oohiggsoo
Goto Top

Cisco 1921 ohne sec License

Hallo,

ich habe 2 Cisco 1921 die ich per VDSL an Standort A (VDSL50) und B (VDSL100) nutzen möchte (eventuell noch eine pfSense oder Sophos UTM dahinter).
Diese haben "nur" die Standard Lizenz. Kann ich diese ohne Sicherheitsbedenken an beiden Standorten einsetzen?
So weit ich es verstanden habe, fehlt die Zone Base Firewall bei dieser Lizenz.
Ich hätte auch noch 2 Cisco 886va die ich einsetzen könnte, aber diese schaufeln je nach konfig 20Mbit/s??!!

Desweiteren möchte ich, dass der Cisco nicht auf DNS-Anfragen aus dem Web reagiert,
folglich habe ich "no ip domain lookup" der Konfiguration beigefügt. Doch so werden meine
internen anfragen vom Cisco nicht mehr abgefragt/aufgelöst.

hier die config

version 15.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service dhcp
!
hostname Standort A
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret 5 Passwort
!
no aaa new-model
memory-size iomem 15
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
ip cef
!
!
no ip bootp server
no ip domain lookup
ip domain name StandortA.intern
login block-for 120 attempts 5 within 180
login delay 10
login on-failure log
login on-success log
no ipv6 cef
multilink bundle-name authenticated
!
!
license udi pid CISCO1921/K9 sn FCZ1234567
!
username Name privilege 15 password 7 Passwort123456789
!
!
controller VDSL 0/0/0
 firmware filename flash:VA_A_39h_B_38h3_24h_j.bin
!
ip ssh version 2
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description *** LAN ***
 ip address 172.16.100.41 255.255.255.252
 no ip redirects
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 load-interval 30
 duplex full
 speed 1000
 no cdp enable
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no atm ilmi-keepalive
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !
!
interface Ethernet0/0/0
 no ip address
!
interface Ethernet0/0/0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Dialer0
 description DSL Einwahl Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Zugangsdaten@t-online.de password 7 Zugangspasswort
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
access-list 23 permit 172.16.100.0 0.0.0.255
no cdp run
!
!
control-plane
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 5 0
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 20000 1000
ntp master
ntp update-calendar
!
end

Grüße
Higgs

Content-Key: 333420

Url: https://administrator.de/contentid/333420

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: oOHiggsOo
oOHiggsOo 28.03.2017 aktualisiert um 09:09:45 Uhr
Goto Top
Ich habe soeben bemerkt, dass ich gar keine DNS-Server konfiguriert habe...

Was ich vergessen habe....Standort A ist Privathaushalt mit 4 Personen und Standort B ein Privathaushalt mit 3 Personen und
eine Praxis mit 2 Personen.
Und ich betreue diese Praxis von Standort A.
Mitglied: aqui
aqui 28.03.2017 aktualisiert um 11:09:55 Uhr
Goto Top
Kann ich diese ohne Sicherheitsbedenken an beiden Standorten einsetzen?
Ja, natürlich !
Auch mit normalen Accesslisten bist du zuverlässig geschützt auch ohne das Firewall Image.
Ich habe soeben bemerkt, dass ich gar keine DNS-Server konfiguriert habe...
Musst du auch nicht zwingend, oder meinst du das du die Router nicht als Proxy DNS konfiguriert hast ?!
Inbound Flow Controll ist übrigens Blödsinn auf der Providerseite das wird da nie gemacht.
Und deine Sicherheits ACL 111 für den Internet Port solltest du dann auch tunlichst konfigurieren. Ansonsten gilt da deny any any und nix geht mehr face-wink
VDSL 50 kann der 886va noch problemlos wuppen aber mit 100 ist er natürlich knapp überfordert da seine LAN Ports nicht mehr hergeben.
Desweiteren möchte ich, dass der Cisco nicht auf DNS-Anfragen aus dem Web reagiert, folglich habe ich "no ip domain lookup" der Konfiguration beigefügt. Doch so werden meine internen anfragen vom Cisco nicht mehr abgefragt/aufgelöst.
Das ist natürlich Blödsinn !
Das Kommando gilt ausschliesslich nur für den Router selber !! Also wenn du auf dem CLI z.B: ping www.heise.de eingibst, dann sagt es dem Router wie er DNS handhaben soll. "no ip domain lookup" sagt dem Cisco dann das er selber (und nur er selber) kein DNS Lookup machen soll.
Es gilt aber nur für den Router und sein CLI selber, niemals aber für Endgeräte die darüber kommunizieren, sei es mit direktem DNS oder dem Cisco als Proxy.
Wenn der Cisco als DNS Proxy arbeiten soll reicht ein ip dns server als globales Kommando !
Du kannst dann auf dem CLI immer sehen mit show hosts ob das DNS Caching klappt.
Den Clients gibt man dann die LAN IP des Ciscos als DNS Server.
Will man das nicht, dann lässt man ip dns server weg was das DNS Caching und wenn du auch noch ppp ipcp dns request weglässt am Dialer unterbindest du das der Cisco dynmaisch die Provider DNS Server IP lernt.
Dann musst du aber im Umkehrschluss immer die Provider DNS Server auf alle Endgeräte hinter dem Cisco statisch konfigurieren.
Kann man machen aber taktisch nicht klug, denn das erhöht wie immer die DNS Lookup Zeit.
Wenn du allerdings eine kaskadierte Firewall dahinter hast, dann kann die das Caching natürlich übernehmen, keine Frage.
Mitglied: oOHiggsOo
oOHiggsOo 29.03.2017 aktualisiert um 19:09:13 Uhr
Goto Top
Hi aqui,

vielen Dank für deine Antwort.
hier ein Entwurf vom Netzwerk, hinter der pfSense kommt jeweils eine FritzBox als TK-Anlage

netzwerk

Die Konfiguration vom cisco habe ich nun vervollständigt.

version 15.5
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
no service dhcp
!
hostname Standort B
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 4096
enable secret 5 Passwort123.
!
no aaa new-model
ethernet lmi ce
memory-size iomem 15
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 501
!
!
no ip bootp server
no ip domain lookup
ip domain name StandortB.intern
ip cef
login block-for 120 attempts 5 within 180
login delay 10
login on-failure log
login on-success log
no ipv6 cef
multilink bundle-name authenticated
!
cts logging verbose
!
license udi pid CISCO1921/K9 sn FCZ12344567
!
redundancy
!
controller VDSL 0/1/0
 firmware filename flash:VA_A_39h_B_38h3_24h_j.bin
no cdp run
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 description *** LAN ***
 ip address 172.16.200.41 255.255.255.252
 no ip redirects
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 load-interval 30
 duplex full
 speed 1000
 no cdp enable
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !
!
interface Ethernet0/1/0
 no ip address
 shutdown
!
interface Ethernet0/1/0.7
 description VDSL Internet Verbindung - VLAN 7 tagged
 encapsulation dot1Q 7
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Dialer0
 description DSL Einwahl Interface
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username Zugangsdaten@t-online.de password 7 Zugangspasswort
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
no ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
ip ssh version 2
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 172.16.100.0 0.0.0.255   <---------------wäre dieser Zugang nötig? Möchte nur hinter der pfSense auf die Ciscos zugreifen
access-list 23 permit 172.16.200.0 0.0.0.255
access-list 23 permit 10.1.10.0 0.0.0.255
access-list 23 permit 10.2.10.0 0.0.0.255
access-list 101 permit ip 172.16.200.0 0.0.0.255 any
access-list 101 permit ip 172.16.100.0 0.0.0.255 any
access-list 101 permit ip 10.2.10.0 0.0.0.255 any
access-list 101 permit ip 10.1.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any   <-------------------- diese Ports habe ich gemeint. Hiermit mache ich den DNS-Port 53 auf.
access-list 111 permit tcp any eq domain any    <-------------------- ich habe im letzten Jahr einen Brief von der Telekom bekommen "An Ihrem Zugang ist   
                                                                                                              ein offener 'Domain Name System' (DNS) Server aktiv, der von Dritten für Angriffe   
                                                                                                              missbraucht werden könnte. Vermutlich hatte ich noch "ip dns Server" aktiv?!  
access-list 111 permit udp any eq 5060 any                                 
access-list 111 permit udp any eq ntp any
!
control-plane
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 5 0
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 20000 1000
ntp master
ntp update-calendar
ntp server 130.149.17.8 source Dialer0
!
end

Ich würde dann die pfSense per OpenVPN die VPN-Verbindung zwischen den 2 Standorten herstellen lassen. Die pfSense soll ebenfalls DynDNS aktualisieren.
Wäre die Cisco FW so richtig eingestellt?

Grüße
Higgs
Mitglied: aqui
aqui 30.03.2017 aktualisiert um 18:39:09 Uhr
Goto Top
hier ein Entwurf vom Netzwerk,
Das sieht gut aus.
Dumme Frage: Hat es einen tieferen Sinn warum du die Ciscos als "Durchlauferhitzer" vor den pfSensen hast ?
Eigentlich doch sinnfrei und wenn man die pfSense mit einem reinen VDSL Modem wie z.B. einem Draytek Vigor 130 direkt anbindet performanter und erheblich einfacher zu managen. Warum also diesen Overhead ??
Cisco ist schon nicht schlecht aber doppelt muss ja auch nicht sein, oder ?
Die Konfiguration vom cisco habe ich nun vervollständigt.
Passt soweit...!
Wäre die Cisco FW so richtig eingestellt?
Ja.
Mitglied: oOHiggsOo
oOHiggsOo 30.03.2017 um 19:37:14 Uhr
Goto Top
Hatte ich noch "rumfahren".
Muss ich schauen, ob ich mir noch ein Modem/Router zulege und ohne die Cisco realisiere.
Ein Zyxel VMG1312-30A hätte ich noch.
Mitglied: aqui
aqui 31.03.2017 um 09:45:37 Uhr
Goto Top
Das wäre in jedem Falle schlanker und performanter und erheblich einfacher zu managen. face-wink
Also entweder nur Cisco oder nur pfSense. Da solltest du mal drüber nachdenken...