7
Cisco 897VA keine IP im Gästenetz
Hallo,
leider bekommt mein Gastnetz keine IP vom DHCP zugewiesen...
Wenn ich allerdings das "ip access-group gastnetz in" im VLAN2 enferne klappt es.
Ich denke mir fehlt ein eintrag in der access-list, ich komme aber nicht drauf was da fehlt...
Vielen Dank schon im Voraus!
Grüße
leider bekommt mein Gastnetz keine IP vom DHCP zugewiesen...
Wenn ich allerdings das "ip access-group gastnetz in" im VLAN2 enferne klappt es.
Ich denke mir fehlt ein eintrag in der access-list, ich komme aber nicht drauf was da fehlt...
Vielen Dank schon im Voraus!
Grüße
Building configuration...
Current configuration : 7711 bytes
!
! Last configuration change at 11:39:44 CET Sun Nov 3 2019
! NVRAM config last updated at 11:28:23 CET Sun Nov 3 2019 by admin
!
version 15.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname Cisco_Router
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
enable secret 5 $1$Sbxk$OtWna1nhQuA3zXaP.0dal0
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-235961381
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-235961381
revocation-check none
rsakeypair TP-self-signed-235961381
!
!
crypto pki certificate chain TP-self-signed-235961381
certificate self-signed 01
30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32333539 36313338 31301E17 0D313931 31303130 39323530
325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3233 35393631
33383130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
B39FABDA 5D503E10 408C3FD7 233A0BE3 2B122A12 E5BE3C72 E07DD15A 89C6633B
7FF9EEFB D11AE18C 33596859 F730A670 FBDBB6F9 DB5EA874 4EB85DFF A3192812
4AF16F31 B3A5466B E84D05C5 9F073232 C0728549 96D33329 3E86ECE4 4325AA33
25B77144 27E84E21 3BD49293 8485360A 86BF087E 72B37367 AFA3614E C3958F39
02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
23041830 16801404 F1E28D4D 8C88F48A 06C07330 F69A255D 2EA5C230 1D060355
1D0E0416 041404F1 E28D4D8C 88F48A06 C07330F6 9A255D2E A5C2300D 06092A86
4886F70D 01010505 00038181 009CA250 853E878B F7A967A7 44D65A9F FF5B3390
6A1E151C 559ECC53 F8DE3732 D19A1D08 E855BE17 A944CA2F 012CA87E C6CFB966
B9C62097 F0E7EA78 3B7F192D BAB3B9F4 7D02E990 276DC17D 2D641D94 4BE89CA4
FBD4B234 0577528F 946663D1 37E3EBC8 3A1FCE2B 7E403B2E E6F64D27 E6E8C025
19084827 B113DE19 B5822A72 97
quit
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.100.1 192.168.100.100
ip dhcp excluded-address 192.168.100.200 192.168.100.254
ip dhcp excluded-address 172.16.100.1 172.16.100.50
ip dhcp excluded-address 172.16.100.200 172.16.100.254
ip dhcp excluded-address 192.168.99.200 192.168.99.254
ip dhcp excluded-address 192.168.99.1 192.168.99.149
!
ip dhcp pool Lokal
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254
option 42 ip 130.149.17.8
domain-name Meinnetzwerknetz.home.arpa
!
ip dhcp pool Gastnetz
network 172.16.100.0 255.255.255.0
default-router 172.16.100.254
dns-server 172.16.100.254
option 42 ip 130.149.17.8
domain-name gast.Meinnetzwerknetz.home.arpa
!
ip dhcp pool VoIPflex
network 192.168.99.0 255.255.255.0
default-router 192.168.99.254
dns-server 192.168.99.254
option 42 ip 130.149.17.8
domain-name VoIP.Meinnetzwerknetz.home.arpa
!
ip dhcp pool VoIP
host 192.168.99.3 255.255.255.0
hardware-address 0004.1393.3e96
default-router 192.168.99.254
dns-server 192.168.99.254
option 42 ip 130.149.17.8
domain-name Meinnetzwerkvoip.home.arpa
client-name Telefon-Buero
!
!
!
ip domain name Meinnetzwerknetz.home.arpa
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw esmtp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip cef
ipv6 unicast-routing
ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
cts logging verbose
license udi pid C897VA-K9 sn FCZ201494B0
!
!
username admin password 0 Geheim123
!
!
!
!
!
controller VDSL 0
!
ip ssh time-out 60
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
no ip address
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface Ethernet0
no ip address
!
interface Ethernet0.7
description VDSL Internet Verbindung Telekom
encapsulation dot1Q 7
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
!
interface GigabitEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
description Tagged Uplink auf VLAN Switch
switchport mode trunk
no ip address
!
interface GigabitEthernet6
no ip address
!
interface GigabitEthernet7
description Internet
switchport access vlan 99
no ip address
no cdp enable
!
interface GigabitEthernet8
description Kabel-TV Internet
ip address dhcp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
description Lokales LAN (GigabitEthernet0 bis 2)
ip address 192.168.100.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan2
description Gastnetz (GigabitEthernet3)
ip address 172.16.100.254 255.255.255.0
ip access-group gastnetz in
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Vlan20
ip address 192.168.99.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1448
!
interface Dialer0
description xDSL Einwahl Interface Internet
mtu 1488
bandwidth 10000
bandwidth receive 50000
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username Meinnetzwerk@t-online-com.de password 0
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
ip http server
ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface GigabitEthernet8 overload
!
ip access-list extended gastnetz
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
deny ip any any
permit udp any any eq bootpc
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.99.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
access-list 111 deny ip any any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
transport input ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 source Dialer0
ntp server pnpntpserver.fritz.box
!
!
!
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 511713
Url: https://administrator.de/contentid/511713
Printed on: April 24, 2024 at 17:04 o'clock
7 Comments
Latest comment
Wie immer machst du auch hier den typischen Anfänger Denkfehler bei Filter- oder Access Listen !! 
Es gibt eine eiserne Grundregel: "First match wins !"
Bedeutet auf Deutsch: Nach dem ersten positiven Hit in der ACL wird der Rest nicht mehr abgearbeitet !!! Es zählt also immer die logische Reihenfolge im ACL Regelwerk !
Du siehst also das Unglück bei deiner ACL und schon selber...oder ?
Wenn nein:
Das deny ip any any ist der positive Hit für alles an dem Port. Die ACL wird also niemals mehr das nachfolgende Statement zum Passieren der DHCP Requests ausführen können.
Vollkommen logisch also das keiner der Clients im Gastnetz dann je eine gültige IP Adresse bekommt, denn die Requests kommen so nie beim Router an...!!!
Etwas Nachdenken hilft also...
Richtig ist:
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Das deny any any Statement ganz am Schluss kannst du übrigens getrost weglassen, das ist immer Default !
Case closed !
(P.S.: Es hätte hier übrigens der Übersicht gut getan wenn du rein nur Thread bezogen die ACL als Verursacher gepostet hättest statt wieder die gesamte Routerkonfig und deren Kryptokeys....)
Es gibt eine eiserne Grundregel: "First match wins !"
Bedeutet auf Deutsch: Nach dem ersten positiven Hit in der ACL wird der Rest nicht mehr abgearbeitet !!! Es zählt also immer die logische Reihenfolge im ACL Regelwerk !
Du siehst also das Unglück bei deiner ACL und schon selber...oder ?
Wenn nein:
Das deny ip any any ist der positive Hit für alles an dem Port. Die ACL wird also niemals mehr das nachfolgende Statement zum Passieren der DHCP Requests ausführen können.
Vollkommen logisch also das keiner der Clients im Gastnetz dann je eine gültige IP Adresse bekommt, denn die Requests kommen so nie beim Router an...!!!
Etwas Nachdenken hilft also...
Richtig ist:
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Das deny any any Statement ganz am Schluss kannst du übrigens getrost weglassen, das ist immer Default !
Case closed !
(P.S.: Es hätte hier übrigens der Übersicht gut getan wenn du rein nur Thread bezogen die ACL als Verursacher gepostet hättest statt wieder die gesamte Routerkonfig und deren Kryptokeys....)
Ja, hast du recht, ich versuche irgendwie rein zu kommen, das Thema ist doch deutlich komplexer wie ich anfangs dachte...
Leider klappt es aber immer noch nocht....
Leider klappt es aber immer noch nocht....
!
ip access-list extended gastnetz
permit udp any any eq bootpc
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.99.0 0.0.0.255 any
access-list 111 deny ip any any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq 5060 any
!
!
Sorry, hatte ich oben noch vergessen. bootpc ist natürlich auch falsch, denn das ist der Reply (Port 68) ! Als Zielport muss dort natürlich UDP 67 stehen, denn das verwendet der Request, sprich also bootps !
Richtig ist dann:
!
ip access-list extended gastnetz
permit udp any any eq bootps
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Wenn du die ACL noch etwas wasserdichter machen willst setzt du auch den Quellport:
permit udp any eq bootpc any eq bootps
Siehe auch hier:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Richtig ist dann:
!
ip access-list extended gastnetz
permit udp any any eq bootps
deny ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255
permit tcp 172.16.100.0 0.0.0.255 any eq domain
permit udp 172.16.100.0 0.0.0.255 any eq domain
permit tcp 172.16.100.0 0.0.0.255 any eq www
permit tcp 172.16.100.0 0.0.0.255 any eq 443
!
Wenn du die ACL noch etwas wasserdichter machen willst setzt du auch den Quellport:
permit udp any eq bootpc any eq bootps
Siehe auch hier:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Jetzt läuft das Gäste-LAN perfekt!
Vielen Dank auch hier für deine Hilfe!
Ich hätte noch eine Frage zu den festen IP-Adressen:
Muss ich für jeden eine "extra" Pool anlegen, oder kann man die auch zusammen fassen?
Danke und Grüße
Vielen Dank auch hier für deine Hilfe!
Ich hätte noch eine Frage zu den festen IP-Adressen:
Muss ich für jeden eine "extra" Pool anlegen, oder kann man die auch zusammen fassen?
Danke und Grüße
Jetzt läuft das Gäste-LAN perfekt!
Gewusst wie ! 
Muss ich für jeden eine "extra" Pool anlegen, oder kann man die auch zusammen fassen?
Wie willst du die denn technisch zusammenfassen ?? Da die ja immer abhängig von der jeweiligen individuellen Hardware Adresse (Mac Adresse) sind kann sowas nicht gehen und du musst die natürlich einzeln setzen. Ist ja bei einer FritzBox usw. auch genau so.HIER steht wie es geht.
Ok, das klappt soweit.
Dachte nur dass alles unter einem “Pool“ zusammen fassen kann.
Vielen Dank nochmals für deine Hilfe.
Dachte nur dass alles unter einem “Pool“ zusammen fassen kann.
Vielen Dank nochmals für deine Hilfe.
Geht ja nicht, denn du musst ja immer Mac spezifisch die IPs zuteilen. Nichts anderes machst du ja mit der individuellen Zuteilung in der Konfig
