routermax
Goto Top

Cisco C1111 Router hinter NAT, keine Internetverbindung

Hallo zusammen,

habe einen Cisco C1111-4p Router ohne SEC Lizenz besorgt. (Kommt ggf. noch) face-smile
Dank @aqui Tutorial konnte ich ihn auch soweit einrichten.

Jetzt habe ich das Problem, das ich zwar vom Router aus ins Internet und vom PC aus an den Router pingen kann, aber leider komme ich nicht ins Internet (kann keine Webseiten aufrufen)
Desweiteren soll jedes VLAN für sich sein und kein Traffic über zum anderen VLAN kommen.

Zum Testaufbau:

Aktuell ist es so das die Fritzbox die Internetverbindung herstellt.
Am WAN Anschluss des Cisco Routers hängt die Fritzbox die IP Adressen verteilt.
Auf Port 2 des Cisco Routers hängt mein PC
Auf Port 3 soll später mal ein Switch dazu kommen.
Vom Cisco Router bekomme ich eine IP Adresse, Subnetzmaske, Gateway und DNS-Server.

Hier meine angepasste Config:

!
service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
service tcp-keepalives-in
service tcp-keepalives-out
!
hostname Router1
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered
enable algorithm-type scrypt secret Geheim123
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
aaa new-model
aaa authentication login default local
aaa authorization network default local
aaa local authentication attempts max-fail 3
!
no ip source-route
no ip gratuitous-arps
!
vlan 100
name Management
!
vlan 200
name Home
!
vlan 300
name IOT
!
vlan 400
name Gaeste

### DHCP VLAN 100 Management ###
ip dhcp excluded-address 10.0.10.1 10.0.10.99 
ip dhcp excluded-address 10.0.10.250 10.0.10.254

### DHCP VLAN 200 Home ###
ip dhcp excluded-address 10.0.20.1 10.0.20.99 
ip dhcp excluded-address 10.0.20.250 10.0.20.254

### DHCP VLAN 300 IOT ###
ip dhcp excluded-address 10.0.30.1 10.0.30.99 
ip dhcp excluded-address 10.0.30.250 10.0.30.254

### DHCP VLAN 400 Gaeste ###
ip dhcp excluded-address 10.0.40.1 10.0.40.99 
ip dhcp excluded-address 10.0.40.250 10.0.40.254

### VLAN 100 Management ###
ip dhcp pool Management
network 10.0.10.0 255.255.255.0
default-router 10.0.10.254
option 42 ip 130.149.17.8
domain-name man.home.arpa

### VLAN 200 Home ###
ip dhcp pool Home
network 10.0.20.0 255.255.255.0
default-router 10.0.20.254
dns-server 10.0.20.254
option 42 ip 130.149.17.8
domain-name home.home.arpa

### VLAN 300 IOT ###
ip dhcp pool IOT
network 10.0.30.0 255.255.255.0
default-router 10.0.30.254
dns-server 10.0.30.254
option 42 ip 130.149.17.8
domain-name iot.home.arpa

### VLAN 400 Gaeste ###
ip dhcp pool Gaste
network 10.0.40.0 255.255.255.0
default-router 10.0.40.254
dns-server 10.0.40.254
option 42 ip 130.149.17.8
domain-name gaeste.home.arpa


###################################################################
## Beispiel f. Zuweisung von fester IP auf MAC Adress Basis ##
ip dhcp pool WinServer
host 10.0.200.170 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 <-- Hardware Mac Adresse dieses Clients (Schreibweise mit "01" beachten)  
hardware-address b00c.6c01.c4d2 <-- Hardware Mac Adresse bei Clients die keinen HW_Identifier schicken (Linux !)
default-router 10.0.200.254
dns-server 10.0.200.254
client-name winserver
domain-name meinedomain.home.arpa
###################################################################

ip domain name home.home.arpa
!
username admin privilege 15 algorithm-type scrypt secret 123456
!
interface Gi0/1/0
no ip address
shutdown
!
interface Gi0/1/1
no ip address
shutdown
!
interface Gi0/1/2
description Home
switchport access vlan 200
no ip address
no cdp enable
no shutdown
!
interface Gi0/1/3
description Uplink
switchport mode trunk
switchport nonegotiate
no ip address
no cdp enable
no shutdown
!
ip dns server
!
ip access-list extended Gaeste
permit udp any any eq bootpc
deny ip 10.0.40.0 0.0.0.255 10.0.10.0 0.0.0.255
deny ip 10.0.40.0 0.0.0.255 10.0.20.0 0.0.0.255
deny ip 10.0.40.0 0.0.0.255 10.0.30.0 0.0.0.255
permit tcp 10.0.40.0 0.0.0.255 any eq domain
permit udp 10.0.40.0 0.0.0.255 any eq domain
permit tcp 10.0.40.0 0.0.0.255 any eq www
permit tcp 10.0.40.0 0.0.0.255 any eq 443
deny ip any any
!
access-list 101 permit ip 10.0.10.0 0.0.0.255 any
access-list 101 permit ip 10.0.20.0 0.0.0.255 any
access-list 101 permit ip 10.0.30.0 0.0.0.255 any
access-list 101 permit ip 10.0.40.0 0.0.0.255 any
!
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable 
access-list 111 permit udp any eq bootps any
!
dialer-list 1 protocol ip list 10
!
interface GigabitEthernet0/0/0
description Internet
ip address dhcp
negotiation auto
no cdp enable
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no shutdown
!
access-list 111 deny icmp any any echo
access-list 111 deny icmp any any traceroute
access-list 111 deny icmp any any redirect
access-list 111 permit ip any any
!
interface Vlan100
description Management
ip address 10.0.10.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Vlan200
description Home
ip address 10.0.20.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Vlan300
description IOT
ip address 10.0.30.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
interface Vlan400
description Gaste
ip address 10.0.40.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1448
!
ip ssh version 2
ip ssh time-out 30
ip ssh authentication-retries 3
line con 0
line aux 0
line vty 0 4
login local
transport input telnet ssh 

Vielen Dank.

Ich denke es ist nur was kleines, aber sehe grade den Fehler nicht...

Gruß
Max

Content-ID: 1728369101

Url: https://administrator.de/contentid/1728369101

Ausgedruckt am: 16.12.2024 um 22:12 Uhr

tikayevent
tikayevent 16.01.2022 um 17:04:52 Uhr
Goto Top
Du betreibst kein NAT. Du definitierst nur die Seite der Schnittstellen, aber die eigentliche NAT-Definition sehe ich nicht.
routermax
routermax 16.01.2022, aktualisiert am 17.01.2022 um 00:49:46 Uhr
Goto Top
Hallo tikayevent,

Das dachte ich mir.
Habe auch den fehler gefunden.
Dieser Befehl hat gefehlt.
ip nat inside source list 101 interface gi0/0/0 overload

Der Rest sollte passen? Oder?

Gruß
Max
aqui
aqui 17.01.2022 aktualisiert um 01:06:45 Uhr
Goto Top
dialer-list 1 protocol ip list 10
WO ist denn diese ACL ?? 10 ist gar nicht definiert und damit gilt dann ein deny any any für die Dialer List !
Ausserdem fehlen die inbound NAT Interface Definitionen. Der Router weiss so gar nicht WAS er WOHIN natten soll.
Die ACL 111 am Internet Interface gilt ausschliesslich nur wenn du mit CBAC Firewalling arbeitest. Die muss weg bzw. anders strukturiert sein wenn du ohne Firewall nur mit ACLs arbeitest ! Lösche die erstmal vom Interface.
Und bitte eine wirklich aktive Konfig hier posten (show run Output !) und nicht irgendwelche Konfig Schnipsel die per cut and paste zusammenkopiert wurden... face-sad
Sorry, aber bist du dir sicher das du das Tutorial und besonders die Konfig Vorgaben und Hinweise wirklich gelesen hast ?! face-sad
routermax
routermax 18.01.2022 um 19:46:46 Uhr
Goto Top
Hallo aqui,

Habe die Config nochmal durchgelesen. Ob ich alles verstanden habe wieß ich leider nicht aber, ich will es verstehen.
Hoffe auf deine Geduld. face-smile

Das mit der ACL 10 war ein Fehler von mir. Sorry

Hier meine Config:

Building configuration...

Current configuration : 8644 bytes
!
! Last configuration change at 19:36:27 CET Tue Jan 18 2022
!
version 17.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
! Call-home is enabled by Smart-Licensing.
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname Router1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 9 $9$RBb6FEq5FwzaR.$18vNEzl7ydefththtrhbq03I7otJMfpv7TCDakBSsJcLPI
!
aaa new-model
aaa local authentication attempts max-fail 3
!
aaa authentication login default local
aaa authorization network default local
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip gratuitous-arps
!
ip domain name meinedomain.home.arpa
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
 network 192.168.100.0 255.255.255.0
 default-router 192.168.100.254
 dns-server 192.168.100.254
 option 42 ip 130.149.17.8
 domain-name meinedomain.home.arpa
!
ip dhcp pool Gastnetz
 network 172.16.100.0 255.255.255.0
 default-router 172.16.100.254
 dns-server 172.16.100.254
 option 42 ip 130.149.17.8
 domain-name gast.meinedomain.home.arpa
!
login on-success log
!
subscriber templating
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-2032345332
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-203234532
 revocation-check none
 rsakeypair TP-self-signed-2032623083
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
crypto pki certificate chain TP-self-signed-203455432
 certificate self-signed 01
  30820330 30820218 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
        quit
crypto pki certificate chain SLA-TrustPoint
 certificate ca 01
  30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
        quit
!
license udi pid C1111-4P sn FCxxxxxxxxxxx
memory free low-watermark processor 7xxxxx
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username admin privilege 15 secret 9 $9$wN3F9lxFqZ9bb.$NiWyXvlSadd33JCz9.pOEHEND51Ltjpw8qjYucg6VBM
!
redundancy
 mode none
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/0/0
 description Internet
 ip dhcp client client-id ascii FCZ2544R6DRT
 no ip address
 negotiation auto
 no cdp enable
!
interface GigabitEthernet0/0/1
 no ip address
 negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
 description Gastnetz
 no cdp enable
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.100.254 255.255.255.0
 ip nat inside
 ip tcp adjust-mss 1448
!
interface Vlan2
 description Gastnetz
 ip address 172.16.100.254 255.255.255.0
 ip nat inside
 ip access-group gastnetz in
 ip tcp adjust-mss 1448
!
interface Vlan99
 description Internet Interface
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
!
interface Dialer0
 description xDSL Einwahl Interface Internet
 mtu 1488
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 no keepalive
!
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/0/0
ip forward-protocol nd
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh time-out 30
ip ssh version 2
!
ip access-list extended gastnetz
 10 permit udp any any eq bootpc
 20 deny   ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
 30 permit tcp 172.16.100.0 0.0.0.255 any eq domain
 40 permit udp 172.16.100.0 0.0.0.255 any eq domain
 50 permit tcp 172.16.100.0 0.0.0.255 any eq www
 60 permit tcp 172.16.100.0 0.0.0.255 any eq 443
 70 deny   ip any any
!
ip access-list standard 23
 10 permit 192.168.100.0 0.0.0.255
ip access-list extended 101
 10 permit ip 192.168.100.0 0.0.0.255 any
 20 permit ip 172.16.100.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
!
control-plane
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 access-class 23 in
 transport input telnet ssh
!
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"  
  active
  destination transport-method http
ntp server 130.149.17.8 source Dialer0
!
end

Ich musste ein paar Interfaces ändern da sie bei mir nicht gibt. z.B Fastehternet.... usw.
Leider komme ich nich immer nicht ins Internet.

Gruß
Max
aqui
aqui 18.01.2022 aktualisiert um 20:25:19 Uhr
Goto Top
Hi Max,
Ich musste ein paar Interfaces ändern da sie bei mir nicht gibt.
Das ist OK denn du hast ja Gig Interfaces.
Bevor wir ins Eingemachte gehen ein paar grundsätzliche Fragen zum Internet Zugang / WAN Port
  • Verbindest du dich über einen xDSL Anschluss sprich xDSL Modem ?
  • Verbindest du dich direkt über ein physisches Router Interface ?
  • Wie ist die WAN Port IP Adressvergabe ? Statisch oder dynamisch ?
Wenn du ein physisches Interface nutzt wäre es ja ziemlicher Blödsinn ein Dialer Interface mit PPP (PPPoE) zu konfigurieren weil der C1111 ja gar kein internes Modem hat. Es ist nur dann erforderlich wenn du ein externes Modem nutzt und einen xDSL Anschluss hast.
Auch das VLAN 99 Interface ist völlig unsinnig bei dir. Du hast ja ein bzw. 2 dedizierte WAN Interfaces dafür auf dem C1111.
Das vlan 99 Interface im Tutorial ist eine Besonderheit des 886va Routers der kein direktes WAN Interface wie dein 1111er hat und man dann mit dem internen Switch etwas tricksen muss um ein Kupfer WAN Port zu erhalten.
Ist bei dir also beides (vlan 99 und Dialer) völlig unnötig. Diesen Konfig Part kannst (und musst) du dann vollständig entfernen.
Der Rest der Rumpfkonfig ist soweit OK.
Weitere Konfig Tips:
  • HTTP ist unsicher und solltest du immer deaktivieren mit no ip http-server.
  • Das gilt ebenso für Telnet. Beide übertragen alle Konfig Daten UNverschlüsselt !
  • ip tcp adjust-mss ist einzig nur erforderlich wenn PPPoE konfiguriert ist. Hast du (vermutlich) nicht wenn du über GigE Interfaces direkt arbeitest und kann bzw. muss dann vollständig entfallen.
routermax
routermax 19.01.2022 um 12:37:40 Uhr
Goto Top
Hallo aqui,

Bevor wir ins Eingemachte gehen ein paar grundsätzliche Fragen zum Internet Zugang / WAN Port

Aktuell baut die FritzBox die Internetverbindung auf.
Der Cisco hängt mit seinem WAN Port an einem LAN Port der FritzBox.
Die FritzBox vergibt per DHCP Server IP Adressen.
Der Cisco Router hängt als DHCP Client an der FritzBox
Die doppelte NAT Problematik ist mir bekannt.

Wenn du ein physisches Interface nutzt wäre es ja ziemlicher Blödsinn ein Dialer Interface mit PPP (PPPoE) zu konfigurieren weil der C1111 ja gar kein internes Modem hat.
Es ist nur dann erforderlich wenn du ein externes Modem nutzt und einen xDSL Anschluss hast.
Auch das VLAN 99 Interface ist völlig unsinnig bei dir. Du hast ja ein bzw. 2 dedizierte WAN Interfaces dafür auf dem C1111.
Das vlan 99 Interface im Tutorial ist eine Besonderheit des 886va Routers der kein direktes WAN Interface wie dein 1111er hat und man dann mit dem internen Switch etwas tricksen muss um ein Kupfer WAN Port zu erhalten.
Ist bei dir also beides (vlan 99 und Dialer) völlig unnötig. Diesen Konfig Part kannst (und musst) du dann vollständig entfernen.

Ok. Ich denke das ich es soweit verstanden habe.
Das heist ich müsste

ip nat inside source list 101 interface Dialer0 overload

gegen

ip nat inside source list 101 interface gi0/0/0 overload

austauschen, weil da ja die FritzBox angeschlossen ist.

Und wie müsse die Config aussehen, wenn ich per ACL jeder vlan isoliern möchte?
Gibt es auch eine möglichkeit an den WAN 2 einen LTE Router anschließen und diesen als Backup zu nutzen?

Gruß
Max
aqui
Lösung aqui 19.01.2022 aktualisiert um 16:01:16 Uhr
Goto Top
Hier ist eine wasserdichte Konfig für das Cisco 1111 Kaskaden Setup mit der FB du du nur noch per Cut and Paste konfigurieren musst.
Für die Konfiguration überflüssige Default Settings sind weggelassen !

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
!
hostname Cisco-Router
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 9 $9$RBb6FEq5FwzaR.$18vNEzl7ydefththtrhbq03I7otJMfpv7TCDakBSsJcLPI
!
aaa new-model
aaa local authentication attempts max-fail 3
!
aaa authentication login default local
aaa authorization network default local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip gratuitous-arps
!
ip domain name routermax.home.arpa
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.149
ip dhcp excluded-address 172.16.100.200 172.16.100.254
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
option 42 ip 130.149.17.8
domain-name routermax.home.arpa
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
option 42 ip 130.149.17.8
domain-name gast.routermax.home.arpa
!
username admin privilege 15 secret 9 $9$wN3F9lxFqZ9bb.$NiWyXvlSadd33JCz9.pOEHEND51Ltjpw8qjYucg6VBM
!
!
interface GigabitEthernet0/0/0
description Internet zur FritzBox
ip dhcp client client-id ascii Cisco1111
no cdp enable
!
interface GigabitEthernet0/0/1
shutdown
no ip address
negotiation auto
!
interface GigabitEthernet0/1/0
!
interface GigabitEthernet0/1/1
!
interface GigabitEthernet0/1/2
!
interface GigabitEthernet0/1/3
description Gastnetz
switchport access vlan 2
no cdp enable
!
interface Vlan1
description Lokales LAN (GigabitEthernet0/1/0 bis 0/1/2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
!
interface Vlan2
description Gastnetz (GigabitEthernet0/1/3)
ip address 172.16.100.254 255.255.255.0
ip nat inside
ip access-group gastnetz in
!
no ip http server
ip http authentication local
ip http secure-server
ip http client source-interface vlan 1
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip ssh time-out 30
ip ssh version 2
!
ip access-list extended gastnetz
10 permit udp any any eq bootpc
20 deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit tcp 172.16.100.0 0.0.0.255 any eq domain
40 permit udp 172.16.100.0 0.0.0.255 any eq domain
50 permit tcp 172.16.100.0 0.0.0.255 any eq www
60 permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
ip access-list standard 23
10 permit 192.168.100.0 0.0.0.255
ip access-list extended 101
10 permit ip 192.168.100.0 0.0.0.255 any
20 permit ip 172.16.100.0 0.0.0.255 any
!
line con 0
transport input none
stopbits 1
line vty 0 4
access-class 23 in
transport input telnet ssh
!
ntp server 130.149.17.8 source GigabitEthernet0/0/0
!
end


Tip:
Cisco Router mit write erase und einem reload danach jungfräulich machen und rebooten um alle Reste deiner Konfig Leichen sicher zu entfernen !
Dann Konfig oben per Cut and Paste über das serielle CLI reinpasten. Mit wr mem sichern.
Fertisch...
Solltest du Konfigs posten lassen der Übersicht halber immer die Default und PKI Settings weg, die verwirren nur unnötig !
routermax
routermax 19.01.2022 um 21:38:10 Uhr
Goto Top
Wow, aqui.
Damit habe ich nicht gerechnet. Vielen vielen Dank. Verbeuge mich. face-smile

Ich muss sagen jetzt läuft es.

Aber zwei Fragen habe ich noch.
Kannst du mir noch sagen wie ich den zweiten WAN Anschluss Konfigurieren muss wenn ich z.B. eine LTE Box vom einem Mobilfunkanbieter anschließen möchte. Sie würde auch so wie die Fritzbox funktionieren nur hat über das Mobilfunknetz.

Und wie müsste eine ACL aussehen die nur als Internet frei gibt, aber die Geräte nicht mit anderen vlans komunizieren dürfen.

Mein Beispiel:
deny ip (Quellnetz) 192.168.3.0 0.0.0.255 (Zielnetz)192.168.100.0 0.0.0.255
müsste ich dann auch die Regel umdrehen:

deny ip (Quellnetz) 192.168.100.0 0.0.0.255 (Zielnetz)192.168.3.0 0.0.0.255

Vielen Dank.

Gruß
Max
aqui
Lösung aqui 20.01.2022 aktualisiert um 11:03:04 Uhr
Goto Top
Vielen vielen Dank.
Immer gerne ! 🙂
Verbeuge mich
Bitte nicht, das ist gar nicht nötig !
Lerne lieber die Cisco Konfig richtig zu lesen ! face-wink
Eine sehr gute Literatur Empfehlung dazu ist diese hier.
wie ich den zweiten WAN Anschluss Konfigurieren muss
Wenn der LTE Router am Koppelport DHCP macht reicht es wenn du den Cisco am 2ten WAN Port als DHCP Client definierst. Er zieht sich dann vom LTE Router automatisch eine IP. Ist doch das gleiche Spielchen wie bei der FritzBox !!
!
interface GigabitEthernet0/x/y
description Internet zum LTE Router
ip dhcp client client-id ascii Cisco1111
no cdp enable
!

Ganz so toll ist das nicht denn als Netzwerker weisst du ja auch das Router aus guten Gründen in der Regel immer statische IP Adressen haben solten. Sauberer wäre es also dem Cisco eine statische IP aus dem LAN Netz des LTE zu verpassen die nicht im DHCP Pool des LTE liegt !
Üblicherwiese nimmt man bei einem 24 Bit Prefix dann immer die IP "ganz oben". Beispiel:
Wenn der LTE 192.168.100.1 /24 verwendet dann gibst du dem Cisco die 192.168.100.254 /24 unter der Voraussetzung das die .254 NICHT im DHCP Pool liegt. DHCP kannst du in so einem Setup dann so oder so deaktivieren auf dem LTE denn der "sieht" ja eh nur noch den Cisco und muss keine Adressen mehr verteilen.
wie müsste eine ACL aussehen die nur als Internet frei gibt
"Als" Internet verstehe ich jetzt nicht ?? Was meinst du genau ??
Das die Clients am Cisco Router NICHT in das Koppelnetz zur FritzBox kommen ??
Das ist dann kinderleicht und wenn du etwas genauer hinsiehst bei deiner o.a. Konfig kannst du die sehr einfache ACL Logik schon aus der Gastnetz ACL ersehen.
!
interface Vlan1
description Lokales LAN (GigabitEthernet0/1/0 bis 0/1/2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip access-group NurInternet in
!
ip access-list extended NurInternet
10 permit udp any any eq bootpc
20 deny ip 192.168.100.0 0.0.0.255 192.168.178.0 0.0.0.255
30 permit ip 192.168.100.0 0.0.0.255 any
!

Wenn das auch für dein Gästnetz gelten soll MUSST du die o.a. Gast ACL natürlich auch entsprechend anpassen damit die Gäste da auch nicht hinkommen.
!
ip access-list extended gastnetz
10 permit udp any any eq bootpc
20 deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
25 deny ip 172.16.100.0 0.0.0.255 192.168.178.0 0.0.0.255
30 permit tcp 172.16.100.0 0.0.0.255 any eq domain
40 permit udp 172.16.100.0 0.0.0.255 any eq domain
50 permit tcp 172.16.100.0 0.0.0.255 any eq www
60 permit tcp 172.16.100.0 0.0.0.255 any eq 443
!

Wenn du willst das die Gäste generell in keine irgendwelchen Privaten RFC 1918 IP Netze sollen die es bei dir gibt sondern rein nur ins Internet kannst du die Gast ACL dementsprechend weiter dichter machen und alle RFC 1918 Netze sperren.
!
ip access-list extended gastnetz
10 permit udp any any eq bootpc
20 deny ip 172.16.100.0 0.0.0.255 10.0.0.0 0.255.255.255
30 deny ip 172.16.100.0 0.0.0.255 172.16.0.0 0.15.255.255
40 deny ip 172.16.100.0 0.0.0.255 192.168.0.0 0.0.255.255
50 permit tcp 172.16.100.0 0.0.0.255 any eq domain
60 permit udp 172.16.100.0 0.0.0.255 any eq domain
70 permit tcp 172.16.100.0 0.0.0.255 any eq www
80 permit tcp 172.16.100.0 0.0.0.255 any eq 443
!

Damit ist dir vermutlich die einfache ACL Logik klar, oder ? face-wink
Inbound ACLs arbeiten immer nach der Logik permit/deny <protokoll> <Quellnetz> <inverseMaske> <Zielnetz> <inverseMaske> <optionalPort>
Deine obigen Beispielregeln sind also auch genau richtig.
routermax
routermax 21.01.2022 um 02:33:51 Uhr
Goto Top
Hallo aqui,

Vielen dank nochmals. face-smile
Sorry, wenn es unverständlich war.

Ich meinte eine ACL Regel wo die Geräte nur im eigenen VLAN kommunizieren dürfen. Dort den DHCP Server nutzen dürfen, aber nicht ins Internet dürfen.
Bei der zweiten ACL Regel dürfen die Geräte auch untereinander im VLAN kommunizieren und das Internet benutzen.

Im Grunde bleiben die Geräte in ihrem VLAN, und kommunizieren nicht in andere VLANs. Und nur einmal mit und einmal ohne Internet.

Hoffe man versteht es besser.

Gruß
Max.
aqui
Lösung aqui 21.01.2022 aktualisiert um 09:39:43 Uhr
Goto Top
Ich meinte eine ACL Regel wo die Geräte nur im eigenen VLAN kommunizieren dürfen. Dort den DHCP Server nutzen dürfen, aber nicht ins Internet dürfen.
Ach so...
Gut, da lässt du dann nur Bootp (DHCP durch) und blockst dann alles. Z.B.
!
ip access-list extended NurLokal
10 permit udp any any eq bootpc
!

Ein deny any any ist ja immer Default am Ende einer ACL.
An diesem Port klappt dann nur DHCP vom Router aber ansonsten ist da alles verboten.
Bei der zweiten ACL Regel dürfen die Geräte auch untereinander im VLAN kommunizieren
Hier machst du ggf. mit deinem laienhaften Wissen zur IP Kommunikation einen Denkfehler, kann das sein ??
Lokaler Traffic passiert in einem LAN Segment doch immer direkt und ganz ohne Router !!
Ein Router ist, wie der Name schon sagt, nur involviert wenn du Netzwerk Traffic in andere IP Netze routen musst, sonst nicht.
Du solltest ggf. zum Wochenende nochmal in dich gehen und in Ruhe nachlesen wie eine Layer 2 Verbindung 2er lokaler IP Rechner abläuft. Oder....nimm dir, wie immer, einen kostenlosen Wireshark Paket Sniffer zur Hand und sieh dir das in deinem Netzwerk mal selber Live an ! Besser kann man es nicht lernen.
Der Cisco als Router "sieht" an seine inbound ACLs also nur dann Pakete wenn sie auch über ihn geroutet werden ! Rein lokaler Traffic gehört logischerweise nicht dazu, der landet Pronzip bedingt gar nicht am Router, warum sollte er das auch ? (OK, DHCP Dienst mal ausgenommen, der kann auch von anderen Geräten kommen)
Im Grunde bleiben die Geräte in ihrem VLAN, und kommunizieren nicht in andere VLANs.
WARUM benötigst du dann einen Router ?? Die Logik erschliesst sich irgendwie nicht ?!

Vielleicht soltlest du hier noch einmal ganz genau definieren WELCHE Rechner (IP Netz) zu WELCHER Zeit von WO (IP Netz) WOHIN und WOHIN NICHT dürfen !
Das würde für alle Beteiligten hier das Verständnis für deine ACLs und was du mit ihnen erreichen willst sicher deutlich leichter machen.
aqui
aqui 03.02.2022 um 10:25:08 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
Wie kann ich einen Beitrag als gelöst markieren?
routermax
routermax 05.02.2022 um 14:53:44 Uhr
Goto Top
Hallo aqui,

hatte die vergangen Tage etwas zu tun. Deswegen konnte ich nicht Antworten.
Hatte mir auch deine hilfreichen Links angesehen. Vielen Dank.

Der Router wird schon seinem Namen gereicht nur, wollte ich ein bis zwei vlans haben die nicht geroutet werden. Sie sind sozusagen Test vlans die mir den anderen vlans nicht in Berührung kommen sollen.

Soweit läuft auch alles. Vielen Dank für die Hilfe und vor allem Geduld. face-smile

Wünsche ein schönes Wochenende.
Max
aqui
aqui 05.02.2022 um 21:18:30 Uhr
Goto Top
Immer gerne ! 😉
routermax
routermax 05.02.2022 um 22:45:18 Uhr
Goto Top
Was mir gerade noch in den Sinn kommt. Ich suche noch eine Beispiel wie ich z.B das Gastvlan die Internetgeschwindigkeit begrenzen kann.

Als Beispiel bei einem 50/10 Internetanschluss, dass da die Gäste nur 20/5 bekommen

Gruß
Max
aqui
aqui 06.02.2022 um 11:12:43 Uhr
Goto Top
Das machst schnell und einfach du mit einer Source IP basierten Rate Limiting ACL. Du klassifizierst diesen Traffic permit <gastnetz_ip> any> und lässt darauf dann eine Class Map los.
Hier ist das erklärt wie es geht:
https://www.cisco.com/c/en/us/td/docs/cable/cbr/configuration/guide/b_cm ...