panchon
Goto Top

Cisco 866VAE-K9 - DHCP im Gäste-VLAN funktioniert nicht

Hallo allerseits,

ausgehend von diesem Thread (Cisco 866VAE-K9 - Freifunk-VLAN sicher von Firmen-VLAN trennen?), bei dem es um die Einrichtung eines von den anderen VLANs isolierten VLAN für eine Freifunk-Beteiligung geht, habe ich ein abschließendes Problem, für das ich nun doch lieber einen neuen Thread erstelle.

Im Prinzip funktioniert meine Konfiguration für das Netz im Freifunk-VLAN, aber das Restproblem ist nervig: DHCP funktioniert für dieses Netz nicht (für die beiden anderen VLANs schon). Ich kann den Fehler leider nicht finden und hoffe, jemand weiß Rat.

Bei der Einrichtung des Freifunk-VLANs habe ich mich einerseits an die Antworten im oben verlinkten Thread gehalten und mich andererseits an aquis ausführlicher Beschreibung betreffend eines Gastnetzes in diesem Thread (Cisco 866VAE-K9 ACL-Konfiguration) orientiert.

Zum Testen habe ich einen Win7-Rechner an das VLAN3 angeschlossen. Er funktioniert auch perfekt (Internet-Zugriff klappt, Zugriff auf VLAN1 und VLAN2 ist nicht möglich), aber ich muß IP-Adresse etc. manuell eingeben. DHCP klappt, wie gesagt, nicht. Hier meine aktuelle Konfiguaration:

!
! Last configuration change at 14:11:44 Berlin Mon Feb 1 2016 by franz
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Moringaoelbaum
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
wan mode dsl
clock timezone Berlin 1 0
clock summer-time Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.0.131 192.168.0.198
ip dhcp excluded-address 192.168.0.200 192.168.0.254
ip dhcp excluded-address 192.168.0.1 192.168.0.4
ip dhcp excluded-address 192.168.0.54 192.168.0.64
ip dhcp excluded-address 192.168.2.62 192.168.2.65
!
ip dhcp pool Lattich
 host 192.168.0.53 255.255.255.0
 hardware-address 047d.7b56.8ae1 ieee802
 client-name Lattich
!
ip dhcp pool Vlan1-Internal
 import all
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 dns-server 192.168.0.1
 domain-name irgendwer.daham
 lease 0 2
!
ip dhcp pool Vlan2
 import all
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
 dns-server 192.168.0.1
 lease 0 2
!
ip dhcp pool Begleiter
 host 192.168.0.50 255.255.255.0
 hardware-address 50ea.d696.2670
 client-name Begleiter
!
ip dhcp pool Kumis
 host 192.168.0.51 255.255.255.0
 hardware-address 442a.608a.6c2a
 client-name Kumis
!
ip dhcp pool Klatschmohn
 host 192.168.0.199 255.255.255.0
 client-identifier 0100.237d.1eaa.8a
 default-router 192.168.0.1
 dns-server 192.168.0.1
 client-name Klatschmohn
 domain-name irgendwer.daham
!
ip dhcp pool Amt
 host 192.168.2.65 255.255.255.0
 hardware-address 0030.4868.b64a
 default-router 192.168.2.1
 dns-server 192.168.2.1
 client-name Amt
 domain-name irgendwer.daham
!
ip dhcp pool Mauswicke
 host 192.168.2.2 255.255.255.0
 client-identifier 0100.0b82.4683.09
 default-router 192.168.2.1
 dns-server 192.168.2.1
 client-name Mauswicke
 domain-name irgendwer.daham
!
ip dhcp pool FreifunkVlan
 import all
 network 172.16.0.0 255.255.255.0
 dns-server 172.16.0.1 8.8.8.8
 default-router 172.16.0.1
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip domain name irgendwer.daham
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2733807167
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2733807167
 revocation-check none
 rsakeypair TP-self-signed-2733807167
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
 subject-name e=sdmtest@sdmtest.com
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-2733807167
 certificate self-signed 01 nvram:IOS-Self-Sig#B.cer
crypto pki certificate chain test_trustpoint_config_created_for_sdm
!
!
username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
controller VDSL 0
 operating mode vdsl2
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
 no ip route-cache
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 no ip route-cache
 pppoe-client dial-pool-number 1
 no cdp enable
!
interface FastEthernet0
 description Freifunk
 switchport access vlan 3
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 description CommonServmces
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.0.1 255.255.255.0
 ip helper-address 192.168.2.255
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan2
 description CommonServmces-FE3
 ip address 192.168.2.1 255.255.255.0
 ip helper-address 192.168.0.255
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Vlan3
 description Freifunk-FE0
 ip address 172.16.0.1 255.255.255.0
 ip access-group freifunk-only in
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
!
interface Dialer0
 description DSL Einwahl-Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip inspect myfw out
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication chap pap callin
 ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp chap password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 120 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.xxx yyyy aaa.bbb.ccc.ddd yyyy extendable
...
...
...
!
ip access-list extended freifunk-only
 deny   ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
 deny   ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
 deny   ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
 permit ip 172.16.0.0 0.0.0.255 any
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 111 permit tcp host zzz.yyy.xxx.www host aaa.bbb.ccc.ddd eq aaaa
...
...
...
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny   ip any any
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit ip 192.168.2.0 0.0.0.255 any
access-list 120 permit ip 172.16.0.0 0.0.0.255 any
dialer-list 1 protocol ip list 120
!
no cdp run
!
!
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 60000 1000
end


Vielen Dank vorab.

Viele Grüße
Franz

Content-ID: 294913

Url: https://administrator.de/contentid/294913

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

panchon
panchon 03.02.2016 aktualisiert um 15:40:55 Uhr
Goto Top
Schönen Nachmittag allerseits,

ich habe noch ein wenig weitergemacht. Das Problem des nicht funktionierenden DHCP muß irgendwas mit der Zeile
 ip access-group freifunk-only in 
aus dieser VLAN-Definition zu tun haben:
interface Vlan3 
 description Freifunk-FE0 
 ip address 172.16.0.1 255.255.255.0 
 ip access-group freifunk-only in 
 ip nat inside 
 ip virtual-reassembly in 
 ip tcp adjust-mss 1452 

Wenn ich die Zeile entferne, wird eine IP zugewiesen, baue ich sie wieder ein, bleibt DHCP stumm. Bringt das jemand auf eine Idee? Kann ich mein Problem ohne die extended access-list lösen?

freifunk-only scaut so aus:
ip access-list extended freifunk-only 
 deny   ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255 
 deny   ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255 
 deny   ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255 
 permit ip 172.16.0.0 0.0.0.255 any 


Langsam wird's total frustierend. Trotzdem werd ich irgendwann eine Lösung finden.

Viele Grüße
Franz
BitBurg
Lösung BitBurg 04.02.2016 aktualisiert um 16:02:35 Uhr
Goto Top
Hallo,

die Access-List untersucht nur Pakete, die aus dem Netz 172.16.0.0/24 stammen. Alle anderen Pakete werden verworfen, da am Ende einer ACL immer ein "implicit deny" (deny ip any any) steht.

Hosts, die über DHCP eine IP-Adresse anfordern, benutzen die 0.0.0.0 als Quell-IP. Als Transport-Protocol wird UDP, mit den Ports 68 (Client) und 67 (Server) benutzt.

Du musst also so etwas wie: "permit udp any eq 68 any eq 67", als am besten ersten Eintrag, in die ACL einfügen, wobei du den Quellport auch weglassen kannst. Oder du änderst die Zeile 5 in ein "permit ip any any" um, aber das ist nicht ganz so sauber.

Viel Erfolg.
aqui
Lösung aqui 04.02.2016 aktualisiert um 16:00:08 Uhr
Goto Top
die Access-List untersucht nur Pakete, die aus dem Netz 172.16.0.0/24 stammen.
Das ist schlicht falsch...sorry
Die ACL untersucht erstmal generell alle Pakete die an diesem Port IN den Router hineingelangen.
Dabei macht sie folgendes:
  • Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 192.168.0.x reinkommt.
  • Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 192.168.2.x reinkommt.
  • Sie verbietet alles was mit einer Absender IP 172.16.0.x und mit einer Ziel IP 10.x.x.x reinkommt.
  • Alles andere mit einer Absender IP 172.16.0.x und anderen Ziel IPs wird durchgelassen.
Das diese ACL aber irgendwas mit dem DHCP zu tun haben soll ist Unsinn, denn auf dem IP Segment 172.16..0.0 /24 an VLAN3 wird ja keinerlei IP vergeben von dem Router.
Der Router kann nur auf IP Netzen 192.168.x.x IP Adressen vergeben für die er ja konfigurert ist bzw. Adresspools hat.
Für den 172er Bereich fehlt aber ein entsprechender Eintrag in der Router Konfig ala: ip dhcp excluded-address 172.16.0.1 172.16.0.100 etc ! Ohne diesen Exclusion bereich kann der Router DHCP keine IPs vergeben, da für ihn logischerweise kein Pool vorhanden ist.
Mindenstens aber die .1 des VLAN3 Interfaces hätte man zwingend excluden müssen mit /ip dhcp excluded-address 172.16.0.1 172.16.0.1 damit es nicht zu einer Doppelvergabe der Router IP kommt !!!
Vermutlich also ein Flüchtigkeitsfehler in der Router DHCP Konfig, kann das sein ??
permit udp any eq 68 any eq 67"
Das wäre schon eher der richtige Weg....
Wenn ein Client keine IP hat und einen DHCP Broadcast losschickt hat er logischerweise eine Absender IP von 0.0.0.0. und sendet ein Request per All Net Broadcast (255.255.255.255) an Port UDP 67 mit dem Absenderport UDP 68. Für einen Request des DHCP Clients muss eine inbound ACL dann also UDP 67 durchlassen.
Das ist dann genau der Punkt, denn die o.a. ACL freifunk-only erlaubt einzig und allein Pakete mit einer Absender IP von 172.16.0.x. Folglich blockiert sie also auch das Request Paket des Clients mit der Absender IP 0.0.0.0. Er hat ja schlicht und einfach keine IP.
Hier macht der TO also seinen Denkfehler...abgesehen von der fehlenden IP Pool Konfiguration für das 172.16.0.0er Netz zusätzlich oben.
Richtig müsste die vlan 3 ACL also lauten:
ip access-list extended freifunk-only
deny ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 172.16.0.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip any eq 68 any eq 67
permit ip 172.16.0.0 0.0.0.255 any
panchon
panchon 04.02.2016 um 15:59:58 Uhr
Goto Top
Hallo BitBurg,

ich denke, es ist nun vollbracht. Dein Hinweis und noch zwei weitere, die ich über zwei Ecken bekomme habe, haben mir geholfen. Ich bin noch vorsichtig, aber ich denk' das jedenfalls. Folgende Abschnitte habe ich geändert:

interface Vlan3
 description Freifunk-FE2
 ip address 172.16.0.1 255.255.255.0 
 ip helper-address 172.16.0.255
 ip access-group freifunk-only in 
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
und
ip access-list extended freifunk-only
 permit udp any any eq bootpc
 permit udp any any eq bootps
 permit udp any any eq domain
 permit udp 172.0.0.0 0.0.0.255 any eq ntp
 deny   ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
 deny   ip 172.16.0.0 0.0.0.255 192.168.2.0 0.0.0.255
 deny   ip any 10.0.0.0 0.255.255.255 
 permit ip 172.16.0.0 0.0.0.255 any
 deny   ip any any !


Das scheint's gewesen zu sein, denn der Windows-Rechner bekommt nun klaglos seine IP, kann nicht auf die anderen VLANs, aber nach draußen schon zugreifen. Exakt so wollte ich das haben. Wunderbar.

Ich danke dir ganz herzlich und nicht zuletzt auch deswegen, weil du's mir erklärt hast.

Viele Grüße
Franz
panchon
panchon 04.02.2016 aktualisiert um 16:05:40 Uhr
Goto Top
@aqui: Ups, dein Beitrag war gerade eben noch nicht da. Er freut mich aber trotzdem. Ich schau' mir das heute abend genauer an und versuche, deine Informationen nachzuvollziehen und das, was ich inzwischen gebaut habe, zu aktualisieren.

Edit: Hab's gerade gelesen und es scheint logisch. Umso mehr werd ich's mir heute abend anschauen und dann einbauen.

Vielen Dank, aqui
Franz
aqui
aqui 05.02.2016 um 00:01:46 Uhr
Goto Top
Ein access-list freifunk permit udp any any eq bootps geht auch.
Ein paar grobe Fehler in der Konfig:
  • die ip helper-address 172.16.0.255 auf dem VLAN 3 Interface ist Blödsinn. Die Helper Adress gibt einen zentralen DHCP Server an, an den der Router DHCP Requests von diesem Interface forwardet. a.) das kann niemals eine Broadcast Adresse sein, das ist per se falsch und b.) die VLAN 3 IP ist im gleichen IP Netz. Es wäre Unsinn Requests des gleichen IPs Segments an eine Ziel IP die im gleichen Netz ist zu forwarden. Diese unsinnige Konfig leuchtet sicher auch dir ein, oder ?
  • Directed Broadcasts ist ein erhebliches Sicherheitsrisiko und sollte man besser immer deaktivieren !
  • permit udp 172.0.0.0 0.0.0.255 Mmmhhh... 172.0.0.0 /24 ist ein öffentliches Netz und KEIN privates RFC 1918 IP Netz. Bist du dir sicher das diese Regel richtig ist ?!
  • deny ip any any Das ist immer Default am Ende der ACL...kannst du auch weglassen.
panchon
panchon 08.02.2016 aktualisiert um 13:12:48 Uhr
Goto Top
Hallo aqui,

ich danke dir. Gib mir bitte zwei, drei Tage Zeit, um deine Hinweise umzusetzen*. Ich muß gerade mal wieder "normal" arbeiten und weiß nicht, wo zuerst hinlangen. Ich melde mich, sobald ich durch bin.

Vielen Dank einstweilen
Franz

  • Werde mich schon wegen der Sicherheit beeilen damit.
aqui
aqui 09.02.2016 aktualisiert um 20:42:26 Uhr
Goto Top
Gib mir bitte zwei, drei Tage Zeit, um deine Hinweise umzusetzen
Aber natürlich !! Auch 4 oder 5 !! Hauptsache du machst es richtig... face-wink