解決済み: Re: DHCP でアドレスが配布されるブロードバンド回線接続(CATV)での、WAN(GE4)へのCBAC設定について

kei10omo · ‎2021-04-12

C841MのWAN(GE4)にCBACを設定しましたが、動作してないように見えます。

WAN側のインタフェースが「Dialer 1」などの時にしか

CBACは使用できないのでしょうか。

以下コマンドにて確認しても、セッション、リストが表示されない。

・show ip access-list

・show ip inspect session

cja56910tf · ‎2021-06-22

こんばんは。

まず、再帰ACLはあまり使わないので確約出来ませんが、作成された設定で要望は満たせるのではないかと思います。

ただ、コンフィグを見るとNAPTを使用されておられるので、外部発＆内部宛の通信は出来ませんから、それ程神経質にならなくても良いように思います。WAN側インターフェースがインターネットに接続されているのであれば、WAN側インターフェースへの入力方向にのみACLを適用するという方法でも良いのではないかと思いました。

ACLはインターネット検索すればサンプルが山ほど見つかると思うので割愛しますが、WAN側IPへのアクセスを破棄したり、IP Spoofingを遮断したりなどあります。また、不要なサービスは停止させておくのもセキュリティ的に推奨です。

下記のサイトがとても参考になると思いますので、是非一読ください。

Cisco IOS 基本セキュリティ設定 (infraexpert.com)

なお、DHCPパケットを許可するのであれば、下記の２行が必要かと思います。

permit udp any any eq bootps
permit udp any any eq bootpc

次に、DHCPでDNSサーバの情報を受け取る場合は下記の設定が必要です。

interface GigabitEthernet0/4

　ip dhcp client request dns-nameserver

!

(他にもnetbiosなど他の情報も受け取ることができます)

ただ、このコマンドはshow runでは表示されない場合があります。no オプションを付与して表示されるようになるならば、当該コマンドはデフォルトで有効になっているはずです。つまりは基本的にはDHCPサーバが流してくる情報は全て受け取るということになります。

ルータ自身がDHCPクライアントとして取得したDHCPオプション (DNSサーバやTFTPサーバなど) を自身のDHCPプールで使用(流用)する場合は、import all コマンドを設定します。

ip dhcp pool vlan90

　import all

!

下記確認コマンドで取得した IP アドレス、DNS サーバの情報、dhcp poolにimportした情報が確認できます。

・show dhcp lease
・show dhcp server

・show ip dhcp import

最後に、CiscoルータをDNS Proxyにする場合は下記の設定を行います。

ip dns server
ip domain-lookup

なお、上記は使用するIOS版数によっては非対応の場合もありますので、Cisco Feature Navigatorなどを用いて実機で検証・確認ください。

元の投稿で解決策を見る

kei10omo · ‎2021-07-11

C841ルーターにて「L2TP over IPsec」追加で設定しました。

外出先より接続はできましたが、接続したPCからインターネット接続ができなくなりました。

追加で必要な設定箇所はありますでしょうか？

一時的にGE0/8(WAN)のフィルタははずしております。

フィルタ設定時に通すポート番号もご教授お願いできますでしょうか？

よろしくお願い致します。

元の投稿で解決策を見る

cja56910tf · ‎2021-05-30

こんにちは。

コンフィグをざっと拝見しましたが、CBACに関する限りは特におかしなところは見当たりませんでした。

また、Dialerにしか適用できないという制約はなかったのように思うのですが・・・

ちなみにGigabitEthernet0/4を経由してのブロードバンド通信自体は正常であると思って良いでしょうか。

あと、切り分けのためにCBACを別のインターフェースに適用したり方向をinにした場合は動作しますでしょうか。

「show ip access-list」「show ip inspect session」の出力結果をご提示いただくなど、もう少し詳細情報があると回答しやすいかと思います。

なおご存知かもしれませんが、CBACはIOS-XEでは非サポートになっておりますので、いずれは別の機能または装置を導入する必要があることをお伝えしておきます。

kei10omo · ‎2021-06-22

ありがとうございます。

少しフィルタ設定について見なおして、再帰ACLにしてみました。

これ以外にシンプルな設定はありますでしょうか？

基本的にWAN側からのアクセスは全ブロックにして

LAN側からインターネットへのアクセスは全許可にしたいです。

また、度々申し訳ございませんが、以下追加で質問させてください。

・GE0/4をDHCP設定にしてIPを取得しておりますが

※印のACLを追加しなければ、ISPよろIPアドレスが取得できませんが

　必ず必要になりますでしょうか？

　ip access-list extended WAN-IN
　　※permit udp any eq bootps any eq bootpc log
　　　evaluate WAN-OUT-AllPermit
　　　deny ip any any log
　ip access-list extended WAN-OUT
　　※permit udp any eq bootpc any eq bootps log
　　　permit ip any any reflect WAN-OUT-AllPermit timeout 300

・GE0/4をDHCP設定にて、ISP(CATV)より、IPアドレスを取得しておりますが

　DNSアドレスについても網側より自動取得することはできますか？

　現状は「8.8.8.8」固定にしてますが、自動取得できるようでしたら

　c841をDNS-PROXYにしたいと考えております。

cja56910tf · ‎2021-06-22

こんばんは。

まず、再帰ACLはあまり使わないので確約出来ませんが、作成された設定で要望は満たせるのではないかと思います。

ただ、コンフィグを見るとNAPTを使用されておられるので、外部発＆内部宛の通信は出来ませんから、それ程神経質にならなくても良いように思います。WAN側インターフェースがインターネットに接続されているのであれば、WAN側インターフェースへの入力方向にのみACLを適用するという方法でも良いのではないかと思いました。

ACLはインターネット検索すればサンプルが山ほど見つかると思うので割愛しますが、WAN側IPへのアクセスを破棄したり、IP Spoofingを遮断したりなどあります。また、不要なサービスは停止させておくのもセキュリティ的に推奨です。

下記のサイトがとても参考になると思いますので、是非一読ください。

Cisco IOS 基本セキュリティ設定 (infraexpert.com)

なお、DHCPパケットを許可するのであれば、下記の２行が必要かと思います。

permit udp any any eq bootps
permit udp any any eq bootpc

次に、DHCPでDNSサーバの情報を受け取る場合は下記の設定が必要です。

interface GigabitEthernet0/4

　ip dhcp client request dns-nameserver

!

(他にもnetbiosなど他の情報も受け取ることができます)

ただ、このコマンドはshow runでは表示されない場合があります。no オプションを付与して表示されるようになるならば、当該コマンドはデフォルトで有効になっているはずです。つまりは基本的にはDHCPサーバが流してくる情報は全て受け取るということになります。

ルータ自身がDHCPクライアントとして取得したDHCPオプション (DNSサーバやTFTPサーバなど) を自身のDHCPプールで使用(流用)する場合は、import all コマンドを設定します。

ip dhcp pool vlan90

　import all

!

下記確認コマンドで取得した IP アドレス、DNS サーバの情報、dhcp poolにimportした情報が確認できます。

・show dhcp lease
・show dhcp server

・show ip dhcp import

最後に、CiscoルータをDNS Proxyにする場合は下記の設定を行います。

ip dns server
ip domain-lookup

なお、上記は使用するIOS版数によっては非対応の場合もありますので、Cisco Feature Navigatorなどを用いて実機で検証・確認ください。

kei10omo · ‎2021-07-11

C841ルーターにて「L2TP over IPsec」追加で設定しました。

外出先より接続はできましたが、接続したPCからインターネット接続ができなくなりました。

追加で必要な設定箇所はありますでしょうか？

一時的にGE0/8(WAN)のフィルタははずしております。

フィルタ設定時に通すポート番号もご教授お願いできますでしょうか？

よろしくお願い致します。

kei10omo · ‎2021-07-11

追加で「コンソール・Telnetログイン」について質問させてください。

「aaa new-model」を設定後に、以下２点の症状が発生しました。

　・コンソール接続時にいきなり「ユーザーモード」にて接続されてしまい

　　「username・password」を入力する画面が表示されない。

　・Telnet接続時に、admin(privilege 15)にてログインしても

　　　ユーザーモードにて接続されてしまう。

「aaa new-model」を設定後も同様の運用は可能でしょうか？

　・コンソールログイン時も「username・password」を入力してログイン

　・Telnet接続時も「admin(15)・user(0)」を使い分けてログイン

よろしくお願い致します。

--------------------------------

■aaa new-model 設定前のログインlog
---------------------------------
C841-WAN con0 is now available

Press RETURN to get started.

Jul 11 07:48:36.599: %SYS-5-CONFIG_I: Configured from console by user on console

User Access Verification

Username: admin
Password:
C841-WAN#
C841-WAN#

C:\>telnet 192.168.99.1

User Access Verification
Username: admin
Password:
C841-WAN#
C841-WAN#

----------------------------------

■aaa new-model 設定後のログインlog
-----------------------------------

C841-WAN con0 is now available

Press RETURN to get started.

Jul 11 07:50:33.323: %SYS-5-CONFIG_I: Configured from console by admin on console
C841-WAN>
C841-WAN>en
Password:
C841-WAN#
C841-WAN#

C:\>telnet 192.168.99.1

User Access Verification
Username: admin
Password:

C841-WAN>en
Password:
C841-WAN#
C841-WAN#
-------------------------------------------------------------------------------------------

cja56910tf · ‎2021-07-11

こんばんは。

ディスカッションのタイトルと内容が異なっていますので、新しいディスカッションを投稿された方が回答を得られるのではないかと思います。