Hallo,
Ik heb een Cisco C927-4P overgenomen van een collega en wilde die in gaan zetten voor de Freedom lijn (KPN + Fibercrew). De router heeft geen SFP mogelijkheid, dus alles zal via de ONT lopen. Ik was benieuwd, heeft iemand internet en TV werkend op een Cisco?
Ik heb wel wat PPPoe voorbeelden gevonden, maar daarna dhcp client voor IPv6 over pppoe en iptv is wat lastiger te vinden. Vandaar dat ik benieuwd ben of het mogelijk is/er iemand een voorbeel configuratie heeft.
Alvast bedankt.
Misschien heb je hier iets aan?
Ik ga met hulp van collegaâs wat in elkaar klussen. Overigens werkt deze 8j oude configurator niet âout of the boxâ (repo sync en starten). Ik gok dat de config klussen simpeler is dan andermans oude code debuggen.
Ik ben eindelijk eens aan de slag met de Cisco en het configureren van het netwerk deel is nu netjes gelukt. DOwnload is niet heel veel sneller (450 Mbps ipv 420), maar upload gaat van 500 naar 920. Ik ben nog aan het vechten met de access lists. Hoe goed dicht te krijgen met de paar gaten die ik wil hebben en dan dusdanig dat retour verkeer er wel door komt.
Helaas zit ik nog met de uitdaging TV. IGMP proxy voorbeelden die ik heb gevonden lijken niet de juiste te zijn voor de setup van Freedom/CD. Morgen verder.
Dit klinkt alsof de flow offloading niet aanstaat.
Zou goed kunnen, ik ben al blij dat het werkt. Tweaken is een leuke vervolgstap, maar ergens wel apart dat de upload daar dan geen last van heeft (zal vast een logische reden hebben).
Op welke interfaces zou dat dan moeten, de fysieke interface (intern of extern), vlan of de dailer?
Het is nu extern:
intern
Ik heb zelf geen Cisco spul, dus kan je niet vertellen hoe of wat, maar âflow offloadingâ, via software of hardware, ziet op het verder afhandelen van een âflowâ, denk TCP connectie, via de hardware. Zonder dit, moeten alle pakketjes in een flow door de CPU worden beoordeeld waar ze heen moeten. Zodoende kan de CPU een vertragende factor worden als die niet krachtig genoeg is. (Zaken als SQM enzo werken dan niet goed meer, daar heb je dan gewoon meer CPU-kracht voor nodig.)
Ik zou dus verwachten dat het globaal aan of uit kan, en anders dat het tussen de interne en externe interface moet zitten, daar worden de pakketjes van de flow immers van de ene naar de andere kant overgeheveld. Maar ik ben hier redelijk buiten mijn âboekjeâ, dus geen idee of hier iets nuttigs voor je tussenzit.
Yeah, werkt⊠hogere snelheid dan met de RPi (nog verder tunen), TV doet en dit screenshot wilde ik jullie niet onthouden⊠(Kan ik meteen testen of ik de access-list correct heb 
)
De truc was achteraf simpel, op het externe interface op elke vlan een nat access list, met die naar vlan4 beperkt tot het interne TV vlan en zowel igmp snooping als proxy aan zetten. (en op de switch waar de Cisco aan hangt dat interne TV vlan ook aan dat ding doorgeven 
)
Ik zal later een post plaatsen met de cruciale snippets van de config. (eerst uitzoeken wat ik in al het gepruts er voor niets in heb gezet)
Iets te vroeg gejuigd, ipv4 en TV werken, IPV6 werkt even. Het lijkt erop dat ik mân access list net even iets te goed dicht heb gezet. Als ik de configuratie opnieuw laad dan werkt ipv6 razend snel, maar het lijkt erop dat ik een renew oid niet binnen krijg vanwege mân access list.
Edit: gevonden, udp:546 werd niet doorgelaten⊠daar komt de renew op binnen.
Ok, mijn configuratie is gebaseerd op deze voorbeeld configuratie en heeft naast ipv4 en 6 ook IPTV werkend. Dit zijn de (volgens mij) cruciale delen van de configuratie. Hierbij vond ik access lists cruciaal, daar ik gedeeltelijk verkeer (web en avanf mân VMs email en ssh) naar binnen toe wil staan.
Gi0-3 zijn de poorten op het switch deel, gi4 is de losse poort die ik voor uplink gebruik. In mijn configuratie heb ik de IP adressen op de VLANs zitten en alles hard gezet. (geen DHCP/RA/âŠ) Daar kan nog de uitdaging die ik heb (websites reageren soms traag, alsof IPv6 niet geheel correct werkt, SSH en ping no issues) in zitten.
interface GigabitEthernet0
switchport trunk allowed vlan 1,2,<internal vlans>,1002-1005
switchport mode trunk
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
ip flow ingress
duplex auto
speed auto
!
interface GigabitEthernet4.4
encapsulation dot1Q 4
ip dhcp client client-id ascii IPTV_RG
ip address dhcp
ip nat outside
ip virtual-reassembly in
ip igmp explicit-tracking
ip igmp unidirectional-link
!
interface GigabitEthernet4.6
encapsulation dot1Q 6
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-client ppp-max-payload 1492
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group Freedom-inbound-v4 in
ip access-group Freedom-outbound-v4 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 dhcp client pd ISP_PREFIX
ipv6 verify unicast reverse-path
ipv6 traffic-filter Freedom-inbound-v6 in
ipv6 traffic-filter Freedom-outbound-v6 out
ppp authentication pap chap callin
ppp chap hostname fake@freedom.nl
ppp chap password 7 101F5B4A51
ppp pap sent-username fake@freedom.nl password 7 091D1C5A4D
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
! Not sure if needed
ip forward-protocol nd
!
! Set NAT for internet (NAT) and TV (NAT_TV)
no ip nat service dns-reset-ttl
ip nat inside source list ACL_NAT interface Dialer1 overload
ip nat inside source list ACL_NAT_TV interface GigabitEthernet4.4 overload
! Default route to internet
ip route 0.0.0.0 0.0.0.0 Dialer1
! Allow 10.0.0.0/8 to internet
ip access-list standard ACL_NAT
permit 10.0.0.0 0.255.255.255
! Allow TV vlan to vlan4
ip access-list standard ACL_NAT_TV
permit <TV vlan> 0.0.0.255
!
! Create dinamic access-list based on outgoing connections
! so we can allow related traffic back in
ip access-list extended Freedom-outbound-v4
permit tcp any any reflect RELATED4 timeout 300
permit udp any any reflect RELATED4 timeout 300
permit icmp any any reflect RELATED4 timeout 300
!
ipv6 access-list Freedom-outbound-v6
permit tcp any any reflect RELATED6 timeout 300
permit udp any any reflect RELATED6 timeout 300
permit icmp any any reflect RELATED6 timeout 300
!
! Allow related traffic and ICMP back in
ip access-list extended Freedom-inbound-v4
evaluate RELATED4
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any echo
permit icmp any any time-exceeded
permit icmp any any timestamp-request
permit icmp any any timestamp-reply
!
! for IPv6 permit incoming udp 546 (auto config renew)
ipv6 access-list Freedom-inbound-v6
evaluate RELATED6
permit udp any any eq 546
permit icmp any any destination-unreachable
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any parameter-problem
permit icmp any any echo-request
permit icmp any any echo-reply
Het lijkt erop dat de freedom-inbound access lists deze regel als eerste zouden moeten hebben om tcp antwoord verkeer (sneller) door te laten:
permit tcp any any established
Ik merkte wat uitdagingen met de connectie in een game gisteren, we testen verder.
Overigens is duckduckgo vervelend, de ipv4 only setup van die omgeving levert wat uitdagingen hier. Dat lijkt met meer IPv4 only omgevingen het geval te zijn, hopelijk lost dit het een beetje op en verder zoeken wat de oorzaak kan zijn.
Ok, na wat experimenteren heb ik mân denkfout gevonden. Er gaat geen verkeer vanaf de TV ontvanger vlan4 op, dat is allen verkeer vanaf de router voor de igmp proxy functie. daarmee komt de config nu op de onderstaande uit:
interface GigabitEthernet0
switchport trunk allowed vlan 1,2,<internal vlans>,1002-1005
switchport mode trunk
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
ip flow ingress
duplex auto
speed auto
!
interface GigabitEthernet4.4
encapsulation dot1Q 4
ip dhcp client client-id ascii IPTV_RG
ip address dhcp
ip virtual-reassembly in
ip igmp explicit-tracking
ip igmp unidirectional-link
!
interface GigabitEthernet4.6
encapsulation dot1Q 6
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-client ppp-max-payload 1492
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group Freedom-inbound-v4 in
ip access-group Freedom-outbound-v4 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 dhcp client pd ISP_PREFIX
ipv6 verify unicast reverse-path
ipv6 traffic-filter Freedom-inbound-v6 in
ipv6 traffic-filter Freedom-outbound-v6 out
ppp authentication pap chap callin
ppp chap hostname fake@freedom.nl
ppp chap password 7 101F5B4A51
ppp pap sent-username fake@freedom.nl password 7 091D1C5A4D
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
! Not sure if needed
ip forward-protocol nd
!
! Set NAT for internet (NAT) and TV (NAT_TV)
no ip nat service dns-reset-ttl
ip nat inside source list ACL_NAT interface Dialer1 overload
!
! Default route to internet
ip route 0.0.0.0 0.0.0.0 Dialer1
!
! Allow 10.0.0.0/8 to internet
ip access-list standard ACL_NAT
permit 10.0.0.0 0.255.255.255
!
! Create dynamic access-list based on outgoing connections
! so we can allow related traffic back in
ip access-list extended Freedom-outbound-v4
permit tcp any any reflect RELATED4 timeout 300
permit udp any any reflect RELATED4 timeout 300
permit icmp any any reflect RELATED4 timeout 300
!
ipv6 access-list Freedom-outbound-v6
permit tcp any any reflect RELATED6 timeout 300
permit udp any any reflect RELATED6 timeout 300
permit icmp any any reflect RELATED6 timeout 300
!
! Allow related traffic and ICMP back in
ip access-list extended Freedom-inbound-v4
permit tcp any any established
evaluate RELATED4
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any echo
permit icmp any any time-exceeded
permit icmp any any timestamp-request
permit icmp any any timestamp-reply
!
! for IPv6 permit incoming udp 546 (auto config renew)
ipv6 access-list Freedom-inbound-v6
permit tcp any any established
evaluate RELATED6
permit udp any any eq 546
permit icmp any any destination-unreachable
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any parameter-problem
permit icmp any any echo-request
permit icmp any any echo-reply
Hiermee werkt alles naar wens.
Mooi werk 
Toch twee opmerkingen,
De ppp-max-payload van 1492 geldt alleen voor Fiber Crew klanten met ZTE ONTs. Alle andere klanten kunnen gewoon 1500 bytes doen.
We doen geen CHAP. We gebruiken de verplichte username/password login in niet en PAP is sneller. Heel in het begin deden de BRASsen van Cambrium alleen maar CHAP. Maar dat was lang geleden.
Bedankt, ik ben nog aan het vechten met mss clamping, ergens is ie soms niet blij
Nu echt de oplossing, incl mss clamping en zonder de overbodige chap.
Opmerkingen:
interface GigabitEthernet0
switchport trunk allowed vlan 1,2,<internal vlans>,1002-1005
switchport mode trunk
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
no ip address
!
interface GigabitEthernet4
no ip address
ip flow ingress
duplex auto
speed auto
!
interface GigabitEthernet4.4
encapsulation dot1Q 4
ip dhcp client client-id ascii IPTV_RG
ip address dhcp
ip virtual-reassembly in
ip igmp explicit-tracking
ip igmp unidirectional-link
!
interface GigabitEthernet4.6
encapsulation dot1Q 6
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-client ppp-max-payload 1492
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group Freedom-inbound-v4 in
ip access-group Freedom-outbound-v4 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer idle-timeout 0
dialer-group 1
no cdp enable
ipv6 address autoconfig default
ipv6 enable
ipv6 tcp adjust-mss 1424
ipv6 dhcp client pd ISP_PREFIX
ipv6 verify unicast reverse-path
ipv6 traffic-filter Freedom-inbound-v6 in
ipv6 traffic-filter Freedom-outbound-v6 out
ppp authentication pap callin
ppp pap sent-username fake@freedom.nl password 7 091D1C5A4D
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
! Not sure if needed
ip forward-protocol nd
!
! Set NAT for internet (NAT) and TV (NAT_TV)
no ip nat service dns-reset-ttl
ip nat inside source list ACL_NAT interface Dialer1 overload
!
! Default route to internet
ip route 0.0.0.0 0.0.0.0 Dialer1
!
! Allow 10.0.0.0/8 to internet
ip access-list standard ACL_NAT
permit 10.0.0.0 0.255.255.255
!
! Create dynamic access-list based on outgoing connections
! so we can allow related traffic back in
ip access-list extended Freedom-outbound-v4
permit tcp any any reflect RELATED4 timeout 300
permit udp any any reflect RELATED4 timeout 300
permit icmp any any reflect RELATED4 timeout 300
!
ipv6 access-list Freedom-outbound-v6
permit tcp any any reflect RELATED6 timeout 300
permit udp any any reflect RELATED6 timeout 300
permit icmp any any reflect RELATED6 timeout 300
!
! Allow related traffic and ICMP back in
ip access-list extended Freedom-inbound-v4
permit tcp any any established
evaluate RELATED4
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any echo
permit icmp any any time-exceeded
permit icmp any any timestamp-request
permit icmp any any timestamp-reply
!
! for IPv6 permit incoming udp 546 (auto config renew)
ipv6 access-list Freedom-inbound-v6
permit tcp any any established
evaluate RELATED6
permit udp any any eq 546
permit icmp any any destination-unreachable
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any parameter-problem
permit icmp any any echo-request
permit icmp any any echo-reply
Het is de ZTE ONT die de MTU beperkt en die kan ook niets anders. Fiber Crew klanten met Huawei ONTs krijgen wél de volle 1500 octetten.
Je hebt er nog twee overbodige ppp chap statements in staan
Hmmm, is de ZTE om te wisselen met een Huawei ONT?
Ik kon de post nog editen, dus zijn ze verwijderd.
Geen idee. Dat jaagt ons natuurlijk wel op kosten. Ik ook met mân grote mond 
Maar vraag het in een mail aan de helpdesk Verwacht geen spoedig antwoord want ik vermoed dat dergelijke vragen onderaan de stapel komen.
Kosten kun je doorberekenen. (de cisco was ook niet gratis) Evt een typenummer dat jullie gebruiken is ook goed. Alternatieven kosten ook geld en iets dat bekend en ondersteund is bij jullie is dan handiger.
Ik heb geen haast, het werkt, maar minder complex is wel handig. Ticket 92351630 is aangemaakt. Alvast een veilige jaarwisseling en goed nieuw jaar gewenst.
Volgens mij gebruiken ze ook Huawei EG8010H ONTs. Het staat je natuurlijk vrij om zoiets zelf aan te schaffen.
Het GPON-ID moet natuurlijk wel worden geregistreerd voordat het werkt. Het ID van de ZTE erin zetten gaat je niet helpen omdat een regex daarop bepaald of Fiber Crew je op het 1492 of 1500 byte VLAN bij ons aflevert.