Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Cisco 887 dual pvc routing en bridge

Pagina: 1
Acties:

donderdag 19 december 2013 13:38

Acties:
  • stimm
  • Registratie: Juli 2005
  • Laatst online: 11-08 19:34

stimm

Topicstarter
Ik heb een config waar ik niet uit kom, het gaat om een Cisco 887VA.
Het is een VDSL2 verbinding waar 2 PVC's opzitten, 1 PVC voor publiek internet en 1 PVC voor VoIP.

Wat ik nu dus wil doen is PVC1 direct door bridgen naar de firewall zodat deze de PPPoE sessie kan opbouwen om zo het WAN ip adres te krijgen dat op deze lijn zit.

Vervolgens wil ik PVC2 door de Cisco zelf laten afhandelen met een dialer enzovoorts.

Ik krijg de config maar half aan de gang, ik moet volgend het internet "no ip routing" gebruiken om de bridge compleet te krijgen. Maar doe ik dit, dan kan het 2e PVC niet meer gerouteerd worden.

Ik lees verhalen over IRB, dat het een mogelijke oplossing is maar ik begrijp het niet.

Dus concreet, hoe krijg ik PVC1 gebridged naar de firewall zonder dat ik de routing functie verlies omdat PVC2 nog moet werken. :)

donderdag 19 december 2013 13:43

Acties:
  • Bart
  • Registratie: Februari 2001
  • Laatst online: 16:12

Bart

Splitsen is niet mogelijk zover ik weet. Om een apparaat achter de Cisco de PPP sessie te laten doen kom ik de volgende config tegen:

http://www.cisco.com/en/U...ple09186a008071a78c.shtml

Daar komt inderdaad jouw 'no ip routing' in terug. En dat heeft inderdaad als consequentie dat de Cisco geen routing meer doet en je 2e PVC dus ook niet door de Cisco opgezet kan worden.

Waarom wil je de 1e PVC door de firewall erachter op laten zetten? Om dubbel NAT te voorkomen?

I'm not deaf, I'm just ignoring you.

donderdag 19 december 2013 13:46

Acties:
  • stimm
  • Registratie: Juli 2005
  • Laatst online: 11-08 19:34

stimm

Topicstarter
Ja eigenlijk alleen om dubbel NAT te voorkomen, of is daar dan een betere oplossing voor?
Er zit helaas maar 1 publiek ip adres op het 1e PVC :)

donderdag 19 december 2013 13:55

Acties:
  • Bart
  • Registratie: Februari 2001
  • Laatst online: 16:12

Bart

Ik ben bang dat je er niet onderuit komt. Je VoIP verkeer wil je sowieso niet door een firewall laten lopen (je 2e PVC is ook no-NAT denk ik?) en dubbel NAT voor data is op zich niet zo heel erg wat mij betreft. Enige waar je rekening mee moet houden is het feit dat je je port translaties op twee plekken configureert.

Ik doe, thuis weliswaar, ook dubbel NAT en heb daar eigenlijk nooit problemen mee. Echt ideaal is het niet maar goed.. Kan je geen /30 op je 1e PVC krijgen?

I'm not deaf, I'm just ignoring you.

donderdag 19 december 2013 17:20

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:08

plizz

Kun je de config posten. Dan kan ik mee denken.

donderdag 19 december 2013 19:45

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Ik doe een gok, het gaat om een RoutIT lijn (gezien de terminologie).
Mijn gevoel zegt dat het ergens deze kant op moet gaan (op basis van ADSL).

Het is untested en ik twijfel of bridge irb hier wel in moet, maar ik zou zelf deze kant op hebben gezocht..
Laatste keer dat ik die gebruikt heb, is met het aanmaken van een BVI, wat hier niet de bedoeling is volgens mij.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80

ip dhcp excluded-address 192.168.1.0 192.168.1.10
!
ip dhcp pool CLIENT-VOIP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 213.144.235.1 213.144.235.2
 lease 0 8
!
bridge irb
!
interface Ethernet0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no shutdown
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description DATA PVC
 pvc 0/xx
  encapsulation aal5mux
  bridge-group 1
 !
!
interface ATM0.2 point-to-point
 description < naam of omschrijving interface>
 pvc 0/xx
  encapsulation aal5mux ppp dialer
  dialer pool-member 2
 !
!
!
interface FastEthernet0
 description Bridged Port for PVC #1
 switchport access vlan 2
 no ip address
 bridge-group 1
!
interface FastEthernet1
 description VoIP Port for PVC #2
 no ip address
!
interface FastEthernet2
 description VoIP Port for PVC #2
 no ip address
!
interface FastEthernet3
 description VoIP Port for PVC #2
 no ip address
!
interface Vlan1
 description Netwerk - VoIP
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer2
 mtu 1492
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 2
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <username password> <password>
 no cdp enable
!
ip forward-protocol nd
!
no ip nat service sip udp port 5060
ip nat inside source list 20 interface Dialer2 overload
ip route 0.0.0.0 0.0.0.0 Dialer2
!
access-list 20 permit 192.168.1.0 0.0.0.255
dialer-list 2 protocol ip permit
bridge 1 protocol ieee

vrijdag 20 december 2013 11:10

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Kijk even via IRMA in de RouIT kennis database:
Home --> Connectivity --> Algemeen --> Router configuraties --> Router configuraties - VDSL

Daar vind je voorbeeldconfiguraties voor 800 routers.

[ Voor 8% gewijzigd door Bl@ckbird op 20-12-2013 11:11 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

vrijdag 20 december 2013 12:15

Acties:
  • rdvl
  • Registratie: Januari 2005
  • Laatst online: 24-10 17:41

rdvl

Indien het RoutIT betreft kan je kiezen voor een ip-vpn met een mPIX.
Hiermee ontloop je alle problemen met VoIP aangezien hun SBC zelf in de ip-vpn zit.

vrijdag 20 december 2013 12:54

Acties:
  • josvane
  • Registratie: Oktober 2002
  • Laatst online: 30-11 21:32

josvane

rdvl schreef op vrijdag 20 december 2013 @ 12:15:
Indien het RoutIT betreft kan je kiezen voor een ip-vpn met een mPIX.
Hiermee ontloop je alle problemen met VoIP aangezien hun SBC zelf in de ip-vpn zit.
Dat lost toch zijn probleem niet op, hij wil ze 1e PVC bridgen, zoals ik de TS begrijp heeft hij geen problemen met Voice.
De Mpix is dus overbodig, je verplaatst het probleem.

Het zal wel gaan om een thuiswerker lijn, waar je geen subnet op kan krijgen.

vrijdag 20 december 2013 15:16

Acties:
  • stimm
  • Registratie: Juli 2005
  • Laatst online: 11-08 19:34

stimm

Topicstarter
Het is wel een zakelijke lijn, en ondertussen heb ik er een /30 subnet opgekregen dus ik ben voor nu uit de problemen.

Maar het is wel leuk om het te checken, het gaat inderdaad om een RoutIT verbinding, een VDSL van 30/3 Mbit waar dus een 2e PVC van 640kb inzit voor 5 VoIP gesprekken.

Die 2e PVC zit in zijn eigen IP-VPN zodat alle toestellen zonder NAT e.d. naar de centrale kunnen connecten.

Maar wij plaatsen altijd een Sophos UTM firewall achter het modem en het leek mij ideaal om dan de eerste PVC PPoE sessie lekker door de firewall te laten opbouwen, heeft die gelijk het publieke ip adres.

Maar dat gaat dus blijkbaar niet zonder de routing functie uit te zetten van de cisco.

Hier zitten dus ook wat RoutIT partners begrijp ik ;)

Edit: hieronder ongeveer de config die ik gebruikte. Het was hiermee ook mogelijk om de PPPoE sessie op te bouwen! Alleen kon ik vervolgens wel pingen naar adressen, maar het openen van websites ging niet :?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

!
controller VDSL 0
 no shutdown
!
!
interface Ethernet0
 no shutdown
 no ip address
!
interface Ethernet0.1
 encapsulation dot1Q 6
 bridge-group 1
!
interface Ethernet0.2
 encapsulation dot1Q 7
 pppoe-client dial-pool-number 1
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description local-lan-data
 bridge-group 1
!
!
interface Vlan2
 description local-lan-voice
 ip address 172.16.5.254 255.255.255.0
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
!
interface Dialer1
 mtu 1492
 ip unnumbered vlan 2
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <bla> password <bla>
!
!
ip route 0.0.0.0 0.0.0.0 Dialer1
bridge 1 protocol ieee
dialer-list 1 protocol ip permit
!

[ Voor 44% gewijzigd door stimm op 20-12-2013 15:24 ]

vrijdag 20 december 2013 17:16

Acties:
  • Powermage
  • Registratie: Juli 2001
  • Laatst online: 30-11 10:10

Powermage

rdvl schreef op vrijdag 20 december 2013 @ 12:15:
Indien het RoutIT betreft kan je kiezen voor een ip-vpn met een mPIX.
Hiermee ontloop je alle problemen met VoIP aangezien hun SBC zelf in de ip-vpn zit.
Nadeel daarvan is weer dat je een XX bedrag erbij mag tellen, en voor 5 concurrent calls vind ik dat persoonlijk niet in verhouding staan.
Mpix heb je overigens alleen nodig voor Autoprovisioning, voor voip zelf niet...

Join the club

vrijdag 20 december 2013 19:10

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Of gebruik wanneer mogelijk policy based routing om verkeer naar de auto-provision/profileservers te krijgen. NAT verkeer dan weer wel; kan prima.

maandag 23 december 2013 13:01

Acties:
  • Ascension
  • Registratie: September 2008
  • Laatst online: 20:07

Ascension

De PPP-sessie termineren op de firewall gaat je sowieso niet lukken aangezien RoutIT PPPoA (over ATM) doet en je firewall PPPoE (over Ethernet).

De optie met de /30 is de beste keuze ;)

maandag 23 december 2013 16:50

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Ascension schreef op maandag 23 december 2013 @ 13:01:
De PPP-sessie termineren op de firewall gaat je sowieso niet lukken aangezien RoutIT PPPoA (over ATM) doet en je firewall PPPoE (over Ethernet).

De optie met de /30 is de beste keuze ;)
Zou ik normaal met je eens zijn, maar het gaat hier over VDSL (Ethernet based).

maandag 23 december 2013 19:33

Acties:
  • Ascension
  • Registratie: September 2008
  • Laatst online: 20:07

Ascension

U heeft gelijk. Was even op het verkeerde been gezet door de ATM config die gepost werd.

dinsdag 24 december 2013 07:35

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

Als dat ATM is dan hoef je geen tcp-adjust van 1452 te doen, dat geldt alleen bij PPPoE. En in je dialer(s) hoef je dus ook geen mtu statement te geven. Dat is missch je probleem met het niet kunnen openen van websites.
(effectief verlies je alleen 8 bytes van je mtu bij PPPoE)

dinsdag 24 december 2013 10:28

Acties:
  • Ascension
  • Registratie: September 2008
  • Laatst online: 20:07

Ascension

Dat zou je zeggen maar bij RoutIT krijg ik geen 1500 bytes ongefragmenteerd door de Dialer (PPPoA) heen.

woensdag 25 december 2013 12:57

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 30-11 21:38

Kabouterplop01

chown -R me base:all

hmm weer wat geleerd :).. dat is best ongebruikelijk! thnx

dinsdag 25 februari 2014 22:17

Acties:

Verwijderd

Sorry voor de late reactie. Het duurde even alvorens ik de configuratie kon nabouwen.

Eerste configuratie uit "Thormix_LAB_R1#" - Cisco 877
- vangt de 2e PVC af met een Dialer
- gooit de 1e PVC door naar de volgende router.

Tweede configuratie uit "Thormix_LAB_R2#" - Cisco 851W
- vangt de 1e PVC af met een Dialer

Hou even geen rekening met het VRF op Thormix_LAB_R1, dit is niet van toepassing op het "bridge" gedeelte.
Beide verbindingen zijn getest met daarachter een laptop voor gewoon internet verkeer.
Hou er wel rekening mee dat als je dit principe ooit gaat toepassen RoutIT geen enkele ondersteuning biedt als er met bridging gewerkt wordt. Er zal altijd eerst gevraagd worden om de verbindingen in 1 router af te vangen (in jouw geval - VDSL).


Thormix_LAB_R1

Current configuration : 3907 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Thormix_LAB_R1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 64000
logging console informational
enable secret 5 $1$JzVA$MPUByYINEdm1LXlto8kVA/
!
no aaa new-model
clock timezone CET 1
!
dot11 syslog
no ip source-route
!
ip vrf 1337
rd 65109:1337
!
ip dhcp excluded-address 192.168.105.5
!
ip dhcp pool LAN105
vrf 1337
network 192.168.105.0 255.255.255.0
default-router 192.168.105.1
dns-server 213.144.235.1
domain-name thormix.local
lease 3
!
ip dhcp pool WAN
network 37.153.224.160 255.255.255.252
default-router 37.153.224.161
dns-server 213.144.235.1
domain-name thormix.local
lease 3
!
ip cef
no ip domain lookup
ip domain name thormix.local
no ipv6 cef
!
multilink bundle-name authenticated
!
vtp version 2
!
archive
log config
hidekeys
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/33
ubr 700
vc-hold-queue 1024
encapsulation aal5snap
!
bridge-group 1
!
interface ATM0.2 point-to-point
pvc 0/34
vbr-rt 128 128
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface FastEthernet0
switchport mode trunk
ip vrf forwarding 1337
!
interface FastEthernet1
ip vrf forwarding 1337
!
interface FastEthernet2
switchport access vlan 6
!
interface FastEthernet3
switchport access vlan 9
!
interface Vlan1
ip vrf forwarding 1337
ip address 192.168.104.2 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
no autostate
!
interface Vlan2
ip vrf forwarding 1337
ip address 192.168.105.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
no autostate
!
interface Vlan6
ip address 37.153.224.161 255.255.255.252
no autostate
!
interface Vlan9
no ip address
bridge-group 1
!
interface Dialer1
mtu 1492
ip unnumbered Vlan6
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ROUTIT password ROUTIT
ppp ipcp route default
!
ip forward-protocol nd
ip route vrf 1337 0.0.0.0 0.0.0.0 192.168.104.3
ip route vrf 1337 172.31.255.0 255.255.255.0 192.168.104.3
no ip http server
no ip http secure-server
!
access-list 101 permit ip 192.168.104.0 0.0.7.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
bridge 1 protocol ieee
alias view ip show ip interface brief
alias configure sh do show
alias configure show do show
alias configure sho do show
alias exec cpu show processes cpu history
alias exec bb exit
alias exec bye exit
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
logging synchronous
login local
transport input telnet ssh
!
scheduler max-task-time 5000
ntp server 213.144.235.1
end


Thormix_LAB_R2

Current configuration : 3768 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Thormix_LAB_R2
!
boot-start-marker
boot-end-marker
!
logging buffered 64000
logging console informational
enable secret 5 $1$JzVA$MPUByYINEdm1LXlto8kVA/
!
no aaa new-model
!
dot11 syslog
!
dot11 ssid Thormix-Lab
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 PASSWORD
!
no ip source-route
no ip dhcp use vrf connected
!
ip dhcp pool WLAN106
network 192.168.106.0 255.255.255.0
default-router 192.168.106.1
dns-server 192.168.106.1 213.144.235.1 8.8.8.8
domain-name thormix.local
lease 3
!
ip cef
ip domain name thormix.local
!
archive
log config
hidekeys
!
bridge irb
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dot11Radio0
no ip address
!
encryption mode ciphers tkip
!
ssid Thormix-Lab
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
ip address 192.168.104.3 255.255.255.0
ip nat inside
ip virtual-reassembly
no autostate
!
interface Vlan2
ip unnumbered BVI1
no autostate
bridge-group 1
!
interface Dialer1
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ROUTIT password ROUTIT
ppp ipcp route default
!
interface BVI1
ip address 192.168.106.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 192.168.105.0 255.255.255.0 192.168.104.2
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer1 overload
!
access-list 101 deny ip host 192.168.109.2 any
access-list 101 permit ip 192.168.104.0 0.0.7.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
alias view ip show ip interface brief
alias configure sh do show
alias configure show do show
alias configure sho do show
alias exec cpu show processes cpu history
alias exec bb exit
alias exec bye exit
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
logging synchronous
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq