16
ACLs Cisco SG250
Hallo,
ich habe mein Heimnetz in 4 VLANs aufgeteilt:
VLAN 1: da hängt die Fritzbox und verbindet sich zum Internet (10.0.0.0/24)
VLAN 10: Lan/Wlan allgemein (10.0.10.0/24)
VLAN 20: Heimautomatisierung/IoT (10.0.20.0/24)
VLAN 30: Gäste(W)Lan (10.0.30.0/24)
Das Routing zwischen den Vlans übernimmt der SG250 , das funktioniert bereits. Jetzt möchte ich zb Vlan 20 so einschränken dass es nicht ins Internet oder in andere Vlans kommt, ausser zu meinem Fhem-Server im 1er Vlan. (10.0.0.251)-der ist auch gleichzeitig DHCP-Server.
Oder Vlan 30 soll nur ins Internet kommen und auch zum Pihole (ebenfalls 10.0.0.251), für die Namensauflösung bzw DHCP.
Vlan 1 und 10 sollen überall hin kommen.
ich hab jetzt noch ein Verständnisproblem mit den ACLs , wie plane und lege ich die dann an?
zZt hab ich für jedes Vlan eine ACL:
Die ACLs sind immer ans gleichnamige VLAN gebunden.
Das funktioniert auch soweit, wenn auch eventuell nur zufällig(?)
ausser dass ich vom 10er Vlan nicht ins 20er komme.
Was übersehe ich hier, oder ist meine ACL-VLAN-Zuweisung sowieso nicht ideal?
LG & THX
ich habe mein Heimnetz in 4 VLANs aufgeteilt:
VLAN 1: da hängt die Fritzbox und verbindet sich zum Internet (10.0.0.0/24)
VLAN 10: Lan/Wlan allgemein (10.0.10.0/24)
VLAN 20: Heimautomatisierung/IoT (10.0.20.0/24)
VLAN 30: Gäste(W)Lan (10.0.30.0/24)
Das Routing zwischen den Vlans übernimmt der SG250 , das funktioniert bereits. Jetzt möchte ich zb Vlan 20 so einschränken dass es nicht ins Internet oder in andere Vlans kommt, ausser zu meinem Fhem-Server im 1er Vlan. (10.0.0.251)-der ist auch gleichzeitig DHCP-Server.
Oder Vlan 30 soll nur ins Internet kommen und auch zum Pihole (ebenfalls 10.0.0.251), für die Namensauflösung bzw DHCP.
Vlan 1 und 10 sollen überall hin kommen.
ich hab jetzt noch ein Verständnisproblem mit den ACLs , wie plane und lege ich die dann an?
zZt hab ich für jedes Vlan eine ACL:
ip access-list extended "vlan30"
permit udp any 67-68 any 67-68 ace-priority 50
permit udp any any 10.0.0.251 0.0.0.0 domain ace-priority 60
deny ip 10.0.30.0 0.0.0.255 10.0.0.0 0.0.255.255 ace-priority 70
exit
ip access-list extended "vlan10"
permit udp any any any 67-68 ace-priority 40
permit ip 10.0.10.0 0.0.0.255 any ace-priority 50
exit
ip access-list extended "vlan20"
permit udp any any any 67-68 ace-priority 60
permit ip 10.0.20.0 0.0.0.255 10.0.0.251 0.0.0.0 ace-priority 70
permit ip 10.0.10.0 0.0.0.255 any ace-priority 80
exit
ip access-list extended "vlan1"
permit ip 10.0.0.0 0.0.0.255 any ace-priority 1
exit
interface vlan 10
name LAN
ip address 10.0.10.1 255.255.255.0
ip dhcp relay enable
service-acl input "vlan10"
!
interface vlan 20
name IoT
ip address 10.0.20.1 255.255.255.0
ip dhcp relay enable
service-acl input "vlan20"
!
interface vlan 30
name GUEST
ip address 10.0.30.1 255.255.255.0
ip dhcp relay enable
service-acl input "vlan30" default-action permit-any
!Die ACLs sind immer ans gleichnamige VLAN gebunden.
Das funktioniert auch soweit, wenn auch eventuell nur zufällig(?)
ausser dass ich vom 10er Vlan nicht ins 20er komme.
Was übersehe ich hier, oder ist meine ACL-VLAN-Zuweisung sowieso nicht ideal?
LG & THX
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 663192
Url: https://administrator.de/forum/acls-cisco-sg250-663192.html
Ausgedruckt am: 21.04.2025 um 13:04 Uhr
16 Kommentare
Neuester Kommentar
ich vermute du hast es durch ping geprüft ? bedenke dass es dann auch einen Rückweg (für die Antwort) geben muss also vom 20er ins 10er Vlan und da ist eingehend nur das 10er Netz erlaubt.
Hi , danke für deine Antwort,
ja hab ich, sowohl mit Ping als auch mit dem Browser überprüft ( sind großteils Tasmota-Steckdosen).
Beides geht nicht, ausserdem hab ich jetzt mal die VLAN10 ACL ganz weggenommen und ich komme immer noch nicht ins 20er-Vlan. Weder Ping noch Browser.
Erst wenn ich die VLAN20-ACL vom Vlan entferne komm ich wieder rüber..
( auch mit aktivierter VLAN10-ACL).
ja hab ich, sowohl mit Ping als auch mit dem Browser überprüft ( sind großteils Tasmota-Steckdosen).
Beides geht nicht, ausserdem hab ich jetzt mal die VLAN10 ACL ganz weggenommen und ich komme immer noch nicht ins 20er-Vlan. Weder Ping noch Browser.
Erst wenn ich die VLAN20-ACL vom Vlan entferne komm ich wieder rüber..
( auch mit aktivierter VLAN10-ACL).
versuch mal das
permit ip 10.0.10.0 0.0.0.255 any ace-priority 80
in ein
permit 10.0.10.0 0.0.0.255 any ace-priority 80
zu ändern
nicht dass du ein anderes Protokoll verwendest (TCP)
permit ip 10.0.10.0 0.0.0.255 any ace-priority 80
in ein
permit 10.0.10.0 0.0.0.255 any ace-priority 80
zu ändern
nicht dass du ein anderes Protokoll verwendest (TCP)
das frisst er leider nicht..
Ip sollte aber eh alles abdecken oder?
% missing mandatory parameterIp sollte aber eh alles abdecken oder?
ip Specify for any Internet Protocol.
Was mir jetzt noch aufgefallen ist, aus vlan 1 ( 10.0.0.0/24) komm ich auch nicht ins 20er-Vlan , ausser von 10.0.0.251 aus.
Irgendwas habe ich da glaube ich noch überhaupt nicht verstanden...
Irgendwas habe ich da glaube ich noch überhaupt nicht verstanden...
Naja deine ACL erlaubt es ja auch nicht
Die ACL die ins vlan 20 eingehend greift erlaubt ja nur jeglichen udp Verkehr
Traffic aus dem 20er Netz zur .251
Und Traffic aus dem 10er Netz
Der Traffic aus dem 1er Netz wird demnach geblockt
Die ACL die ins vlan 20 eingehend greift erlaubt ja nur jeglichen udp Verkehr
Traffic aus dem 20er Netz zur .251
Und Traffic aus dem 10er Netz
Der Traffic aus dem 1er Netz wird demnach geblockt
aber wie muss die ACL Dann aussehen wenn ich:
vom 10er und 1er Vlan ins 20er überall hin kommen will
aber vom 20er vlan nur zu 10.0.0.251 (vlan1) ?
oder geht das so überhaupt nicht?
Ich steh da irgendwie aufn Schaluch..
vom 10er und 1er Vlan ins 20er überall hin kommen will
aber vom 20er vlan nur zu 10.0.0.251 (vlan1) ?
oder geht das so überhaupt nicht?
Ich steh da irgendwie aufn Schaluch..
Leider kann ich es daheim erst morgen nachstellen daher kann ich es nich genau prüfen aber ich würde sagen wenn du von 10er und 1er netz ins 20er überall willst muss die acl für das 20er in etwa so aussehen
für die regel von 20er weg nur zu .251 wäre es in etwa so
die Acls sind ja immer aufgebaut
Aktion ->Protokoll->Absender -> ziel-> Nummer
Danach wird die ACL ans interface gebunden hierbei nutzt man meist eher eingehend
daher musst du gucken von wo nach wo der traffic geht und dann eingehend filtern
ip access-list extended "vlan20"
permit ip 10.0.10.0 0.0.0.255 any ace-priority 100
permit ip 10.0.0.0 0.0.0.255 any ace-priority 110
interface vlan 20
name IoT
ip address 10.0.20.1 255.255.255.0
ip dhcp relay enable
service-acl input "vlan20" für die regel von 20er weg nur zu .251 wäre es in etwa so
ip access-list extended "vlan1"
permit ip 10.0.20.0 0.0.0.255 host 10.0.0.251 ace-priority 100
interface vlan 1
name XXX
ip address 10.0.0.X 255.255.255.0
service-acl input "vlan1" die Acls sind ja immer aufgebaut
Aktion ->Protokoll->Absender -> ziel-> Nummer
Danach wird die ACL ans interface gebunden hierbei nutzt man meist eher eingehend
daher musst du gucken von wo nach wo der traffic geht und dann eingehend filtern
genauso hätte ich es auch verstanden aber das funktioniert nicht.
wenn ich es so mache, bekomme ich weder im 20er noch im 10er Vlan eine IP zugewiesen.
Ich hab jetzt gesehen dass es eine neue Firmware für den Switch gibt und diese auch gleich aktualisiert, allerdings hat das nix geändert..
wenn ich es so mache, bekomme ich weder im 20er noch im 10er Vlan eine IP zugewiesen.
Ich hab jetzt gesehen dass es eine neue Firmware für den Switch gibt und diese auch gleich aktualisiert, allerdings hat das nix geändert..
Wenn du bis morgen warten kannst werde ich es an einem SG 300 (250 hab ich keinen ) mal testen und dir die entsprechende config senden
Ja so dringend is es nicht.
Wenn du Zeit hättest , wär das super
Wenn du Zeit hättest , wär das super
gerade noch einmal gelesen
könntest du mir eine einfache netzübersicht geben (als Zeichnung)
könntest du mir eine einfache netzübersicht geben (als Zeichnung)
Hallo,
bittesehr. Reicht das so?
bittesehr. Reicht das so?
ja wenn ich keine acls definiert habe, komme ich von jedem vlan in jedes vlan
Also ich habe es endlich geschafft mich damit auseinder zu setzten
und vollkommen hat es mich fast zum verzweifeln gebracht
aber hier jetzt meine Ansätze (alles habe ich nicht 1zu1 nachgebaut)
10er
20er
1er
zum Verständniss in und out da habe ich mich schwer getan
in -> wird vor dem routing gemacht
out -> nach dem routing
in deinem Fall musst du also wenn du vom 10er zum 20er Vlan willst entweder auf dem Vlan 10 in machen oder beim Vlan 20 out
10er Netz.........................................................20er Netz
in----routing---out
>| Switch |------------->
permit udp any eq bootpc any eq bootps--> wird benötigt damit der Client eine IP vom DHCP beziehen kann
und vollkommen hat es mich fast zum verzweifeln gebracht
aber hier jetzt meine Ansätze (alles habe ich nicht 1zu1 nachgebaut)
interface Vlan10
mac-address XXXX
ip address 10.0.10.1 255.255.255.0
ip helper-address 10.0.0.125
ip access-group 10er in10er
#10zu20
permit ip 10.0.10.0 0.0.0.255 10.0.20.0 0.0.0.255
#dhcp
permit udp any eq bootpc any eq bootps20er
#nur zu dhcp(andere ip)
permit ip 10.0.20.0 0.0.0.255 host 10.0.0.125
#dhcp
permit udp any eq bootpc any eq bootps#1zu20
permit ip 10.0.0.0 0.0.0.255 10.0.20.0 0.0.0.255
#dhcp
permit udp any eq bootpc any eq bootpszum Verständniss in und out da habe ich mich schwer getan
in -> wird vor dem routing gemacht
out -> nach dem routing
in deinem Fall musst du also wenn du vom 10er zum 20er Vlan willst entweder auf dem Vlan 10 in machen oder beim Vlan 20 out
10er Netz.........................................................20er Netz
in----routing---out
>| Switch |------------->
permit udp any eq bootpc any eq bootps--> wird benötigt damit der Client eine IP vom DHCP beziehen kann
