Ik heb een Cisco 828 geconfigureerd voor SDSL, dit werkt.
Nu wil ik deze verder beveiligen doormiddel van access-lists en ip inspect.
Ik heb dit al bij meerdere klanten lopen, echter dan op een 836 router.
Het probleem is dat met de ip inspect en de access-list op de dialer 0 interface ik geen internet connectie heb. Dat wil zeggen, wel een dhcp adres maar geen normaal verkeer mogelijk.
Zodra ik deze eraf haal dan is de connectie goed.
Ik heb met debug ip packet gekeken, en terugkomend verkeer lijkt wel geblockt te worden. Als ik een debug op access list 102 doe, dan zie ik niets geblockt worden.
Doe ik een debug ip packet op alles, dan zie ik wel terugkomend verkeer geblockt worden. Als ik de ip inspect rules weghaal, dus van de interface af heeft dit geen resultaat
Het rare is dat met andere routers deze configuratie wel heeft gewerkt.
Ik heb al een keer een write erase gedaan en alles opnieuw ingetypt, echter zonder resultaat.
De software versie is : c828-k9osy6-mz.123-4.T2.bin
Ik de heb de config erbij gezet, met de overbodige dingen weggelaten.
Heeft iemand een idee waar ik de fout in ga ? Of zit het in een softwarefoutje ?
Alvast bedankt
!
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect dns-timeout 10
ip inspect name inside tcp
ip inspect name inside udp
!
!
interface Ethernet0
ip address 192.168.10.254 255.255.255.0
ip nat inside
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
hold-queue 224 in
!
interface Dialer0
description Cisco 828 Business ADSL
ip address negotiated
ip nat outside
ip inspect inside in
ip access-group 102 in
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username xxxx@xxxx password xxxx
!
ip nat inside source route-map nonat interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
!
access-list 101 permit ip any any
access-list 102 remark Incoming Internet via dialer 0
access-list 102 remark Permit IP Range VPN Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 permit esp any any
access-list 102 remark Open VPN Ports & Others
access-list 102 permit udp any host INTERNET_IP_ADRES eq isakmp log
access-list 102 permit tcp any host INTERNET_IP_ADRES eq smtp
access-list 102 remark Permit FTP
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq ftp-data any
access-list 102 permit tcp any any eq 22
access-list 102 remark Permit all incoming ICMP
access-list 102 permit icmp any any
access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
no cdp run
route-map nonat permit 10
match ip address 120
!
!
Nu wil ik deze verder beveiligen doormiddel van access-lists en ip inspect.
Ik heb dit al bij meerdere klanten lopen, echter dan op een 836 router.
Het probleem is dat met de ip inspect en de access-list op de dialer 0 interface ik geen internet connectie heb. Dat wil zeggen, wel een dhcp adres maar geen normaal verkeer mogelijk.
Zodra ik deze eraf haal dan is de connectie goed.
Ik heb met debug ip packet gekeken, en terugkomend verkeer lijkt wel geblockt te worden. Als ik een debug op access list 102 doe, dan zie ik niets geblockt worden.
Doe ik een debug ip packet op alles, dan zie ik wel terugkomend verkeer geblockt worden. Als ik de ip inspect rules weghaal, dus van de interface af heeft dit geen resultaat
Het rare is dat met andere routers deze configuratie wel heeft gewerkt.
Ik heb al een keer een write erase gedaan en alles opnieuw ingetypt, echter zonder resultaat.
De software versie is : c828-k9osy6-mz.123-4.T2.bin
Ik de heb de config erbij gezet, met de overbodige dingen weggelaten.
Heeft iemand een idee waar ik de fout in ga ? Of zit het in een softwarefoutje ?
Alvast bedankt
!
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect dns-timeout 10
ip inspect name inside tcp
ip inspect name inside udp
!
!
interface Ethernet0
ip address 192.168.10.254 255.255.255.0
ip nat inside
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
hold-queue 224 in
!
interface Dialer0
description Cisco 828 Business ADSL
ip address negotiated
ip nat outside
ip inspect inside in
ip access-group 102 in
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username xxxx@xxxx password xxxx
!
ip nat inside source route-map nonat interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
!
access-list 101 permit ip any any
access-list 102 remark Incoming Internet via dialer 0
access-list 102 remark Permit IP Range VPN Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 permit esp any any
access-list 102 remark Open VPN Ports & Others
access-list 102 permit udp any host INTERNET_IP_ADRES eq isakmp log
access-list 102 permit tcp any host INTERNET_IP_ADRES eq smtp
access-list 102 remark Permit FTP
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq ftp-data any
access-list 102 permit tcp any any eq 22
access-list 102 remark Permit all incoming ICMP
access-list 102 permit icmp any any
access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
no cdp run
route-map nonat permit 10
match ip address 120
!
!