Cisco 801 und Cisco 803 als DSL-Router einsetzen

Tutorials

Cisco 801 und Cisco 803 als DSL-Router einsetzen

Sie haben sich als ISDN-Router einen Cisco 801 oder 803 angeschafft und wollen nun auf DSL umsteigen? Offiziell bietet Cisco für diese Typen keine Unterstützung von PPPoE an. Mit etwas gutem Willen, kann man diese Router aber doch als DSL-Router verwenden. Zuerst benötigt man ein IOS mit dem Feature PPPoE Client. Das ist z.B. das Image c800-k8osy6-mw.122-8.T1.bin. Es enthält die Feature Sets "IP/FW PLUS IPSEC 56".

Beim Cisco 803 kann man einfach einen der Ethernetports als Verbindung zum DLS-Modem nutzen. Da der Cisco 801 nur einen Ethernetport hat, benötigt man noch einen kleinen Hub oder Switch.

Der Router sollte 12 MB RAM und 8 MB Flash haben.

Die folgenden Konfiguration baut eine DLS-Verbindung zum Provider Kamp auf:

Konfig


no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname gate
!
boot system flash c800-k8osy6-mw.122-8.T1.bin
logging buffered 12000 debugging
logging console informational
!
enable secret hierkommtdaspw
!
username gate password passwort
clock timezone MEZ 1
clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip subnet-zero
no ip source-route
ip dhcp excluded-address 10.0.0.1 10.0.0.10
!
ip dhcp pool DHCPPoolLAN_0
   network 10.0.0.0 255.255.255.0
   dns-server 195.62.97.2 195.62.97.18 212.110.100.250 
   default-router 10.0.0.1 
!
no ip domain-lookup
ip tcp selective-ack
ip tcp path-mtu-discovery
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pppoe
!
isdn switch-type basic-net3
!
interface Ethernet0
 ip address 10.0.0.1 255.255.255.0
 ip access-group 121 in
 no ip proxy-arp
 ip mtu 1460
 ip nat inside
 ip tcp adjust-mss 1420
 pppoe enable
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface BRI0
 no ip address
 shutdown
 isdn switch-type basic-net3
 no cdp enable
!
interface Dialer1
 mtu 1460 
 ip address negotiated
 ip access-group 122 in
 ip access-group 123 out
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 no ip split-horizon
 dialer pool 1
 dialer remote-name unknown
 dialer idle-timeout 900
 dialer vpdn
 dialer-group 1
 no cdp enable
 ppp authentication pap callin optional
 ppp pap sent-username USER password PASSWORT
!
ip nat inside source list 18 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
map-class dialer DialClass
logging trap debugging
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 18 permit 10.0.0.0 0.0.0.255
access-list 101 permit udp any eq domain any
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 deny   ip any any log
access-list 121 deny   udp any eq netbios-dgm any
access-list 121 deny   udp any eq netbios-ns any
access-list 121 deny   udp any eq netbios-ss any
access-list 121 deny   tcp any eq 137 any
access-list 121 deny   tcp any eq 138 any
access-list 121 deny   tcp any eq 139 any
access-list 121 permit ip any any
access-list 122 remark for dialer in
access-list 122 permit udp host 130.149.17.21 any eq ntp
access-list 122 permit udp host 131.188.3.220 any eq ntp
access-list 122 permit tcp host 195.62.99.45 any eq ident
access-list 122 deny   tcp any any range 0 1024 log-input
access-list 122 deny   udp any any range 0 1024 log-input
access-list 122 deny   udp any any eq 1243 log-input
access-list 122 deny   tcp any any eq 1243 log-input
access-list 122 deny   udp any any eq 1433 log-input
access-list 122 deny   tcp any any eq 1433 log-input
access-list 122 deny   udp any any eq 1434 log-input
access-list 122 deny   tcp any any eq 1434 log-input
access-list 122 deny   udp any any eq 5000 log-input
access-list 122 deny   tcp any any eq 5000 log-input
access-list 122 deny   udp any any eq 6776 log-input
access-list 122 deny   tcp any any eq 6776 log-input
access-list 122 deny   udp any any eq 8080 log-input
access-list 122 deny   tcp any any eq 8080 log-input
access-list 122 deny   udp any any eq 8787 log-input
access-list 122 deny   tcp any any eq 8787 log-input
access-list 122 deny   udp any any eq 12345 log-input
access-list 122 deny   tcp any any eq 12345 log-input
access-list 122 deny   udp any any eq 31337 log-input
access-list 122 deny   tcp any any eq 31337 log-input
access-list 122 deny   udp any any eq 36794 log-input
access-list 122 deny   tcp any any eq 36794 log-input
access-list 122 permit ip any any
access-list 123 deny   icmp any any unreachable log-input
access-list 123 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 access-class 1 in
 exec-timeout 0 0
!
sntp server 131.188.3.220 version 3
sntp server 130.149.17.21 version 3
no rcapi server
!
!
end

Bei Bedarf sind die DNS-Server und die IP-MTU an den jeweiligen Provider (z.B. T-Online) anzupassen.
Der Router arbeitet als DHCP-Server für das Netz 10.0.0.0/24.
Verbindungen auf den Ports 135,131313 (NetBIOS over TCP/IP) werden durch eine Access List verhindert.

Wenn Sie keinen Cisco-Router zur Hand haben, interessiert Sie vielleicht der folgende Artikel:

DSL-Router mit Firewall auf Basis von m0n0wall selber bauen [lokal]

Informationen zu DSL-Tarifen erhalten Sie bei top-dsl.com.