juemuc
Goto Top

Hilfe bei der ACL-Definition für Transfer-VLAN und Management-VLAN

Hallo,

um meine VLANs bestmöglich abzusichern, benötige ich Eure Unterstützung.

Aktueller Aufbau:

FB über Transfer-VLAN an CBS350 angebunden. auf dem CBS350 diverse VLANs definiert, die auch per ACLs abgesichert sind. Soweit ist alles erledigt.

Nun möchte ich das Management-VLAN weitestgehend abschotten. Allerdings benötigen die Switche in diesem VLAN einen Internetzugang für die Zeitserver und der L3-Switch ist gleichzeitig der DHCP-Server. Somit benötigen alle VLANs Zugriff auf die DHCP-Funktion. Und ich benötige den Zugriff auf die DNS-Server (Namensauflösung der Zeitserver und der Switch-Namen). Der Zugriff auf die Switche erfolgt nur über ein Gerät, dass im gleichen VLAN hängt.

Ich habe die ACLs nun wie folgt definiert :

ip access-list extended VLAN070-ACL
permit udp 0.0.0.0 0.0.0.0 bootps 255.255.255.255 0.0.0.0 bootpc ace-priority 10					DHCP-Anfragen erlauben
permit udp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 20					DNS-Abfrage bei 192.168.180.50
permit tcp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 30					DNS-Abfrage bei 192.168.180.50
permit udp 192.168.70.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 40					DNS-Abfrage bei 192.168.255.250
permit tcp 192.168.70.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 50					DNS-Abfrage bei 192.168.255.250
permit ip 192.168.70.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 1000						Zugriffe innerhalb des VLAN070 erlauben
deny ip 192.168.70.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100						Zugriff auf andere VLANs verbieten
permit udp 192.168.70.0 0.0.0.255 ntp any any ace-priority 1200								Zugriff auf Zeitserver im Internet 
exit

Passt das so, oder habe ich einen Denkfehler. Ich habe die ACLs noch nicht dem VLAN zugeordnet.

Für das Transfer-VLAN benötige ich die Zugriffe auf den DHCP-Server und zwei weitere VLANs (140+180). Hier habe ich die ACLs wie folgt definiert:

ip access-list extended VLAN255-ACL
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10					gesendete DHCP-Anfragen erlauben
permit ip 192.168.255.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400						Vollzugriff auf VLAN140
permit ip 192.168.255.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600						Vollzugriff auf VLAN180
permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255 ace-priority 1000						Zugriffe innerhalb des VLAN255 erlauben
deny ip 192.168.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100						Zugriff auf andere VLANs verbieten
permit ip 192.168.255.0 0.0.0.255 any ace-priority 1200									Zugriff auf das Internet erlauben
exit

Passt das so, oder "säge ich dann einen wichtigen Ast ab"?

Viele Grüße
Jürgen

Content-ID: 1750545529

Url: https://administrator.de/forum/hilfe-bei-der-acl-definition-fuer-transfer-vlan-und-management-vlan-1750545529.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 22.01.2022 aktualisiert um 19:38:29 Uhr
Goto Top
Passt das so, oder "säge ich dann einen wichtigen Ast ab"?
Warum probierst du es dann nicht einfach einmal an einem Test VLAN Segment aus. Wäre doch das Intelligenteste um die Funktion zu verifizieren, oder ? face-wink
Zumindestens Zeile 2 solltest du auf permit udp any any eq bootpc korrigieren sonst erleidest du Schiffbruch.
Außerdem ist permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255 ziemlicher Blödsinn den du besser entsorgen solltest ! Ebenso das Pendant am 70er VLAN. Was sollte der tiefere Sinn dieser sinnfreien ACL sein ?? Lokaler Traffic rennt doch niemals über den Router !
Der Rest ist soweit OK. Zumindestens dann wenn es eine inbound ACL für das 70er und 255er VLAN ist.
Bedenke aber das dann Rückrouten Traffic via 255 rein nur in das 255er, das 140er und das 180er Netz kommt. Alle anderen VLANs sind mit der ACL vom Internet dann geblockt.
Sinnvoller wäre es wenn du in der 255er ACL den restlichen VLAN Inbound Traffic über eine Summary ACL mit Established Bit passieren lässt. So stellst du sicher das aller initiierter Traffic aus den VLANs passieren kann. Ist viel effizienter... face-wink
juemuc
juemuc 22.01.2022 um 20:41:52 Uhr
Goto Top
Hallo aqui,

danke für Deine Antwort. Das mit dem Test-VLAN hatte ich mir auch schon überlegt. Muss ich einfach einmal ausprobieren.

Die DHCP-Anfrage aus den VLANs habe ich bisher mit
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10
umgesetzt. Bisher scheint dies auch zu funktionieren. Da im VLAN255 der DHCP-Server liegt (CBS-350), habe ich die ACL aus den anderen VLANs einfach umgedreht. Dazu habe ich diese Info gefunden:

For DHCP relay and DHCP proxy, packets sent to the DHCP server from the router have both the source and destination UDP ports set to 67. The DHCP server responds using the same ports. However, when the line card receives these DHCP response packets, it changes both port numbers from 67 to 68 before passing the packets to the Routing Engine. Consequently the filter needs to accept port 67 for packets relayed from the client to the server, and port 68 for packets relayed from the server to the client. (DHCP-Ports

Ist das so nicht korrekt? In Deiner Regel ist ja nur Port 67 enthalten. Wird Port 68 hier nicht benötigt?

Die Zeile " permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255" habe ich in allen VLANs eingefügt, da ich ohne diese Zeile das Problem habe, das die Kommunikation der Geäte untereinander nicht funktioniert, wenn ich am Ende diese Zeile in den VLANs habe "deny ip 192.168.120.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100". Hiermit will ich intern verbieten, was vorher nicht erlaubt war.
Welche Regel mus ich noch definieren, dass im 255-Netz alle VLANs, für die es erlaubt ist, auch die Antwort aus dem Internet erhalten?

Viele Grüße
Jürgen
aqui
aqui 23.01.2022 aktualisiert um 22:53:35 Uhr
Goto Top
Hi Jürgen
Bisher scheint dies auch zu funktionieren.
Ist logisch auch das gleiche wie permit udp any any eq bootpc. Deine Variante ist etwas dichter was die IP Adressen betrifft und Sourc e und Destination Port betrifft. face-wink
Wird Port 68 hier nicht benötigt?
Doch. Guckst du hier: https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Die einfache Variante filtert halt nicht nach Quellport. face-wink
das die Kommunikation der Geäte untereinander nicht funktioniert
Das ist eigentlich Unsinn. Zieh einfach mal den Router ab oder setze den Port auf shutdown nachdem die IPs bezogen haben. Die können auch ohne kommunizieren. Der L3 Port wird doch nur dann benutzt wenn ein Client IP Pakete in andere Netze routen muss. Wireshark ist hier wieder dein bester Freund !! Der zeigt dir doch die Client Kommunikation mit dem Switch IP Port genau an ! face-wink
Hiermit will ich intern verbieten, was vorher nicht erlaubt war.
Das musst du nicht bzw. kommt darauf an WAS für eine Default Logik du aktiviert hast. Normal ist immer ein impliziertes deny any any in der Liste. (Whitelisting)
Man kann das aber auch auf Blacklistung umstellen dann ist ein permit any any gültig.
logic
dass im 255-Netz alle VLANs, für die es erlaubt ist,
permit tcp any 192.168.0.0 0.0.255.255 eq established
Die Inverse Maske musst du so setzen das sie alle deine VLANs inkludiert.
Dadurch kommen nur TCP Frames mit gesetztem Established Bit durch also nur Rücktraffic von Sessions die in den VLANs initiiert wurden.
Hier musst du aber etwas aufpassen wenn du UDP auch durchlassen willst/musst. Das musst du getrennt mit zusätzlichen Regeln dort handhaben, denn ACLs sind nicht stateful.
juemuc
juemuc 23.01.2022 um 22:16:13 Uhr
Goto Top
Danke für die Tipps.
Ich werde dies die nächsten Tage testen und dann berichten.

Viele Grüße
Jürgen
juemuc
juemuc 25.01.2022 um 21:30:35 Uhr
Goto Top
Hallo aqui,

ich verzweifle face-sad

  • Ich kann Dein Vorschlag mit permit tcp any 192.168.0.0 0.0.255.255 eq established nicht umsetzen. In den ACL-Kommandos finde ich es nicht ACLs für CBS350 und wenn ich es mit
  • #configure
  • #permit tcp any 192.168.0.0 0.0.255.255 eq established
versuche, bekomme ich die Info "Unrecognized command". Es fehlt also etwas dazwischen. Kannst Du helfen?

Dann habe ich noch in den Regeln für VLAN100 die Zeile
permit ip 192.168.100.0 0.0.0.255 192.168.100.0 0.0.0.255
gelöscht und nur die ACLs für VLAN100 aktiviert. Das Ergebnis war, dass die Geräte nicht mehr untereinander kommunizieren (kein ping). Zeile wieder rein, alles ok.
Was läuft hier falsch?
ip access-list extended VLAN100-ACL
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10					gesendete DHCP-Anfragen erlauben
permit udp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 20					DNS-Abfrage bei 192.168.180.50
permit tcp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 30					DNS-Abfrage bei 192.168.180.50
permit udp 192.168.100.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 40					DNS-Abfrage bei 192.168.255.250
permit tcp 192.168.100.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 50					DNS-Abfrage bei 192.168.255.250
permit ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 100						Vollzugriff auf VLAN1
permit ip 192.168.100.0 0.0.0.255 192.168.120.0 0.0.0.255 ace-priority 300						Vollzugriff auf VLAN120
permit ip 192.168.100.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400						Vollzugriff auf VLAN140
permit ip 192.168.100.0 0.0.0.255 192.168.160.0 0.0.0.255 ace-priority 500						Vollzugriff auf VLAN160
permit ip 192.168.100.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600						Vollzugriff auf VLAN180
permit ip 192.168.100.0 0.0.0.255 192.168.255.0 0.0.0.255 ace-priority 800						Vollzugriff auf VLAN255
permit ip 192.168.100.0 0.0.0.255 192.168.100.0 0.0.0.255 ace-priority 1000						Zugriffe innerhalb des VLAN100 erlauben
deny ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100						Zugriff auf andere VLANs verbieten
permit ip 192.168.100.0 0.0.0.255 any ace-priority 1200									Zugriff ins Internet
exit
Hier alle Regeln.

Viele Grüße
Jürgen
aqui
aqui 26.01.2022 aktualisiert um 10:48:02 Uhr
Goto Top
versuche, bekomme ich die Info "Unrecognized command".
Warum hangelst du dich dann nicht mit dem "?" mal durch ??? Das ist doch das Naheliegenste und kommt jeder sofort selber drauf ?!
Der Cisco hat doch die Hilfe für dich immer gleich an Bord, du musst ihn nur danach fragen mit dem "?"
https://www.coufal.info/cisco_ios/basis.shtml
An jeder Stelle der Syntax kannst du ein "?" eingeben und der Cisco sagt dir dann immer was er von dir möchte ! face-wink
Also vielleicht einmal permit tcp any 192.168.0.0 0.0.255.255 ? versuchen.
juemuc
juemuc 26.01.2022 aktualisiert um 17:55:47 Uhr
Goto Top
Hallo aqui,
das habe ich doch längst versucht face-smile Manchmal höre ich doch auf Dich face-smile

Aber schon bei "permit ?" kommt die Meldung und ich habe keine Ahnung, welchen Befehl ich vorher nutzen soll, den ich mit "?" angezeigt bekomme.

Wenn ich vorher noch
#ip access-list extended VLAN255-ACL
eingebe, erhalte ich die Fehlermeldung
% Wrong number of parameters or invalid range, size or characters entered
Auch hier hatte ich versucht, mich mit dem ? durchzuhangeln. Bei der kompletten Befehlszeile mit ? am Ende, wiederholt er diese nur.

"established" wird mir mit ? nirgendwo angezeigt. Ich habe zumindest keinen Weg dahin gefunden.

Viele Grüße
Jürgen
juemuc
juemuc 26.01.2022 um 20:47:44 Uhr
Goto Top
Hallo aqui,

ich glaube, ich habe die Lösung gefunden. Ich gehe davon aus, das die Eingabe von
permit tcp any 192.168.0.0 0.0.255.255 eq established
nicht funktioniert sondern in der Form
permit tcp any any 192.168.0.0 0.0.255.255 any match-all +ack ace-priority 900
permit udp any any 192.168.0.0 0.0.255.255 any ace-priority 910
eingegeben werden muss.
Damit werden zumindest die Internetanfragen aus dem Transfernetz beantwortet.

Bleibt noch die Frage, warum die Zugriffe innerhalb eines VLANs nicht funktioieren, wenn ich dies nicht explizit erlaube.

Viele Grüße
Jürgen
aqui
aqui 27.01.2022 um 09:40:15 Uhr
Goto Top
Das ist aber auch eine schwere Geburt mit dir....
<cody>HV-Stack(config)#ip access-list ?
extended Create an extended ACL.
WORD<1-32> The IP standard access list name.
Du siehst hier will er wissen ob du eine extend List oder eine Simple List haben willst. Simple will er die ACL Nummer extended <name_acl> legt diese Liste an !
Logischerweise musst du dann immer erst den Namen angeben wenn du eine Extended List bearbeitest.
  • permit ? zeigt dir dann welche Protokolle die ACL supportet
  • z.B. permit tcp ? erklärt sich selber... Sequence fpr die Reihenfolge usw.
  • usw. usw
permit tcp any 192.168.0.0 0.0.255.255 eq established
Nichts anderes wurde dir ja oben schon erklärt ! 😉
sondern in der Form
Das ist richtig. Oben war nur der grobe Rahmen der dich auf diese Spur bringen sollte... face-wink
Bleibt noch die Frage, warum die Zugriffe innerhalb eines VLANs nicht funktioieren, wenn ich dies nicht explizit erlaube.
Das ist richtig. Habe das hier auf einem SG300 mit aktueller Firmware mal versucht zu reproduzieren. Passiert erwartbar nicht... Ist auch klar, denn lokaler L2 Traffic innerhalb eines VLANs "sieht" den L3 Switch niemals.
Ausnahme natürlich du nutzt lokale L2 Funktionen auf dem Switch wie DHCP usw. Aber die fragen ja dann imemr die Switch IP und niemals ihre eigenen IPs bei Kommunikation untereinander.
Das kannst du einfach nachvollziehen indem du den lokalen Clients einmal statische IPs verpasst. Dann kannst du ein deny any any an der ACL eingeben und diese Clients können trotzdem lokal kommunizieren was ja auch aus L3 Sicht logisch nachvollziehbar ist.
juemuc
juemuc 27.01.2022 um 17:29:36 Uhr
Goto Top
Zitat von @aqui:
Das ist aber auch eine schwere Geburt mit dir....

Um so dankbarer bin ich Dir, dass Du nicht aufgibst.

Leider scheint die Definition von
permit tcp any any 192.168.0.0 0.0.255.255 any match-all +ack ace-priority 900
permit udp any any 192.168.0.0 0.0.255.255 any ace-priority 910

nicht ausreichend zu sein. Fernseher und GigaTV-Box melden weiterhin "kein Internet". Beide sind im VLAN160.

Hast Du noch eine Idee? Ich würde ungerne für dieses VLAN alles auf machen.
ICh werde mal noch diese Freigabe testen:
permit icmp any 192.168.160.0 0.0.0.255 echo-reply any ace-priority 500

Das mit der internen VLAN-Kommunikation teste ich später. Ich muss erst die Kommunikation mit dem Fernseher korrigieren. Sonst gibts ärger zu Hause face-smile

Viele Grüße
Jürgen
aqui
Lösung aqui 27.01.2022 um 19:37:07 Uhr
Goto Top
Fernseher und GigaTV-Box melden weiterhin "kein Internet". Beide sind im VLAN160.
Die machen garantiert irgendwie so eine "Nach Hause telefonier" Schnüffel Schweierei wie alle diese Fernseher. Die melden bekanntlich alle deinen TV Gewohnheiten an Hersteller und andere Interessierte. Damit verdienen die Hersteller mehr Geld als mit den TV allein.
https://www.welt.de/wirtschaft/webwelt/article220724198/Smart-TV-So-hind ...
https://www.kaspersky.de/blog/shopping-und-online-banking-mit-dem-smart- ...
Belausche den am besten mal mit dem Kabelhai oder dem hier.
So erkennst du WO die genau hinfunken und was sie erwarten um ein funktionierendes Internet anzuzeigen. Das kannst du dann entsprechend mit den ACLs customizen.
Wenn die Giga TV Box eine Settop Box für IP TV ist macht die Mukticast. Da geht es dann wiede rum ganz andere IP Adressen.
Da hilft nur der Wireshark um genau rauszubekommen was die da machen im Netz und daraus dann die ACLs maßzuschneidern.
juemuc
juemuc 27.01.2022 um 23:05:23 Uhr
Goto Top
ok. Dann werde ich doch dieses VLAN vollumfänglich berechtigen (happy wife, happy life face-smile )

Habe noch genügend andere Baustellen.

Erst einmal vielen Dank für Deine Hilfe.

Wenn es mit dem Transfer-VLAN dann funktioniert werden ich mich noch einmal um die Kommunikation inerhalb eines VLANs kümmern. Ich kann ja temporär die DHCP-Funktion ausschalten.

Auf der anderen Seite finde ich die Möglichkeit der "Gerätetrennung" innerhalb eines VLANs gar nicht so schlecht face-smile.

Ich werde berichten.

Viele Grüße
Jürgen
aqui
aqui 28.01.2022 um 15:46:10 Uhr
Goto Top
Erst einmal vielen Dank für Deine Hilfe.
Immer gerne ! 🙂

Wenn's das denn war bitte den Thread auch als erledigt markieren.
Wie kann ich einen Beitrag als gelöst markieren?