Cisco 866VAE-K9 - DHCP im Gäste-VLAN funktioniert nicht
Hallo allerseits,
ausgehend von diesem Thread (Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?), bei dem es um die Einrichtung eines von den anderen VLANs isolierten VLAN für eine Freifunk-Beteiligung geht, habe ich ein abschließendes Problem, für das ich nun doch lieber einen neuen Thread erstelle.
Im Prinzip funktioniert meine Konfiguration für das Netz im Freifunk-VLAN, aber das Restproblem ist nervig: DHCP funktioniert für dieses Netz nicht (für die beiden anderen VLANs schon). Ich kann den Fehler leider nicht finden und hoffe, jemand weiß Rat.
Bei der Einrichtung des Freifunk-VLANs habe ich mich einerseits an die Antworten im oben verlinkten Thread gehalten und mich andererseits an aquis ausführlicher Beschreibung betreffend eines Gastnetzes in diesem Thread (Cisco 866VAE-K9 ACL-Konfiguration) orientiert.
Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert auch perfekt (Internet-Zugriff klappt, Zugriff auf VLAN1 und VLAN2 ist nicht möglich), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:
Vielen Dank vorab.
Viele Grüße
Franz
ausgehend von diesem Thread (Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?), bei dem es um die Einrichtung eines von den anderen VLANs isolierten VLAN für eine Freifunk-Beteiligung geht, habe ich ein abschließendes Problem, für das ich nun doch lieber einen neuen Thread erstelle.
Im Prinzip funktioniert meine Konfiguration für das Netz im Freifunk-VLAN, aber das Restproblem ist nervig: DHCP funktioniert für dieses Netz nicht (für die beiden anderen VLANs schon). Ich kann den Fehler leider nicht finden und hoffe, jemand weiß Rat.
Bei der Einrichtung des Freifunk-VLANs habe ich mich einerseits an die Antworten im oben verlinkten Thread gehalten und mich andererseits an aquis ausführlicher Beschreibung betreffend eines Gastnetzes in diesem Thread (Cisco 866VAE-K9 ACL-Konfiguration) orientiert.
Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert auch perfekt (Internet-Zugriff klappt, Zugriff auf VLAN1 und VLAN2 ist nicht möglich), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:
!
! Last configuration change at 14:11:44 Berlin Mon Feb 1 2016 by franz
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Moringaoelbaum
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
wan mode dsl
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.0.131 192.168.0.198
ip dhcp excluded-address 192.168.0.200 192.168.0.254
ip dhcp excluded-address 192.168.0.1 192.168.0.4
ip dhcp excluded-address 192.168.0.54 192.168.0.64
ip dhcp excluded-address 192.168.2.62 192.168.2.65
!
ip dhcp pool Lattich
host 192.168.0.53 255.255.255.0
hardware-address 047d.7b56.8ae1 ieee802
client-name Lattich
!
ip dhcp pool Vlan1-Internal
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
domain-name irgendwer.daham
lease 0 2
!
ip dhcp pool Vlan2
import all
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.0.1
lease 0 2
!
ip dhcp pool Begleiter
host 192.168.0.50 255.255.255.0
hardware-address 50ea.d696.2670
client-name Begleiter
!
ip dhcp pool Kumis
host 192.168.0.51 255.255.255.0
hardware-address 442a.608a.6c2a
client-name Kumis
!
ip dhcp pool Klatschmohn
host 192.168.0.199 255.255.255.0
client-identifier 0100.237d.1eaa.8a
default-router 192.168.0.1
dns-server 192.168.0.1
client-name Klatschmohn
domain-name irgendwer.daham
!
ip dhcp pool Amt
host 192.168.2.65 255.255.255.0
hardware-address 0030.4868.b64a
default-router 192.168.2.1
dns-server 192.168.2.1
client-name Amt
domain-name irgendwer.daham
!
ip dhcp pool Mauswicke
host 192.168.2.2 255.255.255.0
client-identifier 0100.0b82.4683.09
default-router 192.168.2.1
dns-server 192.168.2.1
client-name Mauswicke
domain-name irgendwer.daham
!
ip dhcp pool FreifunkVlan
import all
network 172.16.0.0 255.255.255.0
dns-server 172.16.0.1 8.8.8.8
default-router 172.16.0.1
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip domain name irgendwer.daham
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2733807167
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2733807167
revocation-check none
rsakeypair TP-self-signed-2733807167
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-2733807167
certificate self-signed 01 nvram:IOS-Self-Sig#B.cer
crypto pki certificate chain test_trustpoint_config_created_for_sdm
!
!
username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
controller VDSL 0
operating mode vdsl2
!
!
!
!
!
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
no ip address
no ip route-cache
!
interface Ethernet0.7
description VDSL Internet Verbindung - VLAN 7 tagged
encapsulation dot1Q 7
no ip route-cache
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet0
description Freifunk
switchport access vlan 3
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description CommonServmces
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
description Lokales LAN
ip address 192.168.0.1 255.255.255.0
ip helper-address 192.168.2.255
ip directed-broadcast
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description CommonServmces-FE3
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.0.255
ip directed-broadcast
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description Freifunk-FE0
ip address 172.16.0.1 255.255.255.0
ip access-group freifunk-only in
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description DSL Einwahl-Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip inspect myfw out
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
no ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 120 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.xxx yyyy aaa.bbb.ccc.ddd yyyy extendable
...
...
...
!
ip access-list extended freifunk-only
deny ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 172.16.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 111 permit tcp host zzz.yyy.xxx.www host aaa.bbb.ccc.ddd eq aaaa
...
...
...
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit ip 192.168.2.0 0.0.0.255 any
access-list 120 permit ip 172.16.0.0 0.0.0.255 any
dialer-list 1 protocol ip list 120
!
no cdp run
!
!
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input ssh
!
scheduler allocate 60000 1000
end
Vielen Dank vorab.
Viele Grüße
Franz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294913
Url: https://administrator.de/contentid/294913
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
die Access-List untersucht nur Pakete, die aus dem Netz 172.16.0.0/24 stammen. Alle anderen Pakete werden verworfen, da am Ende einer ACL immer ein "implicit deny" (deny ip any any) steht.
Hosts, die über DHCP eine IP-Adresse anfordern, benutzen die 0.0.0.0 als Quell-IP. Als Transport-Protocol wird UDP, mit den Ports 68 (Client) und 67 (Server) benutzt.
Du musst also so etwas wie: "permit udp any eq 68 any eq 67", als am besten ersten Eintrag, in die ACL einfügen, wobei du den Quellport auch weglassen kannst. Oder du änderst die Zeile 5 in ein "permit ip any any" um, aber das ist nicht ganz so sauber.
Viel Erfolg.
die Access-List untersucht nur Pakete, die aus dem Netz 172.16.0.0/24 stammen. Alle anderen Pakete werden verworfen, da am Ende einer ACL immer ein "implicit deny" (deny ip any any) steht.
Hosts, die über DHCP eine IP-Adresse anfordern, benutzen die 0.0.0.0 als Quell-IP. Als Transport-Protocol wird UDP, mit den Ports 68 (Client) und 67 (Server) benutzt.
Du musst also so etwas wie: "permit udp any eq 68 any eq 67", als am besten ersten Eintrag, in die ACL einfügen, wobei du den Quellport auch weglassen kannst. Oder du änderst die Zeile 5 in ein "permit ip any any" um, aber das ist nicht ganz so sauber.
Viel Erfolg.
die Access-List untersucht nur Pakete, die aus dem Netz 172.16.0.0/24 stammen.
Das ist schlicht falsch...sorryDie ACL untersucht erstmal generell alle Pakete die an diesem Port IN den Router hineingelangen.
Dabei macht sie folgendes:
- Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 192.168.0.x reinkommt.
- Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 192.168.2.x reinkommt.
- Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 10.x.x.x reinkommt.
- Alles andere mit einer Absender IP 172.16.0.x und anderen Ziel IPs wird durchgelassen.
Der Router kann nur auf IP Netzen 192.168.x.x IP Adressen vergeben für die er ja konfigurert ist bzw. Adresspools hat.
Für den 172er Bereich fehlt aber ein entsprechender Eintrag in der Router Konfig ala: ip dhcp excluded-address 172.16.0.1 172.16.0.100 etc ! Ohne diesen Exclusion bereich kann der Router DHCP keine IPs vergeben, da für ihn logischerweise kein Pool vorhanden ist.
Mindenstens aber die .1 des VLAN3 Interfaces hätte man zwingend excluden müssen mit /ip dhcp excluded-address 172.16.0.1 172.16.0.1 damit es nicht zu einer Doppelvergabe der Router IP kommt !!!
Vermutlich also ein Flüchtigkeitsfehler in der Router DHCP Konfig, kann das sein ??
permit udp any eq 68 any eq 67"
Das wäre schon eher der richtige Weg....Wenn ein Client keine IP hat und einen DHCP Broadcast losschickt hat er logischerweise eine Absender IP von 0.0.0.0. und sendet ein Request per All Net Broadcast (255.255.255.255) an Port UDP 67 mit dem Absenderport UDP 68. Für einen Request des DHCP Clients muss eine inbound ACL dann also UDP 67 durchlassen.
Das ist dann genau der Punkt, denn die o.a. ACL freifunk-only erlaubt einzig und allein Pakete mit einer Absender IP von 172.16.0.x. Folglich blockiert sie also auch das Request Paket des Clients mit der Absender IP 0.0.0.0. Er hat ja schlicht und einfach keine IP.
Hier macht der TO also seinen Denkfehler...abgesehen von der fehlenden IP Pool Konfiguration für das 172.16.0.0er Netz zusätzlich oben.
Richtig müsste die vlan 3 ACL also lauten:
ip access-list extended freifunk-only
deny ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip any eq 68 any eq 67
permit ip 172.16.0.0 0.0.0.255 any
Ein access-list freifunk permit udp any any eq bootps geht auch.
Ein paar grobe Fehler in der Konfig:
Ein paar grobe Fehler in der Konfig:
- die ip helper-address 172.16.0.255 auf dem VLAN 3 Interface ist Blödsinn. Die Helper Adress gibt einen zentralen DHCP Server an, an den der Router DHCP Requests von diesem Interface forwardet. a.) das kann niemals eine Broadcast Adresse sein, das ist per se falsch und b.) die VLAN 3 IP ist im gleichen IP Netz. Es wäre Unsinn Requests des gleichen IPs Segments an eine Ziel IP die im gleichen Netz ist zu forwarden. Diese unsinnige Konfig leuchtet sicher auch dir ein, oder ?
- Directed Broadcasts ist ein erhebliches Sicherheitsrisiko und sollte man besser immer deaktivieren !
- permit udp 172.0.0.0 0.0.0.255 Mmmhhh... 172.0.0.0 /24 ist ein öffentliches Netz und KEIN privates RFC 1918 IP Netz. Bist du dir sicher das diese Regel richtig ist ?!
- deny ip any any Das ist immer Default am Ende der ACL...kannst du auch weglassen.