ingram333

hmmm inwiefern fragwürdig? Es hängt eigentlich alles recht gradlinig an einem Switch, nur leider eben auch das zweite WLAN derzeit, da ich dachte ich kann eine Beschränkung des Port Verkehrs zwischen zwei Ports auf dem Switch ohne weiteres einstellen (was wohl ein Irrglaube war). Die FW hat eigentlich drei Interfaces, aber LAN, WAN und einmal VPN-Tunnel zum Kunden belegen leider alle Interfaces... Also hab ich sogesehen keine Möglichkeit das mit diesem Netzaufbau und dem Cisco Switch hinzubekommen?

ja, sind zwei verschiedene SSID's aber im selben Netzbereich und selber DHCP Server.

Danke weiterhin für deine Hilfe! Geht das mit dem VLAN überhaupt innerhalb eines Adressbereichs? Problem ist ja, dass die FW kein Interface mehr frei hat und so nur das bestehende 192.168.0.0/24 zur Verfügung steht... Die Access-Points sind von Cisco (WAP4410N), ich hab da nichts gefunden wo ich den DHCP Server eintragen könnte leider... einzige Option die vlt. hilfreich ist: "VLAN and QoS", da könnte man ein VLAN ID 1 auf "enable" stellen, aber kp ob der das vom Switch hat oder man das irgendwie in dem Webinterface einstellen kann. Noch eine Idee? Eine Beschränkung der Ports wäre immer noch das einfachste in meiner Vorstellung, aber das scheint ja nicht so einfach zu gehen...

danke dir auf jeden fall schon mal! Ich glaub aber das ich mein Problen doch nicht so einfach lösen kann... ich hab nämlich 2 x WLAN am selben Switch sehe ich gerade und nur eines davon soll beschränkt auf die Kommunikation zur FW sein (also ein WLAN für Mitarbeiter mit Vollzugriff auf das 192.168.0.0/24 und eines für Kunden, das eben nur auf die FW zugreifen kann für Internet). Da ja beide WLAN Kisten am selben Switch hängen und die selben DHCP Adressen nutzen geht das so ja gar nicht oder? Was bleibt dann noch übrig? Irgendwie VLANs benutzen vlt.?

Hi Wordo, vielen Dank für deine Hilfe, der DHCP Scope wäre 192.168.0.20 - 192.168.0.99 Mit ein paar Rservierungen dabei, aber ich denke die könnte ich umstellen auf IPs die nicht in diesem Bereich liegen.

hmmm ja die Range hier ist sehr seltsam definiert (mit Lücken zwischendrin und Ausnahmen), ich denke die müsste ich fast mal neu machen... Frage, was wäre wohl sinvoller/einfach: 1) Die DHCP Range anzupassen und es über ACLs versuchen 2) Die Sache mit den Ports (wobei ich das nicht ganz verstehe was in dem Link von dir geschrieben steht). Denke am einfachsten wäre in meinem Fall doch die Kommunikation von Port 23 auf Port 21 und zurück zu beschränken, oder? Wie sehen die cmd's dafür genau aus? In dem Link den du gepostet hast finde ich was über Secure Ports und beschränkung der MAC, aber nichts wie man von Port zu Port beschränkt... Danke noch mal für deine Hilfe!

ahhhhh danke, ich glaub jetzt hast du mich auf einen Denkfehler gebracht! Die IP von dem WLAN Interface ist zwar die 192.168.0.245, aber wenn sich jemand damit verbindet, behält er ja trotzdem seine eigene IP im DHCP Bereich... also sind die ausgehenden Verbindungen vom Client ja gar nicht zwingend von 0.245 sondern von der IP des Clients... richtig? Dann wäre auch klar, warum meine ACLs nicht funktionieren, weil der Router gar keine Anfragen von der IP bekommt... Sollte es so sein, kann ich aber eigentlich nur noch das mit den Ports machen, oder? Also sinvoll filtern ist ja so kaum möglich (kann ja schlecht alle DHCP Adressen da reinhacken). Hätte nie gedacht das das so kompliziert ist.

ah ok, ja das hatte ich nur falsch abgetippt... ich hab es nun mit folgenden (extended ip-)ACLs versucht die nach üblichen Paketfilterregeln eigentlich gehen müssten, aber wenn ich die aktiviere und mich über WLAN verbinde, habe ich überhaupt keinen Zugriff auf irgendwas mehr (auch nicht das gateway). Was ist an denen hier falsch? permit tcp host 192.168.0.245 host 192.168.0.1 permit udp host 192.168.0.245 host 192.168.0.1 permit icmp host 192.168.0.245 host 192.168.0.1 deny tcp host 192.168.0.245 any deny udp host 192.168.0.245 any deny icmp host 192.168.0.245 any In einem Paketfilter wäre die Hierachie so richtig denke ich, gilt das so nicht für ACLs? Weiß der Router was "stateful filtering" ist? Oder muss ich jetzt auch von der FW zum WLAN zurück die Regeln schreiben (also sowas dazu wie: "permit tcp 192.168.0.1 host 192.168.0.245")

NIC auf FW sind alle drei belegt leider... Zusatz: oder geht es vielleicht auch einfach auf IP ebene wie ein Paketfilter? Also sowas wie: access-list 102 permit tcp host 192.168.0.245 host 192.168.0.1 access-list 103 permit udp host 192.168.0.245 host 192.168.0.1 access-list 104 deny any host 192.168.0.245 any Geht aber leider nicht :(

Hallo Wordo und Danke erstmal für deine Antwort. Vlt. mach ich mich jetzt lächerlich, aber ich dachte immer eine Komponente und ein Gateway müssen im selben IP-Bereich liegen, oder? Also z.B. mein WLAN hat derzeit die IP 192.168.0.246 und meine FW 192.168.0.1... wie geht das wenn WLAN einen anderen Adressbereich hat? Die IP zu ändern wäre etwas kompliziert, da u.a. ein Monitoringserver auf das WLAN zugreift und SNMP Daten holt... falls es nicht anders geht muss ich mir was einfallen lassen, aber mir wäre lieber einfach eine Beschränkung der Ports zu definieren (wenn das wiederum überhaupt so geht wie ich mir das denke).

Hallo Community! Bin absoluter Neuling was CISCO Hardware angeht und bekomme leider die ACL's nicht richtig auf die Reihe... Mein Problem: Ich habe einen CISCO Catalyst 3650 auf dessen 24 Ports alle möglichen Server und Clients angschlossen sind. An Port 21 befindet sich ein CISCO WLAN-Access Point der nur Zugriff auf den Port 24 haben soll (Firewall+Internet), aber auf keinen der anderen... der Rest soll beliebig miteinander kommunizieren dürfen, es geht also nur darum alles von diesem einen Port auf Internet zu beschränken ohne das ein LAN Zugriff möglich ist. Meine Frage: Wie genau müssten die ACL aussehen die sagen: 1) Erlaube für Port 21 (WLAN) nur Zugriff auf Port 24 (FW) 2) Verbiete alle anderen Ports für Verbindungen von Port 21 (WLAN) 3) Rest darf beliebig kommunizieren Meine bisherigen Versuche die ACL einzustellen hatten nur zu Folge das ich den Switch jedesmal "reseten" musste da ich mich selbst ausgesperrt habe... Vielen Dank für eure Zeit