Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem mit Cisco Extended ACL

Mitglied: 1x1speed

1x1speed (Level 1) - Jetzt verbinden

25.09.2011 um 23:33 Uhr, 3842 Aufrufe, 5 Kommentare

Hallo,

Komme momentan mit einer ACL nicht weiter. Die Konfig schaut wie folgt aus:

Ein Cisco 2851er Router (IP: 192.168.100.1) baut für zwei VPN Gruppen die Verbindung per Cisco VPN-Client auf. Die eine Gruppe bekommt die IP 10.10.100.0/24 zugewiesen und darf in jedes Vlan hinter dem Router die zweite Gruppe bekommt die 10.10.120.0/24 und darf nur in ein bestimmtes Vlan. Die Beschränkung habe ich über eine OUT ACL gelöst, die auf dem Gi0/1 liegt welches zu dem Layer3 Switch verbindet der die internen Vlans routet. Die ACL schaut wie folgt aus:

ip access-list extended ACLVPNGROUPS
permit ip 10.10.100.0 0.0.0.255 any
permit ip 10.10.120.0 0.0.0.255 192.168.200.0 0.0.0.255
permit ip 10.10.120.0 0.0.0.255 host 192.168.100.1
deny ip 10.10.120.0 0.0.0.255 any
permit ip any any

int gi0/1
ip access-group ACLVPNGROUPS out

Das Problem ist nun das, das der Client mit der 10.10.120.0/24 eine Ressource im Vlan 192.168.200.0/24 per Ping erreicht, jedoch zb. das Webinterface der Ressource nicht erreichbar ist. ein

sh ip access-list

zeigt mir, das beim Aufruf des Webinterfaces bei "deny ip 10.10.120.0 0.0.0.255" any die matches höher zählen. Sollte aber nicht "permit ip 10.10.120.0 0.0.0.255 192.168.200.0 0.0.0.255" alles für das Vlan durchlassen?

Hat jemand eine Idee!?
Mitglied: brammer
26.09.2011 um 08:13 Uhr
Hallo,

die ACL stimmt schon mal.
Blockst du an irgendeiner Stelle Ports?

Was Passiert wenn du die Maschine im 192.168.0.0 /24 scannst auf offene Ports?
Ist auf der Maschine eventuell eine Firewall aktiv?


brammer
Bitte warten ..
Mitglied: 1x1speed
26.09.2011 um 08:29 Uhr
Servus Brammer,

danke für deine Antwort.

Also auf dem Vlan 192.168.200.0/24 is noch ne out acl drauf.

ip access-list ACLVLAN200
permit tcp 192.168.200.0 0.0.0.255 any www
permit udp 192.168.200.0 0.0.0.255 any domain
permit icmp 192.168.200.0 0.0.0.255 any
deny ip any any
deny tcp any any
deny udp any any

int vlan 200
ip access-group ACLVLAN200 out


Jedoch kann ich netzintern den Host 192.168.200.10 über HTTP aus jedem anderen Vlan erreichen.
Wenn ich die ACLVPNGROUPS runter nehme gehts komischerweise auch über den IPSec Clinent mit VPN-Gruppe 2
Bitte warten ..
Mitglied: brammer
26.09.2011 um 09:41 Uhr
Hallo,

die meisten Webinterfaces arbeiten mit https.

Wenn dem so ist musst du noch https (443) freigeben, www beinhaltet nur http also Port 80.

brammer
Bitte warten ..
Mitglied: aqui
28.09.2011 um 12:23 Uhr
Was noch sein kann ist das die Webseite Inhalte nachläd die nicht in dem IP Netz des Servers liegen. Dann schlägt natürlich auch die ACL zu !
deny ip 10.10.120.0 0.0.0.255 any
und
permit ip any any
Sind übrigens überflüssiger Ballast in der ACL (letzterer sogar gefährlich). Das letzte Statement der ACL ist immer ein deny any any so das du dir die o.a. Statements sinnvollerweise sparen kannst !
Gilt auch für die überflüssigen deny Statements an der VLAN 200 ACL.

Falls die ACL denn nun mit https funktioniert bitte dann auch
https://www.administrator.de/index.php?faq=32
nicht vergessen.
Bitte warten ..
Mitglied: 1x1speed
28.09.2011 um 13:48 Uhr
Vielen Dank für eure Beiträge,

ich hab das alles mal ohne ACL geprüft und ein Wireshark Protokoll erstellt. Das Modul hat nur eine HTTP Verbindung und gibt nur nur eigene Inhalte von der IP 192.168.200.10 heraus.

Nachdem ich die ACLs unverändert wie oben wieder in die Config eingetragen habe konnten sich die User der Gruppe 2 auf das Webinterface verbinden.
Eine logische Erklärung hab ich zwar nich, aber zumindest gehts nun wieder.

@aqui: die deny Statements hab ich dann auch gleich weggelassen , danke nochmal!
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Cisco Switch - Extended VLANs konfigurieren

Frage von malawiNetzwerkmanagement3 Kommentare

Hallo, ich habe einen Cisco-Switch ST-3750X auf dem ich VLANs im Extended-Bereich konfigurieren möchte. Wenn ich z.B. VLAN 2000 ...

Switche und Hubs

Cisco ACL Übungen Erklärung

Frage von Luzifer696Switche und Hubs3 Kommentare

Hallo, Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch. Ich habe am MI ...

LAN, WAN, Wireless

Cisco ASA Priority Queue via ACL

Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich würde gerne Videotraffic von einem externen Server im lokalen LAN Prioritisieren, momentan ruckeln Videos sehr wenn ein ...

LAN, WAN, Wireless

Cisco Netzwerk Asistent VLAN ACL Anlegen

gelöst Frage von Herbrich19LAN, WAN, Wireless50 Kommentare

Hallo, Ich habe ein Cisco Catalyst 3550 Switch. Ich möchte auf diesen nun eine ACL Anlegen die in VLAN ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 12 StundenInternet2 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 16 StundenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs24 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell21 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...