ozer
22.02.2016, aktualisiert um 17:03:02 Uhr
view1724
view6
0
Goto Top

Cisco 1812 Vlan1 kein Zugriff ausserhalb des Routers

gelöstFrageNetzwerkeRouter, Routing
Hallo zusammen,

ich habe ein kleines Problem.

Ich nutze ein Cisco 1812 version 15.1 und habe aktuell ein funktionierendes Netz.
Interface0 hat eine lokale IP. angeschlossen ist ein Switch mit meinen lokalen Benutzern. (192.168.100.0)
An Interface1 ist mein Modem angeschlossen mit der öffentlichen IP.
Nat, Firewal etc. funktioniert soweit.

Auf den Ports FI2-9 möchte ich gerne ein Gast Netz errichten. Dazu würde ich das Netz 192.168.99.0 nutzen.
Folgendes habe ich aktuell konfiguriert:

interface FastEthernet0
 ip address 192.168.100.1 255.255.255.0
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 speed auto
 full-duplex
 no cdp enable
!
interface FastEthernet1
 ip address xx.xx.xx.xx 255.255.255.252
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip inspect SDM_HIGH out
 ip virtual-reassembly in
 ip verify unicast reverse-path
 duplex auto
 speed auto
 snmp trap ip verify drop-rate
 no cdp enable

interface Vlan1
 ip address 192.168.99.1 255.255.255.0
 ip access-group 103 in
 ip nat inside 

interface range FastEthernet 2 - 9 (BEFEHL ÜBER CONF T)
  no shutdown                                   (BEFEHL ÜBER CONF T)
  switchport access vlan 1              (BEFEHL ÜBER CONF T)

access-list 100 remark -----------------LAN-----------------------
access-list 100 permit udp host 192.168.100.106 eq 1645 host 192.168.100.111
access-list 100 permit udp host 192.168.100.106 eq 1646 host 192.168.100.111
access-list 100 permit ip any any

access-list 101 remark ------------------WAN------------------
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 deny   ip 192.168.100.0 0.0.0.255 any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit tcp any any established
access-list 101 deny   ip any any log

access-list 100 remark ----------------GAST-----------------------
access-list 100 permit ip any any  (Nur testweise)

access-list 199 remark -------------Internet NAT Service-------------
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.99.0 0.0.0.255 any

ip dhcp excluded-address 192.168.99.1 192.168.99.3
ip dhcp pool vlan1
network 192.168.99.0 255.255.255.0
default-router 192.168.99.1
dns-server 8.8.8.8

Leider habe ich das Problem, dass ich zwar von der Cisco aus einen Ping an die Clients im Vlan1 schicken kann und auch einen positiven response bekomme, jedoch die Clients im Vlan1 keine Verbindung ins Internet bekommen.
Seht ihr noch einen Fehler? Sollte doch eigentlich klappen.???
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 297028

Url: https://administrator.de/contentid/297028

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
108012
108012 22.02.2016 um 17:53:42 Uhr
Goto Top
Hallo

das VLAN1 ist oftmals das default VLAN und dort sind alle Geräte drinnen enthalten bzw. Mitglied!
Kann es eventuell daran liegen? Normaler weise benutzt man so etwas dann eben auch gerne als
Admin VLAN weil eben alle geräte dort Mitglied sind.

Gruß
Dobby
aqui
Lösung aqui 23.02.2016, aktualisiert am 26.02.2016 um 09:03:03 Uhr
Goto Top
Auf den Ports FI2-9 möchte ich gerne ein Gast Netz errichten.
Sieh dir einfach das hiesige Tutorial zum Cisco an dafür:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das hat so eine Gastenetz Konfiguration als Beispiel.
Weitere Infos zum Thema "richtige" Gastenetze mit Captive Portal usw. findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und hier in der Rubrik "Praxisbeispiel":
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Kurzversion deiner Konfig:
Wenn der Cisco Router einen embedded 4 Port Switch hat dann sieht das bei dir mit dem Gastnetz so aus:
(Beispiel hier lokales Netz an Fa0 und Gastnetz an Fa3)
!
interface FastEthernet0
description Lokales LAN
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.1 255.255.255.0
ip nat inside
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 192.168.99.1 255.255.255.0
ip nat inside
!
Fertisch...
ozer
ozer 25.02.2016 aktualisiert um 08:37:20 Uhr
Goto Top
Hallo zusammen,

vielen Dank für die Tipps ich werde es mir am Wochenende anschauen.
@aqui
die config sieht eigentlich logisch aus, ich versteh nur nicht ganz wie in deinem Beispiel die Zuordnung zwischen FE0 und Vlan1 geschieht.
Kannst du mir da kurz weiterhelfen?

Vielen Dank
aqui
Lösung aqui 25.02.2016, aktualisiert am 26.02.2016 um 09:03:08 Uhr
Goto Top
Ja, na klar, das ist kinderleicht ! face-smile
Der embeddete 4 Port Switch auf dem Router wird wie ein normaler IOS Switch gesehen.
Im Default sind alle FEx Ports mit switchport access vlan 1 konfiguriert, werkeln also damit alle als untagged Ports im Default VLAN 1
Da das Kommando Default Einstellung ist wird es in der Konfig nicht angezeigt.
Das Layer 3 Routing Interface im VLAN 1 heisst wie bei Cisco IOS üblich dann interface vlan 1. Referenziert also immer auf die entsprechende VLAN ID.
Analog dazu wie du sehen kannst dein Port FE3 der als untagged Port im VLAN 2 liegt und auch hier wieder analog das L3 Interface interface vlan 2 des Routers dazu hat.
Der Switch wird also in die VLANs geteilt um die unterschiedlichen Router Interfaces in den IP Segmenten (VLANs) zu bekommen.
Aus Router Sicht sind ja nur die L3 Interfaces relevant also vlan 1 und vlan 2. Dort sind alle Router spezifischen Konfigs zu sehen.
War das hilfreich ?!
ozer
ozer 25.02.2016 um 17:23:52 Uhr
Goto Top
Perfekt erklärt face-smile Vielen Dank.

Wenn aber per default alle FEx Ports im Vlan 1 sind. und ich dem Vlan1 eine IP aus meinem lokalen Netz gebe, würde ich da nicht Probleme mit meinem WAN Anschluss (FE1) bekommen?
Nach meinem Verständnis müsste ich diesen ja auch auf das interne Switch ziehen und dann mit einem vlan (z.B. 3) die öffentliche IP angeben und den Port per switchport access vlan 3 dann zuordnen.

Hoffe ich habs richtig verstanden face-smile
aqui
aqui 25.02.2016 um 19:18:52 Uhr
Goto Top
Ja, da hast du Recht.
Du musst checken ob diese Ports als Switch zusammengefasst sind oder ob das dedizierte Ethernet Ports sind ohne Switchbindung. Auf den Ciscos koexistiert meistens beides.
Es gibt aber auch Modelle mit reinen Ethernet Ports ohne embedded Switch.
Ein show ver zeigt dir das.
gelöstFrageNetzwerkeRouter, Routing
Mehr von ozerozerCisco C892 Gastnetz Vlan keine Verbindung ins Internetozer - 3 KommentareozerCisco 1812 ISR Hardwaredefekt?ozer - 9 KommentareozerCisco 1812 PPTP VPN funktioniert nicht von externozer - 5 KommentareozerACL verursacht WAN hängerozer - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare