mariocisco
Goto Top

CISCO 926-4P SEC Lizenz ,CLM oder Installation Lizenz USB und Zone Based Firewall

Hallo ,

ich möchte eine Zone Base Firewall installieren aber ich habe das Problem dass ich die Lizenz gerne über USB installieren bzw. einspielen würde aber dieses laut der Anleitung die ich zugeschickt bekommen habe nicht funktioniert.

Des weiteren kann ich den CLM den Cisco License Manager über den Link welchen ich erhalten habe nicht herunterladen und deshalb Frage ich hier nach ob ihr das selbe Problem habt oder mir bezüglich der Installation weiterhelfen könnt.

Gruß

Mario

Content-ID: 1220798787

Url: https://administrator.de/forum/cisco-926-4p-sec-lizenz-clm-oder-installation-lizenz-usb-und-zone-based-firewall-1220798787.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

KowaKowalski
KowaKowalski 02.09.2021 um 15:22:33 Uhr
Goto Top
Hi Mario,

was sagt denn der Versender von Anleitung und CLM-Link zu Deinem Problem?


mfg
kowa
mariocisco
mariocisco 02.09.2021 aktualisiert um 20:50:07 Uhr
Goto Top
Ticket aufgemacht aber keine Antwort auch nicht ob man die Lizenz ohne ftp also über den USB Port einspielen kann?

Die bekommen es irgendwie nicht auf die Reihe mir dabei zu helfen.

Jmd Erfahrung damit
Windows10Gegner
Windows10Gegner 02.09.2021 um 21:23:16 Uhr
Goto Top
Poste bitte mal die Anleitung, ggf. Seriennummern rausixxen.
aqui
aqui 02.09.2021, aktualisiert am 03.09.2021 um 09:36:11 Uhr
Goto Top
Jmd Erfahrung damit
In einem Administrator Forum mit Cisco Administratoren sicher eine überflüssige Frage. face-wink

Im Grunde ist es kinderleicht wenn man dem Lizenz Tutorial folgt:
https://www.cisco.com/c/en/us/td/docs/routers/access/sw_activation/SA_on ...

Wir gehen jetzt einmal davon aus das du über das Cisco Lizenz Portal http://www.cisco.com/go/license die Lizenz Datei mit der Endung .xml oder .lic nach dem o.a. Tutorial erstellt und runtergeladen hast ?! Ist dem so ?

Wenn ja, dann kopierst du diese xml Datei auf deinen USB Stick, und steckst den in den Router.
Jetzt solltest du eine Terminal Message ala:
Dec 10 05:02:13.427: %USBFLASH-5-CHANGE: usbflash1 has been inserted!
bekommen was zeigt das der Router den USB Stick erkannt hat und ihm den Device Namen usbflash1 zugewiesen hat.
Achtung: Der USB Stick muss FAT32 formatiert sein damit das der Fall ist.
Wenn du nun den Copy Befehl aufrufst und dir die Devices ansiehst sollte auch dein Stick als "usbflash1" zu sehen sein.

Router#copy ?
/erase Erase destination file system.
/error Allow to copy error file.
/noverify Don't verify image signature before reload.
/verify Verify image signature before reload.
archive: Copy from archive: file system
cns: Copy from cns: file system
flash0: Copy from flash0: file system
flash1: Copy from flash1: file system
flash: Copy from flash: file system
ftp: Copy from ftp: file system
http: Copy from http: file system
https: Copy from https: file system
null: Copy from null: file system
nvram: Copy from nvram: file system
pram: Copy from pram: file system
rcp: Copy from rcp: file system
running-config Copy from current system configuration
scp: Copy from scp: file system
startup-config Copy from startup configuration
system: Copy from system: file system
tar: Copy from tar: file system
tftp: Copy from tftp: file system
tmpsys: Copy from tmpsys: file system
usbflash1: Copy from usbflash1: file system
<== Erscheint wenn USB eingesteckt !
xmodem: Copy from xmodem: file system
ymodem: Copy from ymodem: file system


Mit Router#dir usbflash1: solltest du dann auch den Inhalt des USB Sticks sehen

Nun kopierst du die XML Datei auf den Router Flash Speicher mit:
copy usbflash1: <Datei> flash:

Mit show flash: oder auch dir flash: kannst du dir den internen Router Flash ansehen und ob deine Lizenzdatei sauber kopiert wurde.
Dann mit license install flash0:<Datei> die Lizenz über das CLI installieren. Das sollte dann eine Success Meldung im Terminal geben ala:
*Jul 7 17:24:57.391: %LICENSE-6-INSTALL: Feature XYZ was installed in this device.

Ist dem so mit reload den Router rebooten und nach dem Reboot zeigt dir dann show version oder auch show license die erfolgreich installierte Lizenz an:
<code type = plain>Router#sh license
Index 1 Feature: ipbasek9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Index 2 Feature: securityk9
Period left: Life time
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
mariocisco
mariocisco 02.09.2021 aktualisiert um 22:31:46 Uhr
Goto Top
Ich habe eine .lic Datei ist dieses auch ok? Funktioniert es mit diesen Dateien auch?
Warum habe ich eine andere Datei?
mariocisco
mariocisco 03.09.2021 aktualisiert um 00:46:02 Uhr
Goto Top
So hier das was ich bei sh ver ausgegeben bekommen habe ( Auszug)

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*1        C926-4P               SERIENNNUMMER



Technology Package License Information for Module:'c900'  

------------------------------------------------------------------------
Technology    Technology-package                  Technology-package
              Current              Type           Next reboot
------------------------------------------------------------------------
ipbase        ipbasek9             Permanent      ipbasek9
security      None                 None           securityk9
appx          None                 None           None
900 Next reboot level = securityk9 and License = securityk9

Hier die sh licens:

Cisco_Router_B#sh license
Index 1 Feature: ipbasek9
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Medium
Index 2 Feature: securityk9
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Medium

So ist es richtig oder?`

Dann kann ich ja mit der Firewall aus dem Tutorial anfangen, richtig?

Gibt es da für die ZFW eines von Cisco?
Windows10Gegner
Windows10Gegner 03.09.2021 um 06:25:29 Uhr
Goto Top
Probiere, ob die inspect-Befehle vorhanden sind.
aqui
aqui 03.09.2021 aktualisiert um 09:39:39 Uhr
Goto Top
Ich habe eine .lic Datei ist dieses auch ok? Funktioniert es mit diesen Dateien auch?
Noch besser, denn das ist die Lizenz Datei die nicht nach Hause telefoniert. Damit geht es natürlich auch !
HIER wird es nochmal ganz genau erklärt:
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus1000/Inte ...
So ist es richtig oder?`
Yepp, bingo ! Lizenz ist installiert und aktiviert !
Gibt es da für die ZFW eines von Cisco?
Ja gibt es. Guckst du hier:
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/108014- ...
Oder natürlich das hiesige Forum:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
mariocisco
mariocisco 03.09.2021 um 13:26:18 Uhr
Goto Top
@ WIndows 10 Gegner wenn ich ip inspect ? eingebe erhalte ich keine Fehlermeldung sondern eine Auflistung.
aqui
aqui 03.09.2021 aktualisiert um 14:34:37 Uhr
Goto Top
erhalte ich keine Fehlermeldung sondern eine Auflistung.
Was ja dann zeigt das die Firewall Funktion jetzt auch aktiv und einsatzklar ist, denn wenn du dich an deinen vorherigen Thread erinnerst: Ohne Lizenz hattest du diese und auch die ZFW Firewall Kommandos ja nicht im Parser ! face-smile
mariocisco
mariocisco 04.09.2021 um 01:13:24 Uhr
Goto Top
ist das so ok? oder muss ich noch etwas ändern so wie bei einer standart fireawall

isco_Router_B(config-if)#do show policy-map type inspect zone-pair

policy exists on zp LOKAL-INTERNET
  Zone-pair: LOKAL-INTERNET

  Service-policy inspect : LOKAL-INTERNET-POLICY

    Class-map: LOKAL-ERLAUBT (match-any)
      Match: protocol http
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol dns
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol pop3s
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol imaps
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol smtp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol sip
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol sip-tls
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol rtsp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ftp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ftps
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ssh
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ntp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol tcp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol udp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol icmp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect
        Session creations since subsystem startup or last reset 0
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [0:0:0]
        Last session created never
        Last statistic reset never
        Last session creation rate 0
        Maxever session creation rate 0
        Last half-open session total 0
        TCP reassembly statistics
        received 0 packets out-of-order; dropped 0
        peak memory usage 0 KB; current usage: 0 KB
        peak queue length 0


    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

policy exists on zp GAST-INTERNET
  Zone-pair: GAST-INTERNET

  Service-policy inspect : GAST-INTERNET-POLICY

    Class-map: GAST-ERLAUBT (match-any)
      Match: protocol http
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol dns
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ntp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect
        Session creations since subsystem startup or last reset 0
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [0:0:0]
        Last session created never
        Last statistic reset never
        Last session creation rate 0
        Maxever session creation rate 0
        Last half-open session total 0
        TCP reassembly statistics
        received 0 packets out-of-order; dropped 0
        peak memory usage 0 KB; current usage: 0 KB
        peak queue length 0


    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

policy exists on zp INTERNET-ROUTER
  Zone-pair: INTERNET-ROUTER

  Service-policy inspect : INTERNET-ROUTER-POLICY

    Class-map: IPsec_VPN (match-all)
      Match: access-group name ISAKMP_IPSEC
      Pass
        0 packets, 0 bytes

    Class-map: class-default (match-any)
      Match: any
      Drop
        14 packets, 730 bytes

policy exists on zp ROUTER-INTERNET
  Zone-pair: ROUTER-INTERNET

  Service-policy inspect : ROUTER-INTERNET-POLICY

    Class-map: ROUTER-PROTOCOLS (match-any)
      Match: class-map match-all IPsec_VPN
        0 packets, 0 bytes
        30 second rate 0 bps
        Match: access-group name ISAKMP_IPSEC
      Match: protocol tcp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol udp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol icmp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect
        Session creations since subsystem startup or last reset 0
        Current session counts (estab/half-open/terminating) [0:0:0]
        Maxever session counts (estab/half-open/terminating) [0:0:0]
        Last session created never
        Last statistic reset never
        Last session creation rate 0
        Maxever session creation rate 0
        Last half-open session total 0
        TCP reassembly statistics
        received 0 packets out-of-order; dropped 0
        peak memory usage 0 KB; current usage: 0 KB
        peak queue length 0


    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes
Cisco_Router_B(config-if)#do sh policy-map type inspect zone-pair sessions

policy exists on zp LOKAL-INTERNET
  Zone-pair: LOKAL-INTERNET

  Service-policy inspect : LOKAL-INTERNET-POLICY

    Class-map: LOKAL-ERLAUBT (match-any)
      Match: protocol http
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol dns
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol pop3s
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol imaps
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol smtp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol sip
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol sip-tls
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol rtsp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ftp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ftps
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ssh
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ntp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol tcp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol udp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol icmp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect

    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

policy exists on zp GAST-INTERNET
  Zone-pair: GAST-INTERNET

  Service-policy inspect : GAST-INTERNET-POLICY

    Class-map: GAST-ERLAUBT (match-any)
      Match: protocol http
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol dns
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol ntp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect

    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes

policy exists on zp INTERNET-ROUTER
  Zone-pair: INTERNET-ROUTER

  Service-policy inspect : INTERNET-ROUTER-POLICY

    Class-map: IPsec_VPN (match-all)
      Match: access-group name ISAKMP_IPSEC
      Pass
        0 packets, 0 bytes

    Class-map: class-default (match-any)
      Match: any
      Drop
        17 packets, 790 bytes

policy exists on zp ROUTER-INTERNET
  Zone-pair: ROUTER-INTERNET

  Service-policy inspect : ROUTER-INTERNET-POLICY

    Class-map: ROUTER-PROTOCOLS (match-any)
      Match: class-map match-all IPsec_VPN
        0 packets, 0 bytes
        30 second rate 0 bps
        Match: access-group name ISAKMP_IPSEC
      Match: protocol tcp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol udp
        0 packets, 0 bytes
        30 second rate 0 bps
      Match: protocol icmp
        0 packets, 0 bytes
        30 second rate 0 bps

   Inspect

    Class-map: class-default (match-any)
      Match: any
      Drop
        0 packets, 0 bytes
Cisco_Router_B(config-if)#

Was genau macht die Firewall aus dem tutorial wie sicher ist sie?

Was muss ich ergänzen ggf?
Windows10Gegner
Windows10Gegner 04.09.2021 um 06:21:17 Uhr
Goto Top
Was genau macht die Firewall aus dem tutorial wie sicher ist sie?
Das kommt drauf an, was da steht. Schaue es dir genau an. Wenn du dann die Funktionsweise erstehst, kannst du auch beurteilen, gegen was die dich absichert.

Firewalls bewirken aber keine Wunder, sondern sind ausschließlich zusätzlicher Schutz vor Angriffen, wenn auf einem Rechner Serverdienste (u.a. die Windows-SMB-Dateifreigabe) laufen, die da eigentlich nicht laufen sollten.
aqui
aqui 04.09.2021 aktualisiert um 11:34:21 Uhr
Goto Top
Mmmhhh...alle Traffic Counter sind auf 0. Mit anderen Worten geht da (noch) nix rüber !
Ist die FW jetzt rein nur konfiguriert und der Router noch nicht aktiv am Internet ? Die show Kommandos sind relativ nutzlos wenn man nicht weiss ob der Router schon aktiv ist.
Man müsste also mal deine jetzt aktive Konfig (anonymisiert) mit "sh run" sehen um das wirklich beurteilen zu können das alles richtig konfiguriert ist...
Eine SPI Firewall mit ALG wie die in deinem Cisco Router ist absolut sicher, jedenfalls so absolut wie DU sie konfigurierst. Sie kann logischerweise natürlich nicht hellsehen und menschliche Konfig Fehler korrigieren. Folglich ist sie also immer so sicher wie DU SELBER sie machst.
Eine simple Binsenweisheit die übrigens für ALLE Firewalls auf der Welt gilt !
mariocisco
mariocisco 05.09.2021 um 01:44:32 Uhr
Goto Top
Hier die Informationen die ich habe.

einmal eine Ausgabe welche direkt beginnt nach dem Login:
automatisch nach konsolen login erscheint:
G: Dropping TCP Segment: seq:-841562871 1480 bytes is out-of-order; expected seq:3453379945. Reason: TCP reassembly queue overflow - session 192.168.100.150:53236 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 00:58:45: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:981481320 1480 bytes is out-of-order; expected seq:981452520. Reason: TCP reassembly queue overflow - session 192.168.100.150:55865 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 00:58:46: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1949702251 1480 bytes is out-of-order; expected seq:2345239125. Reason: TCP reassembly queue overflow - session 192.168.100.150:62336 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 00:58:48: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-399520822 1480 bytes is out-of-order; expected seq:3895420554. Reason: TCP reassembly queue overflow - session 192.168.100.150:55861 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 00:58:49: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:274331185 1480 bytes is out-of-order; expected seq:274303825. Reason: TCP reassembly queue overflow - session 192.168.100.150:56438 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 00:58:50: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:984200908 1480 bytes is out-of-order; expected seq:984174988. Reason: TCP reassembly queue overflow - session 192.168.100.150:55865 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT

Was bedeutet das?

8.100.150:56450 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:04: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1524575688 1480 bytes is out-of-order; expected seq:2770367128. Reason: TCP reassembly queue overflow - session 192.168.100.150:56447 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:05: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:-1524124178 1480 bytes is out-of-order; expected seq:2770818638. Reason: TCP reassembly queue overflow - session 192.168.100.150:56447 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:06: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:321734510 1480 bytes is out-of-order; expected seq:321710030. Reason: TCP reassembly queue overflow - session 192.168.100.150:56438 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:07: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:66483861 1480 bytes is out-of-order; expected seq:66459381. Reason: TCP reassembly queue overflow - session 192.168.100.150:56444 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:08: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:151447361 1480 bytes is out-of-order; expected seq:151422881. Reason: TCP reassembly queue overflow - session 192.168.100.150:56433 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT
*Sep  5 01:00:10: %FW-4-TCP_OoO_SEG: Dropping TCP Seg

wie kann ich diese Art von log unterbreche ?

Knan keine daten aus konsole kopieren? hab int dialer 0 shut und dnan ok

Hier die RUnning config:
uilding configuration...

Current configuration : 6477 bytes
!
! Last configuration change at 22:56:27 CEST Sat Sep 4 2021
!
version 15.8
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco_Router_B
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 PASSWORT
!
aaa new-model
aaa local authentication attempts max-fail 3
!
!
aaa authentication login default local
!
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
!
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 domain-name mario.domain
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 domain-name mario.domain
!
!
!
ip domain name mario.domain
ip cef
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
!
ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid C926-4P sn SERIENNUMMER
!
!
username admin privilege 15 password 7 PASSWORT
!
redundancy
!
!
!
!
!
controller VDSL 0
!
!
class-map type inspect match-any LOKAL-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 --More--
*Sep  5 01:13:08: %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:3857582570 has not arrived even after 25 seconds - session 192.168.100.150:56467 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOK match protocol pop3s
 match protocol imaps
 match protocol smtp
 match protocol sip
 match protocol sip-tls
 match protocol rtsp
 match protocol ftp
 match protocol ftps
 match protocol ssh
 match protocol ntp
 match protocol tcp
 match protocol udp
 match protocol icmp
class-map type inspect match-any GAST-ERLAUBT
 match protocol http
 match protocol https
 match protocol dns
 match protocol ntp
class-map type inspect match-all IPsec_VPN
 match access-group name ISAKMP_IPSEC
class-map type inspect match-any ROUTER-PROTOCOLS
 match class-map IPsec_VPN
 match protocol tcp
 match protocol udp
 match protocol icmp
!
policy-map type inspect LOKAL-INTERNET-POLICY
 description Traffic Lokales LAN zum Internet
 class type inspect LOKAL-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect ROUTER-INTERNET-POLICY
 description Traffic Router zum Internet
 class type inspect ROUTER-PROTOCOLS
  inspect
 class class-default
  drop
policy-map type inspect GAST-INTERNET-POLICY
 description Traffic Gast zum Internet
 class type inspect GAST-ERLAUBT
  inspect
 class class-default
  drop
policy-map type inspect INTERNET-ROUTER-POLICY
 description Traffic Internet zum Router

*Sep  5 01:13:09: %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:2885657820 has not arrived even after 25 seconds - session 192.168.100.150:56483 to 13.32.113.53:80 on zone-pair LOKAL-INTERNET class LOKAL-ERLAUBT class type inspect IPsec_VPN
  pass
 class class-default
  drop
!
zone security LOKAL
zone security GAST
zone security INTERNET
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
 service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
 service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
 service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ROUTER-INTERNET source self destination INTERNET
 service-policy type inspect ROUTER-INTERNET-POLICY
!
!
!
!
!
!
!
!
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface Ethernet0
 no ip address
!
interface Ethernet0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 description Gastnetz
 switchport access vlan 2
 no ip address
 no cdp enable
!
interface GigabitEthernet4
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Virtual-Template1
 description IPsec VPN Dialin
 ip unnumbered Vlan1
 zone-member security LOKAL
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 zone-member security LOKAL
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::1:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan2
 description Gastnetz
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 zone-member security GAST
 ip tcp adjust-mss 1448
 ipv6 address provider-v6-prefix ::2:0:0:0:1/64
 ipv6 enable
 ipv6 nd other-config-flag
 ipv6 dhcp server DHCPv6
!
interface Vlan10
 description Gastnetz
 no ip address
 zone-member security GAST
!
interface Dialer0
 description DSL Internet Interface
 mtu 1488
 ip address negotiated
 ip access-group bockext in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 zone-member security INTERNET
 encapsulation ppp
 shutdown
 dialer pool 1
 dialer-group 1
 no cdp enable
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd autoconfig default-route
 no ipv6 redirects
 no ipv6 unreachables
 ipv6 dhcp client pd provider-v6-prefix rapid-commit
 ipv6 verify unicast reverse-path
 ppp authentication pap callin
 ppp pap sent-username DSL@CISCO.COM password 7 PASSWORT
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
!
ip access-list extended ISAKMP_IPSEC
 permit udp any any eq isakmp
 permit udp any any eq non500-isakmp
 permit esp any any
ip access-list extended blockext
 remark offene TCP Verbindungen dr
 remark offene TCP Verbindungen durchlassen
 permit tcp any any established
 remark DNS Port beide Protokolle, blockieren
 deny   tcp any any eq domain
 deny   udp any any eq domain
 remark Rest erlauben
 permit ip any any
!
!
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
!
!
!
control-plane
!
banner motd ^CC
LOGIN AUF DIESEN ROUTER OHNE GENEHMIGUNG STRAFBAR AUCH JEG: VERSUCH . ALLES ANDERE AUCH!!!
NO LOGIN IS ALLOWED OR USING OF THIS ROUTER!
^C
!
line con 0
line 4
 no activation-character
 transport preferred none
 transport input all
 transport output all
 stopbits 1
line vty 0 4
 transport input none
!
scheduler allocate 20000 1000
!
end
aqui
aqui 05.09.2021 aktualisiert um 11:26:05 Uhr
Goto Top
https://community.cisco.com/t5/network-security/fw-4-tcp-ooo-seg-droppin ...
https://freddejonge.nl/get-rid-cisco-ios-router-message-fw-4-tcp_ooo_seg ...
Knan keine daten aus konsole kopieren? hab int dialer 0 shut und dnan ok
Bahnhof ?, Ägypten ? Was soll uns dieser kryptische Satz denn nun sagen ??? Daten aus der Konsole kopiert man stinknormal mit Cut and Paste. Oder was meinst du ??
Die "Konfig Leiche" VLAN 10 solltest du besser immer entfernen ! Es ist kontraproduktiv kaputte Konfig Reste in einer aktiven Konfig rumdümpeln zu lassen. Sowas kann immer böse Side Effects nach sich ziehen. Also mit "no int vlan 10" sowas entfernen. Ein no vor dem Kommando löscht dieses in der Regel !
Ansonsten ist deine Konfig und die ZFW Konfig soweit OK. Die ZFW Konfig hat allerdings noch einen gravierenden Fehler was das IPv6 Setup anbetrifft. Da du IPv6 auch aktiviert hast solltest du das in jedem Falle anpassen. Das Kapitel "ZFW Firewall für IPv6 anpassen" im hiesigen Cisco Tutorial geht explizit darauf ein ! Das hast du vermutlich wieder einmal nicht gelesen und umgesetzt. face-sad
Deine darauf angepasste ZFW Firewall müsste dann so aussehen:
(Die v4 IPsec VPN Allow Regeln am WAN sind jetzt mit den v6 in der Map ALLOW_IN zusammengefasst !)
!
class-map type inspect match-any ALLOW_IN
match access-group name ALLOWv4
match access-group name ALLOWv6

!
class-map type inspect match-any ICMPv6
match access-group name ICMPv6

!
class-map type inspect match-any LOKAL-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol pop3s
match protocol imaps
match protocol smtp
match protocol sip
match protocol sip-tls
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any GAST-ERLAUBT
match protocol http
match protocol https
match protocol dns
match protocol ntp
!
class-map type inspect match-any ROUTER-PROTOCOLS
match class-map ALLOW_IN
match protocol tcp
match protocol udp
match protocol icmp

!
policy-map type inspect LOKAL-INTERNET-POLICY
description Traffic Lokales LAN zum Internet
class type inspect LOKAL-ERLAUBT
inspect
class class-default
drop
policy-map type inspect ROUTER-INTERNET-POLICY
description Traffic Router zum Internet
class type inspect ROUTER-PROTOCOLS
inspect
class class-default
drop
policy-map type inspect ICMPv6
description Traffic ICMPv6 to LAN
class type inspect ICMPv6
inspect
class class-default
drop

policy-map type inspect GAST-INTERNET-POLICY
description Traffic Gast zum Internet
class type inspect GAST-ERLAUBT
inspect
class class-default
drop
policy-map type inspect INTERNET-ROUTER-POLICY
description Traffic Internet zum Router
class type inspect ALLOW_IN
pass
class class-default
drop

!
zone security LOKAL
zone security GAST
zone security INTERNET
!
zone-pair security LOKAL-INTERNET source LOKAL destination INTERNET
service-policy type inspect LOKAL-INTERNET-POLICY
zone-pair security GAST-INTERNET source GAST destination INTERNET
service-policy type inspect GAST-INTERNET-POLICY
zone-pair security INTERNET-ROUTER source INTERNET destination self
service-policy type inspect INTERNET-ROUTER-POLICY
zone-pair security ICMPv6 source INTERNET destination LOKAL
service-policy type inspect ICMPv6
zone-pair security ICMPv6 source INTERNET destination GAST
service-policy type inspect ICMPv6

zone-pair security ROUTER-INTERNET source self destination INTERNET
service-policy type inspect ROUTER-INTERNET-POLICY
!
ip access-list extended ALLOWv4
10 permit udp any any eq isakmp
20 permit udp any any eq non500-isakmp
30 permit esp any any

!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546

!
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement

!

Nach diesen Korrekturen wäre dann soweit alles fehlerfrei.
mariocisco
mariocisco 05.09.2021 um 11:51:02 Uhr
Goto Top
Gut dann weis ich Bescheid , vielen Dank.

Kann man SPI auf den INterfaces auch noch einrichten oder macht man das nicht wegen der ZFW?
Wenn ja wie am Besten?

Was genau prüft die ZFW und was nicht?

Was ich mit herauskopieren meine ist dass ich weil ich die Logs automatisch welche von der Firewall immer mitkopiere weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Windows10Gegner
Windows10Gegner 05.09.2021 um 11:55:28 Uhr
Goto Top
Wo willst du genau filtern?
Vor was soll dich die FW beschützen?
Diese Fragen musst du uns vorher beantworten.
aqui
aqui 05.09.2021 aktualisiert um 12:18:08 Uhr
Goto Top
oder macht man das nicht wegen der ZFW?
Die ZFW ist eine vollständige SPI Firewall mit ALG und da du sie jetzt ja auch aktiv hast ist logischerweise auch SPI aktiv. Simple Logik ! Hier solltest du dringenst einmal dein Firewall KnowHow etwas verbessern.
Was genau prüft die ZFW und was nicht?
Siehst du doch oben SELBER mit was du die Class Maps definiert hast !!! Lokal prüft sie mit "match protocol" http, https, dns, pop3s, imaps smtp, sip, sip-tls, rtsp, ftp, ftps, ssh und ntp per ALG. Was nicht diesen Protokollen entspricht wird über die globale TCP und UDP Inspection geprüft und zusätzlich ebenso ICMP.
Also einfach mal selber auf deine Konfig sehen, da steht doch alles !!
show policy-map type inspect zone-pair <Zone_paar_name> zeigt dir genau an WAS die Firewall inspiziert. Und alle inspizierten Sessions siehst du mit sh policy-map type inspect zone-pair sessions !
Dort sollten die Counter nicht mehr auf "0" stehen wie oben !
weil sie zwischen der sh run ausgabe auch erschienen und ich deshalb dieses mitkopieren würde.
Nutze eine Telnet oder SSH Session aus dem lokalen LAN mit [ PuTTY] und aktiviere NICHT term mon. Dann werden die Log Messages unterdrückt. Auf der seriellen Konsole siehst du sie immer. Es sei denn du schaltest sie in der Konfig mit no logging console aus bzw. deaktivierst sie damit.
Siehe dazu: https://blog.router-switch.com/2013/12/configure-logging-in-cisco-ios/
mariocisco
mariocisco 07.09.2021 um 21:10:26 Uhr
Goto Top
Zitat von @aqui:

...Lokal prüft sie mit "match protocol" http, https, dns, pop3s, imaps smtp, sip, sip-tls, rtsp, ftp, ftps, ssh und ntp per ALG. <-- mariocisco: kann man hier auch noch etwas hinzufügen oder nicht wenn ja was?

mmariocisco: Blöde Frage aber was ist genau der Unterschied -> Was nicht diesen Protokollen entspricht wird über die globale TCP und UDP Inspection geprüft und zusätzlich ebenso ICMP.

Kann man die Einstellungen ich sage mal hochschrauben so wie bei einer normalen Firewall wenn ja welche Einstellungen kann man noch anpassen? ( Steht hierzu auch noch etwas im manual oder in der Anleitung von cisco?

@Windows10Gegner ich möchte wissen welche Ports oder welche Protokolle nicht oder zu wenig geprüft werden.
Windows10Gegner
Windows10Gegner 07.09.2021 um 21:53:40 Uhr
Goto Top
Kann man die Einstellungen ich sage mal hochschrauben so wie bei einer normalen Firewall
Was ist für dich eine normale Firewall

ich möchte wissen welche Ports oder welche Protokolle nicht oder zu wenig geprüft werden.
Du musst dich mit den Protokollen befassen und dir überlegen, was du wie "sichern" willst.

Ich sage, dass eine normale SPI-Firewall gegen Angriffe von außen meist ausreicht.
mariocisco
mariocisco 07.09.2021 um 22:10:38 Uhr
Goto Top
@Windows10Gegner

Also ist die ZFW ja besser als eine normale SPI Firewall weil diese ja in der ZFW auch enthalten ist oder?
Windows10Gegner
Windows10Gegner 08.09.2021 um 06:17:15 Uhr
Goto Top
Also ist die ZFW ja besser als eine normale SPI Firewall weil diese ja in der ZFW auch enthalten ist oder?
Der Vorteil ist, dass man eben nicht für IPv4 und IPv6 getrennte Regeln braucht.

Weißt du denn überhaupt, was SPI genau macht?
mariocisco
mariocisco 13.09.2021 um 19:53:49 Uhr
Goto Top
@ WIndows 10 Gegner

Spi prüft doch auf verdächten Verkehr oder?

Oder ist es so wie ich vorher geschrieben habe?

Wie ist denn eure SPi Firewall aufgebaut?
Windows10Gegner
Windows10Gegner 13.09.2021 um 19:59:43 Uhr
Goto Top
Zitat von @mariocisco:
Spi prüft doch auf verdächten Verkehr oder?

Ok, du hast davon keine Ahnung, willst aber eine Firewall einrichten.
Ist ungefähr so, wie wenn du bei deiner ersten Fahrstunde gleich ein Autorennen fährst.
Wird in die Hose gehen.

Befasse dich mit Stateful package inspection und frage dann hier erneut, sonst hat das einfach keinen Sinn.
aqui
aqui 14.09.2021 um 09:31:53 Uhr
Goto Top
mariocisco
mariocisco 15.09.2021 aktualisiert um 00:20:34 Uhr
Goto Top
Ich schaue es mir noch einmal an und melde mich dann nochmal .

Also ist eine dynamische Firewall . Jedes Datenpaket wird einer bestimmte Session zugeordnet.

Wie habt ihr denn eure SPI Firewall aufgebaut? Wo setzt man an wenn man schon eine ZFW Fireall hat . wie ergänzen sich diese.

ich bräuchte ansetze damit ich selbst entscheiden kann wie ich weiter vorgehe.
aqui
aqui 15.09.2021 aktualisiert um 08:49:11 Uhr
Goto Top
Den Terminus "dynamische Firewall" entspringt sicher deiner Phantasie, denn so einen Ausdruck gibt es in der Netzwerkwelt nicht.
Wie habt ihr denn eure SPI Firewall aufgebaut?
Ganz genau so wie du oben. Um es für dich nochmal zu wiederholen: Die ZFW ist eine vollständige SPI Firewall !
Da muss man also nichts ergänzen.
Sie ist eine klassische Firewall vor dem Router wie es immer in millionenfachen Netzwerk Designs weltweit eingesetzt ist. Nur eben das diese Firewall kein separates externes Gerät ist sondern schlicht und einfach gleich in den Router zusätzlich mit eingebaut wurde. Quasi also 2 Geräte in einem.
Wenn du die sauber konfiguriert hast ist das also gut und mehr muss man dann auch nicht machen. 2 Firewalls wären ja auch Blödsinn. Du hast dann eine laufende SPI Firewall in deinem Netz und das damit perfekt und sicher geschützt. Punkt...

Was du jetzt mit deinem wirren "Ansätzen" und "wie ich weiter vorgehe..." meinst versteht keiner der Administratoren hier. Was genau willst du damit sagen und WO ist denn jetzt da noch ein Problem für dich ? Du hast ein lokales Netz, einen Router und eine wasserdichte Firewall davor mit der ZFW. Braucht man denn noch mehr in einem Netzwerk ?
Bzw. man kann dir nur so auf die Frage antworten: Du gehst dir einen Kaffee holen, entspannst dich, lehnst dich zurück und siehst deiner Firewall beim arbeiten zu ! face-wink
Das wäre jetzt die weitere korrekte Vorgehensweise für dich !!!
Bzw. den Thread zu schliessen natürlich nicht zu vergessen: Wie kann ich einen Beitrag als gelöst markieren?
mariocisco
mariocisco 15.09.2021 um 21:07:53 Uhr
Goto Top
Ok wenn ihr das sagt. dann schaue ich mir die unterlagen einmal an für die ZFW was ich ggf. noch ändern könnte und sage danke.
aqui
aqui 16.09.2021, aktualisiert am 21.09.2021 um 11:48:23 Uhr
Goto Top
und sage danke.
Immer gerne ! Nichts zu danken ! 😊

HIER findest du nochmal alle wichtigen Infos von Cisco zur ZFW Firewall:
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/98628-z ...