3
Cisco C892 Gastnetz Vlan keine Verbindung ins Internet
Hallo Community,
ich habe hier ein Cisco C892 mit aktuellen IOS.
Gäste buchen sich über WLAN ins vlan200 ein.
Über das Gastnetz habe ich aber leider kein Zugriff ins Internet.
Ich bekomme eine IP Adresse über den vlan200 DHCP Pool und kann auch alle Interfaces auf dem Router pingen.
Leider kann ich aber keinen Ping oder www Zugriff ins Internet bekommen.
Es scheitert schon daran die öffentliche Adresse des Gateway Routers (Hitron CGNV4-EU) anzupingen.
Aus dem "normalen " Netz vlan1 funktioniert alles tadellos.
Anbei die Auszüge der Config des Routers. Eventuell seht ihr ja den Fehler.
!
ip dhcp excluded-address 192.168.102.100 192.168.102.254
ip dhcp excluded-address 192.168.102.1
!
ip dhcp pool WlanGastPool
import all
network 192.168.102.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.102.1
!
interface FastEthernet0 (hier ist der WLAN AP angeschlossen)
switchport access vlan 200
switchport trunk native vlan 200
switchport mode trunk
no ip address
!
interface FastEthernet8
description LAN
ip address 192.168.100.111 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
duplex full
speed auto
no cdp enable
!
interface GigabitEthernet0
description WAN
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 101 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map VPN
!
interface Vlan200
description GUESTNET
ip address 192.168.102.1 255.255.255.0
ip access-group 103 out
ip nat inside
ip virtual-reassembly in
!
ip nat inside source list 199 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx (GW Adresse der Hitron)
!
access-list 101 remark _____________ACL-WAN_____________
access-list 101 remark CCP_ACL Category=1
access-list 101 permit ahp any host xx.xx.xx.xx
access-list 101 permit esp any host xx.xx.xx.xx
access-list 101 permit udp any host xx.xx.xx.xx eq isakmp
access-list 101 permit udp any host xx.xx.xx.xx eq non500-isakmp
access-list 101 permit tcp any eq domain any eq domain
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit udp any eq isakmp any eq isakmp
access-list 101 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 101 permit tcp any any established
access-list 101 permit icmp any host xx.xx.xx.xx echo-reply
access-list 101 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 101 permit icmp any host xx.xx.xx.xx unreachable
access-list 101 deny ip any any
!
access-list 103 remark _____________ACL GUESTNET_____________
access-list 103 remark CCP_ACL Category=1
access-list 103 permit tcp any eq domain any eq domain
access-list 103 permit tcp any eq www any eq www
access-list 103 permit tcp any eq 8080 any eq 8080
access-list 103 permit tcp any eq 443 any eq 443
access-list 103 permit tcp any eq smtp any eq smtp
access-list 103 permit tcp any eq pop3 any eq pop3
access-list 103 permit tcp any eq ftp any eq ftp
access-list 103 permit tcp any eq ftp-data any eq ftp-data
access-list 103 permit tcp any eq 143 any eq 143
access-list 103 permit tcp any eq 4500 any eq 4500
access-list 103 permit tcp any eq 1701 any eq 1701
access-list 103 permit udp any eq domain any eq domain
access-list 103 permit udp any eq isakmp any eq isakmp
access-list 103 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 103 permit udp any eq 1701 any eq 1701
access-list 103 deny ip any any
!
access-list 199 remark _____________ACL-NAT_____________
access-list 199 remark CCP_ACL Category=1
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.102.0 0.0.0.255 any
Danke für eure Hilfe
ich habe hier ein Cisco C892 mit aktuellen IOS.
Gäste buchen sich über WLAN ins vlan200 ein.
Über das Gastnetz habe ich aber leider kein Zugriff ins Internet.
Ich bekomme eine IP Adresse über den vlan200 DHCP Pool und kann auch alle Interfaces auf dem Router pingen.
Leider kann ich aber keinen Ping oder www Zugriff ins Internet bekommen.
Es scheitert schon daran die öffentliche Adresse des Gateway Routers (Hitron CGNV4-EU) anzupingen.
Aus dem "normalen " Netz vlan1 funktioniert alles tadellos.
Anbei die Auszüge der Config des Routers. Eventuell seht ihr ja den Fehler.
!
ip dhcp excluded-address 192.168.102.100 192.168.102.254
ip dhcp excluded-address 192.168.102.1
!
ip dhcp pool WlanGastPool
import all
network 192.168.102.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.102.1
!
interface FastEthernet0 (hier ist der WLAN AP angeschlossen)
switchport access vlan 200
switchport trunk native vlan 200
switchport mode trunk
no ip address
!
interface FastEthernet8
description LAN
ip address 192.168.100.111 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
duplex full
speed auto
no cdp enable
!
interface GigabitEthernet0
description WAN
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 101 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map VPN
!
interface Vlan200
description GUESTNET
ip address 192.168.102.1 255.255.255.0
ip access-group 103 out
ip nat inside
ip virtual-reassembly in
!
ip nat inside source list 199 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx (GW Adresse der Hitron)
!
access-list 101 remark _____________ACL-WAN_____________
access-list 101 remark CCP_ACL Category=1
access-list 101 permit ahp any host xx.xx.xx.xx
access-list 101 permit esp any host xx.xx.xx.xx
access-list 101 permit udp any host xx.xx.xx.xx eq isakmp
access-list 101 permit udp any host xx.xx.xx.xx eq non500-isakmp
access-list 101 permit tcp any eq domain any eq domain
access-list 101 permit udp any eq domain any eq domain
access-list 101 permit udp any eq isakmp any eq isakmp
access-list 101 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 101 permit tcp any any established
access-list 101 permit icmp any host xx.xx.xx.xx echo-reply
access-list 101 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 101 permit icmp any host xx.xx.xx.xx unreachable
access-list 101 deny ip any any
!
access-list 103 remark _____________ACL GUESTNET_____________
access-list 103 remark CCP_ACL Category=1
access-list 103 permit tcp any eq domain any eq domain
access-list 103 permit tcp any eq www any eq www
access-list 103 permit tcp any eq 8080 any eq 8080
access-list 103 permit tcp any eq 443 any eq 443
access-list 103 permit tcp any eq smtp any eq smtp
access-list 103 permit tcp any eq pop3 any eq pop3
access-list 103 permit tcp any eq ftp any eq ftp
access-list 103 permit tcp any eq ftp-data any eq ftp-data
access-list 103 permit tcp any eq 143 any eq 143
access-list 103 permit tcp any eq 4500 any eq 4500
access-list 103 permit tcp any eq 1701 any eq 1701
access-list 103 permit udp any eq domain any eq domain
access-list 103 permit udp any eq isakmp any eq isakmp
access-list 103 permit udp any eq non500-isakmp any eq non500-isakmp
access-list 103 permit udp any eq 1701 any eq 1701
access-list 103 deny ip any any
!
access-list 199 remark _____________ACL-NAT_____________
access-list 199 remark CCP_ACL Category=1
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.102.0 0.0.0.255 any
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 333641
Url: https://administrator.de/contentid/333641
Printed on: April 25, 2024 at 08:04 o'clock
3 Comments
Latest comment
Deine Konfig ist um Grundsatz richtig, hat aber gravierende Fehler in der Access Listen Konfiguration.
Generell sollte man immer vermeiden Outgoing ACLs zu verwenden, denn diese sind beim Cisco Process switched, belasten also die Router CPU erheblich.
Abgesehen davon sind sie ziemlich kontraproduktiv, denn du hast dann ja schon die Pakete die du gar nicht haben willst auf dem Router bzw. in ihm drin.
Vergiss das also , das ist kein gutes Konzept.
Abgesehen davon ist deine ACL 102 sysntaktisch falsch denn sie sollte immer Inbound konfiguriert sein also alles filtern was in den Router hinein geht und niemals wie bei dir ausgehend.
Vermutlich wird es schon rennen wenn du nur mit no ip access-list 103 out einmal die ACL vom VLAN 200 Interface entfernst !
Zudem existiert die Access Liste 100 die am lokalen LAN aktiv ist gar nicht in der Konfig !
Solche konfigtechnischen "Leichen" solltest du zwingend immer entfernen mit no ip access-group 100 in um Seiteneffekte durch falsche ACLs zu vermeiden !
Desweiteren die gruselige Baustelle ACL 101. Hostadressen xx.xx.xx.xx dort anzugeben ist Unsinn sofern damit eine IP aus dem lokalen HItron Netz oder die WAN IP des Cisco gemeint ist.
Da die Hitron selber auch NAT macht (du betreibst ja eine Routerkaskade mit doppeltem NAT hier!) kann die Cisco WAN IP niemals IP einen VPN Clients sein. Denn das dürfte eine private RFC 1918 IP sein.
Das ist aber leider nicht klar ersichtlich da du die IP voll anonymisiert hast.
Die statische Route lässt aber darauf schliessen das es KEIN reines Modem sondern ein kaskadiert Router vor dem Cisco ist.
Ferner ist das IPsec AH Protokoll nicht NAT fähig. Es kann also niemals überhaupt die ACL 101 erreichen und ist vollkommen überflüssig da.
Klare Empfehlung hier sofern du ein Firewall Image hast auf dem Router:
Nutze die Firewall Konfig in Verbindung mit einer CBAC ACL wie sie das u.a. Beispieltutorial verwendet !
ICMP Redirects haben auf einem WAN Endgeräte Port beim Provider nichts zu suchen. Wohin sollte der Router auch redirecten ?? Das ist Unsinn und Sicherheitsrisiko und solltest du zwingend entfernen.
Auch das physische Interface als Trunk Interface zu definieren ist vollkommen falsch, denn du hast hier ja keinerlei tagged VLAN Frames die hier reinkommen.
Außerdem hast du eine vollkommen unsinnige Konfig das du den Port einmal als untagged Access Port definierst und im anderne Kommando als Tagged Uplink (Trunk) Port. Das ist natürlich konfigtechnischer Quatsch.
Tödlich auch die Verwendung von Google als DNS Server denn wie immer erstellen die von dir und deinen Gästen eine Surf- und Internet Profil was sie über andere Dienstleitser weiterverwerten.
Unsinnig auch weil dann davor kaskadierter Router ganz sicher ein Proxy DNS ist und du allein schon aus Performance Gründen dessen IP als DNS angeben solltest zumidest aber die DNS deine Providers und ganz sicher nicht Google !
Auch gehört Flow Controll generell ausgeschaltet.
Du solltest Richtung Clients aus Performance Sicht ebenso immer den Cisco als Proxy DNS Server nutzen. Das Globale Kommando ip dns server bewerkstelligt das
Mit anderen Worten ein Sammelsurium an Fehlkonfigurationen bedingt dein Problem.
Hier findest du eine laufende Beispielkonfig mit Gastnetz die dir zeigt wie man es richtig macht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Bereinigt sollte deine Konfig so aussehen:
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.102.100 192.168.102.254
ip dhcp excluded-address 192.168.102.1
!
ip dhcp pool WlanGastPool
import all
network 192.168.102.0 255.255.255.0
dns-server 192.168.102.1
default-router 192.168.102.1
!
interface FastEthernet0
description WLAN Gast AP Anschluss
switchport access vlan 200
no ip address
no cdp enable
!
interface FastEthernet8
description Lokales LAN
ip address 192.168.100.111 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
duplex full
speed auto
no cdp enable
!
interface GigabitEthernet0
description WAN Internet
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 101 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan200
description GUESTNET
ip address 192.168.102.1 255.255.255.0
ip access-group 103 in
ip nat inside
ip virtual-reassembly in
!
ip nat inside source list 199 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx (GW Adresse der Hitron)
!
ip dns server
!
access-list 101 permit esp any any
access-list 101 permit tcp any eq domain any
access-list 101 permit udp any eq domain any
access-list 101 permit udp any eq isakmp any
access-list 101 permit udp any eq non500-isakmp any
access-list 101 permit icmp any host xx.xx.xx.xx echo-reply
access-list 101 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 101 deny ip any any
!
access-list 103 permit udp any eq bootpc any
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq domain
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq domain
access-list 103 permit tcp192.168.102.0 0.0.0.255 any eq www
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 8080
access-list 103 permit tcp 192.168.102.0 0.0.0.255any eq https
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq smtp
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq pop3
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq ftp
access-list 103 permit tcp 192.168.102.0 0.0.0.255 eq ftp-data
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 143
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 4500
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 1701
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq isakmp
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq non500-isakmp
!
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.102.0 0.0.0.255 any
!
Halte dich strikt an das o.a. Cisco Tutorial hier, dann kommt das auch sofort zum Fliegen.
Generell sollte man immer vermeiden Outgoing ACLs zu verwenden, denn diese sind beim Cisco Process switched, belasten also die Router CPU erheblich.
Abgesehen davon sind sie ziemlich kontraproduktiv, denn du hast dann ja schon die Pakete die du gar nicht haben willst auf dem Router bzw. in ihm drin.
Vergiss das also , das ist kein gutes Konzept.
Abgesehen davon ist deine ACL 102 sysntaktisch falsch denn sie sollte immer Inbound konfiguriert sein also alles filtern was in den Router hinein geht und niemals wie bei dir ausgehend.
Vermutlich wird es schon rennen wenn du nur mit no ip access-list 103 out einmal die ACL vom VLAN 200 Interface entfernst !
Zudem existiert die Access Liste 100 die am lokalen LAN aktiv ist gar nicht in der Konfig !
Solche konfigtechnischen "Leichen" solltest du zwingend immer entfernen mit no ip access-group 100 in um Seiteneffekte durch falsche ACLs zu vermeiden !
Desweiteren die gruselige Baustelle ACL 101. Hostadressen xx.xx.xx.xx dort anzugeben ist Unsinn sofern damit eine IP aus dem lokalen HItron Netz oder die WAN IP des Cisco gemeint ist.
Da die Hitron selber auch NAT macht (du betreibst ja eine Routerkaskade mit doppeltem NAT hier!) kann die Cisco WAN IP niemals IP einen VPN Clients sein. Denn das dürfte eine private RFC 1918 IP sein.
Das ist aber leider nicht klar ersichtlich da du die IP voll anonymisiert hast.
Die statische Route lässt aber darauf schliessen das es KEIN reines Modem sondern ein kaskadiert Router vor dem Cisco ist.
Ferner ist das IPsec AH Protokoll nicht NAT fähig. Es kann also niemals überhaupt die ACL 101 erreichen und ist vollkommen überflüssig da.
Klare Empfehlung hier sofern du ein Firewall Image hast auf dem Router:
Nutze die Firewall Konfig in Verbindung mit einer CBAC ACL wie sie das u.a. Beispieltutorial verwendet !
ICMP Redirects haben auf einem WAN Endgeräte Port beim Provider nichts zu suchen. Wohin sollte der Router auch redirecten ?? Das ist Unsinn und Sicherheitsrisiko und solltest du zwingend entfernen.
Auch das physische Interface als Trunk Interface zu definieren ist vollkommen falsch, denn du hast hier ja keinerlei tagged VLAN Frames die hier reinkommen.
Außerdem hast du eine vollkommen unsinnige Konfig das du den Port einmal als untagged Access Port definierst und im anderne Kommando als Tagged Uplink (Trunk) Port. Das ist natürlich konfigtechnischer Quatsch.
Tödlich auch die Verwendung von Google als DNS Server denn wie immer erstellen die von dir und deinen Gästen eine Surf- und Internet Profil was sie über andere Dienstleitser weiterverwerten.
Unsinnig auch weil dann davor kaskadierter Router ganz sicher ein Proxy DNS ist und du allein schon aus Performance Gründen dessen IP als DNS angeben solltest zumidest aber die DNS deine Providers und ganz sicher nicht Google !
Auch gehört Flow Controll generell ausgeschaltet.
Du solltest Richtung Clients aus Performance Sicht ebenso immer den Cisco als Proxy DNS Server nutzen. Das Globale Kommando ip dns server bewerkstelligt das
Mit anderen Worten ein Sammelsurium an Fehlkonfigurationen bedingt dein Problem.
Hier findest du eine laufende Beispielkonfig mit Gastnetz die dir zeigt wie man es richtig macht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Bereinigt sollte deine Konfig so aussehen:
!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 192.168.102.100 192.168.102.254
ip dhcp excluded-address 192.168.102.1
!
ip dhcp pool WlanGastPool
import all
network 192.168.102.0 255.255.255.0
dns-server 192.168.102.1
default-router 192.168.102.1
!
interface FastEthernet0
description WLAN Gast AP Anschluss
switchport access vlan 200
no ip address
no cdp enable
!
interface FastEthernet8
description Lokales LAN
ip address 192.168.100.111 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
duplex full
speed auto
no cdp enable
!
interface GigabitEthernet0
description WAN Internet
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 101 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan200
description GUESTNET
ip address 192.168.102.1 255.255.255.0
ip access-group 103 in
ip nat inside
ip virtual-reassembly in
!
ip nat inside source list 199 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xx (GW Adresse der Hitron)
!
ip dns server
!
access-list 101 permit esp any any
access-list 101 permit tcp any eq domain any
access-list 101 permit udp any eq domain any
access-list 101 permit udp any eq isakmp any
access-list 101 permit udp any eq non500-isakmp any
access-list 101 permit icmp any host xx.xx.xx.xx echo-reply
access-list 101 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 101 deny ip any any
!
access-list 103 permit udp any eq bootpc any
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq domain
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq domain
access-list 103 permit tcp192.168.102.0 0.0.0.255 any eq www
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 8080
access-list 103 permit tcp 192.168.102.0 0.0.0.255any eq https
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq smtp
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq pop3
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq ftp
access-list 103 permit tcp 192.168.102.0 0.0.0.255 eq ftp-data
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 143
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 4500
access-list 103 permit tcp 192.168.102.0 0.0.0.255 any eq 1701
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq isakmp
access-list 103 permit udp 192.168.102.0 0.0.0.255 any eq non500-isakmp
!
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.102.0 0.0.0.255 any
!
Halte dich strikt an das o.a. Cisco Tutorial hier, dann kommt das auch sofort zum Fliegen.
1
Vielen Dank aqui.
Maßgeblich war die Lösung, dass Interface 0 nicht als Trunk zu definieren und die ACL 103 anzupassen und auf in zu setzen.
Habe die ACL 101 auch mal aufgeräumt. DIe 100 hatte ich bewusst nicht gepostet, da es eigentlich nicht mit dem Problem zu tun hatte.
DNS Server habe ich auch mal von 8.8.8.8 auf die des Providers geändert. Deine Argumente sind da schon stimmig.
VG
Maßgeblich war die Lösung, dass Interface 0 nicht als Trunk zu definieren und die ACL 103 anzupassen und auf in zu setzen.
Habe die ACL 101 auch mal aufgeräumt. DIe 100 hatte ich bewusst nicht gepostet, da es eigentlich nicht mit dem Problem zu tun hatte.
DNS Server habe ich auch mal von 8.8.8.8 auf die des Providers geändert. Deine Argumente sind da schon stimmig.
VG
Danke für die Blumen... 
Klasse wenns nun alles klappt wie es soll !
Klasse wenns nun alles klappt wie es soll !
