ACL verursacht WAN hänger
Hallo zusammen,
könnt Ihr euch mal bitte diese ACL ansehen. Ist für das WAN Interface eines Cisco 1812.
Lan Ip-Netz ist die 192.168.100.0. (WAN Interface IP Adresse ist xx.xx.xx.170, LAN IP Adresse ist 192.168.100.170)
Sobald ich die ACL dem öffentlichen Interface nicht mehr zuordne klappt der Zugriff auf das Internet.
Die ACL habe ich über das SDM erzeugt.
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 80.69.100.174 eq domain host xx.xx.xx.170
access-list 101 permit udp host 8.8.8.8 eq domain host xx.xx.xx.170
access-list 101 permit icmp any host xx.xx.xx.170 echo-reply
access-list 101 permit icmp any host xx.xx.xx.170 time-exceeded
access-list 101 permit icmp any host xx.xx.xx.170 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
Beste Grüße
könnt Ihr euch mal bitte diese ACL ansehen. Ist für das WAN Interface eines Cisco 1812.
Lan Ip-Netz ist die 192.168.100.0. (WAN Interface IP Adresse ist xx.xx.xx.170, LAN IP Adresse ist 192.168.100.170)
Sobald ich die ACL dem öffentlichen Interface nicht mehr zuordne klappt der Zugriff auf das Internet.
Die ACL habe ich über das SDM erzeugt.
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 80.69.100.174 eq domain host xx.xx.xx.170
access-list 101 permit udp host 8.8.8.8 eq domain host xx.xx.xx.170
access-list 101 permit icmp any host xx.xx.xx.170 echo-reply
access-list 101 permit icmp any host xx.xx.xx.170 time-exceeded
access-list 101 permit icmp any host xx.xx.xx.170 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log
Beste Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206439
Url: https://administrator.de/contentid/206439
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
auch wenn das nicht deine vollständige Konfig ist, wenn du nur diese ACL auf dem externen Interface hast, werden schlicht alle Antworten geblockt.
Nutze die ip inspect Funktion. Damit aktivierst du die stateful packet inspection, gerade in Kombination mit NAT sinnvoll.
in global Config z.B.:
ip inspect name Internet ftp
ip inspect name Internet dns
ip inspect name Internet tcp router-traffic
ip inspect name Internet udp router-traffic
ip inspect name Internet icmp router-traffic
auf dem WAN-Interface
ip inspect Internet out
Gruß,
Schorsch
P.S.
eigentlich hätte das SDM diese auch anlegen müssen.
auch wenn das nicht deine vollständige Konfig ist, wenn du nur diese ACL auf dem externen Interface hast, werden schlicht alle Antworten geblockt.
Nutze die ip inspect Funktion. Damit aktivierst du die stateful packet inspection, gerade in Kombination mit NAT sinnvoll.
in global Config z.B.:
ip inspect name Internet ftp
ip inspect name Internet dns
ip inspect name Internet tcp router-traffic
ip inspect name Internet udp router-traffic
ip inspect name Internet icmp router-traffic
auf dem WAN-Interface
ip inspect Internet out
Gruß,
Schorsch
P.S.
eigentlich hätte das SDM diese auch anlegen müssen.
Das wichtigste hast du uns nicht mitgeteilt nämlich ob die ACL inbound oder outbound am Interface hängt !
Wie man es richtig macht erklärt dir dieses Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Und so ein Mist wie SDM sollte man besser vergessen. "Real man do CLI..."!
Wie man es richtig macht erklärt dir dieses Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Und so ein Mist wie SDM sollte man besser vergessen. "Real man do CLI..."!