Cisco 2811 holt sich keine DCHP Adresse am FastEthernet interface

reini82
Goto Top
Hi,


wir haben einen Cisco 2811 Router bei dem ich ein Interface für einen Internet Zugang einrichten muss. Das Interface ist wie folgt konfiguriert:

interface FastEthernet0/0
description Connection to Level421
mac-address 0023.04f4.b4aa
ip address dhcp
ip access-group internet_ulm in
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_10

...

ip inspect name fw tcp
ip inspect name fw udp
ip inspect name fw icmp
ip inspect name fw http
ip inspect name fw dns

...

ip access-list extended internet_ulm
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any



Nach der ersten Konfiguration mit den obigen Einstellungen holte der Switch sich eine Adresse vom DHCP Server, jedoch nach dem Trennen und wieder verbinden des Interfaces funktioniert es nicht mehr. Da ich nicht genug Erfahrung mit Cisco habe hoffe ich dass ihr mir helfen könnt.

Gruß

Reini

Content-Key: 265293

Url: https://administrator.de/contentid/265293

Ausgedruckt am: 14.08.2022 um 23:08 Uhr

Mitglied: aqui
Lösung aqui 05.03.2015 aktualisiert um 12:56:09 Uhr
Goto Top
Dein Problem ist einfach zu lösen und mit ein wenig Nachdenken, auch ohne Erfahrung, wärst du auch sicher selber drauf gekommen, denn man muss sich nur mal vorstellen wie die Pakete auf dem Interface laufen !
Der Schlüssel liegt in der Access Liste ip access-list extended internet_ulm
Hier MÜSSEN ja DHCP Pakete inbound passieren dürfen was du aber nicht erlaubt hast !! DHCP schickt den Request mit UDP 68 raus und bekommt einen UDP 67 als Reply, der aber in deiner ACL hängen bleibt, da du da einzig nur IPsec Pakete passieren lässt.
Hättest du auch sofort gesehen wenn du die ACL mal mit dem Cisco CLI Debugger debug xyz hättest laufen lassen...
Folglich also iss dort nix mit DHCP, denn deine ACL internet_ulm blockt diese eingehenden DHCP Antwort Pakete vom DHCP Server.
Richtig muss die also lauten:
ip access-list extended internet_ulm
permit udp any any eq bootpc
permit udp any any eq bootps
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit ahp any any

bootpc = Bootstrap Protocol (BOOTP) client (68)
bootps = Bootstrap Protocol (BOOTP) server (67)
Vermutlich reicht nur bootps, denn es muss eigentlich nur die DHCP Antwort (UDP 67) vom Server passieren.
Probiers aus aber das fixt ganz sicher das Problem face-wink
Siehe auch hier:
https://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...
Mitglied: Reini82
Reini82 05.03.2015 um 11:08:10 Uhr
Goto Top
Manchmal sieht man den Wald vor lauter Bäumen nicht.
Vielen dank hat funktioniert
Mitglied: aqui
aqui 05.03.2015 um 11:24:02 Uhr
Goto Top
...immer gerne wieder face-smile