In der Firma gab es eine Anforderung für ein eigenes Netz zum Internet mit fester IP, wegen ein paar Sicherheitshindernissen wurde dazu schließlich ein VDSL100 Businessanschluss der Telekom bestellt. Das hörte sich erst Mal gut an, erwies sich dann aber als Problem. Der Router der Telekom, ein Zyxel Speedlink 5501, konnte mit den ca. 35 Usern die gleichzeitig surften nicht umgehen und verursachte Verbindungsabbrüche. Ab diesem Zeitpunkt kam das Problem an meinen Tisch, zuvor hatten sich Clientsupport und TKler darum gekümmert.
Also was tun?
Die Betriebsart des Routers kann man umschalten zu Modem und die DSL Einwahl wird mit dem Cisco Router gemacht. Der übernimmt dann auch DHCP und NAT. Im Labor stand noch ein Cisco 2911 den wir aktuell nicht brauchten, der reicht für 100Mbit/s mit NAT und DHCP. Bei dieser Config lief er mit 65% CPU Last bei gut 90Mbit/s.
Eigentlich ist es auch ganz einfach, man findet viele Anleitungen zur DSL Einwahl und auch die restliche Config ist nichts besonderes. Wie man NAT und DHCP einrichtet wusste ich noch und die restliche Config zum Zugriff per SSH, etc. gehört zum Standard.
Die NAT Config:
interface GigabitEthernet0/2 description LAN ip address 192.168.101.1 255.255.255.0 ip nat inside interface Dialer1 ip nat outside ip nat inside source list DSL_ACCESSLIST interface Dialer1 overload ip access-list extended DSL_ACCESSLIST permit ip 192.168.101.0 0.0.0.255 any
Das Outside Interface für NAT ist Dialer 1, weil dieses Interface die Verbindung nach Außen aufbaut und das Routing dorthin zeigen wird.
Der DHCP Server:
ip dhcp excluded-address 192.168.101.1 ip dhcp excluded-address 192.168.101.200 192.168.101.255 ! ip dhcp pool DSL_DHCP import all network 192.168.101.0 255.255.255.0 dns-server 8.8.8.8 8.8.4.4 default-router 192.168.101.1
Die IPs ab 200 wurden vom DHCP ausgenommen, falls doch mal jemand eine feste IP benötigt.
Die Default-Route wird auf das Interface Dialer 1 gelegt, dieses wählt sich zur Telekom ein.
ip route 0.0.0.0 0.0.0.0 Dialer1
Und die restliche Config die man noch so braucht, bis auf die DSL Einwahl:
service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers hostname DSL_ROUTER enable secret <password> username <user> privilege 15 secret 0 <password> no ip http server no ip http secure-server crypto key generate rsa modulus 2048 ip ssh version 2 ip access-list extended LINEVTY permit tcp 192.168.101.0 0.0.0.255 any eq 22 ! Das LAN Subnetz, ihr könnt aber auch Netze oder IPs im Internet freischalten. So könnt ihr übers Internet auf den Router zugreifen. line vty 0 15 access-class LINEVTY in exec-timeout 180 0 password <password> logging synchronous login local transport input ssh
Leider sind die Configs zur DSL Einwahl und die vielen, vielen Forenbeiträge meistens veraltet und funktionieren nicht mehr. Dann bekommt man nur zu sehen dass ein PADI gesendet wurde, der aber in einen Timeout läuft. Zum Glück fand ich nach ein bisschen Suchen diese Seite hier http://gergernaut.de/telekom-dsl-einwahl-auf-cisco/
Also was braucht man zur Einwahl? Das wichtigste dabei ist zu wissen das die Einwahl in VLAN 7 passiert. Das war früher nicht so, daher finden sich sehr viele Configs ohne diese Info.
interface GigabitEthernet0/1 description DSL no ip address duplex auto speed auto ! interface GigabitEthernet0/1.7 encapsulation dot1Q 7 pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 ppp authentication chap callin ppp chap hostname <Anschlusskennung><T-OnlineNummer>[email protected] ppp chap password 0 <T-Online Passwort> ppp ipcp dns request accept
Mit dieser Config wählt sich der Router ein sobald Pakete an Dialer1 geschickt werden. Das passiert quasi sofort, da die Default-Route dorthin zeigt.
In unserem Fall hat der Anschluss eine feste IP, auch dazu finden sich viele Fragen und Antworten die leider mittlerweile wieder überholt sind. Früher musste die feste IP bei der Anmeldung im Benutzernamen übergeben werden, dies ist nicht mehr notwendig! Die Einwahl bleibt immer gleich, so wie sie oben beschrieben ist.
Wenn die Einwahl funktioniert hat, wird auffallen dass die Routingtabelle etwas seltsam aus sieht, da das Interface Dialer1 zwei verschiedene IP Adressen zugewiesen bekommt. Das Routing läuft aber über die richtige IP Adresse nach außen, unter dieser ist man auch erreichbar. Davon habe ich leider jetzt keinen Ausschnitt, vielleicht denke ich daran wenn ich mal wieder auf den Router schaue.
Update: Routingtabelle
Cisco2911#sh ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 is directly connected, Dialer1 80.0.0.0/32 is subnetted, 1 subnets C 80.153.xxx.xxx is directly connected, Dialer1 192.168.101.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.101.0/24 is directly connected, GigabitEthernet0/2 L 192.168.101.1/32 is directly connected, GigabitEthernet0/2 217.0.xxx.xxx/32 is subnetted, 1 subnets C 217.0.xxx.xxx is directly connected, Dialer1
Die 80er IP ist die feste IP die dem Anschluss zugewiesen ist, sie wird auch anstandslos benutzt.
Hier noch eine Konfig für einen Cisco Router mit eingebautem VDSL Modem:
controller VDSL 0/1/0 ! interface ATM0/1/0 no ip address atm oversubscribe factor 2 no atm enable-ilmi-trap ! interface Ethernet0/1/0 no ip address no negotiation auto ! interface Ethernet0/1/0.7 encapsulation dot1Q 7 pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 ppp authentication chap callin ppp chap hostname <Anschlusskennung><T-OnlineNummer>[email protected] ppp chap password 0 <T-Online Passwort> ppp ipcp dns request accept ip virtual-reassembly