23
Inter VLAN Routing Probleme mit Cisco Secure Router 520
Hallo Zusammen
Problem:
Ping auf Clients im VLAN 100 nach VLAN 200, und umgekehrt, geht nicht. Kann vom VLAN 100 den Gateway vom VLAN 200 pingen und umgekehrt. Kann aber keine Clients übers VLAN hingweg pingen. Innerhalb dem VLAN geht das.
Ziel:
Habe ein Cisco Secure Router 520 und möchte diesen in zwei VLANs aufteilen. 1xLAN und 1xDMZ. Vorerst genügt es mir aber wenn ich die VLAN untereinander erreichbar machen kann.
Meine Errungenschaften:
Habe dieses Wochenende angefange Cisco Router kennen zu lernen und bin deshalb noch ein riesen Anfänger.
1. Versuch
- Habe zuerst die beiden VLAN 100 und 200 erstellt und die IP Adresse 10.0.100.1 und 10.0.200.1 zugewiesen. Anschliessend bei den FE0 und FE2 die VLAN mit Switchport zugewiesen. Ich konnte dann zwar jeweils den Gateway vom anderen VLAN pingen, jedoch die Clients dahinter gaben nie antwort.
2. Versuch
- Wie ihr unten im Config File sieht, habe ich den FE1 als Trunking Port aktiviert. Dieser ist direkt mit dem FE4(der WAN Schnittstelle) Port verbunden. Leider ist da daselbe Problem. Kann nur den Gateway vom anderen VLAN pingen, aber nicht die Clients dahinter.
Lösung:
- Muss ich da eventuell eine ACL für die VLANs basteln oder was denkt ihr?
Vielen Dank an alle die meine Geschichte gelesen haben.
Building configuration...
Current configuration : 3644 bytes
!
version 12.4
no service pad
no service timestamps debug uptime
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001-1-1-1-1-1-1-1-1-1-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging rate-limit
enable secret 5 $1$E0ss$bRuqY04O6Anf8sYrRX3e3/
enable password BUcisco!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 30313339
35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BEE4 53076F0C 80294BA1 7627D4E2 9A836DF7 AF09F446 500FA6AE D97870FD
5E4F66B7 4D987C2B D6A5B08C 3C3FB1C4 408BF180 B78E219B 26AA6ED8 17FE932F
E1B11977 0504DB41 DC1CD292 786220E4 E5BFDB9D 5B2BB062 D523764F F783D695
36A65A22 8D417060 6FF4B857 367ED9E0 A73120A1 191060A0 835DEFC5 27E203FE
F3D50203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 1862752D 722D3030 312D312D 312D312D 312D312D 312D312D
31301F06 03551D23 04183016 8014DE33 22D7C8F6 3BF7E2BA 5A4F7653 AE1CA9A2
E119301D 0603551D 0E041604 14DE3322 D7C8F63B F7E2BA5A 4F7653AE 1CA9A2E1
19300D06 092A8648 86F70D01 01040500 03818100 78A0AB2F 6C835A36 0F20C0AF
019E4B5A 0920BEE9 CBA95C41 DBEE4B9A CE882040 A91A2442 A2C60790 B16F9716
8EC6A578 58C475F4 8CBA727B 6B5F74AE 002A30CD D36CA532 0E4E905C 3268C94E
54022B0E 666EB1F3 FB23BE33 00B05FA2 B5323311 1D87414A 876BAF92 43E50F01
92F9B9BA B6E6FB05 C7F38124 44E08DF6 E64626D2
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip ddns update method sdm_ddns1
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
ip ddns update method sdm_ddns2
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$2boY$kz35sEShVed5IcMH2nOe20
!
!
!
archive
log config
logging enable
logging size 600
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
switchport mode trunk
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet4.1
description VLAN 100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet4.2
description VLAN200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
interface Vlan75
no ip address
!
interface Vlan100
no ip address
!
interface Vlan150
no ip address
!
interface Vlan200
no ip address
!
router rip
network 10.0.0.0
!
no ip forward-protocol nd
ip route profile
!
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line vty 0 4
password xyzz!
!
scheduler max-task-time 5000
no process cpu extended
no process cpu autoprofile hog
end
Problem:
Ping auf Clients im VLAN 100 nach VLAN 200, und umgekehrt, geht nicht. Kann vom VLAN 100 den Gateway vom VLAN 200 pingen und umgekehrt. Kann aber keine Clients übers VLAN hingweg pingen. Innerhalb dem VLAN geht das.
Ziel:
Habe ein Cisco Secure Router 520 und möchte diesen in zwei VLANs aufteilen. 1xLAN und 1xDMZ. Vorerst genügt es mir aber wenn ich die VLAN untereinander erreichbar machen kann.
Meine Errungenschaften:
Habe dieses Wochenende angefange Cisco Router kennen zu lernen und bin deshalb noch ein riesen Anfänger.
1. Versuch
- Habe zuerst die beiden VLAN 100 und 200 erstellt und die IP Adresse 10.0.100.1 und 10.0.200.1 zugewiesen. Anschliessend bei den FE0 und FE2 die VLAN mit Switchport zugewiesen. Ich konnte dann zwar jeweils den Gateway vom anderen VLAN pingen, jedoch die Clients dahinter gaben nie antwort.
2. Versuch
- Wie ihr unten im Config File sieht, habe ich den FE1 als Trunking Port aktiviert. Dieser ist direkt mit dem FE4(der WAN Schnittstelle) Port verbunden. Leider ist da daselbe Problem. Kann nur den Gateway vom anderen VLAN pingen, aber nicht die Clients dahinter.
Lösung:
- Muss ich da eventuell eine ACL für die VLANs basteln oder was denkt ihr?
Vielen Dank an alle die meine Geschichte gelesen haben.
Building configuration...
Current configuration : 3644 bytes
!
version 12.4
no service pad
no service timestamps debug uptime
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001-1-1-1-1-1-1-1-1-1-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging rate-limit
enable secret 5 $1$E0ss$bRuqY04O6Anf8sYrRX3e3/
enable password BUcisco!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 30313339
35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BEE4 53076F0C 80294BA1 7627D4E2 9A836DF7 AF09F446 500FA6AE D97870FD
5E4F66B7 4D987C2B D6A5B08C 3C3FB1C4 408BF180 B78E219B 26AA6ED8 17FE932F
E1B11977 0504DB41 DC1CD292 786220E4 E5BFDB9D 5B2BB062 D523764F F783D695
36A65A22 8D417060 6FF4B857 367ED9E0 A73120A1 191060A0 835DEFC5 27E203FE
F3D50203 010001A3 78307630 0F060355 1D130101 FF040530 030101FF 30230603
551D1104 1C301A82 1862752D 722D3030 312D312D 312D312D 312D312D 312D312D
31301F06 03551D23 04183016 8014DE33 22D7C8F6 3BF7E2BA 5A4F7653 AE1CA9A2
E119301D 0603551D 0E041604 14DE3322 D7C8F63B F7E2BA5A 4F7653AE 1CA9A2E1
19300D06 092A8648 86F70D01 01040500 03818100 78A0AB2F 6C835A36 0F20C0AF
019E4B5A 0920BEE9 CBA95C41 DBEE4B9A CE882040 A91A2442 A2C60790 B16F9716
8EC6A578 58C475F4 8CBA727B 6B5F74AE 002A30CD D36CA532 0E4E905C 3268C94E
54022B0E 666EB1F3 FB23BE33 00B05FA2 B5323311 1D87414A 876BAF92 43E50F01
92F9B9BA B6E6FB05 C7F38124 44E08DF6 E64626D2
quit
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip ddns update method sdm_ddns1
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
ip ddns update method sdm_ddns2
HTTP
interval maximum 2 0 0 0
interval minimum 1 0 0 0
!
!
no ipv6 cef
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$2boY$kz35sEShVed5IcMH2nOe20
!
!
!
archive
log config
logging enable
logging size 600
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
switchport mode trunk
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet4.1
description VLAN 100
encapsulation dot1Q 100
ip address 10.0.100.1 255.255.255.0
!
interface FastEthernet4.2
description VLAN200
encapsulation dot1Q 200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
interface Vlan75
no ip address
!
interface Vlan100
no ip address
!
interface Vlan150
no ip address
!
interface Vlan200
no ip address
!
router rip
network 10.0.0.0
!
no ip forward-protocol nd
ip route profile
!
ip http server
ip http authentication local
ip http secure-server
!
!
!
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
no modem enable
line aux 0
line vty 0 4
password xyzz!
!
scheduler max-task-time 5000
no process cpu extended
no process cpu autoprofile hog
end
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 172916
Url: https://administrator.de/contentid/172916
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
die Konfiguration von fa1 als Trunk is grober Unsinn.
Ein Trunk zwischen zwei Cisco Geräten dient dazu das der Traffic mehrerer VLAN's über eine Verbindung laufen kann.
Da dud hier nur ein Gerät hast macht das keinen Sinn, der Router kennt ja beide Netze.
Was du mit
bezwecken willst ist mri ebenfalls unklar.
Bei den L3 Switchen von Cisco muss man Routing aktivieren mit dem Befehl:
Ob das bei der SA520 auch so ist habe ich jetzt nicht geprüft.
brammer
die Konfiguration von fa1 als Trunk is grober Unsinn.
Ein Trunk zwischen zwei Cisco Geräten dient dazu das der Traffic mehrerer VLAN's über eine Verbindung laufen kann.
Da dud hier nur ein Gerät hast macht das keinen Sinn, der Router kennt ja beide Netze.
Was du mit
router rip
network 10.0.0.0
network 10.0.0.0
bezwecken willst ist mri ebenfalls unklar.
Bei den L3 Switchen von Cisco muss man Routing aktivieren mit dem Befehl:
ip routing
Ob das bei der SA520 auch so ist habe ich jetzt nicht geprüft.
brammer
Hoi
Du sagst allso, ich muss nur die VLANs erstellen, einem FA zuweisen, ip rouing aktivieren und dann sollten diese untereinander erreichbar sein?
Gruess
Du sagst allso, ich muss nur die VLANs erstellen, einem FA zuweisen, ip rouing aktivieren und dann sollten diese untereinander erreichbar sein?
Gruess
Du benötigst gar keine Subinterfaces, das ist eigentlich Unsinn. Deine Konfig sollte so aussehen:
Cisco_Switch#
service timestamps log datetime localtime
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Cisco_Switch
!
no aaa new-model
!
no ip source-route
!
interface FastEthernet0
description Port VLAN 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description Tagged Port für VLAN 100 und VLAN 200
switchport mode trunk
!
interface FastEthernet2
description Port VLAN 200
switchport access vlan 200
spanning-tree portfast
!
interface vlan 100
description VLAN 100
ip address 10.0.100.1 255.255.255.0
!
interface vlan 200
description VLAN200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
Fertig !
Damit sollte die Kommunikation unter den VLANs problemlos möglich sein, sofern die angeschlossenen Endgeräte in den VLANs die Gateway auf 10.0.100.1 bzw. 10.0.200.1 eingestellt haben.
Da du lokal routest ist das Aktivieren eines dynamischen Routine Protokolls wie RIP Blödsinn. Zudem noch erheblich gefährlich da du RIP Version 1 benutzt das nicht mit CIDR Masken umgehen kann und in deinem Umfeld mit gesubnetteten 10er IP Adressen auch gar nicht funktioniert bzw. gefährlich ist. Weg damit also, da hat Kollege brammer absolut Recht.
Cisco_Switch#
service timestamps log datetime localtime
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname Cisco_Switch
!
no aaa new-model
!
no ip source-route
!
interface FastEthernet0
description Port VLAN 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description Tagged Port für VLAN 100 und VLAN 200
switchport mode trunk
!
interface FastEthernet2
description Port VLAN 200
switchport access vlan 200
spanning-tree portfast
!
interface vlan 100
description VLAN 100
ip address 10.0.100.1 255.255.255.0
!
interface vlan 200
description VLAN200
ip address 10.0.200.1 255.255.255.0
!
interface Vlan1
no ip address
!
Fertig !
Damit sollte die Kommunikation unter den VLANs problemlos möglich sein, sofern die angeschlossenen Endgeräte in den VLANs die Gateway auf 10.0.100.1 bzw. 10.0.200.1 eingestellt haben.
Da du lokal routest ist das Aktivieren eines dynamischen Routine Protokolls wie RIP Blödsinn. Zudem noch erheblich gefährlich da du RIP Version 1 benutzt das nicht mit CIDR Masken umgehen kann und in deinem Umfeld mit gesubnetteten 10er IP Adressen auch gar nicht funktioniert bzw. gefährlich ist. Weg damit also, da hat Kollege brammer absolut Recht.
Vielen Dank squi.
Werde das gleich versuchen.
Werde das gleich versuchen.
So, habe alles so wie oben beschrieben gemacht, ausser die Werte spanning-tree mode rapid-pvst und
spanning-tree extend system-id. Die werden vom SR520 nicht unterstützt. Leider komm ich immer noch nicht ins andere Netz. Sei es via Ping, HTTP oder CIFS. Kann zwar jeweils den anderen Gateway pingen. Mehr geht aber nicht.
Gibt es die Möglichkeit, dass das Routing zwar funktionieren würde, die Firewall aber stadartmässig drein funkt, obwhol diese eigentlich deaktiviert ist?
###e, mein ganzes wochende ist drauf gegangen und ich kapier immer wie weniger
Hier meine aktuelles Konfig:
Building configuration...
Current configuration : 2936 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$Bk0t$op8bnotYg8F/skNeVWsVh1
enable password BUadmin!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 32313537
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100970E EFBEA8BA 7F73B0E5 DD4EA284 0C114584 9C710640 235F5A71 7D5D564E
80686CE8 DE9916C1 BE059929 C203B1A2 DAEFC531 A2D92324 98F67230 138F0FBF
87242610 76FA1530 2ECD1E5F 6850156B 13A643F9 D4FBB6C5 8D039EB7 E50FA8CE
F1CB0A5E 8AC506E5 19FF94D3 B23023E8 7784A01E 3F9A2615 750DF10E 9407385C
FB4F0203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 0862752D 722D3030 31301F06 03551D23 04183016 8014D1EE
A129F690 0B464976 A098CFC6 5B5F87ED 8F0D301D 0603551D 0E041604 14D1EEA1
29F6900B 464976A0 98CFC65B 5F87ED8F 0D300D06 092A8648 86F70D01 01040500
03818100 6533A5D4 42EAEBBD F2B9323F FDE1DAA4 16E1E2B5 937D84AB 0691D8DF
2E4C3C23 DFC2633D BA6C1003 24315451 9AB12ECD C26C9C9D E489EAED A9D9E724
89BA070C 304579D7 58FDCC80 DD65C039 3EE26C15 45BD8E5E 20EE6564 8FB8CCEF
80BC0E68 D18B892C CE125C0D 98D4E4BF 69478A75 0A568A68 E7EF40A1 17A189DE 82EEBB6B
quit
dot11 syslog
no ip source-route
!
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface FastEthernet0
description port fuer vlan 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description trunk port fuer vlan 100 und 200
switchport mode trunk
!
interface FastEthernet2
description port fuer vlan 200
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
!
no ip forward-protocol nd
!
ip http server
ip http secure-server
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
password BUcisco!
login
!
scheduler max-task-time 5000
end
spanning-tree extend system-id. Die werden vom SR520 nicht unterstützt. Leider komm ich immer noch nicht ins andere Netz. Sei es via Ping, HTTP oder CIFS. Kann zwar jeweils den anderen Gateway pingen. Mehr geht aber nicht.
Gibt es die Möglichkeit, dass das Routing zwar funktionieren würde, die Firewall aber stadartmässig drein funkt, obwhol diese eigentlich deaktiviert ist?
###e, mein ganzes wochende ist drauf gegangen und ich kapier immer wie weniger
Hier meine aktuelles Konfig:
Building configuration...
Current configuration : 2936 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname bu-r-001
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$Bk0t$op8bnotYg8F/skNeVWsVh1
enable password BUadmin!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-1933032799
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1933032799
revocation-check none
rsakeypair TP-self-signed-1933032799
!
crypto pki certificate chain TP-self-signed-1933032799
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393333 30333237 3939301E 170D3131 30363034 32313537
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39333330
33323739 3930819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100970E EFBEA8BA 7F73B0E5 DD4EA284 0C114584 9C710640 235F5A71 7D5D564E
80686CE8 DE9916C1 BE059929 C203B1A2 DAEFC531 A2D92324 98F67230 138F0FBF
87242610 76FA1530 2ECD1E5F 6850156B 13A643F9 D4FBB6C5 8D039EB7 E50FA8CE
F1CB0A5E 8AC506E5 19FF94D3 B23023E8 7784A01E 3F9A2615 750DF10E 9407385C
FB4F0203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 0862752D 722D3030 31301F06 03551D23 04183016 8014D1EE
A129F690 0B464976 A098CFC6 5B5F87ED 8F0D301D 0603551D 0E041604 14D1EEA1
29F6900B 464976A0 98CFC65B 5F87ED8F 0D300D06 092A8648 86F70D01 01040500
03818100 6533A5D4 42EAEBBD F2B9323F FDE1DAA4 16E1E2B5 937D84AB 0691D8DF
2E4C3C23 DFC2633D BA6C1003 24315451 9AB12ECD C26C9C9D E489EAED A9D9E724
89BA070C 304579D7 58FDCC80 DD65C039 3EE26C15 45BD8E5E 20EE6564 8FB8CCEF
80BC0E68 D18B892C CE125C0D 98D4E4BF 69478A75 0A568A68 E7EF40A1 17A189DE 82EEBB6B
quit
dot11 syslog
no ip source-route
!
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
archive
log config
hidekeys
!
interface FastEthernet0
description port fuer vlan 100
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
description trunk port fuer vlan 100 und 200
switchport mode trunk
!
interface FastEthernet2
description port fuer vlan 200
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
!
no ip forward-protocol nd
!
ip http server
ip http secure-server
!
control-plane
!
line con 0
no modem enable
line aux 0
line vty 0 4
password BUcisco!
login
!
scheduler max-task-time 5000
end
Ooops sorry, das war vom Switch per cut and paste durchgerutscht. Ist korrigiert...
Das Wort "Security" im Modellnamen lässt vermuten das dort per Default eine Accessliste aktiv ist die alles blockt.
Müsste man jetzt mal ins Manual sehen....
Erzeuge dir sonst eine ACL ala
access list 110
permit ip 10.0.100.0 0.0.0.255 any
bzw.
access list 120
permit ip 10.0.200.0 0.0.0.255 any
und gib damit die Interfaces frei mit
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
!
Ist jetzt aber erstmal ohne Manual Studium geraten.... Und Vorsicht: Die o.a. ACLs sind "Scheunentor" Access Listen die erstmal alles erlauben !!
Das Wort "Security" im Modellnamen lässt vermuten das dort per Default eine Accessliste aktiv ist die alles blockt.
Müsste man jetzt mal ins Manual sehen....
Erzeuge dir sonst eine ACL ala
access list 110
permit ip 10.0.100.0 0.0.0.255 any
bzw.
access list 120
permit ip 10.0.200.0 0.0.0.255 any
und gib damit die Interfaces frei mit
!
interface Vlan100
description vlan 100
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
!
interface Vlan200
description vlan 200
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
!
Ist jetzt aber erstmal ohne Manual Studium geraten.... Und Vorsicht: Die o.a. ACLs sind "Scheunentor" Access Listen die erstmal alles erlauben !!
oke, mach ich gleich. Merci schon mal. bin gespannt :P
Jawohl. Es sieht immer wie besser, aber auch immer wie merkwürdiger aus.
Zu den Access-Lists
Du hattest von anfang Recht. Es funktioniert so wie du zuerst beschrieben hast. Es braucht keine Access Lists, damit ich vom VLAN 100 über Port 80, ins VLAN 200 komme. Ich habe mich einfach auf den ping fixiert, und dachte, wenn der nicht geht, dann geht Port 80 auch nicht.
Was mir aufgefallen ist:
Es sieht danach aus, als ob ich gleichzeitig, auf dem gleichen Port nur eine Verbindung in das jeweilige VLAN herstellen kann.
Beispiel: Ich hab in beiden VLANs ein Web und FTP Server bereit gestellt. Wenn ich vom VLAN 100 ins VLAN 200 über Port 80 zugreife geht das nur in eine Richtung. Wenn ich gleichzeitig oder nachher eine Verbindung auf Port 80 vom VLAN 200 ins VLAN 100 mache, geht nichts. Vom VLAN 100 gehts aber weiterhin. Das gleiche mit dem FTP.
Ich denke diese Einschränkung lässt sich auflösen.
Was in keine Richtung geht:
CIFS zugriff, pingen(ICMP)
Hast du da eine Idee?
Ich versuche jetzt mal mit deny, den Port 80 vollständig zu blocken.
Gruss
Zu den Access-Lists
Du hattest von anfang Recht. Es funktioniert so wie du zuerst beschrieben hast. Es braucht keine Access Lists, damit ich vom VLAN 100 über Port 80, ins VLAN 200 komme. Ich habe mich einfach auf den ping fixiert, und dachte, wenn der nicht geht, dann geht Port 80 auch nicht.
Was mir aufgefallen ist:
Es sieht danach aus, als ob ich gleichzeitig, auf dem gleichen Port nur eine Verbindung in das jeweilige VLAN herstellen kann.
Beispiel: Ich hab in beiden VLANs ein Web und FTP Server bereit gestellt. Wenn ich vom VLAN 100 ins VLAN 200 über Port 80 zugreife geht das nur in eine Richtung. Wenn ich gleichzeitig oder nachher eine Verbindung auf Port 80 vom VLAN 200 ins VLAN 100 mache, geht nichts. Vom VLAN 100 gehts aber weiterhin. Das gleiche mit dem FTP.
Ich denke diese Einschränkung lässt sich auflösen.
Was in keine Richtung geht:
CIFS zugriff, pingen(ICMP)
Hast du da eine Idee?
Ich versuche jetzt mal mit deny, den Port 80 vollständig zu blocken.
Gruss
Die Interfaces arbeiten nicht nur in incoming Richtung sondern auch in outgoing Richtung ! Du musst also nochmal ein Pärchen mit "umgefrehten" IP netzen für die outgoing Richtung erzeugen und ein "ip access-group 1x0 out" jeweils an die Interfaces hängen. Das sollte das problem lösen.
Der Secure Router funktioniert tatsächlich wie eine Firewall.
Besser ist es aber dann das Firewall feature auch zu aktivieren und eine CBAC konforme Konfig zu schaffen. Auf die Dauer ist das einfacher und skalierbarer als immer 4 ACLs zu pflegen.
Der Secure Router funktioniert tatsächlich wie eine Firewall.
Besser ist es aber dann das Firewall feature auch zu aktivieren und eine CBAC konforme Konfig zu schaffen. Auf die Dauer ist das einfacher und skalierbarer als immer 4 ACLs zu pflegen.
Recht herzlichen Dank für deine Hilfe!
Werde das heute Abend testen und dann den Beitrag als gelöst markieren.
Das heisst die 4 ACLs erstellen mit den any Rules und dann die Feinarbeiten mit CBAC machen?
Werde das heute Abend testen und dann den Beitrag als gelöst markieren.
Das heisst die 4 ACLs erstellen mit den any Rules und dann die Feinarbeiten mit CBAC machen?
Nee, am besten die 4 ACL weglassen und nur eine CBAC Konfig machen, da wird das dann dynamisch geregelt. Wenn du nochmal erklärst was du genau machen willst servieren wir dir die Konfig auf dem Silbertablet...obwohl... selber lesen bildet !!
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
bzw.
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
bzw.
http://www.cisco.com/en/US/docs/routers/access/500/520/software/configu ...
Ich bekomm das mit dem pingen nicht hin. Habe zwar die unten aufgeführte any rule angewendet, bringt aber nichts. Auch die icmp Console logs sagen, dass nichts blockiert wird. Ist da eventuell irgendwo eine versteckte rule aktiviert?
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan100
description VLAN 100 auf Port 0
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
ip access-group 110 out
!
interface Vlan200
description VLAN 200 auf Port 2
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
ip access-group 120 out
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
access-list 110 permit ip any any log
access-list 110 permit icmp any any log
access-list 120 permit ip any any log
access-list 120 permit icmp any any log
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password <removed>
!
scheduler max-task-time 5000
end
ip cef
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan100
description VLAN 100 auf Port 0
ip address 10.0.100.1 255.255.255.0
ip access-group 110 in
ip access-group 110 out
!
interface Vlan200
description VLAN 200 auf Port 2
ip address 10.0.200.1 255.255.255.0
ip access-group 120 in
ip access-group 120 out
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
access-list 110 permit ip any any log
access-list 110 permit icmp any any log
access-list 120 permit ip any any log
access-list 120 permit icmp any any log
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password <removed>
!
scheduler max-task-time 5000
end
Nochmals die Frage: Wie soll dein Netzdesign aussehen ??
oke...
VLAN 200 als DMZ
- für Microsoft TMG (Proxy Server)
- Web und FTP Server
- Terminal Gateway Dienste für Remotedesktop Gateway
- Zugriff ins Internet
- KEIN Zugriff ins interne LAN ausser Antwort ins LAN
VLAN 100 als internes LAN
- Windows Domäne
- MIcrosoft Exchange 2010 Mail System
- File und Print Server
- Windows Clients
- Zugriff ins Internet via Proxy
- Voller Zugriff in die DMZ auch via PING
Gruess
VLAN 200 als DMZ
- für Microsoft TMG (Proxy Server)
- Web und FTP Server
- Terminal Gateway Dienste für Remotedesktop Gateway
- Zugriff ins Internet
- KEIN Zugriff ins interne LAN ausser Antwort ins LAN
VLAN 100 als internes LAN
- Windows Domäne
- MIcrosoft Exchange 2010 Mail System
- File und Print Server
- Windows Clients
- Zugriff ins Internet via Proxy
- Voller Zugriff in die DMZ auch via PING
Gruess
An welchem Port soll das Internet hängen ??
Internet an Port Ethernet 4 / der WAN Port
die anderen wie folgt:
VLAN 200 an Port FA 2
VLAN 100 an Port FA 1
die anderen wie folgt:
VLAN 200 an Port FA 2
VLAN 100 an Port FA 1
So sähe eine mögliche Konfig aus:
!
service timestamps log datetime localtime
!
hostname Cisco520
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
ip inspect name firewall tcp
ip inspect name firewall udp
!
ip domain name spaghetti.test
ip dns domain-server <Provider DNS IP>
username admin passwort admin123
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description Internet Zugang (ohne PPPoE)
ip address x.y.z.x
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip virtual-reassembly
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan100
description Lokales LAN, VLAN 100 auf Port FastEth 0
ip address 10.0.100.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan200
description DMZ, VLAN 200 auf Port FastEth 2
ip address 10.0.200.1 255.255.255.0
ip access-group 105 in
no ip redirects
no cdp enable
no ip unreachables
no ip proxy-arp
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 <Internet Gateway IP an Fa4 (besser)> oder FastEth4
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 permit ip (tcp) 10.0.100.0 0.0.0.255 host 10.0.200.x (eq Proxy TCP Port) x= Proxy Server IP
access-list 101 permit icmp 10.0.100.0 0.0.0.255 10.0.200.0 0.0.0.255
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 ack
access-list 102 deny ip 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255
access-list 102 permit ip 10.0.200.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 102
!
banner motd #
<<Spaghetti sein Router !>>
...Du kommst hier nich rein !!!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Die o.a. WAN Port Konfig geht von einem reinen IP Interface mit öffentlicher IP und NAT aus.
Falls der Router PPPoE Dialin macht über ein DSL Modem must du die Konfig an FastEth 4 ändern:
interface FastEthernet4
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Internet Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 01234567xyz@Provider.de password Geheim
ppp ipcp dns request
!
Vorher mit "write erase" und einem Reload den Router jungfräulich machen !
Heisser Tip:
Zum Testen erstmal die ACLs alle weglassen an den VLAN Interfaces. Ausser ACL 102 und 105 die sind fürs NAT bzw. Dialer. Für den ersten Test die 102er nur auf "access-list 102 permit ip 10.0.200.0 0.0.0.255 any" eingestellt lassen. Dichtmachen kann man später immer noch !
!
service timestamps log datetime localtime
!
hostname Cisco520
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip gratuitous-arps
!
ip inspect name firewall tcp
ip inspect name firewall udp
!
ip domain name spaghetti.test
ip dns domain-server <Provider DNS IP>
username admin passwort admin123
!
interface FastEthernet0
switchport access vlan 100
spanning-tree portfast
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
switchport access vlan 200
spanning-tree portfast
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description Internet Zugang (ohne PPPoE)
ip address x.y.z.x
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip virtual-reassembly
no cdp enable
!
interface Vlan1
no ip address
!
interface Vlan100
description Lokales LAN, VLAN 100 auf Port FastEth 0
ip address 10.0.100.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
!
interface Vlan200
description DMZ, VLAN 200 auf Port FastEth 2
ip address 10.0.200.1 255.255.255.0
ip access-group 105 in
no ip redirects
no cdp enable
no ip unreachables
no ip proxy-arp
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 <Internet Gateway IP an Fa4 (besser)> oder FastEth4
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 23 permit 10.0.100.0 0.0.0.255
access-list 101 permit ip (tcp) 10.0.100.0 0.0.0.255 host 10.0.200.x (eq Proxy TCP Port) x= Proxy Server IP
access-list 101 permit icmp 10.0.100.0 0.0.0.255 10.0.200.0 0.0.0.255
access-list 102 permit tcp 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255 ack
access-list 102 deny ip 10.0.200.0 0.0.0.255 10.0.100.0 0.0.0.255
access-list 102 permit ip 10.0.200.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip list 102
!
banner motd #
<<Spaghetti sein Router !>>
...Du kommst hier nich rein !!!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
end
Die o.a. WAN Port Konfig geht von einem reinen IP Interface mit öffentlicher IP und NAT aus.
Falls der Router PPPoE Dialin macht über ein DSL Modem must du die Konfig an FastEth 4 ändern:
interface FastEthernet4
description DSL Modem
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dialer0
description Dialin PPPoE Internet Provider
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect firewall out
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer idle-timeout 600
no keepalive
no cdp enable
ppp authentication pap callin
ppp pap sent-username 01234567xyz@Provider.de password Geheim
ppp ipcp dns request
!
Vorher mit "write erase" und einem Reload den Router jungfräulich machen !
Heisser Tip:
Zum Testen erstmal die ACLs alle weglassen an den VLAN Interfaces. Ausser ACL 102 und 105 die sind fürs NAT bzw. Dialer. Für den ersten Test die 102er nur auf "access-list 102 permit ip 10.0.200.0 0.0.0.255 any" eingestellt lassen. Dichtmachen kann man später immer noch !
coool.. Werde das heute Abend probieren.
Hoi
ja, mach ich auf jefen Fall. Habe nächste Woche Ferien. Werde es dann probieren und den Beitrag gerne als gelöst markieren. Versuche derzeit die oben genannte Konfiguration in und auswendig zu verstehen.
Gruess
ja, mach ich auf jefen Fall. Habe nächste Woche Ferien. Werde es dann probieren und den Beitrag gerne als gelöst markieren. Versuche derzeit die oben genannte Konfiguration in und auswendig zu verstehen.
Gruess
Was ich nicht verstehe. Wenn ich eine any any rule mache, wieso kann ich dann immer noch nicht in das andere Netz pingen?
Hoi
Dank Deinem Einsatz verstehe ich nun die Cisco Welt schon ein bisschen besser.
Ich werde wohl noch ein weilchen brauchen, um den oben genannten Code zu verstehen. Werde den Post aber als gelöst markieren.
Nochmals Dankeschön
Gruess
Dank Deinem Einsatz verstehe ich nun die Cisco Welt schon ein bisschen besser.
Ich werde wohl noch ein weilchen brauchen, um den oben genannten Code zu verstehen. Werde den Post aber als gelöst markieren.
Nochmals Dankeschön
Gruess
Beim Secure Router musst du entsprechend die Interfaces mit "inside" oder "outside" titulieren !! Die Inside haben dann keine Default ACL die Outside sind wie bei einer FW dann zu.
Das ist wichtig !
Das ist wichtig !
