Löschen der Konfiguration PPPoE bei Cisco ASA
Der Benutzer kann bei einer Cisco ASA folgendes Kommando verwenden, um dem DHCP Server die Verwendung der WINS und DNS IP Adressen nahezubringen, die der Zugriffspunkt des ISP im Rahmen des PPP/IPCP Parameteraustausches übertragen hat.
mygateway(config)# dhcpd auto_config (client_ifx_name)
Überwachen und Testen eines PPPoE Clients
Um VPDN Gruppen in der Systemkonfiguration zu löschen, wird das clear configure vpdn group Kommando im global config mode verwendet.
mygateway(config)# clear configure vpdn group
Um alle VPDN Gruppen eines Benutzers zu löschen, wird das clear configure vpdn username Kommando verwendet.
mygateway(config)# clear configure vpdn username
Keiner der Befehle hat einen Einfluss auf die aktive PPPoE Verbindung.
Verwenden von PPPoE mit einer fixen IP Adresse
Um eine aktuell eingerichtete PPPoE Konfiguration anzuzeigen, kann folgendes Kommando verwendet werden.
mygateway# show ip address outside pppoe
Verwendet werden kann folgendes Kommando, um das Debugging des PPPoE Clients zu aktivieren:
mygateway# [no] debug pppoe event
mygateway# [no] debug pppoe error
mygateway# [no] debug pppoe packet
Folgende Bedeutung haben die Schlüsselwörter:
– event — Zeige die Ereignisse an, die vom Protokoll erzeugt worden sind.
– error — Zeigt Fehlermeldungen an, die bei der Verbindung aufgetreten sind.
– packet — Zeigt PPPoE Paketinfomrmationen an.
Der Benutzer kann folgendes Kommando verwenden, um sich den Status seiner PPPoE Verbindung anzuzeigen:
mygateway# show vpdn session (l2tp | pppoe) (id sess_id | packets | state | window)
Hier ein Beispiel, dass eine eine kurze Aufstellung der Informationen die dieses Kommando liefert zeigt.
mygateway# show vpdn
Tunnel id 0, 1 active sessions
time since change 13242 secs
Remote Internet Address 10.13.23.42
Local Internet Address 123.42.23.13
23 packets sent, 23 received, 2342 bytes sent, 0 received
Remote Internet Address is 10.13.23.42
Session state is SESSION_UP
Time since event change 64223 secs, interface outside
PPP interface id is 1
23 packets sent, 23 received, 2342 bytes sent, 0 received
mygateway#
mygateway# show vpdn session
PPPoE Session Information (Total tunnels=1 sessions=1)
Remote Internet Address is 10.13.23.42
Session state is SESSION_UP
Time since event change 64223 secs, interface outside
PPP interface id is 1
23 packets sent, 23 received, 2342 bytes sent, 0 received
mygateway#
mygateway# show vpdn tunnel
PPPoE Tunnel Information (Total tunnels=1 sessions=1)
Tunnel id 0, 1 active sessions
time since change 64223 secs
Remote Internet Address 10.13.23.42
Local Internet Address 123.42.23.13
23 packets sent, 23 received, 2342 bytes sent, 0 received
mygateway#
Aktivieren von PPPoE bei Cisco ASA
PPPoE kann auch so verwendet werden, dass der Benutzer eine feste IP Adresse einrichten kann, die verwendet werden soll. Dazu verwendet er das ip address Kommando in der Interfacekonfiguration:
mygateway(config-if)# ip address ipadresse netmask pppoe
Dieser Befehl bewegt die ASA dazu eine feste IP Adresse zu verwenden, statt sich mit dem PPPoE Server über eine Adresse zu einigen. Ersetze ipadresse mit der entsprechenden festzusetzenden IP Adresse, die verwendet werden soll und die netmask mit der dazugehörigen Netzwerkmaske.
Beispiel:
mygateway(config-if)# ip address outside 10.13.23.42 255.255.255.0 pppoe
Falls die Option setroute verwendet worden ist, welche erlaubt, einem Zugriffspunkt bereits eine Route zuzuweisen, bevor er eine PPPoE Verbindung aufgebaut hat, ist es nicht möglich eine statisch definierte Route in der Konfiguration zu haben.
Konfiguration eines PPPoE Client mit Benutzername und Passwort bei Cisco ASA
Normalerweise sind die PPPoE Clientfunktionen abgeschaltet. Um diese zu aktivieren, muss folgendes eingegeben werden.
Schritt 1: Aktivieren der PPPoE Funktionen bei Eingabe des folgenden Kommandos:
mygateway(config-if)# ip address pppoe (setroute)
Die Option setroute setzt die Default Route, wenn der PPPoE Client aktuell keine Verbindung aufgebaut hat. Auf diese Weise wird beim Verbindungsausbau die Route so gesetzt, dass beispielsweise ein Internetzugriff möglich ist. Ist diese Option gesetzt, so können keine statischen Routen auf dieser Konfiguration gesetzt werden.
PPPoE arbeitet nicht in Verbindung mit DHCP. Der Grund liegt darin, das bei PPP die IP Adresse durch PPP selbst bereitgestellt wird und nicht über einen DHCP Server. Daher ist es nicht möglich beide Funktionen gleichzeitg zu aktivieren. Das bezieht sich nur auf das PPPoE Interface. Die Option setroute erzeugt eine neue Default Route, sollte keine existieren. Der Default Router besitzt die IP Adresse des Zugriffspunktes des Concentrator. Die maximale MTU Size wird automatisch auf 1492 byte gesetzt, welche die erlaubte maximale Größe einer Kurzübertragung in einem Ethernet Frames ist. Das erneute Eingeben es letzten Befehls resettet die DHCP Lease und fordert zugleich eine neue an.
Hat der Benutzer zwei PPPoE Verbindungen eingerichtet, also ein Primäres und ein Backup Interface, so wird die Appliance nur den Traffic durch das erste Interface senden, das Zweite wird nicht verwendet, sollte nicht der Dual ISP Support aktiviert worden sein.
Beispiel:
mygateway(config)# interface fastethernet 0/0
mygateway(config-if)# ip address pppoe
Nächster Schritt: Spezifiziere eine VPDN Gruppe für den PPPoE Client in dem Konfigurationsmodus des Interfaces mit dem Kommando:
mygateway(config-if)# pppoe client vpdn group gruppen_name
gruppen_name ist die Bezeichnung der VPDN Gruppe.
Wurden mehrere VPDN Gruppen konfiguriert und keine davon wurde dem PPPoE Client direkt spezifiziert mit dem vpdn group Kommando, so wird die ASA zufällig eine VPDN Gruppe auswählen. Um das zu vermeiden, wähle eine VPDN Gruppe aus, die verwendet werden soll.
Um einen Zugriffspunkt einer ISP mithilfe eines PPPoE Clients anwählen zu können, muss mit dem vpdn Kommando eine Verbindung eingerichtet werden. Um das vpdn Kommando nutzen zu können, muss zuerst eine VPDN Gruppe eingerichtet werden. Anschließend wird der individuelle Benutzer und das Passwort eingegeben innerhalb dieser Gruppe.
Um einen PPPoE Benutzer mit Passwort einzurichten, muss folgendes eingeben werden:
Schritt 1: Definiere eine VPDN Gruppe, welche für eine PPPoE Verbindung verwendet werden soll:
mygateway(config)# vpdn group gruppen_name request dialout pppoe
In diesem Kommando ersetze gruppen_name mit einer Bezeichnung deiner Breitbandanbindung für diese Gruppe, wie zum Beispiel „pppoe-tcom“
Schritt 2: Normalerweise benötigt der ISP Zugangsdaten, um eine Verbindung herstellen zu können. Der ISP unterstützt nicht immer alle Authentifizierungsprotokolle. CHAP ist eine gängige Einstellung. Eine Auswahl des Authentifizierungsverfahren wird folgendermaßen durchgeführt:
mygateway(config)# vpdn group gruppen_name ppp authentication chap
mygateway(config)# vpdn group gruppen_name ppp authentication mschap
mygateway(config)# vpdn group gruppen_name ppp authentication pap
Verwende eine der Einstellung, die der ISP haben möchte. Ersetze wieder hier gruppen_name mit der Bezeichnung, die oben gewählt worden ist. Die Abkürzungen bedeuten folgendes:
CHAP — Challenge Handshake Authentication Protocol
MS-CHAP — Microsoft Challenge Handshake Authentication Protocol
PAP — Password Authentication Protocol
Bei PAP wird das Passwort nicht verschlüsselt übertragen. Das Verfahren sollte, wenn es nicht nötig sein sollte, nicht verwendet werden.
Schritt 3: Füge zu der VPDN Gruppe, die vorher definiert wurde entsprechend den Benutzernamen hinzu. Der Benutzername wird vom ISP dem Kunden zugeliefert.
mygateway(config)# vpdn group gruppen_name localname benutzername
Ersetze gruppen_name mit der Bezeichnung von oben und natürlich benutzername mit dem Benutzernamen deines ISP Kontos.
Schritt 4: Erzeuge einen Benutzernamen und ein Passwort Paar für die PPPoE Verbindung indem du folgendes Kommando verwendest:
mygateway(config)# vpdn username Benutzername password Passwort [store-local]
Ersetze auch hier den benutzernamen mit dem Benutzernamen deines ISP Kontos und das dazugehörige Passwort.
Die Option store-local speichert den Benutzernamen und das Passwort in einem speziellen Bereich des NVRAM des Gerätes. Falls ein Update die Konfiguration des Systems löscht, so kann die Appliance die Zugangsdaten vom NVRAM lesen, um sich bei dem Concentrator anzumelden.
Erst jetzt ist es möglich PPPoE auf dem gerät überhaupt zu aktivieren.
PPPoE kombiniert zwei Standards, nämlich Ethernet und PPP. PPPoE stellt eine grundlegende Methode zur Verfügung, um eine IP Adresse, einem sich am Zielsystem authentifizierten Client, zuzuweisen. PPPoE Clients sind typischerweise PCs, die ihre Verbindung zu einem ISP über eine Breitbandverbindung, wie DSL, aufbauen. ISPs verwenden deswegen PPPoE, weil es Breitbandzugriff wunderbar unterstützt, gleichzeitig zudem mit ihrer bereits existierender Remote Access Umgebung zusammen arbeitet. Weiter ist PPPoE für den Endanwender leicht anzuwenden.
PPPoE stellt eine Reihe von Authentifizierungsmachenismen zur Verfügung, die auch unter PPP bekannt sind, nur das Ganze wird über Ethernet übertragen. Verwendet beim ISP erlaubt PPPoE daher das Beziehen einer IP Adresse, wenn der Benutzer sich korrekt über das Authentifizierungsverfahren am System angemeldet hat. Ist dem so, so ist der PPPoE Client und Server mit einem Layer 2 Bridgingprotokoll verbunden. Diese Verbindung wird dann über eine DSL Leitung übertragen, bzw. über eine andere Breitbandverbindung.
PPPoE stellt beim Aufbau einer Verbindung zwei Phasen bereit:
– Phase: 1 — Active Discovery Phase-In. In dieser Phase lokalisiert der PPPoE Client den Server und ruft sozusagen den Zugriffspunkt den Concentrator an. In dieser Phase wird eine Session ID vergeben und der PPPoE Layer wird hergestellt.
– Phase: 2 — PPP Session Phase-In. In dieser Phase werden die PPP Optionen ausgetauscht und die Authentifizierung wird ebenso hier durchgeführt. Wenn der Linkaufbau abgeschlossen ist, werden die PPPoE Funktionen in einer Layer 2 Kapselung über den PPP Link in einem PPPoE Header ausgetauscht.
Bei der Inititalisierung der Verbindung, der PPPoE Client erzeugt eine Session mit dem Zugriffspunkt, dem Concentrator, mit dem Austausch eine Reihe von Paketen. Wurde die Session erfolgreich aufgebaut, der PPP Link ist nun up, welches komplett eine Authentifizierung per PAP ode CHAP oder MS-CHAP v2 beinhaltet. Die Daten werden in der der aufgebauten PPP Session erst in PPP verpackt und dann über Ethernet getunnelt.
Cisco ASA 5505 Bootup Ausgabe
Konfiguration eines PPPoE Client mit Benutzername und Passwort bei Cisco ASA
Aktivieren von PPPoE bei Cisco ASA
Verwenden von PPPoE mit einer fixen IP Adresse
Überwachen und Testen eines PPPoE Clients
Löschen der Konfiguration PPPoE bei Cisco ASA
WINS und DNS Konfiguration über PPP/IPCP verwenden
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)11 04/30/08 15:45:41.19
Low Memory: 632 KB
High Memory: 251 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 01 00 1022 2080 Host Bridge
00 01 02 1022 2082 Chipset En/Decrypt 11
00 0C 00 1148 4320 Ethernet 11
00 0D 00 177D 0003 Network En/Decrypt 10
00 0F 00 1022 2090 ISA Bridge
00 0F 02 1022 2092 IDE Controller
00 0F 03 1022 2093 Audio 10
00 0F 04 1022 2094 Serial Bus 9
00 0F 05 1022 2095 Serial Bus 9
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(12)11) #4: Thu May 1 14:50:05 PDT 2008
Platform ASA5505
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Launching BootLoader...
Default configuration file contains 1 entry.
Searching / for images to boot.
Loading /asa724-k8.bin... Booting...
###################################################
###################################################
###################################################
###################################################
###################################################
256MB RAM
Total SSMs found: 0
Total NICs found: 10
88E6095 rev 2 Gigabit Ethernet @ index 09 MAC: 0000.0003.0002
88E6095 rev 2 Ethernet @ index 08 MAC: 0024.97b1.f632
88E6095 rev 2 Ethernet @ index 07 MAC: 0024.97b1.f631
88E6095 rev 2 Ethernet @ index 06 MAC: 0024.97b1.f630
88E6095 rev 2 Ethernet @ index 05 MAC: 0024.97b1.f62f
88E6095 rev 2 Ethernet @ index 04 MAC: 0024.97b1.f62e
88E6095 rev 2 Ethernet @ index 03 MAC: 0024.97b1.f62d
88E6095 rev 2 Ethernet @ index 02 MAC: 0024.97b1.f62c
88E6095 rev 2 Ethernet @ index 01 MAC: 0024.97b1.f62b
y88acs06 rev16 Gigabit Ethernet @ index 00 MAC: 0024.97b1.f633
Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 3, DMZ Restricted
Inside Hosts : Unlimited
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 10
WebVPN Peers : 2
Dual ISPs : Disabled
VLAN Trunk Ports : 0
This platform has a Base license.
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05
Cisco Adaptive Security Appliance Software Version 7.2(4)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2008 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Configuration has non-ASCII characters and will be ignored.
Cryptochecksum (changed): d41d8cd9 8f00b204 e9800998 ecf8427e
Pre-configure Firewall now through interactive prompts [yes]?
Konfiguration eines PPPoE Client mit Benutzername und Passwort bei Cisco ASA
Bei der Cisco ASA 5505 handelt es sich um eine recht gute Adaptive Security Appliance. Der kleine Türstopper lässt sich recht gut mit einem DSL Modem verbinden und kann anschließend das Internet im LAN bereitstellen. Natürlich kann die Kiste noch deutlich mehr. In diesem Hauptartikel werden die Artikel zum Thema gruppiert, was das Einrichten einer PPPoE Verbindung auf dem Gerät angeht.
Was ist PPPoE?
Cisco ASA 5505 Bootup Ausgabe
Konfiguration eines PPPoE Client mit Benutzername und Passwort bei Cisco ASA
Aktivieren von PPPoE bei Cisco ASA
Verwenden von PPPoE mit einer fixen IP Adresse
Überwachen und Testen eines PPPoE Clients
Löschen der Konfiguration PPPoE bei Cisco ASA
WINS und DNS Konfiguration über PPP/IPCP verwenden
Viel Spass mit dem Gerät. 🙂
Der Windows Update Fehler „WindowsUpdate_8024200D“ wird angezeigt, sollte ein Update nicht vollständig heruntergeladen worden sein bzw. kaputt sein. Defekt ist in diesem Fall die Installationsdatei. Eine ärgerliche Sache. Manchmal hilft das Systemupdate-Vorbereitungstool für Windows. Der Scan mit diesem Tool dauert so 20-30 Minuten. Hier und da wird das Problem behoben.
Der Link zu einem Knowledge Artikel: http://go.microsoft.com/…
Dort gibt es das Tool zum herunterladen.
Sollte anschließend der Fehler weiterhin bestehen, so muss Windows mit der Reperatursoftware auf der DVD repariert werden.