WICHTIGER HINWEIS: Bei Laborversuchen hat sich herausgestellt, dass die Reihenfolge der Inbetriebnahme der einzelnen Komponenten einen Einfluss auf die Stabilität der gesamten Verbindung hat. Werden die einzelnen Komponenten in einer anderen Reihenfolge als hier beschrieben in Betrieb genommen, kann es funktionieren, muss es aber nicht.

Reihenfolge:

1. DSLAM
2. BRAS
3. Fritz!Box

Es soll folgendes Szenario entstehen. Dabei wird entweder ein DSL-Modem und ein PC als PPPoE-Client verwendet oder eine FritzBox als PPPoE-Client. Das nächste Bild zeigt den logischen Aufbau.

Die Geräte können allerdings nicht unmittelbar zusammengeschaltet werden. Insbesondere der DSLAM erfordert die korrekte Verschaltung. Das nächste Bild zeigt dies. Um die Strecke besser untersuchen zu können empfiehlt es sich einzelne Ethernet-Verbindungen über Hubs zu führen und dort mit einem weiteren PC mittels Wireshark die Analyse zu staren. HINWEIS: Als Filter eignet sich pppoed || ppp um sowohl den PPPoE-Traffic als auch die anschießende Authentifizierung mittels PPP zu sehen (s.u.).

Auf dem PC kann mittels pppoeconf bzw. über den Netzwerkmanager eine DSL-Verbindung eingerichtet werden. Die hier benötigten Zugangsdaten (Benutzername/Passwort) müssen zuvor auf dem BRAS eingerichtet werden.

Die Konfiguration der FritzBox kann im Browser über fritz.box erreicht werden. Allerdings muss hierzu das Interface, mit dem der PC an der FritzBox angeschlossen ist auf DHCP (IP-Adresse automatisch beziehen) konfiguriert werden. Da die Default-Schnittstellen nicht bearbeitet werden können, sollte man eine neue Verbindung über den Netzwerkmanager hinzufügen. Ggf. muss der Proxy im Browser deaktiviert werden (Bearbeiten → Einstellungen → Erweitert → Netzwerk → Verbindungen → Einstellungen).

TIP: Unter der URL http://fritz.box/html/capture.html kann man auf der FritzBox die netzseitigen Nachrichten aufzeichnen und als Wireshark-Datei abspeichern. An diese Nachrichten gelangt man ansonsten nur mit sehr teuren DSL-Analyzern.

Im Schnelleinstieg-Handbuch wird die Verkabelung dargestellt.

Da wir als Uplink ins Internet (sprich Verbindung zum BRAS) kein LWL¹⁾ verwenden, muss als Uplink der Port G5 oder G6 benutzt werden. Weiterhin muss per Kommandozeile (telnet) der entsprechende Anschluss als Uplink konfiguriert werden.

Intern wird der Uplink-Port auch als INBAND und der Management-Port als OUTBAND bezeichnet.

Übersicht über die vorhandenen Ports:

Zur einfacheren Konfiguration kann eine telnet-Verbindung genutzt werden. Diese wird über ein Terminal mit dem folgenden Befehl geöffnet:

telnet 172.16.1.1

Standard-Zugangsdaten (BITTE NICHT ÄNDERN!)

Wie im Bild oben beschrieben, kann die G5- bzw. G6-Schnittstelle als UPLINK eingerichtet werden. Dies geschieht mit folgenden Befehl:

Admin/system uplink G5 up

Mit dem folgenden Befehl kann der Status der Ports überprüft werden:

Admin/system uplink status

Zur Änderung der IP-Adresse für die G5- bzw. G6-Schnittstellen²⁾ kann folgender Befehl verwendet werden:

Admin/network inband <IP-ADDRESS> <NETMASK>

Der Status der Schnittstelle kann mit dem folgenden Befehl angezeigt werden:

Admin/network inband -s

Auf dem DSLAM kann per Webfront die Übertragungsrate sowie die Verbindung zum BRAS eingrichtet werden. Handbücher zum Draytek Vigor A24M: Download-Seite. Die Management-Oberflächen lassen sich über den MGN³⁾-Port erreichen. Ggf. muss der Proxy im Browser deaktiviert werden (Bearbeiten → Einstellungen → Erweitert → Netzwerk → Verbindungen → Einstellungen).

Standard-Zugangsdaten (BITTE NICHT ÄNDERN!)

Admin-Oberfläche (Basiskonfiguration):

 172.16.1.1 

DSL-Oberfläche (DSL-Parameter der einzelnen Anschlüsse)

 172.16.1.1:8800 

Ein weiteres Handbuch (allerdings von einem anderen Gerät) enthält eine Beschreibung der Weboberfläche: Handbuch von A48M

Hier werden die Benutzerprofile (Benutzername/Passwort) eingerichtet, die vom PPPoE-Client für die Authentisierung benötigt werden. Als BRAS wird der MikroTik-Server eingesetzt, indem dieser in einer virtuellen Maschine angelegt wird.

HINWEIS: Wenn mit virtuellen Maschinen gearbeitet wird, dann sind die notwendigen Anpassungen auf jeden Fall zu berücksichtigen. Ansonsten wird die Anwendung u.U. nicht funktionieren.

Das CD-Image für die Installation lässt sich hier runterladen. Das Image lautet mikrotik-X.XX.iso wobei X.XX die Version angibt z.B. mikrotik-6.15.iso. In der Dokumentation des MikroTik-Servers befindet sich eine Beispiel-Konfiguration für ein Client-Server System. Hier wird allerdings davon ausgegangen, dass der MikroTik-Server als Server UND als Client eingesetzt wird. Für diese Labor-Übung wird eigentlich nur die Server-Konfiguration benötigt.

Ein sehr engagierte Gruppe hat diese Dokumentation erstellt, die viele Screenshots enthält. Vielen Dank dafür!

Der MikroTik Router wird als ISO-Image für x86^⁴⁾ in eine neue VM⁵⁾ eingebunden. Die Maschine sollte mit den folgenden Parametern problemlos laufen:

• Linux → Other Linux (32Bit)
• 1024 MB RAM
• 2 GB Festplatte (dynamisch)
• 2 Netzwerkschnittstellen, falls hinter dem BRAS weitergeroutet werden soll

Bei der Installation wird man nach Paketen gefragt. Folgende Pakete sollten ausgewählt werden:

• system
• ppp
• dhcp
• advanced tools (optional)
• ipv6 (optional)
• routing
• security (optional)
• user-manager

Die Installation wird durch i⁶⁾ gestartet. Anschließend muss man nochmals bestätigen, dass der Vorgang alles löscht. Die Software geht von einer englischen Tastatur aus, das bedeutet es muss z eingegeben werden, um die Installation zu starten.

Nach der erfolgreichen Installation wird das System neugestartet. HINWEIS: Das CDROM-Image muss entfernt werden, da ansonsten immer von diesem gestartet wird.

Standard-Zugangsdaten (BITTE NICHT ÄNDERN!)

Einrichten der IP-Adresse des MikroTik über die Konsole (die IP-Adresse ist anzupassen)

 ip address add address=172.16.1.100/16 interface=ether1

Mit dem folgenden Befehl lässt sich die IP-Adresse überprüfen:

 ip address print 

Die MAC-Adresse lässt sich mit dem folgenden Befehl anzeigen:⁹⁾

interface ethernet print 

Im Firefox muss der Proxy unter Bearbeiten → Einstellungen → Erweitert → Netzwerk → Verbindungen → Einstellungen deaktiviert werden oder das verwendete Netz im unteren Bereich in die Ausnahmenliste aufgenommen.

WICHTIG: Damit die Verbindung zu den VMs genutzt werden kann, muss die physikalische Schnittstelle (gelb bzw. blau) aktiv sein. Dh. man muss sie mit einem Switch oder Hub verbinden, damit der Link aktiv ist. Andernfalls kann man trotz korrekter Konfiguration keinen ping absetzen oder auf das Webfrontend zugreifen.

Das Webfrontend kann dann über den Browser unter der oben konfigurierten IP erreicht werden. Hier ist das Handbuch zum Webfrontend zu finden: MikroTik-Webfig-Handbuch

PPP → PPPoE Servers → Add new

• Namen wählen
• interface → ether1
• evtl. noch one session per Host aktivieren
• Rest auf Default belassen

PPP → Secrets → Add new

• Namen wählen
• Passwort vergeben
• Service → pppoe auswählen
• local address → BRAS Adresse für die Modem-Strecke einstellen ¹⁰⁾
• remote address → IP-Adresse, die der PPPoE-Client erhält ¹¹⁾

Der Status der Verbindung kann unter PPP → Active Connections → User auswählen überprüft werden. Hier kann zusätzlich noch ein Ping abgesetzt werden.

Auf der Console kann man über den Befehl system backup save die Konfiguration abspeichern.

OFFEN: Wie kann man die Konfiguration aus dem Router transferieren?

In vielen großen Umgebungen wird für die Authentifizierung ein zusätzlicher Radius-Server verwendet. Dabei fragt der BRAS als RADIUS-Client an diesem Server an, ob die erhaltenen User-Informationen korrekt sind. Um dieses System nutzen zu können muss der BRAS entsprechend konfiguriert werden. Weiterhin wird ein RADIUS-Server benötigt z.B. freeradius. Die Basis-Konfiguration kann hier nachgeschlagen werden.

Ungetestet: Howto Installation eines PPPoE-Servers unter Ubuntu.

Im Folgenden ist ein Wireshark-Capture abgelegt, in dem man insgesamt drei Verbindungsaufbauversuche sehen kann. Die ersten beiden Versuche schlagen fehl, weil der zuerst antwortende BRAS1 (Marcel/ MAC=00:00:00:00:00:00:01) den Nutzer nicht kennt (s. PAP).

Im letzten Versuch ist die Anmeldung erfolgreich, denn der zweite BRAS2 (Mikrotek/ MAC=Cadmus) kennt den Nutzer. Zunächst wird allerdings die Authentifizierungsmethode (CHAP mit MD5) ausgehandelt. Die Methoden MS-CHAP und MS-CHAP-v2 werden von der Fritz!Box nicht akzeptiert.

BRAS1: 00:00:00:00:00:01

BRAS2: Cadmus

DSL-Router: AVM

pppoe_mit_zwei_bras.zip

Oberes Diagramm:

Die hellgelb gekennzeichneten Bereiche zeigen das Signal/Rauschverhältnis (SNR) in dB. Je größer der Wert ist, umso besser ist der Bereich.

Unteres Diagramm:

Die grünen Bereiche zeigen den Upload. Die blauen Bereich den Download. Hier ist sehr schön zu sehen, dass auch der untere Freuqenzbereich für VDSL genutzt wird, da kein klassischer ISDN/analog-Anschluss bereitgestellt wird. Die Telefonie wird über VoIP innerhalb des DSL-Bereichs betrieben.