CISCO ASA + Telekom VDSL

[Fr4g3r]

Hallo zusammen,

hat jemand von euch schon mal eine Cisco ASA an einem VDSL-Zugang der Telekom konfiguriert?
Falls ja wäre ein kurzer Auszug aus einer funktionierenden Config super.
Als Modem wird bei meinem Bekannten ein Allnet all126as2 eingesetzt welches mit dem DSLAM gesynced ist.
Es geht also rein um die Config der ASA, hauptsächlich um das richtige Tagging.

Ich werde mir das morgen vor Ort anschauen und wollte mich vorab mal erkundigen ob da jemand vielleicht schon Erfahrung mit hat.
Ich vermute mal man wird das Interface zum Modem als Trunk konfigurieren müssen inkl. dot1q mit der ID 7.
Gemacht habe ich das bei einem Telekom VDSL-Anschluss aber noch nie, daher die kurze Rückfrage hier.

Danke euch

Gruß
Fr4g3r

 

[iDont_Know]

asa ist eine Firewall

eigentlich mach man das so :

Netwerk - Cisco Router & VPN - ISP Router ---- Rechenzentrum -Cisco ASA ----- Internet


was wird den so in dem Netz so gemacht ?
du muss schon etwas genauer beshreiben

 

[HotteX]

Die ASA kannst aber auch per PPPoE direkt an ein VDSL Modem hängen.
Die kleine 5505er ist ja durchaus erschwinglich.

So wie ich das mit bekommen habe ist deine Annahme schon richtig das
Outside Interface als Trunk zu konfigurieren und Vlan 7 zu taggen.


Gruß,
Daniel

 

[Fr4g3r]

Hi,

das ne ASA ne Firewall ist ist soweit korrekt.
Allerdings befindet sich eine Firewall vom Layer her über einem Router, sodass viele Firewalls auch Funktionen eines Routers integriert haben.
Die ASA soll in dem Fall die PPPoE-Einwahl bei der Telekom übernehmen.
Aktuell tut sie das auch an einem SDSL-Anschluss.
Dieser soll nun aber durch einen VDSL-Anschluss abgelöst werden und da ist eben bei der Telekom eine spezielle Konfiguration nötig wie etwa das Tagging mit der Vlan ID 7.
Daher wäre eine funktionierende Konfig von jemandem der das am laufen hat hilfreich.

Was danach passiert ist ja egal, geht mir nur um die PPPoE-Einwahl der ASA an einem VDSL-Anschluss der Telekom.
Falls dennoch Infos fehlen, dann sagt kurz bescheid.
Denke aber das alles vorhanden ist was nötig ist.

Danke euch beiden
Gruß

 

[iDont_Know]

--

 

[Fr4g3r]

Hi,

ich war heute vor Ort und habe es zum laufen bekommen.
Hier eine Übersicht falls jemand ebenfalls vor dieser Aufgabe steht:

Hardware
Cisco ASA 5505 Security Plus
Allnet all126as2 VDSL Modem verbunden mit Port Ethernet0/6 der ASA

Config für das Interface und VLAN:
interface Ethernet0/6
description --- WAN to VDSL Modem ---
switchport trunk allowed vlan 7
switchport mode trunk

interface Vlan7
nameif outside
security-level 0
pppoe client vpdn group dailin
ip address pppoe setroute

Der Rest ist dann eine ganz normale DSL PPPoE-Config inkl. NAT.

Gruß

 

[iDont_Know]

Woher weißt du das mit vlan 7 ?

Und wieso trunk port?
Wenn den nur 1 vlan benutzen kann ??

 

[HotteX]

@Fr4g3r
Vielen Dank für die Info, dass die Theorie auch in der Praxis funktioniert ;-=

@i dont know

Das mit Vlan7 kann man in Internet nachlesen, die Telekom tagged die Pakete halt mit VLAN7.
Daher muss die ASA halt einen Trunk haben und ein Interface im VLAN7. Genau das hatte ich
oben ja schon geschrieben und die Config von Fr4g3r zeigt das auch.

 

[Fr4g3r]

@ iDont_Know
Das kann man überall im Internet nachlesen.
Ohne das Tagging mit VLAN 7 bekommst du keine Internetverbindung.
Hier z.B. der Auszug davon aus der Anleitung des Modems: ftp://212.18.29.48/ftp/pub/allnet/vdsl/all126as2/ALL126AS2_T-Online_Konfiguration.pdf

Kann sein das es auch Modems gibt die automatisch den Tagg 7 setzen und es somit die ASA nicht übernehmen muss.
Auf jeden Fall muss das Paket, welches zur Telekom geht, mit diesem Tagg versehen sein.
Ansonsten bekommst du beim VDSL der Telekom keine PPPoE-Einwahl hin.

Und genau deshalb habe ich hier abschließend die Config gepostet.
Denn im Voraus hatte ich im Internet keine vollständige gefunden die funktioniert.

Und wieso trunk port?

Schon mal ein Vlan-Tagg über einen Access-Port übertragen?

Wenn den nur 1 vlan benutzen kann ??

Weil du für ein Tagg einen Trunk brauchst und das Modem nur Pakete weiterleitet die mit ID 7 getagged sind.

 

[iDont_Know]

A. OK

Thks

 

[Fr4g3r]

Kein Problem, denke auf dieses Porblem werden in Zukunft noch mehrere Leute stoßen.
VDSL gibt es ja schon eine ganze Weile bei der Telekom, aber die Informationen dazu im Netz sind noch sehr sporadisch oder sie sind gut versteckt.
Zumindest wenn es dann auch noch um spezielle Geräte gibt.
Gerade wenn man nur ein VDSL-Modem sucht gibt es nicht gerade viel Auswahl.
Die Telekom vermarktet ja die eigenen VDSL-Modems der Speedport-Reihe nicht mehr, die bekommt man eigentlich nur noch in der Bucht.
Fragt man dann an welches Modem man nun nehmen soll, so bekommt man das Allnet-Modem empfohlen.
Aufkommende Fragen beantwortet dir die Telekom dann aber nicht mehr, da das Modem von der Telekom nicht supported wird
War auf jeden Fall froh als das lief.
Richtig spaßig wird es dann aber wenn man zusätzlich noch Entertain bzw. IPTV nutzen will.
Das war zum Glück bei meinem Kollegen nicht der Fall da Business VDSL.

 

[iDont_Know]

aber das mit Trunk verstehe ich nicht

man kann doch sowas wie

Interface x/y
ip access vlan 7
machen, oder ?


so machst du aber ein trunk port, nur für 1 vlan
oder muss dieser Packete mit dot1q getagged sein ?


PS
voip wäre auch interessant
dann müsste man noch qos konfigurieren
und extra vlan dafür machen °°

 

[Fr4g3r]

Das muss tagged sein.
Einen Port in ein anderes VLAN zu hängen indem der traffic dann weiterhin untagged ist bringt hier nichts.
Gibt aber meine ich Modems die einfach an sämtlichen Traffic den sie bekommen den 7er-Tagg hängen.
Da geht es dann auch in jedem anderen VLAN und auch ohne trunk.