRF-Option nur an wenn ich es auf eine IP, nicht aber auf mein Dialer Interface beziehen möchte.

 

Bin Ratlos.

 

Jemand ne Idee?

das overload bekomm ich nicht weg.

wenn ichs ohne eingeb stets trotzdem da...

was mach ich falsch?

 

anton

hmmm...fällt niemandem mehr etwas dazu ein?

 

gruß

anton

Hi,

 

 

genau, der source port ist in der regel irgendein high port...

 

 

matches siehst du bei show access-list, die zahl in der klammer gibt die zahl der treffer pro zeile an. steht nichts dahinter, matcht deine access-liste nicht...

 

sh access-l 101

Extended IP access list 101

deny udp any any range snmp snmptrap

deny icmp any any (3008 matches)

deny ip 172.30.0.0 0.0.255.255 255.255.0.0 0.0.255.255 log (6 matches)

permit ip any any (190084 matches)

 

 

gruss

 

rob

 

ja aber wo bringt mich das weiter?

auch wegen dem offenen source port, was du zwei-drei posts zuvor vorgeschalgen hast.

ich muss doch den source port definieren, weil doch auf dem die anfragen reinkommen.

 

stimmt denn generell die syntax:

access-list 101 permit tcp any range ftp-data 30 host 10.0.2.2 range ftp-data 30

 

ums nochmal klar zumachen: ich will das alles was auf meinem dialer interface 1 auf port 20 bis 30 reinkommt an die 192.168.125.2 ebenfalls auf port 20 bis 30 geleitet wird.

 

anton

hä? ich versteh nur bahnhof....

wie meinst du das mit "source port offen lassen"?

und was mit "matchen die acls".

 

könntest du das näher erläutern.

 

1000dank

najut, habick so jemacht, jeeht och nich.

 

ip nat inside source list 101 interface Dialer1 overload

ip nat inside source list 102 interface Dialer1 overload

 

access-list 101 permit tcp any range ftp-data 30 host 192.168.125.2 range ftp-data 30

access-list 102 permit ip 192.168.125.0 0.0.0.255 any

 

hmmm, woran hakts denn bloss?

geht oooch nich.

 

die config sieht jetzt so aus

 

ip nat inside source list 101 interface Dialer1 overload

!

access-list 101 permit ip any 192.168.125.0 0.0.0.255

access-list 101 permit tcp any range ftp-data 30 host 192.168.125.2 range ftp-data 30

und wie löse ich dieses problem?

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname internetgate

!

boot-start-marker

boot-end-marker

!

no aaa new-model

!

resource policy

!

no network-clock-participate slot 1

no network-clock-participate wic 0

ip subnet-zero

ip cef

!

!

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.125.1 192.168.125.19

ip dhcp excluded-address 192.168.125.70 192.168.125.255

!

ip dhcp pool Standardpool

network 192.168.125.0 255.255.255.0

default-router 192.168.125.140 255.255.255.0

dns-server 145.253.2.11 84.23.254.1

!

!

ip name-server 145.253.2.11

ip name-server 194.25.2.129

ip ddns update method dyndns

HTTP

add http://x:x@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>

interval maximum 0 0 1 0

!

vpdn-group pppoe

!

!

!

!

!

!

!

!

!

!

interface FastEthernet0/0

description zum LAN

ip address 192.168.125.180 255.255.255.0

ip nat inside

ip virtual-reassembly

no ip mroute-cache

speed auto

full-duplex

no mop enabled

!

interface Serial0/0

no ip address

no ip mroute-cache

shutdown

!

interface FastEthernet0/1

description zum internet

no ip address

no ip mroute-cache

duplex auto

speed auto

pppoe enable

pppoe-client dial-pool-number 1

!

interface Serial0/1

no ip address

no ip mroute-cache

shutdown

!

interface Dialer1

description zu T-Online

ip ddns update hostname xx.dyndns.org

ip ddns update dyndns

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer-group 2

ppp authentication chap pap callin

ppp chap hostname

ppp chap password 0

ppp pap sent-username

password 0

!

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

no ip http server

no ip http secure-server

ip nat inside source list 1 interface Dialer1 overload

ip nat inside source list 101 interface Dialer1 overload

!

access-list 1 permit 192.168.125.0 0.0.0.255

access-list 101 permit tcp any range 4000 4010 host 192.168.125.1 range 4000 4010

access-list 101 permit tcp any range 5905 5915 host 192.168.125.2 range 5905 5915

access-list 101 permit tcp any range 3500 3510 host 192.168.125.3 range 3500 3510

access-list 101 permit tcp any range 4100 4110 host 192.168.125.5 range 4100 4110

access-list 101 permit tcp any range 4700 4700 host 192.168.125.14 range 4700 4700

access-list 101 permit tcp any range 1435 1436 host 192.168.125.15 range 1435 1436

access-list 101 permit tcp any range 5900 5900 host 192.168.125.15 range 5900 5900

access-list 101 permit tcp any range 3000 3010 host 192.168.125.17 range 3000 3010

access-list 101 permit tcp any range 6631 6632 host 192.168.125.50 range 6631 6632

access-list 101 permit tcp any range 81 129 host 192.168.125.53 range 81 129

access-list 101 permit tcp any range 5605 5605 host 192.168.125.107 range 5605 5605

access-list 101 permit tcp any range 5510 5510 host 192.168.125.108 range 5510 5510

access-list 101 permit tcp any range 11844 11850 host 192.168.125.151 range 11844 11850

access-list 101 permit tcp any range 6634 6635 host 192.168.125.189 range 6634 6635

access-list 101 permit tcp any range 5858 5858 host 192.168.125.210 range 5858 5858

access-list 101 permit tcp any range 1433 1434 host 192.168.125.210 range 1433 1434

access-list 101 permit udp any range 22 22 host 192.168.125.222 range 22 22

access-list 101 permit tcp any range 22 22 host 192.168.125.222 range 22 22

access-list 101 permit tcp any range 11855 11856 host 192.168.125.210 range 11855 11856

access-list 101 permit tcp host 63.208.196.96 any log

access-list 101 permit udp any range 3500 3510 host 192.168.125.3 range 3500 3510

dialer-list 2 protocol ip permit

!

!

control-plane

!

!

hmmm, das portforwarding funktioniert leider nich. bekomme immer: connection refused

 

anbei mal meine config, vielleicht seht ihr ja woran es hakt.

danke, anton

hmmm,

 

irgendwie steh ich da wohl grad aufm schlauch. ob du das mal posten könntest, wie du das meinst mit dem einbinden in die nat-regel...

 

1000dank