onkelbob
Goto Top

Cisco 3560 switch

Hallo zusammen,
ich habe ein Switch Cisco 3560 Geschenk bekommen zum basteln face-smile voll funktionsfähig.
So Jetzt meine Frage:
Ich habe den Switch an der Console angeschlossen und 4 Vlan erstellt:

Vlan 10
Buero mit der IP 192.168.30.1 255.255.255.0

Vlan 20
Gast mit der IP 192.168.60.2 255.255.255.0

Vlan 30
User1 192.168.40.1 255.255.255.0

Vlan 40
User2 192.168.50.1 255.255.255.0

wie kann ich die vlans einen port zuordnen, und gegeneinander isolieren und mit interner versorgen (externer Router)?
Ich weiß leider bei dem ding nicht weiter face-smile

vielen dank schonmal im vorraus

Content-Key: 51309572401

Url: https://administrator.de/contentid/51309572401

Printed on: December 4, 2023 at 10:12 o'clock

Member: em-pie
em-pie Sep 05, 2023 at 20:02:24 (UTC)
Goto Top
Moin,

Die „Umfangreiche“ Lektüre:
VLANs einrichten und Ports zuweisen
VLANs „abschotten“
Member: maretz
maretz Sep 06, 2023 at 03:27:50 (UTC)
Goto Top
also erstmal brauchst du nix "abschotten" solang der switch nich als layer3 konfiguriert ist (no ip routing). Dann gehst du einfach hin auf jeden port und machst zB im conf modus
int Gi0/1
switchport mode access
switchport access vlan 10 (oder welches auch immer dir lieb ist)

fertig. Es gibt noch div. andere Dinge (Spanning tree portfast zB. wenn du dir sicher bist das du keinen Loop reinballerst).

Damit sind die Ports erstmal in eigene VLANs gesperrt. Und daraus gehen die auch nicht - das wäre praktisch wie eben getrennte Switches. Solange du jetzt nix routing-fähiges dazwischen hast wird da nix passieren... (bzw. solang dein Switch weder Routing macht NOCH ein Interface in min. 2 vlans hat).

Wenn du dann irgendwann die L3-Funktionen nutzen willst kannst du natürlich das Routing aktivieren, dir interfaces zuweisen,... Weil wenn man das ding als stumpfen L2 betreibt ist es relativ sinnfrei den zu nehmen. Denn du magst den zwar geschenkt bekommen haben - UMSONST ist der trotzdem nicht. DAS wird dir nämlich deine Stromrechnung erklären ;)
Member: NordicMike
NordicMike Sep 06, 2023 at 04:52:44 (UTC)
Goto Top
Wenn Du den Cisco als Layer 2 Switch betreibst, benötigst du in jedem VLAN einen Router, DHCP Dienst und DNS Dienst, damit die Clients darin ins Internet kommen. Du benötigst also einen externen VLAN fähigen Router, der diese Dienste in jedem VLAN zur Verfügung stellt. Eine Fritzbox ist z.B. nicht VLAN fähig. Du musst einen Port definieren, an dem dieser Router hängen wird, z.B. Port 1. Diesem Port musst du alle VLANs als „tagged“ zuweisen. Im Router auch.

Wenn Du den Cisco als Layer 3 Switch betreibst, kann er selbst den DHCP und DNS Dienst zur Verfügung stellen sowie als Router fungieren.
Member: em-pie
em-pie Sep 06, 2023 at 05:06:55 (UTC)
Goto Top
@maretz & @NordicMike
Gute Ergänzung bzgl. L2 und L3

Wenn der Seitch in L3 betrieben werden soll, die Endgeräte das WWW erreichen können müssen, muss der Haupttouter allerdings mit statischen Routen umgehen können. Bei den FritzBoxen kein Problem, die Speedports hingegen bieten die Option nicht.
Member: aqui
aqui Sep 06, 2023 updated at 05:57:12 (UTC)
Goto Top
wie kann ich die vlans einen port zuordnen
Guckst du hier:
Cisco Catalyst VLAN Konfiguration

Ist kinderleicht, mit switchport access vlan X weist du dem Port immer das VLAN X zu.
Willst du damit ein Layer 3 VLAN Konzept umsetzen? Der 3560 ist ein Layer 3 (Routing) fähiger VLAN Switch.
Member: onkelbob
onkelbob Sep 06, 2023 at 17:28:34 (UTC)
Goto Top
Ja Layer 3 alle vlan sollen Internet haben aber dürfen sich gegenseitig nicht "sehen"
Muss layer 3 nur einmal für alle aktiviert werden oder für jedes vlan einzeln?
Member: em-pie
em-pie Sep 06, 2023 at 17:32:46 (UTC)
Goto Top
Mit welchem Gerät gehst du aktuell ins Internet? FritzBox? Speedport? Ganz was anderes?

Davon hängt jetzt die Antwort ein wenig ab.
Member: maretz
maretz Sep 06, 2023 at 17:54:13 (UTC)
Goto Top
Layer 3 aktivierst du erstmal nur einmal (im conf-modus "ip routing"). Am besten dabei nen Konsolenkabel benutzen - falls du was vergessen hast (natürlich geht auch das übliche - neustarten des switches und beim nächsten mal besser machen ;) ).

Dabei solltest du dann natürlich min. 1 Interface auf dem Switch konfiguriert haben. Du KANNST auch für jedes VLAN ein Interface definieren und den Switch dann sagen er soll als default GW deinen router nehmen. Dann musst du nur deinem Router beibringen das er eben die "internen" Netzwerke hinter dem Switch sieht. Per ACL kannst du die Netze dann locker trennen...

Wenn du ne VLAN-Fähige Firewall o. Router hast kannst du das natürlich auch nutzen... Bei dem zu erwartenden Datentraffic ist da jetzt nicht nen grosser Unterschied zu befürchten...
Member: onkelbob
onkelbob Sep 06, 2023 at 18:23:32 (UTC)
Goto Top
@em-pie fritzbox 5590
Member: aqui
aqui Sep 07, 2023, updated at Sep 10, 2023 at 10:39:11 (UTC)
Goto Top
Muss layer 3 nur einmal für alle aktiviert werden oder für jedes vlan einzeln?
Das ist das globale Kommando ip routing wie der Kollege @maretz oben schon richtig gesagt hat. Beim 3560 sollte das aber Default sein. Schadet aber nicht es nochmal einzugeben um sicherzugehen.

Hier die weiteren ToDos:
  • Dann richtest du deine VLANs ein und weist diesen untagged die Endgeräte Ports zu. Das sieht dann für einen Beispielport aus VLAN 10 und 20 so aus:
interface GigabitEthernet0/10
 description VLAN 10 Port
 switchport access vlan 10
 spanning-tree portfast
!
interface GigabitEthernet0/12
 description VLAN 20 Port
 switchport access vlan 20
 spanning-tree portfast
! 
  • Zu den entsprechenden VLAN IDs korrespondieren dann immer die Layer 3 (Routing) Interfaces in diesen VLANs. Bei den Beispielen VLAN 10 und VLAN 20 sieht das dann so aus:
!
interface vlan 10
description L3 Interface VLAN-10
ip address 172.16.10.1 255.255.255.0
!
interface vlan 20
description L3 Interface VLAN-20
ip address 172.16.20.1 255.255.255.0 
  • Wenn du das VLAN 1 als Koppel-VLAN zur Fritzbox einsetzen willst dann richtest du hier auch eine entsprechende IP Adressierung ein. Beispiel mit Standard IP Adresse der Fritzbox:
!
interface vlan 1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.178.254 255.255.255.0
! 
  • Wichtig sind jetzt die statischen Routen auf der Fritzbox und auf dem Switch!!
  • Der Cisco Switch bekommt eine Default Route auf die FB:
ip route 0.0.0.0 0.0.0.0 192.168.178.1
  • Fritzbox auf die VLAN Subnetze.
Heisser Tip:
Wenn du hier wie im Beispiel die VLAN Adressierung etwas "intelligent" machst, also immer nach dem Muster 172.16.<vlan_id>.0 /24 mit gleichem 16 Bit Präfix, dann reicht eine einzige statische Route = Ziel: 172.16.0.0, Maske: 255.255.0.0, Gateway: 192.168.178.254 auf der Fritzbox um alle 172.16er VLAN IP Netze an den Cisco Switch zu routen! πŸ˜‰

Im FritzBox VLAN wird ja vermutlich deine Fritzbox DHCP Server spielen aber in deinen VLANs kann sie das nicht, weil sie als billige Plaste Consumerbox kein DHCP Relay supportet. face-sad
Mit einem Cisco aber kein Problem, denn der spielt dann DHCP Server in den VLANs für deine Endgeräte dort. face-wink

Hier als Beispiel wieder VLAN 10 und VLAN 20 mit der Range .50 bis .199 (150 Adressen):
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
!
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.178.1
domain-name onkelbob.home.arpa
(option 42 ip 130.149.7.7)  
!
ip dhcp pool VLAN-20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 192.168.178.1
domain-name onkelbob.home.arpa
(option 42 ip 130.149.7.7)  
Die Option 42 ist ein NTP Zeitserver den man noch an die Clients übergeben kann. Das ist optional und nicht zwingend.

Jetzt noch etwas Kosmetik für den Switch:
Logging customizen:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out 
Uhrzeit richtig setzen:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ntp server de.pool.ntp.org source interface vlan1 
DNS auf dem Switch einstellen das der Hostnamen auflösen kann:
ip name-server 192.168.178.1  
ip domain lookup source-interface vlan1 

Zum Testen des Setups immer strategisch vorgehen:
  • Testrechner in eins der VLANs 10 oder 20 stecken, z.B. 10
  • IP Adresse des L3 Switches im lokalen VLAN pingen z.B. 172.16.10.1
  • IP Adresse des L3 Switches im anderen VLAN pingen z.B. 172.16.20.1
  • IP Adresse der Fritzbox 192.168.178.1 pingen
  • Nackte Internet IP z.B. 8.8.8.8 pingen
  • Hostnamen wie www.heise.de pingen
Alles diese Ping Checks sollten problemlos klappen!
Member: onkelbob
onkelbob Sep 09, 2023 updated at 21:37:54 (UTC)
Goto Top
Danke erstmal für das To-Do face-smile

Der Testrechner an vlan 1 Port Fa0/1 bekommt eine IP zugewiesen vom Switch 172.16.20.50 255.255.255.0 DNS bekommt er 192.168.20.1 ( die fritte) nur vlan 1 bekommt kein Internet ace-sad" alt=
ace-sad"> .
Statische Route in der Fritte ist auf 172.16.0.0 Maske auf 255.255.0.0
Und Gateway auf 192.168.20.254 wenn ich das jetzt richtig gemacht habe face-smile

Ping nach 172.16.20.1 geht
Ping nach 172.16.10.1 auch
Nach 192.168.20.1 nicht
Member: aqui
aqui Sep 10, 2023 updated at 10:43:41 (UTC)
Goto Top
Und Gateway auf 192.168.20.254 wenn ich das jetzt richtig gemacht habe
Jepp. das wäre soweit richtig!
Was ist mit der Default Route ip route 0.0.0.0 0.0.0.0 192.168.20.1 auf dem Switch?? Ist die eingetragen??
Hilfreich wäre hier mal deine Switch Konfig show run in Code Tags zu sehen da keiner wirklich weiss welche IP Adressierung zu welchem VLAN gehört und welches der VLANs dein Koppel VLAN zur Fritzbox ist. ☹️

Nur zur Erinnerung wie es richtig wäre wenn das 192.168.20.0er Koppelnetz Switch-Fritzbox das VLAN 1 ist:
  • Fritzbox LAN IP 192.168.20.1 /24 angeschlossen an einen VLAN 1 Port des Switches
  • VLAN 1 IP (interface vlan 1) des Switches:
interface vlan 1
description L3 Interface VLAN-1 (Fritzbox)
ip address 192.168.20.254 255.255.255.0

  • Statische Route Switch: ip route 0.0.0.0 0.0.0.0 192.168.20.1
  • Statische Route Fritzbox: Zielnetz: 172.16.0.0, Maske: 255.255.0.0, Gateway: 192.168.20.254
  • Switch VLAN 10 = 172.16.10.0, Maske: 255.255.255.0
  • Switch VLAN 20 = 172.16.20.0, Maske: 255.255.255.0 usw.
  • DNS Server Konfig Switch: ip name-server 192.168.20.1 , ip domain lookup source-interface vlan1
  • DHCP usw. gemäß VLAN Adressierung Switch wie oben schon beschrieben!

Wenn du auf dem Switch Kommando Interface bist, was ergeben die Pings auf:
  • ping 192.168.20.254
  • ping 192.168.20.1
  • ping 8.8.8.8
  • ping www.heise.de
???
Member: onkelbob
onkelbob Sep 10, 2023 at 19:51:01 (UTC)
Goto Top
Switch#show run
Building configuration...

Current configuration : 4774 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
!
no aaa new-model
system mtu routing 1500
ip domain-lookup source-interface Vlan1
ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
   network 172.16.10.0 255.255.255.0
   default-router 172.16.10.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa
   option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
   network 172.16.20.0 255.255.255.0
   default-router 172.16.20.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa
   option 42 ip 130.149.7.7
!
!
!
!
crypto pki trustpoint TP-self-signed-2495211648
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2495211648
 revocation-check none
 rsakeypair TP-self-signed-2495211648
!
!
crypto pki certificate chain TP-self-signed-2495211648
 certificate self-signed 01
  3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32343935 32313136 3438301E 170D3933 30333031 30303030
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 34393532
  31313634 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100E584 30909909 F92F7496 E27FD5E4 E3D3CB53 B4552990 4DC0E34B E38E9EC1
  A23D11C9 B8A4D36D A49128A6 B94EA696 89C86A5B 60D8BDF8 F5A2C26A A058EB21
  B67CED95 A6624ED0 52C0F896 C9B999FD A07EDA0F C6F6BDA9 61DCB529 3D58E725
  7C1CB702 47646D9B 8560B702 2B1EC8E8 534DBBD3 01352E7E A32570B6 FA23BE9A
  3F310203 010001A3 67306530 0F060355 1D130101 FF040530 030101FF 30120603
  551D1104 0B300982 07537769 7463682E 301F0603 551D2304 18301680 14E7F898
  992E582C C9CCF7F8 4574D591 CC33FFFA 7A301D06 03551D0E 04160414 E7F89899
  2E582CC9 CCF7F845 74D591CC 33FFFA7A 300D0609 2A864886 F70D0101 04050003
  8181002E 4288FB41 0DD0032D 84D3271F D83C3B10 18AFAD2C A8B70F1B F1CC2F49
  6CB0CB49 16F16DC9 8480C335 309686B6 D468D574 44D72FA1 86444B89 7245E0DD
  D3BA3E39 52F583DD 03941E36 0FBB9517 2C3DC157 34793FBC 2A460BD4 A9071069
  1498004F 5DBBB7C9 EEAF6DB9 C57902F2 00B0E189 0DC8A22E AEA51283 6B025B7A D51132
  quit
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
 description VLAN 10 Port
 switchport access vlan 10
 spanning-tree portfast
!
interface FastEthernet0/4
 description VLAN 20 Port
 switchport access vlan 20
 spanning-tree portfast
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface FastEthernet0/25
!
interface FastEthernet0/26
!
interface FastEthernet0/27
!
interface FastEthernet0/28
!
interface FastEthernet0/29
!
interface FastEthernet0/30
!
interface FastEthernet0/31
!
interface FastEthernet0/32
!
interface FastEthernet0/33
!
interface FastEthernet0/34
!
interface FastEthernet0/35
!
interface FastEthernet0/36
!
interface FastEthernet0/37
!
interface FastEthernet0/38
!
interface FastEthernet0/39
!
interface FastEthernet0/40
!
interface FastEthernet0/41
!
interface FastEthernet0/42
!
interface FastEthernet0/43
!
interface FastEthernet0/44
!
interface FastEthernet0/45
!
interface FastEthernet0/46
!
interface FastEthernet0/47
!
interface FastEthernet0/48
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface Vlan1
 description L3 Interface VLAN-1 (Fritzbox)
 ip address 192.168.20.254 255.255.255.0
 shutdown
!
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
!
interface Vlan20
 description L3 Interface VLAN-20
 ip address 172.16.20.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip sla enable reaction-alerts
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
end

anpingen von dem Kommando Interface aus geht nicht :
192.168.20.254
192.168.20.1
8.8.8.8
www.heise.de

gehen alle ins leere

Testrechner Hängt an port 2 (fa0/2) (vlan 10) und Fritzbox an Vlan 1 port 11 (Fa0/11)

IP Konfiguration (dhcp) testrechner:

ip adresse: 172.16.10.50
maske: 255.255.255.0
gateway: 172.16.10.1
dns: 192.168.20.1

hoffe das hilft weiter face-smile
Member: aqui
aqui Sep 11, 2023 updated at 06:41:27 (UTC)
Goto Top
Ohh man...🀦‍♂️
Sieh dir doch bitte deine Konfig selber einmal genau an! Das springt einem doch schon sofort ins πŸ‘οΈ !
WAS bitte steht denn da da beim VLAN 1 Interface!! 🧐
Da hattest du wohl ziemliche πŸ
auf den πŸ‘€ ?!

Wenn man das L3 Routing Interface des Switches zur Fritzbox deaktiviert wie denkst du denn wohl soll der Switch dann routen können?!! πŸ™ˆ
Den Fehler hätte auch der Azubi im ersten Lehrjahr sofort gesehen...!
conf t
int vlan 1
no shut
<ctrl z>
wri mem

...und dein "Problem" ist gelöst.πŸ˜‰

Tips:
Du solltest unbedingt noch das Logging mit:
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime

richtig setzen, als auch die richtige Uhrzeit:
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
ntp server de.pool.ntp.org source vlan1


Das Sicherheitsloch mit dem ungesicherten HTTP Zugang auf den Switch solltest du mit no ip http server auch besser deaktivieren.
Außerdem hilft es mit "description xyz" an den Ports zu beschriften was da dran ist. Z.B. dein Fritzbox Port!
Für die Autodetection von angeschlossenen Geräten sollte man noch
no cdp run
lldp run

konfigurieren. Mit show lldp neighbors kannst du dann immer sehen was an welchem Port ist. face-wink

Alle weiteren Grundsettings erklärt dir, wie immer, das hiesige Cisco Tutotial und seine weiterführenden Links! πŸ˜‰
Member: onkelbob
onkelbob Sep 12, 2023 at 08:58:21 (UTC)
Goto Top
Super besten dank face-smile
Ging alles Problem los,was allerdings manchmal komisch war mir kahm das so vor als würde er die Konfiguration beim Neustart "vergessen".
Dann hab ich "reload" eingegeben und seit dem ist gut face-smile
Eine Sache liegt mir dann noch am herzen wie kann ich das sperren das an dem Vlan 10 etc.. hängende rechner nicht auf die IP der Fritzbox greifen können,auch die dahinter z.B drucker in dem 192.168.20 er netz sind noch erreichbar face-smile
Member: aqui
aqui Sep 12, 2023, updated at Oct 04, 2023 at 08:44:34 (UTC)
Goto Top
mir kahm das so vor als würde er die Konfiguration beim Neustart "vergessen".
Das kann natürlich passieren wenn du ein write mem vergisst. (Alternativ copy running-config startup-config).
Wenn du das natürlich am Schluss vergisst schreibt der Switch logischerweise nix ins NV Ram (Flash) zur Sicherung und hat nach einem Reload oder Kaltstart natürlich alles wieder vergessen.
Ein write mem sollte also immer Standard sein BEVOR du dich vom Switch CLI ausloggst! face-wink
wie kann ich das Sperren das an dem Vlan 10 etc.. hängende rechner nicht auf die IP der Fritzbox greifen können
Das ist kinderleicht und machst du mit einer IP Accessliste
ip access-list extended NOFRITZ
5 remark Block Fritzbox LAN
10 deny ip 172.16.10.0 0.0.0.255 host 192.168.20.1
20 permit 172.16.10.0 0.0.0.255 any 
Die Ziffern vorne bestimmen optional die Reihenfolge weil auch hier bei ACL gilt First match wins. Reihenfolge zählt also und wenn man eine Index Nummer mitgibt kann man Regeln auch "zwischendrin" platzieren. face-wink
Mit dieser ACL kommt keiner mehr aus dem VLAN 10 ins VLAN 20 aber sonst überall hin.

⚠️ Obacht bei ACLs!!:
Wenn die Clients in VLAN 10 aber die Fritzbox IP als DNS Server oder auch NTP benutzen scheitert in dem Fall die DNS Auflösung weil so die o.a. ACL natürlich alle Zugriffe auf die FB blockt!
Du kannst dann aus dem VLAN 10 zwar 8.8.8.8 im Internet pingen aber ein ping www.administrator.de scheitert weil der DNS Zugriff auf die Fritzbox IP zum Auflösen der Hostnamen geblockt wird.
Sollte das der Fall bei dir sein musst du die ACL etwas umstricken um DNS passieren zu lassen.
Das klappt indem man nur den Webzugriff zur Konfiguration blockt mit TCP Port 80 und 443 (HTTP und HTTPS)
ip access-list extended NOFRITZ
5 remark Block Fritzbox LAN
10 deny TCP 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny TCP 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
40 permit ip 172.16.10.0 0.0.0.255 any 
Die ACL ist ja selbsterklärend wie du selber siehst.
Du kannst sehen das TCP 80 und 443 (HTTP/HTTPS) aus dem VLAN 10 jetzt oben verboten ist auf die FritzBox IP .20.1 aber alles andere darf passieren!

Diese, deinen Filter Vorgaben entsprechende ACL, klöppelst du jetzt einfach an dein VLAN 10 IP Routing Interface so das der Switch dort eingehende IP Pakete aus dem 10er Netz die die .20er Zieladresse der FB haben herausfiltert. Einfache ACL Logik! πŸ˜‰
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
 ip access-group NOFRITZ in
! 

Nochwas zur Switch Sicherheit selber...
Alle Clients in allen VLANs können auch auf deinen Switch zugreifen was ja auch nicht immer gewollt ist.
Auch das bekommt man mit einer einfachen ACL in den Griff so das dies z.B. nur aus VLAN 1 dem Fritzbox VLAN erlaubt ist.
access-list 23 
permit ip 192.168.20.0 0.0.0.255 
!
line vty 0 4
access-class 23 in
transport input telnet ssh 
Wenn du auch noch das unsichere Telnet eliminieren willst, dann änderst du die letzte Zeile in "transport input ssh".

Weitere Details dazu im Cisco Tutorial. IOS Syntax ist über die gesamte Produktpalette gleich.
Member: onkelbob
onkelbob Sep 29, 2023 at 22:48:24 (UTC)
Goto Top
Danke erstmal @aqui für die Infos und Howto´s,
irgendwo stecke ich da fest die Rechner an vlan 10 und 20 kommen nicht ins Internet wenn ich die ACL Zuweisung rausnehme klappt das.
Die Zeile "60" muss das
permit ip 192.168.10.0 0.0.0.255 any 
heissen?

danke im vorraus
Member: aqui
aqui Sep 30, 2023 updated at 08:13:31 (UTC)
Goto Top
Rechner an vlan 10 und 20 kommen nicht ins Internet wenn ich die ACL Zuweisung rausnehme klappt das.
Mmmhhh...zumindest die in 10 sollten es können, denn "übersetzt" bedeutet "permit ip 192.168.10.0 0.0.0.255 any" ja: "Erlaube alles was eine Absender IP 192.168.10.x hat zu jeder beliebigen Ziel IP Adresse".
Danach kommt immer ein unsichtbares deny any any als Default am Ende der ACL wie es bei ACLs üblich ist.
Syntaktisch passt das also. Kann dann nur sein das du die ACL an falsche Router Interfaces bindest?!
Leider hast du deine aktuelle Konfig nicht gepostet so das man sehen könnte wo der Fehler liegt... face-sad

OK, dann rekapitulieren wir nochmal...
  • Fritzbox mit IP 192.168.20.1 /24 in VLAN 1
  • VLAN Netzwerke:
    • 192.168.20.0 /24 = VLAN 1
    • 172.16.10.0 = VLAN 10
    • 172.16.20.0 = VLAN 20
  • Statische Route FB und Default Route Switch passt
  • Alle Endgeräte in allen VLANs können ohne ACL ins Internet
  • Es soll verhindert werden das Clients aus den VLANs 10 und 20 auf die Fritzbox können, sonst soll alles erlaubt sein
  • o.a. Regelvorgabe bedeutet dann: Zugriff aus den VLAN 10 und 20 Segmenten auf die 192.168.20.1 Host IP der FB blocken ansonsten alles erlauben.

⚠️ ACHTUNG: Hier darf natürlich NUR der Konfig Webzugriff auf die FB geblockt werden, sprich also nur TCP 80 und 443!!!
Wenn du den kompletten Zugriff blockierst, also mit "deny IP host 192.168.20.1" dann blockiert er mit "ip" ja generell alles an IP Traffic auch das wichtige DNS für die Auflösung von Namen im Internet. Clients können dann keine Hostnamen mehr auflösen.Siehe Erklärung oben!

Das kannst du immer sehen wenn du mit Clients aus VLAN 10 oder 20 zwar nackte IPs im Internet wie z.B. 8.8.8.8 pingen kannst aber ein Ping auf einen Hostnamen wie z.B. www.administrator.de scheitert weil der nicht für die erforderliche IP Adresse per DNS aufgelöst werden kann!
Dann scheitert dein DNS wie vermutlich in deinem Falle und Laien denken dann das "das Internet" nicht mehr klappt obwohl es eigentlich nur DNS ist.

Da in der Regel die Fritzbox ja DNS Server für die Netze ist sollte man DNS also nicht blocken!!
Auch z.B. NTP nicht, wenn die FB auch noch als zentraler Uhrzeit Server arbeitet!!
Mit anderen Worten: Nur TCP 80 und TCP 443 verbieten (Web Zugriff auf die Konfig) und den Rest alles erlauben.

Wenn dem so ist, dann sollte dein korrektes Regelwerk für die VLANs 10 und 20 so aussehen.
interface Vlan1
 description L3 Interface VLAN-1 (Fritzbox)
 ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
 ip access-group NOFRITZ-10 in
!
interface Vlan20
 description L3 Interface VLAN-20
 ip address 172.16.20.1 255.255.255.0
 ip access-group NOFRITZ-20 in
!
!
ip access-list extended NOFRITZ-10
5 remark Block Fritzbox IP VLAN10
10 deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
30 permit ip 172.16.10.0 0.0.0.255 any
!
ip access-list extended NOFRITZ-20
5 remark Block Fritzbox IP VLAN20
10 deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 80
20 deny tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 443
30 permit ip 172.16.20.0 0.0.0.255 any 
⚠️ Wichtig ist hier, wie immer, die Reihenfolge im Regelwerk, deshalb auch die Indexnummern!
O.a. Regelwerk filtert nun also an den Router interfaces eingehenden HTTP und HTTPS Web Traffic auf die FB Ziel IP aus den VLANs und lässt den Rest komplett passieren.
Eigentlich doch eine sehr einfache Logik die selbsterklärend ist. face-wink

Wie sieht also deine aktuelle Switch Konfig mit den ACLs aus im Vergleich zur obigen?? πŸ€”
Member: aqui
aqui Oct 04, 2023 at 08:39:00 (UTC)
Goto Top
Wenn es das denn war, nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Member: onkelbob
onkelbob Oct 11, 2023 at 12:48:03 (UTC)
Goto Top
hallo aqui,
leider funktioniert das nicht irgendwo ist da der Wurm drinn.


die aktuelle config:

ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
   network 172.16.10.0 255.255.255.0
   default-router 172.16.10.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa
   option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
   network 172.16.20.0 255.255.255.0
   default-router 172.16.20.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa
   option 42 ip 130.149.7.7
!
!
!
!
crypto pki trustpoint TP-self-signed-2495211648
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2495211648
 revocation-check none
 rsakeypair TP-self-signed-2495211648

spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
 description VLAN 10 Port
 switchport access vlan 10
 spanning-tree portfast
!
interface FastEthernet0/4
 description VLAN 20 Port
 switchport access vlan 20
 spanning-tree portfast
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!.........
interface Vlan1
 description L3 Interface VLAN-1 (Fritzbox)
 ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
 ip access-group NOFRITZ-10 in
!
interface Vlan20
 description L3 Interface VLAN-20
 ip address 172.16.20.1 255.255.255.0
 ip access-group NOFRITZ-20 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip access-list extended NOFRITZ-10
 remark Block Fritzbox IP VLAN10
 deny   tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq www
 deny   tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 443
 permit ip 172.16.10.0 0.0.0.255 any
ip access-list extended NOFRITZ-20
 remark Block Fritzbox IP VLAN20
 deny   tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq www
 deny   tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq 443
 permit ip 172.16.20.0 0.0.0.255 any
!
ip sla enable reaction-alerts
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
ntp clock-period 36029105
ntp server 162.159.200.1 source Vlan1
end

Switch#
Member: aqui
aqui Oct 11, 2023 at 13:06:22 (UTC)
Goto Top
Was genau klappt nicht? Greifen die ACLs aus 10 und 20 nicht?
Ich teste das hier mal an einem Catalyst 3750.
Member: onkelbob
onkelbob Oct 11, 2023 at 13:25:14 (UTC)
Goto Top
Ja ich vermute die ACL´s greifen falsch oder garnicht,wenn ich die mit
no ip access-list extended NOFRITZ-20
no ip access-list extended NOFRITZ-10
rausnehme geht es ohne probleme
Member: aqui
aqui Oct 11, 2023 updated at 15:27:51 (UTC)
Goto Top
Kurzer Test auf einem Catalyst 3750....
  • FB in VLAN 10 mit IP: 192.168.188.1
  • ACL aktiv auf VLAN 20 inkl. Logging um das Blocking zu loggen

back-to-topNetzdesign Testsetup

catacl

back-to-topKonfigauszug Catalyst

show run
service timestamps log datetime localtime
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip subnet-zero
ip routing
ip name-server 192.168.188.1
!
ip dhcp excluded-address 172.16.20.1 172.16.20.100
ip dhcp excluded-address 172.16.20.150 172.16.20.254
!
ip dhcp excluded-address 172.16.30.1 172.16.30.100
ip dhcp excluded-address 172.16.30.150 172.16.30.254
!
!
ip dhcp pool vlan20
   network 172.16.20.0 255.255.255.0
   default-router 172.16.20.1
   dns-server 192.168.188.1
!
ip dhcp pool vlan30
   network 172.16.30.0 255.255.255.0
   default-router 172.16.30.1
   dns-server 192.168.188.1
!
interface GigabitEthernet0/1
 description Fritzbox Netz
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/3
 description VLAN-20
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface GigabitEthernet0/5
 description VLAN-30
 switchport access vlan 30
 switchport mode access
 spanning-tree portfast
!
interface Vlan10
 ip address 192.168.188.254 255.255.255.0
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
 ip access-group NOFRITZ-20 in
!
interface Vlan30
 ip address 172.16.30.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.188.1
no ip http server
no ip http secure-server
!
ip access-list extended NOFRITZ-20
 deny   tcp 172.16.20.0 0.0.0.255 host 192.168.188.1 eq www log-input
 deny   tcp 172.16.20.0 0.0.0.255 host 192.168.188.1 eq 443
 permit ip 172.16.20.0 0.0.0.255 any
! 

back-to-topStatische Route FritzBox

fbrou

back-to-topPingcheck Catalyst

Cat3750#ping 192.168.188.1 source vlan 20

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.188.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 

back-to-topPingcheck Windows Rechner in VLAN 20

winaddr

back-to-topCheck Accesslist Logging Catalyst

Zugriff von o.a. Win 10 Laptop mit Firefox Browser aus VLAN 20 auf die FritzBox IP. Die .101 ist der Win Laptop.
Oct 11 16:07:20: %SEC-6-IPACCESSLOGP: list NOFRITZ-20 denied tcp 172.16.20.101(59272) (Vlan20 0024.5a3f.0122) -> 192.168.188.1(80), 1 packet
Oct 11 16:07:21: %SEC-6-IPACCESSLOGP: list NOFRITZ-20 denied tcp 172.16.20.101(59272) (Vlan20 0024.5a3f.0122) -> 192.168.188.1(80), 1 packet 

Cat3750#sh ip dhcp bin
IP address       Client-ID/              Lease expiration        Type
                 Hardware address
172.16.20.101    0100.245a.3f01.22       Oct 12 2023 03:51 PM    Automatic
Ergebnis im Browser:
bro

back-to-topCheck Internet Access mit aktiver ACL aus VLAN 20

DNS Server der Clients ist die Fritzbox IP. Siehe VLAN-20 DHCP Config Catalyst.
mitacl

back-to-topFazit

Works as designed!! πŸ˜‰ πŸ‘
Viel mehr Silbertablett geht jetzt nicht mehr...

Irgendwas stimmt also bei dir nicht mit der IP Adressierung oder du hast irgendwo noch einen Tippfehler in der Konfig gemacht, falsche Masken, falsche IP im falschen VLAN, etc.?!
Schalte testweise auch einmal mit log-input das Logging ein auf dem Blocking (deny) Statements, dann loggt der Cisco alles mit was die ACL tut mit Clienttraffic.

Oder ist das jetzt missverstanden was du mit der ACL erreichen willst??
Die o.a. ACL blockt den HTTP und HTTPS (WebGUI) Zugriff aus den VLANs 20 und 30 auf die FB in VLAN 10. Der gesamte Rest aus den VLANs ist frei.
Wenn du es genau andersrum haben willst, also alles andere blocken und nur Fritzbox freigeben sieht die ACL natürlich anders aus.
Member: onkelbob
onkelbob Oct 11, 2023 updated at 17:03:55 (UTC)
Goto Top
Die Rechner von Vlan 10 und 20 Dürfen nicht die z.B auf die Ressourcen im 192.168.20.1 er netz zugreifen. Z.b 192.168.20.66 (drucker) etc.. und auf die FB selber 192.168.20.1 das muss unterbunden werden.
Member: aqui
aqui Oct 11, 2023, updated at Oct 13, 2023 at 09:05:55 (UTC)
Goto Top
Ahhhsooo... Sorry, hab ich dann leider missverstanden... πŸ™ˆ
Mit der ACL von oben wird ja, wie du auch selber siehst, einzig und allein nur der Web Zugriff auf die FB geblockt und mehr nicht. Damit funktioniert deine Anforderung natürlich nicht...sorry nochmal für die Verwirrung.

Kardinalsfrage: Die FB ist sicher der DNS Server für alle Clients in deinen VLANs 10 und 20, oder ??
In dem Falle muss DNS Traffic aus den VLANs auf die FB natürlich erlaubt sein um Hostnamen auflösen zu können. Benutzt du einen anderen DNS können die DNS permits entfallen.

Diese neuen ACLs sehen dann so aus:
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
 ip access-group NOFRITZ-10 in
!
interface Vlan20
 description L3 Interface VLAN-20
 ip address 172.16.20.1 255.255.255.0
 ip access-group NOFRITZ-20 in
!
ip access-list extended NOFRITZ-10
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
20 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
30 deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255 
40 permit ip 172.16.10.0 0.0.0.255 any
!
ip access-list extended NOFRITZ-20
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq domain
20 permit tcp 172.16.20.0 0.0.0.255 host 192.168.20.1 eq domain
30 deny ip 172.16.20.0 0.0.0.255 192.168.20.0 0.0.0.255 
40 permit ip 172.16.20.0 0.0.0.255 any
! 
(Alte ACL kannst du mit no ip access-list extended NOFRITZ-10 entfernen)

Zur Erklärung:
  • 10 = Lässt DNS UDP aus dem VLAN auf die Fritzbox passieren. (DNS nutzt UDP und TCP)
  • 20 = Lässt DNS TCP aus dem VLAN auf die Fritzbox passieren.
  • 30 = Blockt sämtlichen Traffic aus den VLANs in das Fritzbox Netz
    • Wenn du hier die bösen Buhfrauen und Buhmänner mitloggen willst die versuchen dein Verbot zu ignorieren änderst du Zeile 30 in 30 deny ip 172.16.20.0 0.0.0.255 192.168.20.0 0.0.0.255 log Willst du zusätzlich auch Interface und deren Client Mac Adresse im Log sehen dann statt "log" ein log-input
  • 40 = Erlaubt allen Restraffic aus den VLANs überallhin

Aufpassen wenn du deine Fritzbox auch als NTP (Uhrzeit) Server zentral im Netzwerk konfiguriert hast und Endgeräte von der FB aktuelle Uhrzeit und Datum beziehen. Dann musst du natürlich zusätzlich zum DNS (Port 53) auch NTP, Network Time Protocoll (Port 123) von der Fritzbox freigeben. NTP nutzt auch wieder UDP und TCP
Ggf. kann es nicht schaden das gleich in der ACL mit zu erledigen damit du auf Nummer sicher gehtst und dich später nicht wunderst warum grad NTP nicht klappt. face-wink

Hier als Beispiel die auf NTP angepasste ACL. (Muss auf beiden angepasst werden, (log-input) optional!)
ip access-list extended NOFRITZ-10
5 remark Block FB-Netz (VLAN1)
10 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain ntp
20 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain ntp
30 deny ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (log-input)
40 permit ip 172.16.10.0 0.0.0.255 any 

So, nun sollte es aber final klappen! πŸ˜‰
Member: onkelbob
onkelbob Oct 13, 2023 at 23:33:21 (UTC)
Goto Top
Moin ,moin,
nein leider noch kein Erfolg, das gerät was an VLAN 10 oder 20 hängt bekommt auch keine IP zugewiesen.
Ich jetzt nochmal zum testen an VLAN 10 die ACL an VLAN 20 ohne ACL.
VLAN 10 kann nicht ins Internet VLAN 20 geht ohne Probleme sieht aber auch die FB 192.168.20.1 was nicht soll.
Hier nochmal die Config:
(ich habe den switch nochmal auf Werkseinstellung gestellt darum sind noch Sicherheitslücken vorhanden nicht wundern)
no aaa new-model
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
ip routing
ip domain-lookup source-interface Vlan1
ip name-server 192.168.20.1
ip dhcp excluded-address 172.16.10.1 172.16.10.49
ip dhcp excluded-address 172.16.10.200 172.16.10.254
ip dhcp excluded-address 172.16.20.1 172.16.20.49
ip dhcp excluded-address 172.16.20.200 172.16.20.254
!
ip dhcp pool VLAN-10
   network 172.16.10.0 255.255.255.0
   default-router 172.16.10.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa
   option 42 ip 130.149.7.7
!
ip dhcp pool VLAN-20
   network 172.16.20.0 255.255.255.0
   default-router 172.16.20.1
   dns-server 192.168.20.1
   domain-name onkelbob.home.arpa1
   option 42 ip 130.149.7.7
!
interface FastEthernet0/1
 description VLAN 10 Port
 switchport access vlan 10
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/2
 description VLAN 20 Port
 switchport access vlan 20
 switchport mode access
 spanning-tree portfast
!
interface Vlan1
 description L3 Interface VLAN-1 (Fritzbox)
 ip address 192.168.20.254 255.255.255.0
!
interface Vlan10
 description L3 Interface VLAN-10
 ip address 172.16.10.1 255.255.255.0
 ip access-group NOFRITZ-10 in
!
interface Vlan20
 description L3 Interface VLAN-20
 ip address 172.16.20.1 255.255.255.0
 ip access-group NOFRITZ-20 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.20.1
ip http server
ip http secure-server
!
ip access-list extended NOFRITZ-10
 remark Block FB-Netz (VLAN1)
 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq domain
 deny   ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip 172.16.10.0 0.0.0.255 any
!
ip sla enable reaction-alerts
no cdp run
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
end
gruß stefan
Member: aqui
aqui Oct 14, 2023, updated at Oct 15, 2023 at 11:41:35 (UTC)
Goto Top
darum sind noch Sicherheitslücken vorhanden...
Und Konfig Fehler. Der VLAN 20 Domain Name hat eine "1" zuviel in der TLD! face-wink
bekommt auch keine IP zugewiesen.
Ooops... stimmt, da hast du Recht, denn die ACL blockiert natürlich auch DHCP wenn man das nicht freigibt. Shame on me... 🀦‍♂️ Man sollte doch mal die eigenen Tutorials lesen. 😎

Grund ist, das Clients ohne IP einen DHCP Request mit einer Absender IP 0.0.0.0 senden und die bleibt in der ACL oben hängen, weil ja einzig nur 172.16.er Absender IPs erlaubt sind aber keine 0.0.0.0.
Ein "permit udp any eq bootpc any eq bootps" am Anfang erlaubt so eingehend DHCP Client Requests mit Sourceport: UDP bootp client und Destination Port: UDP bootp server.
Hinzugefügt in beiden VLAN ACLs korrigiert es damit sofort diesen Fauxpas.
Siehe zu der DHCP ACL Thematik auch diesen Forenthread.
Sorry nochmal für die Verwirrung durch den Fehler... 😡‍πŸ’«
Hättest du aber mit einer statischen IP am Endgerät auch erstmal testweise temporär umgehen können. face-wink

Hier nun die jetzt korrekte Deluxe Variante die nun auch DHCP vom Endgerät passieren lässt:
ip access-list extended NOFRITZ-10
 5 remark Block FB-Netz (VLAN1)
 10 permit udp any eq bootpc any eq bootps
 20 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 53 123
 30 permit tcp 172.16.10.0 0.0.0.255 host 192.168.20.1 eq 53 123
 40 deny   ip 172.16.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (log-input)
 50 permit ip 172.16.10.0 0.0.0.255 any 
So, nun aber....!!! πŸ˜‰
Member: aqui
aqui Oct 18, 2023 at 10:10:40 (UTC)
Goto Top
Wenn es denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
Member: onkelbob
onkelbob Oct 20, 2023 at 23:19:44 (UTC)
Goto Top
Super danke klappt face-wink

1 anliegen hätte ich noch was bedeutet die Zeile genau?
10 permit udp any eq bootpc any eq bootps
und in der zeile
20 permit udp 172.16.10.0 0.0.0.255 host 192.168.20.1 **eq** 53 123
das eq.
Gibt es da eine Übersicht um z.B auch einzelne Webseiten zu sperren?

besten dank face-smile
Member: aqui
aqui Oct 21, 2023 updated at 07:37:23 (UTC)
Goto Top
Super danke klappt
πŸ‘ So sollte es sein! πŸ˜‰
was bedeutet die Zeile genau?
Erlaube (permit) UDP Pakete mit egal welcher Absenderadresse (any) und Source Port UDP 68 (eq = equals = gleich. bootp"c" = client 68) zu egal welcher Zieladresse (any) und Zielport UDP 68 (eq = equals = gleich. bootp"s" = server 67). DHCP ist eine Erweiterung vom Bootp Protokoll.
Frei übersetzt bedeutet das, das jeder Traffic mit UDP Source Port 68 (bootpc) und UDP Destination Port 67 (bootps) passieren darf. Sprich alle DHCP Requests dürfen durch. Any muss man deshalb nehmen weil 0.0.0.0 und 255.255.255.255 als Adressangabe in der ACL nicht funktioniert.
und in der zeile
Erlaube UDP mit jeder Absender IP 172.16.10.x auf die Ziel IP 192.168.20.1 wenn es gleich (eq=equals) DNS und NTP Traffic ist.
Frei übersetzt: Erlaube aus dem .10er Netz allen UDP Traffic auf die Fritzbox wenn es DNS und NTP ist.

Hope this helps und die ACL ist damit für dich verständlich?!
Member: aqui
aqui Oct 24, 2023 at 14:00:57 (UTC)
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!