6
Cisco 1812 Vlan1 kein Zugriff ausserhalb des Routers
Hallo zusammen,
ich habe ein kleines Problem.
Ich nutze ein Cisco 1812 version 15.1 und habe aktuell ein funktionierendes Netz.
Interface0 hat eine lokale IP. angeschlossen ist ein Switch mit meinen lokalen Benutzern. (192.168.100.0)
An Interface1 ist mein Modem angeschlossen mit der öffentlichen IP.
Nat, Firewal etc. funktioniert soweit.
Auf den Ports FI2-9 möchte ich gerne ein Gast Netz errichten. Dazu würde ich das Netz 192.168.99.0 nutzen.
Folgendes habe ich aktuell konfiguriert:
Leider habe ich das Problem, dass ich zwar von der Cisco aus einen Ping an die Clients im Vlan1 schicken kann und auch einen positiven response bekomme, jedoch die Clients im Vlan1 keine Verbindung ins Internet bekommen.
Seht ihr noch einen Fehler? Sollte doch eigentlich klappen.???
ich habe ein kleines Problem.
Ich nutze ein Cisco 1812 version 15.1 und habe aktuell ein funktionierendes Netz.
Interface0 hat eine lokale IP. angeschlossen ist ein Switch mit meinen lokalen Benutzern. (192.168.100.0)
An Interface1 ist mein Modem angeschlossen mit der öffentlichen IP.
Nat, Firewal etc. funktioniert soweit.
Auf den Ports FI2-9 möchte ich gerne ein Gast Netz errichten. Dazu würde ich das Netz 192.168.99.0 nutzen.
Folgendes habe ich aktuell konfiguriert:
interface FastEthernet0
ip address 192.168.100.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
speed auto
full-duplex
no cdp enable
!
interface FastEthernet1
ip address xx.xx.xx.xx 255.255.255.252
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip inspect SDM_HIGH out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
snmp trap ip verify drop-rate
no cdp enable
interface Vlan1
ip address 192.168.99.1 255.255.255.0
ip access-group 103 in
ip nat inside
interface range FastEthernet 2 - 9 (BEFEHL ÜBER CONF T)
no shutdown (BEFEHL ÜBER CONF T)
switchport access vlan 1 (BEFEHL ÜBER CONF T)
access-list 100 remark -----------------LAN-----------------------
access-list 100 permit udp host 192.168.100.106 eq 1645 host 192.168.100.111
access-list 100 permit udp host 192.168.100.106 eq 1646 host 192.168.100.111
access-list 100 permit ip any any
access-list 101 remark ------------------WAN------------------
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 deny ip 192.168.100.0 0.0.0.255 any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit tcp any any established
access-list 101 deny ip any any log
access-list 100 remark ----------------GAST-----------------------
access-list 100 permit ip any any (Nur testweise)
access-list 199 remark -------------Internet NAT Service-------------
access-list 199 permit ip 192.168.100.0 0.0.0.255 any
access-list 199 permit ip 192.168.99.0 0.0.0.255 any
ip dhcp excluded-address 192.168.99.1 192.168.99.3
ip dhcp pool vlan1
network 192.168.99.0 255.255.255.0
default-router 192.168.99.1
dns-server 8.8.8.8Leider habe ich das Problem, dass ich zwar von der Cisco aus einen Ping an die Clients im Vlan1 schicken kann und auch einen positiven response bekomme, jedoch die Clients im Vlan1 keine Verbindung ins Internet bekommen.
Seht ihr noch einen Fehler? Sollte doch eigentlich klappen.???
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297028
Url: https://administrator.de/contentid/297028
Printed on: April 24, 2024 at 04:04 o'clock
6 Comments
Latest comment
Hallo
das VLAN1 ist oftmals das default VLAN und dort sind alle Geräte drinnen enthalten bzw. Mitglied!
Kann es eventuell daran liegen? Normaler weise benutzt man so etwas dann eben auch gerne als
Admin VLAN weil eben alle geräte dort Mitglied sind.
Gruß
Dobby
das VLAN1 ist oftmals das default VLAN und dort sind alle Geräte drinnen enthalten bzw. Mitglied!
Kann es eventuell daran liegen? Normaler weise benutzt man so etwas dann eben auch gerne als
Admin VLAN weil eben alle geräte dort Mitglied sind.
Gruß
Dobby
Auf den Ports FI2-9 möchte ich gerne ein Gast Netz errichten.
Sieh dir einfach das hiesige Tutorial zum Cisco an dafür:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das hat so eine Gastenetz Konfiguration als Beispiel.
Weitere Infos zum Thema "richtige" Gastenetze mit Captive Portal usw. findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und hier in der Rubrik "Praxisbeispiel":
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kurzversion deiner Konfig:
Wenn der Cisco Router einen embedded 4 Port Switch hat dann sieht das bei dir mit dem Gastnetz so aus:
(Beispiel hier lokales Netz an Fa0 und Gastnetz an Fa3)
!
interface FastEthernet0
description Lokales LAN
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description Gastnetz
switchport access vlan 2
no ip address
no cdp enable
!
interface Vlan1
description Lokales LAN
ip address 192.168.100.1 255.255.255.0
ip nat inside
!
interface Vlan2
description Gastnetz (FastEthernet3)
ip address 192.168.99.1 255.255.255.0
ip nat inside
!
Fertisch...
Hallo zusammen,
vielen Dank für die Tipps ich werde es mir am Wochenende anschauen.
@aqui
die config sieht eigentlich logisch aus, ich versteh nur nicht ganz wie in deinem Beispiel die Zuordnung zwischen FE0 und Vlan1 geschieht.
Kannst du mir da kurz weiterhelfen?
Vielen Dank
vielen Dank für die Tipps ich werde es mir am Wochenende anschauen.
@aqui
die config sieht eigentlich logisch aus, ich versteh nur nicht ganz wie in deinem Beispiel die Zuordnung zwischen FE0 und Vlan1 geschieht.
Kannst du mir da kurz weiterhelfen?
Vielen Dank
Ja, na klar, das ist kinderleicht ! 
Der embeddete 4 Port Switch auf dem Router wird wie ein normaler IOS Switch gesehen.
Im Default sind alle FEx Ports mit switchport access vlan 1 konfiguriert, werkeln also damit alle als untagged Ports im Default VLAN 1
Da das Kommando Default Einstellung ist wird es in der Konfig nicht angezeigt.
Das Layer 3 Routing Interface im VLAN 1 heisst wie bei Cisco IOS üblich dann interface vlan 1. Referenziert also immer auf die entsprechende VLAN ID.
Analog dazu wie du sehen kannst dein Port FE3 der als untagged Port im VLAN 2 liegt und auch hier wieder analog das L3 Interface interface vlan 2 des Routers dazu hat.
Der Switch wird also in die VLANs geteilt um die unterschiedlichen Router Interfaces in den IP Segmenten (VLANs) zu bekommen.
Aus Router Sicht sind ja nur die L3 Interfaces relevant also vlan 1 und vlan 2. Dort sind alle Router spezifischen Konfigs zu sehen.
War das hilfreich ?!
Der embeddete 4 Port Switch auf dem Router wird wie ein normaler IOS Switch gesehen.
Im Default sind alle FEx Ports mit switchport access vlan 1 konfiguriert, werkeln also damit alle als untagged Ports im Default VLAN 1
Da das Kommando Default Einstellung ist wird es in der Konfig nicht angezeigt.
Das Layer 3 Routing Interface im VLAN 1 heisst wie bei Cisco IOS üblich dann interface vlan 1. Referenziert also immer auf die entsprechende VLAN ID.
Analog dazu wie du sehen kannst dein Port FE3 der als untagged Port im VLAN 2 liegt und auch hier wieder analog das L3 Interface interface vlan 2 des Routers dazu hat.
Der Switch wird also in die VLANs geteilt um die unterschiedlichen Router Interfaces in den IP Segmenten (VLANs) zu bekommen.
Aus Router Sicht sind ja nur die L3 Interfaces relevant also vlan 1 und vlan 2. Dort sind alle Router spezifischen Konfigs zu sehen.
War das hilfreich ?!
Perfekt erklärt Vielen Dank.
Wenn aber per default alle FEx Ports im Vlan 1 sind. und ich dem Vlan1 eine IP aus meinem lokalen Netz gebe, würde ich da nicht Probleme mit meinem WAN Anschluss (FE1) bekommen?
Nach meinem Verständnis müsste ich diesen ja auch auf das interne Switch ziehen und dann mit einem vlan (z.B. 3) die öffentliche IP angeben und den Port per switchport access vlan 3 dann zuordnen.
Hoffe ich habs richtig verstanden
Vielen Dank.Wenn aber per default alle FEx Ports im Vlan 1 sind. und ich dem Vlan1 eine IP aus meinem lokalen Netz gebe, würde ich da nicht Probleme mit meinem WAN Anschluss (FE1) bekommen?
Nach meinem Verständnis müsste ich diesen ja auch auf das interne Switch ziehen und dann mit einem vlan (z.B. 3) die öffentliche IP angeben und den Port per switchport access vlan 3 dann zuordnen.
Hoffe ich habs richtig verstanden
Ja, da hast du Recht.
Du musst checken ob diese Ports als Switch zusammengefasst sind oder ob das dedizierte Ethernet Ports sind ohne Switchbindung. Auf den Ciscos koexistiert meistens beides.
Es gibt aber auch Modelle mit reinen Ethernet Ports ohne embedded Switch.
Ein show ver zeigt dir das.
Du musst checken ob diese Ports als Switch zusammengefasst sind oder ob das dedizierte Ethernet Ports sind ohne Switchbindung. Auf den Ciscos koexistiert meistens beides.
Es gibt aber auch Modelle mit reinen Ethernet Ports ohne embedded Switch.
Ein show ver zeigt dir das.
