Cisco VLANs - Gästenetzwerk

[Thomas L.]

Hallo zusammen

Wir haben hier in der Firma 2 VLANs - eines davon ist für das interne Netz (in diesem steht auch ein OpenVPN Endpoint), am zweiten dürfen sich Gäste per Kabel anhängen, bekommen eine IP aus einem anderen Range und scheinen auch nach außen hin mit anderer IP auf (xxx.xxx.xxx.5 statt xxx.xxx.xxx.2). Nun ist es so, dass - auch wenn man am Gästeinterface hängt - sich mit dem OpenVPN Endpoint verbinden können sollte. Das ist aber nicht möglich, da es ja zwischen den VLANs kein Routing gibt (und auch nicht geben soll). Der VPN Endpoint ist in der Konfiguration mit xxx.xxx.xxx.2 angegeben (die xxx.xxx.xxx stehen dabei für die global address). Das Paket müsste also über VLAN99 (Gäste) raus, bis zum Provider, wo es wieder den gleichen Weg bis zum Router zurückgehen müsste, nur dass es dann an einem anderen VLAN ins interne Netz kommt.
Gehe ich richtig in der Annahme, dass das das Problem ist wegen dem dies nicht funktioniert? Wie löst man sowas im Allgemeinen? Eine einfache Route wird es ja nicht tun.

Herzlichen Dank für zweckdienliche Hinweise

[Wordo]

Die Frage ist ob 5 und 2 dasselbe Geraet ist? Wenn ja, welches? Wer administriert es?

[Thomas L.]

Hi

Also 2 und 5 ist dasselbe Gerät, ein Cisco 1811 mit eben den 2 konfigurierten VLANs, 2 konfigurierten DHCP Scopes, konfiguriertem NAT für jedes der VLANs. Administrieren tue ichs (mehr schlecht als recht).

[Wordo]

Am besten postest du mal deine Config ohne Passwoerter und ein Mod verschiebt den Thread ins Ciscoforum

[Necron]

Wird gemacht!

[Thomas L.]

Huch, ich dachte ich hätte schon im Cisco Forum gepostet - danke fürs Verschieben - und hier gleich noch die Config

Code:

bltrouter#sh run
Building configuration...

Current configuration : 4498 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname bltrouter
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool PoolVlan20
   import all
   network 192.168.20.0 255.255.255.0
   default-router 192.168.20.1
   dns-server (externer DNS)
!
ip dhcp pool PoolVlan30
   import all
   network 192.168.30.0 255.255.255.0
   default-router 192.168.30.1
   dns-server (externer DNS)
!
!
ip domain name interne.domain
ip name-server (externer DNS)
ip name-server (externer DNS)
!
!
!
username --------------------------------------
!
!
!
!
!
!
interface FastEthernet0
 ip address xx.xx.xx.2 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet2
 switchport access vlan 10
!
interface FastEthernet3
 switchport access vlan 10
!
interface FastEthernet4
 switchport access vlan 10
!
interface FastEthernet5
 switchport access vlan 10
!
interface FastEthernet6
 switchport access vlan 10
!
interface FastEthernet7
 switchport access vlan 10
!
interface FastEthernet8
 description Only Internet Access no internal network
 switchport access vlan 30
!
interface FastEthernet9
 description Gregors Bruder
 switchport access vlan 20
!
interface Vlan1
 no ip address
!
interface Vlan20
 ip address 192.168.20.1 255.255.255.0
 ip access-group 20 in
 ip access-group 20 out
 ip nat inside
 ip virtual-reassembly
!
interface Vlan10
 ip address 192.168.0.1 255.255.255.0
 ip access-group 10 in
 ip access-group 10 out
 ip nat inside
 ip virtual-reassembly
!
interface Vlan30
 ip address 192.168.30.1 255.255.255.0
 ip access-group 30 in
 ip access-group 30 out
 ip nat inside
 ip virtual-reassembly
!
interface Async1
 no ip address
 encapsulation slip
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1
ip route 10.8.0.0 255.255.255.0 192.168.0.96
ip route 192.168.99.0 255.255.255.0 192.168.0.31
!
!
no ip http server
no ip http secure-server
ip nat pool EXT20 xx.xx.xx.6 xx.xx.xx.6 netmask 255.255.255.248
ip nat pool EXT10 xx.xx.xx.2 xx.xx.xx.2 netmask 255.255.255.248
ip nat pool EXT30 xx.xx.xx.5 xx.xx.xx.5 netmask 255.255.255.248
ip nat inside source list 11 pool EXT10 overload
ip nat inside source list 21 pool EXT20 overload
ip nat inside source list 31 pool EXT30 overload

! diverse ip nat inside port mappings

access-list 10 permit 192.168.0.0 0.0.0.255
access-list 10 deny   192.168.20.0 0.0.0.255
access-list 10 deny   192.168.30.0 0.0.0.255
access-list 10 permit any
access-list 11 permit 192.168.0.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
access-list 20 deny   192.168.0.0 0.0.0.255
access-list 20 deny   192.168.30.0 0.0.0.255
access-list 20 permit any
access-list 21 permit 192.168.20.0 0.0.0.255
access-list 30 permit 192.168.30.0 0.0.0.255
access-list 30 deny   192.168.0.0 0.0.0.255
access-list 30 deny   192.168.20.0 0.0.0.255
access-list 30 permit any
access-list 31 permit 192.168.30.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
line 1
 modem InOut
 stopbits 1
 speed 115200
 flowcontrol hardware
line aux 0
line vty 0 4
 access-class 11 in
 privilege level 15
 transport input ssh
!
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

[blackbox]

hi,

wo steht nun noch das openvpn ? du hattest es mit xxxx.2 gesagt - die hat aber auch der router im petto ?

[Thomas L.]

Hi

Das OpenVPN Kistl steht im internen Netz (vergibt dann IPs aus dem 10.8.x.x Range) und hat selber die 192.168.0.96. Dafür gibts dann auch das entsprechende Port Forwarding und die Route retour (ip route 10.8.0.0 255.255.255.0 192.168.0.96).

[Otaku19]

dan wird das eher Essig werden mit dem ansprechen des OpenVPN Gateways über seine offizielle Adresse

[Wordo]

Was spricht gegen das Ansprechen der internen IP?

Klar, wenn Clients auch im Inet unterwegs sind passt die Config nicht mehr, aber da koennte man was mit DNS tricksen