Cisco 877 BBNED instellingen en intern netwerk probleem - Netwerken

zondag 21 oktober 2007 01:32

Acties:

Topicstarter

Ik probeer al dagen mij nieuwe CISCO 877 goed werkend te krijgen, omdat ik de 30e tweakdsl krijg.

Echter als ik mijn config aanpas en er in zet zodat hij RFC1483 bridged moet gebruiken is hij totaal niet meer bereikbaar.

Het enige wat ik dan nog kan doen is een factory reset

heb al van alles afgezocht en ik ben nog geen één enkel goed voorbeeld tegengekomen.
Ik vindt wel configs van oudere types maar daar kan ik ook niet voldoende uithalen om het goed aan de praat te krijgen.

Snap uberhaubt niet waarom je standaard geen RFC1483 bridged kan kiezen.

Wat ik probeer te realiseren op de CISCO 877:
RFC1483 Bridged voor Bbned (tweakdsl) via DHCP
DHCP SERVER Met een range van ongeveer 30 ip's
NAT poorten doorzetten naar diverse Pc's/servers
Op 2 van de 4 poorten komt een dreambox settopbox en een wifi access-point en op de 3e poort een gigabit switch.

Als het op een cheap sweex e-tech ding gewoon wel werkt/kan waarom doet de cisco dan zo moelijk

Het lijkt mij niet dat ik hem zo heel speciaal wil configureren.

mijn (niet werkende config)

code:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CISCO877
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxxxx
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.29
ip dhcp excluded-address 10.10.10.61 10.10.10.255
!
ip dhcp pool sdm-pool1
   import all
   network 10.10.10.0 255.255.255.0
   dns-server 217.19.16.131 217.19.16.132 
   default-router 10.10.10.1 
!
!
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip tcp synwait-time 10
no ip bootp server
ip domain name cisco.local
ip name-server 217.19.16.131
ip name-server 217.19.16.132
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-xxxxxx
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxx
 revocation-check none
 rsakeypair TP-self-signed-xxxxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxxxx
 certificate self-signed 01 xxxxxx
  quit
username xxxxx privilege 15 secret 5 xxxxxx
!
!
bridge irb
!
!
interface ATM0
 no ip address
 no ip route-cache cef
 no ip route-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 dsl enable-training-log
 bridge-group 1
 bridge-group 1 spanning-disabled
 pvc 0/35
  encapsulation aal5snap
 !
interface BVI1
!
 mac-address 1337.1337.1337
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
!
ip classless
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list NAT-Internet interface BVI1 overload
!
control-plane
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address 1337.1337.1337 discard
!
banner login ^CAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Heeft hier iemand ook een 87x serie die mij op weg kan helpen, kom er zelf namelijk niet meer uit.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 13:04

Acties:

Kabouterplop01

chown -R me base:all

Wil je bridgen, of wil je routen?
Het is logisch dat als je in bridge mode komt dat je er niet meer bijkomt...

kijk hier eens:

http://www.xs4all.nl/~hermanb/

zondag 21 oktober 2007 13:26

Acties:

SambalBij

We're all MAD here

Je hebt geen interne interface gedefinieerd? Logisch dat je hem niet kan benaderen dan, aangezien hij aan de lan kant geen ip heeft.
Ik neem aan dat je hem als router wilt gebruiken en niet alleen als bridge, aangezien je wel nat hebt geconfigureerd?
Je moet dus aan een van de fastethernet interfaces (die aan je switch of pc hangt) een ip adres hangen en een 'ip nat inside' opgeven...

Sometimes you just have to sit back, relax, and let the train wreck itself

zondag 21 oktober 2007 14:09

Acties:

fast-server

Topicstarter

Ok...

Ik heb nu eth0 een vast ip gegeven en mijn cat 5 daar ook in zitten

code:

bridge irb
!
!
process-max-time 200
!
interface Loopback1
 no ip address
 no ip directed-broadcast
!
interface FastEthernet0
 ip address 10.10.10.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
!
interface ATM0

Maar ik kan de router nog steeds niet benaderen als ik het ip op mijn pc vast instel, via dhcp krijg ik ook geen ip.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 16:54

Acties:

fast-server

Topicstarter

IK heb nu de volgende config op basis van de tweakdsl config van http://www.xs4all.nl/~hermanb/
standaard stond er:
interface Ethernet0 dit heb ik vervangen door interface FastEthernet0 aangezien mijn router deze gebruikt.

Ook werd het mac adress niet gediscard dus ik heb deze ook toegevoegt >>bridge 1 address cafe.babe.cafe discard

Ik heb deze config geprobeerd met en zonder bovenstaande wijzigingen maar naar het laden is hij weer niet te bereiken

wat heb ik nu: (heb de passes e.d vervangen door <<knip>>)

code:

!
version 12.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname c877
!
logging queue-limit 100
no logging console
enable secret <secret>
!
crypto pki trustpoint TP-self-signed-<<knip>>
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-<<knip>>
 revocation-check none
 rsakeypair TP-self-signed-<<knip>>
!
!
crypto pki certificate chain TP-self-signed-<<knip>>
 certificate self-signed 01
  <<knip>>
  quit
!
username <<knip>> privilege 15 secret 5 <<knip>>
clock timezone asd 1
aaa new-model
!
!
aaa authentication login CISCO local
aaa session-id common
ip subnet-zero
ip domain name tweakdsl.nl
ip name-server 217.19.16.131
ip name-server 217.19.16.132
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
bridge irb
!
!
interface FastEthernet0
 ip address 192.168.200.1 255.255.255.0
 ip accounting output-packets
 ip nat inside
 hold-queue 100 out
!
interface ATM0
 no ip address
 ip accounting output-packets
 load-interval 30
 no atm ilmi-keepalive
 pvc 0/35
  encapsulation aal5snap
 !
 dsl operating-mode auto
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface BVI1
 mac-address cafe.babe.cafe
 ip address dhcp
 ip access-group bvi_in in
 ip accounting output-packets
 ip nat outside
 hold-queue 224 in
!
ip nat inside source list 100 interface BVI1 overload
ip classless
no ip http server
no ip http secure-server
!
!
ip access-list extended bvi_in
 permit udp any eq bootps host 255.255.255.255 eq bootpc
 permit udp any eq ntp any eq ntp
 deny   tcp any any lt 1023 log-input
 deny   udp any any lt 1023 log-input
 permit tcp any any
 permit ip any any
access-list 100 permit ip 192.168.200.0 0.0.0.255 any
access-list 100 permit udp 192.168.200.0 0.0.0.255 any
access-list 100 permit icmp 192.168.200.0 0.0.0.255 any
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address cafe.babe.cafe discard
!
line con 0
 login authentication CISCO
 no modem enable
 stopbits 1
line aux 0
 login authentication CISCO
 stopbits 1
line vty 0 4
 login authentication CISCO
!
scheduler max-task-time 5000
sntp server 198.123.30.132
!
end

Waar ga ik nu de mist in?

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 17:12

Acties:

Kabouterplop01

chown -R me base:all

ip route statement?

ip route 0.0.0.0 0.0.0.0 <ip>
en die ip accounting statement kun je weghalen, dat heb je nu niet nodig...

[ Voor 41% gewijzigd door Kabouterplop01 op 21-10-2007 17:23 ]

zondag 21 oktober 2007 17:35

Acties:

fast-server

Topicstarter

Kabouterplop01 schreef op zondag 21 oktober 2007 @ 17:12:
ip route statement?

ip route 0.0.0.0 0.0.0.0 <ip>
en die ip accounting statement kun je weghalen, dat heb je nu niet nodig...

Waar zie jij in de config boven jouw post "ip route" staan dan?

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 17:44

Acties:

Verwijderd

Euh.. Sinds wanneer kun je op een 87x serie direct een ip adres configureren op een fastethernet interface? Voor zover ik weet zijn de 4 fastethernet poorten op dit model L2 (switch) poorten. Routeren gaat dan dus via een vlan interface.

Begin even met een schone config en probeer dan 1 voor 1 je problemen te tackelen. Het zal niet zo moeilijk zijn.

Als eerste je router bereikbaar:

code:

 conf t
  interface vlan 1
  ip address x.x.x.x x.x.x.x
  ip nat inside

 username BLA priv 15 pass BLA

 line vty 0 4
 login local

Kijk nu of je je router kunt pingen en zo ja of je met telnet kunt inloggen.

Volgende stap is dhcp werkend, daarna de bridge/ATM en de NAT statements. Als laatste de access-lists en FW rules en wellicht het aan (ssh) en uit (http) zetten van services en overige meuk (ntp, logging etc).

zondag 21 oktober 2007 17:53

Acties:

ChaserBoZ_

Het lijkt erop dat de standaard SDM config er nog inzit, begin eens met een 'erase startup-config'

Daarna idd geen IP adressen configureren op de FastEthernet poorten maar op de vlan interface.
Dat zou 'm bereikbaar moeten houden, ongeacht of ie routereert of bridge'd.

'Maar het heeft altijd zo gewerkt . . . . . . '

zondag 21 oktober 2007 18:53

Acties:

fast-server

Topicstarter

Ok ben helemaal schoon begonnen...

En ik heb gedaan wat jura101 schreef en ik kan nog steeds op de cisco $_/-\o_$

Ben nu stap voor stap dingen aan het aanpassen zoals een dhcp pool en port forward via NAT.

Wat mij wel opviel is dat de cisco NAT precies andersom werkt t.o.v. van ander merk routers via SDM.
Hiermee bedoel ik van inside<>outside maar dat weet ik nu in iedergeval.
Maar daar kom ik snel genoeg achter als ik de 30e tweak aktief is, anders heb ik dat zo aangepast.

Heb nu:
ip nat inside source static tcp 10.10.10.230 12000 interface Vlan1 12000

Wat ik me nu nog wel afvraag is of de BBNED bridge settings helemaal goed staan voor een ip via DHCP.

Hiermee bedoel ik het ATM0 gedeelte en het BVI1 gedeelte.
Bij de voorbeeld configs die ik zag heeft de 1 bij het BVI1 gedeelte geen fake: mac-address cafe.babe.cafe
Een ander voorbeeld heeft hem weer wel maar die heeft geen: bridge 1 address cafe.babe.cafe discard
En weer een andere config heeft beide weer wel, wat is nou de goede manier daarvoor?

Mijn huidige config waarvan het lan gedeelte werkt, wan weet ik de 30e pas:

code:

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco877
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1 10.10.10.29
ip dhcp excluded-address 10.10.10.61 10.10.10.254
!
ip dhcp pool sdm-pool
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   dns-server 217.19.16.131 217.19.16.132 
   lease 24 2
!
!
no ip domain lookup
ip domain name cisco.local
!
!
crypto pki trustpoint TP-self-signed-<<knip>>
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-<<knip>>
 revocation-check none
 rsakeypair TP-self-signed-770253150
!
!
crypto pki certificate chain TP-self-signed-<<knip>>
 certificate self-signed 01
  <<knip>>
  quit
username <<knip>> privilege 15 secret 5 <<knip>>
!
! 
!
bridge irb
!
!
interface ATM0
 no ip address
 ip accounting output-packets
 load-interval 30
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface BVI1
 mac-address cafe.babe.cafe
 ip address dhcp
 ip access-group bvi_in in
 ip accounting output-packets
 ip nat outside
 ip virtual-reassembly
 hold-queue 224 in
!
ip classless
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source static tcp 10.10.10.230 12000 interface Vlan1 12000
!
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address cafe.babe.cafe discard
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 login
!
scheduler max-task-time 5000
end

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 19:46

Acties:

Verwijderd

fast-server schreef op zondag 21 oktober 2007 @ 18:53:

En ik heb gedaan wat jura101 schreef en ik kan nog steeds op de cisco $_/-\o_$

Natuurlijk, wat dacht je dan?

Met dhcp discard wordt er bedoeld dat de cisco zelf geen ip moet geven aan de bvi interface, immers, je wilt op die interface een ip krijgen van je isp.

Aangezien de bvi een virtuele interface is, is ook het mac address virtueel. Ie, ze zal bij elke restart iets at random toegewezen krijgen. Door nu de bvi een vast (bedacht) mac adres te geven en vervolgens een discard rule op dat adres zal de cisco nooit zelf een ip toekennen aan de bvi.

Wees alleen wel wat voorzichtig met welk mac adres je toekent (ie, geen copy paste van een voorbeeld config), anders heb je kans dat de isp dat adres al eens is tegen gekomen.. niet handig.

Btw. Je nat (portmap) gaat nu niet werken. Je interface moet niet vlan1 maar bvi1 zijn. Daarnaast heb je nog een algemene nat rule nodig voor overig internet verkeer (als je dat wenst).

En als laatste; Cisco IOS via de CLI is volgens mij zoveel makkelijker (duidelijker) dan SDM. Neem er wat tijd voor, leer wat commando's en probeer te begrijpen wat er gebeurd. IOS is geen sweex of e-tech, eerder een UNIX dat werkt op vrijwel alle modellen die ze uitbrengt.

zondag 21 oktober 2007 20:23

Acties:

fast-server

Topicstarter

Ik heb het BVI1 mac adres aangepast, dus ik ga er wel vanuit dat deze uniek is

Heb nu mijn natregels omgezet naar BVI1 i.p.v. vlan1

Wat bedoel je met een extra NAT regel voor het overige verkeer?
Heb je daar misschien een voorbeeld je van?

Ik wil ook met de CLI gaan werken, echter moet ik me daarin nog gaan verdiepen.
Probleem is nu echter de tijd (slap excuus ik weet het)

Het is ook mijn eerste cisco dus ik probeer hem eerst goed werkend te krijgen zodat ik een backup kan maken.
Zodra ik een goede backup heb ga ik lekker via de CLI aan de gang

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

zondag 21 oktober 2007 22:04

Acties:

Verwijderd

Je doet nu slechts een port map naar een inside host op poort 12000.

Voor nat kun je vele opties gebruiken, een simpele zou zijn:

code:

1
2
3

 ip nat inside source list 101 interface bvi1 overload

access-list 101 permit ip 10.10.10.0 0.0.0.255 any

oh, wellicht is een default route ook nog nodig:

code:

1	ip route 0.0.0.0 0.0.0.0 bvi1

Eea natuurlijk vanaf de CLI ingevoerd.. (met SDM kan het ook)

maandag 22 oktober 2007 11:21

Acties:

TrailBlazer

Karnemelk FTW

overigens waarom configureer je dat ding niet via de console poort (heeft de 877 vast wel) Dan kan je er altijd nog bij. Dit is gekut zo.

maandag 22 oktober 2007 13:50

Acties:

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

TrailBlazer schreef op maandag 22 oktober 2007 @ 11:21:
overigens waarom configureer je dat ding niet via de console poort (heeft de 877 vast wel) Dan kan je er altijd nog bij. Dit is gekut zo.

Yeap,

De 877 heeft 4 FastEthernet interfaces, 1 ATM interface en 1 console interface

www.google.nl

maandag 22 oktober 2007 14:04

Acties:

fast-server

Topicstarter

TrailBlazer schreef op maandag 22 oktober 2007 @ 11:21:
overigens waarom configureer je dat ding niet via de console poort (heeft de 877 vast wel) Dan kan je er altijd nog bij. Dit is gekut zo.

Omdat er op mijn pc op dit moment geen com-poort zit, moet nog een pci-com kaartje zoeken en kopen die ook onder linux werkt.
Daarom liep ik dus ook zo te klooien, kon hem iedere keer een harde reset geven

Netwerk weg ook SSH weg

@ jura101

Ik heb de regels toegevoegt... and so far so good

//

Ik hoop dat de BBned lijn al eerder aktief wordt dan de 30e (ATM gedeelte zodat ik al het 1 en ander kan checken)

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

maandag 22 oktober 2007 14:21

Acties:

ReCreator

-geen-

Wil je ook dat de Cisco intern de IP nummers gaat uitdelen? Dat gaat namelijk niet lukken in een bridge. Je lijn kan best aangeboden worden als bridged, maar je kan de Cisco hem natuurlijk zelf op zijn ATM interface het IP laten oppakken. Dan routeren naar de vlan die het netwerk adres heeft van je dhcp pool.

"Time flies like an arrow; fruit flies like a banana."

maandag 22 oktober 2007 15:03

Acties:

fast-server

Topicstarter

ReCreator schreef op maandag 22 oktober 2007 @ 14:21:
Wil je ook dat de Cisco intern de IP nummers gaat uitdelen? Dat gaat namelijk niet lukken in een bridge. Je lijn kan best aangeboden worden als bridged, maar je kan de Cisco hem natuurlijk zelf op zijn ATM interface het IP laten oppakken. Dan routeren naar de vlan die het netwerk adres heeft van je dhcp pool.

Hij bridged nu al op zijn ATM interface met de laatst geposte config, daarom moest ik ook zorgen dat het fake BVI1 mac-adres uniek is.
Als dat niet zo is zullen een paar netwerkbeheerders bij tweak en/of BBned niet blij zijn.
En mijn pc krijgt op zijn 2e nic netjes een ip via dhcp toegewezen van de Cisco vlan1.

Dus ik heb volgens mij de sitatie al die jij schetst.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

maandag 22 oktober 2007 15:39

Acties:

ReCreator

-geen-

fast-server schreef op maandag 22 oktober 2007 @ 15:03:
[...]

Hij bridged nu al op zijn ATM interface met de laatst geposte config, daarom moest ik ook zorgen dat het fake BVI1 mac-adres uniek is.
Als dat niet zo is zullen een paar netwerkbeheerders bij tweak en/of BBned niet blij zijn.
En mijn pc krijgt op zijn 2e nic netjes een ip via dhcp toegewezen van de Cisco vlan1.

Dus ik heb volgens mij de sitatie al die jij schetst.

De Cisco zal inderdaad IP nummers uitdelen aan de client PC's. Maar het ziet er naar uit dat internet daar niet overheen zal gaan. Ik kan zo geen config uit mijn hoofd voor je typen, maar ik denk dat je een subinterface ATM 0.1 point-to-point wilt hebben die het publieke IP voor je aanneemt die het NAT naar je vlan1.

Of ik snap misschien de bedoeling niet

"Time flies like an arrow; fruit flies like a banana."

maandag 22 oktober 2007 17:14

Acties:

fast-server

Topicstarter

Als het goed is gebeurd dit al met de regels die jura101 poste
Verwijderd in "Cisco 877 BBNED instellingen en intern n..."

Indien dit niet het geval is zal ik nog even verder moeten gaan hobbyen als de lijn daadwerkelijk aktief wordt.

In de tussen tijd ben ik al heel erg blij dat ik hem met bovenstaande hulp al aardig aan de gang heb gekregen

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

maandag 22 oktober 2007 20:58

Acties:

Verwijderd

Ik ben wel benieuwd naar configs met een atm0.1 ipv een bvi interface voor een adsl abbo op het bbned netwerk. Heb wat lopen zoeken, maar kon niet zo snel iets vinden.

Een bridge opzetten tussen je atm en een bvi en vervolgens routeren (en nat) tussen bvi en een ethernet of vlan interface is geen probleem. Heb het al jaren zo gedaan en hoewel ik nu niet meer een bbned verbinding heb, ga ik er vanuit dat het nog steeds werkt.

Wellicht is een atm0.1 een mooiere oplossing, ik heb er echter geen ervaring mee.

maandag 22 oktober 2007 23:15

Acties:

ReCreator

-geen-

Verwijderd schreef op maandag 22 oktober 2007 @ 20:58:
Ik ben wel benieuwd naar configs met een atm0.1 ipv een bvi interface voor een adsl abbo op het bbned netwerk. Heb wat lopen zoeken, maar kon niet zo snel iets vinden.

Een bridge opzetten tussen je atm en een bvi en vervolgens routeren (en nat) tussen bvi en een ethernet of vlan interface is geen probleem. Heb het al jaren zo gedaan en hoewel ik nu niet meer een bbned verbinding heb, ga ik er vanuit dat het nog steeds werkt.

Wellicht is een atm0.1 een mooiere oplossing, ik heb er echter geen ervaring mee.

Het nadeel van een BVI interface is dat het werkt op 10Mbit (weet zo even niet of het zelfs half duplex is). dat zal voor een ADSL2+ 20Mbit verbinding een beetje zonde zijn.

Een voorbeeldje (klein stukje) van een ATM0.1 config zou bijvoorbeeld kunnen zijn (met een IP Subnet):

code:

interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no atm ilmi-keepalive
 dsl operating-mode adsl2+ 
!
interface ATM0.1 point-to-point
 ip unnumbered Vlan1
 ip access-group 1 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pvc 0/35 
  encapsulation aal5snap

code:

interface Vlan1
 ip address <IP> <Subnet>
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 ip route-cache flow

code:

1	ip route 0.0.0.0 0.0.0.0 ATM0.1

code:

1	access-list 1 permit any

[ Voor 6% gewijzigd door ReCreator op 22-10-2007 23:20 ]

"Time flies like an arrow; fruit flies like a banana."

maandag 22 oktober 2007 23:42

Acties:

Bart

ReCreator schreef op maandag 22 oktober 2007 @ 23:15:
[...]

Het nadeel van een BVI interface is dat het werkt op 10Mbit (weet zo even niet of het zelfs half duplex is). dat zal voor een ADSL2+ 20Mbit verbinding een beetje zonde zijn.

Een voorbeeldje (klein stukje) van een ATM0.1 config zou bijvoorbeeld kunnen zijn (met een IP Subnet):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no atm ilmi-keepalive
 dsl operating-mode adsl2+ 
!
interface ATM0.1 point-to-point
 ip unnumbered Vlan1
 ip access-group 1 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pvc 0/35 
  encapsulation aal5snap
code:
1
2
3
4
5
6
7
interface Vlan1
 ip address <IP> <Subnet>
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 ip route-cache flow
code:
1
ip route 0.0.0.0 0.0.0.0 ATM0.1
code:
1
access-list 1 permit any

Verbindingen op basis van AAL5SNAP zijn meestal geen verbindingen waar je je IP adres zelf hard instelt.

I'm not deaf, I'm just ignoring you.

maandag 22 oktober 2007 23:57

Acties:

ReCreator

-geen-

Bart schreef op maandag 22 oktober 2007 @ 23:42:
[...]

Verbindingen op basis van AAL5SNAP zijn meestal geen verbindingen waar je je IP adres zelf hard instelt.

Ligt eraan, maar inderdaad ik gaf aan dat het voor een IP subnet is

Waarbij je je eerste op de Vlan zet

aal5snap zijn vaak rfc1483 bridged/routed verbindingen waarbij vcmux (multiplexed) vaak PPPoA is

[ Voor 13% gewijzigd door ReCreator op 22-10-2007 23:58 ]

"Time flies like an arrow; fruit flies like a banana."

dinsdag 23 oktober 2007 19:29

Acties:

Verwijderd

Kortom, wel met een BVI interface dus?

Heb trouwens ook nu weer lopen zoeken naar de 10mbit limiet die zou gelden voor een BVI, niets gevonden. Enig idee waar je dat vandaan hebt?

dinsdag 23 oktober 2007 21:58

Acties:

ChaserBoZ_

Ik kan ook nix terugvinden over de BVI vast op 10 mbps . . .

'Maar het heeft altijd zo gewerkt . . . . . . '

woensdag 24 oktober 2007 15:56

Acties:

fast-server

Topicstarter

Op een oud type cisco dsl modem zou het natuurlijk wel kunnen.
Maar ik denk dat dat eerder te maken heeft met de 10Mbps beperking van de ethernet0 poort

Maar beperking of niet... ik ga er geen last van hebben aangezien BBNed hier maximaal maar 8MB kan leveren.

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

donderdag 25 oktober 2007 20:43

Acties:

fast-server

Topicstarter

Tweakdsl heeft eerder opgeleverd en ik kan nu het internet op met onderstaande config.

code:

! 
!
bridge irb
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 ip access-group bvi_in in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface BVI1
 mac-address cafe.1337.cafe
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 BVI1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface BVI1 overload
ip nat inside source static udp 10.10.10.230 2950 interface BVI1 2950
ip nat inside source static tcp 10.10.10.230 21 interface BVI1 21
!
access-list 1 permit 10.10.10.0 0.0.0.255
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address cafe.1337.cafe discard
!

Echter werkt het nog niet helemaal goed.

Als ik bijvoorbeeld probeer te connecten vanaf mijn linux bak via udp naar test.mine.nu:2499 dan kan ik géén verbinding via de cisco maken, ip based werkt het wel.
maar dat wil ik uiteraard niet... en ja de dns staat goed ingesteld want ik kan hem wel pingen op dns naam. (en via de oude modem werkt het ook gewoon, dus het moet de cisco zijn)

ook staan er op de cisco een heleboel poorten open als ik deze check, deze zijn nergens via nat doorgezet.

Iemand een idee hoe ik dit kan oplossen?

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

vrijdag 26 oktober 2007 04:41

Acties:

fast-server

Topicstarter

Probleem opgelost $_/-\o_$
Had hem al beina in de kliko gemikt

Maar hij werkt nu helemaal

Heb het IOS geupdate naar: c870-advipservicesk9-mz.124-15.T.bin (was c870-advsecurityk9-mz.124-4.T.bin)

firewall:

code:

Your system has achieved a perfect "TruStealth" rating. 
Not a single packet was received from your system as a result of our security probing tests. 
Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). 
From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. 
Some questionable personal security systems expose their users by attempting to "counter-probe the prober", 
thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Config: (als iemand ooit met het zelfde probleem zit met een 87X, wel zo handig)

code:

!
bridge irb
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
interface BVI1
 description $ES_WAN$$FW_OUTSIDE$
 mac-address xxxx.xxxx.xxxx  *>>zelf verzinnen gebruik niet die in dit topic staan! geeft problemen<<
 ip address dhcp
 ip access-group 101 in
 ip nat outside
 ip inspect DEFAULT100 out
 ip virtual-reassembly
 no snmp trap link-status
!
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source static tcp 10.10.10.230 16000 interface BVI1 16000
ip nat inside source list 1 interface BVI1 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 217.19.16.132 eq domain any
access-list 101 permit udp host 217.19.16.131 eq domain any
access-list 101 permit tcp any any eq 16000
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip any any
no cdp run
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 1 address xxxx.xxxx.xxxx discard *>>zelf verzinnen gebruik niet die in dit topic staan! geeft problemen<<
!

Voor de genen die het nog niet weten: *>>zelf verzinnen gebruik niet die in dit topic staan! geeft problemen<<

Zoals er al staat moet je he eigen unieke mac adres gebruiken!
Verzin dus je eigen unieke adres en gebruik geen voorbeelden zoals uit dit topic en/of voorbeelden van andere sites!

mede tweakers mijn dank is GROOT

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)