Netzwerktechnik

Cisco 891F-K9 am Telekom DSL Anschluss, Speedport Smart als DECT Basis

Der Titel trifft das Thema nicht genau, denn er unterschlägt das notwendige DSL Modem und einen VLAN-fähigen Switch im LAN.
Ziel ist, ein komplexeres Heimnetzwerk an den Vectoring DSL Anschluss der Telekom anzubinden. Natürlich Dual Stack mit IPv4 und IPv6.
Mit diesem Artikel ist es möglich, die notwendige Konfiguration zu erstellen um mit einem Cisco Router über die Telekom ins Internet zu kommen, eine allgemein anwendbare Basiskonfiguration ist enthalten.Verwendete Komponenten:
– Speedport Smart Router der Telekom als DECT Basis mit VoIP
– gestackter Cisco Catalyst 3750 Multilayer Switch als Dreh- und Angelpunkt im LAN
– Cisco 891F-K9 als Router zum Internet
– Bintec RS353jv degradiert zum DSL Modem für Annex J, VDSL oder Vectoring
– Telekom Smarthome Basis
– Server mit VMware ESXI und diversen Instanzen

Ausgangslage:
Der Speedport Smart ist als bisher eingesetzter Router alles Mögliche, aber sicher nicht smart. Er ist für normale Benutzer geeignet und an seinen analogen Telefonanschlüssen mit TAE funktioniert sogar Impulswahl. Habe es selbst getestet mit einem FeTAp 611-2a.
Was mir jedoch ganz konkret fehlt:
– IPv6 prefix delegation in das LAN
– eine im eigenen LAN ansprechbare VoIP PBX
– ein DynDNS Client der auch mit OVH DynHost funktioniert, denn preiswerter ist DynDNS kaum möglich ohne regelmäßige manuelle Eingriffe

 

DSL Modem:
Der Bintec RS353jv als vollwertiger Router wird zu einem vectoringfähigen DSL Modem degradiert, das zu diesem Zeitpunkt noch als Annex J mit 16Mbit/s läuft.
Auf der einen Seiten hängt an Ethernet 1-4 der Cisco Router, am DSL Port gehts zur Telekom. Verbunden werden beide Interfaces über die interne Bridge 0.
Ein reines DSL Modem wäre hier sicher besser geeignet, habe ich aber leider nicht.

zwischen DSL Modem und Router:
hier ist ein TAP eingeschleift. TAP bedeutet Test Access Port und bedeutet, dass der durchgeleitete Verkehr 1:1 an zwei Messports herausgeleitet wird. Damit ist die komplette Internetverbindung einzusehen, inklusive der PPP Session. Spiegelports auf Switches arbeiten ähnlich, aber am TAP werden auch fehlerhafte Frames herausgeleitet.

Router:
Der zur Verfügung stehende Cisco 891F-K9 bringt einen 8Port Gigabit Ethernet Switch mit, den benutzen wir hier aber nicht. Als WAN Schnittstellen gibt es zwei dedizierte Anschlüsse mit Fast Ethernet und Gigabit Ethernet, wahlweise RJ-45 oder über SFP mit Glas.
Das Fast Ethernet Interface ist Basis für PPPoE und übernimmt das bei Telekom notwendige VLAN Tagging in VLAN 7. Darauf läuft auch der Dialer als outside Interface
Das Gigabit Ethernet 8 ist die Verbindung zum LAN Switch, läuft als Trunk und hat mehrere VLAN für:
– VLAN 100 Heimnetzwerk mit PCs, Playstation, über WLAN angebundenen Tablets und Smartphones
– VLAN 111 nur für die Smarthome Basis
– VLAN 150 als DMZ für von außen erreichbare Dienste, wie den Minecraft Server und FreePBX, die in VMware ESXI laufen
– VLAN 7 in dem sich der zur DECT Basis degradierte Speedport Smart über PPPoE am Cisco 891 anmeldet

Switch:
Die Cisco Catalyst 3750 Serie nähert sich dem End of Life, wird damit in kommerziellen Umgebungen aussortiert und ist bei Auktionsplattformen zu attraktiven Preisen erhältlich.
Der Multilayerswitch WS-C3750G-24TS ist bereits um 100Euro zu haben, der WS-C3750-24P als PoE fähiges Gerät sogar unter 50Euro. Stand Oktober 2017.
Aus beiden machen wir einen Stack mit zwei Cisco Stackwise Kabeln, nach außen hin bilden sie ein logisches Gerät ab.
In Summe stehen jetzt 24Gigabit Ethernet Ports auf Kupfer zur Verfügung, 24FastEthernet Anschlüsse mit PoE sowie noch sechs SFP Ports für Glasfaser.
Die auf dem Router bereits bekannten VLAN werden auch auf dem Switch angelegt, es kommen noch zwei weitere dazu
– VLAN 110 für Cisco VoIP Telefone, die mit PoE vom Switch gespeist werden und mit SIP auf eine FreePBX Installation zugreifen, die unter ESXI auf einem Server am Standort läuft
– VLAN 120 Servermanagement, darin läuft das ILO Interface des ESXI Servers und des Storage Servers
– VLAN 200 nur für iSCSI, damit wird ein Storage System mit Nas4free an den ESXI Server angebunden, getrennt vom restlichen Datenverkehr
Der 3750 als MultilayerSwitch unterstützt Inter VLAN Routing, er versteht auch OSPF und IPv6 (mit einer kleinen blöden Einschränkung). Nur NAT kann er nicht und PPPoE, sonst wäre der 891er Router gar nicht notwendig.
Zwischen Router und Switch wird im VLAN 100 mit OSPF gearbeitet, damit der Router als default gateway auch das Netz vom VLAN120 kennen lernt, in dem das Servermanagement läuft.

Telekom Smarthome Basis
Die Telekom bietet mit ihrem Smarthome Produkt ein Produkt mit monatlich anfallenden Kosten an. Was diese Lösung jedoch auszeichnet ist ein sehr umfangreiches Portfolio von Geräten verschiedener Hersteller. Das fängt an bei Tür- und Fenstersensoren, Rauchmeldern und Zwischensteckern, geht über Heizungsthermostate und Rolllädensteuerung bis zu Überwachungskameras und Bewegungssensoren.
Das Internet der Dinge, ein Haufen Kram zumindest bei mir nicht direkt mit PCs und Smartphones in das selbe Netz soll. Sämtliche Kommunikation zwischen SmarthomeBasis und Smartphone zur Steuerung erfolgt ohnehin über zentrale Server im Internet und so kann die Smarthome Basis auch gleich in ein eigenes VLAN verfrachtet werden. Die IPv4 Informationen werden über einen DHCP Pool auf dem Router bezogen, die IPv6 Adresse gibt es via Stateless Address Autoconfiguration (SLAAC) und Domainname und IPv6 DNS Server via DHCPv6 vom Router.

Der gar nicht smarte Speedport smart als kümmerliche DECT Basis:
Wie schon erwähnt ist der Speedport smart keine totale Gurke, aber einige Anforderungen kann er einfach nicht erfüllen.
Was kann er denn?
– DSL mit Annex J, VDSL und Vectoring
– ein weiterer Link Anschluss ist vorgesehen für die Verbindung zu Glasfaser“modems“
– WLAN im 2,4 und 5GHz Band
– separates Gäste WLAN
– DECT Basis für Telekom Speedphones
– zwei analoge Telefonanschlüsse TAE, die sogar Impulswahl können.
– Er kann Telekom Smarthome Basis werden, mit DECT ULE onboard und über zusätzlichen USB Stick auch mit Zigbee

Was mir fehlt habe ich am Anfang bereits grob erwähnt.
Man kann weitere VoIP Anbieter eintragen, aber welche funktionieren tatsächlich? Selbst ein Sipgate basic Anschluss kann nicht konfiguriert werden, weil die eingegebenen Zugangsdaten vom Speedport nicht akzeptiert werden.
Ich wollte den Speedport als Endpoint an der FreePBX im eigenen LAN anmelden, das geht auch nicht. Mit einem eingeschleiften Wireshark sieht man einfach gar nichts. Kein einziges Datenpaket wird in das eigene LAN gesendet.
IPv6, toll, endlich kein NAT mehr. Man steckt einfach Minecraft Server, Own Cloud, NAS oder sonstwas in das heimische Netz und arbeitet ganz ohne NAT und Portforwarding mit IPv6.
Aber nicht wenn der Speedport Smart dabei ist. Der blockt einfach allen aus dem Internet ankommenden IPv6 Verkehr mit seiner Firewall ab. Firewall öffnen oder gar abschalten? Geht nicht.
Da weist die Telekom dem Benutzer einen /56 Prefix zu, also könnte man zweihundertsechsundfünfzig /64 IPv6 Netze zu Hause einrichten. Der Speedport lässt aber genau ein /64 Netz zu im LAN und prefix delegation ist Fehlanzeige.

Genug gejammert. Dann wird er eben nur DECT Basis. VoIP Pakete schickt er offenbar nur am DSL Port oder am Link Port raus. Einen eigenen DSLAM habe ich nicht. Brauche ich auch nicht.
Der Link Port sendet telekomkonform alle Frames mit gesetztem tag auf VLAN 7. Darauf baut er seine PPPoE Session auf. Wohin nun damit? Über den Catalyst Switch zum Cisco 891!
Auf dem Catalyst wird die Verbindung zum Speedport als Trunk Port mit 802.1q konfiguriert und nur VLAN7 erlaubt. Auf dem Trunk zwischen Switch und Router ist VLAN7 ebenfalls erlaubt und auf dem Router gibt es das Subinterface GI 8.7 .
Die PPPoE Daten kommen auf Gi 8.7 an, laufen in die pppoe group auf ein Virtual Template Interface. Das Virtual Template ist unnumered auf ein Loopback Interface gebunden.
Der Speedport meldet sich beim 891 mit PPPoE an, erhält aus einem Adresspool eine private IPv4 Adresse und aus dem von Telekom zugeteilten /56 IPv6 Prefix ein eigenes /64 Netz. Telekom VoIP läuft auch in 2017 noch über IPv4, so dass der Speedport auch mit NAT auf den Dialer muss.
Grundsätzlich funktioniert dieses Konstrukt. Das Konstrukt funktioniert nach anfänglichen Problemen mit Abbrüchen einwandfrei. Ursache war das nicht korrekt funktionierende SIP ALG im IOS des Cisco Routers.

ToDo List:
– Qos auf dem Dialer, zur Priorisierung von Telefondaten
– Filterung von ankommendem IPv6 Verkehr bereits auf dem Router oder transparent ein IDS/IPS vor den Router setzen
– warum kann der Catalyst 3750 keinen NTP Server über IPv6 ansprechen?
– net flow export vom Cisco Router zu CactiEZ läuft maximal mit Version5, was bietet sich als Alternative an und läuft „out of the box“?
– WLAN Access Points finden mit 2,4 und 5GHz Band, multi SSID und VLANs, gespeist mit PoE
– Stromanbieter finden der sehr viel günstiger ist, denn diese Installation würde im Jahr problemlos über 150Euro Stromkosten produzieren

sonstiges:
Mit der Umstellung der Telekom auf BNG kam das Tagging mit VLAN7. Das bedeutet, dass weitere 4 Byte Overhead einzuplanen sind und die IP MTU von 1492 Byte auf 1488 Byte reduziert wird. Damit muss auch der Wert für TCP maximum segment size von bekannten 1452Byte auf 1448 Byte reduziert werden.

Auf dem Router benötigt man bei Einrichtung eines DynHost bei OVH das ? in der Konfiguration. Das kann man in die Konfiguration einfügen, wenn man zuvor STRG + V drückt und dann das ? setzt.

ntp1.t-online.de als Zeitserver im Netz kann IPv6, der Router bezieht von dort seine Zeit. Der alte Catalyst Switch unterstützt NTP nur mit IPv4.

Trouble mit dem Speedport smart als DECT Basis:
Bei ersten Telefonversuchen traten zufällige Gesprächsabbrüche auf. Erst der tiefere Blick mit Wireshark in die Verbindung zeigt das Problem mit NAT auf. Der Speedport setzt expires auf 660 Sekunden, und registriert sich ca alle sieben Minuten neu.
Im Cisco ist der default timeout für NAT Einträge auf 300 Sekunden gesetzt, mit ip nat translation udp-timeout 720 wird dieser Timeout auf einen Rahmen gesetzt, der oberhalb des Registrierungsintervalls liegt.
Dennoch kommt es im SIP ALG des Cisco noch zu Problemen, da der Router bei der Registrierung schon vergessen hat die IP Adresse in der client uri anzupassen. Irgendwo sitzt da noch ein Timer. (Stand 25.10.2017)
Update und Reminder für mich selbst: Nimm keine ED Software von Cisco… Der Fehler lag im SIP ALG der 15.7.3 Software von Cisco, mit der 15.4.3M8 ist das Problem behoben.

Update 4.12.2017 DNS Server auf dem Router
die DNS Konfiguration auf dem Router funktioniert einwandfrei, öffnet jedoch auf Port53 nach extern. Gegebenenfalls erhält man eine E-Mail oder sogar Briefpost von der Telekom, dass dies ein Sicherheitsrisiko darstellt. Am Einfachsten ist es, über eine Accesslist Port 53 UDP und TCP ankommend auszuschließen.

Basiskonfiguration für einen Cisco 891F-K9 am Telekom DSL Anschluss. Externes DSL Modem notwendig.
Diese Konfiguration ist nicht abschließend und muss an eigene Bedürfnisse angepasst werden.

 

version 15.7
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service unsupported-transceiver
!
hostname myrouter
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
!
logging buffered 64000
enable secret geheimespasswort
!
no aaa new-model
clock timezone cet 1 0
clock summer-time cet recurring last Sun Mar 2:00 last Sun Oct 3:00
!
! Anpassen welche Adressen nicht via DHCP ins LAN vergeben werden sollen, zum Beispiel die Adresse des Routers
ip dhcp excluded-address 192.168.2.0 192.168.2.100
ip dhcp excluded-address 192.168.2.200 192.168.2.255
!
ip dhcp pool homelan
network 192.168.2.0 255.255.255.0
dns-server 192.168.2.1
domain-name homelan-domainname.xy
default-router 192.168.2.1
! option 42 gibt einen NTP Server an
option 42 ip 192.168.2.1
lease 7
!
!
! ohne Domainname kein SSH auf den Router, also irgendwas muss da eingetragen werden
ip domain name homelan-domainname.xy
ip multicast-routing
ip inspect name firewall tcp
ip inspect name firewall udp
!
!folgender Abschnitt fuer DynDNS mit OVH. Das Fragezeichen bekommt man in die Konfiguration wenn man vorher STRG+V drueckt 🙂
ip ddns update method ovhdynhost
HTTP
add http://Username:passwort@www.ovh.com/nic/update?system=dyndns&hostname=OVH-Dynhostname
interval maximum 1 0 0 0
interval minimum 0 0 1 0
!
ip cef
ipv6 unicast-routing
ipv6 cef
ipv6 inspect name firewall tcp
ipv6 inspect name firewall udp
!
ipv6 dhcp pool homelan-domainname.xy
! Telekom IPv6 DNS Server
dns-server 2003:180:2:1000::53
dns-server 2003:180:2:5000::53
domain-name homelan-domainname.xy
!
! lokaler Benutzer, der via Console oder SSH auf den Router zugreifen darf
username lokalerbenutzername privilege 15 secret cisco123
!
interface BRI0
! wird hier nicht verwendet
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
! man kann stattdessen natürlich auch GigabitEthernet 8 nehmen
description *** zum DSL Modem ***
no ip address
no ip route-cache
duplex full
speed 100
no cdp enable
!
interface FastEthernet0.7
description *** Telekom mit Tagging VLAN7 ***
encapsulation dot1Q 7
ip pim sparse-mode
no ip route-cache
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface range GigabitEthernet 0 – 7
! das sind die LAN Ports am integrierten Switch
switchport mode access
switchport access vlan 1
no ip address
!
interface GigabitEthernet8
! WAN Interface auf RJ-45 oder SFP hier nicht genutzt
shutdown
!
interface Vlan1
description *** Home LAN VLAN 100 ***
ip address 192.168.2.1 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
ip igmp version 3
ip igmp explicit-tracking
ip igmp query-interval 15
ip igmp proxy-service
! aus dem /56 Prefix der Telekom wird das Netz 1 gewählt, kann angepasst werden von 00 bis FF
ipv6 address prefix-von-telekom ::1:0:0:0:1/64
ipv6 enable
! das other config flag sagt, dass Endgeräte die Adresse selbst errechnen sollen und andere Infos via DHCPv6 beziehen
ipv6 nd other-config-flag
! IPv6 DNS Server in router advertisements nach RFC6106
ipv6 nd ra dns server 2003:180:2:1000::53
ipv6 nd ra dns server 2003:180:2:5000::53
! ich verteile noch ein weiteres „privates“ /64 IPv6 Netz, dass fest ist und nicht durch den von Telekom zugewiesenen Prefix beeinflusst wird
ipv6 address FD00:CAFE:AFFE:BEEF::1/64
!
!
interface Async3
! hier nicht genutzter Modem Port
no ip address
encapsulation slip
!
interface Dialer1
! MTU und TCP MSS angepasst für BNG Anschluss
mtu 1488
ip ddns update ovhdynhost
ip address negotiated
ip pim sparse-mode
ip nat outside
ip inspect firewall in
ip inspect firewall out
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
ip tcp adjust-mss 1448
ip igmp version 3
ip igmp query-interval 15
ip igmp proxy-service
load-interval 30
dialer pool 1
dialer idle-timeout 0
dialer string 1
dialer-group 1
ipv6 address autoconfig default
ipv6 enable
no ipv6 nd ra suppress
ipv6 nd ra interval 10
ipv6 dhcp client pd prefix-von-telekom rapid-commit
ipv6 inspect firewall in
ipv6 inspect firewall out
! Zugangsdaten zu T-Online anpassen
ppp chap hostname 123456789012345678901234#0001@t-online.de
ppp chap password 12345678
ppp pap sent-username 123456789012345678901234#0001@t-online.de password 12345678
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server

ip dns server
ip nat inside source list ipv4-NAT interface Dialer1 overload
!
! NAT Eintraege um von aussen auf Services im LAN zuzugreifen, nur bei Bedarf konfigurieren/anpassen, hier sind es zwei Minecraft Server Instanzen
ip nat inside source static tcp 192.168.2.x 25565 interface Dialer1 25565
ip nat inside source static tcp 192.168.2.x 25566 interface Dialer1 25566
!
ip ssh version 2
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
ip access-list standard ipv4-NAT
permit 192.168.2.0 0.0.0.255
!
dialer-list 1 protocol ip list 10
dialer-list 1 protocol ipv6 permit
!
! ACL1 regelt den SSH Zugriff auf den Router
access-list 1 permit 192.168.2.0 0.0.0.255
!
ipv6 access-list vty-access-ipv6
permit ipv6 FD00:CAFE:AFFE:BEEF::/64 any
!
line con 0
exec-timeout 60 0
login local
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class 1 in
exec-timeout 60 0
ipv6 access-class vty-access-ipv6 in
login local
transport input ssh
line vty 5 15
access-class 1 in
exec-timeout 60 0
ipv6 access-class vty-access-ipv6 in
login local
transport input ssh
!
scheduler allocate 20000 1000
ntp source Dialer1
ntp master 13
ntp server ipv6 ntp1.t-online.de
!
end

 

 

Kommentar verfassen