Inter VLAN Routing Probleme mit Cisco Secure Router 520
Hallo Zusammen
Problem:
Ping auf Clients im VLAN 100 nach VLAN 200, und umgekehrt, geht nicht. Kann vom VLAN 100 den Gateway vom VLAN 200 pingen und umgekehrt. Kann aber keine Clients übers VLAN hingweg pingen. Innerhalb dem VLAN geht das.
Ziel:
Habe ein Cisco Secure Router 520 und möchte diesen in zwei VLANs aufteilen. 1xLAN und 1xDMZ. Vorerst genügt es mir aber wenn ich die VLAN untereinander erreichbar machen kann.
Meine Errungenschaften:
Habe dieses Wochenende angefange Cisco Router kennen zu lernen und bin deshalb noch ein riesen Anfänger.
1. Versuch
- Habe zuerst die beiden VLAN 100 und 200 erstellt und die IP Adresse 10.0.100.1 und 10.0.200.1 zugewiesen. Anschliessend bei den FE0 und FE2 die VLAN mit Switchport zugewiesen. Ich konnte dann zwar jeweils den Gateway vom anderen VLAN pingen, jedoch die Clients dahinter gaben nie antwort.
2. Versuch
- Wie ihr unten im Config File sieht, habe ich den FE1 als Trunking Port aktiviert. Dieser ist direkt mit dem FE4(der WAN Schnittstelle) Port verbunden. Leider ist da daselbe Problem. Kann nur den Gateway vom anderen VLAN pingen, aber nicht die Clients dahinter.
Lösung:
- Muss ich da eventuell eine ACL für die VLANs basteln oder was denkt ihr?
Vielen Dank an alle die meine Geschichte gelesen haben.
Building configuration...
Current configuration : 3644 bytes
!
version 12.4
no service pad
no service timestamps debug uptime
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001-1-1-1-1-1-1-1-1-1-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging rate-limit
enable secret 5 $1$E0ss$bRuqY04O6Anf8sYrRX3e3/
enable password BUcisco!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 30313339
35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BEE4 53076F0C 80294BA1 7627D4E2 9A836DF7 AF09F446 500FA6AE D97870FD
5E4F66B7 4D987C2B D6A5B08C 3C3FB1C4 408BF180 B78E219B 26AA6ED8 17FE932F
E1B11977 0504DB41 DC1CD292 786220E4 E5BFDB9D 5B2BB062 D523764F F783D695
36A65A22 8D417060 6FF4B857 367ED9E0 A73120A1 191060A0 835DEFC5 27E203FE
F3D50203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 1862752D 722D3030 312D312D 312D312D 312D312D 312D312D
31301F06 03551D23 04183016 8014DE33 22D7C8F6 3BF7E2BA 5A4F7653 AE1CA9A2
E119301D 0603551D 0E041604 14DE3322 D7C8F63B F7E2BA5A 4F7653AE 1CA9A2E1
19300D06 092A8648 86F70D01 01040500 03818100 78A0AB2F 6C835A36 0F20C0AF
019E4B5A 0920BEE9 CBA95C41 DBEE4B9A CE882040 A91A2442 A2C60790 B16F9716
8EC6A578 58C475F4 8CBA727B 6B5F74AE 002A30CD D36CA532 0E4E905C 3268C94E
54022B0E 666EB1F3 FB23BE33 00B05FA2 B5323311 1D87414A 876BAF92 43E50F01
92F9B9BA B6E6FB05 C7F38124 44E08DF6 E64626D2
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip ddns update method sdm_ddns1
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
ip ddns update method sdm_ddns2
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$2boY$kz35sEShVed5IcMH2nOe20
!
!
!
archive
log config
logging enable
logging size 600
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
switchport mode trunk
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet4.1
description VLAN 100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet4.2
description VLAN200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
interface Vlan75
no ip address
!
interface Vlan100
no ip address
!
interface Vlan150
no ip address
!
interface Vlan200
no ip address
!
router rip
network 10.0.0.0
!
no ip forward-protocol nd
ip route profile
!
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line vty 0 4
password xyzz!
!
scheduler max-task-time 5000
no process cpu extended
no process cpu autoprofile hog
end
Problem:
Ping auf Clients im VLAN 100 nach VLAN 200, und umgekehrt, geht nicht. Kann vom VLAN 100 den Gateway vom VLAN 200 pingen und umgekehrt. Kann aber keine Clients übers VLAN hingweg pingen. Innerhalb dem VLAN geht das.
Ziel:
Habe ein Cisco Secure Router 520 und möchte diesen in zwei VLANs aufteilen. 1xLAN und 1xDMZ. Vorerst genügt es mir aber wenn ich die VLAN untereinander erreichbar machen kann.
Meine Errungenschaften:
Habe dieses Wochenende angefange Cisco Router kennen zu lernen und bin deshalb noch ein riesen Anfänger.
1. Versuch
- Habe zuerst die beiden VLAN 100 und 200 erstellt und die IP Adresse 10.0.100.1 und 10.0.200.1 zugewiesen. Anschliessend bei den FE0 und FE2 die VLAN mit Switchport zugewiesen. Ich konnte dann zwar jeweils den Gateway vom anderen VLAN pingen, jedoch die Clients dahinter gaben nie antwort.
2. Versuch
- Wie ihr unten im Config File sieht, habe ich den FE1 als Trunking Port aktiviert. Dieser ist direkt mit dem FE4(der WAN Schnittstelle) Port verbunden. Leider ist da daselbe Problem. Kann nur den Gateway vom anderen VLAN pingen, aber nicht die Clients dahinter.
Lösung:
- Muss ich da eventuell eine ACL für die VLANs basteln oder was denkt ihr?
Vielen Dank an alle die meine Geschichte gelesen haben.
Building configuration...
Current configuration : 3644 bytes
!
version 12.4
no service pad
no service timestamps debug uptime
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001-1-1-1-1-1-1-1-1-1-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging rate-limit
enable secret 5 $1$E0ss$bRuqY04O6Anf8sYrRX3e3/
enable password BUcisco!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 30313339
35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BEE4 53076F0C 80294BA1 7627D4E2 9A836DF7 AF09F446 500FA6AE D97870FD
5E4F66B7 4D987C2B D6A5B08C 3C3FB1C4 408BF180 B78E219B 26AA6ED8 17FE932F
E1B11977 0504DB41 DC1CD292 786220E4 E5BFDB9D 5B2BB062 D523764F F783D695
36A65A22 8D417060 6FF4B857 367ED9E0 A73120A1 191060A0 835DEFC5 27E203FE
F3D50203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 1862752D 722D3030 312D312D 312D312D 312D312D 312D312D
31301F06 03551D23 04183016 8014DE33 22D7C8F6 3BF7E2BA 5A4F7653 AE1CA9A2
E119301D 0603551D 0E041604 14DE3322 D7C8F63B F7E2BA5A 4F7653AE 1CA9A2E1
19300D06 092A8648 86F70D01 01040500 03818100 78A0AB2F 6C835A36 0F20C0AF
019E4B5A 0920BEE9 CBA95C41 DBEE4B9A CE882040 A91A2442 A2C60790 B16F9716
8EC6A578 58C475F4 8CBA727B 6B5F74AE 002A30CD D36CA532 0E4E905C 3268C94E
54022B0E 666EB1F3 FB23BE33 00B05FA2 B5323311 1D87414A 876BAF92 43E50F01
92F9B9BA B6E6FB05 C7F38124 44E08DF6 E64626D2
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip ddns update method sdm_ddns1
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
ip ddns update method sdm_ddns2
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$2boY$kz35sEShVed5IcMH2nOe20
!
!
!
archive
log config
logging enable
logging size 600
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
switchport mode trunk
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet4.1
description VLAN 100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet4.2
description VLAN200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
interface Vlan75
no ip address
!
interface Vlan100
no ip address
!
interface Vlan150
no ip address
!
interface Vlan200
no ip address
!
router rip
network 10.0.0.0
!
no ip forward-protocol nd
ip route profile
!
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line vty 0 4
password xyzz!
!
scheduler max-task-time 5000
no process cpu extended
no process cpu autoprofile hog
end
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172916
Url: https://administrator.de/forum/inter-vlan-routing-probleme-mit-cisco-secure-router-520-172916.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
die Konfiguration von fa1 als Trunk is grober Unsinn.
Ein Trunk zwischen zwei Cisco Geräten dient dazu das der Traffic mehrerer VLAN's über eine Verbindung laufen kann.
Da dud hier nur ein Gerät hast macht das keinen Sinn, der Router kennt ja beide Netze.
Was du mit
bezwecken willst ist mri ebenfalls unklar.
Bei den L3 Switchen von Cisco muss man Routing aktivieren mit dem Befehl:
Ob das bei der SA520 auch so ist habe ich jetzt nicht geprüft.
brammer
die Konfiguration von fa1 als Trunk is grober Unsinn.
Ein Trunk zwischen zwei Cisco Geräten dient dazu das der Traffic mehrerer VLAN's über eine Verbindung laufen kann.
Da dud hier nur ein Gerät hast macht das keinen Sinn, der Router kennt ja beide Netze.
Was du mit
router rip
network 10.0.0.0
network 10.0.0.0
bezwecken willst ist mri ebenfalls unklar.
Bei den L3 Switchen von Cisco muss man Routing aktivieren mit dem Befehl:
ip routing
Ob das bei der SA520 auch so ist habe ich jetzt nicht geprüft.
brammer
Du benötigst gar keine Subinterfaces, das ist eigentlich Unsinn. Deine Konfig sollte so aussehen:
Cisco_Switch#
service timestamps log datetime localtime
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Cisco_Switch
!
no aaa new-model
!
no ip source-route
!
interface FastEthernet0
description Port VLAN 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description Tagged Port für VLAN 100 und VLAN 200
switchport mode trunk
!
interface FastEthernet2
description Port VLAN 200
switchport access vlan 200
spanning-tree portfast
!
interface vlan 100
description VLAN 100
ip address 10.0.100.1 255.255.255.0
!
interface vlan 200
description VLAN200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
Fertig !
Damit sollte die Kommunikation unter den VLANs problemlos möglich sein, sofern die angeschlossenen Endgeräte in den VLANs die Gateway auf 10.0.100.1 bzw. 10.0.200.1 eingestellt haben.
Da du lokal routest ist das Aktivieren eines dynamischen Routine Protokolls wie RIP Blödsinn. Zudem noch erheblich gefährlich da du RIP Version 1 benutzt das nicht mit CIDR Masken umgehen kann und in deinem Umfeld mit gesubnetteten 10er IP Adressen auch gar nicht funktioniert bzw. gefährlich ist. Weg damit also, da hat Kollege brammer absolut Recht.
Cisco_Switch#
service timestamps log datetime localtime
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Cisco_Switch
!
no aaa new-model
!
no ip source-route
!
interface FastEthernet0
description Port VLAN 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description Tagged Port für VLAN 100 und VLAN 200
switchport mode trunk
!
interface FastEthernet2
description Port VLAN 200
switchport access vlan 200
spanning-tree portfast
!
interface vlan 100
description VLAN 100
ip address 10.0.100.1 255.255.255.0
!
interface vlan 200
description VLAN200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
Fertig !
Damit sollte die Kommunikation unter den VLANs problemlos möglich sein, sofern die angeschlossenen Endgeräte in den VLANs die Gateway auf 10.0.100.1 bzw. 10.0.200.1 eingestellt haben.
Da du lokal routest ist das Aktivieren eines dynamischen Routine Protokolls wie RIP Blödsinn. Zudem noch erheblich gefährlich da du RIP Version 1 benutzt das nicht mit CIDR Masken umgehen kann und in deinem Umfeld mit gesubnetteten 10er IP Adressen auch gar nicht funktioniert bzw. gefährlich ist. Weg damit also, da hat Kollege brammer absolut Recht.
Ooops sorry, das war vom Switch per cut and paste durchgerutscht. Ist korrigiert...
Das Wort "Security" im Modellnamen lässt vermuten das dort per Default eine Accessliste aktiv ist die alles blockt.
Müsste man jetzt mal ins Manual sehen....
Erzeuge dir sonst eine ACL ala
access list 110
permit ip 10.0.100.0 0.0.0.255 any
bzw.
access list 120
permit ip 10.0.200.0 0.0.0.255 any
und gib damit die Interfaces frei mit
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
!
Ist jetzt aber erstmal ohne Manual Studium geraten.... Und Vorsicht: Die o.a. ACLs sind "Scheunentor" Access Listen die erstmal alles erlauben !!
Das Wort "Security" im Modellnamen lässt vermuten das dort per Default eine Accessliste aktiv ist die alles blockt.
Müsste man jetzt mal ins Manual sehen....
Erzeuge dir sonst eine ACL ala
access list 110
permit ip 10.0.100.0 0.0.0.255 any
bzw.
access list 120
permit ip 10.0.200.0 0.0.0.255 any
und gib damit die Interfaces frei mit
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
!
Ist jetzt aber erstmal ohne Manual Studium geraten.... Und Vorsicht: Die o.a. ACLs sind "Scheunentor" Access Listen die erstmal alles erlauben !!
Die Interfaces arbeiten nicht nur in incoming Richtung sondern auch in outgoing Richtung ! Du musst also nochmal ein Pärchen mit "umgefrehten" IP netzen für die outgoing Richtung erzeugen und ein "ip access-group 1x0 out" jeweils an die Interfaces hängen. Das sollte das problem lösen.
Der Secure Router funktioniert tatsächlich wie eine Firewall.
Besser ist es aber dann das Firewall feature auch zu aktivieren und eine CBAC konforme Konfig zu schaffen. Auf die Dauer ist das einfacher und skalierbarer als immer 4 ACLs zu pflegen.
Der Secure Router funktioniert tatsächlich wie eine Firewall.
Besser ist es aber dann das Firewall feature auch zu aktivieren und eine CBAC konforme Konfig zu schaffen. Auf die Dauer ist das einfacher und skalierbarer als immer 4 ACLs zu pflegen.
Nee, am besten die 4 ACL weglassen und nur eine CBAC Konfig machen, da wird das dann dynamisch geregelt. Wenn du nochmal erklärst was du genau machen willst servieren wir dir die Konfig auf dem Silbertablet...obwohl... selber lesen bildet !!
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
bzw.
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
bzw.
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
So sähe eine mögliche Konfig aus:
!
service timestamps log datetime localtime
!
hostname Cisco520
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
ip inspect name firewall tcp
ip inspect name firewall udp
!
ip domain name spaghetti.test
ip dns domain-server <Provider DNS IP>
username admin passwort admin123
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description Internet Zugang (ohne PPPoE)
ip address x.y.z.x
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip virtual-reassembly
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan100
description Lokales LAN, VLAN 100 auf Port FastEth 0
ip address 10.0.100.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan200
description DMZ, VLAN 200 auf Port FastEth 2
ip address 10.0.200.1 255.255.255.0
ip access-group 105 in
no ip redirects
no cdp enable
no ip unreachables
no ip proxy-arp
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 <Internet Gateway IP an Fa4 (besser)> oder FastEth4
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 permit ip (tcp) 10.0.100.0 0.0.0.255 host 10.0.200.x (eq Proxy TCP Port) x= Proxy Server IP
access-list 101 permit icmp 10.0.100.0 0.0.0.255 10.0.200.0 0.0.0.255
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 ack
access-list 102 deny ip 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255
access-list 102 permit ip 10.0.200.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 102
!
banner motd #
<<Spaghetti sein Router !>>
...Du kommst hier nich rein !!!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Die o.a. WAN Port Konfig geht von einem reinen IP Interface mit öffentlicher IP und NAT aus.
Falls der Router PPPoE Dialin macht über ein DSL Modem must du die Konfig an FastEth 4 ändern:
interface FastEthernet4
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Internet Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 01234567xyz@Provider.de password Geheim
ppp ipcp dns request
!
Vorher mit "write erase" und einem Reload den Router jungfräulich machen !
Heisser Tip:
Zum Testen erstmal die ACLs alle weglassen an den VLAN Interfaces. Ausser ACL 102 und 105 die sind fürs NAT bzw. Dialer. Für den ersten Test die 102er nur auf "access-list 102 permit ip 10.0.200.0 0.0.0.255 any" eingestellt lassen. Dichtmachen kann man später immer noch !
!
service timestamps log datetime localtime
!
hostname Cisco520
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
ip inspect name firewall tcp
ip inspect name firewall udp
!
ip domain name spaghetti.test
ip dns domain-server <Provider DNS IP>
username admin passwort admin123
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description Internet Zugang (ohne PPPoE)
ip address x.y.z.x
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip virtual-reassembly
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan100
description Lokales LAN, VLAN 100 auf Port FastEth 0
ip address 10.0.100.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan200
description DMZ, VLAN 200 auf Port FastEth 2
ip address 10.0.200.1 255.255.255.0
ip access-group 105 in
no ip redirects
no cdp enable
no ip unreachables
no ip proxy-arp
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 <Internet Gateway IP an Fa4 (besser)> oder FastEth4
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 permit ip (tcp) 10.0.100.0 0.0.0.255 host 10.0.200.x (eq Proxy TCP Port) x= Proxy Server IP
access-list 101 permit icmp 10.0.100.0 0.0.0.255 10.0.200.0 0.0.0.255
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 ack
access-list 102 deny ip 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255
access-list 102 permit ip 10.0.200.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 102
!
banner motd #
<<Spaghetti sein Router !>>
...Du kommst hier nich rein !!!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Die o.a. WAN Port Konfig geht von einem reinen IP Interface mit öffentlicher IP und NAT aus.
Falls der Router PPPoE Dialin macht über ein DSL Modem must du die Konfig an FastEth 4 ändern:
interface FastEthernet4
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Internet Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 01234567xyz@Provider.de password Geheim
ppp ipcp dns request
!
Vorher mit "write erase" und einem Reload den Router jungfräulich machen !
Heisser Tip:
Zum Testen erstmal die ACLs alle weglassen an den VLAN Interfaces. Ausser ACL 102 und 105 die sind fürs NAT bzw. Dialer. Für den ersten Test die 102er nur auf "access-list 102 permit ip 10.0.200.0 0.0.0.255 any" eingestellt lassen. Dichtmachen kann man später immer noch !