Cisco 897VA keine IP im Gästenetz

Hallo,

leider bekommt mein Gastnetz keine IP vom DHCP zugewiesen...

Wenn ich allerdings das "ip access-group gastnetz in" im VLAN2 enferne klappt es.
Ich denke mir fehlt ein eintrag in der access-list, ich komme aber nicht drauf was da fehlt...

Vielen Dank schon im Voraus!

Grüße

Building configuration...

Current configuration : 7711 bytes
!
! Last configuration change at 11:39:44 CET Sun Nov 3 2019
! NVRAM config last updated at 11:28:23 CET Sun Nov 3 2019 by admin
!
version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 5 $1$Sbxk$OtWna1nhQuA3zXaP.0dal0
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local 
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-235961381
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-235961381
 revocation-check none
 rsakeypair TP-self-signed-235961381
!
!
crypto pki certificate chain TP-self-signed-235961381
 certificate self-signed 01
  30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 32333539 36313338 31301E17 0D313931 31303130 39323530 
  325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3233 35393631 
  33383130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  B39FABDA 5D503E10 408C3FD7 233A0BE3 2B122A12 E5BE3C72 E07DD15A 89C6633B 
  7FF9EEFB D11AE18C 33596859 F730A670 FBDBB6F9 DB5EA874 4EB85DFF A3192812 
  4AF16F31 B3A5466B E84D05C5 9F073232 C0728549 96D33329 3E86ECE4 4325AA33 
  25B77144 27E84E21 3BD49293 8485360A 86BF087E 72B37367 AFA3614E C3958F39 
  02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D 
  23041830 16801404 F1E28D4D 8C88F48A 06C07330 F69A255D 2EA5C230 1D060355 
  1D0E0416 041404F1 E28D4D8C 88F48A06 C07330F6 9A255D2E A5C2300D 06092A86 
  4886F70D 01010505 00038181 009CA250 853E878B F7A967A7 44D65A9F FF5B3390 
  6A1E151C 559ECC53 F8DE3732 D19A1D08 E855BE17 A944CA2F 012CA87E C6CFB966 
  B9C62097 F0E7EA78 3B7F192D BAB3B9F4 7D02E990 276DC17D 2D641D94 4BE89CA4 
  FBD4B234 0577528F 946663D1 37E3EBC8 3A1FCE2B 7E403B2E E6F64D27 E6E8C025 
  19084827 B113DE19 B5822A72 97
  	quit
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 192.168.100.1 192.168.100.100
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.50
ip dhcp excluded-address 172.16.100.200 172.16.100.254
ip dhcp excluded-address 192.168.99.200 192.168.99.254
ip dhcp excluded-address 192.168.99.1 192.168.99.149
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254 
 dns-server 192.168.100.254 
 option 42 ip 130.149.17.8 
 domain-name Meinnetzwerknetz.home.arpa
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254 
 dns-server 172.16.100.254 
 option 42 ip 130.149.17.8 
 domain-name gast.Meinnetzwerknetz.home.arpa
!
ip dhcp pool VoIPflex
 network 192.168.99.0 255.255.255.0
 default-router 192.168.99.254 
 dns-server 192.168.99.254 
 option 42 ip 130.149.17.8 
 domain-name VoIP.Meinnetzwerknetz.home.arpa
!
ip dhcp pool VoIP
 host 192.168.99.3 255.255.255.0
 hardware-address 0004.1393.3e96
 default-router 192.168.99.254 
 dns-server 192.168.99.254 
 option 42 ip 130.149.17.8 
 domain-name Meinnetzwerkvoip.home.arpa
 client-name Telefon-Buero
!
!
!
ip domain name Meinnetzwerknetz.home.arpa
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
cts logging verbose
license udi pid C897VA-K9 sn FCZ201494B0
!
!
username admin password 0 Geheim123
!
!
!
!
!
controller VDSL 0
!
ip ssh time-out 60
! 
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 no ip address
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung Telekom
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 description Tagged Uplink auf VLAN Switch
 switchport mode trunk
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 description Internet
 switchport access vlan 99
 no ip address
 no cdp enable
!
interface GigabitEthernet8
 description Kabel-TV Internet
 ip address dhcp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Vlan1
 description Lokales LAN (GigabitEthernet0 bis 2)
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz (GigabitEthernet3)
 ip address 172.16.100.254 255.255.255.0
 ip access-group gastnetz in
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Vlan20
 ip address 192.168.99.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1448
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 bandwidth 10000
 bandwidth receive 50000
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Meinnetzwerk@t-online-com.de password 0 
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet8 overload
!
ip access-list extended gastnetz
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 deny   ip any any
 permit udp any any eq bootpc
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.99.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 deny   ip any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 transport input ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source Dialer0
ntp server pnpntpserver.fritz.box
!
!
!
end

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 511713

Url: https://administrator.de/forum/cisco-897va-keine-ip-im-gaestenetz-511713.html

Ausgedruckt am: 26.04.2025 um 11:04 Uhr

7 Kommentare

Neuester Kommentar

Wie immer machst du auch hier den typischen Anfänger Denkfehler bei Filter- oder Access Listen !!

Es gibt eine eiserne Grundregel: "First match wins !"
Bedeutet auf Deutsch: Nach dem ersten positiven Hit in der ACL wird der Rest nicht mehr abgearbeitet !!! Es zählt also immer die logische Reihenfolge im ACL Regelwerk !
Du siehst also das Unglück bei deiner ACL und schon selber...oder ?
Wenn nein:
Das deny ip any any ist der positive Hit für alles an dem Port. Die ACL wird also niemals mehr das nachfolgende Statement zum Passieren der DHCP Requests ausführen können.
Vollkommen logisch also das keiner der Clients im Gastnetz dann je eine gültige IP Adresse bekommt, denn die Requests kommen so nie beim Router an...!!!
Etwas Nachdenken hilft also...

Richtig ist:
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Das deny any any Statement ganz am Schluss kannst du übrigens getrost weglassen, das ist immer Default !
Case closed !
(P.S.: Es hätte hier übrigens der Übersicht gut getan wenn du rein nur Thread bezogen die ACL als Verursacher gepostet hättest statt wieder die gesamte Routerkonfig und deren Kryptokeys....)

Ja, hast du recht, ich versuche irgendwie rein zu kommen, das Thema ist doch deutlich komplexer wie ich anfangs dachte...

Leider klappt es aber immer noch nocht....

!
ip access-list extended gastnetz
 permit udp any any eq bootpc
 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 permit udp 172.16.100.0 0.0.0.255 any eq domain
 permit tcp 172.16.100.0 0.0.0.255 any eq www
 permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.99.0 0.0.0.255 any
access-list 111 deny   ip any any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
!
!

Sorry, hatte ich oben noch vergessen. bootpc ist natürlich auch falsch, denn das ist der Reply (Port 68) ! Als Zielport muss dort natürlich UDP 67 stehen, denn das verwendet der Request, sprich also bootps !
Richtig ist dann:
!
ip access-list extended gastnetz
permit udp any any eq bootps
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Wenn du die ACL noch etwas wasserdichter machen willst setzt du auch den Quellport:
permit udp any eq bootpc any eq bootps
Siehe auch hier:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...

Jetzt läuft das Gäste-LAN perfekt!
Vielen Dank auch hier für deine Hilfe!

Ich hätte noch eine Frage zu den festen IP-Adressen:
Muss ich für jeden eine "extra" Pool anlegen, oder kann man die auch zusammen fassen?

Danke und Grüße

Jetzt läuft das Gäste-LAN perfekt!

Gewusst wie !

Muss ich für jeden eine "extra" Pool anlegen, oder kann man die auch zusammen fassen?

Wie willst du die denn technisch zusammenfassen ?? Da die ja immer abhängig von der jeweiligen individuellen Hardware Adresse (Mac Adresse) sind kann sowas nicht gehen und du musst die natürlich einzeln setzen. Ist ja bei einer FritzBox usw. auch genau so.
HIER steht wie es geht.