90948
Mar 05, 2015
5061
3
0
Cisco 2811 holt sich keine DCHP Adresse am FastEthernet interface
Hi,
wir haben einen Cisco 2811 Router bei dem ich ein Interface für einen Internet Zugang einrichten muss. Das Interface ist wie folgt konfiguriert:
interface FastEthernet0/0
description Connection to Level421
mac-address 0023.04f4.b4aa
ip address dhcp
ip access-group internet_ulm in
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_10
...
ip inspect name fw tcp
ip inspect name fw udp
ip inspect name fw icmp
ip inspect name fw http
ip inspect name fw dns
...
ip access-list extended internet_ulm
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any
Nach der ersten Konfiguration mit den obigen Einstellungen holte der Switch sich eine Adresse vom DHCP Server, jedoch nach dem Trennen und wieder verbinden des Interfaces funktioniert es nicht mehr. Da ich nicht genug Erfahrung mit Cisco habe hoffe ich dass ihr mir helfen könnt.
Gruß
Reini
wir haben einen Cisco 2811 Router bei dem ich ein Interface für einen Internet Zugang einrichten muss. Das Interface ist wie folgt konfiguriert:
interface FastEthernet0/0
description Connection to Level421
mac-address 0023.04f4.b4aa
ip address dhcp
ip access-group internet_ulm in
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_10
...
ip inspect name fw tcp
ip inspect name fw udp
ip inspect name fw icmp
ip inspect name fw http
ip inspect name fw dns
...
ip access-list extended internet_ulm
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any
Nach der ersten Konfiguration mit den obigen Einstellungen holte der Switch sich eine Adresse vom DHCP Server, jedoch nach dem Trennen und wieder verbinden des Interfaces funktioniert es nicht mehr. Da ich nicht genug Erfahrung mit Cisco habe hoffe ich dass ihr mir helfen könnt.
Gruß
Reini
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265293
Url: https://administrator.de/contentid/265293
Printed on: April 19, 2024 at 15:04 o'clock
3 Comments
Latest comment
Dein Problem ist einfach zu lösen und mit ein wenig Nachdenken, auch ohne Erfahrung, wärst du auch sicher selber drauf gekommen, denn man muss sich nur mal vorstellen wie die Pakete auf dem Interface laufen !
Der Schlüssel liegt in der Access Liste ip access-list extended internet_ulm
Hier MÜSSEN ja DHCP Pakete inbound passieren dürfen was du aber nicht erlaubt hast !! DHCP schickt den Request mit UDP 68 raus und bekommt einen UDP 67 als Reply, der aber in deiner ACL hängen bleibt, da du da einzig nur IPsec Pakete passieren lässt.
Hättest du auch sofort gesehen wenn du die ACL mal mit dem Cisco CLI Debugger debug xyz hättest laufen lassen...
Folglich also iss dort nix mit DHCP, denn deine ACL internet_ulm blockt diese eingehenden DHCP Antwort Pakete vom DHCP Server.
Richtig muss die also lauten:
ip access-list extended internet_ulm
permit udp any any eq bootpc
permit udp any any eq bootps
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any
bootpc = Bootstrap Protocol (BOOTP) client (68)
bootps = Bootstrap Protocol (BOOTP) server (67)
Vermutlich reicht nur bootps, denn es muss eigentlich nur die DHCP Antwort (UDP 67) vom Server passieren.
Probiers aus aber das fixt ganz sicher das Problem
Siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Der Schlüssel liegt in der Access Liste ip access-list extended internet_ulm
Hier MÜSSEN ja DHCP Pakete inbound passieren dürfen was du aber nicht erlaubt hast !! DHCP schickt den Request mit UDP 68 raus und bekommt einen UDP 67 als Reply, der aber in deiner ACL hängen bleibt, da du da einzig nur IPsec Pakete passieren lässt.
Hättest du auch sofort gesehen wenn du die ACL mal mit dem Cisco CLI Debugger debug xyz hättest laufen lassen...
Folglich also iss dort nix mit DHCP, denn deine ACL internet_ulm blockt diese eingehenden DHCP Antwort Pakete vom DHCP Server.
Richtig muss die also lauten:
ip access-list extended internet_ulm
permit udp any any eq bootpc
permit udp any any eq bootps
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any
bootpc = Bootstrap Protocol (BOOTP) client (68)
bootps = Bootstrap Protocol (BOOTP) server (67)
Vermutlich reicht nur bootps, denn es muss eigentlich nur die DHCP Antwort (UDP 67) vom Server passieren.
Probiers aus aber das fixt ganz sicher das Problem
Siehe auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Manchmal sieht man den Wald vor lauter Bäumen nicht.
Vielen dank hat funktioniert
Vielen dank hat funktioniert
...immer gerne wieder 
