Cisco 1841 Firewall

[shezad]

Salve,

avrei una domanda da fare.
Ho un Cisco 1841 con due dhcp, uno per la rete wired ed uno per quella Wireless(che funziona con la BVI).
Se attivo il firewall con SDM, la rete wireless non esce piu' su internet e non riesco a capire come fare per farlo funzionare, l'unica cosa per ora e' quella di eliminare la prima regola del firewall per questa rete che impedisce a tutto il traffico di uscire, lasciando attive quelle per le altre interfacce, ma non mi pare una soluzione ottimale.
Questa e' la mia running configuration momentanea :

Building configuration...

Current configuration : 9277 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname xxxx
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
no logging monitor
enable secret 5 xxxx

!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
!
aaa session-id common
dot11 syslog
!
dot11 ssid mySSID
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 06040E3541410B100912
!
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.2.1
!
ip dhcp pool InsideNetwork
network 192.168.1.0 255.255.255.0
dns-server 208.67.222.222 208.67.220.220
default-router 192.168.1.1
lease infinite
!
ip dhcp pool WirelessNetwork
import all
network 192.168.2.0 255.255.255.0
dns-server 208.67.222.222 208.67.220.220
default-router 192.168.2.1
lease infinite
!
!
no ip bootp server
ip name-server 208.67.220.220
ip name-server 208.67.222.222
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
crypto pki trustpoint TP-self-signed-1381427403
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1381427403
revocation-check none
rsakeypair TP-self-signed-1381427403
!
!
crypto pki certificate chain TP-self-signed-1381427403
certificate self-signed 01
30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31333831 34323734 3033301E 170D3039 30333036 31373335
30365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33383134
32373430 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C4EC 5D00556A 3C1BF92D CED9B075 F929B68F E9E8226F E604B98B 1CCB7131
5AAF44E3 8747AB2B C367CDFD A477F1AC E550F04D 731B7C04 FF7A5B5C 546F3865
C9A06170 2A817890 450433AB 2BD94686 8F543D59 EFEF1E3D 7027FBF2 064A4655
00C79CFA A4F0070A E7AB0E0D 9B10461F 93706997 2A9A59C7 A8FF20CB 581271C6
2A910203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
551D1104 10300E82 0C636973 636F4761 72656C6C 69301F06 03551D23 04183016
80146923 D38CF26C BAD1F12F 9661655D 1B5F84B3 BCCA301D 0603551D 0E041604
146923D3 8CF26CBA D1F12F96 61655D1B 5F84B3BC CA300D06 092A8648 86F70D01
01040500 03818100 4659F620 36C89119 FD9A7F6B 2FDE3631 2C3276AD 8DD720E9
6837A499 1B4B2E30 09A6369D 062993DC 6C671353 94346422 A9B42153 2966FD54
B994719E 0750C619 1833D2F9 DD7D8E05 7B2ACC09 38DEE216 347CB3ED 936522E7
15564AF5 86C8C4D3 53638763 C1EC6DA9 060AC034 2A944037 462F7CCA BAED7826
8103C605 244FB750
quit
!
!
username Administrator privilege 15 secret 5 xxxx
archive
log config
hidekeys
!
!
!
!
ip tcp synwait-time 10
!
class-map type inspect match-any sdm-cls-insp-traffic
match protocol dns
match protocol ftp
match protocol https
match protocol icmp
match protocol pop3
match protocol smtp extended
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-nat-x11-1
match access-group 101
match protocol x11
class-map type inspect match-all sdm-nat-x11-2
match access-group 102
match protocol x11
class-map type inspect match-all sdm-nat-x11-3
match access-group 103
match protocol x11
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-protocol-http
match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-pol-NATOutsideToInside-1
class type inspect sdm-nat-x11-1
inspect
class type inspect sdm-nat-x11-2
inspect
class type inspect sdm-nat-x11-3
inspect
class class-default
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class class-default
pass
policy-map type inspect sdm-permit
class class-default
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-NATOutsideToInside-1
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
bridge irb
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description $ETH-LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip route-cache flow
speed auto
half-duplex
no mop enabled
!
interface FastEthernet0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
duplex auto
speed auto
no mop enabled
!
interface ATM0/0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode adsl2+
!
interface ATM0/0/0.4 point-to-point
description $FW_OUTSIDE$
ip address x.x.x.x 255.255.248.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
zone-member security out-zone
atm route-bridged ip
pvc 0/101
oam-pvc manage
encapsulation aal5snap
!
!
interface Dot11Radio0/1/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
ssid mySSID
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
no cdp enable
!
interface Dot11Radio0/1/0.1
description Wireless VLAN 1$FW_INSIDE$
encapsulation dot1Q 1 native
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface BVI1
description $FW_INSIDE$
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip route-cache flow
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 gateway
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source static tcp 192.168.1.12 6115 interface ATM0/0/0.4 6115
ip nat inside source list 1 interface ATM0/0/0.4 overload
ip nat inside source list Wireless_2 interface ATM0/0/0.4 overload
ip nat inside source static tcp 192.168.1.12 6112 x.x.x.x 6112 extendable
ip nat inside source static tcp 192.168.1.12 6200 x.x.x.x 6200 extendable
!
ip access-list standard Wireless_2
remark SDM_ACL Category=2
permit 192.168.2.0 0.0.0.255
!
ip access-list extended Wireless
remark SDM_ACL Category=2
permit ip 192.168.2.0 0.0.0.255 host x.x.x.x
!
logging trap debugging
logging 192.168.2.2
logging 192.168.1.12
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip x.x.x.x 0.0.7.255 any
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 remark SDM_ACL Category=0
access-list 101 permit ip any host 192.168.1.12
access-list 102 remark SDM_ACL Category=0
access-list 102 permit ip any host 192.168.1.12
access-list 103 remark SDM_ACL Category=0
access-list 103 permit ip any host 192.168.1.12
no cdp run
!
!
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
banner login ^CThis is a private router, you are not allowed to connect, please leave me in peace^C
!
line con 0
login authentication local_authen
transport output telnet
line aux 0
login authentication local_authen
transport output telnet
line vty 0 4
access-class 106 in
privilege level 15
password 7 020405590A5F5920151C
authorization exec local_author
login authentication local_authen
transport input telnet ssh
!
scheduler allocate 20000 1000
end




Ciao Shezad.

[shezad]

Per intenderci un po meglio, quando attivo il firewall con sdm lui mette questi comandi :


access-list 101 deny ip 192.168.1.0 0.0.255.255 any log
access-list 101 deny ip 192.168.2.0 0.0.255.255 any log a

Se io non elimino la seconda riga la wireless si ferma all'interfaccia ATM e non esce mentre la fastethernet non ha problemi.

Shezad.

[shezad]

questo e' il messaggio che il log mi restituisce, mi sembra che il firewall droppi il pacchetto

03-07-2009 14:07:47 Local7.Info 192.168.2.1 109: 000108: *Mar 7 14:07:36: %FW-6-LOG_SUMMARY: 1 packet were dropped from myIP:3321 => 90.155.142.151:48443 (target:class)-(sdm-zp-in-out:sdm-invalid-src)

Quindi chiaramente il firewall sta bloccando i miei pacchetti solo per la rete 192.168.2.0 e non per la 192.168.1.0.

Qualche idea?

Shezad.

[shezad]

Ok ho deciso di rifare la configurazione da capo, poi la faro' vedere e spero qualcuno mi dia un'opinione se secondo lui e' buona o no.
Da qui poi cerchero' di configurare il firewall.

shezad.

[unixvsnt]

di fretta e di furia mercoledì ho configurato un 1801W e ho il tuo stesso problema... il mio router aveva la parte wireless disabled fino a merocledì perchè non m'interessava ... avevo il firewall ok ed anche l'ips su! poi ho configurato la parte wireless (con ottimi spunti presi da questo forum e gogolando un pò) e funzionava tutto... poi per concludere ho rifatto il firewall con SDM ... e crash ne la LAN ne la WLAN uscono ++.... dalle poche prove che ho fatto cancellando tutte le access list ed aggiungendo la classica "1 permit any" tornava a funzionare... ma così facendo la sicurezza andava a farsi ovviamente a benedire... domani sera tempo permettendo riprovo con calma ... se ho novità ti dico! Ciao!

[shezad]

Ciao,

mah io ho pensato che magari era un errore mio e quindi mi sono deciso a rifare la configurazione, non posso andare avanti fino a venerdi' prossimo cosi' aspettero' un po.
Penso che tu abbia la mia stessa necessita', ovvero wireless + ethernet in internet, se vuoi possiamo studiare una configurazione assieme qui e poi andare avanti passo passo, probabilmente senza sdm perche' mi pare che a mano le cose vadano meglio, che ne dici?

Shezad

[unixvsnt]

..nessun problema... tempo permettendo .. questa sett. sono assai preso... cmq per cfg bene il firewall/ids è quasi obbligatorio l'uso dell'SDM...

[Wizard]

Nn ho letto tutto il topic ma sta cosa mi è proprio saltata agli occhi:

cmq per cfg bene il firewall/ids è quasi obbligatorio l'uso dell'SDM

Scheri vero?!

[shezad]

Nn ho letto tutto il topic ma sta cosa mi è proprio saltata agli occhi:

cmq per cfg bene il firewall/ids è quasi obbligatorio l'uso dell'SDM

Scheri vero?!

Per i neofiti e' praticamentye un must secondo me perche' insegna come il router cisco ragiona ma sono d'accordo che e' meglio fare le regole a mano.

[unixvsnt]

io lascio fare SDM prima così vedo cosa suggerisce e poi ritocco a mano per andare di fino... questione di abitudine... (forse sbagliata, forse no). Cmq. il problema che l'SDM introduce 3 righe sull'access-list 102 che non devono andare. Precisamente da "deny" su sdm-inspect (in-zone to out zone) alle reti interne 192.168.1.0 (LAN) 192.168.111.0 (Wireless LAN completa) 192.168.222.0 (Wireless LAN solo Guest) ... questo almeno nel mio caso... appena finito di sistemare bene la config la passo al forum dove accetto tutti i miglioramenti del caso! ciao.
PS x Wizard: cmq. hai ragione tu in certi casi ... senza i tuoi suggerimenti col cavolo che SDM mi avrebbe configurato la VPN funzionante... diamo a Wizard quel che è di Wizard

[shezad]

Se la copi qua nel forum mi fai un gran favore cosi' la studio.

[shezad]

A me il firewall configurato con SDM mi mette nella access-list 100 questo :

192.168.1.0/0.0.0.255 (la mia rete wired) drop
192.168.2.0/0.0.0.255 (la mia rete wireless) drop

E' giusta la configurazione oppure SDM vaneggia un pochettino?

Shezad.