juemuc
Goto Top

Zugriff auf zweiten Cisco-Switch funktioniert nach ACL-Aktivierung nicht mehr

Hallo,

ich habe folgendes Problem:

Wenn ich in einem VLAN die ACL-Regeln aktiviere, kann ich auf alle Geräte im VLAN1 ausser dem 2. Cisco-Switch zugreifen. Der 2. Cisco-Switch hängt via TRUNK am 1. Cisco-Switch.

Folgender Aufbau:

FB7490 (192.168.70.1)-> trunk -> Cisco350(192.168.70.254) -> trunk -> Cisco250(192.168.70.253). Auf beiden Switches sind die VLANs 1, VLAN100 ... eingerichtet. Der PC(192.168.100.1) hängt am 1. Switch im VLAN100. Ohne ACLs funktionieren alle Zugriffe. Mit ACL (auf CBS350) funktionieren alle Zugriffe mit Ausnahme des 2. Switches. Ich habe keine Idee warum. Wer kann helfen? Auf dem Cisco 250 sind aktuell noch keine ACLs aktiviert.

Hier noch die ACL-Regeln:

ip access-list extended VLAN100-ACL
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10
permit udp 192.168.100.0 0.0.0.255 any 192.168.70.250 0.0.0.0 domain ace-priority 20
permit tcp 192.168.100.0 0.0.0.255 any 192.168.70.250 0.0.0.0 domain ace-priority 30
permit udp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 40
permit tcp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 50
permit ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 100
permit ip 192.168.100.0 0.0.0.255 192.168.120.0 0.0.0.255 ace-priority 300
permit ip 192.168.100.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400
permit ip 192.168.100.0 0.0.0.255 192.168.160.0 0.0.0.255 ace-priority 500
permit ip 192.168.100.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600
permit ip 192.168.100.0 0.0.0.255 192.168.100.0 0.0.0.255 ace-priority 1000
deny ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100
permit ip 192.168.100.0 0.0.0.255 any ace-priority 1200
exit

Im VLAN1 sind keine ACLs aktiviert.

Viele Grüße
Jürgen

Content-ID: 1728565889

Url: https://administrator.de/forum/zugriff-auf-zweiten-cisco-switch-funktioniert-nach-acl-aktivierung-nicht-mehr-1728565889.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 16.01.2022 aktualisiert um 17:16:44 Uhr
Goto Top
Dein Regelwerk ist logisch etwas unsinnig...
  • Oben permitest du DNS mit UDP und TCP auf den .70.250er Host
  • Dadrunter machst du dann so oder so die Schleuse auf auf alles im .70.0er Netz
Das macht ACL technisch wenig Sinn, den es führt damit die DNS Regeln ad absurdum.
Ansonsten ist die Liste soweit OK sofern sie Inbound gilt und und an ihr kann es definitiv nicht liegen das du das 192.168.70.253er Interface nicht erreichst. Es wird ja letztlich alles ins .70.0er Netz erlaubt aus dem .100er Netz.
Sinnvoll ist es dann hier die beiden DNS Regeln ins .70er Netz zu entfernen und eine Permit Regel mit einem 29 Bit Prefix (255.255.255.248, invers= 0.0.0.7) zu benutzen der nur die oberen 6 Adressen im 70er Netz durchlässt sofern du aus dem .100er Netz nur Rechner zw. .70.249 und .70.254 erreichen willst oder musst. Also deinen beiden Switches und den .250er Nameserver.
permit ip 192.168.100.0 0.0.0.255 192.168.70.248 0.0.0.7 ace-priority 100

Es gibt 2 mögliche Verdächtige:
  • 1.) Es liegt an der Rückroute, sprich an einer inbound ACL am .70er Netz die die .70.253 irgendwie blockiert
  • 2.) Der 2te Switch hat keine Default Route 0.0.0.0/0 auf sein Routing Gateway im 70er Netz.
Bei den beiden Punkten solltest du also mal etwas genauer hinsehen und ggf. die 100er VLAN ACL sinnvoll anpassen !
juemuc
juemuc 16.01.2022 um 17:58:12 Uhr
Goto Top
Zitat von @aqui:

Dein Regelwerk ist logisch etwas unsinnig
  • Oben permitest du DNS mit UDP und TCP auf den .70.250er Host
  • Dadrunter machst du dann so oder so die Schleuse auf auf alles im .70.0er Netz
Das macht ACL technisch wenig Sinn, den es führt die DNS Regeln ad absurdum.

Hallo aqui,

auf diese Antwort hätte ich wetten können face-smile
Ich weiß, dass diese Einträge in diesem VLAN sinnlos sind. Es sind/waren halt meine "default-Einträge" für alle VLANs. Ich habe die Einträge "20 - 40" nun gelöscht.

Punkt 2 habe ich geprüft und sollte passen. Sonst wäre ja auch kein Zugriff ohne ACLs möglich oder? Als "Next Hop Router" ist die IP der FB eingetragen (wie beim Cisco350).

Punkt1 habe ich nicht verstanden. Für das .70-Netz (VLAN1) habe ich ja keine ACLs aktiv.

Viele Grüße
Jürgen
aqui
aqui 16.01.2022 aktualisiert um 18:21:27 Uhr
Goto Top
Als "Next Hop Router" ist die IP der FB eingetragen
Das wäre zumindestens etwas komisch, denn die FB kann ja gar keine VLANs. Auch was du mit "Trunk" oben zwischen FB und 1tem Switch meinst ist eigentlich unsinnig wegen der Tatsache das die FB das ja gar nicht kann.
WER routet also deine VLANs ??? Betreibst du ein Layer 3 Design mit einem routenden Switch wie das hier:
l3.
Punkt1 habe ich nicht verstanden.
OK, wenn du keine ACls am routenden Interface 70 hast, dann hat sich das erledigt.
juemuc
juemuc 16.01.2022 aktualisiert um 19:53:35 Uhr
Goto Top
Hallo aqui,

ja ich hätte die Verbindung an Port 1 des Cisco350 auch mit "access" einrichten können. In der FB ist nur das Routing 192.168.0.0 auf 192.168.70.254 (wie von Dir empfohlen face-smile .
Dies sollte aber nicht stören oder?

Eventuell reden wir auch an einander vorbei. Ich meine die Einstellungen unter "IPv4 Static Routes Table". Was hättest Du hier für einen Eintrag bei den Switches erwartet? Die VLAN-Interfaces haben auf dem 350-er Switch die .254-Adresse und auf dem 250-er Switch die .253. Alle VLAN-Interfaces haben statische IPs.

Wie gesagt, die Kommunikation ohne ACL funktioniert, wie geplant. Auf dem Switch Cisco250 sind die VLANs VLAN1, VLAN100, VLAN140 und VLAN160 eingerichtet.
Die Einträge unter IPV4 INterface, IPV4 Static Routes und IPV4 Forwarding Table sind auf beiden Switches sind bis auf die Interface_Adressen (.253 bzw .254) identisch.

Viele Grüße
Jürgen

Hier eine grafische Darstellung:
screenshot 2022-01-16 195310
aqui
aqui 17.01.2022 aktualisiert um 00:41:02 Uhr
Goto Top
ja ich hätte die Verbindung an Port 1 des Cisco350 auch mit "access" einrichten können.
Musst du sogar dann ! Die FB kann kein Tagging und wenn du das als Trunk mit den VLANs einrichtest wird der gesamte Broad- und Multicast Traffic aller VLANs dort an die FB übertragen der die FritzBox dann mit Framedrops massiv belastet !
Eventuell reden wir auch an einander vorbei.
Könnte sein...
Ich meine die Einstellungen unter "IPv4 Static Routes Table". Was hättest Du hier für einen Eintrag bei den Switches erwartet?
Das ist ja kinderleicht...
  • Switch 1 ist der routende Switch zw. den VLANs, der hat eine Default Route auf die IP der FritzBox
  • Switch 2 sieht ja als Router den Switch 1 also hat der seine Default Route auf das Gateway am Switch 1 in seinem Management VLAN.
Alle VLAN-Interfaces haben statische IPs.
Du meinst auf dem routenden Switch 1, richtig ? Dynmaische IPs auf einem Router wären generell natürlich Quatsch, weisst du auch selber ! face-wink
Die ACLs sind Layer 3 ACL, können also grundsätzlich ausschliesslich nur am Switch 1 definiert werden ! Da Switch 2 rein im L2 Mode rennt wären L3 ACLs dort natürlich Unsinn, denn von L3 weiss der ja nix.
Trunk gibts also rein nur zw. den Ports 16 (Sw1) und Port 1 (Sw2). In der VLAN Membership Übersicht sollte da dann 1UP, 100T, 140T, 160T stehen.
Eigentlich ein simples Setup....
juemuc
juemuc 17.01.2022 um 10:36:30 Uhr
Goto Top
Zitat von @aqui:

Das ist ja kinderleicht...

Das sagst Du face-smile.
Ich habe auf dem zweiten Cisco-Switch noch einmal alles gelöscht und sauber neu eingerichtet. Und siehe da, es funktioniert face-smile face-smile Danke für Deine Hilfe.

Jetzt habe ich aber noch eine zweite Frage.
Macht es Sinn auch für das VLAN1 ACL-Regeln zu definieren?

Ich habe mal folgendes versucht:
ip access-list extended VLAN1-ACL
permit udp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 40					DNS-Abfrage bei 192.168.180.50
permit tcp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 50					DNS-Abfrage bei 192.168.180.50
permit ip 192.168.70.0 0.0.0.255 192.168.100.0 0.0.0.255 ace-priority 200						Vollzugriff auf VLAN100
permit ip 192.168.70.0 0.0.0.255 192.168.120.0 0.0.0.255 ace-priority 300						Vollzugriff auf VLAN120
permit ip 192.168.70.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400						Vollzugriff auf VLAN140
permit ip 192.168.70.0 0.0.0.255 192.168.160.0 0.0.0.255 ace-priority 500						Vollzugriff auf VLAN160
permit ip 192.168.70.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600						Vollzugriff auf VLAN180
permit udp 192.168.180.50 0.0.0.0 domain 192.168.200.0 0.0.0.255 any ace-priority 700					Alle Domain-Anfragen aus VLAN200 beantworten
permit ip 192.168.70.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 1000						Zugriffe innerhalb des VLAN1 erlauben
deny ip 192.168.70.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100						Zugriff auf andere VLANs verbieten
permit ip 192.168.70.0 0.0.0.255 any ace-priority 1200									Zugriff ins Internet
exit

Dann habe ich aber keinen Zugriff auf das Internet aus den VLANs. Macht das so Sinn, oder was fehlt?

Viele Grüße
Jürgen
aqui
aqui 17.01.2022 um 13:20:38 Uhr
Goto Top
Und siehe da, es funktioniert face-smile face-smile face-smile face-smile Danke für Deine Hilfe.
Reboot tut gut ! 👍 😉
Macht es Sinn auch für das VLAN1 ACL-Regeln zu definieren?
Da fragst du den absolut Falschen. Wie soll dir ein Forum das denn so pauschal beantworten können ??
Die Vorgaben was du schützen willst oder was nicht bestimmst doch nur DU allein, sprich Security Policy die DU umsetzen willst. Folglich kann es also sehr sinnvoll sein eine ACL zu definieren oder auch nicht wenn dort nix Schützenswertes ist.
Nun muss man hier mal wieder anhand des Regelwerkes wild raten was du erreichen willst, deine Policy kennt ja keiner. face-sad
OK, VLAN 1 ist das .70.0er Segment, richtig ?
Unsinnig ist dann die Regel in Zeile 9 !! Wie sollen im 70er IP Netz 180er Absender IPs auftauchen ? Oder hast du im 70er Netz noch einen zusätzlichen Router stehen ? Laut deiner Zeichnung ja nicht...
Zeile 10 ist ebensolcher Blödsinn. Lokaler Traffic rennt doch niemals als "Durchlauferhitzer" über das IP Interface. Weisst du auch selber. Das ist doch eine reine L2 Kommunikation in die das VLAN 1 Router Interface niemals involviert ist.
Kannst du also entfernen solche unsinnigen "Leichen".
Ansonsten ist die ACL syntaktisch richtig !
habe ich aber keinen Zugriff auf das Internet aus den VLANs
Das liegt vermutlich an deinem falschen VLAN Design.
Das Koppelnetz zur FritzBox sollte immer ein vollständig getrenntes VLAN sein was :
  • Einzig nur am routenden Switch aktiv ist. Z.B. VLAN 99
  • Nur eine Verbindung zur FritzBox hat. Ggf. max. noch einen Port für den PiHole /Adguard Filter (Siehe o.a. L3 Tutorial !)
Der Sinn davon ist das Internet VLAN nicht mit Traffic aus produktiven VLANs zu mischen und diese Internet Traffic in ein dediziertes IP Segment zu routen. Genau das ist bei dir nicht der Fall, denn du schleifst dieses Koppelnetz auf den 2ten L2 Switch durch. Kein gutes Design und der Grund deiner L3 Probleme, denn du filterst hier dann den Rückrouten Traffic der FritzBox und sägst dir damit dein Internet ab. Das rührt duchr dein falsches Design das Koppelnetz zur Fritze NICHT in ein separates VLAN gelegt zu haben ! Halte dich da strikt an das o.a. L3 Tutorial bzw. die dir oben gezeigt Skizze !!
Hier die ToDos:
  • Routing nur auf dem 1ten Switch aktivieren
  • 2ter Switch L2 only und nur mit den VLANs am Trunk die da benötigt werden.
  • Dediziertes VLAN als Koppelnetz zur FB NUR an Switch 1, PiHole / AdGuard hier platzieren
  • Management VLAN ist ein separates VLAN was nur über die Switches 1 und 2 liegt und NICHT zur FritzBox führt. Klar, denn internes Management soll da nicht hin.
  • ACLs dann nur an den produktiven VLAN IP Interfaces Switch 1 (L3 Switch) außer Koppel VLAN zur FB !
juemuc
juemuc 17.01.2022 um 22:34:12 Uhr
Goto Top
Hallo aqui,

wenn ich Dich richtig verstanden habe, ersetze ich im ersten Schritt das VLAN1 durch das neue VLAN900. Das Default-VLAN1 bleibt ungenutzt.
Zusätzlich muss ich den den VCLs noch das VLAN900 berücksichtigen. Hierbei dem Interface für das VLAN900 keine ACLs zuweisen.

Ich werde das hoffentlich morgen in Ruhe testen face-smile

Viele Grüße
Jürgen
aqui
aqui 18.01.2022 um 09:54:32 Uhr
Goto Top
Richtig !
Das Default-VLAN1 bleibt ungenutzt.
Kann man so machen oder du legst da dein Management rein. Die Switch IPs sind ja im Default immer in 1 und das ist bei MSSID APs usw. auch so. Im Heimnetz kann man sowas machen...
Zusätzlich muss ich den den VCLs noch das VLAN900 berücksichtigen.
Nein, müssen nicht. Man kann...
Das ist ja das Gute an der Sache ein dediziertes Koppel VLAN zur FB zu haben. Damit kannst du dann dediziert deinen Internet Traffic steuern...wenn du willst.
Erstmal enkoppelst du alle deine Produktiv VLANs davon so das deine ACLs in diesen VLANs erstmal rein nur den VLAN Traffic untereinander steuern und festlegen ob das Segment überhaupt Internet draf oder nicht.
Das 900er Koppel VLAN bleibt erstmal außen vor und bekommt keine ACL.
Mit dem Schritt sollten dann alle deine o.a. Regelwerke sauber laufen.
Nun kannst du dir überlegen ob du an 900 etwas einschränkst.
Dabei solltest du beachten das du in der Regel INBOUND Regeln nutzt. INBOUND an 900 bedeutet aber Traffic der VON der FB IN das 900er IP Interface fliesst. Beachte das in der Logik der ACL.
Alternativ kannst du dort OUTBOUND Regeln nutzen die aber deutlich weniger effektiv sind als inbound Regeln.
Es ist also wenig sinnvoll da am 900er Interface dann zu filtern.
Besser ist immer das in den inbound ACLs der VLANs zu machen was du dort an Internet Traffic erlauben willst und was nicht. Das 900er sollte dann frei bleiben.
juemuc
juemuc 18.01.2022 um 12:26:28 Uhr
Goto Top
Zitat von @aqui:

Die Switch IPs sind ja im Default immer in 1 und das ist bei MSSID APs usw. auch so. Im Heimnetz kann man sowas machen...

Ich wollte eigentlich die IPs der Switche auch in den IP-Bereich des Transfer-VLANs legen. ist das schlecht? So hatte ich zumindest diese Bild verstanden:
[ L3-Switche]

Viele Grüße
Jürgen
aqui
aqui 18.01.2022 aktualisiert um 16:55:11 Uhr
Goto Top
ist das schlecht?
Für ein Heimnetz sicher tolerabel in Firmennetzen ein NoGo.
So hatte ich zumindest diese Bild verstanden:
Aus welcher Info dort hast du das denn abgeleitet ?? Dort steht doch mit keinem Wort in welchem der lokalen VLANs das Management Netz liegt !
Normal liegt es ja immer in 1, also dann auch in einem lokalen VLAN und nicht im Transfer VLAN 99 !
Der Switch tut quasi so als ob 99 schon das Internet ist. face-wink
juemuc
juemuc 18.01.2022 um 19:49:12 Uhr
Goto Top
Ich habe die Gatewayadresse 10.99.99.254 als IP des 1. Switches interpretiert. Ich werde es jetzt mal umbauen. Wenn es nicht funktioniert, komme ich wieder face-smile

Danke für Deine Hilfe.

Viele Grüße
Jürgen.
aqui
aqui 18.01.2022 um 19:55:13 Uhr
Goto Top
Das wird funktionieren wenn du alles richtig machst ! face-big-smile
juemuc
juemuc 18.01.2022 um 20:45:33 Uhr
Goto Top
Hallo aqui,

ich will nun doch noch einmal Nachfragen, ob meine geplanten Schritte so korrekt sind:

1. VLAN 255 als Transfer-VLAN definieren
2. Für VLAN255 das Interface 192.168.255.254 anlegen
3. Für das VLAN255 einen Netzwerkpool anlegen 192.168.255.2 - .10 (für Geräte an der Fritzbox)
4. Static Route 0.0.0.0 mit Ziel 192.168.255.1 (Neue Adresse der Fritzbox) anlegen
5. Fritzbox-IP auf 192.168.255.1 ändern
6. IP-V4-Routing auf der FB auf 192.168.0.0 -> 168.192.255.254 ändern
7. Port1 auf VLAN255 zuweisen.

8. Hoffen und beten, dass alles funktioniert face-smile

Habe ich etwas vergessen oder falsch gemacht? ACLs lasse ich mal außen vor.

Viele Grüße
Jürgen
aqui
Lösung aqui 19.01.2022 um 12:17:17 Uhr
Goto Top
Bis auf den Schritt 6 mit der freud'schen Fehlleistung bei der Gateway IP und das Beten nicht zur IT gehört ist alles korrekt ! face-wink
juemuc
juemuc 20.01.2022 um 20:51:01 Uhr
Goto Top
Hat alles funktioniert. Nochmals Danke

Nur der Umzug des DNS-Servers in das neue Netzwerksegment hat etwas Arbeit verursacht.

Viele Grüße
Jürgen
aqui
aqui 21.01.2022 um 09:24:29 Uhr
Goto Top
👏 👍
Dann können wir ja entspannt ins Wochenende... face-wink